6月10日，我们发现了一个伪装成简历的恶意Word文档，它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分，在最后阶段，威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。

...

感谢腾讯御见威胁情报中心来稿！

原文链接：https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA

...

Valak是使用基于脚本的多阶段恶意软件，该软件劫持电子邮件并嵌入恶意URL附件，以使用无文件脚本来感染设备。

相关摘要

• Valak使用了基于脚本的恶意软件，这些恶意软件在广告活动中使用，其与Gozi ConfCrew相关联。
• 重复的攻击活动导致一些报道将Valak误认为是Gozi。
• 电子邮件被收集起来并运用在“回复链攻击”中，以专门构建插件“ exchgrabber”来进一步传播。
• 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。

...

研究人员发现，高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具，其中一个是针对微软Outlook的VBA宏（使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件）。我们还进一步分析了Gamaredon工具，这些工具能够将恶意宏和远程模板注入到现有的Office文档中。

...

加拿大多伦多大学公民实验室发表研究报告，称海外中文新闻媒体遭到针对性的钓鱼攻击。2017 年 2 月，中国数字时代的记者陆续收到一系列网络钓鱼邮件，发件人声称自己掌握一场针对明镜新闻网的黑客行动的内幕消息。

...

据外媒报道，谷歌打算使用机器学习技术来应对人类较难分辨的网络攻击问题。在面对钓鱼网络攻击的时候，很多用户经常都对其“置之不理”，当然不是有意为之而是没有看出来，为此，谷歌决定要改变这种现象。据了解，Gmail 每天有 10 亿名活跃用户，而谷歌的其中一项工作就是保护他们的邮件免遭网络攻击。

...

据国外安全媒体 Cyberscoop 报道，俄罗斯 ATP28 黑客组织伪造北约（ NATO ）电子邮件，针对包括罗马尼亚外交部在内的欧洲外交组织成员发动网络钓鱼攻击。

俄罗斯 ATP28 黑客组织（又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team）曾涉嫌参与多起欧洲国家网络攻击事件，其中包括攻击欧洲防务展览会，干预法国、德国重大选举等。

据悉，罗马尼亚外交部成员收到的电子邮件包含一个名为“Trump's_Attack_on_Syria_English.docx”的 Word 文档，利用近期披露的 2 个Microsoft Office 0day 漏洞 (CVE-2017-0262) 秘密下载恶意软件 “GameFish”，从而使黑客能够访问敏感数据并在受感染设备中远程部署其他计算机病毒。

...

据外媒 6 日报道，Bitdefender 安全专家发现一起网络间谍活动，攻击者利用恶意软件 Netrepser 危及全球 500 余家政府机构。

...