奇安信威胁情报中心
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 (wechat feed made by @ttttmr https://wechat2rss.xlab.app)
奇安信威胁情报中心近期发现一些与蔓灵花组织相关的攻击样本,这些样本使用不同方式,最终植入一种可以从远程服务器下发任意 EXE 文件的 C#后门。
8月,攻击者入侵Drift获取令牌,进而访问到与之关联的Salesforce,导致多家企业数据被泄露。2月的Bybit大劫案与其使用的签名服务代码被植入恶意功能有关。奇安信威胁情报中心通过分析历年经典供应链攻击案例得到一些结论并提供对策建议
海莲花组织Havoc远控木马分析;TwoNet 黑客组织瞄准 OT/ICS;APT35组织泄露的内部文件分析;Mysterious Elephant利用 WhatsApp 通信窃取敏感数据;追踪 TA585 及其武器库
F5于2025年8月9日首次发现入侵,并立即启动了事件响应流程。F5强调,其软件供应链未被修改,且没有证据表明攻击者访问或窃取了客户关系管理系统、财务系统、支持案例管理系统、iHealth 系统、NGINX源代码或F5分布式云服务等关键系统
本报告深入分析针对 Oracle E-Business Suite(EBS)的关键漏洞CVE-2025-61882,以及其在大规模勒索活动中的实际利用情况。该漏洞CVSS评分9.8,影响Oracle EBS 12.2.3至12.2.14版本
Cavalry Werewolf利用信任关系攻击袭击俄罗斯公共部门;Confucius攻击工具从窃取器向模块化后门演进;分析DPRK IT Workers加密洗钱网络内部;SideWinder扩大网络钓鱼行动;揭秘魔罗桫组织武器库源代码
通过多源情报分析研判,我们认为“魔罗桫”属于具有外包性质的 APT 组织,其攻击行动多由本土承包商或个人发起。此类外包型网络攻击具备几个显著特征:攻击成本较低、技术手法相对简单,但攻击目标往往体现国家意志。
奇安信威胁情报MCP V2.0“威胁行为体画像”功能可助力小伙伴们快速了解攻击组织的背景与动机,结合ATT&CK框架,让威胁分析变得更轻松、更深入~欢迎大家体验!
COLDRIVER使用BAITSWITCH和SIMPLEFIX更新武器库;Nimbus Manticore针对欧洲目标部署新恶意软件;Kimsuky通过隐藏在压缩文件中的快捷方式进行攻击;Turla 与 Gamaredon 合作针对乌克兰
绘制 MuddyWater 基础设施和恶意软件生态系统图;APT28 组织 Phantom Net Voxel 行动揭秘;深入分析“伪猎者”组织Github仓库加密载荷;Kimsuky组织利用生成式AI“ChatGPT”发起APT攻击
9月15日,一场针对npm生态系统的大规模供应链攻击开始爆发,这种被命名为"Shai-Hulud"的蠕虫以其自我复制能力迅速引起安全研究人员的关注。截至目前,已有约150个npm包被感染,包括CrowdStrike公司的多个软件包。
9月15日,一起严重的NPM组件投毒事件,影响了两位知名开发者维护的近40个开源组件。这次攻击针对开发者valorkin和scttcper的账户进行了凭证窃取,并在他们维护的热门组件中植入了恶意代码。
Nextron Research发现了一种此前似乎未被公开记录的、极其隐蔽的Linux后门。该后门被研究人员命名为Plague。它被设计成一个恶意的 PAM(可插拔认证模块),使攻击者能够绕过系统认证机制,从而获取持久的 SSH 访问权限。
APT37利用Rust后门和Python加载器攻击Windows;APT28使用GONEPOSTAL进行攻击;Contagious Interview滥用网络情报平台掩盖行动;NoisyBear 针对与哈萨克斯坦石油和天然气行业相关实体
9月5日,GitGuardian安全研究团队发现了一起代号为“GhostAction”的大规模供应链攻击事件,攻击者通过操纵GitHub Actions工作流程,成功窃取了数千个敏感凭证,涉及327名GitHub用户的817个代码仓库。
近期,JavaScript生态系统遭遇重大供应链攻击。攻击者通过社会工程学手段获取了Josh Junon的npm账户权,在至chalk、debug等核心基础库中植入恶意代码,下载量总计超过20亿次。这次攻击不仅规模庞大,其技术实现也极为精巧
