Unit42研究人员发现了一个新的混合加密劫持恶意软件，被称为Lucifer。该恶意软件不仅能够分发XMRig来进行Monero的密码劫持，而且还能够利用多个漏洞和凭据暴力破解来进行命令和控制(C2)操作以及自我传播。此外，它会针对企业内部网感染的易受攻击目标分发并运行EternalBlue、EternalRomance和DoublePulsar后门。利用的漏洞包括CVE-2014-6287，CVE-2018-1000861，CVE-2017-10271，ThinkPHP RCE漏洞(CVE-2018-20062)，CVE-2018-7600，CVE-2017-9791，CVE- 2019-9081，PHPStudy后门RCE，CVE-2017-0144，CVE-2017-0145和CVE-2017-8464。一旦被利用，攻击者就可以在易受攻击的设备上执行任意命令。

OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织，该组织也是针对中国境内的最活跃的APT组织之一，该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料，通过追踪它这些年的攻击手法和攻击目标，OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织 初期的OceanLotus特种木马技术并不复杂，容易发现和查杀，2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗，随后OceanLotus特种木马又开始转向云控技术，攻击的危险性、不确定性与木马识别查杀的难度都大大增强 OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击，NSA武器库曝光后，还使用了永恒系列漏洞进行攻击，投递的攻击武器种类比较多，RTA包括：Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等。

赛门铁克(Symantec)的研究人员发现，在一个Sodinokibi勒索软件的活动中，攻击者还会扫描某些受害者的网络，以获取信用卡或PoS软件。攻击者使用Cobalt Strike恶意软件向受害者发送Sodinokibi定向勒索软件。有八个组织的系统中有Cobalt Strike恶意软件，其中三名受害者随后感染了Sodinokibi勒索软件。感染Sodinokibi勒索软件的受害者来自服务、食品和保健部门。这次攻击的目标主要是大型、甚至是跨国公司。

国外研究人员发现一次攻击活动，攻击者试图利用当前的中印边疆冲突争端诱使目标打开附加的恶意文档。该攻击是无文件攻击，没有在磁盘上写入任何有效载荷，也没有创建持久性；Shellcode在与命令和控制(C2)服务器通信时使用伪造的HTTP主机字段；利用DKMC框架，使用隐写术隐藏通信；依赖Cobalt Strike beacon使用malleable C2配置文件。该活动似乎是通过电子邮件分发恶意诱饵文件。诱饵文件名为“India-China border tensions.doc”，并且包含了一篇由《印度时报》写的关于相同主题的文章。该文件包含一行内容，内容为“东南亚安全分析师的地缘战略文章”，表明目标可能是东南亚的安全分析师。文档包含损坏的宏代码，研究人员猜测该文档是使用某种自动化的宏模糊处理工具匆忙构建的，没有经过适当的测试。目前，还不能将该活动归因于特定的威胁组织。

西班牙电信公司Telefónica Group的网络安全部门发现黑客组织Vendetta，一直冒充台湾疾控中心官员，试图窃取台湾用户的敏感数据。黑客发送精心制作的钓鱼邮件到一组选定的目标，附件为第一阶段恶意软件RoboSki。该恶意软件执行后会在内存中创建一个包含.png图像的.DLL文件，该文件又包含在图像像素文件中加密的shellcode。通过shellcode在内存中投放恶意软件Rezer0。Rezer0投放Nanocore RAT。

BlackBerry研究人员最近发现一种用Java编写的新勒索软件Tycoon，该勒索软件通过面向internet的RDP跳板服务器进行初始攻击，目标为组织中的域控服务器和文件服务器。为了实现持久性，攻击者使用了"图像文件执行选项注入(IFEO)"技术。然后在操作系统的Microsoft Windows屏幕键盘(OSK)功能旁边执行了后门操作。攻击者使用ProcessHacker实用程序禁用了企业组织的反恶意软件解决方案，并更改了Active Directory服务器的密码，以使受害者无法访问其系统。大多数攻击者文件都带有时间戳，包括Java库和执行脚本。最后，攻击者执行了Java勒索软件模块，对所有文件服务器进行了加密，包括连接到网络的备份系统。这些文件使用Galois/Counter(GCM)模式的AES-256算法进行加密，并使用16字节长的GCM身份验证标记，以确保数据完整性，每个文件将使用不同的AES密钥加密，然后使用攻击者的RSA-1024公钥加密并保存在块元数据块中。Tycoon已经被发现了至少六个月，但受害人数似乎有限，这表明该恶意软件可能具有很高的针对性。一些电子邮件地址中的重叠以及勒索便笺的文本和用于加密文件的命名约定，表明Tycoon与Dharma/CrySIS勒索软件之间存在联系。

2020年5月，研究人员发先了了几个LNK文件，根据代码重叠度、类似的战术、技术和程序（TTPs）和所用后门的对比，将之归因于黑客组织Higaisa。最终的后门使用了复杂的欺骗性技术，如基于FakeTLS的网络通信，利用重复的套接字句柄和复杂的加密密钥生成方式。其shellcode使用反调试技术来计算代码部分的32位哈希值，可创建多个线程共同处理后门和C2服务器之间交换的命令。LNK攻击的两个实例中使用的诱饵文件针对的是来自中国的用户。

