G Data研究人员发现了一个新的勒索软件Try2Cry，该勒索软件通过 LNK 文件使用 USB 驱动器传播，借鉴了勒索软件Spora的功能，具有与njRAT类似的USB蠕虫组件。 该勒索软件使用DNGuard加密，加密文件带有扩展名.Try2Cry，勒索邮箱为Try2Cry@Indea.info。分析显示，Try2Cry是勒索软件家族"Stupid "的变种。"Stupid "是Github上的一款开源勒索软件。Try2Cry使用Rijndael加密，加密密码是硬编码，通过计算密码的SHA512哈希值，并使用该哈希值的前32位来创建的。IV的创建与密钥几乎相同，使用的是同样的SHA512哈希值的后16位。加密时，设备名称为 `DESKTOP-PQ6NSM4` 与 `IK-PC2` 的机器可以免于加密，这可能是恶意软件开发者的计算机名称，便于在测试时提供保护。蠕虫功能部分使用与 Spora、Dinihou 和 Gamarue 类似的技术。样本搜索可移动设备，将自身的副本 Update.exe 放置在设备的根目录下。设备中的文件都会被隐藏，然后使用相同的图标替换为非隐藏的 Windows 快捷方式。这些快捷方式将会运行隐藏文件 Update.exe 以及原始文件。与 Stupid 勒索软件的其他变种一样，该勒索软是可以解密的。该开发者几乎没有添加额外的功能。

腾讯安全中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用Python打包EXE可执行文件进行攻击，该组织曾在2018年底使用过类似手法。监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约1.5万台服务器。被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿，会给受害企业造成严重生产力损失。

趋势科技研究人员最近发现一个新的Mirai变种（检测为IoT.Linux.MIRAI.VWISI），该变种利用了9个漏洞(包括CVE-2018-17173、CVE-2020-10173等)，此活动中使用的九个漏洞会影响IP摄像机，智能电视和路由器等的特定版本。Comtrend VR-3033路由器中的CVE-2020-10173。CVE-2020-10173是一个多重身份验证命令注入漏洞，远程恶意攻击者可以利用此漏洞来破坏路由器管理的网络。Mirai变体使用Telnet和Secure Shell(SSH)进行暴力破解攻击。并使用典型的XOR加密(带有XOR密钥：0x04)来隐藏用于攻击易受攻击的设备的凭据。 该变体利用的其余漏洞如下： Linksys E-series(远程代码执行):https://www.exploit-db.com/exploits/31683 LG SuperSign EZ CMS 2.5(远程代码执行):https://www.exploit-db.com/exploits/45448 Netlink GPON Router 1.0.11 RCE:https://www.exploit-db.com/exploits/48225 AVTECH IP 摄像机/NVR/DVR设备(多个漏洞):https://www.exploit-db.com/exploits/40500 D-Link设备(UPnP SOAP命令执行):https://www.exploit-db.com/exploits/27044 MVPower DVR TV-7104HE 1.8.4 115215B9(Shell命令执行):https://www.exploit-db.com/exploits/41471 Symantec Web Gateway 5.0.2.8(远程执行代码):https://packetstormsecurity.com/files/157175/Symantec-Web-Gateway-5.0.2.8-Remote-Code-Execution.html ThinkPHP 5.0.23/5.1.31(远程执行代码):https://www.exploit-db.com/exploits/45978

Bitdefender的研究人员发现了一种使用复杂技术、战术和程序来传送恶意有效载荷的攻击。在许多情况下，执行是从最新的SQL server进程开始的，这些进程没有任何已知的零日漏洞。使用的恶意有效负载是Kingminer的变种，这是一个2018年的僵尸网络，以向受害机器提供加密货币挖掘工具而闻名。但在这次新的活动中，攻击者通过Powershell和Mshta，采用了更高级的无文件执行方式，与过去相比，更多地侧重于防御规避。在此活动中，自定义的Kingminer加密劫持程序伪装成控制面板项(.cpl)，以进一步减少被发现的机率。主要有以下发现：通过强制帐户从SQL Server进程进行初始访问；利用永恒之蓝漏洞(CVE-2017-0144)初始执行；使用DGA(域生成算法)规避黑名单；使用Mimikatz和PowerSploit等工具；bots无文件执行；有效负载XMRig，Kingminer。

近期，研究人员发现黑客试图勒索23,000个MongoDB数据库并威胁要与GDPR当局联系，这些数据库几乎占据所有在线暴露的MongoDB数据库的47％。黑客使用自动脚本扫描大量配置错误或默认配置的MongoDB数据库，登录成功后会创建名为hacked_by_unistellar的新数据库，并在随后删除。接下来会对数据进行加密，并删除原始数据库，最后创建READ_ME_TO_RECOVER_YOUR_DATA库，并在其中留下名为README的详细勒索信息说明。攻击者要求支付0.015比特币（约合140美元）的赎金到钱包地址1DiskiHEtnDV3ixjHLchpiJFxVo8dQfy1q，并宣称将给公司两天的时间支付赎金，如未按期支付将公开其数据，并向当地的通用数据保护条例（GDPR）执法机构报告其数据泄漏。

