01

家族团伙事件

01

Akira利用Huntress工程师明文存储恢复码的失误，绕过MFA入侵致客户数据泄露

• 攻击组织别名：
  

  GOLD SAHARA, PUNK SPIDER, G1024, Storm-1567

• 攻击组织主要影响行业：
  

  互联网技术服务, 汽车

• 参考链接：
  
  https://securityonline.info/a-security-engineers-mistake-led-to-a-ransomware-breach/

Huntress一名安全工程师将系统账户恢复码以明文形式文件存于系统桌面，导致设备遭入侵后恢复码被盗。黑客借此绕过多因素认证（MFA），拿到Huntress控制台完全访问权限。随后，攻击者利用公司SonicWall VPN服务漏洞进一步控制内部系统，还通过将安全警报标记为已解决，取消主机隔离策略，卸载安全代理等手段掩盖痕迹，直至部分客户发现异常并主动求证，事件才被关注和调查。经确认，异常操作确非运营工程师所为，此次事件已致至少一个客户面临恶意软件部署和数据泄露风险。攻击团伙利用明文恢复码绕过防护，对企业安全防护能力构成重大挑战。

02

APT28凭借隐写、云服务滥用等技术实施长期网络监控与窃密

• 攻击组织别名：
  

  Black Energy, BROMINE, 奇幻熊, BlackEnergy, Crouching Yeti, Havex, Koala Team, Group 24, Berserker Bear, Ghost Blizzard, Dragonfly2, Sednit, Pawn Storm, TAG_0700, Sofacy, Swallowtail, GRIZZLY STEPPE, Fancy Bear, Threat Group-4127, APT-C-20...

• 攻击组织主要影响行业：
  

  政法, 互联网技术服务, 建筑与不动产, 能源, 教育, 交通

• 参考链接：
  
  https://securityonline.info/apt28s-beardshell-campaign-steganography-cloud-abuse-and-persistent-espionage/

此次攻击由APT28发起，运用了隐写技术与云服务滥用结合的新手法。攻击以定制化Office文档为载体，经私密Signal聊天渠道发送伪装成行政通知的诱骗信息，目标为特定军事管理及指挥机构，旨在获取情报并长期渗透网络。攻击始于武器化文档，其中恶意VBA宏代码加载动态链接库，秘密提取藏于PNG图片的恶意shellcode，通过合法云服务建立隐蔽通信链路。随后部署BeardShell后门程序，利用云存储作命令与控制渠道，定时上传侦察数据并获取指令，数据伪装混淆检测。此外，还发现具有多种窃取功能的间谍软件植入程序。攻击中还测试其他云服务平台拓展可能，增加检测难度，展现出高技术水平和战术灵活性，对目标军事管理及指挥系统构成严重威胁。

03

HuntersInternational针对Salesforce SSO发起钓鱼，窃取大量客户数据并勒索

• 攻击组织别名：
  

  Hunters International, Hunters International group, 猎人国际, 国际猎人

• 攻击组织主要影响行业：
  

  金融, 汽车, 医疗, 物流, 教育, 交通，消费零售

• 参考链接：
  

  https://cybersecuritynews.com/gucci-balenciaga-alexander-mcqueen-data-leak/

近期，某时尚集团证实遭遇数据泄露事件，攻击者4月通过针对Salesforce SSO门户的钓鱼活动获取内部员工登录凭证。今年6月，这一入侵事件被发现，攻击者已提取大量客户数据，涉及约740万独立电子邮件地址，其中消费数据显示单客户累计消费主要在在1万至8.6万美元间，这意味着高价值客户面临更大网络风险。事后，该集团按相关规定通知数据保护机构和受影响客户。“Shiny Hunters”攻击者曾试图索要比特币赎金，但遭集团否认。此外，攻击手法中还存在滥用被窃取API令牌和OAuth权限获取凭证的情况。此次攻击揭示社会工程学攻击和内部凭证滥用的高效性，数据泄露使客户面临进一步攻击风险，也影响品牌信誉和市场信任，促使企业加强安全防护。

04

Kimsuky利用AI深度伪造技术实施钓鱼攻击，引发敏感信息泄露及后门隐患

• 攻击组织别名：
  

  Thallium, Velvet Chollima, Baby Coin, APT-C-55, Smoke Screen, Black Banshee, Mystery Baby, KimSuky group, UAT-5394

