厚积薄发，临危不乱。

近年来基于内存攻击、无文件攻击、缓冲区溢出等新兴攻击手段愈演愈烈，这些高级威胁常常利用了传统安全防护对系统自带的工具较为疏忽的痛点，在内存中远程加载和执行恶意代码进而达到数据窃取、破坏或勒索目的。

安芯网盾内存安全周报专栏，帮助企业更好的理解和认识到内存安全问题，希望能帮助用户有效应对系统设计缺陷、外部入侵等威胁，帮助用户实时防御并终止无文件攻击、0day 攻击、基于内存的攻击等。

1、APT28利用伪造的北约培训文档瞄准政府机构。

（9.24）

网络间谍组织APT28发起了一系列利用Zebrocy Delphi恶意软件的针对政府机构的攻击。Zebrocy恶意软件利用伪造的北约培训材料作为诱饵传播，在VirusTotal上的检测率仅为 3/61。另外，Zebrocy恶意软件是一个持久的后门，攻击者可以利用该后门来进行系统侦察并完全控制目标系统。其中的恶意代码会创建一个Windows调度的任务，该任务每分钟运行一次，并以混淆和加密的形式将数据发送到C2服务器，并带有post请求。该组织很可能针对与北约演习合作的其他北约成员或国家。

2、新的勒索攻击组织OldGremlin利用强大的后门程序对大型企业发起攻击。

（9.25）

一个新的勒索攻击组织OldGremlin正在使用自定义后门（TinyPosh和TinyNode）和勒索软件（TinyCrypt，又名decr1pt）以及第三方软件进行侦察和横向移动。攻击者通过鱼叉式网络钓鱼电子邮件开始攻击，该电子邮件提供了用于初始访问的自定义工具。他们使用有效名称作为发件人地址，冒充知名人士。OldGremlin通常在潜伏几周后才开始实施攻击，他们会删除服务器备份并锁定目标企业网络上的数百台计算机，对其进行超过5000美元的勒索。该团伙对攻击目标并不挑剔，只要是俄罗斯的知名企业（医学实验室，银行，制造商，软件开发商），就可能成为OldGremlin的受害者。

3、CISA警告利用LokiBot的攻击显著增加。

（9.22）

美国网络安全和基础设施安全局（CISA）发布了新的安全公告，警告自2020年7月以来使用LokiBot恶意软件的攻击激增。LokiBot的工作原理是感染计算机，然后使用系统内置功能搜索本地安装的应用程序并从其内部数据库中提取凭据。此外，LokiBot还可以用作后门，使黑客能够在受感染的主机上运行其他恶意软件，从而升级攻击。多年来，LokiBot已成为当今最受欢迎的密码窃取者之一。