index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本周情报汇集了近期一系列值得关注的网络安全动态。COLDRIVER组织更新了恶意软件家族,BeaverTail和OtterCookie引入了新的JavaScript模块,而UNC5342则利用“EtherHiding”技术通过区块链传播恶意软件。疑似APT36组织的双平台后门StealthServer被深入分析,透明部落也针对Windows和Linux平台部署了新的RAT。蔓灵花组织展现了多样化的后门组件投递手段,同时中国国家授时中心遭受了美国国家安全局的网络攻击。此外,本周还披露了Mango第三方供应商数据泄露事件、AdaptixC2框架利用npm攻击媒介、MotorBeacon活动针对俄罗斯汽车行业,以及Silk Lure行动利用计划任务进行DLL侧载攻击等。恶意代码方面,Vidar Stealer 2.0和Lumma Infostealer在信息窃取能力上有所升级,GlassWorm蠕虫利用隐形代码登陆OpenVSX市场,BlackSuit勒索软件攻击了一家全球设备制造商,虚假谷歌广告则诱导macOS用户感染恶意软件。最后,CVE-2025-9133漏洞允许通过授权绕过暴露设备配置。
📊 **多方威胁情报汇集,揭示网络安全新态势:** 本周情报涵盖了来自不同国家和地区、涉及多种攻击手段和目标的网络威胁活动。COLDRIVER、BeaverTail、OtterCookie、UNC5342、APT36、透明部落、蔓灵花等多个威胁组织或其活动被披露,其使用的恶意软件、攻击技术和传播方式各具特色,如区块链隐藏、双平台后门、新型RAT、信息窃取器升级等,显示了当前网络攻击的复杂性和多样性。
💻 **关键基础设施与供应链成为攻击焦点:** 中国国家授时中心遭受美国国家安全局的网络攻击,凸显了关键信息基础设施面临的国家级威胁。同时,Mango第三方供应商数据泄露、AdaptixC2利用npm供应链攻击、MotorBeacon针对俄罗斯汽车行业,以及GlassWorm蠕虫利用OpenVSX市场传播,都表明软件供应链已成为攻击者不容忽视的攻击入口,对企业和个人的安全造成潜在风险。
⚙️ **恶意软件技术持续演进,攻防博弈加剧:** Vidar Stealer 2.0和Lumma Infostealer在信息窃取功能上不断升级,GlassWorm蠕虫更是利用隐形代码和多层C2架构实现自传播,而BlackSuit勒索软件攻击则展示了其对虚拟化环境的破坏能力。虚假谷歌广告诱导macOS用户感染恶意软件,以及CVE-2025-9133漏洞允许配置暴露,都反映了攻击者在技术手段上的不断创新,对安全防护提出了更高要求。
威胁情报中心 2025-10-24 09:41 北京
COLDRIVER启用新的恶意软件;BeaverTail和OtterCookie推出新的Javascript模块;UNC5342使用“EtherHiding”传播恶意软件;疑似 APT36 组织的双平台后门StealthServer分析
2025.10.17~10.23攻击团伙情报COLDRIVER 启用新的恶意软件BeaverTail 和 OtterCookie 推出新的 Javascript 模块UNC5342 使用“EtherHiding”传播恶意软件疑似 APT36 组织的双平台后门 StealthServer 分析透明部落针对Windows和Linux双平台使用新RAT的攻击活动分析蔓灵花(APT-Q-37)以多样化手段投递新型后门组件中国国家授时中心遭受美国国家安全局网络攻击事件分析攻击行动或事件情报Mango 披露第三方供应商数据泄露事件AdaptixC2 框架利用 npm 作为攻击媒介MotorBeacon 活动针对俄罗斯汽车行业Silk Lure 行动:计划任务被用作 DLL 侧载攻击武器新组织 UNC5142 利用 EtherHiding 传播恶意软件软硬件产品供应链攻击分析报告恶意代码情报Vidar Stealer 2.0 升级了信息窃取功能Lumma Infostealer 恶意软件分析GlassWorm:首个使用隐形代码的自传播蠕虫病毒登陆 OpenVSX 市场分析针对一家全球设备制造商的“BlackSuit Blitz”虚假的谷歌广告诱导macOS用户感染恶意软件漏洞情报CVE-2025-9133 漏洞通过授权绕过可导致配置暴露 攻击团伙情报01COLDRIVER 启用新的恶意软件
