摩诃草(APT-Q-36)利用 WebSocket 的新木马 StreamSpy 分析
披露时间:2025年12月2日
情报来源:https://mp.weixin.qq.com/s/nTfpQW8QDE2GPOp7gMXFwQ
相关信息:
摩诃草组织(APT-Q-36)是一种具有南亚背景的网络间谍组织,其活动可追溯至2009年,主要针对亚洲地区的政府、军事和科研机构。近期,奇安信威胁情报中心发现该组织开发的新木马StreamSpy,该木马通过WebSocket和HTTP协议与C2服务器通信,能够执行远程命令、下载文件、收集设备信息等操作。StreamSpy木马通过伪装的PDF文件诱导用户运行恶意程序,其配置数据包含C2服务器信息和用于通信的URL路径。木马还具备持久化能力,可通过计划任务或注册表项实现。此外,StreamSpy与摩诃草组织的Spyder下载器存在关联,且与肚脑虫组织的样本共享数字签名,表明这些组织在资源共享方面存在联系。
披露时间:2025年11月29日
情报来源:https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/
相关信息:
Cyfirma安全分析师发现APT36组织针对印度政府和战略部门发起了一场网络间谍活动。攻击者利用精心设计的鱼叉式网络钓鱼邮件,诱导收件人打开恶意的Linux快捷文件。这些文件看似正常,但在执行时会在后台悄悄下载并运行恶意组件。恶意软件以“Analysis_Proc_Report_Gem_2025.zip”为初始交付载体,存档包含的“.desktop”文件会伪装成正常文档,通过执行隐藏的shell命令,从攻击者控制的服务器下载名为swcbc的ELF二进制文件和shell脚本swcbc.sh。对ELF样本进行分析,它是一个基于Python的远程管理工具(RAT),具备跨平台能力,可在Linux和Windows环境下运行。该恶意软件能收集系统信息、建立唯一标识符、与攻击者服务器通信、执行任意命令、进行文件传输、实现持久化、进行数据窃取和屏幕截图等操作。
Bloody Wolf组织通过冒充吉尔吉斯斯坦政府机构传播NetSupport RAT
披露时间:2025年11月26日
情报来源:https://www.group-ib.com/blog/bloody-wolf/
相关信息:
Group-IB研究人员观察到,自2025年6月起,名为Bloody Wolf的威胁行为者发起针对吉尔吉斯斯坦的网络攻击活动,目标是交付NetSupport RAT。到2025年10初,其攻击范围扩大至乌兹别克斯坦。攻击者通过伪装成吉尔吉斯斯坦司法部,利用看似官方的PDF文档和域名,这些文档和域名又托管了旨在部署NetSupport RAT的恶意Java归档(JAR)文件。攻击采用社会工程学和易获取的工具,通过钓鱼邮件,诱使收件人点击链接下载恶意JAR加载器文件并安装Java Runtime,进而执行加载器以获取NetSupport RAT并建立持久化。在针对乌兹别克斯坦的攻击中还加入了地理围栏限制。
分析 Gamaredon 2025年内的规模化零点击间谍活动
披露时间:2025年11月28日
情报来源:https://blog.synapticsystems.de/inside-gamaredon-2025-zero-click-espionage-at-scale/
相关信息:
2025 年 2 月至 11 月,俄罗斯关联黑客组织 Gamaredon 针对乌克兰军事、政府等机构发起大规模间谍活动,以零点击漏洞 CVE-2025-6218 为核心感染向量,通过伪装成乌克兰相关公文的 RAR/HTA/LNK 等钓鱼附件传播,依托DynDNS+Fast-Flux+Telegram+graph.org的混合 C2 架构与双层地理围栏防护,经 Pteranodon 二级加载器部署窃取、擦除、横向传播等模块,实现长期间谍活动与系统破坏,其攻击具备强针对性、高隐蔽性与灵活适配性。
揭秘 Water Saci 通过 WhatsApp 传播的新型多格式、人工智能增强型攻击
披露时间:2025年12月2日
情报来源:https://www.trendmicro.com/en_us/research/25/l/water-saci.html
相关信息:
Water Saci是一个针对巴西用户的恶意软件活动,通过WhatsApp传播,利用多格式攻击链(包括HTA文件、ZIP存档和PDF)和AI技术增强其传播能力。攻击者通过社会工程学手段诱导用户下载恶意文件,如HTA文件,这些文件包含多层混淆的VB脚本,用于下载和安装银行木马。攻击者还利用Python脚本自动化WhatsApp的传播过程,包括批量发送恶意文件和联系人列表的提取。
MuddyWater 以以色列和埃及的关键基础设施为攻击目标
披露时间:2025年12月2日
情报来源:https://www.welivesecurity.com/en/eset-research/muddywater-snakes-riverbank/
相关信息:
