又一个Confluence倒下了:CVE-2023-22527漏洞导致ELPACO-team勒索软件入侵
又一个 Confluence 服务器倒下了:CVE-2023-22527 漏洞导致 ELPACO-team 勒索软件入侵来源:The DFIR Report | 编译:比特波特────────────
阅读全文AI驱动漏洞海啸来袭:修复窗口从数周压缩到数小时
2026年4月,Anthropic 发布了代号为 Project Glasswing 的前沿 AI 模型 Mythos——它能够以前所未有的深度和速度自主发现并利用生产软件中的漏洞,这种能力此前只有经
阅读全文微软智能体SOC:用AI重新定义安全运营的下一个十年
近年来,攻击者行为的每一次重大转变,都紧随防御方运营模式的关键变革。当SOC部署EDR乃至XDR后,攻击者被迫转向云基础设施寻求更大规模和更快速度。如今,随着自动化和AI的引入,安全团队再次提升防线,
阅读全文Storm-1175 高频勒索攻击全链路:从 N-day 漏洞到 Medusa 部署最快仅 24 小时
微软威胁情报团队最新披露:一个名为 Storm-1175 的高活跃度勒索软件组织,正持续利用已公开的 N-day 漏洞(甚至零日漏洞)攻击暴露在公网的系统。从初始入侵到部署 Medusa 勒索软件,整
阅读全文微软揭秘Storm-2755:薪资劫持攻击如何绕过MFA窃取加拿大员工工资
Storm-2755 攻击流程示意图 微软事件响应团队(DART)近期发现一个新兴的经济动机威胁组织——Storm-2755,正针对加拿大员工发动"薪资劫持"(Payroll Pirate)攻击。
阅读全文IRGC旗下组织CyberAv3ngers:从默认密码到ICS网络武器的四年演进
一个与伊朗有关联的威胁组织,已经从篡改水务设施显示画面,进化到部署定制化 ICS 恶意软件,并利用 Rockwell Automation PLC 漏洞攻击美国多个关键基础设施领域。─────────
阅读全文RDP密码喷洒到全网沦陷:RansomHub勒索软件六日入侵全链路
一次成功的密码喷洒攻击,在六天内演变为全网 RansomHub 勒索软件部署——攻击者通过暴露在外的 RDP 服务器获得初始访问权限,利用 Mimikatz 窃取凭据、Rclone 外传数据,最终通过
阅读全文Rapid7一线实录:CVE-2025-59718 FortiGate 防火墙入侵事件深度剖析
Rapid7 事件响应团队近日发布了一份深度技术分析报告,详细披露了攻击者利用 CVE-2025-59718 漏洞入侵 FortiGate 防火墙设备的完整攻击链。本文从一线 IR 调查视角出发,还原
阅读全文KongTuke FileFix 攻击链:新型 PHP 版 Interlock RAT 深度剖析
The DFIR Report 与 Proofpoint 联合发现了一款全新的 Interlock 勒索软件组织的远程访问木马(RAT)变种。该变种从此前基于 JavaScript 的 Interlo
阅读全文一线牵三伙:一次入侵揭示横跨三大勒索软件组织的关联
摘要:The DFIR Report 团队在一次入侵调查中发现,同一名威胁行为者竟然同时与 Play、RansomHub 和 DragonForce 三大勒索软件组织存在关联。从伪装成 EarthTi
阅读全文APT28利用SOHO路由器发动DNS劫持与中间人攻击
来源:Microsoft Threat Intelligence Blog · 2026-04-07📌 核心要点俄罗斯军事情报组织 Forest Blizzard(即 APT28/Strontium)
阅读全文BlueHammer:研究员公开未修复 Windows 零日漏洞,可提权至 SYSTEM
BlueHammer:研究员公开未修复 Windows 零日漏洞,可提权至 SYSTEM来源:Security Affairs · 2026-04-07📌 核心要点安全研究员 Nightmare-Ec
阅读全文CVE-2026-35616:Fortinet FortiClientEMS 零日漏洞已被野外利用(CVSS 9.1)
CVE-2026-35616:Fortinet FortiClientEMS 访问控制漏洞已被野外利用Tenable 安全研究团队 | 2026年4月6日────────────────紧急预警:CV
阅读全文微软揭秘:AI驱动的Device Code钓鱼攻击如何规模化绕过MFA
微软 Defender 安全研究团队近期发现了一场大规模钓鱼攻击活动,攻击者利用 OAuth 2.0 Device Code(设备码)认证流程,以规模化方式入侵企业账户。与传统的设备码攻击不同,该活
阅读全文Cookie控制的PHP Webshell:Linux托管环境中的隐秘攻击手法
