2025.09.19~09.25
攻击团伙情报
COLDRIVER 使用 BAITSWITCH 和 SIMPLEFIX 更新武器库
Nimbus Manticore 针对欧洲目标部署新恶意软件
Kimsuky 组织通过隐藏在压缩文件中的快捷方式进行攻击
Turla 与 Gamaredon 合作针对乌克兰
疑似APT-C-00(海莲花)投递Havoc木马
攻击行动或事件情报
Storm-1679针对摩尔多瓦选举活动开展虚假信息宣传
ShinyHunters 瞄准企业云应用程序
攻击者部署 BadIIS 进行大规模 SEO 中毒活动
Kawa4096勒索组织针对多国目标进行攻击
CopyCop 进一步强化策略
恶意代码情报
新型恶意npm软件包通过二维码隐写技术窃取浏览器密码
YiBackdoor新型恶意软件与 IcedID 和 Latrodectus 相关
ShadowV2:一个新兴的 DDoS 雇佣僵尸网络
攻击者利用游戏补丁传播恶意软件窃取玩家信息
漏洞情报
Chrome 高危漏洞可导致攻击者访问敏感数据并导致系统崩溃
攻击团伙情报
COLDRIVER 使用 BAITSWITCH 和 SIMPLEFIX 更新武器库
披露时间:2025年9月24日
情报来源:https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix
相关信息:
COLDRIVER组织发起了一种新的攻击活动,利用ClickFix网页的社交工程攻击方法,通过假冒Cloudflare Turnstile复选框,诱骗用户在Windows运行对话框中执行恶意命令。该命令通过rundll32.exe执行BAITSWITCH(machinerie.dll),进而下载并执行SIMPLEFIX后门。BAITSWITCH通过一系列HTTP请求从C2服务器接收命令,建立持久性,并下载PowerShell脚本。SIMPLEFIX后门使用复杂的字符串混淆技术,支持多种命令,包括收集系统信息、网络配置和用户数据,并将输出发送回C2服务器。该活动的目标是收集有关俄罗斯民间社会成员和智库机构的信息,攻击链涉及多个阶段,从初始访问到数据泄露,显示出较高的复杂性和隐蔽性。
Nimbus Manticore 针对欧洲目标部署新恶意软件
披露时间:2025年9月22日
情报来源:https://research.checkpoint.com/2025/nimbus-manticore-deploys-new-malware-targeting-europe/
相关信息:
Check Point 分析了伊朗APT组织Nimbus Manticore针对欧洲的最新恶意软件攻击活动。该组织主要攻击航空航天、国防和电信行业,与伊朗革命卫队的战略优先事项一致。攻击者通过伪装成招聘网站的网络钓鱼活动,引导受害者下载恶意软件。恶意软件使用了多阶段DLL侧加载技术,通过修改进程执行参数加载恶意DLL,绕过检测。其工具集包括MiniJunk后门和MiniBrowse窃密组件,这些工具不断演变,利用数字签名、代码膨胀和多阶段侧加载等技术逃避检测。攻击者还使用了复杂的混淆技术,包括插入垃圾代码、控制流混淆和字符串加密,使得恶意软件难以分析。此外,该组织还扩展了其攻击目标,增加了对欧洲的攻击,特别是丹麦、瑞典和葡萄牙。
Kimsuky 组织通过隐藏在压缩文件中的快捷方式进行攻击
披露时间:2025年9月18日
情报来源:https://logpresso.com/ko/blog/2025-09-18-Kimsuky-Attack
相关信息:
2025年7月底,发现Kimsuky将恶意软件伪装成“性犯罪者个人信息通知”等主题的ZIP压缩文件进行传播。压缩包内包含加密的诱饵文档和一个名为“文档密码.txt.lnk”的快捷方式文件。用户点击此文件后,系统会通过mshta.exe程序从远程服务器下载并执行加密的恶意脚本。为了迷惑用户,攻击者会同时显示一个包含文档密码的文本文件,同时在后台下载核心恶意载荷。
该恶意软件具备反虚拟机检测和系统持久化驻留能力。其主要目的是大规模窃取敏感信息,包括浏览器数据、加密货币钱包扩展程序、Telegram聊天记录、数字证书以及键盘输入记录等。所有收集到的数据都会经过加密,并通过HTTPS协议定期发送到攻击者控制的服务器。此外,恶意软件还会向浏览器进程注入额外的DLL模块,以执行更深入的窃密行为。