• 攻击组织主要影响行业：
  

  教育, 电信运营商, 政法

• 参考链接：
  
  https://securityonline.info/kimsuky-group-weaponizes-ai-deepfakes-in-new-spear-phishing-campaign/

在2025年7月17日的入侵行动中，攻击者伪装成负责签发管理官方身份证的部门。攻击者采用了ChatGPT生成的伪造身份证样本，这些深度伪造的图像被嵌入鱼叉式钓鱼邮件中，伪装成征求军人员工身份审核意见的请求。当受害者点击并下载附件后，恶意的PowerShell命令被执行，该命令经过分片混淆技术处理，并最终与指挥控制服务器建立通信。附件中的.zip文件包含一个恶意快捷方式文件，该文件在解码后转化为一个PowerShell后门，伴随发送的PNG文件则被TruthScan检测服务评定为有98%的可能为深伪证据。进一步的分析揭示，恶意LX文件触发了PowerShell执行，而批处理文件（LhUdPC3G.bat）则用于下载以韩办公软件更新为伪装的第二阶段恶意负载。攻击者还利用AutoIt脚本，并结合增强型维吉尼亚密码对字符串进行混淆，利用Windows任务计划程序维持系统持久性，将恶意进程伪装成更新服务运行。这种攻击手法与2025年6月曾观察到的“ClickFix”策略存在明显关联，两次均使用相似的恶意软件变种和指挥控制基础设施，显示出攻击团队在技术上具有较高的成熟度和一致性，其核心在于利用生成式AI与深伪技术制造高可信度的伪造文件，从而突破传统安全防护措施。

02

热点攻击手段

01

FileFix社交工程混传StealC木马，诱导点击及恶意内容上传展开钓鱼攻击

• 攻击方式关键词：
  

  网络钓鱼（T1566）、恶意文件伪装（T1027）、利用受信任平台（T1102）、浏览器攻击（T1187）、剪贴板劫持（T1543）、远程脚本执行（T1059）

• 参考链接：
  
  https://www.hendryadrian.com/new-filefix-variant-delivers-stealc-malware-through-multilingual-phishing-site/

近期，网络安全专家发现了一场新的攻击活动，利用FileFix社交工程技术和混淆手段传播StealC信息窃取木马。攻击者通过建立多语言钓鱼网站，伪装成知名平台（如Facebook），诱使用户执行恶意命令，将恶意负载植入系统。攻击者利用受信任的代码托管平台下载图像并隐藏恶意内容，以此规避传统的安全防护。攻击的具体步骤包括：首先构建伪装成知名平台的多语言钓鱼网站，诱导用户上传文件并执行恶意命令，触发下载恶意负载。图像文件通过受信任平台隐藏木马，并通过浏览器执行，而非系统对话框，这使得恶意活动更难被发现。此外，攻击者还使用剪贴板劫持、伪造技术支持门户和远程脚本执行等手段，增加了攻击的隐蔽性和成功率。整体攻击方式展示了高度的精密性和多阶段协作，目的是在不引起怀疑的情况下窃取敏感信息。感染StealC木马后，受害者的系统可能会泄露敏感信息，造成经济损失和声誉损害。

防护建议：

加强对网络钓鱼攻击的防范，特别是对多语言钓鱼网站和文件上传行为的警惕。企业和用户应定期更新安全补丁，部署多层安全监控，并提高社交工程攻击的安全意识。

02

网络钓鱼活动传播MostereRAT，实现目标系统完全掌控

• 攻击方式关键词：
  

  钓鱼攻击（T1566）、恶意文档投递（T1204）、代码混淆 / 加密（T1027）、持久化（T1053）、键盘记录（T1056）、凭据窃取（T1552）、禁用安全软件（T1562）、横向移动（T1090）

