奇安信威胁情报中心
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 (wechat feed made by @ttttmr https://wechat2rss.xlab.app)
近期公开了一起供应链攻击,攻击者通过入侵Salesloft的Drift窃取OAuth令牌,成功获取多家顶级网络安全公司Salesforce实例的访问权限。这次攻击被归因于威胁组织GRUB1(UNC6395),与ShinyHunters有关联
黄金暴涨下的网络暗战:UTG-Q-010组织供应链攻击直插香港金融心脏;Lazarus子组织使用三种RAT针对金融和加密货币领域;APT29通过仿冒网站获取目标的微软设备代码认证;APT37 针对韩国的大规模鱼叉式钓鱼攻击
2024年5月,奇安信威胁情报中心披露了针对游戏与人工智能的UTG-Q-010,随后该团伙对我司公开邮箱发起报复性鱼叉攻击。2025年7月,通过天擎“六合”引擎和红雨滴团队私有情报,发现该组织最新活动,针对中国香港地区金融机构进行供应链攻击
ESET发现了一种名为"PromptLock"的新型勒索软件,被认为是"首个已知的AI驱动勒索软件",标志着恶意软件演化的重要里程碑,代表了人工智能技术在网络犯罪领域的新应用方向,其创新的技术架构已经为网络安全防御带来了新的挑战。
2025年8月,WhatsApp修复了一个严重的零点击漏洞CVE-2025-55177,该漏洞与苹果ImageIO框架的漏洞CVE-2025-43300组合使用,形成了一个复杂的攻击链,攻击者无需用户交互即可入侵设备并窃取敏感数据。
近年来,Citrix NetScaler ADC与Gateway持续爆发高危漏洞,引发全球网络安全领域关注。本文从CVE-2025-7775切入,深度剖析其技术原理与影响,并追溯相关历史漏洞演化历程,分析高级威胁行为体利用此类漏洞的攻击链路
引言当今数字时代,网络安全威胁日益复杂化和严重化。
Lazarus(APT-Q-1)近期利用 ClickFix 手法的攻击分析;TAG-144(Blind Eagle)持续针对哥伦比亚政府;APT-C-08(蔓灵花)组织新载荷披露;APT36借.desktop文件瞄准印度国防采购链
Lazarus 在以虚假招聘为诱饵的钓鱼攻击中融入 ClickFix 手法,钓鱼网站会在特定时机提示受害者摄像头配置不符合要求或者存在故障,并给出修复方案,修复命令看起来是下载 Nvidia 相关软件的更新,真实目的却是植入恶意软件。
UTG-Q-1000组织利用育儿补贴主题诱饵进行钓鱼攻击,窃取受害者身份、银行卡密码等信息。经过溯源追踪,在反制 C2 服务器后,我们发现了该团伙在桌面放置的各种微信群钓鱼话术、多种远控软件后台、以及微信聊天记录提取及筛选工具等。
最新发现的CVE-2025-43300是Apple ImageIO框架的一个严重安全缺陷,已被用于针对特定目标的复杂攻击。本报告将分析此漏洞的技术细节,探讨其可能的攻击者背景,并对比历史攻击案例,以揭示高级威胁组织的攻击模式和技术演进路径。
近年来,攻击者已逐渐将合法软件的信任背书转变为突破防御体系的有力武器。“Legitimate Chrome VPN”案例便是这种攻击模式的典型体现,而此类利用用户对正规软件、插件及工具信任实施的攻击,在各类软件生态中均有显现
Kimsuky针对韩国的GitHub C2间谍活动披露;Scaly Wolf针对俄罗斯工程公司发起攻击;Static Tundra利用老旧网络设备长期渗透全球关键行业;Paper Werewolf利用WinRAR零日漏洞精准袭击俄罗斯政企
近期,BI.ZONE监测到Paper Werewolf组织利用WinRAR的两个路径遍历漏洞发动攻击,展现了其攻击能力。本报告将深入剖析纸狼人组织的攻击技术、历史活动以及所利用的WinRAR漏洞技术细节,为安全专家提供应对此类威胁的参考
尽管XZ Utils后门漏洞CVE-2024-3094早在 204年3月就已公开披露,引发全球安全社区高度警觉,但该漏洞的威胁仍在持续蔓延。至少12个Debian基础镜像仍暗藏恶意代码,由此衍生的"二阶"受感染镜像数量更是突破35个
长期以来,银狐、PlugX、Cobalt Strike等被黑客广泛使用,且免杀手段日益复杂,传统的特征检测难以应对。基于天擎“六合”引擎已发现多起境外APT针对国内的全程无文件间谍活动,银狐等黑产木马更是不在话下。
