BBTok Targeting Brazil: Deobfuscating the .NET Loader with dnlib and PowerShell
我们分解了针对巴西的威胁 BBTok 的完整感染链,并演示了如何使用 PowerShell、Python 和 dnlib 对加载程序 DLL 进行反混淆。
Quick Post: Spooky New PowerShell Obfuscation in Emotet Maldocs
Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染使国家损失……阅读
Russia-linked Gamaredon targets Ukraine with Remcos RAT
与俄罗斯相关的Gamaredon通过网络钓鱼运动将与部队相关的诱饵进行了瞄准,通过PowerShell Downloader部署REMCOS RAT。塔洛斯研究人员警告说,俄罗斯与APT集团Gamaredon(又名大教堂,原始熊,Actinium,Callisto)以网络钓鱼运动为目标。网络增长组是针对乌克兰实体的一系列长矛捕捞攻击的背后,以及与组织相关的组织[…]
North Korea-linked APT Emerald Sleet is using a new tactic
Microsoft Threat Intelligence 观察到与朝鲜有关的 APT Emerald Sleet 使用了一种新策略,即诱骗目标运行 PowerShell。Microsoft Threat Intelligence 研究人员发现与朝鲜有关的威胁行为者 Emerald Sleet(也称为 Kimsuky 和 VELVET CHOLLIMA)使用了一种新策略。他们诱骗目标以管理员身份运行 PowerShell 并执行提供的代码 [...]
Coyote Banking Trojan targets Brazilian users, stealing data from 70+ financial apps and websites
Coyote Banking Trojan 以巴西用户为目标,窃取了 70 多个金融应用程序和网站的数据。 FortiGuard Labs 的研究人员检测到了一项活动,该活动使用 LNK 文件执行 PowerShell 命令来部署 Coyote Banking Trojan。威胁行为者通过窃取财务数据来瞄准巴西用户,该恶意软件可以从 70 多个金融应用程序和众多 […] 中收集敏感信息
Doctor, where did you get these pictures? Using steganography in a cryptocurrency mining campaign.
2025 年 1 月 24 日在分析遥测数据时,Doctor Web 的病毒分析师发现了恶意软件样本,经过仔细检查,这些样本原来是挖掘 Monero 加密货币的活跃活动的组成部分。此活动之所以引人注目,是因为它以一系列恶意软件链的形式实施,其中两个基于执行从 BMP 图像文件中提取恶意负载的脚本。该活动可能始于 2022 年,当时我们的分析师首次观察到 Services.exe,这是一个启动恶意 VBscript 的 .NET 应用程序。此脚本通过联系攻击者的服务器并执行响应中发送的脚本和文件来实现后门功能。例如,恶意文件 ubr.txt(扩展名从 ps1 更改为 txt 的 PowerShe
PSLoramyra: Technical Analysis of Fileless Malware Loader
在本文中,ANY.RUN 的分析师团队将探索一种名为 PSLoramyra 的恶意加载程序。这种高级恶意软件利用 PowerShell、VBS 和 BAT 脚本将恶意负载注入系统,直接在内存中执行它们,并建立持久访问。PSLoramyra 被归类为无文件加载程序,通过完全加载其主要负载来绕过传统检测方法 […]PSLoramyra:无文件恶意软件加载程序的技术分析首先出现在 ANY.RUN 的网络安全博客上。
Connect SharePoint Online to Amazon Q Business using OAuth 2.0 ROPC flow authentication
在本文中,我们探讨了如何使用 OAuth 2.0 ROPC 流身份验证方法将 Amazon Q Business 与 SharePoint Online 集成。我们提供使用 PowerShell 脚本的手动和自动方法来配置所需的 Azure AD 设置。此外,我们还演示了如何将这些详细信息连同您的 SharePoint 身份验证凭据一起输入到 Amazon Q 控制台中以完成安全连接。
Ymir ransomware, a new stealthy ransomware grow in the wild
卡巴斯基警告称,在系统被 RustyStealer 恶意软件入侵后不久,新的 Ymir 勒索软件就被部署在攻击中。卡巴斯基研究人员发现了一个名为 Ymir 勒索软件的新勒索软件家族,攻击者在通过 PowerShell 命令入侵系统后部署了该勒索软件。Ymir 包括检测规避功能,使用 malloc、memmove 和 memcmp 等函数在内存中执行任务。攻击者最初访问系统 […]
Ymir ransomware, a new stealthy ransomware grow in the wild
卡巴斯基警告称,在系统被 RustyStealer 恶意软件入侵后不久,新的 Ymir 勒索软件就被部署在攻击中。卡巴斯基研究人员发现了一个名为 Ymir 勒索软件的新勒索软件家族,攻击者在通过 PowerShell 命令入侵系统后部署了该勒索软件。Ymir 包括检测规避功能,使用 malloc、memmove 和 memcmp 等函数在内存中执行任务。攻击者最初访问系统 […]
Антивирусы не спасут: как LemonDuck использует SMB для захвата серверов
在这种情况下,即使完全禁用 PowerShell 也无助于避免攻击。
Using OpenAI and PandasAI for Series Operations
将自然语言查询和操作纳入 Python 数据清理工作流程。艺术家 Karen Walker 捐赠的红熊猫画作。我们在熊猫数据清理项目中需要执行的许多系列操作都可以由 AI 工具(包括 PandasAI)协助完成。PandasAI 利用大型语言模型(例如来自 OpenAI 的模型)来启用对数据列的自然语言查询和操作。在这篇文章中,我们将研究如何使用 PandasAI 查询系列值、创建新系列、有条件地设置系列值以及重塑数据。您可以通过在终端或 Windows Powershell 中输入 pip install pandasai 来安装 PandasAI。您还需要从 openai.com 获取令牌
ViperSoftX variant spotted abusing .NET runtime to disguise data theft
免费软件 Auto它还用于在脚本中隐藏整个 PowerShell 环境威胁检测供应商 Trellix 的安全研究人员表示,一种名为 ViperSoftX 的快速变化的信息窃取恶意软件已经变得更加危险。
