披露时间：2025年5月27日

情报来源：https://bi.zone/eng/expertise/blog/silent-werewolf-ispolzuet-novye-zagruzchiki-v-atakakh-na-rossiyskie-i-moldavskie-organizatsii/

相关信息：

BI.ZONE于近日披露的两起新型攻击活动，均与长期活跃的间谍组织Silent Werewolf有关。首轮攻击专门针对俄罗斯的能源、航空与工程企业，第二轮则扩展至摩尔多瓦和疑似的俄罗斯目标。攻击者通过精心伪装的钓鱼邮件传播恶意ZIP压缩包，诱导用户下载并执行嵌套的LNK快捷方式。这些LNK文件会利用Windows系统工具自动解压嵌套的恶意组件，并在用户毫不知情的情况下执行命令，部署加载器以连接C2服务器获取最终有效载荷。虽然研究人员未能成功捕获攻击的恶意载荷，但其战术、技术与程序高度吻合Silent Werewolf历史行为，尤其是其常用的XDigo恶意软件。攻击还广泛使用微软官方工具、加密混淆手段，显著提升了其隐蔽性和持久性。

披露时间：2025年6月5日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

相关信息：

Google威胁情报小组（GTIG）正在追踪一个名为UNC6040的以牟利为目的的威胁组织，该组织专门通过语音网络钓鱼（vishing）活动来攻击企业的Salesforce实例，以进行大规模数据盗窃和勒索。UNC6040通过模仿IT支持人员，利用电话社交工程技巧诱骗员工，尤其针对跨国公司英语分支的员工，使其执行授予攻击者访问权限或共享敏感凭证的操作。攻击者通常会欺骗受害者授权一个恶意的连接应用到其组织的Salesforce门户，该应用通常是Salesforce数据加载器（Data Loader）的修改版本。一旦获得授权，UNC6040便能访问、查询并窃取敏感信息。在某些情况下，攻击者在最初的入侵活动数月后才进行勒索活动，这表明UNC6040可能与另一个利用被盗数据获利的威胁组织合作。GTIG还观察到UNC6040与“The Com”组织的基础设施和战术有重叠。

披露时间：2025年6月2日

情报来源：https://cybersecuritynews.com/conti-ransomware-gang-exposed/

相关信息：

GangExposed通过分析泄露的通讯记录、旅行记录、财务数据和公共记录，成功揭露了Conti勒索软件团伙的核心成员，包括“教授”（Vladimir Viktorovich Kvitko）、“目标”（Target）、谈判者Arkady Valentinovich Bondarenko和系统管理员Andrey Yuryevich Zhuykov（“Defender”）。Conti团伙自2019年以来进行了超过1000次勒索软件攻击，主要目标包括执法机构、紧急医疗服务、9-1-1调度中心和市政机构。GangExposed的调查揭示了Conti在迪拜的运营中心，以及其在COVID-19大流行期间对医院的攻击。此外，调查还曝光了Conti的关键基础设施，为执法部门提供了罕见的机会来瓦解这一全球网络犯罪帝国。美国国务院的“正义奖励”计划也悬赏高达1000万美元，以获取有关Conti团伙成员的信息。

披露时间：2025年6月5日

情报来源：https://mp.weixin.qq.com/s/rvONRMqx1pj0YyjvKSKGtw

相关信息：

6月5日，广州市公安局天河区分局发布悬赏通告，通缉网络攻击广州市某科技公司的20名犯罪嫌疑人，锁定攻击源头为台湾民进党当局“资通电军”指挥的APT组织。360数字安全集团联合国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室，发布《台民进党当局“资通电军”黑客组织网络攻击活动调查报告》。报告指出，2022至2024年，台湾多个APT组织多次攻击我国关键基础设施领域单位，活动频率与范围显著扩大跟踪发现，台湾民进党当局支持着5个台湾APT组织，攻击目标各有侧重，但均服务于“倚外谋独”的政治诉求。技术层面，台湾APT组织技术能力有限，依赖已知漏洞、公开资源，攻击手法简单粗暴，反溯源能力弱，处于全球APT组织中的“三线水平”。台“资通电军”部队成立于2017年，整合军方、“政府”与民间技术力量实施网络作战反制。

