index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
近期,多起针对韩国和俄罗斯的间谍活动及勒索软件攻击事件被披露。Kimsuky组织利用GitHub进行C2间谍活动,Scaly Wolf组织针对俄罗斯工程公司发起攻击,Static Tundra组织利用老旧网络设备长期渗透全球关键行业,Paper Werewolf组织利用WinRAR零日漏洞精准袭击俄罗斯政企。此外,巴基斯坦石油公司遭到Blue Locker勒索软件攻击,攻击者借Python生态投递跨平台远控木马,EncryptHub利用MSC漏洞投放Fickle Stealer恶意软件,'游蛇(银狐)'黑产最新变种攻击活动,攻击者冒充印度政府电力补贴服务机构进行网络钓鱼攻击活动,攻击者利用Android木马与钓鱼域名精准攻击多国军政人员。恶意代码方面,安卓木马PhantomCard滥用NFC窃取银行卡,新型GodRAT针对金融机构,Noodlophile Stealer 2.0 借版权钓鱼与社工情报精准打击高社媒曝光企业,攻击者利用微软帮助索引文件部署PipeMagic恶意软件,深入研究 Windows 中的 CVE-2025-29824漏洞。
🔍 Kimsuky组织利用GitHub作为C2渠道,通过伪装成外交联系人的钓鱼邮件攻击韩国外交使团,分发XenoRAT远程访问木马,窃取情报。
🏭 Scaly Wolf组织针对俄罗斯工程公司发起攻击,使用钓鱼邮件和恶意软件组件感染系统,窃取文件和用户账户数据。
📡 Static Tundra组织利用未打补丁或已停产的Cisco网络设备,利用Smart Install漏洞(CVE-2018-0171)获取设备配置,并长期潜伏在关键基础设施中。
📦 Paper Werewolf组织利用WinRAR零日漏洞(CVE-2025-6218)发送钓鱼邮件,将远控加载器植入系统启动目录,袭击俄罗斯政企。
📧 新研究揭露朝鲜IT工作者电子邮件地址和招聘模式,攻击者伪装成各国开发者,专攻Web3与区块链岗位,进行精准攻击。
威胁情报中心 2025-08-22 10:08 北京
Kimsuky针对韩国的GitHub C2间谍活动披露;Scaly Wolf针对俄罗斯工程公司发起攻击;Static Tundra利用老旧网络设备长期渗透全球关键行业;Paper Werewolf利用WinRAR零日漏洞精准袭击俄罗斯政企
2025.08.15~08.21攻击团伙情报Kimsuky 针对韩国的 GitHub C2 间谍活动披露Scaly Wolf组织针对俄罗斯工程公司发起定向攻击Static Tundra 利用老旧网络设备长期渗透全球关键行业Paper Werewolf利用WinRAR零日漏洞精准袭击俄罗斯政企新研究揭露DPRK IT Workers电子邮件地址和招聘模式攻击行动或事件情报巴基斯坦石油公司遭到Blue Locker勒索软件攻击攻击者借Python生态投递跨平台远控木马EncryptHub 利用MSC漏洞投放Fickle Stealer恶意软件“游蛇(银狐)”黑产最新变种攻击活动攻击者冒充印度政府电力补贴服务机构进行网络钓鱼攻击活动攻击者利用Android木马与钓鱼域名精准攻击多国军政人员恶意代码情报安卓木马PhantomCard滥用NFC窃取银行卡新型 GodRAT 针对金融机构Noodlophile Stealer 2.0 借版权钓鱼与社工情报精准打击高社媒曝光企业攻击者利用微软帮助索引文件部署PipeMagic恶意软件深入研究 Windows 中的 CVE-2025-29824漏洞情报PostgreSQL 备份恢复期间存在严重漏洞,可导致任意代码执行微软发布紧急更新以修复 Windows 重置和恢复错误 攻击团伙情报01Kimsuky 针对韩国的 GitHub C2 间谍活动披露
披露时间:2025年8月18日情报来源:https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/相关信息:trellix 详细分析了一起由 Kimsuky 发起的针对韩国多个外交使团的间谍活动。该活动在2025年3月至7月期间至少发动了19次鱼叉式网络钓鱼邮件攻击,伪装成可信的外交联系人,引诱使馆工作人员点击看似合法的会议邀请、官方信件和活动邀请。攻击者利用GitHub作为隐蔽的命令与控制(C2)渠道,通过常见的云存储解决方案(如Dropbox和Daum)分发XenoRAT远程访问木马,从而完全控制目标系统以收集情报。此次攻击活动与已知的黑客组织Kimsuky的行动模式高度相似,使用的C2服务器与之前识别的间谍活动基础设施相匹配。02Scaly Wolf组织针对俄罗斯工程公司发起定向攻击