披露时间:2025年10月21日情报来源:https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver相关信息:COLDRIVER是一个俄罗斯国家支持的威胁组织,以针对高价值个人为目标。在2025年5月其LOSTKEYS恶意软件被公开披露后,该组织迅速转向新的恶意软件家族,包括NOROBOT和MAYBEROBOT。NOROBOT是一个通过更新的COLDCOPY“ClickFix”诱饵传播的恶意DLL,该诱饵伪装成自定义验证码,利用用户执行恶意DLL。NOROBOT的主要目的是从硬编码的命令与控制(C2)地址检索下一阶段并为最终负载做准备。其早期版本使用了复杂的加密技术,但后来被简化以提高部署成功率,随后又重新引入复杂性以增加追踪难度。MAYBEROBOT是一个灵活且可扩展的PowerShell后门,取代了早期的YESROBOT后门。MAYBEROBOT不需要Python解释器即可执行,且协议可扩展,使攻击者在目标系统上实现目标时更具灵活性。COLDRIVER持续改进其恶意软件交付机制,以逃避检测并持续收集高价值目标的情报。02BeaverTail 和 OtterCookie 推出新的 Javascript 模块
披露时间:2025年10月16日情报来源:https://blog.talosintelligence.com/beavertail-and-ottercookie/相关信息:Cisco Talos 近期发现与朝鲜相关的威胁组织 Famous Chollima(与 Lazarus 有关)使用 BeaverTail 和 OtterCookie 工具,通过伪装成招聘网站和利用恶意 Node.js 应用程序传播信息窃取恶意软件。此次攻击通过一个名为“Chessfi”的恶意 Node.js 应用程序进行传播,该应用伪装成一个招聘过程的一部分。攻击者利用了一个名为“node-nvm-ssh”的恶意 NPM 包,通过一系列复杂的加载过程,最终执行了结合 BeaverTail 和 OtterCookie 功能的恶意代码。BeaverTail 用于枚举浏览器配置文件和扩展,下载 Python 分发版和客户端负载;OtterCookie 则新增了键盘记录和屏幕截图模块。此外,Talos 还发现了一个可能尝试在受害者环境中运行 OtterCookie 的 VS Code 扩展,尽管无法完全确认其归属,但这表明攻击者可能正在尝试新的恶意软件传播方法。03UNC5342 使用“EtherHiding”传播恶意软件
披露时间:2025年10月17日情报来源:https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding/相关信息:Google威胁情报小组(GTIG)发现朝鲜威胁行为者UNC5342在2025年2月以来的“Contagious Interview”社会工程学活动中,采用了一种名为EtherHiding的技术。这种技术利用公共区块链(如BNB智能链和以太坊)上的智能合约存储恶意代码,使区块链成为一个分散且高度抗打击的C2服务器。攻击链通常从利用社会工程学进行初步入侵开始,随后通过在被入侵网站中注入JavaScript加载器脚本,从区块链检索并执行恶意负载。这种技术的优势包括去中心化、匿名性、不可变性和隐蔽性,使得攻击者能够灵活更新恶意负载并逃避检测。UNC5342通过这种方式部署了JADESNOW恶意软件,最终投放了INVISIBLEFERRET后门,用于长期间谍活动和数据盗窃。04疑似 APT36 组织的双平台后门 StealthServer 分析
披露时间:2025年10月15日情报来源:https://blog.xlab.qianxin.com/apt-stealthserver-cn/相关信息:近期,奇安信研究人员捕获了一批新的样本,包括Windows和Linux平台的后门程序StealthServer。这些样本通过伪装成PDF文档的快捷方式诱导用户执行,实际则在后台运行恶意负载。StealthServer的核心功能使用Golang编写,支持文件窃取和执行C2下发的任意命令。它通过插入大量垃圾代码和垃圾函数来干扰分析,还尝试通过访问白名单域名来干扰流量分析。Windows版本通过恶意宏代码加载,Linux版本则通过.desktop文件加载。StealthServer的网络通信协议包括TCP、HTTP和WebSocket,且不同版本间存在功能和通信细节的差异。研究人员推测该后门可能与APT36组织存在关联,基于其行为特征、C2域名结构以及部分分析报告的公开数据。05透明部落针对Windows和Linux双平台使用新RAT的攻击活动分析