RomCom 正在利用 WinRAR 零日漏洞;Curly COMrades组织针对目标国家关键基础设施发起攻击;APT-C-36(盲眼鹰)组织在新攻击活动中升级对抗手段;Kimsuky 遭遇数据泄露,曝光重大间谍活动
CVE-2025-32433 是 Erlang/OTP SSH 服务器组件中存在的 Critical 级远程代码执行漏洞,CVSS 评分达 10.0 分。其核心危害在于允许未认证攻击者通过特制 SSH 消息直接执行任意命令,无需任何前置权限
ESET 研究人员近期发现的WinRAR零日漏洞CVE-2025-8088引发业界高度关注,且已被RomCom等多个组织用于攻击,本报告将深入剖析漏洞原理、攻击链、攻击者背景及相关攻击技术,并对相关攻击组织及WinRAR其他漏洞进行扩展分析
前几天,国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司。英伟达在随后的自辩声明中提到,芯
APT37使用RoKRAT恶意软件新变种进行攻击活动;APT36针对印度政府实体的网络钓鱼活动;Lazarus 针对开源生态系统进行大规模持续渗透;Secret Blizzard 利用 ISP 服务植入间谍软件针对外交人员
本报告将以Revault漏洞为切入点,通过回顾Dell历史上的类似安全事件以及行业内其他厂商面临的相似挑战,探讨固件安全威胁的演变历程及其对企业安全架构的深远影响。
本报告数据整合自CNVD、CNNVD、Verizon DBIR、VulnCheck等漏洞研究平台,并结合奇安信CERT多源情报交叉验证。分析周期覆盖2025年1月1日至6月30日,通过对全球网络空间的动态监测,确保漏洞数据的准确性与时效性。
2025年7月的亚马逊VS Code扩展被黑客攻击事件,是AI安全风险的一个典型案例,它揭示了AI生产力工具集成过程中的深层次安全隐患。本研究将以此事件为切入点,探讨AI大模型相关的新型安全事件,分析其攻击面和技术手段,并评估其潜在影响。
Fire An攻击虚拟环境;Dropping Elephant针对土耳其国防工业;Laundry Bear基础设施分析;Scattered Spider攻击VMware;Hive0156持续针对乌克兰;TraderTraitor瞄准云平台
报告将从历史硬件类后门入手深入分析硬件后门的技术实现机制,回顾历史上的重大芯片后门事件,并探讨英伟达H20芯片可能采用的后门技术路径,为理解当前事件提供技术视角。
奇安信威胁情报中心红雨滴团队观察到某医疗客户部署在外网的SharePoint服务器被入侵,执行恶意powershell被天擎拦截,后续分析发现基于golang的4L4MD4r勒索软件,该武器似乎属于mimo团伙,一个具有经济动机的威胁行为者
2025年白宫重启关税战,政治困境同步映射到了网络空间,海莲花发起供应链攻击刺探我国十五五规划中对外贸易政策情报,企图寻找缓解之法。为了降低对单一市场的依赖,扩展多元化供应链并打通欧盟次级贸易通道,该组织近期将战略目光转向非洲。
DarkHotel利用恶意软件为诱饵的攻击活动;APT28采用语言模型对乌克兰实施攻击;MuddyWater 在以伊冲突期间利用 DCHSpy;Gamaredon组织疑似瞄准目标政府部门的攻击行动分析
奇安信威胁情报中心对Chrome在野0day CVE-2025-6554进行了详细分析,该漏洞于2025年6月30日被Google修复并证实存在在野漏洞,之后时隔两天相关poc便公开。
摩诃草仿冒高校域名实施窃密行动;UNC6148组织攻击SonicWall网络边缘设备;Contagious Interview活动利用恶意npm软件包传播XORIndex;针对东南亚政府组织的攻击使用新型隐蔽C2 通信
奇安信威胁情报中心近期发现摩诃草组织 LNK 攻击样本从仿冒国内高校域名的远程服务器下载诱饵文档和后续载荷,后续载荷为 Rust 编写的加载器,借助 shellcode 解密并内存加载 C# 木马。
Kimsuky基于VMP强壳的HappyDoor后门攻击分析;揭秘DoNot针对南欧政府的复杂攻击;APT36在印度国防BOSS Linux上部署恶意软件;NightEagle利用Microsoft Exchange漏洞攻击军事和科技部门