披露时间:2025年8月19日情报来源:https://news.drweb.com/show/?i=15046&lng=en&c=5相关信息:Doctor Web研究人员对一起针对俄罗斯工程公司发起的定向攻击进行分析。2025年5月初开始,Scaly Wolf组织对该公司发起攻击,受影响公司收到大量看似与财务相关的钓鱼邮件,邮件包含伪装成财务文件的PDF诱饵和受密码保护的ZIP存档,存档中包含伪装成PDF文档的可执行文件,诱导用户运行,触发Trojan.Updatar.1模块化下载器用于下载Trojan.Updatar.2和Trojan.Updatar.3组件以感染目标系统。攻击过程中,攻击者还使用了Meterpreter、Tool.HandleKatz、RDP Wrapper、Tool.Chisel、Tool.Frp等工具,以窃取文件和用户账户数据,尝试绕过杀毒软件并进行远程控制。03Static Tundra 利用老旧网络设备长期渗透全球关键行业
披露时间:2025年8月20日情报来源:https://blog.talosintelligence.com/static-tundra/相关信息:Cisco Talos披露,“Static Tundra”APT组织自2015年起,系统性地针对未打补丁或已停产的Cisco网络设备发动国家级间谍行动。该组织主要利用2018年已修复的Smart Install漏洞(CVE-2018-0171)批量获取设备配置,并通过历史植入物SYNful Knock及定制SNMP工具在北美、亚洲、非洲、欧洲等地关键基础设施中长期潜伏,目标涵盖电信、高教、制造等对俄具有战略价值的行业,乌克兰及其盟友受害尤甚。攻击链包括:扫描公开IP→利用CVE-2018-0171触发TFTP读取启动配置→借助泄露的SNMP字符串横向移动→修改ACL与TACACS+隐藏日志→建立GRE隧道窃取流量→长期隐蔽驻留。04Paper Werewolf利用WinRAR零日漏洞精准袭击俄罗斯政企
披露时间:2025年8月20日情报来源:https://bi.zone/eng/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/相关信息:BI.ZONE披露,名为Paper Werewolf的攻击者7月起冒充俄研发机构与工业贸易部,从合法家具供应商被黑邮箱向俄政府及航空企业发送钓鱼邮件,附件RAR利用WinRAR≤7.12的零日目录穿越漏洞(CVE-2025-6218)及ADS流,把xpsrchvw74.exe、WinRunApp.exe等远控加载器植入系统启动目录,登录时自动回连C2(89.110.88[.]155等)。攻击分三波:7月4日“minprom”诱饵、7月22日“Запрос_Минпромторг”文件、7月底至8月初“DON_AVIA_TRANS”针对俄乌航空运输主题。加载器为修改的XPS Viewer或.NET内存马,通过ROR13哈希混淆API、互斥量防重复、331秒循环拉取下一阶段载荷。地下论坛曾以8万美元兜售同款零日,显示攻击者可能购后改造。建议立即升级WinRAR至7.13+,禁止邮件RAR附件直接解压,监控启动目录异常可执行文件、ADS写入及向上述C2的外连流量。05新研究揭露DPRK IT Workers电子邮件地址和招聘模式
披露时间:2025年8月19日情报来源:https://theravenfile.com/2025/08/19/unmasking-dprk-it-workers-email-address-patterns-as-hiring-red-flags/相关信息:近期,两份先后曝光的DPRK IT Workers邮箱清单共含1,389条记录,显示其长期以“Jasper Sleet”名义伪装各国开发者,专攻Web3与区块链岗位:邮箱多选用Gmail及Skiff等隐私服务,用户名混入dev、dragon、tiger、出生年份等高频词,并伪造俄、中、希腊身份;密码普遍弱如123qwe!@#QWE且已在多次泄露中出现;GitHub与LinkedIn档案与微软6月报告吻合,并大量采购SSN、VPN、Upwork账号及换脸工具,通过AnyDesk操控租赁电脑远程面试。攻击行动或事件情报01巴基斯坦石油公司遭到Blue Locker勒索软件攻击
披露时间:2025年8月14日情报来源:https://www.resecurity.com/blog/article/blue-locker-analysis-ransomware-targeting-oil-gas-sector-in-pakistan相关信息:巴基斯坦向39个主要部委和机构发布了关于Blue Locker勒索软件攻击的警报。NCERT发言人表示:“巴基斯坦石油公司受到了严重影响,其他一些组织也遭到攻击。”巴基斯坦石油有限公司(PPL)证实,该公司于8月6日遭到了网络攻击,并在受感染设备上发现了勒索信。攻击者发送给公司员工的邮件声称已经窃取了部分业务数据和员工信息,如果PPL不联系其并提供报价,攻击者将向主流媒体曝光此次黑客攻击,并将数据泄露给社交媒体和竞争对手。Blue Locker勒索软件通常通过包含恶意附件或链接的钓鱼邮件传播,一旦受害者打开附件或点击恶意链接,恶意软件就会使用社会工程技术诱使目标触发恶意软件的执行。02攻击者借Python生态投递跨平台远控木马
