每周高级威胁情报解读(2025.09.26~10.09)
2025.09.26~10.09攻击团伙情报Cavalry Werewolf 利用信任关系攻击袭击俄罗斯公共部门Confucius 攻击工具从窃取器向模块化后门演进分析 DPRK IT Workers
阅读全文揭秘魔罗桫(confucius)组织武器库源代码
背景在 2020 至 2021 年期间,我们曾系统性地披露了魔罗桫(Confucius)组织的《提菩行动》[1] 以及 Operation Angi[2] 等系列间谍活动。时隔多年,该组织的整体战术、
阅读全文奇安信威胁情报MCP V2.0全新升级:洞察“幕后黑手”,威胁行为体画像功能全面上线!
网络攻击来袭,仅凭一个IP😅,您能知晓什么?攻击者是谁🕵️🕵?来自何方🌎?有何图谋😈?惯用何技🛠?🔍奇安信威胁情报MCP V2.0全新升级!“威胁行为体画像“功能上线,一键深挖威胁表象;直击攻击组织核
阅读全文每周高级威胁情报解读(2025.09.19~09.25)
2025.09.19~09.25攻击团伙情报COLDRIVER 使用 BAITSWITCH 和 SIMPLEFIX 更新武器库Nimbus Manticore 针对欧洲目标部署新恶意软件Kimsuky
阅读全文每周高级威胁情报解读(2025.09.12~09.18)
2025.02.14~02.20攻击团伙情报绘制 MuddyWater 基础设施和恶意软件生态系统图APT28 组织 Phantom Net Voxel 行动揭秘深入分析“伪猎者”组织Github仓库
阅读全文Shai-Hulud 蠕虫蔓延NPM生态攻击与近期系列事件关联分析
Shai-Hulud 蠕虫攻击概述2025 年 9 月 15 日晚,一场针对 npm 生态系统的大规模供应链攻击开始爆发,这种被命名为"Shai-Hulud"的恶意软件以其自我复制能力迅速引起安全研究
阅读全文又又一起NPM供应链投毒:valorkin 和 scttcper 账户被入侵事件,影响广泛
事件概述2025 年 9 月 15 日,一起严重的 NPM 组件投毒事件,影响了两位知名开发者维护的近 40 个开源组件。这次攻击针对开发者 valorkin(维护 86 个开源项目)和 scttcp
阅读全文Plague 后门深度分析:Linux 系统中的隐形杀手
意外发现:YARA 规则与隐藏威胁Nextron Research 的研究人员在近期开展的持续性威胁狩猎行动中,发现了一种此前似乎未被公开记录的、极其隐蔽的 Linux 后门。该后门被研究人员命名为
阅读全文每周高级威胁情报解读(2025.09.05~09.11)
2025.09.05~09.11攻击团伙情报APT37 利用 Rust 后门和 Python 加载器攻击 WindowsAPT28 使用 GONEPOSTAL 进行攻击Contagious Inter
阅读全文泛滥的供应链攻击又一例 - GhostAction行动窃取凭证信息事件解析
事件概述2025 年 9 月 5 日,GitGuardian 安全研究团队发现了一起代号为"GhostAction"的大规模供应链攻击事件。这次攻击针对 GitHub 平台上的 CI/CD 流程,通过
阅读全文JavaScript 生态供应链又一暴击 - 最新 npm 精准投毒搞钱活动详析
引言:从粗放到精准的供应链攻击演化2025 年 9 月,JavaScript 生态系统遭遇了一次堪称"外科手术式"的供应链攻击。攻击者通过精心设计的社会工程学手段,成功获取了知名开发者 Josh Ju
阅读全文CVE-2025-29824 在野 0day 漏洞利用样本研究
综述该漏洞最早被微软威胁情报中心发现在野利用,并于 2025 年 4 月的补丁日修复,奇安信威胁情报中心于 2025/05/30 日捕获到该在野样本被上传至 vt,样本 md5 如下:881a6070
阅读全文OAuth令牌窃取如何撼动网络安全巨头 - Salesloft Drift 供应链攻击深度分析
执行摘要2025 年 8 月,一起精心策划的供应链攻击震惊了网络安全行业,攻击者通过入侵 Salesloft 的 Drift 应用程序,窃取 OAuth 令牌,成功获取了多家顶级网络安全公司 Sale
阅读全文每周高级威胁情报解读(2025.08.29~09.04)
2025.08.29~09.04攻击团伙情报黄金暴涨下的网络暗战:UTG-Q-010组织供应链攻击直插香港金融心脏Lazarus子组织使用三种RAT针对金融和加密货币领域APT29通过仿冒网站获取目标
阅读全文黄金暴涨下的网络暗战:UTG-Q-010组织供应链攻击直插香港金融心脏
经济背景2025 年上半年,全球金融市场经历了罕见的巨变,黄金价格出现历史性暴涨,成为此次事件最为关键的经济背景。这一轮金价飙升主要由多重因素叠加驱动:其一,全球主要经济体货币政策出现分化,市场对信用