披露时间：2025年6月5日

情报来源：https://mp.weixin.qq.com/s/W1NvFGqb012QghwyV0OerA

相关信息：

金眼狗（APT-Q-27）是一个针对东南亚博彩、狗推相关人员及海外华人群体的黑客团伙，其攻击手段包括远控、挖矿和DDoS攻击。近期，奇安信威胁情报中心发现该团伙利用“银狐”木马和Winos4.0木马进行窃密活动。攻击者通过水坑网站诱导受害者下载伪装成合法软件（如Todesk）的恶意安装包。这些安装包在执行时会释放合法软件和恶意文件，如build.exe，后者会通过Powershell将C盘根目录添加到杀软排除目录，并释放执行insttect.exe和Microsoft.dll等文件。攻击者还利用Shellcode后门和计划任务确保恶意软件的持久性，并通过C2服务器下载后续载荷。最终，攻击者通过Winos4.0木马实现远程控制。

披露时间：2025年5月30日

情报来源：https://securelist.ru/bo-team/112753/

相关信息：

BO Team是一个自2024年起活跃的黑客组织，主要针对俄罗斯的政府机构和企业，特别是技术、电信和制造业。该组织通过精心策划的钓鱼邮件和社会工程学手段，利用恶意附件（如BrockenDoor、Remcos和DarkGate）获取初始访问权限。一旦进入系统，BO Team会使用多种技术手段进行横向移动、提升权限、绕过检测，并最终使用Babuk勒索软件加密数据或使用SDelete工具删除数据。该组织还会通过Telegram公开宣传其攻击行为，作为一种心理战术和媒体定位手段。BO Team的攻击通常具有较高的隐蔽性和复杂性，其使用的工具和技术与其他乌克兰黑客组织有所不同，显示出较高的自主性和独特性。

披露时间：2025年5月27日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/cybercriminals-weaponize-fake-ai-websites

相关信息：

Mandiant 披露 UNC6032 自2024年中开始借助虚假的 “AI 视频生成器” 网站传播恶意软件，进而部署 Python 基础的信息窃取器和多种后门程序。这些广告在欧盟国家的总覆盖量超过 230 万用户，影响了不同地区和行业的受害者。已知该组织与越南有关联。一旦用户点击广告并进入虚假网站，无论输入什么内容，网站都会提供一个托管在相同或相关基础设施上的静态有效载荷。下载的有效载荷是 STARKVEIL 恶意软件，它会投放三种不同的模块化恶意软件家族，主要用于信息窃取，并能够下载插件以扩展功能。这些恶意软件组件包括 STARKVEIL 投放器、部署 XWORM 和 FROSTRIFT 后门的程序以及 GRIMPULL 下载器。这些恶意软件具有复杂的执行机制，包括 DLL 侧加载、内存投放器和进程注入等技术。

披露时间：2025年6月4日

情报来源：https://securityaffairs.com/178641/hacking/ukraines-military-intelligence-agency-stole-4-4gb-of-highly-classified-internal-data-from-tupolev.html

相关信息：

乌克兰军事情报局（GUR）声称对俄罗斯航空航天和国防公司Tupolev进行了网络攻击，窃取了4.4GB高度机密的内部数据。据《基辅邮报》报道，乌克兰情报部门的网络单位对俄罗斯联合航空制造公司（UAC）的Tupolev部门进行了大规模行动，该部门是俄罗斯军事战略轰炸机的关键开发商。此次攻击使乌克兰情报部门获得了内部通信、员工个人信息、工程师简历、采购记录和机密会议记录等数据。一位乌克兰情报消息人士表示，此次攻击几乎暴露了Tupolev的所有机密，使乌克兰对俄罗斯的战略航空人员和行动有了全面的了解。乌克兰情报部门还通过篡改Tupolev网站，展示了一只抓着俄罗斯轰炸机的猫头鹰，作为对此次攻击的象征性回应。

