NullMixer 是导致各种恶意软件家族感染链的投放程序，它通过恶意网站传播，这些网站主要可以通过搜索引擎找到。这些网站通常与非法下载软件的破解、注册机和激活程序有关，虽然它们可能伪装成合法软件，但实际上包含一个恶意软件投放程序。看起来这些网站正在使用 SEO 来提高其搜索排名，从而在互联网上搜索“crack”和“keygen”时很容易找到它们。当用户尝试从其中一个网站下载软件时，他们会被多次重定向，并最终进入一个包含下载说明和伪装成所需软件的受密码保护的压缩文件恶意软件的页面。当用户提取并执行 NullMixer 时，它会将许多恶意软件文件投放到受感染的计算机上。

Chaos被设计成可在几种架构上工作，包括ARM、英特尔（i386）、MIPS和PowerPC。它同时为Windows、Linux和各种消费设备、小型办公室/家庭办公室（SOHO）路由器和企业服务器量身开发。该恶意软件利用了已知的漏洞，使行为人能够：扫描目标系统，为未来的命令提供资料通过SecureShell（SSH）自动启动横向移动和传播，使用盗窃的或用暴力穷举手段获得的私钥发起DDoS攻击，并启动密码挖掘程序植入恶意软件黑莲花实验室分析师Dehus指出，由于Go语言的灵活性、低反病毒检测率和逆向工程的难度，近年来，用Go语言编写的恶意软件的流行程度急剧上升。

一个名为“NullMixer”的新型恶意软件投放器正在通过谷歌搜索结果中的恶意网站上推广的虚假软件进行破解，同时用十几个不同的恶意软件系列感染 Windows 设备。 NullMixer 充当感染漏斗，使用单个 Windows 可执行文件启动十几个不同的恶意软件系列，导致运行单个设备的两打以上感染。感染范围包括密码窃取木马、后门、间谍软件、银行家、 Windows 系统清理程序、剪贴板劫持者、加密货币矿工，甚至更多的恶意软件加载程序。

据Bleeping Computer网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载，从而进行更隐蔽的攻击。 攻击者使用PPT 文件引诱目标，内容据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。

据Bleeping Computer网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载，从而进行更隐蔽的攻击。攻击者使用PPT 文件引诱目标，内容据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。

作者：威胁情报团队译者：知道创宇404实验室翻译组原文链接：https://blog.cyble.com/2022/09/07/bumblebee-returns-with-new-infection-technique/使用后开发框架交付有效负载在我们的例行威胁搜寻活动中，Cyble Research & Intelligence Labs (CRIL) 发现了一条Twitter帖子，其中一位研究人员提到了一个有趣的 Bumblebee 加载程序恶意软件感染链，该恶意软件通过垃圾邮件活动传播。

 关于SystemInformer SystemInformer是一款功能强大的系统安全检测工具，该工具功能十分强大，不仅可以帮助广大研究人员监控系统资源，而且还支持软件调试和恶意软件检测。

相比之前的一些IoT设备，Shikitega更加隐蔽，总共只有376字节，其中代码占了300字节。那么，这个新型恶意软件究竟是如何感染设备的？利用加壳技术“隐身”具体来说，Shikitega核心是一个很小的ELF文件（Linux系统可执行文件格式）。这个ELF文件加了动态壳，以规避一些安全防护软件的查杀。加壳，指利用特殊算法压缩可执行文件中的资源，但压缩后的文件可以独立运行，且解压过程完全隐蔽，全部在内存中完成。动态壳则是加壳里面更加强力的一种手段。

研究人员发现，扫描工具原本负责清除通过流行的开源代码存储库PyPI分发的软件包所含的恶意代码，实际上却生成大量的误警报。PyPI是面向用Python编写的应用程序中使用的软件组件的主要代码库，Chainguard公司分析PyPI后发现，这种方法只揪出了59%的恶意软件包，但也误标了三分之一流行的合法Python软件包和15%的随机选择的软件包。Chainguard的研究人员在周二的分析报告中表示，研究工作旨在创建一个数据集，以便Python维护人员和PyPI代码库可以用来确定其系统在扫描项目、查找恶意更改和供应链攻击方面的效果。

“Linux是市场上最安全的操作系统”；多年来，这一直是开源平台的最佳卖点之一。然而，与任何有关技术的事物一样，被犯罪分子瞄准只是时间问题。每个操作系统、软件和服务都是如此。在这一点上，说Linux对恶意软件免疫是绝对错误的。可悲的事实是，只要它连接到网络，就容易受到攻击。您使用什么操作系统并不重要——它运行的时间越长，就越有可能成为目标。Linux也不例外。过去几年里，考虑到企业业务需要依赖包括Linux操作系统在内的开源技术谋生，Linux系统被网络犯罪分子盯上也就不足为奇了。事实上，如果大胆预测的话，针对Linux 部署的恶意软件的兴起将在未来十年变得更加惊人。