阅读全文PromptLock: 首个AI驱动勒索软件的技术深度分析
引言:AI与恶意软件的融合里程碑ESET 安全研究人员 Anton Cherepanov 和 Peter Strycek 于 2025 年 8 月发现了一种名为 "PromptLock" 的新型勒索软
阅读全文精准网络狙击王炸入口 WhatApp 历史重要漏洞利用梳理
最新漏洞攻击链技术深度解析漏洞组合与攻击链分析2025 年 8 月底,WhatsApp 修复了一个严重的零点击漏洞(CVE-2025-55177),该漏洞与苹果 ImageIO 框架的漏洞(CVE-2
阅读全文Citrix NetScaler 实战漏洞演变:从目录遍历到内存溢出的技术剖析
引言近年来,Citrix NetScaler ADC 与 Gateway 产品线持续爆发高危安全漏洞,已成为全球网络安全领域的核心关注对象。此类漏洞不仅 CVSS 评分普遍突破 9.0 阈值,更被多支
阅读全文从防御到进攻:美国网络安全战略转型的深度调查报告
引言当今数字时代,网络安全威胁日益复杂化和严重化。根据 2024 年联邦调查局(FBI)互联网犯罪报告,美国人提交了超过 85.9 万起网络犯罪投诉,损失总额达 160 亿美元,同比激增 33%。其中
阅读全文每周高级威胁情报解读(2025.08.22~08.28)
2025.02.14~02.20攻击团伙情报Lazarus(APT-Q-1)近期利用 ClickFix 手法的攻击分析TAG-144(Blind Eagle)持续针对哥伦比亚政府APT-C-08(蔓灵
阅读全文故障修复之下的陷阱:Lazarus(APT-Q-1)近期利用 ClickFix 手法的攻击分析
团伙背景Lazarus 是疑似具有东北亚背景的 APT 组织,奇安信内部跟踪编号 APT-Q-1。该组织因 2014 年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到 2007 年。Lazaru
阅读全文深度揭露,银狐黑产借育儿补贴之名的精心骗局
团伙背景在 2024 年 12 月,奇安信威胁情报中心红雨滴团队起底了黑产组织 UTG-Q-1000,分别披露了 4 个不同的“小组”,分别为财务组、新闻桃色组、设计制造组还有黑吃黑水坑组。其中“财务
阅读全文暗影猎手:CVE-2025-43300 与高端移动设备零点击控制战场
引言移动设备已成为现代通信和信息处理的核心平台,同时也成为高级威胁行为者的重要攻击目标。近年来,针对 iOS 等主流移动操作系统的攻击手段不断演进,从早期需要用户交互的攻击方式,发展到如今的"零点击"
阅读全文Chrome VPN 合法伪装下的恶意攻击:技术分析与扩展研究
引言2025 年,网络安全威胁持续演变,攻击者已成功将合法软件的信任背书转变为突破防御体系的有力武器。“Legitimate Chrome VPN” 案例便是这种攻击模式的典型体现,而此类利用用户对正
阅读全文每周高级威胁情报解读(2025.08.15~08.21)
2025.08.15~08.21攻击团伙情报Kimsuky 针对韩国的 GitHub C2 间谍活动披露Scaly Wolf组织针对俄罗斯工程公司发起定向攻击Static Tundra 利用老旧网络设
阅读全文WinRAR 零日漏洞被又一个APT组织积极利用:纸狼人(Paper Werewolf)攻击活动深度分析
引言近期,俄罗斯网络安全公司 BI.ZONE 监测到代号为"纸狼人"(Paper Werewolf/GOFFEE) 的 APT 组织正积极利用 WinRAR 中的两个路径遍历漏洞(CVE-2025-8
阅读全文XZ Utils 后门安全事件后续:持续潜伏的供应链威胁
Binarly 最新研究发现:潜伏一年的后门仍在扩散Binarly 安全研究团队在 2025 年 8 月发布的《Persistent Risk: XZ Utils Backdoor Still Lur
阅读全文银狐木马变种难防?天擎“六合”引擎默认内存查杀
六合引擎介绍长期以来,银狐(Ghost)、WinOS、PlugX、Cobalt Strike、Sliver、Havoc 等通用木马框架被黑客广泛使用。为了绕过传统终端杀软和 EDR 的检测,攻击者通常
阅读全文每周高级威胁情报解读(2025.08.08~08.14)
2025.08.08~08.14攻击团伙情报RomCom 正在利用 WinRAR 零日漏洞Curly COMrades组织针对目标国家关键基础设施发起攻击APT-C-36(盲眼鹰)组织在新攻击活动中升
阅读全文CVE-2025-32433: Erlang/OTP SSH 远程代码执行漏洞深度分析报告
核心摘要CVE-2025-32433 是 Erlang/OTP SSH 服务器组件中存在的 Critical 级远程代码执行漏洞,CVSS 评分达 10.0 分。其核心危害在于允许未认证攻击者通过特制
阅读全文