披露时间：2025年6月2日

情报来源：https://www.wiz.io/blog/jinx-0132-cryptojacking-campaign

相关信息：

Wiz威胁研究团队发现了一个名为JINX-0132的加密劫持活动，该活动针对公开可访问的DevOps网络服务器，包括Nomad、Consul、Docker和Gitea应用程序。攻击者利用这些技术中的已知配置错误和漏洞来部署挖矿软件。例如 JINX-0132括利用Nomad的默认配置，该配置允许未经授权的用户通过API创建和运行任务，从而实现远程代码执行。攻击者还利用Consul的健康检查功能和Docker API的暴露来执行恶意代码。此外，Gitea的某些版本存在后认证远程代码执行漏洞，攻击者可能利用这些漏洞获得初始访问权限。JINX-0132的攻击活动首次公开记录了Nomad配置错误被用作攻击向量。

披露时间：2025年5月29日

情报来源：https://gbhackers.com/interlock-ransomware-uses-nodesnake-rat/

相关信息：

Quorum Cyber的威胁情报团队发现了一种名为NodeSnake的远程访问木马（RAT），主要针对英国高等教育机构。该恶意软件通过Cloudflare隧道实现隐蔽访问，能够绕过防火墙并维持持久访问。NodeSnake利用JavaScript和NodeJS编写，通过多种技术手段实现持久化、系统侦察和远程命令执行。它通过HTTP/HTTPS与命令与控制（C2）服务器通信，并部署次级有效载荷以维持控制并促进进一步的入侵。NodeSnake的两个版本（NodeSnake.A和NodeSnake.B）展示了从简单到复杂的演变，后者引入了更高级的混淆技术、扩展的有效载荷类型和动态命令执行能力。

披露时间：2025年5月28日

情报来源：https://www.netskope.com/blog/purehvnc-rat-using-fake-high-level-job-offers-from-fashion-and-beauty-brands

相关信息：

Netskope威胁实验室发现了一种新的PureHVNC远程访问木马（RAT）活动，该活动通过假冒西班牙时尚品牌Bershka、法国香水品牌Fragrance Du Bois、印尼珠宝品牌John Hardy和韩国品牌Dear Klairs的高薪职位工作机会来吸引受害者。攻击者利用多层感染链，包括PowerShell、JavaScript和AutoIt等工具，通过LNK文件下载和执行恶意脚本。这些脚本经过多层混淆，试图绕过安全检测。最终，攻击者通过进程空洞技术将PureHVNC RAT注入目标进程，从而实现对受感染系统的完全控制。该活动还利用版权侵犯文件作为诱饵，进一步扩大攻击范围。

披露时间：2025年6月3日

情报来源：https://www.threatfabric.com/blogs/crocodilus-mobile-malware-evolving-fast-going-global

相关信息：

Crocodilus是一种快速演变的Android银行木马，最初在2025年3月被发现，主要通过恶意广告传播。它最初主要针对土耳其的金融机构，但其攻击范围迅速扩大到欧洲和南美洲。Crocodilus通过模仿银行和电子商务平台的应用程序，利用Facebook广告诱导用户下载恶意软件。这些广告通常声称用户可以下载应用以获取奖励积分，但实际上会引导用户下载Crocodilus投放器，该投放器能够绕过Android 13及更高版本的限制。

Crocodilus的功能不断增强，包括改进的混淆技术，如代码打包和XOR加密，以隐藏其恶意负载并阻碍分析。它还增加了新的功能，例如在受害者联系人列表中添加新联系人，这可能是为了进行社交工程攻击，使攻击者在联系受害者时显得更合法。此外，Crocodilus还增加了自动收集加密货币钱包种子短语的功能，这表明攻击者对加密货币资产的兴趣日益增加。

披露时间：2025年6月4日

情报来源：https://www.acronis.com/en-us/cyber-protection-center/posts/from-open-source-to-open-threat-tracking-chaos-rats-evolution/