近日安全研究人员发现，俄罗斯国家政府撑腰的黑客组织Sandworm（“沙虫”）冒充电信提供商，利用恶意软件攻击乌克兰实体。Sandworm是国家政府撑腰的一伙威胁分子，美国政府将其归入为俄罗斯GRU外国军事情报部门的一部分。据信这个高级持续性威胁（APT）黑客组织在今年已发动了多起攻击，包括攻击乌克兰能源基础设施以及部署一个名为“Cyclops Blink”的持续性僵尸网络。从2022年8月开始，私有网络安全公司Recorded Future的研究人员观察到Sandworm指挥和控制（C2）基础设施有所增加，这种基础设施使用伪装成乌克兰电信服务提供商的动态DNS域。

据观察，与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商，以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉，APT 黑客组织在今年发起了多次攻击，包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始，Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。

Bleeping Computer 资讯网站披露，疑似俄罗斯资助的黑客组织 Sandworm（沙虫） 伪装成乌克兰电信提供商，以恶意软件攻击乌克兰实体。沙虫是一个具有国家背景的 APT 组织，美国政府将其归为俄罗斯 GRU 外国军事情报部门的下属分支。据信，该 APT 黑客组织在今年发起了多次网络攻击，其中包括对乌克兰能源基础设施的攻击以及名为“Cyclops Blink”的持久僵尸网络。

响应 NoMoreRansom Initiative 活动号召，罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器，LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现，以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro，导致这家挪威铝制造商停产近一周，损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。

Hackernews 编译，转载请注明出处： 在Conti今年正式退出威胁领域后，包括Quantum和BlackCat在内的勒索软件即服务 (RaaS) 组织现在正在利用Emotet恶意软件。 Emotet于2014年开始作为银行木马，但随着时间的推移，该恶意软件已成为巨大的威胁，它能够将其他有效负载下载到受害者的机器上，从而允许攻击者远程控制它。 尽管与侵入性恶意软件加载程序相关的基础设施在2021年1月作为执法工作的一部分被拆除，但据说Conti勒索软件卡特尔在去年年底发挥了重要作用。

被称为Lazarus集团的多产朝鲜民族国家行为体与一个名为法官。Cisco Talos在与黑客新闻分享的一份报告中称，之前未知的恶意软件被部署在受害者网络中，该网络最初通过成功利用面向互联网的VMware Horizon服务器而被入侵。Talos研究人员Jung soo-An、Asheer Malhotra和Vitor Ventura说：“虽然是一个相对简单的RAT能力，但它是借助Qt框架构建的，唯一的目的是使人类分析更困难，并减少通过机器学习和启发式进行自动检测的可能性”。

原文标题：Jadeite: A novel image-behavior-based approach for Java malware detection using deep learning原文作者：Obaidat I, Sridhar M, Pham K M, et al.原文链接：https://www.sciencedirec

9月15日，卡巴斯基发布了一篇研究报告，表示注意到一种针对游戏作弊玩家的恶意捆绑包，该捆绑包通过YouTube上宣传作弊及破解的视频分享链接下载，内含RedLineStealer信息窃取恶意软件和挖矿木马。而不同寻常的是，该捆绑包能够利用受害者的YouTube账号继续上传作弊及破解视频，从而进行裂变式传播。相关视频涉及的游戏包括全面通缉、穿越火线、DayZ、消逝的光芒、F1® 22、模拟农场、Farthest Frontier、FIFA 22、最终幻想XIV、Forza、乐高星球大战、Osu!等。RedLine窃取器于2020年3月首次被发现，是目前最常见的木马之一。

Bleeping Computer 网站披露，一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法，这些上传的视频中包含了下载破解和作弊器的链接，但是受害者安装的却是能够自我传播的恶意软件包。 据悉，恶意软件捆绑包已经在YouTube视频中广泛传播，其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。 恶意软件RedLine 卡巴斯基在一份报告中指出，研究人员发现一个 RAR 档案中包含了一系列恶意软件，其中最引人注目的是 RedLine，这是目前最大规模传播的信息窃取者之一。

Bleeping Computer 网站披露，一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法，这些上传的视频中包含了下载破解和作弊器的链接，但是受害者安装的却是能够自我传播的恶意软件包。据悉，恶意软件捆绑包已经在YouTube视频中广泛传播，其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。恶意软件RedLine卡巴斯基在一份报告中指出，研究人员发现一个 RAR 档案中包含了一系列恶意软件，其中最引人注目的是 RedLine，这是目前最大规模传播的信息窃取者之一。

近日，卡巴斯基发现一新型恶意软件包利用受害者 YouTube 频道上传恶意视频教程，借助虚假游戏作弊和破解视频，扩散恶意软件包的网络攻击活动。从目前收集到的信息来看，利用YouTube 传播恶意软件包的视频，主要是针对 FIFA、最终幻想、极限竞速地平线、乐高星球大战和蜘蛛侠等游戏的粉丝。这些上传的视频包含下载假破解和作弊的链接，但实际上，它们安装了相同的自我传播恶意软件包，感染了上传者。恶意软件包中，包含了三个恶意可执行文件的批处理文件，分别为“MakiseKurisu.exe”、“download.exe”和“upload.exe”。上述恶意软件均可执行捆绑包的自我传播机制。

