1.双尾蝎组织利用选举话题对巴勒斯坦展开攻击活动

发布时间：2021年3月25日

事件来源：

https://mp.weixin.qq.com/s/Y6lPTN4bqiM2qaRYDP2PWA

事件摘要:

双尾蝎（APT-C-23）组织至少2016年5月起活跃至今，长期对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的持续性攻击，背后攻击者疑似具备中东背景。攻击活动涉及 Windows 与 Android 平台，投递的诱饵主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件，通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。

近期国内安全研究人员发现多起双尾蝎利用选举话题针对巴勒斯坦国的攻击活动，分析有如下特点：

攻击活动以“总统和领导层在选举中的立场以及有关法令的建议”和“开幕式和选举权”等选举相关时事热点为话题，对目标受害者进行鱼叉式钓鱼攻击。

捕获到的 Windows 平台样本包含 VC 和 Delphi 开发的两种后门（Delephi 版本后门也称 Micropsia），其中 VC 版本后门已迭代更新到 8.0 版本，两种后门具备的功能和早期版本相比指令趋向于精简化。这让攻击更加隐蔽，攻击者会挑选特定感兴趣的目标然后下发后续攻击载荷。

威胁事件

1.多款商业木马正通过钓鱼邮件传播

发布时间：2021年3月22日

事件来源：

https://mp.weixin.qq.com/s/h8F_v4isUTcxY_i_0Uz08w

事件摘要：

国内安全研究人员在日常样本运营中观察到多款商业木马正在通过钓鱼邮件广泛传播，包括RemcosRAT、AgentTesla、SnakeKeylogger、AsyncRAT、Nanocore等等。

商业木马主要由钓鱼邮件进行传播，邮件内容通常为热点话题或人们感兴趣的内容，邮件附件通常为带有恶意宏代码的office文档文件或漏洞利用的文档文件。邮件附件被受害者执行之后，通常会层层解密从攻击者的服务器下载后续，最终加载执行木马主体文件，实现对用户设备的远程控制或信息窃取。

2.腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击

发布时间：2021年3月25日

事件来源：

https://mp.weixin.qq.com/s/pGscE_KM2a823RH-b6AKeA

事件摘要：

腾讯安全威胁情报中心检测到nasapaul僵尸网络通过SSH爆破攻击云服务器，该僵尸网络疑似由罗马尼亚黑客Paul控制，根据其挖矿钱包收入估算，被控肉鸡服务器数量超3万台。该僵尸网络除控制肉鸡挖矿之外，还会收集敏感信息、利用肉鸡系统进行DDoS攻击，具备扫描爆破横向扩散的能力。腾讯安全专家建议政企客户高度重视SSH登录弱口令风险，及时纠正，防止受害。

3.仿软件、劫网站、插广告、窃隐私，还有什么是他不敢干的？

发布时间：2021年3月24日

事件来源：

https://mp.weixin.qq.com/s/Ifn373Tdbx4-97q95sGsJQ

事件摘要：

有网友反馈，在访问网站时被强行插入广告，且部分无法关闭。经分析发现，是一些浏览器恶意扩展在正常访问的网站中强插广告导致，进一步溯源发现，这些浏览器扩展来源主要是搜索推广的恶意下载器软件携带安装的。

国内安全研究人员对这些下载器分析，发现恶意下载器仿冒了超过3500款软件，涵盖办公、行业、设计、媒体等常见类型，其在启动后会静默向浏览器安装恶意扩展，该扩展通过云控在用户访问的其它网站中插入广告、劫持电商、导航、私服等超过6000个网站，此外扩展还会收集用户的上网数据甚至会收集用户在360论坛、QQ电脑管家论坛的发贴反馈情况；所有劫持规则均通过云端下发并使用AES、DES进行加密。