攻击者正越来越多地将 HTTP Cookie 用作 Linux 服务器上 PHP Webshell 的控制通道。他们不再通过 URL 参数或请求体暴露命令执行逻辑,而是将恶意功能隐藏在 Cookie
阅读全文开发者凭据经济:为什么暴露数据是供应链战争的新前线
近期一系列供应链攻击事件揭示了一个令人不安的新趋势:开发者凭据经济正在成为网络犯罪的新兴蓝海市场。攻击者不再仅仅入侵软件供应链,而是系统性地利用供应链攻击来收割安全团队最信任的工具中的"王国钥匙"——
阅读全文从 Bing 搜索到勒索软件:Bumblebee 与 AdaptixC2 联手部署 Akira
一次看似普通的 Bing 搜索,如何在 44 小时内演变为全面的勒索软件攻击?The DFIR Report 最新披露了一起真实入侵案例:攻击者通过 Bing SEO 投毒手段,将用户引导至伪造的 M
阅读全文一次点击的代价:Lunar Spider 发动近两个月入侵完整分析
一次点击的代价:Lunar Spider 如何发动近两个月的入侵来源:The DFIR Report · 2025-09-29 · 案例编号 #28761📌 核心要点攻击始于用户执行恶意 JavaSc
阅读全文从 Bing 搜索到勒索软件:Bumblebee 投递 Akira 完整分析
从 Bing 搜索到勒索软件:Bumblebee 与 AdaptixC2 如何投递 Akira 勒索软件来源:The DFIR Report · 2025-11-04 · 案例编号 #TB36726📌
阅读全文微软深度分析:威胁行为者将AI从工具升级为网络攻击表面
在过去一年中,"速度"这个词代表了 AI 与网络安全交汇处的核心讨论。速度固然重要,但它并非当前威胁态势中最关键的转变。如今,从国家级威胁组织到网络犯罪团伙,攻击者正在将 AI 深度嵌入其攻击的规划、
阅读全文Rapid7深度分析:2025年暗网初始访问代理市场趋势、定价与论坛格局
初始访问代理(Initial Access Brokers, IABs)是网络犯罪生态系统的关键组成部分,为勒索软件、数据窃取和敲诈勒索提供即插即用的基础设施。Rapid7 对 2025 年下半年五大
阅读全文Rapid7深度剖析:BPFdoor内核级后门如何潜伏在电信网络中
Rapid7 Labs 数月调查发现,高级中国关联威胁组织 Red Menshen 在全球电信网络中植入了前所未有的隐蔽数字"休眠单元",目标包括政府网络,旨在实施高级情报收集行动。🔍 核心发现:攻击
阅读全文Axios 供应链攻击深度剖析:维护者账户被劫持,投毒版本植入跨平台 RAT
2026 年 3 月 31 日,全球使用最广泛的 HTTP 客户端库 Axios(周下载量超 3 亿次)遭遇供应链攻击。两个被投毒版本 axios@1.14.1 和 axios@0.30.4 通过被劫
阅读全文Axios 遭遇供应链攻击:被投毒版本植入 RAT 远控木马
npm 生态系统再次遭受重击。全球最流行的 HTTP 客户端库 Axios(周下载量超过 1.5 亿次)被曝遭受供应链攻击——多个被投毒的版本被发布到 npm 仓库,其中嵌入了远程访问木马(RAT)。
阅读全文Apache ActiveMQ漏洞导致LockBit勒索软件攻击事件分析
Apache ActiveMQ 漏洞利用导致 LockBit 勒索软件攻击 原文:The DFIR Report | 翻译整理:雨 核心要点:攻击者利用 CVE-2023-46604 漏洞入侵 A
阅读全文OpenClaw 安全风险分析与网络流量检测方案
OpenClaw 安全风险分析与网络流量检测方案摘要本文分析了开源个人AI助手框架 OpenClaw 在企业网络环境中可能引入的安全风险,并提供了基于 Suricata(网络入侵检测系统) 的网络流量
阅读全文应急案例分享-利用UEMS作为远控
点击蓝字 关注我们事发某同事突然在微信工作群里发送关于补助办理以及二维码的通知。随后群里的同事以及受害者本人看到消息,判断出可疑并立刻通知到安全团队。遂上机排查。分析与排查受害者A记录同样是从网络外联
阅读全文从必应搜索到勒索软件:Bumblebee 和 AdaptixC2 植入 Akira
jackgreen译自:https://thedfirreport.com/PART0序言 Bumblebee恶意软件自2021年底以来一直被威胁行为者用作初始访问工具。2023年,该恶意软件首
阅读全文BlackSuit勒索活动伪造Zoom钓鱼
关键要点• 2024 年 12 月发现了一个与勒索软件附属公司相关的开放目录,可能与 Fog 勒索软件组织有关。它包含用于侦察、利用、横向移动和持久性的工具和脚本。• 初始访问权限是使用泄露的 So
阅读全文BlackSuit勒索活动伪造Zoom钓鱼
关键要点• 攻击者通过一个伪造的 Zoom 安装程序成功突破了网络边界,该程序利用 d3f@ckloader 和 IDAT 加载器投放 SectopRAT。• 经过九天的潜伏期后,SectopRAT
阅读全文