Bitdefender研究人员发现了新的Metamorfo攻击活动，该活动利用合法的软件组件来破坏计算机。Metamorfo是一家银行木马家族，自2018年中期以来一直活跃。它主要针对巴西人，主要通过垃圾邮件附件中装有宏的Office文件进行分发，其主要功能是窃取用户的银行信息和其他个人数据并将其发送到C2服务器。Metamorfo利用DLL劫持技术来隐藏自身并提升其在目标计算机上的权限。研究人员还注意到，该恶意软件试图从C2服务器下载其他文件，这表明它也可以使用扩展命令集下载自身的更新版本。Metamorfo利用了5种不同软件组件，分别来自Avira，AVG和Avast，Damon Tools，Steam和NVIDIA。这些产品中的某些组件在加载DLL文件时无法确保加载的文件是合法的，导致恶意代码将由可信赖的进程加载并执行。此外，某些安全解决方案无法检测到恶意代码或阻止防火墙级别的通信，因为初始化进程可能被列入了白名单。研究人员指出，合法的应用程序通常使用Authenticode（代码签名）证书进行数字签名，建议软件开发人员考虑由易受DLL劫持的数字签名组件所引起的问题，并尝试通过以安全的方式加载DLL来缓解这些问题。

Malwarebytes研究人员最近发现黑客组织Higaisa的攻击活动。该小组的活动至少可以追溯到2016年，其使用的木马包括Gh0st和PlugX以及其他移动恶意软件。其目标包括政府官员和人权组织，以及与朝鲜有关的其他实体。本次活动中，Higaisa使用一个恶意快捷方式文件进行初始化感染，攻击链由多个恶意脚本，有效负载和诱饵PDF文档组成。包含LNK恶意文件的存档文件疑似通过鱼叉式网络钓鱼分发，伪装成简历和国际英语测试系统考试结果。

BlackBerry研究人员最近发现一种用Java编写的新勒索软件Tycoon，该勒索软件通过面向internet的RDP跳板服务器进行初始攻击，目标为组织中的域控服务器和文件服务器。为了实现持久性，攻击者使用了"图像文件执行选项注入(IFEO)"技术。然后在操作系统的Microsoft Windows屏幕键盘(OSK)功能旁边执行了后门操作。攻击者使用ProcessHacker实用程序禁用了企业组织的反恶意软件解决方案，并更改了Active Directory服务器的密码，以使受害者无法访问其系统。大多数攻击者文件都带有时间戳，包括Java库和执行脚本。最后，攻击者执行了Java勒索软件模块，对所有文件服务器进行了加密，包括连接到网络的备份系统。这些文件使用Galois/Counter(GCM)模式的AES-256算法进行加密，并使用16字节长的GCM身份验证标记，以确保数据完整性，每个文件将使用不同的AES密钥加密，然后使用攻击者的RSA-1024公钥加密并保存在块元数据块中。Tycoon已经被发现了至少六个月，但受害人数似乎有限，这表明该恶意软件可能具有很高的针对性。一些电子邮件地址中的重叠以及勒索便笺的文本和用于加密文件的命名约定，表明Tycoon与Dharma/CrySIS勒索软件之间存在联系。

奇安信病毒响应中心近日发现一个黑客团伙Tran Group正在利用基于脚本的木马进行定向攻击。攻击者通常会投放带有恶意Lnk的Zip文件，受害者双击Lnk后会释放恶意的JS木马，初次运行时，js木马会读取Lnk中的附加数据，释放诱饵。第二次运行时会实现持久化操作，通过git、reddit等获取远程服务器IP，注册ID号。再次运行时开始执行监控逻辑，从远程服务器接收命令。结合js中出现的字符串，研究人员该木马其命名为tranJS Rat。在攻击者使用的服务器中，同时还发现了more_eggs（SpicyOmelette）恶意软件，该软件最早是由MaaS提供商在暗网上售卖的，已被Cobalt Gang、Fin6以及其他威胁组织使用。研究人员认为，脚本木马的低可探测性可能是APT组织和黑产团伙对其青睐的原因之一，同时由于脚本之间存在可复用性，会在一定程度上影响安全研究人员溯源的准确性。可以预见未来会有越来越多基于脚本的木马被用于高级威胁对抗的过程中。

