研究人员最近发现Mykings僵尸网络使用了一个新的ftp类型的投递站点，该站点位于185.26.112[.]217上。同时发现，该服务器还用于分发一些更新的组件。僵尸网络的主要组件之一是WinRAR SFX(自解压可执行文件)，其负责分发主要的安装程序脚本c3.bat。最高级别的dropper程序会更新bootkit配置，而内部层则包含cryptominer组件的配置更新。配置文件使用单字节XOR编码，解密后的内容将显示更新的下载服务器列表。同时Mykings对EternalBlue模块进行了少量更改，bot执行一个有效负载下载器脚本。除此外，攻击者现在将使用的脚本托管在img.vim-cn.com上，而不是托管在自己的服务器上，img.vim-cn.com是匿名图像托管服务网站。感染地区主要为俄罗斯，乌克兰，哈萨克斯坦，亚美尼亚，中国等。

腾讯安全威胁情报中心检测到大量企业遭遇Outlaw僵尸网络攻击。该僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。此次活动已造成国内约2万台Linux服务器感染，影响上万家企业。此次攻击传播的母体文件为dota3.tar.gz，可能为Outlaw的第3个版本，母体文件释放shell脚本启动对应二进制程序，kswapd0负责进行门罗币挖矿，tsm32、tsm64负责继续SSH爆破攻击传播病毒。

国外研究人员最近发现FakeSpy的新活动。FakeSpy是一种信息窃取工具，用于窃取、发送SMS消息，窃取财务数据，读取帐户信息和联系人列表，窃取应用程序数据等。FakeSpy最初针对韩国和日本用户，现在已开始瞄准全世界，尤其是中国，法国，瑞士，德国，英国，美国等国家/地区的用户。活动中FakeSpy主要伪装成邮局SMS消息，引导用户点击消息中的链接，从而下载了伪装成合法的邮政服务应用程序或运输服务的FakeSpy恶意软件。所有最新的FakeSpy版本都包含相同的代码，但有少量更改。安装后，该应用程序会请求权限，以便可以控制SMS消息并窃取设备上的敏感数据，并扩散到目标设备的联系人列表中的其他设备。调查表明，FakeSpy行动的幕后威胁者是一个华语团体，名为"Romaning Mantis"。

Sophos研究人员发现Glupteba恶意软件变种，其通过"永恒之蓝"漏洞传播，并下载其他有效载荷。新变体使用比特币区块链作为通信渠道来接收更新的配置信息。其包括以下组件：通信代理组件cloudnet.exe，所有网络通信都通过这个组件代理；Ws2_32.dll用于网络通信，其通过访问Google.com和yandex.ru来测试是否与互联网连接；看门狗组件windefender.exe，这个模块作为服务运行，主要目的是跟踪主dropper，以便在出现任何问题时重新启动，此组件可以修改自己服务的访问控制列表(ACL)值；MikroTik RouterOS开发组件winboxscan.exe负责设置SOCKS代理；域名服务器缓存污染组件routerdns.exe和d2.exe；浏览器信息窃取组件vc.exe，其通过定位配置文件目录和SQL查询从谷歌、Opera、Yandex和Firefox浏览器中提取密码、cookie和名称；矿工组件wup.exe和wupv.exe(均为xmrig矿工)。恶意软件的目标是在线游戏社区。

卡巴斯基研究人员发现恶意软件Rovnix Bootkit正在重新活跃，通过邮件SFX 附件分发。分析显示，恶意样本加载到内存中的PE的代码包含许多部分，与已知的Rovnix Bootkit及其模块非常相似，其源代码在2013年泄漏。借助Windows API，该恶意软件会创建目录C：\ Windows \ System32（Windows之后有空格），然后向该地址复制一个合法的，已签名的可执行文件，该文件可自动提升特权而不显示UAC请求（如wusa.exe）。同时，该恶意软件还使用了DLL劫持技术，在没有UAC请求的情况下从假目录运行合法文件，并加载名为wtsapi.dll的恶意库。之后，该恶意软件会创建并运行一系列BAT文件，这些文件从伪目录中启动wusa.exe，然后通过删除创建的目录和恶意可执行程序来隐藏自身。

Unit42研究人员发现了一个新的混合加密劫持恶意软件，被称为Lucifer。该恶意软件不仅能够分发XMRig来进行Monero的密码劫持，而且还能够利用多个漏洞和凭据暴力破解来进行命令和控制(C2)操作以及自我传播。此外，它会针对企业内部网感染的易受攻击目标分发并运行EternalBlue、EternalRomance和DoublePulsar后门。利用的漏洞包括CVE-2014-6287，CVE-2018-1000861，CVE-2017-10271，ThinkPHP RCE漏洞(CVE-2018-20062)，CVE-2018-7600，CVE-2017-9791，CVE- 2019-9081，PHPStudy后门RCE，CVE-2017-0144，CVE-2017-0145和CVE-2017-8464。一旦被利用，攻击者就可以在易受攻击的设备上执行任意命令。

OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织，该组织也是针对中国境内的最活跃的APT组织之一，该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料，通过追踪它这些年的攻击手法和攻击目标，OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织 初期的OceanLotus特种木马技术并不复杂，容易发现和查杀，2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗，随后OceanLotus特种木马又开始转向云控技术，攻击的危险性、不确定性与木马识别查杀的难度都大大增强 OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击，NSA武器库曝光后，还使用了永恒系列漏洞进行攻击，投递的攻击武器种类比较多，RTA包括：Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等。

赛门铁克(Symantec)的研究人员发现，在一个Sodinokibi勒索软件的活动中，攻击者还会扫描某些受害者的网络，以获取信用卡或PoS软件。攻击者使用Cobalt Strike恶意软件向受害者发送Sodinokibi定向勒索软件。有八个组织的系统中有Cobalt Strike恶意软件，其中三名受害者随后感染了Sodinokibi勒索软件。感染Sodinokibi勒索软件的受害者来自服务、食品和保健部门。这次攻击的目标主要是大型、甚至是跨国公司。

国外研究人员发现一次攻击活动，攻击者试图利用当前的中印边疆冲突争端诱使目标打开附加的恶意文档。该攻击是无文件攻击，没有在磁盘上写入任何有效载荷，也没有创建持久性；Shellcode在与命令和控制(C2)服务器通信时使用伪造的HTTP主机字段；利用DKMC框架，使用隐写术隐藏通信；依赖Cobalt Strike beacon使用malleable C2配置文件。该活动似乎是通过电子邮件分发恶意诱饵文件。诱饵文件名为“India-China border tensions.doc”，并且包含了一篇由《印度时报》写的关于相同主题的文章。该文件包含一行内容，内容为“东南亚安全分析师的地缘战略文章”，表明目标可能是东南亚的安全分析师。文档包含损坏的宏代码，研究人员猜测该文档是使用某种自动化的宏模糊处理工具匆忙构建的，没有经过适当的测试。目前，还不能将该活动归因于特定的威胁组织。

西班牙电信公司Telefónica Group的网络安全部门发现黑客组织Vendetta，一直冒充台湾疾控中心官员，试图窃取台湾用户的敏感数据。黑客发送精心制作的钓鱼邮件到一组选定的目标，附件为第一阶段恶意软件RoboSki。该恶意软件执行后会在内存中创建一个包含.png图像的.DLL文件，该文件又包含在图像像素文件中加密的shellcode。通过shellcode在内存中投放恶意软件Rezer0。Rezer0投放Nanocore RAT。