01概述?

竊密木馬是用于竊取用戶系統(tǒng)中敏感數(shù)據(jù)的惡意執(zhí)行體。攻擊者常通過網(wǎng)絡釣魚、漏洞利用、軟件捆綁等方式投放竊密木馬，并利用竊取到的重要數(shù)據(jù)進行牟利。當用戶系統(tǒng)感染竊密木馬后，根據(jù)攻擊者的預先設定，竊密木馬會在受感染系統(tǒng)中實施隱藏、駐留、探測、搜集、傳輸、監(jiān)聽等行為，從而將敏感數(shù)據(jù)按照攻擊者的需求進行傳輸，最終給用戶造成收入損失、聲譽損害等嚴重后果。

目前，竊密木馬攻擊者已構建了完整的竊密產業(yè)鏈，包含開發(fā)、分析對抗、銷售、攻擊等多個環(huán)節(jié)，形成了明確的內部分工體系和獲利模式。通過模塊化的組件設計，竊密木馬的開發(fā)者制作了一系列獨立性強、可擴展性強且易于維護的竊密木馬功能組件，并將這些組件明碼標價在黑市上出售。攻擊者能夠根據(jù)自身意圖選購功能組件從而組裝竊密木馬，進而實施完全自定義的竊密攻擊，并根據(jù)使用情況給開發(fā)者反饋，從而推動竊密木馬的迭代更新。

在這個過程中，竊密木馬主要體現(xiàn)出兩個演進方向，一是主攻擴大攻擊面的“廣撒網(wǎng)”式竊密木馬，二是主攻高價值目標的“定制化”木馬。其中“廣撒網(wǎng)”方向的竊密木馬主要依托各類公共平臺投放具備一定泛用性的竊密木馬，從而對普通用戶進行大范圍攻擊，以期通過搜集盡可能多的用戶數(shù)據(jù)來獲利；“定制化”方向的竊密木馬則針對政企等大型目標進行專門的功能設計，強化隱蔽性和數(shù)據(jù)收集能力，以期竊取大量高價值數(shù)據(jù)。2022年，安天CERT發(fā)布了多篇竊密木馬分析報告?，F(xiàn)在，我們將2022年流行的竊密木馬進行梳理，闡述其發(fā)展現(xiàn)狀，并總結出有效的防護建議，以幫助用戶更好地進行安全防護工作。

?

02竊密木馬的危害?

近年大量的APT組織和攻擊者針對我國金融、衛(wèi)生、公共管理、防務、教育等多個重要行業(yè)持續(xù)發(fā)動網(wǎng)絡攻擊，攻擊面涵蓋關鍵基礎設施、大型信息系統(tǒng)、企事業(yè)單位內網(wǎng)等，造成了多起危害國家安全和發(fā)展利益的網(wǎng)絡安全事件，如名為“AgainstTheWest”（ATW）的黑客組織自2021年10月以來攻擊SonarQube、Gitblit、Gogs等平臺，竊取了國內多家企事業(yè)單位的數(shù)字資產，在境外黑客論壇進行非法售賣，造成了大量關鍵源代碼、數(shù)據(jù)的泄露[1]，對相關單位造成了巨大損失。一旦企業(yè)遭到竊密木馬攻擊，其現(xiàn)行業(yè)務便容易遭到破壞，如技術專利被競爭對手獲取模仿、生產工藝遭到剽竊、客戶資料遭到泄露致使喪失客戶信任等。此外，攻擊者還可能利用竊取而來的數(shù)據(jù)對企業(yè)進行勒索，造成更多損失。

此外，針對個人用戶投放竊密木馬的攻擊事件也層出不窮，如“魔盜”竊密木馬偽裝成常用軟件在下載網(wǎng)站上大肆傳播[2]；黑產組織利用上百個偽造的盜版軟件下載站誘導用戶下載執(zhí)行竊密木馬[3]等。一旦攻擊者成功得手，被竊取的用戶數(shù)據(jù)便很可能被不法分子用于非法牟利，進而使用戶的合法權益面臨多種風險，主要表現(xiàn)為以下三個方面：一是虛擬資產易被盜用，如社交賬戶被用于進一步傳播木馬載荷，游戲賬號被洗劫一空等。二是個人財產處于危險境地，如信用卡可能會被灰產組織用于洗錢、賬戶余額可能被不法分子轉走等。三是受詐騙風險提高，犯罪分子可能會利用用戶的隱私信息制造用戶難以識別的騙局，致使用戶做出錯誤決定。

為避免上述情況的發(fā)生，用戶有必要準確認識到竊密木馬的危害，及時采取有效措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)。

?