安全研究人员发现了新的网络间谍活动，主要针对亚洲的政府实体，以及国有航空航天和国防公司、电信公司和 IT 组织。此活动背后的威胁组织是一个独特的集群，之前与“ShadowPad”RAT（远程访问木马）相关联。在最近的活动中，威胁参与者部署了更加多样化的工具集。根据赛门铁克 Threat Hunter 团队 深入研究该活动的一份报告，情报收集攻击至少从 2021 年初就开始了，并且仍在进行中。当前的活动似乎几乎完全集中在亚洲的政府或公共实体，具体涉及政府首脑/总理办公室、与金融相关的政府机构、政府拥有的航空航天和国防公司、国有电信企业、国有信息技术组织、国有媒体公司等。

作者：Chao Lei, Zhibin Zhang, Cecilia Hu, Aveek Das译者：知道创宇404实验室翻译组原文链接：https://unit42.paloaltonetworks.com/moobot-d-link-devices/执行摘要8月初，Unit 42研究人员发现攻击利用了D-Link（一家专门从事网络和连接产品的公司）制造的设备中的多个漏洞。

众所周知，美国国家宇航局（NASA）的詹姆斯•韦伯太空望远镜自发射以来一直为我们人类提供令人叹为观止的太空图像。凭借其卓越的技术，韦伯太空望远镜可以捕捉到宇宙大爆炸后不久形成的最早期星系的壮观景象。据报道，黑客们也意识到了韦伯望远镜所拍摄图像的受欢迎程度，决定从中牟利。谨防含有恶意软件的图像安全公司Securonix的安全研究人员已发现了一起新的基于Golang编程语言的恶意软件活动，该活动利用来自韦伯太空望远镜的深空图像在受感染的设备上部署恶意软件。

据Security affairs 9月7日消息，AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega，它以端点和物联网设备为目标实施多阶段感染，以达到能够完全控制系统并执行其他恶意活动，包括加密货币挖掘。 Shikitega操作流程 该恶意软件的主要释放器是一个非常小的 ELF 文件，其总大小仅为 370 字节左右，而其实际代码大小约为 300 字节。专家报告称，Shikitega 能够从 C2 服务器下载下一阶段的有效载荷并直接在内存中执行。

新兴跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制（C2）基础设施，这一发展暗示着该组织的运营节奏正在提速。 使用Go编程语言编写的BianLian勒索软件于2022年7月中旬首次被发现，截至9月1日已声称有15个受害组织。 值得注意的是，这一新兴的双重勒索勒索软件家族与同名的Android银行木马没有联系，后者主要针对移动银行和加密货币应用程序窃取敏感信息。

一种名为 Shikitega 的新型Linux 恶意软件，可利用多阶段感染链来针对端点和物联网设备。据Security affairs 9月7日消息，AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega，它以端点和物联网设备为目标实施多阶段感染，以达到能够完全控制系统并执行其他恶意活动，包括加密货币挖掘。Shikitega操作流程该恶意软件的主要释放器是一个非常小的 ELF 文件，其总大小仅为 370 字节左右，而其实际代码大小约为 300 字节。

据外媒网站披露，在新一轮的攻击浪潮中，被称为 “MooBot ” 的 Mirai 恶意软件僵尸网络变种再次出现。它针对易受攻击的 D-Link 路由器，混合使用新旧漏洞，进行网络攻击。去年12月，Fortinet 分析师发现了 MooBot 恶意软件团伙，当时该团伙正在针对某厂商摄像头中存在的一个漏洞实施DDoS 攻击。恶意软件以D-Link 设备为目标进行攻击近期，研究人员发现MooBot 恶意软件更新目标范围，从报告来看，MooBot 目前主要针对 D-Link 路由器设备中存在的几个关键漏洞。

洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击，导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务，并雇用了超过 26000 名教师。 本周一，该学区承认在上周末遭到网络攻击，随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”，不过该学区表示正着手恢复受影响的服务。LAUSD 表示，预计技术问题不会影响交通、食品或课后活动，但指出“业务运营可能会延迟或修改”。 该学区警告说，持续的中断包括“访问电子邮件、计算机系统和应用程序”。

OPSWAT 调查了 17 个行业的 309 个受访者，不具备恶意软件分析能力的只有 3.7%。恶意软件作为一项有代表性的业务能力，确实正在变得越来越普及。48% 的组织拥有“专门的”恶意软件分析能力，58% 的组织具备“基础的”恶意软件分析能力。技术因素尽管具备恶意软件分析能力的组织在变多，但几乎每个（93%）组织都认为自己面临着恶意软件分析领域的巨大挑战，包括自动化程度低、缺乏分析工具与人员、工作流程混乱等问题。组织缺乏自动化恶意软件分析能力是排名榜首的问题，58% 的组织认为这是当前面临的最大挑战。这也说明，很多组织中的恶意软件分析深陷于旷日持久的手动分析中。