Portal服务中存在反序列化漏洞，未授权的攻击者可利用该漏洞在EPM服务器中远程执行任意代码，进而进行内网横向移动或勒索攻击。影响范围目前受影响的Ivanti

Server网络访问权限的恶意攻击者可以通过发送精心设计的网络数据包来触发此漏洞。攻击者利用该漏洞可执行任意代码，导致服务器失陷。影响范围目前受影响的VMware-vCenter版本：VMware

漏洞补丁。千里目安全技术中心在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况，初步估计微软在今年十月份公布的漏洞数将比今年九月份多。漏洞数量将会维持在90个左右。

漏洞补丁。千里目安全技术中心在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况，初步估计微软在今年八月份公布的漏洞数将比今年七月份少。漏洞数量将会维持在80个左右。

bytes文件类型DLL文件功能Loader编译时间/开发平台及语言/是否加壳VMProtectVT首次上传时间2024-03-28

2023年，是网络安全领域瞬息万变的一年。各种大模型被应用于网络攻击与对抗中，带来了新的攻防场景和安全威胁。勒索团伙更是利用多个漏洞对企业数据和财产安全构成严重威胁，数据安全问题频繁出现，个人信息的泄露备受关注。同时，境外网络攻击势力也持续刺探，APT攻击技术不断更新......

恶意文件名称：TellYouThePass威胁类型：勒索病毒简单描述：TellYouThePass是一种商品级勒索软件，于2019年出现。该家族习惯在高危漏洞被披露后的短时间内利用漏洞修补的时间差，对暴露于网络上并存在有漏洞的机器发起攻击。事件描述最近，XDR安全运营及时发现并拦截了一起新的TellYouThePass勒索攻击事件，深盾终端实验室也迅速进行了相关分析。经分析发现，攻击者利用漏洞进入系统，使用无文件的方式投递多种载荷，包括提权模块和EDR致盲模块。通过检查样本中提取的比特币钱包交易记录，发现在3月20日和21日可能有两名受害者向“tellyouthepass”团伙支付了赎金。技术分析攻击流程分析攻击者通过自动化的漏洞利用工具，扫描是否存在可以被利用的外部服务，通过漏洞执行外部恶意脚本，通过反射加载核心模块。该模块集成了多种开源提权模块，和EDR致盲项目。所有的模块通过反射加载或内存注入的方式进行。

강의안-100불남(2차)________________________________________________________________.pdf.lnk文件大小1104286

2017年，黑客入侵Avast服务器，在CCleaner更新中植入恶意代码，被数百万用户下载。2017年，M.E.Doc遭黑客攻击，篡改更新植入NotPetya，影响全球公司。2020年，黑客入侵SolarWinds服务器，植入恶意代码影响客户敏感信息，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。...以上事件，均由黑客发起的供应链攻击引发。供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节，通过植入恶意代码或篡改产品，从而影响最终用户的安全的一种攻击手段。当今世界依赖于数字网络连接，个人和企业都通过网络进行交流。攻击者可以通过攻击目标公司使用的第三方服务提供商，利用其服务或软硬件作为入口点进入目标网络。然后，通过供应链将风险扩大到其他企业和用户，造成巨大的影响。概述2023年4月，深信服安全运营中心（MSS）安服应急响应团队和深信服深瞻情报实验室发现了一起供应链投毒攻击事件，目标是PHP/JAVA部署工具OneinStack。同月，深瞻情报实验室还发现LNMP供应链投毒事件，随后在9月和10月又发现两起供应链投毒事件，分别涉及LNMP和Oneinstack。根据该团伙常用C2服务器特征，高度怀疑这四起供应链投毒事件均出自一个黑产团伙之手。经过关联分析，深信服深瞻情报实验室发现四起事件的TTPs存在高度一致性，且溯源分析发现该团伙使用了多个以amdc6766.net结尾的域名实施恶意活动，包括供应链投毒攻击以及动态链接库远控后门。