03竊密木馬發(fā)展現(xiàn)狀

3.1 竊密灰產持續(xù)壯大，攻擊成本繼續(xù)降低

近年攻擊者構建了相對完整的竊密灰色產業(yè)鏈，形成了較為標準的攻擊體系，實現(xiàn)了內部分工，并通過組件化的木馬設計降低了攻擊者的加入門檻，進行著快速擴張。

目前，竊密灰色產業(yè)鏈已形成了完整的上下游關系，有明確的組織結構和價值輸送鏈條。其主要角色由木馬編寫者、分析對抗技術提供者、木馬攻擊者和數(shù)據(jù)收購者組成，產業(yè)鏈中一人可擔任多個角色，一個角色也可以由多人承擔。其中木馬編寫者負責編寫竊密木馬；分析對抗技術提供者負責提供混淆、加密、免殺等技術；木馬攻擊者購買竊密木馬進行竊密攻擊；數(shù)據(jù)收購者收購竊取來的數(shù)據(jù)用于牟利。其中木馬編寫者與分析技術提供者作為竊密木馬的開發(fā)者專職制作了大量模塊化的木馬組件，使得攻擊者可以低成本、易于維護地對竊密木馬進行功能擴展，能夠讓竊密木馬在具備分析對抗能力的同時集成多種惡意功能，從而發(fā)動較高技術水平的竊密攻擊。

就當下而言，由于匿名網(wǎng)絡和加密貨幣為竊密灰色產業(yè)鏈提供了充足的運作空間，加之在充足的利益支撐下仍有攻擊者不斷加入這條灰色產業(yè)鏈，其短時間內難以被取締。預計未來竊密木馬灰色產業(yè)鏈仍將繼續(xù)壯大，使竊密木馬的攻擊能力更強、攻擊成本更低、分析對抗技術更復雜。用戶需要對其保持高度的警惕，及時對自身數(shù)據(jù)資產進行防護能力升級，以保障數(shù)據(jù)資產的安全。

3.2?雙方向演進，專精式發(fā)展

竊密木馬主要體現(xiàn)出兩個發(fā)展方向，即主攻高價值目標的“定制化”竊密木馬和主攻擴大攻擊面的“廣撒網(wǎng)”式竊密木馬。

“定制化”方向的竊密木馬主攻高價值目標，如政府、企業(yè)、組織等，此類目標通常具有極大數(shù)據(jù)量，并且數(shù)據(jù)價值極高，因此攻擊者往往愿意為特定目標“量身定做”竊密木馬，從而盡可能提升攻擊的成功率。通過采用模塊化的木馬設計，攻擊者可以綜合運用多種竊密木馬組件，從而完成精準作業(yè)。如2022年6月，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）在長期準備與籌劃后，使用了四十余種專屬網(wǎng)絡攻擊武器對西北工業(yè)大學進行了竊密攻擊，造成了大量戰(zhàn)略情報泄露[4]。已有的證據(jù)顯示，美方在此次攻擊中對投放的竊密木馬進行了高度的定制化，實現(xiàn)了多種竊密功能的協(xié)同運作，在提前摸清攻擊所必要的信息后，在極短時間內便完成了大量敏感數(shù)據(jù)的竊取，體現(xiàn)了“定制化”竊密木馬的精準攻擊能力。

“廣撒網(wǎng)”方向的竊密木馬則主攻擴大攻擊面，通過利用公共傳播方式來對盡可能多的普通用戶進行竊密。如2022年間的Redline竊密木馬，攻擊者在視頻網(wǎng)站大量上傳“破解視頻”“游戲外掛”等熱點內容以增加曝光量，從而引誘大量用戶下載執(zhí)行該木馬進而竊密知[5]。而為了提升單次攻擊的收益，此類木馬竊取數(shù)據(jù)的范圍非常廣，包括但不限于用戶的工作文件、個人筆記、支付賬戶、購買記錄、社交賬戶、醫(yī)療信息、聲音信息等。最終這些被竊取的數(shù)據(jù)會被攻擊者出售或用于其他犯罪活動獲利，造成巨大社會危害。

