1 DanaBot银行木马近期准对多个欧洲国家开展新一轮攻击

最近ESET研究人员发现DanaBot针对欧洲的新一轮活动，DanaBot是一种模块化银行木马，用Delphi编写，其大部分功能由插件实现。在波兰捕获的攻击中，多使用电子邮件冒充各个公司的发票，并使用了Powershell和VBS脚本的组合，其中使用的插件有如下：

   vnc     用于与受害者计算机的连接并远程控制

   Sniffer  用于在受害者访问银行网站事将恶意脚本注入到受害者的浏览器

   Stealer  从各种应用程序（浏览器、FTP客户端、VPN客户端、邮件等）收集密码

   Tor     安装Tor代理并允许访问onion网站

   RDP    用于与受害者计算机的连接并远程控制

DanaBot还在积极的进行开发，并展开攻击

威胁来源：

https://www.welivesecurity.com/2018/09/21/danabot-targeting-europe-adds-new-features/

IOC：

782ADCF9EF6E479DEB31FCBD37918C5F74CE3CAE
79F1408BC9F1F2AB43FA633C9EA8EA00BA8D15E8

AB0182423DB78212194EE773D812A5F8523D9FFD
70F9F030BA20E219CF0C92CAEC9CB56596F21D50

47DC9803B9F6D58CF06BDB49139C7CEE037655FE

EA3651668F5D14A2F5CECC0071CEB85AD775872C

C31B02882F5B8A9526496B06B66A5789EBD476BE

3F893854EC2907AA45A48FEDD32EE92671C80E8D

EBB1507138E28A451945CEE1D18AEDF96B5E1BB2

73A5B0BEE8C9FB4703A206608ED277A06AA1E384

2 （APT） Darkhotel针对高端商务人士、政要人物的精准攻击

近期腾讯御见研究团队披露了Darkhotel(黑店)APT组织的一些活动，该组织的攻击目标主要是电子行业、通信行业的企业高管及有关国家政要任务，其攻击范围遍布中国、朝鲜、日本、缅甸、俄罗斯等多个国家，该组织擅长使用劫持WIFI投递诱饵和鱼叉邮件攻击。

1 wifi劫持 ：该组织首先会攻击目标人物入住的酒店网络，并劫持该酒店的WIFI，当目标人物连上WIFI后，会提示用户相关软件需要更新，一般为Flash、chrome等等。当点击后，恶意软件就会安装并运行。

2 鱼叉邮件攻击：一般准对攻击目标发送精心伪造的邮件，诱导目标打开附件，投递的文件类型包括office文档、lnk、打包的exe等等

该组织使用的RAT包括XC-RAT、Asruex、lnexsmar、KONNI、Retro等等

威胁来源：https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q

IOC：

005861bdfe8aa4f06b3beadd52733ea5 
4b60d6bd743d0065b9d35075b9ad0dcc 
e1312f6cab732d3073d788eb6273f6ce
66f24890c29353ae661f2d11be5336af
c99478a064e90b2100e4275f93999def
45e0505a51b75991240d1318c23342ae
2dec0afb6423f2a6ab428f7755616b42 
8ccb1969f403332c8bac027c404fb1f5
687b76a75739130c213829b9a2db3309
cdf37af3853963438303f01f57d388d1 
969d8c74e6c1934dc3ff281409c372bf
b1048d7d2464f27a19b2adbf310158b1

3 Adwind恶意软件通过DDE垃圾邮件进行传播

近期思科Talos安全研究人员发现了一个新的恶意邮件推广活动，该活动推广Adwind3.0远程访问工具（RAT），使用的是能够躲避杀软拦截的DDE代码注入攻击。

威胁来源：

https://blog.talosintelligence.com/2018/09/adwind-dodgesav-dde.html

IOC：

0143b64f11346fab531951f7f1167a80e26728e6178676aacc9a58eca4b306d8 
05a3da412fb18736b93651a19cd87c2042db9dfdf8ad4e2a66239a7ec62a91ca 
05fff8c2a4c5090435420021d96992257433ac1bf247f6cebce9a64cf10f465f 
09c9ee0988af18b8df6123e439133df1356a88a7f0d890cb3b3e2414a427f4dd 
09cb501db2c5a8e7bbd8fd9a65f52363ebdb581bd7d5cbc77a732fd9f8bb5b59 
0a1ad19b950b8435e96be70d1bfb16b3bec4e9113c39299c8a89ddfd45ae24ab 
0a9dee3c14a4ec7acdde5283c44fc1d5fa163a9a9fc5cce40f011e5a2cce5403 
0b9605c9a49b1db8b703782162223fa8a09e864a92083e7427af89279db0520a 
0d96e9cbffb39b95cc3aec5a75e512564efa10a16cb0283119b1a997a2a63469 
0dec9c40241077c5c06474177dee7fef5931c7faa33d89f8d339fa2f6e7304b4 
0def2421327c971ae63075c533cf996951db4b5da72a2bc04bc0d304b4cbb510
0f46d262b2968aa45f7fe0e5363c4519927e3bd912d9efbad94b1d7fdb45d929 
0fc020ab20b3e77dd13c53d89d75db8257573e0eedf6833497dc05e68e3718ae 
106e8963f23ab2fc04adc04cffc6a3b59e36fffa91d69d1553c2a3bcf95fe828