披露时间:2025年10月17日情报来源:https://mp.weixin.qq.com/s/88VDPssTV3LG9MHgAG5VsQ相关信息:APT-C-56(透明部落)是一个源自南亚的高级持续性威胁组织,近期针对Windows和Linux双平台发起攻击。在Windows环境中,攻击者通过.ppam文件内嵌宏代码下载恶意载荷,触发复杂攻击链以窃取数据;在Linux环境中,攻击者利用.desktop文件伪装成PDF文档诱导用户执行,进而下载并执行恶意ELF样本。此次攻击中,Windows平台不再使用常见的CrimsonRAT,Linux平台也摒弃了波塞冬组件,转而部署新型RAT,均采用Golang开发。06蔓灵花(APT-Q-37)以多样化手段投递新型后门组件
披露时间:2025年10月20日情报来源:https://ti.qianxin.com/blog/articles/bitter-uses-diverse-means-to-deliver-new-backdoor-components-cn/相关信息:奇安信威胁情报中心发现与蔓灵花(APT-Q-37)组织相关的攻击样本,攻击者使用两种方式植入可以从远程服务器下发任意 EXE 文件的 C# 后门。第一种方式是利用 xlam 文件携带的 VBA 宏释放 C# 代码文件,借助受害者机器上的 .NET 框架的 csc.exe 和 InstallUtil.exe 完成编译与安装。第二种方式是利用 WinRAR 路径穿越漏洞,替换用户目录模板库中的 Normal.dotm 文件,当受害者打开 docx 文件时,触发恶意 Normal.dotm 宏代码的执行,宏代码获取托管在远程服务器上的后门程序并运行。攻击者通过这些手段最终运行同一种 C# 后门,后门主体功能在一个无限循环中,首先收集一些设备信息,包括当前用户临时目录路径、操作系统版本和位数、主机名等,将信息拼接后用 POST 请求发送到C2,根据 C2 服务器的响应内容下载指定后续 EXE 文件并执行。07中国国家授时中心遭受美国国家安全局网络攻击事件分析
披露时间:2025年10月19日情报来源:https://mp.weixin.qq.com/s/XPjT0BVOJPJxSmASW0tXTA相关信息:10月19日上午,中国国家安全机关披露了美国国家安全局(以下简称NSA)对国家授时中心(以下简称“授时中心”)实施重大网络攻击活动。2022年3月起,NSA利用某国外品牌手机短信服务漏洞,秘密监控10余名中国国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。2023年4月起,NSA在“三角测量”行动曝光前,多次于北京时间凌晨,利用在某国外品牌手机中窃取的登录凭证入侵中国国家授时中心计算机,刺探内部网络建设情况。2023年8月至2024年6月,NSA针对性部署新型网络作战平台,对中国国家授时中心多个内部业务系统实施渗透活动,并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。此次攻击事件中,NSA利用“三角测量行动”获取中国授时中心计算机终端的登录凭证,进而获取控制权限,部署定制化特种网攻武器,并针对授时中心网络环境不断升级网攻武器,进一步扩大网攻窃密范围,以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。经过梳理发现,NSA使用的网攻武器共计42款,可分为三类:前哨控守(“eHome_0cx”)、隧道搭建(“Back_eleven”)和数据窃取(“New_Dsz_Implant”),以境外网络资产作为主控端控制服务器实施攻击活动共计千余次。攻击行动或事件情报01Mango 披露第三方供应商数据泄露事件
披露时间:2025年10月16日情报来源:https://www.malwarebytes.com/blog/news/2025/10/mango-discloses-data-breach-at-third-party-provider相关信息:Mango报告称,其一家外部营销服务提供商发生了数据泄露事件,导致部分客户个人信息被曝光。此次泄露涉及的信息包括名字、国家、邮政编码、电子邮件地址和电话号码,但不包括银行信息、信用卡、身份证/护照或登录凭据。由于Mango在100多个国家开展业务,受影响的客户可能分布在多个地区。目前,Mango尚未透露受影响的客户数量或第三方提供商的具体信息,因此无法确定受影响客户的具体位置。此外,Mango也未提供关于攻击者的任何细节。02AdaptixC2 框架利用 npm 作为攻击媒介