披露时间:2025年8月14日情报来源:https://www.zscaler.com/blogs/security-research/supply-chain-risk-python-termncolor-and-colorinal-explained相关信息:Zscaler ThreatLabz 发现,攻击者在 PyPI 发布 termncolor 包,其唯一功能为导入 colorinal 依赖;colorinal 中的 unicode.py 脚本会侧加载同目录的 terminate.dll/terminate.so,解密 AES-CBC 载荷后于 %LOCALAPPDATA%\vcpacket 下释放已签名的 vcpktsvr.exe 与恶意 libcef.dll,并通过注册表 Run 键实现持久化。第二阶段 libcef.dll 收集主机名、用户名、OS 版本等信息,利用 Zulip 团队聊天平台的 HTTPS 通道回传并接收 shellcode 执行,同时采用轻量级 API 哈希对抗静态分析。该供应链攻击同时支持 Windows 与 Linux,展示了开源注册中心作为攻击入口的持续风险。03EncryptHub 利用MSC漏洞投放Fickle Stealer恶意软件
披露时间:2025年8月13日情报来源:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/相关信息:安全研究人员披露,黑客组织EncryptHub(又名LARVA-208、Water Gamayun)正利用微软管理控制台(MMC)框架漏洞CVE-2025-26633(“MSC EvilTwin”)发动攻击。该组织通过伪装为IT部门在Teams中发送请求,诱导目标执行伪造的MSC文件,从而触发漏洞并加载恶意脚本。攻击链条中,PowerShell脚本会收集系统信息、建立持久化,并连接C2服务器获取加密指令,最终部署信息窃取工具Fickle Stealer及其他恶意载荷。值得注意的是,攻击者还滥用Brave浏览器的官方支持平台上传携带恶意MSC文件的ZIP包,显示其已掌握平台的未授权上传权限,进一步提升了攻击隐蔽性与成功率。04“游蛇(银狐)”黑产最新变种攻击活动
披露时间:2025年8月17日情报来源:https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202508.html相关信息:安天CERT监测到游蛇(银狐)黑产于2025年8月13日启动新一轮攻击,攻击者将PE文件伪装成“2025年第二季度违规人员名单”,通过微信、钉钉等社交渠道诱导用户点击。样本带有无效签名,启动后提权并遍历启动VSS服务,随后利用开源PoolParty工具把Shellcode注入VSSVC.exe内存;Shellcode解密C2指令,内存加载InstallEx.dll,再由后者释放白加黑组件,并创建AppID计划任务实现持久化。释放的恶意DLL读取同名bin文件解密出最终Gh0st远控木马Server64.dll,具备文件管理、键盘记录、远程桌面等完整控制功能。游蛇已演进为Fraud-as-a-Service平台,向其他黑产出售攻击链、载荷与基础设施,导致多点并发且免杀手法迅速迭代,传统IOC时效性差,需依赖主机行为防御与快速应急响应。05攻击者冒充印度政府电力补贴服务机构进行网络钓鱼攻击活动
披露时间:2025年8月18日情报来源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-promises-energy-subsidy-to-steal-financial-data/相关信息:McAfee 发现 2024 年 10 月以来活跃的一轮 Android 钓鱼行动:攻击者先在 YouTube 发布“领取每月 300 度免费电”视频,引流至 GitHub 托管的仿政府站点;站点伪装“PM Surya Ghar”官方入口,点击 Google Play 图标实则下载 GitHub APK。该 APK 为装载器 PMBY,离线安装真正的恶意程序 PMMBY(冒充“安全更新”)。PMBY 申请读取联系人、短信、拨打电话等高危权限后,弹出虚假的电力供应商列表与注册表单,暗中把用户输入的手机号、UPI PIN 与银行卡信息发送至 Replit 后端;同时拦截所有短信并回传,以窃取 2FA 验证码。木马还通过 Firebase Cloud Messaging 接收指令,向受害者通讯录群发钓鱼短信实现蠕虫式传播。06攻击者利用Android木马与钓鱼域名精准攻击多国军政人员