需要注意的是，除單獨使用外，這兩類竊密木馬也可以被攻擊者組合使用，攻擊者可以先借助“廣撒網(wǎng)”式竊密木馬找出高價值目標，再制作“定制化”竊密木馬進行定向攻擊，從而牟取更多利益。

盡管兩類竊密木馬各有專精方向的發(fā)展，但其基本技術的演進方向是一致的，即滲透方式的多樣化、竊密能力的擴展化及分析對抗的復雜化。滲透方式的多樣化，是指攻擊者會嘗試發(fā)現(xiàn)并利用更多的安全隱患，增加入侵用戶系統(tǒng)的途徑；竊密能力的擴展化，是指木馬開發(fā)者會根據(jù)攻擊者的反饋數(shù)據(jù)，在確保竊密能力的基礎上，為木馬增加更多功能，從而提高在單次攻擊中攫取的利益；分析對抗的復雜化，是指分析對抗技術提供者會開發(fā)出更有效的混淆、加密、免殺等技術，從而提升攻擊的成功率。

?

04安全防護建議

為有效防御竊密木馬攻擊，提升安全防護水平，安天建議采取如下防護措施：

4.1 終端防護

1.安裝終端防護系統(tǒng)：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)(IEP)；

2.部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡可疑行為、資產和各類未知威脅；

4.2 網(wǎng)站傳播防護

1.建議使用官方網(wǎng)站下載的正版軟件。如無官方網(wǎng)站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描。

2.建議使用沙箱環(huán)境執(zhí)行可疑的文件，在確保安全的情況下再執(zhí)行。安天追影威脅分析系統(tǒng)（PTA）采用深度靜態(tài)分析與沙箱動態(tài)加載執(zhí)行的組合機理，可有效檢出分析鑒定各類已知與未知威脅。

4.3 遭受攻擊及時發(fā)起應急響應

聯(lián)系應急響應團隊：若遭受竊密木馬攻擊，建議及時隔離受攻擊系統(tǒng)，并保護現(xiàn)場等待安全工程師對計算機進行排查；安天7*24小時服務熱線：400-840-9234。

?

05流行竊密木馬盤點

5.1 Redline

Redline竊密木馬最早發(fā)現(xiàn)于2020年3月，該竊密木馬除利用常見的釣魚郵件、軟件捆綁等方式傳播自身外，還通過在視頻網(wǎng)站發(fā)布釣魚視頻的新方式進行傳播。攻擊者在視頻網(wǎng)站大量上傳熱點題材視頻如破解軟件、游戲外掛、加密貨幣教程等，引誘用戶前往視頻簡介中的釣魚鏈接下載啟動惡意載荷。用戶感染Redline竊密木馬后，該木馬除竊取FTP、VPN、即時通訊軟件、遠程連接工具等軟件內的重要數(shù)據(jù)外，還會盜取用戶的視頻網(wǎng)站賬號，并利用盜取來的賬戶再度發(fā)布釣魚視頻，從而形成了“發(fā)布視頻→竊取賬號→用竊取到的賬號進一步傳播”的攻擊模式。

?

5.1.1 家族概覽

表1 Redline竊密木馬基本信息概覽

5.1.2 典型案例

? 攻擊者利用視頻平臺Youtube傳播竊密木馬Redline[5]

2022年間，攻擊者在視頻網(wǎng)站Youtube上大量發(fā)布關于盜版軟件、操作教程、加密貨幣、游戲作弊等各類熱點話題的釣魚視頻，誘導受害者下載Redline竊密木馬并運行。受害者的賬號還會被盜取，用于進一步傳播釣魚視頻。

5.2?AgentTesla

AgentTesla竊密木馬最早于2014年出現(xiàn)，其早期版本曾作為鍵盤記錄器公開銷售，之后其開發(fā)團隊轉向黑市出售，擴展了竊密功能，并進行持續(xù)地更新，使其逐漸成為了流行竊密木馬之一[6]。

從目前捕獲到的樣本分析可知，該惡意軟件除通常的竊密功能外，還具備鍵盤記錄、屏幕截圖、持久化等多種功能，且能夠禁用部分系統(tǒng)功能以保持自身隱蔽。

根據(jù)安天的分析結果，2022年間捕獲的AgentTesla樣本在反檢測、反調試、反沙箱等部分均進行了升級，使用了多層載荷和多種加密方法進行分析對抗，并支持Tor匿名網(wǎng)絡、電子郵件、FTP和HTTP等多種回傳方式。

?

