南方水务遭受 Black Basta 网络攻击,损失 450 万英镑
南方水务公司(Southern Water)是英国最大的公用事业公司之一,负责英格兰南部地区供水和废水处理服务。2024年初,该公司遭受了Black Basta勒索软件组织的网络攻击,导致大规模数据泄
阅读全文黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告
我是如何意外发现互联网上最常被利用的 XSS 漏洞之一的我的故事开头可能和许多技术博客的读者一样熟悉——又是一个独自坐在电脑前,平淡无奇的夜晚。出于纯粹的学习目的,我打开了一个 Chrome 隐身窗口
阅读全文Lotus Blossom 间谍组织利用不同版本的 Sagerunex 和黑客工具攻击多个行业
思科 Talos 发现了多起针对政府、制造业、电信和媒体的网络间谍活动,并提供了 Sagerunex 和其他黑客工具用于后续活动。 Talos 将这些攻击归咎于名为Lotus Blossom 的威胁行
阅读全文2024 年恶意基础设施报告
执行摘要2024 年,Insikt Group 显著扩展了对恶意基础设施的跟踪,涵盖了更多恶意软件家族和类别、额外的基础设施类型(例如暂存服务器)以及集成数据源(例如 Recorded Future®
阅读全文第一部分:Silver Fox APT (银狐)滥用 Philips DICOM Viewer 来传播用于后门访问的 RAT
2023 年和 2024 年,医疗保健都是最受关注的关键基础设施领域。虽然其中许多攻击涉及勒索软件,影响数据可用性并可能扰乱患者护理,但对医疗保健组织的其他威胁则直接利用医疗应用程序。在对新型恶意软件
阅读全文Lorenzo Meacci的高级初始访问技术
初始访问简介初始访问可以说是红队评估中最微妙的部分。获取初始访问权的方法有很多种。第一种方法是搜索目标员工的泄露凭据或访问密钥。但是,这是一种概率方法,客户端可能没有暴露在外部边界的远程访问服务。另一
阅读全文将你的 Word 武器化——恶意模板注入
将你的 Word 武器化——恶意模板注入从历史上看,通过电子邮件发送文件是威胁行为者常用的初始访问技术。就我个人而言,我曾见过包含恶意软件的电子邮件被证明是有效的,在涉及恶意软件感染的 IR(事件响应
阅读全文Bybit 热钱包漏洞技术分析
概述2025 年 2 月 21日14:13:35 UTC ,执行了一项恶意交易,通过 SafeWallet 的调用升级了 Bybit 热钱包代理的实现。此分析详细说明了事件顺序、链上操作和潜在攻击者的
阅读全文在 AWS 上创建 C2 基础设施
C2 框架和基础设施简介命令和控制 (C2) 框架是红队用来管理远程受感染系统的平台。大多数情况下,C2 由两个主要组件组成:团队服务器和客户端。团队服务器是 C2 的核心,而另一方面,团队使用客户端
阅读全文网络钓鱼:利用动态混淆的 JavaScript、PHP 和 .htaccess 绕过保护
介绍在本文中,我们详细介绍了一个 PHP 脚本,该脚本旨在动态生成 JavaScript 代码,用于重定向用户并绕过某些电子邮件保护。我们还探讨了.htaccess在网络钓鱼活动期间使用 Apache
阅读全文CVE-2025-20029:F5 Big-IP限制性CLI中的TMSH CLI注入命令注入
CVE-2025-20029:F5 BIG-IP 中 TMSH CLI 的命令注入F5“tmsh”受限 CLI 中存在命令注入漏洞,该漏洞允许经过身份验证的攻击者利用低权限用户可访问的命令来绕过限制、
阅读全文2,500 多个 Truesight.sys 驱动程序变体可绕过 EDR 并部署 HiddenGh0st RAT
一项大规模恶意软件活动被发现利用与 Adlice 产品套件相关的易受攻击的 Windows 驱动程序来逃避检测并传播Gh0st RAT 恶意软件。Check Point在周一发布的新报告中表示: “为
阅读全文0day漏洞:Parallels Desktop Repack Root权限提升
今天,我披露了一个可以绕过CVE-2024-34331补丁的0-day 漏洞。我已经确定了两种不同的方法来绕过该修复程序。这两种绕过方法都分别报告给了Zero Day Initiative (ZDI)
阅读全文通过欺骗植入回调在 Sliver C2 团队服务器上进行 SSRF(CVE-2025-27090)
概括Sliver C2是一个开源跨平台对手模拟/红队框架,红队成员和威胁行为者都使用它。在审计代码库时,我发现了一个漏洞,攻击者可以在团队服务器上打开到任意 IP/端口的 TCP 连接,并通过套接字读
阅读全文PAC 攻击中使用的隐形混淆技术
2025 年 1 月初,瞻博网络威胁实验室在调查针对美国某主要政治行动委员会 (PAC) 附属机构的复杂网络钓鱼攻击1 时,发现了一种新的 JavaScript 混淆技术。这项技术最早由 X 上的一名
阅读全文僵尸网络以 Microsoft 365 密码喷洒攻击中的 Basic Auth 为目标