披露时间:2025年8月18日情报来源:https://strikeready.com/blog/apt-android-phishing-microsoft/相关信息:StrikeReady Labs披露,一个活跃在南亚的APT组织至少自2025年3月起,持续向斯里兰卡、孟加拉、巴基斯坦、土耳其的现役及退役军官、军工企业人员发动定向攻击。攻击者先以“陆军参谋长访华协调”等高度定制PDF为饵,通过Netlify、updatemind52.com等域名伪造政府或企业邮箱登录页,窃得凭证后再诱导受害者安装Love Chat、TestMe等社交类APK。这些APK系开源Rafel Rat的变种,具备读取通讯录、短信、文件、录音、定位及远程shell等完整远控功能,C2服务器上已发现大量南亚军人手机数据。攻击基础设施高度复用,同一域名既托管钓鱼页又分发木马;同一邮箱注册数十个钓鱼域名;Windows端也被植入同名后门,形成跨平台持续控制链。恶意代码情报01安卓木马PhantomCard滥用NFC窃取银行卡
披露时间:2025年8月14日情报来源:https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil相关信息:研究人员发现一种名为PhantomCard的新型安卓木马在巴西活跃,该恶意软件通过NFC中继攻击窃取受害者银行卡信息并实现欺诈交易。木马伪装为“卡片保护”应用,借助仿冒的Google Play网页传播,并诱导用户将银行卡贴近手机以“验证”。实际上,应用会将卡片数据和PIN码传送至攻击者控制的NFC中继服务器,从而在POS机或ATM上完成交易,就像持有实体卡片一样。PhantomCard由NFC中继恶意服务NFU Pay提供,巴西本地开发者Go1ano负责扩散,后者还声称该木马可全球使用且“100%不可检测”,并与BTMOB和GhostSpy等恶意软件合作。该攻击结合钓鱼、社交工程与硬件特性,严重威胁银行用户资金安全。02新型 GodRAT 针对金融机构
披露时间:2025年8月19日情报来源:https://securelist.com/godrat/117119/相关信息:Kaspersky发现,攻击者长期针对香港、阿联酋、约旦等地金融交易与券商机构,借Skype发送“客户名单”“交易数据”等命名的.scr屏保或.pif文件,诱导员工点击。载荷采用两层投放:第一层为自解压或内嵌XOR/减法解密的Shellcode Loader,其中部分样本把Shellcode隐写进JPG图片并通过过期Valve证书签名的SDL2.dll侧加载执行;第二层为GodRAT(Gh0st RAT变种)与AsyncRAT双远控。GodRAT通过“-Puppet”参数隐藏于curl.exe/cmd.exe进程,回传系统、杀软信息,支持C2下发FileManager、Chrome/Edge密码窃取、7zip打包、AsyncRAT注入等插件。研究人员还在公网Malware Scanner找到2024年7月上传的GodRAT V3.5源码与生成器,证实其可直接产出.exe/.scr/.pif等多形态载荷。攻击链与2023年披露的AwesomePuppet同源,显示Gh0st系老旧代码仍被持续改造用于精准金融渗透。目前最新检测日期为2025年8月12日,活动仍在进行。03Noodlophile Stealer 2.0 借版权钓鱼与社工情报精准打击高社媒曝光企业
披露时间:2025年8月18日情报来源:https://www.morphisec.com/blog/noodlophile-stealer-evolves-targeted-copyright-phishing-hits-enterprises-with-social-media-footprints/相关信息:Morphisec最新分析指出,活跃一年多的Noodlophile Stealer近期转向更具针对性的“版权钓鱼”2.0模式:攻击者先对企业Facebook主页进行OSINT侦察,随后向info@、support@等邮箱发送含确切Page ID与法务威胁的多语言邮件,诱使收件人点击“证据”链接。邮件绕过网关后,受害者下载的ZIP内藏带签名的海海PDF阅读器或Excel转换器,攻击者利用其DLL侧加载漏洞,递归植入恶意DLL,再经BAT脚本建立注册表持久化,最终从Telegram群描述中提取paste.rs等免费平台URL,内存加载最终窃密器。当前版本已可窃取Chrome、Edge、Brave等浏览器Cookie、保存密码、信用卡及系统环境信息,并通过Startup目录维持驻留、自删除消痕;代码中预留的截图、键盘记录、文件加密等占位符函数显示其正向多功能远控快速演进。攻击波及美、欧、波罗的海、亚太多国企业。04攻击者利用微软帮助索引文件部署PipeMagic恶意软件
