赛博暗影:从暴露的CobaltStrike基础设施还原Qilin勒索团伙攻击链
近期,奇安信威胁情报中心在日常样本跟踪分析过程中,发现一套高疑似勒索组织Qilin(Agenda)暴露在外的Cobalt Strike TeamServer工作目录。通过研判,可以确认该批文件并非单纯的黑客工具样本,而是能够直接反映Qilin(Agenda)勒索组织真实攻击活动的运营资料。
奇安信威胁情报中心
操作安全失误暴露与Qilin相关组织的手法:通过VPN设备发起攻击
Ctrl-Alt-Intel 披露了一起由勒索软件即服务(RaaS)组织 Qilin 关联附属成员引发的重大操作安全(OpSec)失误事件。该附属节点在 2025 年 12 月至 2026 年 3 月期间,连续暴露了 5 个包含完整攻击工具链、配置文件、系统日志及受害者二进制程序的 Web 目录。
4天内两波入侵:PAN-OS GlobalProtect认证绕过漏洞(CVE-2026-0257)利用攻击剖析
CVE-2026-0257 是 PAN-OS GlobalProtect 组件中一处高危身份验证绕过漏洞,源于"认证覆盖"Cookie 功能缺少签名完整性校验。截至 2026 年 5 月底,Rapid7 MDR 团队已确认两波真实世界攻击。
Red Hat官方npm账户沦陷: 72秒劫持31个官方npm包!
2026年6月1日,Red Hat 官方 npm 账户 @redhat-cloud-services 被攻陷。攻击者在 72秒 的时间窗口内自动化发布了 32 个携带后门的恶意包版本。
Netlogon"幽灵"再临:CVE-2026-41089 零点击RCE漏洞的全球威胁解剖
CVE-2026-41089 是一个藏在 Windows Netlogon 协议栈里的零点击远程代码执行漏洞,攻击者只要能连上域控制器的 Netlogon 端口(默认 135/445 及动态高端口),不需要账号、不需要点链接、不需要任何交互,就能直接拿到 SYSTEM 权限。
每周高级威胁情报解读(2026.05.22~05.28)
YoroTrooper针对独联体及周边区域的攻击活动分析;Nimbus Manticore在伊朗冲突期间的三波网络攻击行动分析;Kazuar 从后门演变为具有韧性的间谍生态系统;分析Void Dokkaebi的Cython编译的InvisibleFerret恶意软件;追踪Screening Serpen”2026年间谍活动
AI开发工具链遭SEO精准围猎:针对Claude/Gemini开发者的供应链投毒
EclecticIQ披露了一个针对软件开发者的精准SEO投毒攻击活动:攻击者通过搜索引擎优化技术,将仿冒的Gemini CLI和Claude Code安装页面推送至搜索结果前列,诱导开发者执行恶意PowerShell命令,从而在目标主机上部署内存驻留型窃密木马。
紧急:Akira勒索组织利用9.1分高危漏洞! SonicWall Gen6 LDAP MFA完整利用链还原
SonicWall Gen6系列SSL-VPN设备存在关键身份验证绕过漏洞CVE-2024-12802(CVSS 9.1),该漏洞自2026年2月起被Akira勒索软件即服务组织积极利用。
Mythos 宇宙漫游指南:当 AI 开始帮你修漏洞,你才发现代码有多烂
一份来自 Anthropic PR 机器的"我们造了个怪物,但我们在努力管好它"综合解读报告
AI 定向注入攻击:加密货币窃取供应链攻击新邪招
Socket研究团队发现一场代号为 "TrapDoor" 的大规模跨生态系统供应链攻击活动。该攻击同时针对 npm、PyPI 和 Crates.io 软件包仓库,发布超过 34 个恶意包 及 384+ 个关联版本,专门针对加密货币、DeFi、Solana 生态和 AI 开发社区的开发者群体进行精确打击。
每周高级威胁情报解读(2026.05.15~05.21)
VELVET CHOLLIMA 利用交易应用程序作为诱饵进行信息窃取活动;FrostyNeighbor:新鲜的恶作剧和数字恶作剧;Kazuar:国家级僵尸网络的剖析;Lazarus组织追踪系列——解析OtterCookie
疑似Coruna卷土重来:npm包art-template遭供应链攻击沦为iOS漏洞投送工具
攻击者通过伪装成“接手维护”的方式获取开源项目art-template的控制权,随后在其4.13.5和4.13.6版本中植入恶意代码。该恶意代码在被下游应用调用时,会在用户浏览器中注入远程脚本加载器,将iOS Safari用户重定向至包含类似Coruna漏洞利用框架的水坑站点。
GitHub Actions供应链遭精准狙击:攻击者用"移花接木"术掏空CI/CD管道凭据
事件概述近日,安全研究人员StepSecurity披露了一起针对GitHub Actions生态的严重供应链攻
n8n 自动化平台惊现三重漏洞链:低权限即可引爆完整 RCE,攻击面已蔓延至供应链核心节点
安全研究人员 Jubke 披露了 n8n 平台中一组可串联利用的高危漏洞。三个漏洞(CVE-2026-44789、CVE-2026-44790、CVE-2026-44791)分布在 HTTP Request 节点、Git 节点和 XML 节点中,组合后可实现完整的远程代码执行(RCE)。
紧急!微软Exchange Server新高危XSS漏洞(CVE-2026-42897)已被利用执行攻击
微软于近期披露了一个影响广泛的高危零日漏洞CVE-2026-42897,该漏洞已被确认在野外被积极利用。
每周高级威胁情报解读(2026.05.08~05.14)
EasterBunny:归因于APT29的高级间谍工具;Kimsuky组织依托GitHub+Dropbox分发恶意载荷;Lazarus Group 利用 Git 钩子隐藏恶意软件;Paper Werewolf使用新工具包针对俄罗斯工业、金融和运输组织;Gamaredon的感染链:伪造电子邮件、GammaDrop和GammaLoad
18年积弊:NGINX脚本引擎堆缓冲区溢出可致远程代码执行
2026年初,安全研究组织depthfirst通过其自动化代码审计系统对NGINX源代码进行深度扫描,识别出五个安全缺陷,其中四个已获得NGINX官方确认并分配CVE编号。这一发现揭示了NGINX核心组件中存在的严重内存损坏问题,攻击者可利用这些漏洞实现远程代码执行
秘密活动6年的神秘黑客组织Mr_Rot13正在利用cPanel高危漏洞部署后门木马
XLab大网威胁感知系统持续监测到大量黑灰产组织正在积极利用CVE-2026-41940实施网络攻击,相关行为包括挖矿、勒索、僵尸网络扩散、后门植入等多种恶意活动。监测数据显示,当前已有来自全球的 2000 余个攻击源 IP 参与针对该漏洞的自动化攻击与网络犯罪活动
【原创】某加密IM官网供应链事件,“离岸”爱国者卷土重来
奇安信威胁情报中心红雨滴团队私有情报生产流程发现一家面向中文用户提供私密IM的软件官网上的安装包被替换。被替换的安装包除了正常流程外,还会释放如下组件,内存加载SNOWLIGHT下载者,最终运行魔改nps隧道。
Hugging Face惊现供应链投毒:仿冒OpenAI仓库窃取开发者敏感数据
2026年5月7日,安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter,通过 typosquatting 技术冒充 OpenAI 官方 "Privacy Filter" 项目,成功进入平台趋势榜榜首位置
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)