趋势科技研究人员最近发现一个新的Mirai变种（检测为IoT.Linux.MIRAI.VWISI），该变种利用了9个漏洞(包括CVE-2018-17173、CVE-2020-10173等)，此活动中使用的九个漏洞会影响IP摄像机，智能电视和路由器等的特定版本。Comtrend VR-3033路由器中的CVE-2020-10173。CVE-2020-10173是一个多重身份验证命令注入漏洞，远程恶意攻击者可以利用此漏洞来破坏路由器管理的网络。Mirai变体使用Telnet和Secure Shell(SSH)进行暴力破解攻击。并使用典型的XOR加密(带有XOR密钥：0x04)来隐藏用于攻击易受攻击的设备的凭据。 该变体利用的其余漏洞如下： Linksys E-series(远程代码执行):https://www.exploit-db.com/exploits/31683 LG SuperSign EZ CMS 2.5(远程代码执行):https://www.exploit-db.com/exploits/45448 Netlink GPON Router 1.0.11 RCE:https://www.exploit-db.com/exploits/48225 AVTECH IP 摄像机/NVR/DVR设备(多个漏洞):https://www.exploit-db.com/exploits/40500 D-Link设备(UPnP SOAP命令执行):https://www.exploit-db.com/exploits/27044 MVPower DVR TV-7104HE 1.8.4 115215B9(Shell命令执行):https://www.exploit-db.com/exploits/41471 Symantec Web Gateway 5.0.2.8(远程执行代码):https://packetstormsecurity.com/files/157175/Symantec-Web-Gateway-5.0.2.8-Remote-Code-Execution.html ThinkPHP 5.0.23/5.1.31(远程执行代码):https://www.exploit-db.com/exploits/45978

Bitdefender的研究人员发现了一种使用复杂技术、战术和程序来传送恶意有效载荷的攻击。在许多情况下，执行是从最新的SQL server进程开始的，这些进程没有任何已知的零日漏洞。使用的恶意有效负载是Kingminer的变种，这是一个2018年的僵尸网络，以向受害机器提供加密货币挖掘工具而闻名。但在这次新的活动中，攻击者通过Powershell和Mshta，采用了更高级的无文件执行方式，与过去相比，更多地侧重于防御规避。在此活动中，自定义的Kingminer加密劫持程序伪装成控制面板项(.cpl)，以进一步减少被发现的机率。主要有以下发现：通过强制帐户从SQL Server进程进行初始访问；利用永恒之蓝漏洞(CVE-2017-0144)初始执行；使用DGA(域生成算法)规避黑名单；使用Mimikatz和PowerSploit等工具；bots无文件执行；有效负载XMRig，Kingminer。

近期，研究人员发现黑客试图勒索23,000个MongoDB数据库并威胁要与GDPR当局联系，这些数据库几乎占据所有在线暴露的MongoDB数据库的47％。黑客使用自动脚本扫描大量配置错误或默认配置的MongoDB数据库，登录成功后会创建名为hacked_by_unistellar的新数据库，并在随后删除。接下来会对数据进行加密，并删除原始数据库，最后创建READ_ME_TO_RECOVER_YOUR_DATA库，并在其中留下名为README的详细勒索信息说明。攻击者要求支付0.015比特币（约合140美元）的赎金到钱包地址1DiskiHEtnDV3ixjHLchpiJFxVo8dQfy1q，并宣称将给公司两天的时间支付赎金，如未按期支付将公开其数据，并向当地的通用数据保护条例（GDPR）执法机构报告其数据泄漏。

Trustwave SpiderLabs发现了一种针对在中国开展业务的公司的新威胁。受害公司需要安装能够在当地缴税的软件，该软件绑定了一个后门，可以对受害者系统进行完全的远程命令和控制，实现任意远程执行代码和远程shell。研究人员将这个恶意软件家族命名为 "GoldenSpy"，同时发现了这个后门的几个变种。隐藏的GoldenSpy后门(svm.exe)是在Aisino智能税务软件安装完成两小时后秘密下载的，随后与GoldenSpy的分发网站建立连接。Svm.exe会收集基本系统信息，并不断向远程服务器进行更新，同时可以实现远程执行任意代码。追溯发现该恶意软件于2020年4月开始活跃，相关域名如ningzhidata[.]com，首次交付当前版本的GoldenSpy，于2019年9月22日注册。

