概述近期，奇安信威胁情报中心红雨滴团队利用公开情报发现一个摩诃草团伙的XLSM诱饵文档样本，经过分析发现其载荷主要通过 Github 和 Feed43获取加密的 C&C 配置。通过关联分析我们找到了更多被摩诃草利用的 Github 地址，最早可以追溯到2018年7月，并且截至报告完成时，相关账号依然在使用。本文主要对Github上配置文件的解密算法分析和通过解密的数据总结出

声明：本文仅限于技术交流，禁止恶意利用，否则后果自负！一、背景介绍本文的复现场景源于2017年11月维基解密Vault 8文件曝光的CIA网络武器库之CIA Hive[1]工具。CIA Hive工具的主要功能是辅助CIA其他恶意软件隐蔽控制、运行。CIA Hive的整体结构可以分为四层，如图 1 所示。图 1具体关于CIA Hive各层对应详细解析请参考[2]，本次复现场景聚焦模拟实现并验证隐藏服

译文声明本文是翻译文章，文章原作者zerodayinitiative，文章来源：zerodayinitiative.com                                原文地址：https://www.zerodayini

                                                       &nb

很少有目标像自动取款机（ATM）那样吸引犯罪分子，与银行或装甲车不同，它有最少的监控而且没有防护装置。因此，ATM成为各种攻击的目标。在欧洲，针对ATM的攻击连续第四年上升，2018年与2017年相比增长了27％。2018年各种攻击造成的损失超过3600万欧元（4050万美元），比2017年增加了16％。 据估计，到2020年，全球将有超过350万台自动柜员机在使用，意味着犯罪分子的机会变得更多

“明修栈道，暗度陈仓”，出自《史记·淮阴侯列传》，原指从正面迷惑敌人，用来掩盖自己的攻击路线，而从侧翼进行突然袭击。引申意：用明显的行动迷惑对方，使敌人不备的策略，也比喻暗中进行活动。用假象迷惑对方以达到某种目的。这是声东击西、出奇制胜的谋略。近期，暗影实验室监测到与“暗度陈仓”的典故极其类似的一个病毒，样本名为“换机精灵”，伪装成正常样本进而欺骗用户，并在用户不知情的情况下执行各项恶意操作。一、

概述Machete是一个由西班牙语组织开发的网络间谍工具集，自2010年以来一直处于活动之中。该组织持续为其恶意软件开发新功能。他们长期攻击的重点在拉丁美洲国家，多年来一直收集目标国家情报并改进他们的攻击策略。 近期研究人员发现了一项持续的，针对性很强的攻击活动，其中大多数目标都是军事组织。在2019年，已超过50台计算机被Machete攻击。其中约75％属于拉美各国的军事力量，其中一半以上属于

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。一、摘要在对Exim邮件服务器的最新更改进行代码审查期间（https://en.wikipedia.org/wiki/Exim），我们发现了一个RCE漏洞，版本4.87至4.91（含）。在这种特殊情况下，RCE表示远程*命令*执行，而不是远程执行代码：攻击者可以以root身份执行ex

                                                       &nb

医疗卫生行业令人尊敬，它是患者寄托生死大任的职业，无论是医院，卫生院，医疗器械，药店等等，你都把自己的健康和生命交给了它。而一些恶魔，却将犯罪之手伸向了这片圣洁之地，殊不知其呱呱坠地之时，同样来自医院之劳，忘其恩也罢，却损其利，将成千上万病人病例、药方、学术报告等重要医疗卫生资料通过恶意计算机病毒加密成一个不可查看文件，并以此勒索医院，交赎金还原文件。奇安信威胁情报中心一直对此类犯罪活动表示谴责，