样本详情123样本威胁情报来源：https://www.freebuf.com/articles/database/441872.htmlhttps://cybersecuritynews.com/new-shuyal-attacking-19-popular-browsers/ SHUYAL MD5： faeb88275ab0c27dd496c539adad8f33 SHA-

邮件附件，邮件内容敏感（略） 利用CVE-2023-44451，详见https://nvd.nist.gov/vuln/detail/CVE-2023-44451 利用工具及EXPhttps://github.com/febinrev/slippy-book-exploit 样本分析以第一个epub文件为例 利用漏洞创建文件：desktop-service-3752.desktop，构造路径..

样本详情1234MD5：931396d6332709956237cf76ee246b01SHA-1：b834d9dbe2aed69e0b1545890f0be6f89b2a53c7 SHA-256：5b492a70c2bbded7286528316d402c89ae5514162d2988b17d6434ead5c8c274大小: 18432 字节 样本分析首先样本需要接受参数，

钓鱼邮件附件为rar文件（MD5：0FC759E5A3F53D4F4AD67B7B2FE416E2） 解压后得到jar文件（MD5：467F39B8C0EFAD1202FCD111005A6F03） 样本分析样本结构如下： 样本首先尝试将存储在资源的诱导doc文件释放到临时文件目录，并打开该文档文件； 然后判断当前操作系统是否为 Linux。如果不是 Linux，程序直接退出； 最后在指定路径

样本详情RAR文件MD5：B8E561448A1B86DFFB6F60727648A7BF msi文件MD5：83388B12D5350477A3A7CF728CFA1801 msi包含三个释放文件 概述通过恶意邮件投递MSI安装包诱导收件人安装，安装执行后通过NVIDA日志记录程序加载恶意DLL创建计划任务实现持久化，最后通过解密执行Dount工具生成的winos后门进行恶意攻击。攻击手法

样本信息 文件名 优盘资料.exe MD5 E9A6B1346D1A2447CABB980F3CC5DD27 SHA1 FE102A75E319AAB20F030299DF3A0A36204B4019 CRC32 0C8F34FB 文件大小 139,264字节 病毒类型 Trojan.Win32.Vague.bn 使用C++编写，文件图标为文件夹图片，应该属于蠕虫

使用python编写，用于应急处置时根据特定字符串（域名、IP、操作符等）定位可疑进程 https://github.com/wangchenChina/Memory_Searcher 不指定PID时默认搜索所有进程 指定PID可以输出指定字符串所在的内存地址，以及其前后10字节的数据

来源：163邮箱向某国有媒体实施钓鱼邮件攻击，主题内容较为精准 附件文件名：totboqnxd.zip等 文件MD5：834DE43CB81A7C96F53E79F146A3EBA2 压缩包密码为“123”（进一步说明，监测设备还是需要有一些常用密码进行解压检测的） 解压缩后明显存在winos隐藏文件夹，“财务查看”符合银狐的常见攻击手法 很明显病毒的主体为DropperV2.dll，MD5:

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021

蔓灵花的wmRAT于2022年被首次披露，披露时远控指令只有16个，并且有一半的指令无实际功能，之后多次捕捉到更新版本，表明蔓灵花组织正在积极开发该远控木马。 基本攻击流程如下： 其中计划任务下载的脚本程序会随请求的次数发生变化，以下是捕获的命名为cnv.oz的脚本命令 123456789cd C:\Users\public\documentstasklist > list_file.lo