披露时间:2025年10月17日情报来源:https://securelist.com/adaptixc2-agent-found-in-an-npm-package/117784/相关信息:2025年10月,卡巴斯基专家发现npm生态系统中存在一个名为https-proxy-utils的恶意包,该包伪装成项目中使用的代理工具。该恶意包的名称与流行的合法包http-proxy-agent和https-proxy-agent非常相似,其广告的代理功能是从另一个流行包proxy-from-env克隆而来的。然而,攻击者在https-proxy-utils中注入了一个后安装脚本,该脚本会下载并执行包含AdaptixC2代理的有效负载。一旦AdaptixC2框架代理在受害者的设备上部署完成,攻击者就可以获得远程访问、命令执行、文件和进程管理以及实现持久化的各种方法的能力。该脚本针对不同的操作系统提供了多种有效负载传递方法,包括Windows、Linux和macOS。在每个操作系统中,它使用特定的技术将恶意软件加载到系统或用户目录中并启动。例如,在Windows上,AdaptixC2代理被放置在C:\Windows\Tasks目录中,并通过DLL侧加载执行。在macOS上,脚本将有效负载下载到用户的自动运行目录中,并创建一个配置文件以实现自动启动。在Linux上,框架代理被下载到临时目录中,并被赋予执行权限。03MotorBeacon 活动针对俄罗斯汽车行业
披露时间:2025年10月17日情报来源:https://www.seqrite.com/blog/seqrite-capi-backdoor-dotnet-stealer-russian-auto-commerce-oct-2025/相关信息:Seqrite 实验室在2025年10月3日发现了一个针对俄罗斯汽车行业的网络攻击活动,攻击者使用了名为CAPI后门的.NET恶意软件。攻击活动通过一个名为“Payroll Recalculation”的恶意ZIP文件开始,该文件包含一个伪装成工资调整通知的PDF文件和一个LNK脚本。LNK脚本利用Windows工具rundll32.exe执行恶意DLL植入物,该植入物具备多种功能,包括信息窃取、屏幕截图、浏览器数据窃取以及与C2服务器通信。CAPI后门还通过创建计划任务和快捷方式实现持久化,确保即使原始DLL文件被删除,恶意操作仍可继续。此外,攻击者通过伪装成合法域名的恶意域名进行鱼叉式网络钓鱼攻击,诱导用户下载恶意文件。04Silk Lure 行动:计划任务被用作 DLL 侧载攻击武器
披露时间:2025年10月16日情报来源:https://www.seqrite.com/blog/operation-silk-lure-scheduled-tasks-weaponized-for-dll-side-loading-drops-valleyrat/相关信息:Seqrite实验室发现了一个名为“Operation Silk Lure”的网络攻击活动,该活动通过复杂的社会工程学手段和恶意软件技术,针对中国金融科技和加密货币领域的求职者。攻击者通过伪装成求职者的简历,发送带有恶意LNK文件的鱼叉式网络钓鱼邮件,诱导目标用户执行恶意负载。这些负载利用计划任务和DLL侧加载技术,确保恶意软件在系统中的持久性,并最终投放ValleyRAT恶意软件。ValleyRAT具备多种功能,包括系统指纹识别、反虚拟机检测、杀毒软件规避、网络连接终止、数据外泄和键盘记录等。该恶意软件通过收集系统信息、截图、剪贴板内容和关键系统元数据,将信息传输到攻击者控制的C2服务器。此外,ValleyRAT还具备自我更新、插件安装和远程控制功能,使其成为一种强大的网络间谍工具。05新组织 UNC5142 利用 EtherHiding 传播恶意软件
