攻击团伙情报
-
Sandworm在乌克兰部署恶意 Windows 激活程序
-
Cozy Bear从公司Office 365 电子邮件环境中窃取了惠普员工数据
-
与 Lazarus Group 活动相关的信息窃取恶意软件
-
针对韩国民间社会组织的网络威胁分析
-
BadPilot 活动:Seashell Blizzard 子组织开展了多年的全球访问行动
-
Kimsuky欺骗目标以管理员身份输入 PowerShell 命令
-
UAC-0006针对乌克兰银行用户发起网络钓鱼攻击
-
360发布《2024年全球高级持续性威胁(APT)研究报告》
攻击行动或事件情报
-
警惕!黑产团伙专门窃取DeepSeek API密钥,已有多个泄露
-
大规模暴力攻击利用 280 万个 IP 攻击 VPN 设备
-
苹果确认 USB 限制模式被利用进行“极其复杂的”攻击
-
Check Point 研究揭露情人节网络威胁
-
XELERA 勒索软件活动瞄准科技人才
恶意代码情报
-
NetSupport远控木马通过ClickFix技术传播
-
恶意软件伪装成热门工具DeepSeek在网络上传播
-
Sarcoma 勒索病毒声称入侵大型 PCB 制造商 Unimicron
-
Hugging Face平台上发现恶意ML模型
漏洞情报
Sandworm在乌克兰部署恶意 Windows 激活程序
披露时间:
2025年2月11日
情报来源:
https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns
相关信息:
EclecticIQ的研究人员发现,Sandworm(APT44)正在针对乌克兰的Windows用户开展网络间谍活动。该活动可能自2023年底开始,利用盗版的微软KMS激活工具和伪装成Windows更新的恶意软件,部署BACKORDER加载器,进而安装Dark Crystal RAT(DcRAT)。DcRAT能够窃取受害者设备上的敏感数据,包括屏幕截图、键盘记录、浏览器Cookie、系统信息等,并通过命令与控制服务器传输数据。
2025 年 1 月 12 日,研究人员观察到最近的活动使用域名抢注和略微修改的策略来下载和执行 Dark Crystal RAT,使攻击者能够窃取敏感数据并进行网络间谍活动。一旦部署到受害者的设备上,虚假的 KMS 激活工具就会显示伪造的 Windows 激活界面、安装恶意软件加载程序并在后台禁用 Windows Defender,然后传递最终的 RAT 负载。
此外,研究人员还发现了一个新的 RDP 后门 Kalambur,该后门旨在下载 ZIP 文件中重新打包的 TOR 二进制文件,并从可能由攻击者控制的 TOR 洋葱网站中检索其他工具。
Cozy Bear从公司Office 365 电子邮件环境中窃取了惠普员工数据
披露时间:
2025年2月7日
情报来源:
https://www.bleepingcomputer.com/news/security/hpe-notifies-employees-of-data-breach-after-russian-office-365-hack/
相关信息:
HPE(Hewlett Packard Enterprise)在2023年5月遭受了俄罗斯国家支持的黑客组织Cozy Bear的网络攻击,导致其Office 365邮件环境中的部分员工数据被盗。此次事件涉及至少16名员工,被盗信息包括驾照、信用卡号码和社会保障号码等敏感信息。HPE在2025年1月开始通知受影响的员工,并表示只有少数团队成员的邮箱被访问,且仅涉及邮箱内的信息。Cozy Bear(也称为Midnight Blizzard、APT29和Nobelium)是俄罗斯外国情报局(SVR)的一部分,还与2020年SolarWinds供应链攻击等其他高调事件有关。此外,HPE还在2023年5月的另一起事件中,其SharePoint服务器被同一黑客组织入侵并窃取文件。
与 Lazarus Group 活动相关的信息窃取恶意软件
披露时间:
2025年2月8日
情报来源:
https://medium.com/@rayssac/infostealer-malware-linked-to-lazarus-group-campaigns-a510ad5f3e4f
相关信息:
研究人员 Rayssa Cardoso 分析了一种与 Lazarus 相关的恶意软件,该软件使用多阶段加密和混淆技术,针对 Windows、macOS 和 Linux 平台,窃取用户信息并建立后门。该恶意软件通过检测受害者操作系统来下载正确的有效载荷版本,收集系统信息和地理位置信息,并通过 SSH 连接与远程服务器通信。研究人员发现,Lazarus 集团使用了多种社会工程学攻击手段,如“ClickFix”和“Contagious Interview”,通过伪装成合法的招聘广告或在线面试,诱骗用户执行恶意脚本。这些攻击的主要目标是软件开发者,因为他们可以访问项目源代码、连接到网络上的设备,并可能存储多个关键应用程序的密码。攻击的最终目的是数据窃取、经济利益和间谍活动,以资助朝鲜的核项目。
披露时间:
2025年2月10日
情报来源:
https://www.0x0v1.com/targeted-threats-research-south-north-korea/
相关信息:
这项研究通过分析近三年内针对韩国民间社会组织的网络威胁,揭示了高级持续性威胁(APT)组织(如APT37和Kimsuky)的攻击模式和动机。这些攻击通常利用社会工程学手段,通过伪装成技术支持或政治相关内容的电子邮件诱骗受害者点击恶意链接或下载恶意文件。攻击者还使用了多种恶意软件家族,包括针对Windows平台的ROKRAT后门和针对移动设备的RambleOn间谍软件,这些恶意软件具有高级技术特性,如内存中加载恶意代码和反逆向工程技巧。研究通过MISP等工具进行事件关联分析,揭示了攻击者的行为模式和基础设施重叠。研究强调了民间社会组织在主动防御和快速响应中的关键作用,建议加强威胁情报共享和教育活动,以保护人权活动家和记者免受网络攻击。
BadPilot 活动:Seashell Blizzard 子组织开展了多年的全球访问行动
披露时间:
2025年2月12日
情报来源:
https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/
相关信息:
微软的研究揭示了APT组织Seashell Blizzard的一个子群体“BadPilot”行动,该行动自2021年以来通过大规模网络攻击获取全球目标的初始访问权限。该子群体利用公开的漏洞,如ConnectWise ScreenConnect(CVE-2024-1709)和Fortinet FortiClient EMS(CVE-2023-48788),攻击了包括能源、电信、政府在内的多个关键领域。攻击者通过部署远程管理与监控(RMM)工具和Web Shell,实现了长期的持久化访问,并在某些情况下支持后续的破坏性攻击。该行动的地理范围广泛,从乌克兰扩展到全球,显示出俄罗斯在国际冲突中的网络攻击能力。
Kimsuky欺骗目标以管理员身份输入 PowerShell 命令
披露时间:
2025年2月12日
情报来源:
https://www.bleepingcomputer.com/news/security/dprk-hackers-dupe-targets-into-typing-powershell-commands-as-admin/
相关信息:
Kimsuky被发现采用了一种新的攻击手段,灵感来源于广泛传播的ClickFix活动。ClickFix是一种社会工程学攻击手段,通过欺骗性的错误信息或提示,诱骗受害者自行执行恶意代码,通常通过PowerShell命令实现,最终导致恶意软件感染。自2025年1月以来,这种攻击手段已被用于有限范围的攻击,目标包括北美、南美、欧洲和东亚的国际事务组织、非政府组织、政府机构和媒体公司的个人。
根据微软威胁情报团队的信息,攻击者伪装成韩国政府官员,逐步与目标建立信任关系。在建立一定信任后,攻击者发送带有PDF附件的鱼叉式网络钓鱼邮件。然而,当目标尝试阅读文档时,会被引导到一个虚假的设备注册链接,该链接指示目标以管理员身份运行PowerShell并粘贴攻击者提供的代码。
执行该代码后,会安装一个基于浏览器的远程桌面工具,下载一个使用硬编码PIN的证书,并将受害者的设备注册到远程服务器,从而为攻击者提供直接的数据窃取访问权限。
UAC-0006针对乌克兰银行用户发起网络钓鱼攻击
披露时间:
2025年2月5日
情报来源:
https://www.cloudsek.com/blog/getsmoked-uac-0006-returns-with-smokeloader-targeting-ukraines-largest-state-owned-bank