Trustwave SpiderLabs发现了一种针对在中国开展业务的公司的新威胁。受害公司需要安装能够在当地缴税的软件，该软件绑定了一个后门，可以对受害者系统进行完全的远程命令和控制，实现任意远程执行代码和远程shell。研究人员将这个恶意软件家族命名为 "GoldenSpy"，同时发现了这个后门的几个变种。隐藏的GoldenSpy后门(svm.exe)是在Aisino智能税务软件安装完成两小时后秘密下载的，随后与GoldenSpy的分发网站建立连接。Svm.exe会收集基本系统信息，并不断向远程服务器进行更新，同时可以实现远程执行任意代码。追溯发现该恶意软件于2020年4月开始活跃，相关域名如ningzhidata[.]com，首次交付当前版本的GoldenSpy，于2019年9月22日注册。

2020年5月，奇安信病毒响应中心移动安全团队在日常的威胁分析运营过程中发现一款Android平台的恶意SDK插件，联合安天移动安全团队和其他安全研究机构进行深入分析拓展，确认SDK具有收集用户隐私信息和下载执行更多恶意插件的能力。对影响面的分析显示这款恶意SDK插件被市面上数百款Android应用集成，结合恶意SDK后续插件下载量以及奇安信威胁雷达遥测数据分析估算至少有200万台以上的独立Android终端设备安装了带有该恶意SDK插件的应用。基于该恶意SDK的行为特点以及溯源到的幕后组织信息，我们将其命名为“道贼”。 基于奇安信威胁情报中心大数据平台监测，“道贼”SDK自2019年7月开始被投入使用，持续至今累计至少感染数百万级移动终端用户。“道贼”SDK内的恶意代码通过直接的内嵌插包或间接的动态加载运行，运行后会上传用户安装的应用列表及手机固件等隐私信息，并从服务器下载执行由攻击者指定的插件，给用户设备造成巨大的现实隐私泄露风险和潜在的进一步恶意活动的安全威胁。通过分析该恶意SDK幕后组织的业务范围，并结合插件盗取用户隐私信息的特点来看，“道贼”SDK的最终目标是为了帮助幕后组织通过恶意互联网营销以牟取丰厚的黑灰色收入。为防止威胁进一步扩散，奇安信病毒响应中心对该移动安全事件进行分析和披露。

研究人员最近发现Mykings僵尸网络使用了一个新的ftp类型的投递站点，该站点位于185.26.112[.]217上。同时发现，该服务器还用于分发一些更新的组件。僵尸网络的主要组件之一是WinRAR SFX(自解压可执行文件)，其负责分发主要的安装程序脚本c3.bat。最高级别的dropper程序会更新bootkit配置，而内部层则包含cryptominer组件的配置更新。配置文件使用单字节XOR编码，解密后的内容将显示更新的下载服务器列表。同时Mykings对EternalBlue模块进行了少量更改，bot执行一个有效负载下载器脚本。除此外，攻击者现在将使用的脚本托管在img.vim-cn.com上，而不是托管在自己的服务器上，img.vim-cn.com是匿名图像托管服务网站。感染地区主要为俄罗斯，乌克兰，哈萨克斯坦，亚美尼亚，中国等。

腾讯安全威胁情报中心检测到大量企业遭遇Outlaw僵尸网络攻击。该僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。此次活动已造成国内约2万台Linux服务器感染，影响上万家企业。此次攻击传播的母体文件为dota3.tar.gz，可能为Outlaw的第3个版本，母体文件释放shell脚本启动对应二进制程序，kswapd0负责进行门罗币挖矿，tsm32、tsm64负责继续SSH爆破攻击传播病毒。

国外研究人员最近发现FakeSpy的新活动。FakeSpy是一种信息窃取工具，用于窃取、发送SMS消息，窃取财务数据，读取帐户信息和联系人列表，窃取应用程序数据等。FakeSpy最初针对韩国和日本用户，现在已开始瞄准全世界，尤其是中国，法国，瑞士，德国，英国，美国等国家/地区的用户。活动中FakeSpy主要伪装成邮局SMS消息，引导用户点击消息中的链接，从而下载了伪装成合法的邮政服务应用程序或运输服务的FakeSpy恶意软件。所有最新的FakeSpy版本都包含相同的代码，但有少量更改。安装后，该应用程序会请求权限，以便可以控制SMS消息并窃取设备上的敏感数据，并扩散到目标设备的联系人列表中的其他设备。调查表明，FakeSpy行动的幕后威胁者是一个华语团体，名为"Romaning Mantis"。