每周高级威胁情报解读(2025.07.04~07.10)
Kimsuky基于VMP强壳的HappyDoor后门攻击分析;揭秘DoNot针对南欧政府的复杂攻击;APT36在印度国防BOSS Linux上部署恶意软件;NightEagle利用Microsoft Exchange漏洞攻击军事和科技部门
奇安信威胁情报中心
摩诃草(APT-Q-36)仿冒高校域名实施窃密行动
奇安信威胁情报中心近期发现摩诃草组织 LNK 攻击样本从仿冒国内高校域名的远程服务器下载诱饵文档和后续载荷,后续载荷为 Rust 编写的加载器,借助 shellcode 解密并内存加载 C# 木马。
每周高级威胁情报解读(2025.06.27~07.03)
Gamaredon利用升级的工具集对乌克兰发起鱼叉式网络钓鱼攻击;Kimusky利用ClickFix技术在受害者设备上运行恶意脚本;DPRK远程IT工作者渗透策略不断演变;Lazarus涉嫌抢劫BitoPro交易所1100万美元加密货币
每周高级威胁情报解读(2025.06.20~06.26)
Contagious Interview活动释放35个恶意npm包;APT28利用Signal对乌克兰发起新的恶意软件攻击;DarkHotel利用BYOVD技术的最新攻击活动分析;旺刺组织结合0day和ClickOnce技术开展间谍活动
台海热点诱饵!旺刺组织结合 0day 和 ClickOnce 技术开展间谍活动
旺刺组织挖掘了某邮件平台网页版的XSS 0day漏洞,通过该漏洞触发CilckOnce,实现打开钓鱼邮件时自动弹出钓鱼框,提高钓鱼攻击成功率。此外其背后的情报机构除了拥有大量win平台0day外,还掌握着大量国产软件未公开的内部接口
每周高级威胁情报解读(2025.06.13~06.19)
Kimsuky组织利用伪装成研究论文的钓鱼邮件传播恶意软件;XDSpy利用Windows LNK零日漏洞攻击目标;TaxOff组织攻击活动利用Chrome零日漏洞;Kimsuky(APT-Q-2)组织近期 Endoor 恶意软件分析
Kimsuky(APT-Q-2)组织近期 Endoor 恶意软件分析
近期奇安信威胁情报中心发现一批Kimsuky的Endoor样本,该后门功能上变化不大,但试图伪装为来自github的开源代码,避开代码审查,此外C&C使用不常见的的53端口,一定程度上绕过恶意流量检测,体现了该组织攻击手法的灵活性。
每周高级威胁情报解读(2025.06.06~06.12)
APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析;Stealth Falcon 组织利用微软 WebDAV 0day 漏洞开展间谍活动;Bitter 使用定制工具逃避复杂攻击检测
ALPHA 威胁情报分析云平台 V8.3 重磅升级
ALPHA V8.3 新增700+威胁行为体数据,全面覆盖多类型组织,提供专业情报支持。更有威胁分析AI武器库全新上线,大幅提升分析效率,为企业网络安全筑牢防线。
仿冒奇安信证书!针对区块链客户的定向攻击活动
奇安信威胁情报中心和天擎猎鹰团队在终端运营过程中发现一伙未知的攻击者正在瞄准区块链行业的客户攻击,该活动通过Telagram通信软件一对一进行传播,压缩包中为Lnk诱饵,双击后弹转账记录截图和释放白加黑组件,内存加载DcRat。
每周高级威胁情报解读(2025.05.30~06.05)
Silent Werewolf针对俄摩两国利用伪装邮件投递恶意加载器;UNC6040通过语音钓鱼攻击执行数据勒索;Conti团伙全员曝光;起底台“资通电军”APT组织技术底牌及网络攻击阴谋;金眼狗团伙近期使用“银狐”木马的窃密活动
金眼狗(APT-Q-27)团伙近期使用“银狐”木马的窃密活动
近日,我们发现金眼狗团伙通过水坑分发伪装成Todesk、快连VPN和纸飞机等安装包的恶意软件,运行后释放携带正常签名的安装软件,并暗中植入Winos4.0远控,同时结合“银狐”类木马进行窃密活动,新增Shellcode后门、对抗杀软等手段。
每周高级威胁情报解读(2025.05.23~05.29)
APT-C-53利用军事情报相关文件为诱饵的攻击行动分析;APT28黑客攻击北约组织窃取敏感数据;Bitter针对巴基斯坦电信有限公司发起攻击;APT36和Sidecopy攻击印度关键基础设施;摩诃草攻击武器复用肚脑虫基础设施
中国台湾APT组织网络攻击手法曝光,溯源锁定五年间活跃间谍团伙
2025年国家安全部门和国家公安机关先后披露了台湾方向的间谍活动,对我国境内目标骚扰破坏意图明显,用心极其险恶。本文主要披露这五年间来自台湾方向活跃组织的IOC,供关基单位自查。
物尽其用,摩诃草攻击武器复用肚脑虫基础设施
我们对肚脑虫组织的持续追踪发现该组织曾使用couldmailauth.com托管恶意软件。近期我们捕获到另一批以该域名为 C&C 服务器的样本,此类样本为摩诃草组织的 Spyder 下载器,并且其中一个样本带有与肚脑虫样本相同的数字签名。
每周高级威胁情报解读(2025.05.16~05.22)
南亚“苦象”攻击组织近期样本分析;SideWinder 针对南亚多国目标进行攻击;Operation(润)RUN:“离岸爱国者”的赛博狂欢;APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器
Operation(润)RUN:“离岸爱国者”的赛博狂欢
去年底UTG-Q-015针对CSDN等挂马被披露后该团伙更改了攻击手法,开始利用0day/Nday漏洞入侵政企Web站点,3月启用一批扫描节点对政企目标进行爆破,4月针对区块链网站、gitlab后台等进行攻击,并通过IM钓鱼定向入侵金融目标
每周高级威胁情报解读(2025.05.09~05.15)
朝鲜TA406组织针对乌克兰政府机构传播恶意软件;Marbled Dust 利用 Output Messenger 中的零日漏洞进行间谍活动;APT37伪装成韩国国家安全战略智库进行攻击
奇安信威胁情报MCP正式发布 ,助力威胁分析智能化集成化
迎接威胁研判的智能化浪潮,为威胁分析人员提供更好的使用体验,奇安信威胁情报MCP正式发布 ,支持更自动化的威胁运营流程,助力威胁分析智能化集成化。
每周高级威胁情报解读(2025.05.02~05.08)
APT35组织最新攻击活动分析;Lemon Sandstorm 入侵中东关键国家基础设施;“Operation Deceptive Prospect”活动通过客户反馈门户瞄准英国组织;APT36假冒印度国防部网站部署跨平台恶意软件
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)