• 参考链接：
  
  https://www.cysecurity.news/2025/09/mostererat-malware-leverages-evasion.html

MostereRAT木马是一种远程访问工具，利用编程语言Easy Programming Language (EPL)隐藏恶意载荷并实施持久性控制。攻击者通过伪装成商业询问的钓鱼邮件诱导受害者下载包含ZIP档案的Word文档，ZIP档案中的恶意载荷通过EPL编写，分步解密并在受感染系统中安装可执行文件，设置持久化机制。安装后，MostereRAT使用多种手段控制受感染系统，包括记录键盘输入、窃取敏感信息、创建隐藏管理员账户，并借助合法的远程访问工具（如AnyDesk、TightVNC、RDP Wrapper）实现长期控制。它通过Windows Filtering Platform (WFP)屏蔽安全工具的通信，利用mutual TLS (mTLS)与指挥控制服务器建立加密连接。此外，该恶意软件通过伪装错误提示，禁用Microsoft Updates并终止杀毒软件进程，增强了隐蔽性。受感染的系统面临安全防护失效、重要数据泄露和业务中断的风险。攻击者几乎完全接管目标系统，导致长期安全隐患。

防护建议：

加强多层防御策略，及时更新安全产品，提高员工对钓鱼邮件的警觉性，并部署高级检测与响应服务，同时定期进行安全演练和用户培训。

03

利用合法RMM工具与社会工程攻击手法致企业数据泄露与权限滥用

• 攻击方式关键词：
  

  社会工程（T1566）、恶意代码注入（T1059）、持久化（T1053）、DLL 侧载（T1574.002）、数据窃取（T1005）、注册表修改（T1112）、命令与控制通信（T1071）、利用合法工具（T1218）

• 参考链接：
  
  https://cybersecuritynews.com/threat-actors-leverage-several-rmm-tools/

近期研究发现，不法分子利用合法远程监控与管理（RMM）工具，在企业环境嵌入恶意程序以实现持久远程控制，还通过社交工程手段诱目标下载武器化 RMM 安装程序，植入后门并窃取敏感信息。攻击中，犯罪分子以伪造浏览器更新、会议邀请等四类内容为诱饵，诱受害者下载恶意 RMM 工具。如伪造 Google Chrome 更新时，在合法网站注入恶意 JavaScript 代码，借高 z-index 值让伪造提示置顶，再通过 iframe 加载恶意域内容，同时窃取浏览器指纹等信息发送至控制服务器。用户下载修改后的 ITarian 安装程序后，程序以特定进程运行，改注册表保持久化，还借 DLL sideloading 技术加载恶意文件、部署工具渗透权限，形成多重持久访问途径。此类攻击会给企业植入持久后门，威胁内网安全，致敏感信息泄露、业务系统权限被滥用，影响正常运营。

防护建议：

企业严控 RMM 工具使用，建白名单、监控异常进程、检测新域名流量，强化终端防护，拦截可疑连接与行为。

04

以企业漏洞、BYOVD、凭证窃取渗透目标网络攻击

• 攻击方式关键词：
  

  操作系统凭证转储（T1003）、进程注入（T1055）、入口工具传输（T1105）、利用面向公众的应用程序（T1190）、供应链攻击（T1195）、远程服务利用（T1210）、信息存储库数据（T1213）、系统二进制代理执行（T1218）、数据加密攻击（T1486）、服务器软件组件（T1505）

• 情报来源：
  
  https://www.hendryadrian.com/gold-salems-warlock-operation-joins-busy-ransomware-landscape/

CTU研究人员追踪到威胁组织Warlock Group（金色塞勒姆），自2025年3月起实施网络攻击。该组织先利用企业应用漏洞链（含多个CVE漏洞）获取初始访问权限，安装ASPX web shell，再通过Golang WebSockets后门确保远程控制。在进程干预上，利用BYOVD技术结合有漏洞的杀毒驱动终止防护进程。成功渗透后，使用Mimikatz提取凭证，借助PsExec等工具横向移动，并依赖组策略对象部署勒索代码，还滥用合法工具建立网络隧道维持远程控制。此外，该组织在地下论坛招募初始访问经纪人，通过Tor泄露站点公开受害者数据并设定勒索付款倒计时。此次攻击使受害组织数据被加密、信息遭泄露，面临业务中断等风险。

防护建议：

企业及时更新补丁、加强监控、部署检测响应措施、限制网络访问权限，结合IoC信息预防进一步攻击。

05

伪装办公部门邮件，恶意 ZIP 植入 FormBook 窃密凭证数据

• 攻击方式关键词：
  

  Visual Basic（T1059.005）、入口工具传输（T1105）、用户执行（T1204）、系统二进制代理执行（T1218）、钓鱼（T1566）

• 情报来源：
  
  https://www.hendryadrian.com/false-communications-regarding-the-politecnico-di-milano-used-to-promote-formbook/

