每周高级威胁情报解读(2025.09.05~09.11)
APT37利用Rust后门和Python加载器攻击Windows;APT28使用GONEPOSTAL进行攻击;Contagious Interview滥用网络情报平台掩盖行动;NoisyBear 针对与哈萨克斯坦石油和天然气行业相关实体
奇安信威胁情报中心
Plague 后门深度分析:Linux 系统中的隐形杀手
Nextron Research发现了一种此前似乎未被公开记录的、极其隐蔽的Linux后门。该后门被研究人员命名为Plague。它被设计成一个恶意的 PAM(可插拔认证模块),使攻击者能够绕过系统认证机制,从而获取持久的 SSH 访问权限。
泛滥的供应链攻击又一例 - GhostAction行动窃取凭证信息事件解析
9月5日,GitGuardian安全研究团队发现了一起代号为“GhostAction”的大规模供应链攻击事件,攻击者通过操纵GitHub Actions工作流程,成功窃取了数千个敏感凭证,涉及327名GitHub用户的817个代码仓库。
JavaScript 生态供应链又一暴击 - 最新 npm 精准投毒搞钱活动详析
近期,JavaScript生态系统遭遇重大供应链攻击。攻击者通过社会工程学手段获取了Josh Junon的npm账户权,在至chalk、debug等核心基础库中植入恶意代码,下载量总计超过20亿次。这次攻击不仅规模庞大,其技术实现也极为精巧
CVE-2025-29824 在野 0day 漏洞利用样本研究
CVE-2025-29824 漏洞最早被微软威胁情报中心发现在野利用,并于 2025 年 4 月的补丁日修复。奇安信威胁情报中心于 2025/05/30 日监测到该漏洞的在野利用样本被上传至 vt并对该漏洞及样本进行了深入分析研究。
每周高级威胁情报解读(2025.08.29~09.04)
黄金暴涨下的网络暗战:UTG-Q-010组织供应链攻击直插香港金融心脏;Lazarus子组织使用三种RAT针对金融和加密货币领域;APT29通过仿冒网站获取目标的微软设备代码认证;APT37 针对韩国的大规模鱼叉式钓鱼攻击
OAuth令牌窃取如何撼动网络安全巨头 - Salesloft Drift 供应链攻击深度分析
近期公开了一起供应链攻击,攻击者通过入侵Salesloft的Drift窃取OAuth令牌,成功获取多家顶级网络安全公司Salesforce实例的访问权限。这次攻击被归因于威胁组织GRUB1(UNC6395),与ShinyHunters有关联
黄金暴涨下的网络暗战:UTG-Q-010组织供应链攻击直插香港金融心脏
2024年5月,奇安信威胁情报中心披露了针对游戏与人工智能的UTG-Q-010,随后该团伙对我司公开邮箱发起报复性鱼叉攻击。2025年7月,通过天擎“六合”引擎和红雨滴团队私有情报,发现该组织最新活动,针对中国香港地区金融机构进行供应链攻击
PromptLock: 首个AI驱动勒索软件的技术深度分析
ESET发现了一种名为"PromptLock"的新型勒索软件,被认为是"首个已知的AI驱动勒索软件",标志着恶意软件演化的重要里程碑,代表了人工智能技术在网络犯罪领域的新应用方向,其创新的技术架构已经为网络安全防御带来了新的挑战。
精准网络狙击王炸入口 WhatsApp 历史重要漏洞利用梳理
2025年8月,WhatsApp修复了一个严重的零点击漏洞CVE-2025-55177,该漏洞与苹果ImageIO框架的漏洞CVE-2025-43300组合使用,形成了一个复杂的攻击链,攻击者无需用户交互即可入侵设备并窃取敏感数据。
Citrix NetScaler 实战漏洞演变:从目录遍历到内存溢出的技术剖析
近年来,Citrix NetScaler ADC与Gateway持续爆发高危漏洞,引发全球网络安全领域关注。本文从CVE-2025-7775切入,深度剖析其技术原理与影响,并追溯相关历史漏洞演化历程,分析高级威胁行为体利用此类漏洞的攻击链路
每周高级威胁情报解读(2025.08.22~08.28)
Lazarus(APT-Q-1)近期利用 ClickFix 手法的攻击分析;TAG-144(Blind Eagle)持续针对哥伦比亚政府;APT-C-08(蔓灵花)组织新载荷披露;APT36借.desktop文件瞄准印度国防采购链
从防御到进攻:美国网络安全战略转型的深度调查报告
引言当今数字时代,网络安全威胁日益复杂化和严重化。
故障修复之下的陷阱:Lazarus(APT-Q-1)近期利用 ClickFix 手法的攻击分析
Lazarus 在以虚假招聘为诱饵的钓鱼攻击中融入 ClickFix 手法,钓鱼网站会在特定时机提示受害者摄像头配置不符合要求或者存在故障,并给出修复方案,修复命令看起来是下载 Nvidia 相关软件的更新,真实目的却是植入恶意软件。
深度揭露,银狐黑产借育儿补贴之名的精心骗局
UTG-Q-1000组织利用育儿补贴主题诱饵进行钓鱼攻击,窃取受害者身份、银行卡密码等信息。经过溯源追踪,在反制 C2 服务器后,我们发现了该团伙在桌面放置的各种微信群钓鱼话术、多种远控软件后台、以及微信聊天记录提取及筛选工具等。
暗影猎手:CVE-2025-43300 与高端移动设备零点击控制战场
最新发现的CVE-2025-43300是Apple ImageIO框架的一个严重安全缺陷,已被用于针对特定目标的复杂攻击。本报告将分析此漏洞的技术细节,探讨其可能的攻击者背景,并对比历史攻击案例,以揭示高级威胁组织的攻击模式和技术演进路径。
Chrome VPN 合法伪装下的恶意攻击:技术分析与扩展研究
近年来,攻击者已逐渐将合法软件的信任背书转变为突破防御体系的有力武器。“Legitimate Chrome VPN”案例便是这种攻击模式的典型体现,而此类利用用户对正规软件、插件及工具信任实施的攻击,在各类软件生态中均有显现
每周高级威胁情报解读(2025.08.15~08.21)
Kimsuky针对韩国的GitHub C2间谍活动披露;Scaly Wolf针对俄罗斯工程公司发起攻击;Static Tundra利用老旧网络设备长期渗透全球关键行业;Paper Werewolf利用WinRAR零日漏洞精准袭击俄罗斯政企
WinRAR 零日漏洞被又一个APT组织积极利用:纸狼人(Paper Werewolf)攻击活动深度分析
近期,BI.ZONE监测到Paper Werewolf组织利用WinRAR的两个路径遍历漏洞发动攻击,展现了其攻击能力。本报告将深入剖析纸狼人组织的攻击技术、历史活动以及所利用的WinRAR漏洞技术细节,为安全专家提供应对此类威胁的参考
XZ Utils 后门安全事件后续:持续潜伏的供应链威胁
尽管XZ Utils后门漏洞CVE-2024-3094早在 204年3月就已公开披露,引发全球安全社区高度警觉,但该漏洞的威胁仍在持续蔓延。至少12个Debian基础镜像仍暗藏恶意代码,由此衍生的"二阶"受感染镜像数量更是突破35个
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)