OilRig自2016年以后一直活跃，他们不断的更新他们的攻击组件。在2018年8月，Unit 42观察到OilRig组织针对政府组织使用鱼叉式网络攻击来投放更新过的BONDUPDATER木马，BONDUPDATER木马是使用powershell语言编写的木马，木马使用DNS隧道与C&C进行通信，如命令执行，上传下载文件。共使用两种DNS隧道协议跟C&C进行通信，分别是DNS A记录和DNS TXT记录，而木马使用DNS TXT记录进行通信，也是BONDUPDATER木马的一个新功能。

情报来源：

    https://researchcenter.paloaltonetworks.com/2018/09/unit42-oilrig-uses-updated-bondupdater-target-middle-eastern-government/

IOC

    C&C：withyourface.com

Dropper Docs:

    7cbad6b3f505a199d6766a86b41ed23786bbb99dab9cae6c18936afdc2512f00

    c0018a2e36c7ef8aa15b81001a19c4127ad7cd21ae410c1f854e5dadfa98b322

    d5c1822a36f2e7107d0d4c005c26978d00bcb34a587bd9ccf11ae7761ec73fb7

2 LuckyMouse组织使用带有深圳联软科技签名的驱动程序

    在2018年3月以来，卡巴斯基发现了未知的木马被注入到lsass.exe系统进程中。经过分析这些木马是通过深圳联软科技签名的网络过滤驱动程序NDISProxy注入的，并向CN-cert通报了这个问题。恶意组件一共三个模块，初始的安装程序会将加密的木马添加到系统注册表中，并释放带有数字的签名的网络过滤驱动（NDISProxy）,并设置服务自启动。释放的网络过滤驱动会解密木马并将其注入到lsass进程中，并过滤3389端口的流量，以便将木马的C&C通信插入其中，注入的木马会与驱动通信，3389和443两个端口是可疑的通信信道，

情报来源：

    https://securelist.com/luckymouse-ndisproxy-driver/87914/

IOC：

    Droppers-installers

        9dc209f66da77858e362e624d0be86b3

        dacedff98035f80711c61bc47e83b61d

    Drivers：
        8e6d87eadb27b74852bd5a19062e52ed
        d21de00f981bb6b5094f9c3dfa0be533
        a2eb59414823ae00d53ca05272168006
        493167e85e45363d09495d0841c30648
        ad07b44578fa47e7de0df42a8b7f8d2d

    Auxiliary Earthworm SOCKS tunneler and Scanline network scanner
        83c5ff660f2900677e537f9500579965
        3a97d9b6f17754dcd38ca7fc89caab04

    Domains and IPs

        103.75.190[.]28
        213.109.87[.]58

3 Mirai和Gafgyt僵尸网络开始针对Apache Struts和SonicWall 进行漏洞攻击

    Unit 42发现了Mirai和Gafgyt僵尸网络的新变种，新的Mirai变种针对Apache Struts的漏洞为CVE-2017-5638，除了针对此漏洞里面还 包含了其他15个漏洞攻击代码。而Gafgyt变种则包含了最近披露的SonicWall漏洞（CVE-2018-9866）的攻击。

情报来源：

    https://researchcenter.paloaltonetworks.com/2018/09/unit42-multi-exploit-iotlinux-botnets-mirai-gafgyt-target-apache-struts-sonicwall/

IOC：

    d6648a36f55d6b8ffd034df7d04156d31411719ce9bc28e6d30c8427feacb397

    710d56a90b5f61c7ae82fcf305d23d48476e4f237ffff9d68b961171f168f255

    52274c46933c20aaf64fd4c11557143fcfdc76eef192743fafd1b3a8bed3f4d2

    078eef70d754e9b64bc783f085846a2e8ae419653a79ed2386c4ade86fde68cb

    ef090093496ccdab506848166a07554bfa74eb98a0546171b84fc73861f67c79

    49cdb537f5e4081362545532a623f597212c8cea847cf9f2b2f1fe1f3cd0ec2f

    99c22a0c0e252ab123fb3167f49d94dc12960b79565ca6dfd28f2ff5b0346348

    ae2354a5d8b84fb6ea6fc4b9ca3060959d5c0c77684cd2100731df2a3c7a204e

    1913cf8e65114136cc309e72c384b717f0aeaaeae0c040188648c4afebce1669

    1814c010f5e7391c7ea38850f9caf0771866e315f8d0c58c563818e71d30c208

    29540468514cd48b6c2571722018dffb49d12f99c95b248a44a1455fff01acfb

    39891a1c13e4e6ec9de410201f697d23c05e83a29ec0010c6c62c6829386e6a6

    596270e91ccee3ec04a552bafde586af127ecac7141852edb9707ac6c4779a99

    68b27935c7d064478339f7d95b57ff06ffa1efbd81009b4a2870c5cf3e0b0b35

    92a4c6ae034c3a03c21b74bdc00264192e60a85deedd90b99a3e350758eb85c1

    aab0ec600cdf57f28f9480ff3a9d3547f699af005c015b74c5c9e39a992570b6

    d8fbf6d68993045b4840729c788665ab10c50c42b27246a290031664f3b956eb