概述BITTER组织，又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”，常对南亚周边及孟加拉湾海域的相关国家发起网络攻击，主要针对政府（外交、国防）、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击。该组织在在2021到2023年一直保持活跃的状态。其常用打点技巧为鱼叉攻击，向目标投递带lnk与chm恶意附件的邮件，在2023年中开始我们发现该组织开始投递国内相关文档办公软件制作的恶意ppt文档，相关恶意文档如下。另外在最近发现的攻击活动中，发现其新增了一个攻击目标蒙古，主要针对其外交部门进行攻击。其投递的恶意文档，诱导目标执行该文件创建恶意计划任务下载第二阶段载荷，该攻击手法没有发生较大变化。在最新的攻击行动中，其通过在ppt中插入图片，设置图片“鼠标单击”与“鼠标悬停”等动作启动cmd命令创建恶意任务计划“AudioDg”。国产办公软件会解析命令中的html标签并弹出攻击者制作的诱导性文字，引导目标执行该恶意动作，而该恶意文档在office2016以上并不能成功利用和执行。除了上述伪装的恶意文档之外，还发现该组织正尝试使用最近披露的winrar漏洞CVE-2023-38831进行鱼叉攻击，不过其构造的压缩包有问题并不能成功触发。样本分析其使用的疑似winrar漏洞CVE-2023-38831文件详细信息如下表。描述详细信息名称Invitation_letter

概述近期，深信服深瞻情报实验室监测到APT组织对巴基斯坦政府单位的最新攻击动态，经分析研判后，将该样本归因为响尾蛇组织发起的攻击。响尾蛇组织，

概述近期，深信服深瞻情报实验室监测到Ducktail组织对市场营销从业者的最新攻击动态。Ducktail组织在2021年被首次发现，目前该组织已经将重点从针对具有管理或财务权限的特定员工转移到更广泛的受众，通过将恶意ZIP压缩包托管在文件共享平台上，恶意程序伪装成office、pdf等文档文件，或者图片、视频、安装包等文件，当恶意文件执行时会窃取浏览器中的cookies信息，根据Facebook的cookies信息劫持BM（商务管理平台）来分发攻击者的广告，最后通过Telegram传输窃取的数据。攻击者可以利用劫持的广告账户下发虚假广告或者挂载恶意软件下载链接，损害受害者个人或者企业的名誉和公信力，造成经济损失。近期我们捕获到的Ducktail钓鱼压缩包的文件名，以及压缩包中的诱饵文件，与市场营销（虚假广告宣传）相关，在视频图片文件里面穿插伪装成文档的可执行文件，诱导用户执行恶意文件，最终导致账号数据泄露。压缩包名称如“PROJECT

背景ScarCruft，又名Group123、InkySquid、Operation

自2023年年初，深信服深瞻情报实验室监测到大量来自南亚地区的APT组织针对我国科研院所开展定向窃密攻击，其中航空航天领域成为其攻击核心，国内有关科研单位和高校相继受到攻击。通过深度参与事件调查，我们逐渐可以揭示出本轮攻击的模式与特征，以及潜藏在攻击活动背后的野心。01航空航天领域高速发展引来知识产权窃密风险我国的航空航天事业自新中国成立以来就始终保持着高速发展的态势。近年来随着C919大飞机、天宫空间站、歼-20、神舟十六号载人航天等项目的顺利运行,我国在航空航天技术领域取得巨大突破，逐渐走在了世界前沿。然而高速发展带来的不止是荣誉，也伴随着一些负面问题，在竞争激烈的时代，窃取知识产权成为一种较低成本的快速追赶手段。基于此，源自南亚地区的SideWinder（响尾蛇）、Bitter（蔓灵花）、Patchwork（白象）、Donot（肚脑虫）、CNC等APT组织闻风而动，开始在网络空间大肆活跃。为获取政策情报、军事秘密、科研进展、知识产权等数据，上述组织近年来持续对我国及南亚部分国家开展攻击，攻击范围包括政府部门、国防军工单位、科研院所等。西工大遭受网络攻击以来，科研院所一直是APT攻击的重要目标，据监测，2023上半年受攻击的相关单位至少包括5所高级院校以及1所高级科研单位。其中最引人注意的是CNC组织针对某学校的攻击事件。此次攻击自23年1月起筹划，定向针对某重点实验室实施窃密攻击。据历史披露，CNC组织2021年6月，就曾在我国神舟十二号载人飞船成功点火升空，与天和号核心舱对接之际，针对我国航空航天领域相关单位发起集中攻击。02本轮攻击的模式与特征伪装境外学术期刊钓鱼历年来我们对印度APT组织的印象是广泛使用钓鱼邮件作为攻击入口，这些钓鱼邮件通常会蹭当下社会新闻热点，例如疫情话题，招聘话题等。而在近期CNC组织针对某学校的攻击活动中，攻击者结合目标的特点，使用了更加定向的投递方式，即仅向近期即将发表论文的作者发送“论文校对”或“论文确认”邮件，邮件内容除链接外，均与真实邮件完全相同。该特征在不同目标中多次出现，具有稳定性，攻击成功率极高。具体来说，推测攻击者首先通过其他渠道，获得多个研究人员个人邮箱，监控其中的论文投递情况，当出现近期投递的论文，攻击者在适当的时间，模拟期刊方，仅向几位文章作者发送“论文校对”邮件，邮件包含该论文的编号、投递时间、在线发表地址等信息。由于论文作者都密切关注其论文投递后的状态变更，且发件人刻意模仿期刊方，文章编号等这类保密信息真实，作者通常会无防备的点击该邮件中的链接，如下图红框所示，哪怕恶意超链接以明文形式展示，也会有受害者点击。同时，由于发送的校对邮件极真实，不排除国际上多个航空航天相关期刊的邮箱也遭到窃取，攻击者从此处获得某期刊论文校对邮件模板。在CNC组织针对另一学校的攻击中，我们看到以“论文确认”为主题的钓鱼邮件，该论文同样为受害者近期在投的文章。调查中，由于攻击者配置错误，我们在攻击者托管下阶段恶意样本分发的服务器中看到了其他期刊的相关载荷，如下表，充分印证了攻击者正积极采用这种手法进行攻击。名称组织组织网站Journalx_kjdb科技导报kjdb.orgaippublishing美国物理联合会出版社publishing.aip.orgaipscitation美国物理联合会出版社publishing.aip.orgapcats2023航空航天技术与科学亚太会议apcats2023.orgeg2.novatechsetNova