Gamaredon利用升级的工具集对乌克兰发起鱼叉式网络钓鱼攻击;Kimusky利用ClickFix技术在受害者设备上运行恶意脚本;DPRK远程IT工作者渗透策略不断演变;Lazarus涉嫌抢劫BitoPro交易所1100万美元加密货币
Contagious Interview活动释放35个恶意npm包;APT28利用Signal对乌克兰发起新的恶意软件攻击;DarkHotel利用BYOVD技术的最新攻击活动分析;旺刺组织结合0day和ClickOnce技术开展间谍活动
旺刺组织挖掘了某邮件平台网页版的XSS 0day漏洞,通过该漏洞触发CilckOnce,实现打开钓鱼邮件时自动弹出钓鱼框,提高钓鱼攻击成功率。此外其背后的情报机构除了拥有大量win平台0day外,还掌握着大量国产软件未公开的内部接口
Kimsuky组织利用伪装成研究论文的钓鱼邮件传播恶意软件;XDSpy利用Windows LNK零日漏洞攻击目标;TaxOff组织攻击活动利用Chrome零日漏洞;Kimsuky(APT-Q-2)组织近期 Endoor 恶意软件分析
近期奇安信威胁情报中心发现一批Kimsuky的Endoor样本,该后门功能上变化不大,但试图伪装为来自github的开源代码,避开代码审查,此外C&C使用不常见的的53端口,一定程度上绕过恶意流量检测,体现了该组织攻击手法的灵活性。
APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析;Stealth Falcon 组织利用微软 WebDAV 0day 漏洞开展间谍活动;Bitter 使用定制工具逃避复杂攻击检测
ALPHA V8.3 新增700+威胁行为体数据,全面覆盖多类型组织,提供专业情报支持。更有威胁分析AI武器库全新上线,大幅提升分析效率,为企业网络安全筑牢防线。
奇安信威胁情报中心和天擎猎鹰团队在终端运营过程中发现一伙未知的攻击者正在瞄准区块链行业的客户攻击,该活动通过Telagram通信软件一对一进行传播,压缩包中为Lnk诱饵,双击后弹转账记录截图和释放白加黑组件,内存加载DcRat。
Silent Werewolf针对俄摩两国利用伪装邮件投递恶意加载器;UNC6040通过语音钓鱼攻击执行数据勒索;Conti团伙全员曝光;起底台“资通电军”APT组织技术底牌及网络攻击阴谋;金眼狗团伙近期使用“银狐”木马的窃密活动
近日,我们发现金眼狗团伙通过水坑分发伪装成Todesk、快连VPN和纸飞机等安装包的恶意软件,运行后释放携带正常签名的安装软件,并暗中植入Winos4.0远控,同时结合“银狐”类木马进行窃密活动,新增Shellcode后门、对抗杀软等手段。
APT-C-53利用军事情报相关文件为诱饵的攻击行动分析;APT28黑客攻击北约组织窃取敏感数据;Bitter针对巴基斯坦电信有限公司发起攻击;APT36和Sidecopy攻击印度关键基础设施;摩诃草攻击武器复用肚脑虫基础设施
2025年国家安全部门和国家公安机关先后披露了台湾方向的间谍活动,对我国境内目标骚扰破坏意图明显,用心极其险恶。本文主要披露这五年间来自台湾方向活跃组织的IOC,供关基单位自查。
我们对肚脑虫组织的持续追踪发现该组织曾使用couldmailauth.com托管恶意软件。近期我们捕获到另一批以该域名为 C&C 服务器的样本,此类样本为摩诃草组织的 Spyder 下载器,并且其中一个样本带有与肚脑虫样本相同的数字签名。
南亚“苦象”攻击组织近期样本分析;SideWinder 针对南亚多国目标进行攻击;Operation(润)RUN:“离岸爱国者”的赛博狂欢;APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器
去年底UTG-Q-015针对CSDN等挂马被披露后该团伙更改了攻击手法,开始利用0day/Nday漏洞入侵政企Web站点,3月启用一批扫描节点对政企目标进行爆破,4月针对区块链网站、gitlab后台等进行攻击,并通过IM钓鱼定向入侵金融目标
朝鲜TA406组织针对乌克兰政府机构传播恶意软件;Marbled Dust 利用 Output Messenger 中的零日漏洞进行间谍活动;APT37伪装成韩国国家安全战略智库进行攻击
迎接威胁研判的智能化浪潮,为威胁分析人员提供更好的使用体验,奇安信威胁情报MCP正式发布 ,支持更自动化的威胁运营流程,助力威胁分析智能化集成化。