相关信息:
以经济利益为目标的APT威胁组织UAC-0006再次出现,并针对乌克兰国有银行PrivatBank客户发起了网络钓鱼攻击。攻击者通过发送受密码保护的恶意档案,诱导用户打开嵌入的JavaScript或VBScript文件。这些脚本会利用PowerShell代码加载SmokeLoader恶意软件,最终实现凭证窃取和持续控制受感染系统。UAC-0006的手段显示出与俄罗斯APT组织FIN7的高度一致性,可能与多个已知黑客集团共享资源或技术。目前,此类攻击已导致敏感数据泄露和部分行业的信任危机。专家建议机构加强网络安全防护,包括威胁情报监控、员工安全培训以及事件响应机制,以减缓攻击带来的潜在损害。
360发布《2024年全球高级持续性威胁(APT)研究报告》
披露时间:
2025年2月11日
情报来源:
https://mp.weixin.qq.com/s/8u6pU5HkewMlvaZFnsQ9-A
相关信息:
360威胁情报中心发布的《2024年全球高级持续性威胁(APT)研究报告》显示,全球网络安全厂商和机构累计发布了730多篇APT报告,涉及124个APT组织,其中41个为首次披露。APT攻击活动主要集中在政府机构、国防军工、信息技术、教育和金融等重点行业。
360威胁情报中心在2024年捕获了1300余起针对国内的APT攻击活动,主要来源于南亚、东南亚、东亚和北美地区。报告特别指出,APT-C-70(独角犀)和APT-C-65(金叶萝)是2024年新发现的APT组织。截至2024年底,360已累计发现并披露了56个境外APT组织。
报告还分析了APT攻击的主要发展趋势,包括0day和nday漏洞的利用、供应链攻击的增加、国产化软件系统成为攻击重点以及网络攻击形态的多样化。2024年,全球APT组织利用的0day漏洞共计31个,涉及8个厂商的11个产品,供应链攻击成为APT组织攻击活动的重点趋势。
警惕!黑产团伙专门窃取DeepSeek API密钥,已有多个泄露
披露时间:
2025年2月11日
情报来源:
https://mp.weixin.qq.com/s/tKQ8Wm8SE0bsVh0XnPRBxQ
相关信息:
安全研究团队发现,有黑产团伙开始专门窃取云上部署DeepSeek大模型的API密钥,对外以30美元/月售卖使用权限。
据悉,这类黑产团伙过去长期窃取OpenAI、AWS、Azure等各类大模型服务的API密钥,对外提供违规生成服务,仅此次研究期间就发现超20亿个token被滥用,给付费用户和平台造成了巨大损失。
DeepSeek的最新大模型V3和R1刚发布几天,黑产团队就已经实现API适配支持。目前,研究团队在某个黑产团队的系统中,已经发现了55个疑似被窃取的DeepSeek API密钥。
大规模暴力攻击利用 280 万个 IP 攻击 VPN 设备
披露时间:
2025年2月8日
情报来源:
https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-uses-28-million-ips-to-target-vpn-devices/
相关信息:
全球范围内正在发生一场大规模的暴力破解攻击,攻击者使用了近280万个IP地址,试图破解包括Palo Alto Networks、Ivanti和SonicWall在内的多种网络设备的登录凭证。这些攻击主要针对防火墙、VPN、网关等边缘安全设备,这些设备通常暴露在互联网上以便于远程访问。攻击主要由MikroTik、华为、思科等路由器和物联网设备发起,这些设备经常被大型恶意软件僵尸网络所控制。根据The Shadowserver Foundation的报告,这些攻击的IP地址分布在许多网络和自治系统中,很可能是僵尸网络或与住宅代理网络相关的操作。攻击者通过住宅代理网络进行攻击,使其行为更难被检测和阻止。
苹果确认 USB 限制模式被利用进行“极其复杂的”攻击
披露时间:
2025年2月10日
情报来源:
https://www.securityweek.com/apple-confirms-usb-restricted-mode-exploited-in-extremely-sophisticated-attack/
相关信息:
苹果公司于2025年2月10日发布了紧急安全更新,修复了iOS和iPadOS中的一个高危漏洞(CVE-2025-24200)。该漏洞允许攻击者在获得设备物理访问权限的情况下,禁用USB限制模式(USB Restricted Mode),从而绕过苹果设备的安全保护机制。USB限制模式是苹果在2018年引入的一项安全功能,当设备锁定超过一小时后,该模式会阻止通过USB接口进行数据访问,以防止执法机构或攻击者使用工具(如Cellebrite或GrayKey)破解设备或提取数据。此次发现的漏洞允许攻击者绕过这一限制,重新启用数据端口,从而访问设备中的敏感信息。
该漏洞已被用于针对特定目标的复杂攻击,苹果公司确认这一漏洞“可能已被用于针对特定目标的极其复杂的攻击”。漏洞的发现归功于多伦多大学蒙克学院公民实验室(Citizen Lab)的研究员Bill Marczak。受影响的设备包括iPhone XS及更高版本,以及多款iPad Pro、iPad Air和iPad mini设备。苹果公司建议用户立即更新设备至iOS 18.3.1或iPadOS 18.3.1,以防止潜在的安全风险。
披露时间:
2025年2月11日
情报来源:
https://blog.checkpoint.com/artificial-intelligence/love-gone-phishy-check-point-research-exposes-valentines-day-cyber-threats/
相关信息:
Check Point的研究显示,2025年1月新注册的情人节相关网站数量较上月增加了123%,达到18,000多个,其中约1/72的网站被识别为恶意或高风险。研究人员发现了一起网络钓鱼邮件活动,攻击者伪装成Costco、1-800 Flowers和Walmart等知名品牌,以“情人节篮子”为诱饵,诱骗用户点击恶意链接。这些链接被设计用于窃取用户的个人信息和支付信息。
披露时间:
2025年2月12日
情报来源:
https://www.seqrite.com/blog/xelera-ransomware-fake-fci-job-offers/
相关信息:
Seqrite Labs发现了一种名为XELERA的勒索软件活动,该活动通过伪装成印度食品公司(FCI)的虚假招聘广告,针对技术求职者进行攻击。攻击者利用恶意文档作为初始感染载体,通过嵌入的OLE对象传播包含Python脚本的PyInstaller可执行文件。这些脚本利用Discord机器人进行命令与控制(C2)通信,执行系统干扰和文件操作,最终部署勒索软件。虽然目前该勒索软件尚未涉及加密操作,但其通过系统干扰和文件操作对受害者进行勒索,显示出其攻击手段的多样性和复杂性。
NetSupport远控木马通过ClickFix技术传播
披露时间:
2025年2月6日
情报来源:
https://www.esentire.com/security-advisories/netsupport-rat-clickfix-distribution
相关信息:
安全研究人员发现NetSupport远程访问木马(RAT)事件显著增加,NetSupport RAT允许攻击者完全控制受害主机,可监视屏幕、控制键盘和鼠标、上传下载文件,并执行恶意命令。如果未被检测到,NetSupport RAT可能导致更高级别的威胁,包括勒索软件攻击、敏感数据泄露和业务中断。此次事件中,攻击者利用了新兴的“ClickFix”初始访问向量(IAV),通过社交工程诱导用户执行恶意PowerShell命令,从而下载和运行NetSupport RAT。
恶意软件伪装成热门工具DeepSeek在网络上传播
披露时间:
2025年2月12日
情报来源:
https://mp.weixin.qq.com/s/xSS5MAFqf3eNWKcwuIXt6g
相关信息:
近日,安恒猎影实验室发现多起恶意软件仿冒DeepSeek进行传播的事件。攻击者利用DeepSeek在人工智能领域的知名度,通过伪造官方网站、捆绑软件、伪装更新程序等方式,诱导用户下载并安装恶意软件。这些恶意软件会窃取用户数据、破坏系统,甚至植入后门程序,对用户隐私和系统安全构成严重威胁。
目前在Android、Windows均发现了仿冒的恶意软件。Android平台上的恶意软件伪装成DeepSeek应用程序,安装后申请多种权限监控设备,如短信、通知、通话记录等,并将数据发送至服务器。Windows平台上发现的恶意软件伪装成DeepSeek安装包,包含BumbleBee恶意软件加载器,连接远程服务器等待后续指令。