CVE-2025-29824 漏洞最早被微软威胁情报中心发现在野利用,并于 2025 年 4 月的补丁日修复。奇安信威胁情报中心于 2025/05/30 日监测到该漏洞的在野利用样本被上传至 vt并对该漏洞及样本进行了深入分析研究。
近期公开了一起供应链攻击,攻击者通过入侵Salesloft的Drift窃取OAuth令牌,成功获取多家顶级网络安全公司Salesforce实例的访问权限。这次攻击被归因于威胁组织GRUB1(UNC6395),与ShinyHunters有关联
黄金暴涨下的网络暗战:UTG-Q-010组织供应链攻击直插香港金融心脏;Lazarus子组织使用三种RAT针对金融和加密货币领域;APT29通过仿冒网站获取目标的微软设备代码认证;APT37 针对韩国的大规模鱼叉式钓鱼攻击
2024年5月,奇安信威胁情报中心披露了针对游戏与人工智能的UTG-Q-010,随后该团伙对我司公开邮箱发起报复性鱼叉攻击。2025年7月,通过天擎“六合”引擎和红雨滴团队私有情报,发现该组织最新活动,针对中国香港地区金融机构进行供应链攻击
ESET发现了一种名为"PromptLock"的新型勒索软件,被认为是"首个已知的AI驱动勒索软件",标志着恶意软件演化的重要里程碑,代表了人工智能技术在网络犯罪领域的新应用方向,其创新的技术架构已经为网络安全防御带来了新的挑战。
2025年8月,WhatsApp修复了一个严重的零点击漏洞CVE-2025-55177,该漏洞与苹果ImageIO框架的漏洞CVE-2025-43300组合使用,形成了一个复杂的攻击链,攻击者无需用户交互即可入侵设备并窃取敏感数据。
近年来,Citrix NetScaler ADC与Gateway持续爆发高危漏洞,引发全球网络安全领域关注。本文从CVE-2025-7775切入,深度剖析其技术原理与影响,并追溯相关历史漏洞演化历程,分析高级威胁行为体利用此类漏洞的攻击链路
引言当今数字时代,网络安全威胁日益复杂化和严重化。
Lazarus(APT-Q-1)近期利用 ClickFix 手法的攻击分析;TAG-144(Blind Eagle)持续针对哥伦比亚政府;APT-C-08(蔓灵花)组织新载荷披露;APT36借.desktop文件瞄准印度国防采购链
Lazarus 在以虚假招聘为诱饵的钓鱼攻击中融入 ClickFix 手法,钓鱼网站会在特定时机提示受害者摄像头配置不符合要求或者存在故障,并给出修复方案,修复命令看起来是下载 Nvidia 相关软件的更新,真实目的却是植入恶意软件。
UTG-Q-1000组织利用育儿补贴主题诱饵进行钓鱼攻击,窃取受害者身份、银行卡密码等信息。经过溯源追踪,在反制 C2 服务器后,我们发现了该团伙在桌面放置的各种微信群钓鱼话术、多种远控软件后台、以及微信聊天记录提取及筛选工具等。
最新发现的CVE-2025-43300是Apple ImageIO框架的一个严重安全缺陷,已被用于针对特定目标的复杂攻击。本报告将分析此漏洞的技术细节,探讨其可能的攻击者背景,并对比历史攻击案例,以揭示高级威胁组织的攻击模式和技术演进路径。
近年来,攻击者已逐渐将合法软件的信任背书转变为突破防御体系的有力武器。“Legitimate Chrome VPN”案例便是这种攻击模式的典型体现,而此类利用用户对正规软件、插件及工具信任实施的攻击,在各类软件生态中均有显现
Kimsuky针对韩国的GitHub C2间谍活动披露;Scaly Wolf针对俄罗斯工程公司发起攻击;Static Tundra利用老旧网络设备长期渗透全球关键行业;Paper Werewolf利用WinRAR零日漏洞精准袭击俄罗斯政企
近期,BI.ZONE监测到Paper Werewolf组织利用WinRAR的两个路径遍历漏洞发动攻击,展现了其攻击能力。本报告将深入剖析纸狼人组织的攻击技术、历史活动以及所利用的WinRAR漏洞技术细节,为安全专家提供应对此类威胁的参考
尽管XZ Utils后门漏洞CVE-2024-3094早在 204年3月就已公开披露,引发全球安全社区高度警觉,但该漏洞的威胁仍在持续蔓延。至少12个Debian基础镜像仍暗藏恶意代码,由此衍生的"二阶"受感染镜像数量更是突破35个
长期以来,银狐、PlugX、Cobalt Strike等被黑客广泛使用,且免杀手段日益复杂,传统的特征检测难以应对。基于天擎“六合”引擎已发现多起境外APT针对国内的全程无文件间谍活动,银狐等黑产木马更是不在话下。