CERT-AGID对一起冒充知名机构的邮件活动展开调查。该活动以伪造竞标邀请提升可信度，诱导建筑行业运营商打开附件，主要利用恶意压缩文件（ZIP）作载体，其中隐藏的混淆 JavaScript 脚本执行后会调用 PowerShell 命令，从远程服务器下载额外组件，最终安装 FormBook 木马。攻击中，攻击者冒充官方身份发送邮件，附件 ZIP 文件藏有恶意代码，打开后经多级操作植入木马，利用相似办公场景外观降低受害者戒备。CERT-AGID 调查时及时共享 IoCs 并通知相关方。此次攻击可能导致被攻击系统数据泄露、财务损失及进一步入侵风险。

防护建议：

核实邮件发件人、不打开不明文件、及时报告可疑情况，并加强内部邮件安全培训和防御。

03

重点漏洞情报

01

Zabbix Server SQL注入漏洞

（CVE-2025-27240）

• 风险等级：高危
  

• 参考链接：
  
  https://support.zabbix.com/browse/ZBX-26986

Zabbix Server 被披露出存在二次SQL注入漏洞，漏洞编号CVE-2025-27240。Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 据官方描述，漏洞是由于在 Zabbix Server 中的二次SQL注入问题导致的。攻击者可以通过在“Visible name”字段中插入恶意SQL代码，利用自动移除主机的功能触发SQL注入。 具体来说，当 Zabbix 管理员删除自动注册的主机时，攻击者可以通过构造恶意输入，执行任意SQL语句，从而可能导致数据泄露或系统破坏。 漏洞利用的前置条件是攻击者需要具备 Zabbix 管理员权限，并且能够访问会被自动移除的主机。

02

Spring Security 授权绕过漏洞

（CVE-2025-41248）

• 风险等级：高危
  

• 参考链接：
  
  https://spring.io/security/cve-2025-41248

Spring 官方发布安全通告，披露了其 Spring Security 存在授权绕过漏洞，漏洞编号CVE-2025-41248。可导致未经身份验证的远程攻击者绕过授权规则访问系统资源等危害。Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 据官方描述，Spring Security 的 @EnableMethodSecurity 功能在解析方法安全注解（如 @PreAuthorize）时存在缺陷：当这些注解被用于无界泛型父类或接口的方法上时，框架可能无法正确识别和应用这些安全规则，导致子类在继承或实现这些方法时，本应执行的权限检查被意外绕过，从而导致未授权用户能够访问受保护的敏感方法等。 注：该漏洞只影响使用 Spring Security 的 @EnableMethodSecurity 功能的应用程序，如果没有在项目中使用 @EnableMethodSecurity 功能，或者没有在泛型父类或接口的方法上使用权限注解（如 @PreAuthorize），则应用程序不易受该漏洞影响。

03

Spring Framework 授权绕过漏洞（CVE-2025-41249）

• 风险等级：高危
  

• 参考链接：
  
  https://spring.io/security/cve-2025-41249

Spring 官方发布安全通告，披露了其 Spring Framework 存在授权绕过漏洞，漏洞编号CVE-2025-41249。可导致未经身份验证的远程攻击者绕过授权规则访问系统资源等危害。Spring 框架（Framework）是一个开源的轻量级J2EE应用程序开发框架，提供了 IOC、AOP 及 MVC 等功能，解决了程序人员在开发中遇到的常见问题，提高了应用程序开发便捷度和软件系统构建效率。 据官方描述，Spring Framework 底层注解检测机制在处理无界泛型类型层次结构时，对于方法级别注解的解析存在缺陷：当安全注解（如 @PreAuthorize）被定义在参数化父类或接口的方法上时，框架可能无法在运行时正确发现和继承这些注解，导致依赖此机制的 Spring Security 方法级安全功能（@EnableMethodSecurity）失效，从而导致子类重写方法执行时跳过权限检查，造成授权绕过风险等。 注：该漏洞只影响使用 Spring Security 的 @EnableMethodSecurity 功能的应用程序，如果没有在项目中使用 @EnableMethodSecurity 功能，或者没有在泛型父类或接口的方法上使用权限注解（如 @PreAuthorize），则应用程序不易受该漏洞影响。