Transfer对用户输入控制不当，攻击者可利用该漏洞在未授权的情况，构造恶意数据执行SQL注入攻击，最终造成服务器敏感性信息泄露，命令执行等。影响范围目前受影响的MOVEit

漏洞名称：Openfire身份认证绕过漏洞(CVE-2023-32315)组件名称：Openfire影响范围：3.10.0

https://twitter.com/JVPv5sIM3eFmGyi/status/166453559633185996811

概述近期，深信服深瞻情报实验室监测到Patchwork组织的最新攻击动态。Patchwork组织，

2023年5月10日（北京时间），微软发布了安全更新，共发布了49个CVE的补丁程序，同比上月减少了51个。在漏洞安全等级方面，存在7个标记等级为“Critical”的漏洞，32个漏洞被标记为“Important/High”；在漏洞类型方面，主要有21个远程代码执行漏洞，10个权限提升漏洞以及8个信息泄露漏洞。漏洞分析2023年漏洞数量趋势图

概述近期，深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态，并结合深信服创新研究院混动图AI模型分析，将该样本归因为Patchwork组织发起的攻击。Patchwork组织，

概述近期，深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态，将该样本归因为CNC组织发起的攻击，并结合深信服创新研究院混动图AI模型分析，验证了此次归因结论。自去年西工大事件之后，国内科研机构越来越成为境外APT组织关注的目标。据监测，自2023年1月至今，CNC组织频繁地针对国内多个教育、科研机构进行窃密攻击。此外，该组织攻击活动也被发现出现在巴基斯坦某大学，并首次出现在菲律宾、印度尼西亚等南亚国家。根据目前已知情况，CNC组织最早于2019年被披露，经常使用鱼叉式钓鱼邮件，针对国内军工、教育、科研机构及航空航天等行业进行攻击，窃取该类单位的高新技术研究资料或规划信息等。该组织疑似与南亚APT组织Patchwork（摩诃草、白象）存在一定关联。分析在本次攻击活动中，我们观察到其使用的组件伪装为图片查看器，其详细信息如下表，通过确认该组件与曾披露过的“摆渡木马”功能相似。运行初始化预解密，解密出C2地址“https://146.59.223.210/”。获取目标机器用户名信息。拷贝可疑的伪造png后缀文件以及获取自身模块名称，并尝试连接白域名“https://www.163.com”进行网络测试以便后续的网络通信。检测其是否存在于“appdata\\roming”路径下。获取磁盘名称字符串，不断检测是否存在新设备接入，如果检测到新设备，将当前文件复制到新设备，并且检测是否联网，当网络通畅时将“-oneid”拼接到主机名后，当无网络连接时将“-lastid”拼接到主机名后。并于当前执行目录读取资源数据创建PNG文件“私人图像.png”并打开。打开的图片内容为“中秋快乐”（该文件编译时间为2023年3月份，与图片内容的中秋节存在差异，疑似为攻击者粗心遗留）接着判断是否存在“%appdata%\imagedrvhost.exe，当存在时跳过所有操作结束流程。当不存在时判断是否存在网络连接，当存在网络连接时开始与C2进行通信。”拼接域名“githubusercontent.com”，并获取目标伪造文件名称。拼接出路径名称“%appdata%\\SangSupport.exe”。拼接通信C2地址“https://146.59.223.210/solution-basic/gecko/SangSupport”。最终向上述C2进行通信，下载第二阶段载荷至“%temp%\\SangSupport”，将下载载荷复制到“%appdata%\\SangSupport.exe”，并删除temp目录下载的第二阶段载荷“%temp%\\SangSupport”。创建任务计划“SangSupportApp”并伪造目标为国内企业相关文件信息以执行第二阶段载荷后续通过WTSEnumerateProcessesW枚举系统进程信息。将窃取的进程信息使用base64编码，通过“