相关信息：

Acronis TRU团队在研究中发现，Chaos RAT这一开源远程管理工具在2025年出现了新的变种。Chaos RAT最初于2022年被用于攻击，2024年进行了更新，其基于Go语言编写，具有跨平台兼容性，支持Windows和Linux系统。该工具最初是作为合法的远程管理工具开发的，但其开源特性使其被网络犯罪分子利用，用于恶意目的。Chaos RAT通过网络钓鱼邮件传播，利用恶意链接或附件诱导受害者下载。它通过从C2服务器获取目标列表，然后对目标设备的SSH凭据进行暴力破解来获取访问权限。一旦成功入侵，它会伪装成合法的Redis服务，并创建systemd服务文件以确保持久性。Chaos RAT的主要功能包括收集系统信息、执行命令、文件管理、屏幕截图等。此外，研究人员还发现其管理面板存在一个关键漏洞（CVE-2024-30850），允许攻击者在服务器上执行远程代码。

披露时间：2025年6月2日

情报来源：https://blog.polyswarm.io/pumabot-linux-botnet-targets-iot-surveillance-devices

相关信息：

PumaBot是一个复杂的Go语言编写的Linux僵尸网络，专门攻击运行Linux的物联网设备，尤其是监控设备。它通过从命令与控制（C2）服务器获取目标IP地址列表，然后对这些设备的SSH凭据进行暴力破解来获取访问权限。一旦成功入侵，PumaBot会将自身写入/lib/redis目录，伪装成合法的Redis服务，并创建systemd服务文件（如redis.service或mysqI.service）以确保在系统重启后仍能保持活跃。此外，它还会收集系统信息（如操作系统名称、内核版本和架构）并通过自定义HTTP头将这些信息发送回C2服务器。PumaBot的主要目的是执行加密货币挖矿任务，它会通过“xmrig”和“networkxm”等命令在受感染的设备上进行挖矿。为了逃避检测，PumaBot还包含了指纹识别逻辑，能够识别并避开蜜罐和受限环境，甚至会检查特定字符串（如“Pumatronix”）来确定是否针对或排除特定的物联网设备。尽管PumaBot不像传统蠕虫那样自动传播，但它通过C2服务器驱动的目标选择和暴力破解来扩大其攻击范围，表现出半自动化的僵尸网络行为。

披露时间：2025年5月28日

情报来源：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phaas-the-secrets-the-hidden-ties-between-tycoon2fa-and-dadsecs-operations/

相关信息：

Trustwave的研究人员发现，Tycoon2FA和Dadsec这两个钓鱼即服务（PhaaS）平台之间存在隐藏的联系。这两个平台自2023年以来一直活跃，提供用户友好的界面和可定制的钓鱼模板。研究人员发现，Tycoon2FA和Dadsec共享基础设施，使用类似的域名和IP地址进行钓鱼攻击。在最新的攻击活动中，Tycoon2FA利用Adversary-in-the-Middle（AiTM）技术，通过攻击者控制的服务器托管钓鱼网页，拦截用户输入并传递给合法服务，从而绕过多因素认证（MFA）。该平台还引入了Cloudflare Turnstile挑战，以阻止自动化分析工具，并使用AES加密和Base64编码来混淆代码和隐藏C2通信。此外，Tycoon2FA还使用了多种诱饵页面和备用钓鱼页面，以增强钓鱼攻击的可信度。

披露时间：2025年6月2日

情报来源：https://www.securityweek.com/qualcomm-flags-exploitation-of-adreno-gpu-flaws-urges-oems-to-patch-urgently/

相关信息：

高通公司警告称，专业黑客正在利用其Adreno GPU中的三个新修补的漏洞。这些漏洞包括两个被评为“严重”的GPU微节点授权问题（CVE-2025-21479和CVE-2025-21480），它们允许恶意命令破坏内存，以及一个在Adreno驱动程序中的释放后使用漏洞（CVE-2025-27038），该漏洞可以通过Chrome触发。高通在2025年6月的安全公告中表示，这些漏洞的补丁已于5月发送给原始设备制造商（OEM）和手机制造商，并强烈敦促他们尽快推送更新。