披露时间:2025年10月17日情报来源:https://cloud.google.com/blog/topics/threat-intelligence/unc5142-etherhiding-distribute-malware/相关信息:UNC5142是一个金融动机的威胁行为者,自2023年底以来,该组织通过利用区块链技术(特别是BNB智能链)来分发信息窃取器。该组织通过注入恶意JavaScript代码到WordPress网站中,利用“EtherHiding”技术将恶意负载隐藏在公共区块链上,从而逃避传统安全工具的检测。攻击链通常涉及多个阶段,包括使用CLEARSHORT多阶段JavaScript下载器、利用智能合约作为动态配置和控制后端,以及通过社会工程学手段诱导用户运行恶意命令。自2025年2月以来,UNC5142的活动显著增加,其攻击技术不断演变,包括采用AES加密、使用Cloudflare Pages托管恶意页面,以及引入新的社会工程学诱饵。尽管自2025年7月以来未观察到该组织的活动,但其对新兴技术的利用和持续演变的攻击手段表明,UNC5142可能会继续调整其操作方法以逃避检测。06软硬件产品供应链攻击分析报告
披露时间:2025年10月17日情报来源:https://ti.qianxin.com/uploads/2025/10/15/faf8f69be6c317735bc73a4de34e346c.pdf相关信息:2025 年 8 月,与勒索组织 ShinyHunters 有关联的攻击团伙 GRUB1 通过入侵 Salesloft 的 Drift 应用程序,窃取 OAuth 令牌,进而获取与 Drift 连接的 Salesforce 实例的访问权限,声称从 760 家公司窃取了超过 1.5 亿 Salesforce 记录,受害者包括 Palo Alto Networks、Zscaler 和 Cloudflare 等网络安全领军企业。2025 年 2 月 21 日,大型加密货币交易所 Bybit 被发现遭窃取价值近 15 亿美元的加密货币,攻击者 Lazarus 篡改了 Safe{Wallet}的前端 JavaScript 文件,注入恶意代码,修改 Bybit 的 multisig 交易,将资金重定向到攻击者地址。2024 年 9 月,黎巴嫩地区大量寻呼机和对讲机被同时引爆,造成数千人受伤,多人死亡,调查表明这些通讯设备在交付前已被篡改,可接受特定远程指令触发内部爆炸装置。奇安信威胁情报中心对这些供应链攻击事件进行了梳理,分析了各环节中的事件实例,并提供了一些从供应链安全角度进行威胁防护的对策和建议。恶意代码情报01Vidar Stealer 2.0 升级了信息窃取功能
披露时间:2025年10月21日情报来源:https://www.trendmicro.com/en_us/research/25/j/how-vidar-stealer-2-upgrades-infostealer-capabilities.html相关信息:Vidar Stealer 2.0 是一款由“Loadbaks”于2025年10月6日在地下论坛发布的新型信息窃取恶意软件。它完全用C语言重写,引入了多线程架构,显著提升了数据窃取的速度和效率,并增强了躲避检测的能力。Vidar 2.0能够绕过Chrome浏览器的AppBound加密保护,通过直接内存注入技术提取凭证。它还增加了自动多态构建器,使每次生成的样本具有独特的二进制签名,增加了检测难度。Vidar 2.0的攻击范围广泛,包括浏览器凭证、云服务凭证、加密货币钱包、FTP/SSH凭证、游戏平台和通信应用等。其执行流程包括初始化、反分析检查、系统信息收集、数据窃取、屏幕截图、数据打包和外泄等阶段。Vidar 2.0的出现恰逢Lumma Stealer活动减少,预计将成为其替代品。02Lumma Infostealer 恶意软件分析
披露时间:2025年10月21日情报来源:https://www.genians.co.kr/en/blog/threat_intelligence/lumma-infostealer相关信息:Lumma Infostealer 是一种针对Windows操作系统的恶意软件,首次于2022年8月被发现,2025年9月在ANY.RUN的“本周威胁”排名中位居榜首。它通过伪装成盗版软件在钓鱼网站上分发,利用NSIS(Nullsoft Scriptable Install System)打包,并通过AutoIt脚本和shellcode注入技术执行。Lumma Infostealer 使用进程空洞化技术将恶意代码注入合法进程,以躲避检测。它主要窃取浏览器凭据、电子邮件数据、Telegram数据、加密货币钱包数据和远程访问程序数据等敏感信息,并将这些信息传输给C2服务器。攻击者通过不断更换分发网站URL和文件,利用MEGA云服务作为分发基础设施,以规避IP/域名封锁。03GlassWorm:首个使用隐形代码的自传播蠕虫病毒登陆 OpenVSX 市场