Framework身份认证绕过漏洞攻击信息。2023/3/22深信服千里目安全技术中心发布漏洞通告。点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

对用户的访问控制校验不当导致，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程命令执行攻击，最终可以在服务器上执行任意命令。影响范围目前受影响的

Reactor进行多次混淆，运行时可以窃取主机信息和数十款浏览器的敏感信息、FTP账号密码等数据。恶意文件分析恶意事件描述近日，深信服深盾终端实验室在运营工作中捕获到一款新型信息窃取病毒，该病毒由

官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://github.com/apache/dubbo/releases深信服解决方案1.风险资产发现支持对

团伙打算持续运营该版本，不断更新完善。2、配置文件样本运行时会在本机生成一个加密存储的配置文件，与友商发现的版本不同的是，该样本的文件名由".walk.lod"变为”.walk”

组件中的RTF解析器在解析字体表的时候存在堆损坏漏洞。攻击者可以通过社会工程说服受害者打开精心制作的恶意文件来触发此漏洞，在成功利用的情况下可能造成远程代码执行。影响范围Microsoft

概述供应链攻击技术是APT攻击组织常用的攻击技术之一，也是最近一些年APT攻击组织使用最多的攻击方式之一，主要针对特定的企业和用户进行定向攻击活动，供应链攻击方式多种多样，软件供应链攻击是供应链攻击当中比较主流的一种攻击方式，基于软件源代码、开源软件第三方包和软件开发工具相关等攻击都是软件供应链攻击。基于软件源代码的攻击方式，APT攻击组织攻陷软件供应商之后，然后将恶意代码直接嵌入到软件供应商的软件代码当中，然后通过软件供应商将包含有恶意代码的软件分发给该软件供应商的企业客户，导致所有使用该软件的企业客户全部中招，这种供应链攻击方式非常隐蔽，也是危害最大的一种攻击方式，此前SolarWinds供应链攻击事件就是一种基于软件源代码的攻击方式。基于开源软件第三方包的攻击方式，APT攻击组织利用PyPI、NPM等第三方包进行供应链攻击，这种攻击方式可以定向攻击一些大型企业的开发人员，再通过窃取这些开发人员的登录凭证等信息之后，进行后续的渗透攻击活动，渗透到企业内网，进行更隐蔽的APT攻击活动。基于软件开发工具相关的攻击方式，APT攻击组织利用伪造的包含恶意软件的软件开发工具或者被感染了恶意代码的软件开发工具的工程项目文件，诱骗企业开发人员安装或使用这些软件开发工具和工程项目文件，安装木马后门进行下一步的攻击活动，Lazarus

扫描白名单并创建计划任务，之后执行窃密操作。恶意事件分析通过进程执行链可以发现该样本是通过钓鱼邮件投递，受害者解压之后执行。该样本是一个

“https://docs.az-link.email/Dovlet_Proqram13062022.rar”分析在本次攻击活动中，我们还发现其构建了使用telebot通信的木马文件