Cofense网络钓鱼防御中心(PDC)发现，攻击者仿冒税收部门，针对五家不同的非洲金融机构客户进行钓鱼，试图收集其客户账号、用户id、pin码和手机号码。钓鱼邮件要求用户单击对应金融机构图标以要求退税，一旦点击，用户将被引导到所选银行的钓鱼登录页面，所有欺诈门户网站都是使用Webnode创建的。一旦访客填写自身的账户信息并进行提交，个人账户信息将被攻击者窃取。

卡巴斯基发现Cycldek(也称为Goblin Panda和Conimes)组织的攻击活动，并且发现了两种不同的活动模式，推测该组织由两个运营实体组成，活动针对越南、老挝、泰国的外交和政府实体。同时发现新工具USBCulprit，已发现它依赖于USB来泄露受害者数据，一旦执行，将进行：引导和数据收集；USB连接拦截和数据输出/传输；横向运动和扩展。研究人员在2018年之后观察到的大多数攻击都始于8.t文档生成器(也被称为'Royal Road')构建的具有政治主题的RTF文档，并以钓鱼邮件的形式发送给受害者。这些文档捆绑了漏洞利用程序(例如CVE-2012-0158，CVE-2017-11882，CVE-2018-0802)。其分发的最终有效负载为开源的NewCore RAT，具备屏幕截图、通过远程shell控制机器、关闭或重新启动系统功能。研究人员根据样本得到两种不同的NewCore变体，分别被命名为BlueCore和RedCore，其明显区别在于连接和指向C2服务器的URL方式不同。除上述恶意软件之外，活动中还使用了自定义的HDoor(后门)、专有工具JsonCookies(从基于Chromium浏览器的SQLite数据库中窃取Cookie)、专有工具ChromePass(从基于Chromium浏览器数据库中窃取保存的密码)。研究人员发现，从2018年5月以来，BlueCore集群背后的运营商将大部分精力投入到了越南目标上，并在老挝和泰国设立了多个离群值，而RedCore集群的运营商一开始将重点放在越南，并在2018年底转移到老挝。

Lab52最近检测到一个恶意软件样本，该样本使用合法二进制文件，利用Dll-Sideload技术加载木马，加载的文件由PlugX木马样本组成，并且与Mustang Panda以前的攻击策略相关联。恶意软件被伪装成flash player安装程序分发，在解密其配置后，包含安装二进制文件的文件夹、用于加密其通信的XOR密钥、最多4个域或命令和控制服务器的IP地址以及要使用的端口列表。c2服务器"www.destroy2013[.]com"和"www.fitehook[.]com"有一个特征行为：其大多数情况下解析到127.0.0.1，但从1-3点(UTC)8-9点(UTC)解析为IP"107.150.112[.]250"。

Kimsuky黑客组织发起了一次新的“Smoke Screen” APT攻击活动，该组织已知与特定政府有关。攻击主要使用Microsoft的doc文档，也有Hancom的hwp文档和 exe可执行文件。攻击者通过鱼叉式网络钓鱼邮件投递恶意载荷， 恶意文档包含VBA代码，利用任务计划以固定频率和C2服务器通信。hwp文档包含Post Script代码，同样利用任务计划与C2服务器通信。4月前后创建的恶意文件样本则伪装成具有解密加密文件功能的exe程序，诱使用户解密，同时与相同的C2服务器通信。

腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种，此次变种的病毒延续上个版本的邮件蠕虫攻击方法，利用附带Office漏洞CVE-2017-8570的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost(CVE-2020-0796)漏洞检测和上报、新增SSH爆破攻击相关代码，推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。病毒Payload执行时安装随机名计划任务从新的C2地址t.zer9g.com、t.zz3r0.com下载a.jsp进行持久化攻击，a.jsp继续下载攻击模块if.bin、if_mail.bin以利用漏洞、弱口令爆破、钓鱼邮件群发等方式进行攻击传播，将XMRig门罗币矿机程序m6.bin、m6g.bin注入Powershell.exe运行。病毒还会安装没有实际功能的计划任务blackball("黑球")。

Sarwent恶意软件仍然在积极开发中，其具有新的命令并专注于RDP。自至少2018年以来，Sarwent似乎已被积极使用，但在此期间尚未公开报道过很多。同时，还发现Sarwent使用了一个与TrickBot运营商相同的二进制签名器。Sarwent具有Loader程序功能，其命令包括download、update、vnc。最近的更新包括对其C2 URI结构的一个小更改，同时增加了cmd、powershell、rdp命令。