Turla 与 Gamaredon 合作针对乌克兰
披露时间:2025年9月19日
情报来源:https://www.welivesecurity.com/en/eset-research/gamaredon-x-turla-collab/
相关信息:
ESET 研究发现,Gamaredon 与 Turla 两大 APT 组织在 2025 年首次出现战术级合作:Gamaredon 先以快捷的钓鱼电邮和 USB 蠕虫大规模收集乌方军政内网入口,随后把已控主机“转手”给 Turla,后者植入高级 Rootkit 与卫星链路 C2,展开长期隐蔽窃密与文件篡改。二者共享同一动态 DNS 平台、复用 dropper 证书,并在样本中互留对方后门,实现资源互补与归因混淆;Gamaredon 的快速突破为 Turla 提供了高价值跳板,而 Turla 的稳健驻留又帮 Gamaredon 掩盖痕迹、扩大战果。这一“快攻+深潜”的协作模式显著提升了攻击生命周期与检测难度,也表明国家级黑客正打破传统单兵作战边界,通过“APT 即服务”式联合扩大地缘情报优势。
疑似APT-C-00(海莲花)投递Havoc木马
披露时间:2025年9月19日
情报来源:https://mp.weixin.qq.com/s/zZVmDDWHQx7XuJZ8YO6joA
相关信息:
360高级威胁研究院在日常威胁狩猎中捕获了一个可疑的木马加载器,该加载器与APT-C-00(海莲花)组织的攻击手法高度相似。该样本是一个DLL文件,使用Mingw-w64开发,具有良好的免杀效果。样本通过动态获取API函数、创建互斥体、检查命令行参数、修改注册表实现持久化,并通过模块镂空技术将Shellcode注入到系统文件certmgr.dll中,最终反射加载Havoc RAT后门。该攻击活动展示了海莲花组织在攻击过程中常用的技战术,包括使用白利用、DLL侧加载和模块镂空等技术。
攻击行动或事件情报
Storm-1679针对摩尔多瓦选举活动开展虚假信息宣传
披露时间:2025年9月23日
情报来源:https://www.silentpush.com/blog/storm-1679/
相关信息:
Silent Push研究人员识别并追踪到一场旨在影响2025年9月28日摩尔多瓦全国选举的定向虚假信息活动,将其归因于名为Storm-1679或Matryoshka的俄罗斯威胁组织。该行动通过大量无明显所有者的虚假新闻网站发布倾向性内容,分析人员通过技术指纹将该活动与2022年的一次俄罗斯影响力活动和虚假信息宣传工作联系起来,多个网站共享独特技术指纹和相同基础设施。技术指纹显示这些网站与2022年推出的俄罗斯媒体和宣传平台Absatz有关,Absatz网站上有大量针对摩尔多瓦的虚假信息文章。Silent Push指出,威胁行为者通过隐藏注册信息并借助社交媒体账号放大内容,试图降低可归属性并提高影响力。
ShinyHunters 瞄准企业云应用程序
披露时间:2025年9月22日
情报来源:https://blog.eclecticiq.com/shinyhunters-calling-financially-motivated-data-extortion-group-targeting-enterprise-cloud-applications
相关信息:
ShinyHunters是一个以经济利益为动机的网络犯罪团伙,其活动始于2020年,并在2025年通过AI语音钓鱼、供应链攻击及利用恶意内部人员等方式扩大了其攻击范围。该团队通过语音钓鱼攻击获取零售、航空和电信公司使用的单点登录平台的访问权限,并利用这些权限窃取大量客户数据进行勒索。ShinyHunters还通过窃取高权限工程账户的访问权限,入侵CI/CD管道,进而发动供应链攻击。此外,该团伙还与Scattered Spider和The Com等其他网络犯罪团伙合作,开展语音钓鱼攻击,并计划通过shinysp1d3r勒索软件即服务平台扩大其攻击范围。该团伙主要针对企业使用的Salesforce、Okta等云应用,通过语音钓鱼攻击获取用户登录信息,进而对企业进行数据勒索。其攻击手法包括利用AI驱动的语音代理进行自动化社会工程攻击、重用钓鱼模板假冒Okta登录页面以及利用企业内部人员获取网络访问权限等方式。
攻击者部署 BadIIS 进行大规模 SEO 中毒活动
披露时间:2025年9月22日
