Dr.web最近揭露了针对哈萨克斯坦和吉尔吉斯斯坦国家机构的APT攻击活动，涉及的所有设备都运行Windows操作系统。攻击中使用的恶意软件分为两类：安装在网络中大多数计算机上的常见恶意软件和安装在攻击者特别感兴趣的服务器上的自定义恶意软件。攻击者使用名为PlugX和Whitebird的木马进行初始感染。PlugX的有效负载模块使攻击者可以远程控制受感染的计算机，并将其用于横向移动。Whitebird在64位操作系统上运行，并具有通用功能：支持与C＆C服务器以及文件管理器、代理的加密连接，并可以通过命令shell功能进行远程控制。然后，攻击者使用专门的恶意软件来执行任务，包括Misics、XPath、Mirage、Mikroceen、Logtu、CmdUdp。XPath是一种新发现的模块木马，每个模块对应于恶意软件操作的特定阶段，包括安装程序、驱动程序、中间模块、有效负载模块。其可以通过驱动程序安装或利用COM Hijacking启动有效负载。有效负载基于开源项目，可以在客户端模式和代理模式下运行，目的为获得对受感染计算机的未经授权的访问并窃取机密数据。

2020年5月左右，ThreatFabric分析师发现了一种新型的银行恶意软件，称为BlackRock。分析发现木马是基于Xerxes银行木马的变种。木马首次在设备上启动恶意软件时，将首先从应用程序中隐藏其图标，使其对用户不可见。然后要求受害者提供可访问性服务特权。最大的活动中冒充了虚假的Google更新。一旦用户授予了请求的"辅助功能"特权，BlackRock便会为其自身授予其他权限。其可以执行覆盖攻击，发送、垃圾邮件和窃取SMS消息，将受害者锁定在启动器活动(设备的主屏幕)中，窃取和隐藏通知，转移设备上防病毒软件的使用并充当键盘记录程序。并且滥用了Android work profiles 获取管理员权限。BlackRock目标列表中的337个独特应用程序中，有许多应用程序以前从未被观察到成为银行恶意软件的目标。这些新目标大多与金融机构无关，并且被覆盖以窃取信用卡详细信息，涉及社交，通信，生活方式和约会应用程序。

ESET研究人员最近发现一项新的活动，该活动使用恶意的Welcome Chat应用针对安卓用户，该活动与BadPatch恶意软件关联。Welcome Chat是一款功能强大的聊天应用程序，可提供承诺的功能以及隐藏的间谍功能。该间谍软件通过在专门网站进行宣传。用户下载应用后，由于未从Play商店下载应用，因此需要激活"允许从未知来源安装应用"设置。安装后，恶意应用程序将请求受害者允许权限，例如发送和查看SMS消息，访问文件，记录音频以及访问联系人和设备位置。为了能够与此应用程序的其他用户进行通信，该用户需要注册并创建一个个人帐户。收到这些许可后，程序会立即将有关设备的信息发送到其C2，并准备接收命令，其每五分钟与C2服务器联系一次。除了其核心间谍功能–监视其用户的聊天通信，还可以执行以下恶意操作：窃听发送和接收的SMS消息，通话记录历史记录，联系人列表，用户照片，已记录的电话，GPS设备的位置以及设备信息。该恶意软件使用了BadPatch活动相同的C&C服务器，BadPatch活动已被确认与Molerats威胁组织相关。因此研究人员判定本次新型安卓木马同样来自于Molerats。

G Data研究人员发现了一个新的勒索软件Try2Cry，该勒索软件通过 LNK 文件使用 USB 驱动器传播，借鉴了勒索软件Spora的功能，具有与njRAT类似的USB蠕虫组件。 该勒索软件使用DNGuard加密，加密文件带有扩展名.Try2Cry，勒索邮箱为Try2Cry@Indea.info。分析显示，Try2Cry是勒索软件家族"Stupid "的变种。"Stupid "是Github上的一款开源勒索软件。Try2Cry使用Rijndael加密，加密密码是硬编码，通过计算密码的SHA512哈希值，并使用该哈希值的前32位来创建的。IV的创建与密钥几乎相同，使用的是同样的SHA512哈希值的后16位。加密时，设备名称为 `DESKTOP-PQ6NSM4` 与 `IK-PC2` 的机器可以免于加密，这可能是恶意软件开发者的计算机名称，便于在测试时提供保护。蠕虫功能部分使用与 Spora、Dinihou 和 Gamarue 类似的技术。样本搜索可移动设备，将自身的副本 Update.exe 放置在设备的根目录下。设备中的文件都会被隐藏，然后使用相同的图标替换为非隐藏的 Windows 快捷方式。这些快捷方式将会运行隐藏文件 Update.exe 以及原始文件。与 Stupid 勒索软件的其他变种一样，该勒索软是可以解密的。该开发者几乎没有添加额外的功能。

腾讯安全中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用Python打包EXE可执行文件进行攻击，该组织曾在2018年底使用过类似手法。监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约1.5万台服务器。被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿，会给受害企业造成严重生产力损失。