远程代码执行漏洞组件名称：Smartbi影响范围：V7

时刻的舞台。年度最强战队、年度突出贡献团队团队总积分前三年度TOP安全技术专家个人总积分前三众测战神、热血萌新2022年度众测累计积分第一、新注册白帽中积分第一湾区SRC五四青年节众测启航计划

安全实验室开发并维护，该工具允许红队快速开发和利用自定义的命令和控制通道，同时提供与现有攻击工具包的集成，可极大的提高

注入利用条件：1、用户认证：不需要用户认证2、前置条件：默认配置3、触发方式：远程综合评价：：未知。：高危，能造成数据库敏感信息泄露。官方解决方案：已发布漏洞分析组件介绍泛微

深信服千里目安全实验室发布微软漏洞通告。2023/2/18深信服千里目安全实验室发布Exchange多个漏洞通告。点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

用于阻止不受信任或恶意文件的宏策略并执行恶意的宏代码，攻击者可以通过社会工程说服受害者从网站下载并打开特制文件来利用此漏洞。影响范围Microsoft

攻击，导致目标可能遭受服务器瘫痪、核心数据被窃等损失。恶意文件分析1.恶意文件描述近期，深信服深盾终端实验室在运营工作中发现了一款僵尸网络病毒，通过跟踪监测发现，该病毒近期肉鸡控制规模已达

每个SRC平台都会与这样一群不平凡的人相遇，他们有的是学生、有的是从业者、有的是兴趣使然的爱好者，他们来自全国各地，因为不同的契机而进入同一个行列，胸怀着一样的正义。

2023年2月15日（北京时间），微软发布了安全更新，共发布了75个CVE的补丁程序，同比上月减少了23个。在漏洞安全等级方面，存在9个标记等级为“Critical”的漏洞，66个漏洞被标记为“Important/High”；在漏洞类型方面，主要有37个远程代码执行漏洞，11个权限提升漏洞以及7个信息泄露漏洞。漏洞分析2023年漏洞数量趋势图1-2023年微软补丁漏洞修复情况总体上来看，微软本月发布的补丁数量为75个，有9个

日发布防护方案。参考链接https://lists.apache.org/thread/vy1c7fqcdqvq5grcqp6q5jyyb302khyz时间轴2023/2/9深信服监测到Apache

留言得大礼包本次我们一共准备了3份【湾区SRC周边大礼包】评论区跟我们分享你最期待的议题点赞最高的小伙伴可获得【湾区SRC周边大礼包】*1评论区再随机抽取2名幸运小伙伴各送出【湾区SRC周边大礼包】*1开奖时间：2月16日

--version官方修复建议当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://kafka.apache.org/深信服解决方案1.主动检测

概述BITTER组织，又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”，常对南亚周边及孟加拉湾海域的相关国家发起网络攻击，主要针对政府（外交、国防）、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击。该组织在在

的虚拟磁盘可能也会受到影响。加密存储卷中包含如下扩展名的文件：*.vmdk*.vmx*.vmxf*.vmsd*.vmsn*.vswp*.vmss*.nvram*.vmem持久化将

Center是Atlassian旗下的一款面向ITSM（IT服务管理）的企业级解决方案，可高效协助IT团队对客户需求进行分类处理。漏洞简介2023年2月7日，深信服安全团队监测到一则Jira

-V可从回显查看Openssh版本官方修复建议当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：http://www.openssh.com/深信服解决方案1.主动检测支持对

RAT、AsyncRAT、XWorm、Netwire、DOUBLEBACK和Qbot等。OneNote是Microsoft创建的数字笔记本，可通过Microsoft

BIG-IP是F5公司研发的集成了网络流量管理、应用安全管理、负载均衡等多种功能的应用交付平台，用于保障企业关键应用快速、安全、稳定交付。漏洞简介2023年2月4日，深信服安全团队监测到一则F5

任意文件读取漏洞(CVE-2022-44268)漏洞攻击信息。2023/2/4深信服千里目安全技术中心发布漏洞通告。点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

漏洞类型：远程代码执行利用条件：1、用户认证：否2、前置条件：默认配置3、触发方式：远程，需要打开畸形文件综合评价：：未知。：高危，能造成远程代码执行。官方解决方案：已发布漏洞分析组件介绍Adobe