5.2.1 家族概覽

表2?AgentTesla竊密木馬基本信息概覽

5.2.2?典型案例

? OPERA1ER組織使用AgentTesla竊密木馬對非洲金融機構進行持續(xù)性竊密攻擊

截至2022年3月，APT組織OPERA1ER已使用包含AgentTesla在內的竊密木馬對非洲金融機構進行了數(shù)百次攻擊，其中成功了至少30次，預估涉案金額已超過3000萬美元，對相關機構的客戶信任造成了巨大打擊。

5.3?Formbook

Formbook 竊密木馬自2016年起在黑客論壇上以“惡意軟件即服務(MaaS)”形式出售，至今仍保持活躍[7]。2020年10月，F(xiàn)ormbook的開發(fā)者宣布該竊密木馬改名為Xloader，并引入了一些功能改進。

該竊密木馬能夠自動收集目標系統(tǒng)中瀏覽器、郵箱客戶端、即時通訊客戶端和FTP客戶端中的敏感數(shù)據(jù)，可以進行鍵盤記錄和屏幕截圖。同時，該木馬具備一定的對抗檢測、對抗分析和反溯源能力，主要包括載荷混淆、進程注入和沙箱逃逸。此外，該竊密木馬還具有更新、下發(fā)惡意軟件、遠程命令執(zhí)行、持久化等功能。

?

5.3.1 家族概覽

表3? Formbook/Xloader竊密木馬基本信息概覽

5.3.2 典型案例

?“UAC-0041”組織使用Formbook攻擊烏克蘭政府機構

2022年3月，被烏克蘭計算機應急響應小組(CERT-UA)命名為“UAC-0041”的網(wǎng)絡攻擊以“戰(zhàn)爭和提供財政援助議題”為郵件內容，向烏克蘭政府機構和單位進行大量的投遞誘餌文檔。該文檔攜帶具下載功能的宏代碼，受害者一旦啟用宏，該宏會從攻擊者的服務器上下載Formbook竊密木馬并執(zhí)行，攻擊者即可開展進一步的網(wǎng)絡攻擊。

5.4?Lokibot

LokiBot竊密木馬自2015年在黑客論壇出售，至今仍保持活躍[8]。由于Lokibot的服務端源碼曾被泄露，因而出現(xiàn)了大量的衍生版本，使得其變種數(shù)量多、傳播范圍廣。攻擊者常用釣魚郵件、軟件捆綁等方式投放Lokibot竊密木馬。除通常的竊密功能外，LokiBot還可以在感染系統(tǒng)中部署執(zhí)行其他惡意軟件，并進行持久化，對受害者產生更多威脅。

?

5.4.1 家族概覽

表4? Lokibot竊密木馬基本信息概覽

5.4.2 典型案例

?攻擊者針對韓國多個機構投遞Lokibot竊密木馬進行攻擊[8]

2022年4月，安天CERT監(jiān)測到一起目標為韓國獎學金基金會、重工企業(yè)等多個機構的竊密攻擊活動。攻擊者利用釣魚郵件的方式投遞惡意載荷，主題為“請求基礎產業(yè)報價”的報價單，以此誘導受害者解壓并執(zhí)行壓縮包中的LokiBot竊密木馬，導致用戶的隱私和數(shù)據(jù)泄露。

5.5?Raccoon

Raccoon(浣熊)竊密木馬自2019年初以來一直在地下論壇上以“惡意軟件即服務(MaaS)”模式出售。2022年7月上旬，該竊密木馬的開發(fā)者發(fā)布了由C語言編寫的升級版本Raccoon Stealer v2，集成了多種竊密功能和分析對抗技術。該竊密木馬除具備竊取密碼、敏感文件等常見竊密功能外，還可竊取加密貨幣。

有所不同的是，該竊密木馬的部分樣本并未采用持久化策略，而是會在竊密完畢后將自身直接刪除，推測其由木馬配置中的定制化選項決定。

?