SophosLabs最近发布了针对Kingminer僵尸网络的分析报告。主要发现：Kingminer通过暴力破解SQL服务器来传播，并且最近开始尝试使用永恒之蓝漏洞。感染过程使用特权提升漏洞(CVE-2017-0213或CVE-2019-0803)利用来绕过软件(或管理员)的安全防御操作。活动中经常使用开源或公共领域的软件，如PowerSploit或Mimikatz，并且通过自定义进行了功能增强。攻击者使用DLL侧加载(DLL side-loading)技术来加载有效负载。僵尸网络使用基于日期和时间的域产生算法(DGA)生成用于命令和控制或交付有效载荷的域。如果受感染的计算机没有打上Bluekeep漏洞补丁，Kingminer会禁用包含漏洞的RDP服务，以阻止其他的僵尸网络。Kingminer僵尸网络使用自身注册的服务器和Github公共存储库托管恶意负载，发现了20个用于托管恶意内容的Github帐户。僵尸网络的主要有效载荷和最重要的组成部分是矿工程序，大部分是Xmrig矿工的变体。

本月，微软共发布了129个漏洞的补丁程序，其中，包括Microsoft SharePoint Server、Windows Shell、Windows OLE、LNK、Windows系统、Windows浏览器、VBScript、ChakraCore等脚本引擎中的11个漏洞被微软官方标记为紧急漏洞。经研判，以下20个漏洞（包括9个严重漏洞和11个重要漏洞）影响较大，如下表所示。其中， CVE-2020-1284、CVE-2020-1207、CVE-2020-1247、CVE-2020-1251、CVE-2020-1253、CVE-2020-1241、CVE-2020-1213、CVE-2020-1216、CVE-2020-1260、CVE-2020-1214、CVE-2020-1215、CVE-2020-1230、CVE-2020-1206、 CVE-2020-1219、CVE-2020-1301被微软标记为“Exploitation More Likely”这些漏洞更容易被利用。漏洞描述 CVE-2020-1301 SMBv1远程代码执行漏洞：Microsoft Server Message Block 1.0 (SMBv1)服务器在处理特定的请求时，存在一个远程代码执行漏洞。经过身份验证的攻击者可通过向目标SMBv1服务器发特制数据包来利用此漏洞，成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。 值得注意的是，此漏洞被微软标记为Exploitation More Likely”，说明其很可能很容易被利用。 CVE-2020-1284 SMBv3拒绝服务漏洞：Microsoft SMB服务器在处理特定的请求时，存在远程代码执行漏洞。攻击者可通过向目标SMB服务器发特制请求包来利用此漏洞，成功利用此漏洞可导致目标系统拒绝服务。此拒绝服务漏洞不会使攻击者执行代码或提升权限，但是会导致目标系统停止接收请求。 CVE-2020-1181 Microsoft SharePoint 远程代码执行漏洞：Microsoft SharePoint服务器无法识别和过滤不安全的ASP.NET Web控件，存在一个远程代码执行漏洞。经过身份验证的攻击者可通过在受影响的Microsoft SharePoint 服务器上创建并调用特制页面来利用此漏洞，成功利用此漏洞的远程攻击者可使用特制页面在SharePoint应用程序池进程的安全上下文中执行代码。 Win32k权限提升漏洞：Windows kernel-mode driver在处理内存中的对象时，存在4个权限提升漏洞（CVE-2020-1207、CVE-2020-1247、CVE-2020-1251、CVE-2020-1253）。攻击者可通过登陆目标系统并运行特制程序来利用此漏洞，成功利用此漏洞的攻击者可在目标系统内核模式下运行任意代码。 CVE-2020-1206 Windows SMBv3 Client/Server信息泄露漏洞:Microsoft Server Message Block 3.1.1 (SMBv3)协议在处理特定的请求时，存在一个信息泄露漏洞。未经身份验证的攻击者可通过向目标SMB服务器发特制数据包来利用此漏洞，或配置一个恶意的 SMBv3 服务器并诱导用户连接来利用此漏洞。成功利用此漏洞的远程攻击者可获取敏感信息。CVE-2020-1206的POC疑似在GitHub公开，且相关细节释出。 CVE-2020-1241 Windows内核安全特性绕过漏洞:Microsoft 内核在sanitize特定参数时，存在一个安全特性绕过漏洞。经过身份验证的本地攻击者可通过在目标系统上运行特制程序来利用此漏洞。 VBScript脚本引擎远程代码执行漏洞:VBScript引擎在处理内存中的对象时，存在6个远程代码执行漏洞（3个严重：CVE-2020-1213、CVE-2020-1216、CVE-2020-1260；3个重要：CVE-2020-1214、CVE-2020-1215、CVE-2020-1230）。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞，攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

深信服安全团队近期监测到2020年6月在地下黑客论坛开始出售新的勒索软件“ Avaddon Ransomware”。该软件可针对多种语言用户，联系解密站点上有一个带有倒计时的页面，保存用于支付的二维码。加密之前会查询api.myip.com站点获取地区与IP，绕过来自前苏联国家/地区的用户，同时会清空回收站，删除卷影副本，控制卷影存储的大小。执行阶段会禁用Windows恢复和修复功能。采用微软CSP机制，AES-256与RSA-2048结合保密加密密钥，加密文件时采用CryptEncrypt，全部文件加密使用同一密钥即初始密钥。 研究人员认为，没有黑客对应的RSA私钥无法解密文件。由于采用了类似WannaCry勒索加密的方式，如调用了微软的CSP容器进行加密，但作为文件加密时使用的CryptGenKey产生的密钥却被内置的RSA-2048公钥进行了加密；删除了系统卷影后部分恢复功能已无法生效；联系的方式采用了TOR站点，增加了匿名性；调用CryptGenKey虽然保证了一台设备一个密钥（随机性），但是由于采用的RSA加密公钥是内置一致的，所以官网显示的通用解密器也是存在可能的。