360研究人员发现攻击者使用两个Tenda路由器0-day漏洞(其中一个为CVE-2018-14558&CVE-2020-10987)传播一个基于Mirai代码开发的远程控制木马。与常见的Mirai变种不同，该变种除了DDoS攻击之外，它针对路由器设备实现了Socket5代理，篡改路由器DNS，设置iptables，执行自定义系统命令等多达12个远程控制功能。变种使用WSS(WebSocket over TLS)协议进行C2通信，以规避成熟的Mirai流量检测。该僵尸网络被命名为Ttint。Ttint Bot支持22种C2指令，其中复用了Mirai的10种DDoS指令，自身实现了12种C2指令。

奇安信威胁情报中心红雨滴安全研究团队于2011年开始持续对华语来源的攻击活动进行追踪，并在近些年来发布了多篇关于APT组织毒云藤和蓝宝菇的分析报告。 但发布报告并不能制止该华语来源的攻击，反而变本加厉，在近些年来无休无止的进行网络情报窃取，试图大量搜集重点单位的资产，因此奇安信威胁情报中心仍在持续对这两个APT组织进行追踪。 如此前有所不同的是，如今该华语来源的攻击活动趋向渔网化，通过批量与定向投方相结合，采取信息探测的方式辅助下一步的定点攻击。该情报搜集活动被我们命名为“血茜草行动”(Operation Rubia cordifolia)，由于”血茜草”同”蒐”，而蒐一字经常用在繁体中文”蒐集情報”一词中，顾如此命名。目前我们将该系列攻击活动归属于著名的毒云藤组织。

自2020年1月以来，Proofpoint研究人员一直在追踪TA2552组织利用微软Office 365第三方应用（3PA）访问的可疑活动，该活动可追溯到2019年8月。TA2552使用精心制作的西班牙语诱饵并利用小范围内的主题和品牌，来诱使用户点击消息中的链接，得以将其带到合法的微软第三方应用程序同意页面。用户将被提示通过OAuth2或其他基于令牌的授权方法，授予第三方应用程序对其Office 365帐户的只读用户权限。TA2552寻求访问特定的账户资源，如用户的联系人和邮件，请求这些账户资源的只读权限可以用来进行账户侦察、窃取数据或者拦截其他账户（如金融机构的账户）的密码重置消息。

思科Talos最近发现了LodaRAT的新版本，LodaRAT是一种用AutoIt编写的远程访问木马。新版本不再使用以前通常使用的字符串混淆和函数名称随机化混淆技术，而且还重写了一些功能，并添加了十六进制编码的PowerShell键盘记录器脚本以及新VB脚本。研究人员在分析过程中，观察到新版本LodaRAT与攻击者的直接交互，这表明攻击者正在积极监视受感染的主机。

Juniper Threat Labs发现了几个依赖类似于Pastebin的服务进行感染的恶意软件活动，发现的恶意软件包括AgentTesla、LimeRAT、Redline Stealer和勒索软件。这些攻击通常始于钓鱼邮件，当用户被诱骗执行恶意软件时，它会从paste.nrecom.net下载后续阶段的恶意软件，并加载到内存中，而无需写入磁盘。

国外安全公司Recorded future发布报告，报告指出，RedDelta攻击活动在首次报告披露后10天之内恢复了对香港天主教主教区邮件服务器的活动，14天内恢复了梵蒂冈邮件服务器的活动。新的活动中，该组织利用新的诱饵文档，主题涉及中国境内的天主教徒、西藏-拉达克关系和联合国大会安全理事会的手段。诱饵文档采用与先前活动中描述的样本类似的方式加载第一个样本。恶意诱饵文件最初都存储在zip文件，该zip文件存储在Google云端硬盘中，用户可能会被引导通过鱼叉式链接下载该文件。第一阶段使用合法的Microsoft Word可执行文件对第一阶段DLL加载器进行侧加载。然后从远程服务器地址检索加密的PlugX DAT有效载荷。与先前确定的RedDelta PlugX示例不同，该样本在第二个DLL侧面加载阶段使用合法的Avast Proxy可执行文件(之前使用合法Adobe可执行文件)。报告还指出在活动中，缅甸的政府系统成为新的受害者，涉及缅甸政府电子文件管理系统的VPN登录门户。

深信服安全态势感知平台SIP捕获到一起Tor2Mine挖矿组织的攻击事件。该组织入侵了德国的一消防志愿者网站，并将恶意脚本挂在该网站上进行传播。攻击方式为：通过恶意脚本在受害主机上植入JuicyPotato， RpcSsImpersonator工具进行提权，下载SMBv3远程执行漏洞（CVE-2020-0796）工具进行本地提权和远程代码执行；远程脚本会下载并部署Java 1.8环境及GoldBrute远程桌面爆破程序ServSVC.exe，并通过写入注册表实现开机自启动达到持久化的目的；植入8月新版商业远控木马Remcos 2.7.0 Pro并实时更新。

Zscaler研究团队最近发现下载Joker恶意软件的恶意应用被定期上传到Google Play商店。2020年9月，共发现17个不同样本，涉及的恶意应用总共被下载了约120000次。恶意负载通过多种方式被下载至受害者系统中：包括通过隐藏在恶意应用中的URL直接下载；通过第一阶段负载下载；通过第二阶段负载下载。最终的有效负载Joker采用DES加密来执行C＆C活动，还使用字符串混淆来隐藏所有重要的字符串，并进行SMS收集和WAP欺诈。

深信服安全态势感知平台SIP捕获到一起Tor2Mine挖矿组织的攻击事件。该组织入侵了德国的一消防志愿者网站，并将恶意脚本挂在该网站上进行传播。攻击方式为：通过恶意脚本在受害主机上植入JuicyPotato， RpcSsImpersonator工具进行提权，下载SMBv3远程执行漏洞（CVE-2020-0796）工具进行本地提权和远程代码执行；远程脚本会下载并部署Java 1.8环境及GoldBrute远程桌面爆破程序ServSVC.exe，并通过写入注册表实现开机自启动达到持久化的目的；植入8月新版商业远控木马Remcos 2.7.0 Pro并实时更新。

国外研究人员最近发现一些垃圾邮件活动非常依赖于电子邮件中的URL混淆。其中一些仿冒制药的垃圾邮件活动从7月中旬开始，采用了URL主机名部分使用编码十六进制IP地址格式来逃避检测。这些通过混淆的链接地址包含在垃圾邮件中，当受害者访问时将打开受害者的链接，浏览器将十六进制IP转换为十进制IP，并将受害者带到伪造药品网站的托管网页。