卡巴斯基发现Cycldek(也称为Goblin Panda和Conimes)组织的攻击活动，并且发现了两种不同的活动模式，推测该组织由两个运营实体组成，活动针对越南、老挝、泰国的外交和政府实体。同时发现新工具USBCulprit，已发现它依赖于USB来泄露受害者数据，一旦执行，将进行：引导和数据收集；USB连接拦截和数据输出/传输；横向运动和扩展。研究人员在2018年之后观察到的大多数攻击都始于8.t文档生成器(也被称为'Royal Road')构建的具有政治主题的RTF文档，并以钓鱼邮件的形式发送给受害者。这些文档捆绑了漏洞利用程序(例如CVE-2012-0158，CVE-2017-11882，CVE-2018-0802)。其分发的最终有效负载为开源的NewCore RAT，具备屏幕截图、通过远程shell控制机器、关闭或重新启动系统功能。研究人员根据样本得到两种不同的NewCore变体，分别被命名为BlueCore和RedCore，其明显区别在于连接和指向C2服务器的URL方式不同。除上述恶意软件之外，活动中还使用了自定义的HDoor(后门)、专有工具JsonCookies(从基于Chromium浏览器的SQLite数据库中窃取Cookie)、专有工具ChromePass(从基于Chromium浏览器数据库中窃取保存的密码)。研究人员发现，从2018年5月以来，BlueCore集群背后的运营商将大部分精力投入到了越南目标上，并在老挝和泰国设立了多个离群值，而RedCore集群的运营商一开始将重点放在越南，并在2018年底转移到老挝。

Lab52最近检测到一个恶意软件样本，该样本使用合法二进制文件，利用Dll-Sideload技术加载木马，加载的文件由PlugX木马样本组成，并且与Mustang Panda以前的攻击策略相关联。恶意软件被伪装成flash player安装程序分发，在解密其配置后，包含安装二进制文件的文件夹、用于加密其通信的XOR密钥、最多4个域或命令和控制服务器的IP地址以及要使用的端口列表。c2服务器"www.destroy2013[.]com"和"www.fitehook[.]com"有一个特征行为：其大多数情况下解析到127.0.0.1，但从1-3点(UTC)8-9点(UTC)解析为IP"107.150.112[.]250"。

Kimsuky黑客组织发起了一次新的“Smoke Screen” APT攻击活动，该组织已知与特定政府有关。攻击主要使用Microsoft的doc文档，也有Hancom的hwp文档和 exe可执行文件。攻击者通过鱼叉式网络钓鱼邮件投递恶意载荷， 恶意文档包含VBA代码，利用任务计划以固定频率和C2服务器通信。hwp文档包含Post Script代码，同样利用任务计划与C2服务器通信。4月前后创建的恶意文件样本则伪装成具有解密加密文件功能的exe程序，诱使用户解密，同时与相同的C2服务器通信。

腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种，此次变种的病毒延续上个版本的邮件蠕虫攻击方法，利用附带Office漏洞CVE-2017-8570的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost(CVE-2020-0796)漏洞检测和上报、新增SSH爆破攻击相关代码，推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。病毒Payload执行时安装随机名计划任务从新的C2地址t.zer9g.com、t.zz3r0.com下载a.jsp进行持久化攻击，a.jsp继续下载攻击模块if.bin、if_mail.bin以利用漏洞、弱口令爆破、钓鱼邮件群发等方式进行攻击传播，将XMRig门罗币矿机程序m6.bin、m6g.bin注入Powershell.exe运行。病毒还会安装没有实际功能的计划任务blackball("黑球")。

Sarwent恶意软件仍然在积极开发中，其具有新的命令并专注于RDP。自至少2018年以来，Sarwent似乎已被积极使用，但在此期间尚未公开报道过很多。同时，还发现Sarwent使用了一个与TrickBot运营商相同的二进制签名器。Sarwent具有Loader程序功能，其命令包括download、update、vnc。最近的更新包括对其C2 URI结构的一个小更改，同时增加了cmd、powershell、rdp命令。

趋势科技最近发现两个伪装成Zoom安装程序的恶意软件文件，这些恶意安装程序来自非Zoom的官方安装分发渠道。其中一个恶意安装程序安装了一个后门，该后门允许攻击者远程运行恶意程序。另外一个则在设备中安装Devil Shadow僵尸网络木马。后门程序在安装时会杀死所有正在运行的远程实用程序，并打开端口5650和传输控制协议(TCP)以获得对受感染系统的远程访问。同时，它还添加了四个注册表，这些注册表似乎是恶意程序的配置设置。Devil Shadow僵尸程序将对用户的桌面和活动窗口进行截屏，并且扫描系统中任何已连接的摄像头，每隔30秒就会将收集到的所有信息发送到C2。由于恶意版本在运行Zoom之前会提取恶意组件，因此恶意安装程序的安装速度比官方的Zoom安装慢。