情报来源:https://unit42.paloaltonetworks.com/operation-rewrite-seo-poisoning-campaign/
相关信息:
Unit 42团队披露一起代号为“Operation Rewrite”的大规模SEO投毒攻击,确认由中文背景威胁组织CL-UNK-1037主导,手法与“Group 9”及“DragonRank”存在交集。攻击者将恶意IIS原生模块BadIIS植入被攻陷的合法网站,该模块根据User-Agent与Referer识别搜索引擎爬虫或真实访客:对前者返回含热门越南关键词的虚假页面,使政府等高信誉域名在搜索结果中排名靠前;对后者则302跳转至博彩、色情等黑产站点。后续发现攻击者还部署ASP.NET页、托管.NET模块与PHP脚本三种轻量级变种,分别通过404劫持、内容注入或伪造站点地图实现隐蔽投毒。代码中“重写”类名、简体注释及C2域名(如404.008php.com)均指向中文来源,并复用Group 9历史基础设施。
Kawa4096勒索组织针对多国目标进行攻击
披露时间:2025年9月18日
情报来源:https://asec.ahnlab.com/ko/90189/
相关信息:
2025年6月,一个名为Kawa4096的新型勒索软件组织开始活跃,目标遍及日本和美国等国的跨国组织,涉及金融、教育、服务等多个行业。该组织运营基于Tor的数据泄露网站,采用双重勒索方式,攻击后窃取并加密数据。Kawa4096勒索软件运行时若没有参数会自动添加-all参数重新运行,对目标加密文件进行全面加密。它还会创建名为SAY_HI_2025的互斥锁防止重复运行,之后通过API读取可执行文件内部资源部分的设置来决定操作。在加密准备阶段,采用部分加密选项提高加密速度和效率。加密完成后会生成名为!!Restore-My-file-Kavva.txt的勒索信,与Qilin勒索软件的勒索信高度相似,并引导受害者协商和支付赎金。此外,该勒索软件会删除备份数据,使受害者无法恢复数据。
CopyCop 进一步强化策略
披露时间:2025年9月18日
情报来源:https://www.recordedfuture.com/research/copycop-deepens-its-playbook-with-new-websites-and-targets
相关信息:
Recorded Future最新报告指出,自2025年初以来,俄罗斯隐蔽影响力网络CopyCop(又称Storm-1516)已建立超过300个虚假网站,显著扩大其全球信息战范围。该网络由居住在莫斯科的美国公民John Mark Dougan主导,并获得俄罗斯GRU与地缘政治研究中心(CGE)的支持。CopyCop通过冒充地方媒体、政党、事实核查机构等方式,发布AI生成的亲俄、反乌、反西方内容,试图削弱国际社会对乌克兰的支持,并加剧西方国家的政治分裂。
其新战术包括使用自托管的Meta Llama 3模型生成内容,避免西方AI平台的审查;通过子域名镜像机制增强网站抗打击能力;模仿主流媒体的视觉风格以提高可信度;并在社交平台上获得大量自然传播。其内容不仅针对美国、法国、德国等大国,还扩展至摩尔多瓦、亚美尼亚、加拿大等国的选举进程,试图干扰其民主制度。
此外,CopyCop还利用深度伪造、虚假采访、伪造文件等手段,传播关于乌克兰政府腐败、西方国家干预等不实信息,并通过社交媒體影响者和亲俄网络进行放大。报告强调,CopyCop的影响力已多次突破主流舆论场,未来对小型民主国家的干预风险尤为值得关注。
恶意代码情报
新型恶意npm软件包通过二维码隐写技术窃取浏览器密码
披露时间:2025年9月22日
情报来源:https://socket.dev/blog/malicious-fezbox-npm-package-steals-browser-passwords-from-cookies-via-innovative-qr-code
相关信息:
2025年,Socket威胁研究团队发现一个名为fezbox的新型npm包,它是一种复杂的恶意软件交付机制。该软件包以npm别名janedu发布,伪装成无害的JavaScript/TypeScript实用程序库,通过嵌入的二维码从浏览器cookie中窃取用户名和密码凭证。它通过多层混淆技术绕过静态分析工具和人工审查,在导入库时触发后台进程,从远程二维码图像中检索并运行隐藏代码。该代码在生产环境中运行,等待120秒后执行恶意有效负载,将窃取的凭证发送到攻击者服务器。由于现在Web应用很少在cookie中存储明文密码,此次攻击的实际影响有限。