趋势科技研究人员最近发现一个新的Mirai变种（检测为IoT.Linux.MIRAI.VWISI），该变种利用了9个漏洞(包括CVE-2018-17173、CVE-2020-10173等)，此活动中使用的九个漏洞会影响IP摄像机，智能电视和路由器等的特定版本。Comtrend VR-3033路由器中的CVE-2020-10173。CVE-2020-10173是一个多重身份验证命令注入漏洞，远程恶意攻击者可以利用此漏洞来破坏路由器管理的网络。Mirai变体使用Telnet和Secure Shell(SSH)进行暴力破解攻击。并使用典型的XOR加密(带有XOR密钥：0x04)来隐藏用于攻击易受攻击的设备的凭据。 该变体利用的其余漏洞如下： Linksys E-series(远程代码执行):https://www.exploit-db.com/exploits/31683 LG SuperSign EZ CMS 2.5(远程代码执行):https://www.exploit-db.com/exploits/45448 Netlink GPON Router 1.0.11 RCE:https://www.exploit-db.com/exploits/48225 AVTECH IP 摄像机/NVR/DVR设备(多个漏洞):https://www.exploit-db.com/exploits/40500 D-Link设备(UPnP SOAP命令执行):https://www.exploit-db.com/exploits/27044 MVPower DVR TV-7104HE 1.8.4 115215B9(Shell命令执行):https://www.exploit-db.com/exploits/41471 Symantec Web Gateway 5.0.2.8(远程执行代码):https://packetstormsecurity.com/files/157175/Symantec-Web-Gateway-5.0.2.8-Remote-Code-Execution.html ThinkPHP 5.0.23/5.1.31(远程执行代码):https://www.exploit-db.com/exploits/45978

Bitdefender的研究人员发现了一种使用复杂技术、战术和程序来传送恶意有效载荷的攻击。在许多情况下，执行是从最新的SQL server进程开始的，这些进程没有任何已知的零日漏洞。使用的恶意有效负载是Kingminer的变种，这是一个2018年的僵尸网络，以向受害机器提供加密货币挖掘工具而闻名。但在这次新的活动中，攻击者通过Powershell和Mshta，采用了更高级的无文件执行方式，与过去相比，更多地侧重于防御规避。在此活动中，自定义的Kingminer加密劫持程序伪装成控制面板项(.cpl)，以进一步减少被发现的机率。主要有以下发现：通过强制帐户从SQL Server进程进行初始访问；利用永恒之蓝漏洞(CVE-2017-0144)初始执行；使用DGA(域生成算法)规避黑名单；使用Mimikatz和PowerSploit等工具；bots无文件执行；有效负载XMRig，Kingminer。

近期，研究人员发现黑客试图勒索23,000个MongoDB数据库并威胁要与GDPR当局联系，这些数据库几乎占据所有在线暴露的MongoDB数据库的47％。黑客使用自动脚本扫描大量配置错误或默认配置的MongoDB数据库，登录成功后会创建名为hacked_by_unistellar的新数据库，并在随后删除。接下来会对数据进行加密，并删除原始数据库，最后创建READ_ME_TO_RECOVER_YOUR_DATA库，并在其中留下名为README的详细勒索信息说明。攻击者要求支付0.015比特币（约合140美元）的赎金到钱包地址1DiskiHEtnDV3ixjHLchpiJFxVo8dQfy1q，并宣称将给公司两天的时间支付赎金，如未按期支付将公开其数据，并向当地的通用数据保护条例（GDPR）执法机构报告其数据泄漏。

Trustwave SpiderLabs发现了一种针对在中国开展业务的公司的新威胁。受害公司需要安装能够在当地缴税的软件，该软件绑定了一个后门，可以对受害者系统进行完全的远程命令和控制，实现任意远程执行代码和远程shell。研究人员将这个恶意软件家族命名为 "GoldenSpy"，同时发现了这个后门的几个变种。隐藏的GoldenSpy后门(svm.exe)是在Aisino智能税务软件安装完成两小时后秘密下载的，随后与GoldenSpy的分发网站建立连接。Svm.exe会收集基本系统信息，并不断向远程服务器进行更新，同时可以实现远程执行任意代码。追溯发现该恶意软件于2020年4月开始活跃，相关域名如ningzhidata[.]com，首次交付当前版本的GoldenSpy，于2019年9月22日注册。

2020年5月，奇安信病毒响应中心移动安全团队在日常的威胁分析运营过程中发现一款Android平台的恶意SDK插件，联合安天移动安全团队和其他安全研究机构进行深入分析拓展，确认SDK具有收集用户隐私信息和下载执行更多恶意插件的能力。对影响面的分析显示这款恶意SDK插件被市面上数百款Android应用集成，结合恶意SDK后续插件下载量以及奇安信威胁雷达遥测数据分析估算至少有200万台以上的独立Android终端设备安装了带有该恶意SDK插件的应用。基于该恶意SDK的行为特点以及溯源到的幕后组织信息，我们将其命名为“道贼”。 基于奇安信威胁情报中心大数据平台监测，“道贼”SDK自2019年7月开始被投入使用，持续至今累计至少感染数百万级移动终端用户。“道贼”SDK内的恶意代码通过直接的内嵌插包或间接的动态加载运行，运行后会上传用户安装的应用列表及手机固件等隐私信息，并从服务器下载执行由攻击者指定的插件，给用户设备造成巨大的现实隐私泄露风险和潜在的进一步恶意活动的安全威胁。通过分析该恶意SDK幕后组织的业务范围，并结合插件盗取用户隐私信息的特点来看，“道贼”SDK的最终目标是为了帮助幕后组织通过恶意互联网营销以牟取丰厚的黑灰色收入。为防止威胁进一步扩散，奇安信病毒响应中心对该移动安全事件进行分析和披露。