1.APT10组织攻击日本媒体行业

    FireEye设备检测并阻止了APT10针对日本媒体行业的攻击活动。在这系列攻击中，使用了鱼叉式钓鱼邮件攻击手法，主要通过宏病毒。并结合社会工程学如标题与海事、外交、朝鲜进行诱导点击，最后安装UPPERCUT后门。

APT10据FireEye是来自中国的黑客组织(也被称为石熊猫)

威胁来源:https://www.fireeye.com/blog/threat-research/2018/09/apt10-targeting-japanese-corporations-using-updated-ttps.html

文件IOC： 

4f83c01e8f7507d23c67ab085bf79e97

f188936d2c8423cf064d6b8160769f21

cca227f70a64e1e7fcf5bccdc6cc25dd

aa3f303c3319b14b4829fe2faa5999c1

126067d634d94c45084cbe1d9873d895

fce54b4886cac5c61eda1e7605483ca3

2.NSO组织的Pegasus间谍软件在45个国家活动

    以色列NSO集团生产并销售一款名为Pegasus的手机间谍软件，Pegasus是一套高度定制化和自动化的间谍软件，可以通过漏洞抵达内核，完全控制手机，然后窃取包括但不限于语音、电话、GMAIL、FACEBOOK、WHATSAPP、FACETIME等等，这次通过DNS缓存探测技术共探测到此款间谍软件在45个国家活动

威胁来源：https://citizenlab.ca/2018/09/hide-and-seek-tracking-nso-groups-pegasus-spyware-to-operations-in-45-countries/

3.绿斑APT组织持续多年的攻击

    今日安天cert公布和揭露“绿斑”APT组织，此组织以互联网暴露目标和资产为攻击入口，并结合社工邮件进行攻击。该组织初期多采用开源或者免费工具，中后期多采用改良1day和陈旧漏洞，主要目标针对中国政府部门和航空、军事的科研机构进行攻击。多采用鱼叉式邮件附加漏洞文档攻击。主要使用的漏洞有CVE-2012-0158、CVE-2014-4114、CVE-2017-8759。相关的载荷有Poisonlvy RAT 后门、Gh0st后门、HttpBots后门、ZXSHELL后门。

威胁来源：http://www.antiy.com/response/20180919.html

4.针对Linux和Windows服务器的新恶意软件系列Xbash

    近日Unit 42安全研究人员发现了一个针对Linux和Windows服务器的新恶意软件系列Xbash，该款恶意软件将僵尸网络、恶意挖矿、勒索功能集成到一起进行传播，传播方式通常有弱口令和Nday漏洞进行传播。对于某些服务，如VNC，Rsync，MySQL，MariaDB，Memcached，PostgreSQL，MongoDB和phpMyAdmin，如果相关端口打开，它将使用内置的密码字典尝试登录。还包含Telnet，FTP和Redis等服务的通用或默认密码。如果Xbash成功登录到包括MySQL，MongoDB和PostgreSQL的服务，它将删除服务器中几乎所有现有数据（除了存储用户登录信息的一些数据），创建一个名为“PLEASE_READ_ME_XYZ”的新数据库，并插入一个赎金消息进入新数据库的表“WARNING”，在发现目标有Hadoop，Redis或ActiveMQ运行时，会尝试利用漏洞进行自我传播包括1、Hadoop YARNResourceManager未经身份验证的命令执行2 、Redis任意文件写入和远程命令执行 3、ActiveMQ任意文件写入漏洞（CVE-2016-3088）

威胁来源：https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

文件IOC：

0b9c54692d25f68ede1de47d4206ec3cd2e5836e368794eccb3daa632334c641

e59be6eec9629d376a8a4a70fe9f8f3eec7b0919019f819d44b9bdd1c429277c

f808a42b10cf55603389945a549ce45edc6a04562196d14f7489af04688f12bc

5.通过MHT网页文件传播的恶意软件

    MHT文件是聚合网页文档，单个文件网页可以将网站的所有元素（包括文本喝图形）都保存到单个文件中。最近发现有黑客通过投递MHT恶意文件进行攻击，恶意文件会下载一个Adwind木马执行

威胁来源：https://isc.sans.edu/forums/diary/Malware+Delivered+Through+MHT+Files/24096/

IOC：fe2edf097ad9e50169b1f33dc4c32371134ba0e8e2893aa8899ae003712d1f5a

6.毒云藤（APT-C-01）军政情报刺探者揭露

    360追日团队发现毒云藤组织主要针对中国国防、政府、科技、教育以及海事机构等重点单位，主要的攻击方式为鱼叉式钓鱼邮件攻击，并使用了1个0day漏洞，主要使用的漏洞有CVE-2012-0158、CVE-2014-6352（0day）、CVE-2017-8759，使用RAT主要有ZxShell、Poison lvy、kbox、puppet、httpbot、gh0st、AresRemote、shellcode、XRAT、FakeRising、FakeWinupdate、sBlog2014、SBlog2015

