近期，天穹沙箱分析人员发现一个新的银狐钓鱼样本在互联网中传播。经分析，该样本封装了高度集成化的网络攻击工具，利用多种反调试手段侦测运行环境，通过多阶段注入系统服务进程实现常驻和隐蔽执行，体现了该家族日益强大的恶意代码开发能力。下面结合天穹沙箱分析报告对该样本进行深入分析。

McAfee近期研究发现，部分安卓恶意软件正滥用.NET MAUI跨平台框架来规避检测。这些恶意样本伪装成合法应用，试图窃取用户敏感数据。天穹沙箱具备强大的安卓样本分析功能，我们将结合报告中的样本行为进行深度解析，揭示其攻击手法。

在Windows系统中，批处理（BAT）脚本作为一种自动化执行工具，因其简单易用、无需额外依赖的特性，被广泛用于系统管理、文件操作、程序批量处理等场景。然而，随着安全需求的提升，越来越多的BAT脚本利用混淆技术来隐藏真实意图，尤其是在恶意软件领域。这些混淆手段使得分析人员难以直接阅读和理解脚本的逻辑，增加了逆向分析的难度。为应对这一挑战，天穹沙箱推出BAT脚本执行追踪技术，通过追踪脚本的执行过程，获取脚本运行时的实际命令序列，可以绕过静态分析中的混淆障碍，还原脚本的真实行为。

近期，有用户反馈公司内部邮箱收到了恶意投递的钓鱼邮件，天穹沙箱团队立刻紧急响应此事件。经分析，该样本将自身伪装为桌面微信程序，使用PyInstaller打包试图绕过EDR检测，最终加载ValleyRAT的载荷。ValleyRAT是一种远程访问木马（Remote Access Trojan, RAT），它允许攻击者远程控制受感染的计算机系统，通常通过钓鱼邮件、恶意附件或软件漏洞传播，一旦安装在受害者的设备上，就能够执行多种恶意活动。结合近期攻击事件推断，此样本与银狐组织活动有关，样本使用的诸多手法与该组织相符合。下面结合天穹沙箱分析结果对该样本进行详细分析。

近期，天穹沙箱分析人员发现一款植入了CobaltStrike后门的勒索病毒样本，在此前的分析中，勒索病毒通常会在勒索信中留下链接或邮箱等联系方式，不具备后门功能，少部分会携带自己编写的后门，但携带CobaltStrike作为后门的勒索病毒还是首次遇见。经分析，该样本为最新版本的D0GLUN家族（中文名为：澪川勒索）勒索病毒，以下对该样本进行深入分析。

在信息安全领域，Shellcode以其小巧、简洁、独立等特性，常被作为漏洞利用的功能载荷插入到系统或某些程序中实现攻击者的意图，如获取系统控制权、下载并执行恶意软件、创建后门或发送数据等。因此，检测和分析Shellcode是信息安全防护的重要环节。为了能够智能化分析Shellcode，天穹沙箱推出了Shellcode模拟执行功能，该功能能够模拟执行各种Shellcode，捕获执行过程中的关键行为，包括内存操作、系统调用、网络活动等，并深入分析其行为和特征，生成详细的分析报告，帮助安全研究人员更好地理解和识别潜在的恶意代码。