一个由超过 130,000 台受感染设备组成的庞大僵尸网络正在对全球的 Microsoft 365 (M365) 帐户进行密码喷洒攻击,目标是基本身份验证以逃避多因素身份验证。根据 SecurityS
阅读全文加密货币 APT 情报:揭秘 Lazarus Group 入侵手法
作者:23pds & Thinking编辑:Liz背景自 2024 年 6 月以来,慢雾安全团队陆续收到多家团队的邀请,对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查
阅读全文安全警报:异步恶意软件使用null-AMSI逃避检测
Cyble 研究与情报实验室 (CRIL) 发现的一项新恶意软件活动正在利用 Null-AMSI 绕过 Windows 安全防御并部署强大的远程访问木马 (RAT) AsyncRAT。这种攻击方法有效
阅读全文Bybit 遭遇创纪录的 15 亿美元加密货币盗窃案:矛头指向 Lazarus 集团
全球领先的交易所 Bybit 遭遇了历史性的黑客攻击,损失金额达 15 亿美元,这起黑客攻击被广泛认为是有史以来最大的加密货币盗窃案,这对加密货币生态系统造成了沉重打击。此次攻击于 2025 年 2
阅读全文CVE-2025-24016:Wazuh 不安全反序列化远程代码执行 (RCE)
CVE-2025-24016 Wazuh 服务器中存在一个不安全的反序列化漏洞,可通过在 DAPI 请求/响应中注入未经清理的字典来执行远程代码。此问题源于 DistributedAPI 参数被序列化
阅读全文虚假 CS2 锦标赛直播用于窃取加密货币和 Steam 账户
威胁行为者正在利用主要的反恐精英 2 (CS2) 比赛,如 IEM 卡托维兹 2025 和 PGL 克卢日-纳波卡 2025,来欺骗游戏玩家并窃取他们的 Steam 帐户和加密货币。尽管 CS2 于
阅读全文黑客从 Bybit ETH 冷钱包窃取创纪录的 14.6 亿美元
加密货币交易所 Bybit 今天透露,一名未知攻击者从其一个 ETH 冷钱包中窃取了价值超过 14.6 亿美元的加密货币。“此次事件发生时,我们的 ETH 多重签名冷钱包正在向我们的热钱包执行转账。不
阅读全文RemotetlscallbackIndext方法利用TLS回调执行有效负载,而无需在远程过程中产生任何线程
此方法利用 TLS 回调来执行有效负载,而无需在远程进程中生成任何线程。此方法受到 无线程注入的启发 因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入的
阅读全文Telegram 被滥用为新 Golang 后门的 C2 频道
概括在 Netskope 威胁实验室的追踪活动中,我们偶然发现了其他研究人员分享的IoC ,于是决定对其进行仔细研究。在分析过程中,我们发现该有效载荷显然仍在开发中,但已经完全投入使用。该恶意软件充当
阅读全文Java运行时反向工程工具(注入DLL,运行时字节码和堆分析)
JDBG 是一款功能强大的 Java 调试器和逆向工程工具,可在运行时运行。它可附加,并且不受代理限制。DBG 利用注入的 DLL 以及 JNI 和 JVMTI 来深入了解 Java 应用程序。阶级分
阅读全文Google 发布 PAN-OS 防火墙中 CVE-2025-0110 命令注入漏洞的 PoC
一名 Google 研究人员披露了Palo Alto Networks PAN-OS 防火墙软件漏洞 (CVE-2025-0110) 的详细信息和概念验证 (PoC) 漏洞利用。该漏洞的 CVSSv4
阅读全文【漏洞预警】CVE-2025-21355:Microsoft Bing 漏洞暴露远程代码执行风险
发布日期:2025-02-19来源:Microsoft 安全响应中心 (MSRC)更多详细信息:MSRC 漏洞指南Microsoft Bing 中新发现的一个漏洞,编号为 CVE-2025-21355
阅读全文Arechclient2 恶意软件分析(sectopRAT)
概述Arechclient2,也称为sectopRAT,是一种用 .NET 编写的远程访问木马 (RAT)。该恶意软件使用 calli 混淆器进行了高度混淆,使其分析具有挑战性。尽管尝试使用 call
阅读全文CVE-2025-21420:Windows Disk清理工具漏洞被利用以获得系统特权,POC发布
微软已在 2025 年 2 月补丁星期二修复了 Windows 磁盘清理工具 (cleanmgr.exe) 中的一个漏洞。该漏洞编号为 CVE-2025-21420,可让攻击者在易受攻击的系统上获得系
阅读全文Arechclient2 恶意软件分析(sectopRAT)
概述Arechclient2,也称为sectopRAT,是一种用 .NET 编写的远程访问木马 (RAT)。该恶意软件使用 calli 混淆器进行了高度混淆,使其分析具有挑战性。尽管尝试使用 call
阅读全文