5.5.1 家族概覽

表5 Raccoon竊密木馬基本信息概覽

5.5.2 典型案例

?攻擊者構建大量釣魚網(wǎng)站并通過SEO污染投放Raccoon竊密木馬

2022年7月，攻擊者通過大量生成破解軟件相關的釣魚網(wǎng)站，并優(yōu)化了SEO使得這些釣魚網(wǎng)站在谷歌搜索結果中前置。不知情的用戶下載啟動所謂的“破解程序”（實為Raccoon Stealer v2竊密木馬）后，該竊密木馬就會竊取用戶的瀏覽器賬號密碼、支付信息、加密貨幣等。目前已有大量用戶的數(shù)據(jù)遭到泄露。

5.6?AZORult

AZORult竊密木馬首次發(fā)現(xiàn)于2016年7月，曾是俄羅斯黑客論壇上最為暢銷的木馬病毒之一。盡管在2018年底AZORult的主要賣家公開宣布將永久停止出售此木馬病毒，但由于此前的源代碼泄露，AZORult仍使用廣泛且存在多個變種。如Gazorp可直接生成AZORult竊密木馬載荷、Hermes勒索軟件利用AZORult竊密木馬作為下載器傳播自身等。除具備通常竊密功能之外，該竊密木馬還可以關閉Windows的安全功能，并作為下載器捆綁下發(fā)其他惡意代碼。

?

5.6.1 家族概覽

表6 ?AZORult竊密木馬基本信息概覽

5.6.2 典型案例

?攻擊者利用AZORult對德國車企進行廣撒網(wǎng)式釣魚郵件攻擊

2022年5月，國外安全廠商Check Point的一篇報告提到，攻擊者偽裝成汽車經(jīng)銷商向汽車制造商發(fā)送釣魚郵件，在郵件中附帶偽裝成汽車發(fā)票的惡意載荷。該惡意載荷執(zhí)行后會經(jīng)由托管服務器下載AZORult竊密木馬進行數(shù)據(jù)竊取。

5.7?Vidar

Vidar竊密木馬于2018年12月首次被發(fā)現(xiàn)，開發(fā)者主要通過黑客論壇及匿名通信軟件對其進行出售，不同檔位的售價在130美元到750美元不等。因為Vidar與此前已存在的竊密木馬Arkei存在很強的同源性，兩者整體結構及通信協(xié)議等核心代碼基本相同。推測Vidar為Arkei的更新版本或分支版本，目前Vidar與Arkei均保持更新。

?

5.7.1 家族概覽

表7 Vidar竊密木馬基本信息概覽

5.7.2 典型案例

?攻擊者使用谷歌廣告服務存在的流程缺陷投放Vidar竊密木馬

2022年12月，攻擊者利用谷歌的廣告服務投放Vidar竊密木馬。攻擊者通過錯誤拼寫、將廣告重定向到特定服務等方式將廣告指向其搭建好的釣魚網(wǎng)站，不知情的用戶會經(jīng)由廣告直接訪問釣魚網(wǎng)站，從而遭到竊密。

l攻擊者利用媒體或社交平臺作為C&C服務器中介傳遞Vidar竊密木馬控制信息

2023年1月，Vidar竊密木馬使用知名媒體平臺如Tiktok、Telegram、Steam等平臺傳遞C&C服務器信息，其方法是創(chuàng)建大量的一次性賬戶，并在賬戶的個人資料、個人簽名等獨特信息欄中放入需傳輸?shù)膬热?，以供載荷訪問讀取。

5.8?Pony

Pony竊密木馬，也被稱為Fareit或Siplog，首次發(fā)現(xiàn)于2011年，是長期存在的竊密木馬家族之一，主要活躍于歐美地區(qū)，因而中文互聯(lián)網(wǎng)上對其介紹較少[9]。

該竊密木馬功能較多，其竊密范圍涵蓋超110款應用程序，且能夠禁用Windows安全功能、竊取加密貨幣、作為下載器投放其他惡意載荷并進行持久化。

此外，Pony采用了大量分析對抗技術，如反調試、多層載荷嵌套、載荷混淆等，擁有比較強的檢測繞過能力。

?

