网络安全公司Securonix发现了一种新型恶意活动SERPENTINE#CLOUD，该活动通过钓鱼邮件利用Cloudflare Tunnel传播恶意载荷。攻击链包括伪装成PDF的Windows快捷方式下载脚本，最终通过Python加载器注入内存，使用多种远程访问工具，增加了检测难度。该活动仍在持续，可能会演变并扩展至新地区。

Have I Been Pwned（HIBP）新增2.84亿个被窃取账户，数据来源于Telegram频道“ALIEN TXTBASE”。创始人Troy Hunt分析了1.5TB日志，发现230亿行数据，影响4.93亿网站和电子邮件。同时，HIBP更新了密码数据库，并新增API以识别恶意活动。

卡巴斯基发现名为SparkCat的恶意活动，针对加密货币钱包，通过OCR技术窃取恢复短语。该活动影响Android和iOS用户，恶意应用在官方商店中传播，下载量超过24.2万次，主要针对欧洲和亚洲用户，使用多语言关键词，显示出财务动机。尽管有审核机制，恶意应用仍然存在。

谷歌搜索结果现在依赖JavaScript，以“更好地保护”搜索免受恶意活动。这一举措反映了谷歌对网络的控制，强调了其对搜索结果的严格管理，导致“免费开放网络”变成“付费私密网络”。

一种新技术利用Windows的UI自动化框架进行恶意活动，能够绕过EDR监控。研究显示，攻击者可借此窃取敏感数据、发送消息或重定向至钓鱼网站。该技术原本用于辅助功能，但若被滥用，将带来严重安全风险。

安全报告显示，2023年钓鱼网站利用Cloudflare的Workers和Pages域名进行恶意活动的滥用率上升了100%至250%。犯罪团伙借助Cloudflare的声誉降低安全软件警惕，导致钓鱼攻击激增。建议加强安全软件监测，并启用双重验证以降低风险。

本文介绍了使用Sysmon日志分析恶意软件行为的方法，通过分析事件ID识别恶意活动，如恶意进程创建、文件下载和修改、网络连接等。文章还提供了一些问题，如Event ID 11的事件日志总数、恶意文件的时间戳、恶意进程的终止时间等。通过分析日志了解恶意软件的活动和行为。

Network_Assessment是一款功能强大的网络可疑活动监控工具，可以通过分析.pcap文件来检测和判断目标网络中的恶意活动。该工具基于Python开发，可以检测多种可疑网络活动和攻击行为，并显示在控制台中。使用前需要安装Python 3环境，并克隆项目源码并安装依赖组件。运行工具时需要输入.pcap文件的路径。

亚马逊云平台（AWS）发现了一种新的后渗透技术，利用SSM代理在Windows和Linux环境中运行。攻击者可以利用SSM代理进行恶意活动，无需部署其他恶意软件。建议企业删除SSM二进制文件，并确保EC2实例响应仅来自原始AWS账户的命令。

Trigona是一种新兴的勒索软件，于2022年10月底首次被发现。它在2022年12月开始活跃，并成功攻击了至少15家企业，涉及多个行业。Trigona的赎金通知以HTML应用程序形式发送，其中嵌入了JavaScript代码。研究人员发现Trigona与CryLock勒索软件有相似之处，可能由同一犯罪团伙开发。Trigona的攻击方法包括获得初始访问权、侦察、传输恶意软件和部署勒索软件。研究人员还发现了Trigona的恶意活动证据，包括使用Splashtop进行远程访问和管理、创建新用户帐户以及提取敏感信息的工具。目前，Trigona勒索软件仍在扩张中，企业和安全人员需要提高警惕。