2015年12月31日，微步在线对一起利用Flash零日漏洞的APT攻击做了分析和预警，并通过溯源分析确定了其幕后的黑客组织为“DarkHotel”。此后，通过我们的持续监控跟踪，发现DarkHotel的定向鱼叉式攻击依然在继续，主要目标为我国境内企业及其管理层人员，且有多起成功攻击案例。因此微步在线决定进一步披露攻击中所利用的手段和技术，并全面公开相应的威胁情报IOC(攻陷指标)，与业界共同携手抵御来自境外势力的APT攻击。

这份报告介绍了一次大规模的木马、钓鱼和虚假信息活动，这一攻击活动的目标是几个拉美国家，包括厄瓜多尔、阿根廷、委内瑞拉和巴西。根据受害者的特征和地理分布来看，这次攻击活动的赞助者对这些地区的政治情况很感兴趣。 Packrat很关注这些地区的政治反对派，ALBA国家联盟（美洲玻利瓦联盟||||）**，以及这些国家境内的独立媒体。ALBA国家联盟通过一项贸易协定建立，这些国家在很多非经济领域都有合作。

下面是一些与会议相关的 数字： * 总预算: 80.000€ * 260 名参与者 * 3 篇keynotes * 20 次讨论 * 6 次短讨论 * 大量的快速讨论 * 一次社交活动

近期, 部署于360云平台(https://cloud.360.cn)的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量，联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。 360云安全研究员 --“王阳东”对此恶意程序进行较为深入的分析，此样本可能是billgates僵尸网络的一个变种。

Adobe于12月28日发布了一个应急补丁用于修复Flash 播放器的多个安全漏洞。有线索表明其中之一已被用于APT(高级可持续性)攻击，国外有媒体揣测其攻击目标为国内某著名IT企业（http://www.theregister.co.uk/2015/12/28/adobe_flash_security_update/），微步在线尚未发现任何证据支持此结论。但溯源分析表明确有境外黑客团伙利用此漏洞针对中国及亚洲企业的高管发起APT攻击，此团伙即代号为暗黑客栈（DarkHotel） 的APT攻击组织。现阶段尚不确定此攻击是否有更复杂的背景。微步在线已第一时间向客户发送预警。

刚重装的系统就中毒了，这是很多网友常常遇到的事，难道是中了引导区木马？甚至bios中毒？其实没那么复杂，很可能是你安装的系统自带了木马。

在2014年初，Anthem遭到黑客袭击，泄露了8000万份医疗记录。媒体在2015年2月曝光了这次入侵事件，而发动攻击的网络间谍小组很可能就是Black Vine。

最初，“高级持续威胁”指的是那些使用非常规木马，攻击特定目标和网络的攻击活动。这类攻击活动的目的是为了长期或秘密地窃取敏感数据。在近几年，APT开始指代由外国政府发动的长期攻击活动，而安全公司或受害者政府会由于惧怕经济制裁或政治压力，不愿意指认这些攻击者。另外一点原因是，由于互联网的开放特性，攻击者可以利用技术把罪名嫁祸给他人，从而也难以确定他们的真实身份。

在2015年的12月18日,Juniper官网发布安全公告,指出在他们的Netscrren防火墙的ScreenOS软件中发现未授权的代码,其中涉及2个安全问题,一个是在VPN的认证代码实现中被安放后门,允许攻击者被动解密VPN的流量(CVE-2015-7756),另一个后门是允许攻击者远程绕过SSH和Telnet认证,利用后门密码远程接管设备(CVE-2015-7755).在Juniper的安全公告后的6个小时,Fox-IT公司找到了后门密码,并发布了Sort规则

在过去的一年里，Talos花费了大量的时间去研究ransomware的运作原理，它与其他恶意软件的管理，还有它的经济影响。这项研究对开发检测方法和破坏攻击者的攻击有很大的价值。CrytoWall是一款恶意软件，在过去的一年里，先是升级成了CryptoWall2,随后升级为CryptoWall3。尽管大家都在努力检测和破坏它的攻击行为，但是这款恶意软件开发者还是很厉害的，改进了一些技巧，然后现在放出了CryptoWall4这个版本。

人在做，天在看。

11月底的时候，360天眼安全实验室发布了一篇文章：网络小黑揭秘系列之私服牧马人，揭露了一起污染私服搭建工具和用户登录端程序进行木马传播的事件。其实，类似的案例远不限于此，这次我们揭露另一根链条出来，当然还是从一个样本开始。

Unit42近期公布了一份关于最新木马Bookworm的研究文章，文章中讨论了这个木马的架构和功能。泰国是这次攻击活动的主要攻击目标。

360互联网安全中心监控到，已经沉寂一段时间的CryptoLocker（文档加密敲诈者）类木马，本月初在国内又开始传播感染。本次传播的木马是之前CTB-Locker木马的一个变种，在加密文档之后，会在文档文件名之后加入“.vvv”，该病毒也因此被称为VVV病毒。

深网（Deep Web）覆盖的内容包罗万象，其中包括有动态网页，已屏蔽网站（需要你回答问题或填写验证码进行访问），个人网站（需要登录凭证才能进行访问），非HTML/contextual/script内容和受限访问网络等等。但由于各种原因，Google等搜索引擎无法索引到暗网的内容。

本月初微博上有知名大V晒出一封私信截图，私信是以某记者名义发出，要求采访该大V博主，并提供了一个网盘链接作为“采访提纲”。当博主下载网盘中存放的所谓“采访提纲”后，该文件被360安全卫士检测为木马进行清除。

我们根据截图中的网盘链接下载了伪装“采访提纲”的木马进行分析，发现这是来自于一个长期从事木马植入与数据窃取的不法黑客团伙，该团伙利用盗取或冒名的各类账号，对账号关联人发起攻击，木马功能包括录音、远程上传或下载任意文件、服务管理、文件管理、屏幕监控等，很明显是意图窃取数据进行勒索或售卖来谋取利益。