威胁来源：https://ti.360.net/uploads/2018/09/20/6f8ad451646c9eda1f75c5d31f39f668.pdf

IOC：

 03d762794a6fe96458d8228bb7561629

0595f5005f237967dcfda517b26497d6

07561810d818905851ce6ab2c1152871

0e80fca91103fe46766dcb0763c6f6af

1374e999e1cda9e406c19dfe99830ffc

1396cafb08ca09fac5d4bd2f12c65059

1ab54f5f0b847a1aaaf00237d3a9f0ba

1aca8cd40d9b84cab225d333b09f9ba5

1dc61f30feeb60995174692e8d864312

250c9ec3e77d1c6d999ce782c69fc21b

2579b715ea1b76a1979c415b139fdee7

26d7f7aa3135e99581119f40986a8ac3

27f683baed7b02927a591cdc0c850743

28e4545e9944eb53897ee9acf67b1969

2a96042e605146ead06b2ee4835baec3

2c405d608b600655196a4aa13bdb3790

30866adc2976704bca0f051b5474a1ee

31c81459c10d3f001d2ccef830239c16

3484302809ac3df6ceec857cb4f75fb1

36c23c569205d6586984a2f6f8c3a39e

382132e601d7a4ae39a4e7d89457597f

3e12538b6eaf19ca163a47ea599cfa9b

41c7e09170037fafe95bb691df021a20

45e983ae2fca8dacfdebe1b1277102c9

4e57987d0897878eb2241f9d52303713

5696bbee662d75f9be0e8a9ed8672755

5e4c2fbcd0308a0b9af92bf87383604f

5ee2958b130f9cda8f5f3fc1dc5249cf

5f1a1ff9f272539904e25d300f2bfbcc

611cefaee48c5f096fb644073247621c

67d5f04fb0e00addc4085457f40900a2

6a37ce66d3003ebf04d249ab049acb22

6ca3a598492152eb08e36819ee56ab83

7639ed0f0c0f5ac48ec9a548a82e2f50

76782ecf9684595dbf86e5e37ba95cc8

785b24a55dd41c94060efe8b39dc6d4c

7c498b7ad4c12c38b1f4eb12044a9def

81232f4c5c7810939b3486fa78d666c2

81e1332d15b29e8a19d0e97459d0a1de

8abb22771fd3ca34d6def30ba5c5081c

95f0b0e942081b4952e6daef2e373967

9b925250786571058dae5a7cbea71d28

9bcb41da619c289fcfdf3131bbf2be21

9f9a24b063018613f7f290cc057b8c40

a73d3f749e42e2b614f89c4b3ce97fe1

a807486cfe05b30a43c109fdb6a95993

a8417d19c5e5183d45a38a2abf48e43e

acc598bf20fada204b5cfd4c3344f98a

accb53eb0faebfca9f190815d143e04b

adc3a4dfbdfe7640153ed0ea1c3cf125

ae004a5d4f1829594d830956c55d6ae4

b0be3c5fe298fb2b894394e808d5ffaf

b244cced7c7f728bcc4d363f8260090d

b301cd0e42803b0373438e9d4ca01421

bd2272535c655aff1f1566b24a70ee97

bd4b579f889bbe681b9d3ab11768ca07

bfb9d13daf5a4232e5e45875e7e905d7

c31549489bf0478ab4c367c563916ada

c8755d732be4dc13eecd8e4c49cfab94

c8fd2748a82e336f934963a79313aaa1

ca663597299b1cecaf57c14c6579b23b

d12099237026ae7475c24b3dfb5d18bc

d61c583eba31f2670ae688af070c87fc

dde2c03d6168089affdca3b5ec41f661

e2e2cd911e099b005e0b2a80a34cfaac

e9a9c0485ee3e32e7db79247fee8bba6

ec7e11cfca01af40f4d96cbbacb41fed

eff88ecf0c3e719f584371e9150061d2

f0c29f89ffdb0f3f03e663ef415b9e4e

f1b6ed2624583c913392dcd7e3ea6ae1

f27a9cd7df897cf8d2e540b6530dceb3

f29abd84d6cdec8bb5ce8d51e85ddafc

f3ed0632cadd2d6beffb9d33db4188ed

fbd0f2c62b14b576f087e92f60e7d132

fccb13c00df25d074a78f1eeeb04a0e7

0fb92524625fffda3425d08c94c014a1

168365197031ffcdbe65ab13d71b64ec

2b5ddabf1c6fd8670137cade8b60a034

517c81b6d05bf285d095e0fd91cb6f03

7deeb1b3cce6528add4f9489ce1ec5d6

aa57085e5544d923f576e9f86adf9dc0

cda1961d63aaee991ff97845705e08b8

e07ca9f773bd772a41a6698c6fd6e551

fb427874a13f6ea5e0fd1a0aec6a095c