每周高级威胁情报解读(2025.11.28~12.04)
摩诃草(APT-Q-36)利用 WebSocket 的新木马 StreamSpy 分析;APT36利用ELF恶意软件瞄准印度政府机构;Bloody Wolf组织通过冒充吉尔吉斯斯坦政府机构传播NetSupport RAT
奇安信威胁情报中心
【严重!已复现】React Server Components (CVE-2025-55182)远程代码执行漏洞安全风险通告
近日,奇安信监测到官方修复React Server Components远程代码执行漏洞(CVE-2025-55182)该漏洞利用简单、隐蔽性强,仅需一次HTTP POST请求即可触发。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
摩诃草(APT-Q-36)利用 WebSocket 的新木马 StreamSpy 分析
近期发现摩诃草的新木马StreamSpy,该木马与C2通信采用WebSocket和HTTP结合的方式,通过WebSocket获取指令与回传操作结果,HTTP完成文件传输等操作。该木马还与摩诃草的Spyder存在一定相似性。
每周高级威胁情报解读(2025.11.21~11.27)
RomCom组织利用SocGholish向美国公司部署恶意软件;Kimsuky 通过钓鱼邮件分发imJongRAT; 变种第40部门曝光:伊朗伊斯兰革命卫队内部将网络行动与暗杀行动联系起来的部门内幕
披露SetcodeRat:一款专为中文地区定制的Telegram窃密特马
近期,红雨滴团队发现一款此前从未被披露过的特种木马,正在中文地区大规模传播,我们将其命名为“SetcodeRat”。该木马内置针对Telegram的定制化功能,攻击者通过在TG封锁区域传播针对TG的木马,成功引起了我们的关注。
每周高级威胁情报解读(2025.11.14~11.20)
UNC1549针对航空航天和国防生态系统发起攻击;Dragon Breath使用RONINGLOADER部署新的gh0st变种;APT42针对国防和政府目标发动SpearSpecter间谍行动;MuddyWater近期钓鱼攻击活动分析
每周高级威胁情报解读(2025.11.07~11.13)
KONNI利用Find Hub实现远程数据擦除;Lazarus携Comebacker新变种再攻航空航天与国防工业;蔓灵花首次借WinRAR漏洞CVE-2025-6218实施攻击;Kimsuky利用EndClient RAT攻击朝鲜人权组织
每周高级威胁情报解读(2025.10.31~11.06)
Curly COMrades:通过隐藏的 Hyper-V 虚拟机实现规避和持久化;研究人员披露 Silent Lynx 组织的 Peek-a-Baku 活动;研究人员发现 Kimsuky 和 Lazarus 的工具
Operation South Star:针对国产手机的 0day 间谍活动
最近几年红雨滴团队在与东北亚APT对抗过程中,发现近20个涉及国产软件的0day,相关IOC涵盖多个组织且均有重叠,Operation South Star可能是MSMT合作框架下的取证活动。本文主要披露 Zipperdown 的在野利用
每周高级威胁情报解读(2025.10.24~10.30)
SideWinder采用基于ClickOnce的新型感染链;Lazarus利用DreamLoader发起攻击;Lazarus以虚假工作为诱饵引诱国防工程师窃取无人机机密;TransparentTribe使用DeskRAT攻击印度军事组织
研发人员请注意:你克隆的代码,可能“带毒”
近期,奇安信网络安全部和威胁情报中心观察到有多个政企客户研发人员从 Github 上下载不可信的工具或安装包,从而导致开发终端被植入窃密或挖矿软件,可能会对公司核心数据造成潜在的影响。
一次针对 iOS 间谍武器开发人员的 0day 攻击到美国十大政府承包商 L3Harris 的陷落
L3Harris子公司Trenchant网络业务总经理Peter Williams被控将同一批0day秘密出售,原iOS研究员Jay Gibson被误判为内鬼遭开除,事件暴露美国十大政府承包商双重失守:既被外部0day攻破,又出现内鬼外泄
每周高级威胁情报解读(2025.10.17~10.23)
COLDRIVER启用新的恶意软件;BeaverTail和OtterCookie推出新的Javascript模块;UNC5342使用“EtherHiding”传播恶意软件;疑似 APT36 组织的双平台后门StealthServer分析
TA585 组织利用 ClickFix 钓鱼技术部署 MonsterV2 RAT 的深度技术分析
2025年4月,TA585演变为完全自主的运营商,注册并维护自己的恶意基础设施,被研究人员标识为CoreSecThree。其主要使用恶意软件的MonsterV2 RAT具有信息窃取、隐藏虚拟网络计算(HVNC)和剪贴板劫持等多种高级功能。
蔓灵花(APT-Q-37)以多样化手段投递新型后门组件
奇安信威胁情报中心近期发现一些与蔓灵花组织相关的攻击样本,这些样本使用不同方式,最终植入一种可以从远程服务器下发任意 EXE 文件的 C#后门。
每周高级威胁情报解读(2025.10.10~10.16)
海莲花组织Havoc远控木马分析;TwoNet 黑客组织瞄准 OT/ICS;APT35组织泄露的内部文件分析;Mysterious Elephant利用 WhatsApp 通信窃取敏感数据;追踪 TA585 及其武器库
软硬件产品供应链攻击分析报告
8月,攻击者入侵Drift获取令牌,进而访问到与之关联的Salesforce,导致多家企业数据被泄露。2月的Bybit大劫案与其使用的签名服务代码被植入恶意功能有关。奇安信威胁情报中心通过分析历年经典供应链攻击案例得到一些结论并提供对策建议
另一个 SolarWinds 事件?F5 被攻击渗透事件简要信息整理及影响分析
F5于2025年8月9日首次发现入侵,并立即启动了事件响应流程。F5强调,其软件供应链未被修改,且没有证据表明攻击者访问或窃取了客户关系管理系统、财务系统、支持案例管理系统、iHealth 系统、NGINX源代码或F5分布式云服务等关键系统
利用 Oracle EBS 漏洞(CVE-2025-61882)的勒索活动综合技术分析报告
本报告深入分析针对 Oracle E-Business Suite(EBS)的关键漏洞CVE-2025-61882,以及其在大规模勒索活动中的实际利用情况。该漏洞CVSS评分9.8,影响Oracle EBS 12.2.3至12.2.14版本
每周高级威胁情报解读(2025.09.26~10.09)
Cavalry Werewolf利用信任关系攻击袭击俄罗斯公共部门;Confucius攻击工具从窃取器向模块化后门演进;分析DPRK IT Workers加密洗钱网络内部;SideWinder扩大网络钓鱼行动;揭秘魔罗桫组织武器库源代码
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)