披露时间:2025年10月18日情报来源:https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace相关信息:2025 年 10 月,Koi Research 发现全球首个针对 OpenVSX 市场 VS Code 扩展的自传播蠕虫GlassWorm,其通过不可见 Unicode 字符隐藏恶意代码,依托Solana 区块链(主 C2)、直连 IP、Google Calendar(备用 C2) 构建 “无法下线” 的多层 C2 架构,不仅窃取 NPM/GitHub/ 加密货币钱包(49 类)凭证,还通过 ZOMBI 模块将受感染开发机变为SOCKS 代理节点、隐藏 VNC 服务器,截至 10 月 19 日已攻陷 OpenVSX 7 个扩展,累计下载 3.58 万次,以及微软 VS Code 市场 1 个扩展,且正通过窃取凭证自动传播,形成指数级感染。04分析针对一家全球设备制造商的“BlackSuit Blitz”
披露时间:2025年10月14日情报来源:https://unit42.paloaltonetworks.com/ja/anatomy-of-an-attack-blacksuit-ransomware-blitz/相关信息:Unit 42近期协助一家遭受BlackSuit勒索软件攻击的知名制造商。攻击由Ignoble Scorpius组织发起,起始于攻击者伪装成公司IT帮助台进行语音钓鱼(Vishing),诱骗员工泄露VPN认证信息。随后,攻击者利用这些信息获取网络访问权限,通过DCSync攻击盗取高权限账户信息,并在域控制器上部署AnyDesk和自定义RAT以建立持久性。攻击者还通过RDP和SMB横向移动,使用工具如Advanced IP Scanner和SMBExec进行网络映射,确定高价值目标。最终,攻击者使用Ansible加密了约60台VMware ESXi主机上的数百台虚拟机,导致整个基础设施瘫痪。05虚假的谷歌广告诱导macOS用户感染恶意软件
披露时间:2025年10月16日情报来源:https://hunt.io/blog/macos-odyssey-amos-malware-campaign相关信息:研究人员称,一起针对macOS开发者的恶意活动通过伪造Homebrew、LogMeIn与TradingView网站并借助Google Ads推广,诱导用户复制粘贴终端命令(“ClickFix”手法)来安装恶意软件。伪站点提供看似正常的下载入口,但复制按钮实际将base64编码的安装命令写入剪贴板,运行后会下载并执行install.sh,绕过Gatekeeper、移除隔离标记并以sudo提权。载荷为AMOS(已商业化的MaaS)或Odyssey Stealer,先检测虚拟机/分析环境、收集硬件与内存信息、操纵系统服务后开始窃取浏览器凭证、加密货币钱包数据与Keychain内容,并将信息打包回传至C2。研究者警告用户:不要在不理解的情况下将网络上看到的命令粘贴并执行。漏洞情报01CVE-2025-9133 漏洞通过授权绕过可导致配置暴露
披露时间:2025年10月21日情报来源:https://rainpwn.blog/blog/cve-2025-9133/相关信息:CVE-2025-9133 是一个在Zyxel ATP/USG系列设备中发现的漏洞,攻击者可以通过注入命令到zysh-cgi端点,绕过某些限制并查看设备配置。该漏洞主要影响2FA用户,在登录后输入一次性密码(OTP)阶段,攻击者可以利用该漏洞。正常情况下,未通过2FA验证的用户无法下载配置或执行文件上传等操作,但通过注入命令可以绕过这种限制。研究人员通过分析zysh-cgi二进制文件,发现该漏洞的根本原因是命令字符串的前缀验证、允许列表的不完全实现和对未授权命令的“魔术”重写。攻击者可以通过发送如show version;show running-config;这样的命令来利用漏洞,因为验证只检查命令的前缀,而不是整个字符串。这导致攻击者可以获取敏感配置信息,即使他们没有完全的访问权限。点击阅读原文至ALPHA 8.3即刻助力威胁研判阅读原文
跳转微信打开