5.8.1 家族概覽

表8 Pony竊密木馬基本信息概覽

5.8.2 典型案例

?Conti勒索組織被曝利用Pony進行大面積竊密攻擊

2022年3月，一名烏克蘭安全研究員公布了Conti勒索組織的大量內部資料，包括內部聊天記錄、該組織的培訓資料及內部使用的源碼等。其中顯示Conti勒索組織利用Pony竊取了大量包含gmail.com、mail.ru、yahoo.com等郵件服務商的憑據(jù)用于網(wǎng)絡攻擊活動。

5.9?Jester

Jester竊密木馬家族存在時間相比其他竊密木馬較短，其開發(fā)者自2021年7月20日起售賣Jester竊密木馬，后續(xù)則陸續(xù)開發(fā)售賣了剪貼板劫持器、挖礦木馬、僵尸網(wǎng)絡等工具。

Jester竊密木馬擁有多種基本竊密功能和混淆技術，攻擊者主要通過網(wǎng)絡釣魚的方式對其進行傳播。除了竊取通訊記錄、FTP、瀏覽器數(shù)據(jù)等常見敏感內容外，Jester竊密木馬還會捆綁剪貼板劫持器，通過劫持剪貼板的方式將感染系統(tǒng)中的加密錢包地址改為攻擊者的加密錢包地址從而竊取加密貨幣。

經(jīng)分析，2022年安天捕獲到的Lilith僵尸網(wǎng)絡與Jester竊密木馬出于同一開發(fā)團伙[10][11]，目前該團伙仍保持高度活躍，安天將持續(xù)關注其后續(xù)活動。

?

5.9.1 家族概覽

表9 Jester竊密木馬基本信息概覽

?5.9.2 典型案例

?CERT-UA警告惡意垃圾郵件傳播Jester竊密木馬2022年5月，烏克蘭計算機應急響應小組(CERT-UA)檢測到某惡意垃圾郵件活動，該活動旨在傳播名為Jester的數(shù)據(jù)竊取程序。據(jù)調查，烏克蘭CERT發(fā)現(xiàn)的該惡意郵件主題為“化學攻擊”，郵件中包含一個帶有惡意鏈接的Microsoft Excel文件。

?

06總結

?

通過追蹤竊密木馬的常見攻擊流程，發(fā)現(xiàn)目前攻擊者采用釣魚郵件、釣魚網(wǎng)站、公共網(wǎng)站等多個傳播方式入侵受害者主機，入侵成功后收集目標系統(tǒng)的重要數(shù)據(jù)（包括但不限于密碼憑據(jù)、隱私信息、重要文件、數(shù)字資產等）并將其回傳給攻擊者，給用戶帶來隱私泄露、經(jīng)濟損失等嚴重后果。

?

安天CERT將持續(xù)關注竊密木馬的相關技術變化和特點，及時分享最新的分析成果并提出解決方案。安天智甲終端防御系統(tǒng)（IEP）不僅具備病毒查殺、主動防御等功能，而且提供終端管控、網(wǎng)絡管控等能力，能夠有效防御此類威脅攻擊，保障用戶數(shù)據(jù)安全。

?

參考資料：

[1]?ATW組織針對我國的數(shù)據(jù)泄露事件及應對思考

https://www.antiy.cn/research/notice&report/research_report/20230219.html

[2]?關于“魔盜”竊密木馬大規(guī)模傳播的風險提示

https://www.antiy.cn/research/notice&report/research_report/20220913.html

[3]?偽造盜版軟件傳播的竊密樣本分析

https://www.antiy.cn/research/notice&report/research_report/20210628.html

[4]?西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調查報告https://www.cverc.org.cn/head/zhaiyao/news20220905-NPU.htm

https://www.cverc.org.cn/head/zhaiyao/news20220927-NPU2.htm

[5]?通過視頻網(wǎng)站傳播的RedLine竊密木馬跟進分析

https://www.antiy.cn/research/notice&report/research_report/20221115.html

[6]?商業(yè)竊密木馬Agent Tesla新型變種分析

https://www.antiy.cn/research/notice&report/research_report/20210812.html

[7]?對某單位遭受投遞FormBook竊密木馬的分析報告

https://www.antiy.cn/research/notice&report/research_report/20211021.html

[8]?一起針對韓國多個機構的竊密攻擊活動分析

https://www.antiy.cn/research/notice&report/research_report/20220415.html

[9]?瘋狂的竊密者——TEPFER

https://www.antiy.com/response/tepfer.html

[10]?活躍的Jester Stealer竊密木馬及其背后的黑客團伙分析

https://www.antiy.cn/research/notice&report/research_report/20220510.html

[11]?Lilith僵尸網(wǎng)絡及其背后的Jester黑客團伙跟進分析

https://www.antiy.cn/research/notice&report/research_report/20220902.html

?