2020年5月，奇安信病毒响应中心移动安全团队在日常的威胁分析运营过程中发现一款Android平台的恶意SDK插件，联合安天移动安全团队和其他安全研究机构进行深入分析拓展，确认SDK具有收集用户隐私信息和下载执行更多恶意插件的能力。对影响面的分析显示这款恶意SDK插件被市面上数百款Android应用集成，结合恶意SDK后续插件下载量以及奇安信威胁雷达遥测数据分析估算至少有200万台以上的独立Android终端设备安装了带有该恶意SDK插件的应用。基于该恶意SDK的行为特点以及溯源到的幕后组织信息，我们将其命名为“道贼”。 基于奇安信威胁情报中心大数据平台监测，“道贼”SDK自2019年7月开始被投入使用，持续至今累计至少感染数百万级移动终端用户。“道贼”SDK内的恶意代码通过直接的内嵌插包或间接的动态加载运行，运行后会上传用户安装的应用列表及手机固件等隐私信息，并从服务器下载执行由攻击者指定的插件，给用户设备造成巨大的现实隐私泄露风险和潜在的进一步恶意活动的安全威胁。通过分析该恶意SDK幕后组织的业务范围，并结合插件盗取用户隐私信息的特点来看，“道贼”SDK的最终目标是为了帮助幕后组织通过恶意互联网营销以牟取丰厚的黑灰色收入。为防止威胁进一步扩散，奇安信病毒响应中心对该移动安全事件进行分析和披露。

研究人员最近发现Mykings僵尸网络使用了一个新的ftp类型的投递站点，该站点位于185.26.112[.]217上。同时发现，该服务器还用于分发一些更新的组件。僵尸网络的主要组件之一是WinRAR SFX(自解压可执行文件)，其负责分发主要的安装程序脚本c3.bat。最高级别的dropper程序会更新bootkit配置，而内部层则包含cryptominer组件的配置更新。配置文件使用单字节XOR编码，解密后的内容将显示更新的下载服务器列表。同时Mykings对EternalBlue模块进行了少量更改，bot执行一个有效负载下载器脚本。除此外，攻击者现在将使用的脚本托管在img.vim-cn.com上，而不是托管在自己的服务器上，img.vim-cn.com是匿名图像托管服务网站。感染地区主要为俄罗斯，乌克兰，哈萨克斯坦，亚美尼亚，中国等。

腾讯安全威胁情报中心检测到大量企业遭遇Outlaw僵尸网络攻击。该僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。此次活动已造成国内约2万台Linux服务器感染，影响上万家企业。此次攻击传播的母体文件为dota3.tar.gz，可能为Outlaw的第3个版本，母体文件释放shell脚本启动对应二进制程序，kswapd0负责进行门罗币挖矿，tsm32、tsm64负责继续SSH爆破攻击传播病毒。

国外研究人员最近发现FakeSpy的新活动。FakeSpy是一种信息窃取工具，用于窃取、发送SMS消息，窃取财务数据，读取帐户信息和联系人列表，窃取应用程序数据等。FakeSpy最初针对韩国和日本用户，现在已开始瞄准全世界，尤其是中国，法国，瑞士，德国，英国，美国等国家/地区的用户。活动中FakeSpy主要伪装成邮局SMS消息，引导用户点击消息中的链接，从而下载了伪装成合法的邮政服务应用程序或运输服务的FakeSpy恶意软件。所有最新的FakeSpy版本都包含相同的代码，但有少量更改。安装后，该应用程序会请求权限，以便可以控制SMS消息并窃取设备上的敏感数据，并扩散到目标设备的联系人列表中的其他设备。调查表明，FakeSpy行动的幕后威胁者是一个华语团体，名为"Romaning Mantis"。

Sophos研究人员发现Glupteba恶意软件变种，其通过"永恒之蓝"漏洞传播，并下载其他有效载荷。新变体使用比特币区块链作为通信渠道来接收更新的配置信息。其包括以下组件：通信代理组件cloudnet.exe，所有网络通信都通过这个组件代理；Ws2_32.dll用于网络通信，其通过访问Google.com和yandex.ru来测试是否与互联网连接；看门狗组件windefender.exe，这个模块作为服务运行，主要目的是跟踪主dropper，以便在出现任何问题时重新启动，此组件可以修改自己服务的访问控制列表(ACL)值；MikroTik RouterOS开发组件winboxscan.exe负责设置SOCKS代理；域名服务器缓存污染组件routerdns.exe和d2.exe；浏览器信息窃取组件vc.exe，其通过定位配置文件目录和SQL查询从谷歌、Opera、Yandex和Firefox浏览器中提取密码、cookie和名称；矿工组件wup.exe和wupv.exe(均为xmrig矿工)。恶意软件的目标是在线游戏社区。

卡巴斯基研究人员发现恶意软件Rovnix Bootkit正在重新活跃，通过邮件SFX 附件分发。分析显示，恶意样本加载到内存中的PE的代码包含许多部分，与已知的Rovnix Bootkit及其模块非常相似，其源代码在2013年泄漏。借助Windows API，该恶意软件会创建目录C：\ Windows \ System32（Windows之后有空格），然后向该地址复制一个合法的，已签名的可执行文件，该文件可自动提升特权而不显示UAC请求（如wusa.exe）。同时，该恶意软件还使用了DLL劫持技术，在没有UAC请求的情况下从假目录运行合法文件，并加载名为wtsapi.dll的恶意库。之后，该恶意软件会创建并运行一系列BAT文件，这些文件从伪目录中启动wusa.exe，然后通过删除创建的目录和恶意可执行程序来隐藏自身。