RomCom 正在利用 WinRAR 零日漏洞;Curly COMrades组织针对目标国家关键基础设施发起攻击;APT-C-36(盲眼鹰)组织在新攻击活动中升级对抗手段;Kimsuky 遭遇数据泄露,曝光重大间谍活动
CVE-2025-32433 是 Erlang/OTP SSH 服务器组件中存在的 Critical 级远程代码执行漏洞,CVSS 评分达 10.0 分。其核心危害在于允许未认证攻击者通过特制 SSH 消息直接执行任意命令,无需任何前置权限
ESET 研究人员近期发现的WinRAR零日漏洞CVE-2025-8088引发业界高度关注,且已被RomCom等多个组织用于攻击,本报告将深入剖析漏洞原理、攻击链、攻击者背景及相关攻击技术,并对相关攻击组织及WinRAR其他漏洞进行扩展分析
前几天,国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司。英伟达在随后的自辩声明中提到,芯
APT37使用RoKRAT恶意软件新变种进行攻击活动;APT36针对印度政府实体的网络钓鱼活动;Lazarus 针对开源生态系统进行大规模持续渗透;Secret Blizzard 利用 ISP 服务植入间谍软件针对外交人员
本报告将以Revault漏洞为切入点,通过回顾Dell历史上的类似安全事件以及行业内其他厂商面临的相似挑战,探讨固件安全威胁的演变历程及其对企业安全架构的深远影响。
本报告数据整合自CNVD、CNNVD、Verizon DBIR、VulnCheck等漏洞研究平台,并结合奇安信CERT多源情报交叉验证。分析周期覆盖2025年1月1日至6月30日,通过对全球网络空间的动态监测,确保漏洞数据的准确性与时效性。
2025年7月的亚马逊VS Code扩展被黑客攻击事件,是AI安全风险的一个典型案例,它揭示了AI生产力工具集成过程中的深层次安全隐患。本研究将以此事件为切入点,探讨AI大模型相关的新型安全事件,分析其攻击面和技术手段,并评估其潜在影响。
Fire An攻击虚拟环境;Dropping Elephant针对土耳其国防工业;Laundry Bear基础设施分析;Scattered Spider攻击VMware;Hive0156持续针对乌克兰;TraderTraitor瞄准云平台
报告将从历史硬件类后门入手深入分析硬件后门的技术实现机制,回顾历史上的重大芯片后门事件,并探讨英伟达H20芯片可能采用的后门技术路径,为理解当前事件提供技术视角。
奇安信威胁情报中心红雨滴团队观察到某医疗客户部署在外网的SharePoint服务器被入侵,执行恶意powershell被天擎拦截,后续分析发现基于golang的4L4MD4r勒索软件,该武器似乎属于mimo团伙,一个具有经济动机的威胁行为者
2025年白宫重启关税战,政治困境同步映射到了网络空间,海莲花发起供应链攻击刺探我国十五五规划中对外贸易政策情报,企图寻找缓解之法。为了降低对单一市场的依赖,扩展多元化供应链并打通欧盟次级贸易通道,该组织近期将战略目光转向非洲。
DarkHotel利用恶意软件为诱饵的攻击活动;APT28采用语言模型对乌克兰实施攻击;MuddyWater 在以伊冲突期间利用 DCHSpy;Gamaredon组织疑似瞄准目标政府部门的攻击行动分析
奇安信威胁情报中心对Chrome在野0day CVE-2025-6554进行了详细分析,该漏洞于2025年6月30日被Google修复并证实存在在野漏洞,之后时隔两天相关poc便公开。
摩诃草仿冒高校域名实施窃密行动;UNC6148组织攻击SonicWall网络边缘设备;Contagious Interview活动利用恶意npm软件包传播XORIndex;针对东南亚政府组织的攻击使用新型隐蔽C2 通信
奇安信威胁情报中心近期发现摩诃草组织 LNK 攻击样本从仿冒国内高校域名的远程服务器下载诱饵文档和后续载荷,后续载荷为 Rust 编写的加载器,借助 shellcode 解密并内存加载 C# 木马。
Kimsuky基于VMP强壳的HappyDoor后门攻击分析;揭秘DoNot针对南欧政府的复杂攻击;APT36在印度国防BOSS Linux上部署恶意软件;NightEagle利用Microsoft Exchange漏洞攻击军事和科技部门