YiBackdoor新型恶意软件与 IcedID 和 Latrodectus 相关
披露时间:2025年9月23日
情报来源:https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus
相关信息:
YiBackdoor是一种新发现的恶意软件家族,具有多种反分析技术,包括检测虚拟化环境、动态加载Windows API函数、运行时解密字符串等。它通过检查主机上是否存在互斥体来避免重复运行,并通过注入代码到远程进程(如svchost.exe)来隐藏自身。YiBackdoor通过Windows Run注册表项建立持久化,并使用加密配置来存储C2服务器信息、加密/解密密钥和初始化向量等。它通过HTTP与C2服务器通信,使用TripleDES加密算法加密数据,并根据当前星期几动态生成加密密钥。YiBackdoor支持多种网络命令,包括收集系统信息、截取屏幕、执行命令等,并通过插件机制扩展功能。其代码与IcedID和Latrodectus存在显著相似性,包括使用相同的字符集生成随机字符串、相同的配置解密密钥格式和长度、以及类似的插件解密算法。
ShadowV2:一个新兴的 DDoS 雇佣僵尸网络
披露时间:2025年9月23日
情报来源:https://www.darktrace.com/blog/shadowv2-an-emerging-ddos-for-hire-botnet
相关信息:
ShadowV2是一种新兴的DDoS雇佣僵尸网络,其攻击工具复杂且高度自动化。攻击者利用GitHub CodeSpaces托管的Python脚本作为初始攻击向量,针对暴露在AWS EC2上的Docker守护进程。恶意软件是一个用Go语言编写的单个二进制文件,具有注册和轮询机制,能够执行命令并与操作员通信。其攻击功能包括HTTP/2快速重置、Cloudflare攻击模式(UAM)绕过和大规模HTTP洪水攻击等。C2服务器使用Python编写,基于FastAPI和Pydantic框架,提供了一个完整的用户API,支持多租户使用。
攻击者利用游戏补丁传播恶意软件窃取玩家信息
披露时间:2025年9月22日
情报来源:https://www.gdatasoftware.com/blog/2025/09/38265-steam-blockblasters-game-downloads-malware
相关信息:
G DATA安全实验室研究人员发现,名为BlockBlasters的2D平台射击游戏在8月30日发布了一个包含恶意文件的补丁,会窃取玩家PC上的各种信息,包括加密货币钱包数据。该补丁包含一个批处理文件(game2.bat)伪装为游戏或更新内容,实则收集玩家的IP、地理位置、Steam登录信息等上传到C2服务器,并检测是否运行杀毒软件。然后触发VBS脚本执行隐藏的批处理文件,进一步收集浏览器扩展和加密钱包信息。最后执行主有效载荷,包括作为后门的Client-built2.exe和Block1.exe窃取器。此次攻击活动影响了数百名玩家,游戏在SteamDB上被标记为“可疑”,并已从Steam平台移除。
漏洞情报
Chrome 高危漏洞可导致攻击者访问敏感数据并导致系统崩溃
披露时间:2025年9月24日
情报来源:https://cybersecuritynews.com/chrome-high-severity-vulnerabilities/
相关信息:
Google为Chrome浏览器发布了紧急安全更新,解决了三个高危漏洞。这些漏洞位于Chrome的核心组件V8 JavaScript和WebAssembly引擎中。第一个漏洞(CVE-2025-10890)是侧信道信息泄露漏洞,可能允许攻击者通过恶意网站读取浏览器内存中的敏感数据。其他两个漏洞(CVE-2025-10891和CVE-2025-10892)是V8引擎中的整数溢出漏洞,可能导致浏览器崩溃或被利用执行任意代码。攻击者通常需要诱骗用户访问恶意网页才能利用这些漏洞。Google建议用户立即更新浏览器至最新版本(Windows和Mac为140.0.7339.207/.208,Linux为140.0.7339.207),以保护系统免受潜在威胁。
点击阅读原文至ALPHA 8.3
即刻助力威胁研判