披露时间:2025年8月18日情报来源:https://securelist.com/pipemagic/117270/相关信息:卡巴斯基研究人员发现,威胁行为者利用微软帮助索引文件(.mshi)部署PipeMagic后门。PipeMagic最早于2022年12月在针对东南亚工业企业的RansomExx活动中被发现,此后不断调整攻击策略。2024年,它伪装成虚假的ChatGPT应用程序,使用基于Rust的加载器渗透沙特阿拉伯的组织;到2025年,感染范围扩大到巴西和沙特阿拉伯,攻击者在.mshi文件中使用混淆的C#代码解密RC4加密的shellcode并注入32位可执行文件。PipeMagic利用随机命名管道进行加密通信,支持模块化插件扩展功能,如异步通信、加载程序、启动.NET注入模块等。攻击者还会使用重命名的ProcDump工具转储LSASS内存以提取凭据,这与CVE-2025-29824漏洞利用方法有关。05深入研究 Windows 中的 CVE-2025-29824
披露时间:2025年8月19日情报来源:https://bi.zone/eng/expertise/blog/podrobnyy-razbor-uyazvimosti-cve-2025-29824-v-os-windows/相关信息:BI.ZONE 与 Kaspersky 联合研究显示,2025 年 4 月 8 日微软补丁日中修复的 CVE-2025-29824 是当月 121 个漏洞中唯一被野外利用的 0day。该漏洞位于负责管理 BLF 日志文件的 clfs.sys内 核驱动,攻击者通过精心构造 25 个日志描述符触发 LookasideList 释放后重用,实现内核内存破坏并提升至 NT AUTHORITY\SYSTEM 权限。在已发现的攻击链中,Storm-2460 先通过 PipeMagic 后门投递载荷,随后在 dllhost.exe 进程内触发漏洞,依次向 winlogon.exe、procdump.exe、dllhost.exe 注入代码,导出 LSASS 内存获取域凭据,最终投放 RansomEXX 完成勒索加密。微软在 CClfsRequest::Close 中迁移CClfsLogCcb::Release 调用顺序以修补漏洞,但历史表明 clfs.sys、afd.sys 等驱动仍是高价值攻击面。作者建议部署EDR、及时更新并定期渗透测试以防范此类内核级威胁。漏洞情报01PostgreSQL 备份恢复期间存在严重漏洞,可导致任意代码执行
披露时间:2025年8月18日情报来源:https://cyberpress.org/critical-postgresql-vulnerabilities-allow-arbitrary-code-execution-during-backup-restoration/相关信息:PostgreSQL全球开发组发布17.6、16.10、15.14、14.19、13.22及18 Beta 3的累积更新,修补55+缺陷与3个安全漏洞。最严重的CVE-2025-8714与CVE-2025-8715均评8.8分:前者利用pg_dump在恢复时执行任意psql元命令,后者通过含换行符的对象名实现SQL注入并提权至超级用户。低危CVE-2025-8713可导致优化器统计信息泄露。除安全补丁外,更新还修复BRIN索引膨胀、逻辑复制内存泄漏、WAL段过早删除等稳定性问题,但使用numeric_minmax_multi_ops算子类的实例需在升级后执行REINDEX。PostgreSQL 13将于2025-11-13停止支持,官方建议尽快迁移至活跃版本。18 Beta 3同步发布,修复性能回退与异步I/O故障,管理员应立即在线小版本升级,无需dump-reload,并在测试环境验证18 Beta兼容性。01微软发布紧急更新以修复 Windows 重置和恢复错误
披露时间:2025年8月20日情报来源:https://cybersecuritynews.com/windows-reset-and-recovery-error-fix/相关信息:8 月 12 日“补丁星期二”后,Windows 11 23H2/22H2、Windows 10 22H2 及多版 LTSC 在尝试“重置此电脑”或云恢复时因 KB5063875、KB5063709、KB5063877 缺陷而回滚失败;企业 RemoteWipe CSP 亦受影响。微软于 8 月 19 日紧急推出三项带外更新(KB5066189/6188/6187),无需前置补丁即可累积安装,仅修复重置逻辑,不含新增安全修补。更新可通过 Windows Update(可选)、WSUS、MU Catalog 等渠道分发,安装后需重启即可恢复完整系统恢复功能。未受影响系统无需安装。点击阅读原文至ALPHA 8.3即刻助力威胁研判阅读原文
跳转微信打开