研究人员最近监测到与双枪恶意程序相关的团伙开始新的大规模活动。攻击者使用百度贴吧图片来分发配置文件和恶意软件，还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性，加大阻拦难度，开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端进行，具体感染方式大体分为两种：启动器内包含恶意代码，含恶意代码的私服客户端启动器被用户下载并执行，恶意代码访问配置信息服务器，然后根据配置信息从百度贴吧下载并动态加载名为cs.dll 的最新版本恶意程序；通过DLL劫持，以私服客户端为载体，多款类似游戏的私服客户端的组件photobase.dll 被替换成同名的恶意DLL文件，恶意photobase.dll首先会释放相应架构的恶意驱动程序，然后注册系统服务并启动，加载真正的 photobase.dll 文件，并将导出函数转发到真正的photobase.dll。根据数据覆盖度估算，感染规模超过100k。

研究人员发现一系列恶意垃圾邮件活动，攻击者通过NSIS(Nullsoft脚本安装系统)安装程序分发RAT，常见感染模式为恶意NSIS程序包含在邮件附件中，或者是通过邮件附件中的Doc文档从攻击者服务器下载。已经确定了2019年11月至2020年1月之间的五个单独的活动，这些活动具有相同的命令和控制基础结构，针对欧洲、中东和韩国的工业公司，研究人员将该系列活动的背后攻击者命名为RATicate。在第一阶段，安装程序部署初始加载程序，即恶意DLL。然后使用DLL开始解密恶意负载，最后在NSIS层释放垃圾文件时将恶意负载注入内存。研究人员确定至少有5个不同的恶意软件家族用作最终有效负载，包括ForeIT/Lokibot、BetaBot、Formbook、AgentTesla、Netwire。

Unit 42监控到新的Hoaxcalls和Mirai僵尸网络活动，针对赛门铁克安全Web网关5.0.2.8中的post-authentication远程代码执行漏洞。涉及产品已逐渐淘汰，于2015年到期，产品支持于2019年到期。目前尚无证据支持任何其他固件版本易受攻击。赛门铁克方确认Symantec Web Gateway 5.2.8中不再存在当前受利用的漏洞，同时强调，该漏洞不会影响其Secure Web Gateway解决方案，包括ProxySG和Web Security Services。 Hoaxcalls僵尸网络的新版本, 含针对EOL的赛门铁克安全Web网关5.0.2.8版本的利用，非常类似于最初的版本，使用相同的加密方案相同的密钥，它还支持其他命令，使攻击者可以更有效地控制受感染的设备，例如通过它们代理流量、下载更新、在设备重启时保持持久性或者防止重启，以及可以发起的更多DDoS攻击。 Mirai的变体活动，其中涉及使用相同的漏洞利用，尽管在该攻击活动中，样本本身不包含任何DDoS功能，但其目的是使用凭据暴力破解以及利用Symantec Secure Web Gateway RCE漏洞进行传播。

恶意攻击者目前正针对学术数据中心进行CPU挖掘。攻击者正在使用受损的SSH凭据从一个受害者跳到另一个受害者。受感染的主机将扮演不同的角色，包括：XMR挖矿主机（运行隐藏的XMR二进制文件）；XMR代理主机，攻击者使用来自XMR挖掘主机的机器连接到其他XMR代理主机，并最终连接到实际的挖掘服务器；SOCKS代理主机（在high port上运行microSOCKS实例）,攻击者通常通过Tor（通常是Tor）通过SSH连接到这些主机。Tor也使用MicroSOCKS；隧道主机（SSH隧道）,攻击者通过SSH（安全帐户）连接并配置NAT PREROUTING（通常访问私有IP空间）。目前发现被劫持的SSH登陆名分别属于加拿大，中国和波兰的大学。 请注意以下关键点： 与SOCKS代理主机的连接通常是通过TOR或受损主机完成的。 攻击者使用不同的技术来隐藏恶意活动，包括恶意Linux内核模块（https://github.com/m0nad/Diamorphine）。 尽管一些（但不是全部）受害者发现了受感染的SSH二进制文件，但仍未完全了解SSH凭据是如何被盗的。 一种样本显示，恶意XMR活动被配置为仅在夜间运行，以避免被检测到。 在中国，欧洲和北美有受害者。 排查建议： (1)检查Linux内核模块：运行kill -63 $(random pid)之后lsmod，然后搜索模块，名称类似：diamorphine，scsi，iscsi，readaps; (2)检查内容 /etc/cron.hourly/0anacron; (3)检查以下文件： /home/*/.mozilla/xdm /tmp/.dbs* /tmp/.lock /tmp/aes.tgz /tmp/db.tgz /tmp/dbsyn* /tmp/reserved /tmp/systemdb /tmp/updatedb /tmp/check_power /tmp/hdshare /tmp/readps /usr/bin/on_ac_power /usr/lib/libocs.so /usr/lib64/.lib/l64 /usr/share/aldi.so /usr/share/sos/ /usr/share/sos/rh.pub /usr/share/sos/rh.pub /var/tmp/.lock /var/tmp/.lock/clogs /var/tmp/.lock/cpa.h /var/tmp/.lock/ologs /wlcg/arc-ce1/cache/.cache (4)检查所有现有连接（lsof）和NAT配置（iptables）。