微步威胁感知平台TDP及威胁防御系统OneSIG检测到0day漏洞与Nday漏洞攻击300余个，涉及漏洞主要集中在国产OA系统、ERP系统、开发常用组件及安全设备。

检测到的漏洞攻击中，“老漏洞”（Nday）由于获取成本低、广泛存在且具备更好的隐蔽性，仍是攻击者利用的主要手段，其中捕获到2022年以前的老漏洞攻击行为达到71%，且绝大部分Nday均通过工具扫描，而“新漏洞”更多是通过手工探测方式进行攻击。

另外，基于微步情报局观察，也出现了行业特有的供应链系统（尤其是0day）漏洞，此类漏洞一旦被利用，将产生巨大“爆炸半径”，可能成为攻击者针对行业的“差异化”武器，影响大量终端用户及企业，值得特别关注。

微步情报局发现，大部分木马仍由C/C++语言编写，紧随其后则是Rust和Python。木马样本执行与对抗手法上，主要涉及LOLBins的应用、ftp.exe执行相关代码、控制流平坦化混淆技术以及通过Patch正常文件执行恶意行为四种方式。

其中，LOLbins是系统自带的可执行文件和工具，攻击者利用其进行恶意操作，但无需引入外部恶意软件，非常隐蔽，且工具合法，具备系统适配性。ftp.exe则是Windows自带的命令行FTP客户端程序，该程序支持运行脚本文件，因此被攻击者利用。

近一个月，我们从远控解析到的归属云厂商来看，公有云C2地址归于阿里云的占比最高，达到64%以上，其次则是腾讯云、联通云、华为云，来自其他公有云厂商的远控较少。

微步情报局发现，有攻击者仿冒金融、央企等20多家企业VPN站点，采用典型白加黑绕过手法，传播远控木马，窃取敏感信息和远程控制受害者终端，攻击危害极大，详情可点击：警惕！大规模VPN水坑攻击来袭。

此外，微步情报局还监测到，一个名叫GanbRun的高活跃黑产团伙，在钓鱼攻击中使用窃密软件，主动收集受害者信息，伪造成政府网站链接地址并诱导点击，从云存储或攻击者服务器下载恶意文件，窃取浏览器数据。具体情况可查看：目标银行、证券、央企！黑产团伙伪造政府网站大规模钓鱼。

↓↓↓

点此电话咨询

---