MuddyWater是一个自2017年以来活跃的伊朗相关APT组织,主要针对中东和北美地区的政府和关键基础设施。在此次活动中,MuddyWater使用了新的自定义工具,如Fooder加载器和MuddyViper后门,以提升其攻击的隐蔽性和持久性。Fooder加载器能够将MuddyViper后门反射加载到内存中执行,而MuddyViper则可以收集系统信息、执行文件和命令、窃取Windows登录凭证和浏览器数据。此外,该组织还使用了CE-Notes和LP-Notes等工具来窃取浏览器数据和用户凭证。此次攻击活动表明MuddyWater的技术手段和操作复杂性有所提升,其攻击目标主要集中在以色列和埃及的多个行业,包括工程、地方政府、制造业、技术和交通等。
揭露 Wagemole 新成立的幌子公司 DredSoftLabs
披露时间:2025年11月29日
情报来源:https://medium.com/@meeswicky1100/unmasking-a-new-dprk-front-company-dredsoftlabs-bf9ed544d690
相关信息:
研究人员分析了朝鲜支持的APT组织Wagemole如何利用虚假公司DredSoftLabs进行恶意活动。Wagemole通过伪造身份和虚假招聘广告,利用被盗的个人信息在西方国家获取远程工作机会。这些虚假身份包括伪造的护照和驾驶执照,攻击者还准备了面试指南,利用生成式AI生成结构化的回答。他们通过Upwork和Indeed等平台寻找目标,并利用自动化脚本创建账户。文章通过GitHub上的恶意代码库揭示了Wagemole的活动模式,这些代码库包含用于传播恶意软件的配置信息。通过高级搜索,作者发现了77个恶意GitHub仓库,这些仓库与Wagemole的活动相关。文章还指出,DredSoftLabs的LinkedIn页面和网站上的链接也符合Wagemole的典型手法,进一步证实了DredSoftLabs是Wagemole的虚假前端公司。
与Kimsuky有关的KimJongRAT 以.hta文件形式传播
披露时间:2025年11月29日
情报来源:https://blog.alyac.co.kr/5682
相关信息:
近期,与Kimsuky组织有关联的KimJongRAT恶意软件以 .hta文件为载体,通过伪装成「国税通知书.pdf (tax_notice).zip」的钓鱼邮件进行传播。压缩包内隐藏着伪装成PDF的lnk快捷方式文件,运行后会经过Base64解码URL、调用mshta.exe下载tax.hta文件(内含VBScript加载器)。该攻击还会根据Windows Defender是否激活的状态分发不同的攻击载荷,最终窃取系统信息、浏览器数据、加密货币钱包信息等各类敏感数据,并通过run注册表项确保持久化。该攻击主要针对韩国国内目标,HTA文件因依托合法的系统进程容易规避检测,需注意系统更新与文件校验。
披露时间:2025年12月2日
情报来源:https://www.malwarebytes.com/blog/news/2025/12/sleeper-browser-extensions-woke-up-as-spyware-on-4-million-devices
相关信息:
Koi研究人员发现了一个长达七年的恶意软件活动,攻击者通过浏览器扩展感染了430万Chrome和Edge用户,利用这些扩展进行远程代码执行、数据收集和隐私侵犯。该活动分为多个阶段进行,在第一阶段,通过伪装成壁纸或生产力工具的145个扩展进行简单的联盟欺诈,通过在用户点击特定网站时注入联盟跟踪代码来获利。第二阶段,攻击者开始劫持浏览器的核心功能,如搜索重定向和Cookie窃取。第三阶段,通过长期运营的扩展(如Clean Master)积累了大量用户后,通过更新机制将这些扩展武器化,实现远程代码执行和完整的浏览器监控。第四阶段,通过5个扩展(包括WeTab)收集了超过400万用户的浏览历史、搜索查询和鼠标点击数据。这些扩展仍然活跃在Microsoft Edge市场中,随时可能被武器化。
Tomiris 新的恶意攻击利用公共服务作为 C2 服务器
披露时间:2025年11月28日
情报来源:https://securelist.com/tomiris-new-tools/118143/
相关信息:
研究人员介绍了Tomiris组织在2025年的新攻击活动,主要针对外交和政府机构。攻击者使用多种编程语言(如Go、Rust、C/C++、Python等)开发恶意软件,并通过钓鱼邮件中的恶意附件进行初始感染。这些工具包括反向Shell、文件窃取器和基于Havoc及AdaptixC2框架的后渗透工具。攻击者还利用Telegram和Discord作为C2服务器,通过公共API与恶意软件通信,以躲避安全检测。研究人员通过分析发现,Tomiris组织的攻击具有明显的多语言特征,并且攻击手法更加隐蔽和复杂。
Silver Fox 使用 BYOVD 部署 ValleyRat
披露时间:2025年11月28日
情报来源:https://www.nextron-systems.com/2025/11/28/thor-vs-silver-fox-uncovering-and-defeating-a-sophisticated-valleyrat-campaign/
相关信息:
研究人员发现Silver Fox 团伙通过钓鱼邮件和恶意广告传播伪装成 Telegram、Chrome 等热门工具的恶意安装程序,借助多层混淆、端点安全篡改、BYOVD 等技术实施复杂攻击,经多阶段载荷投递后最终部署ValleyRat 远控木马以维持长期控制。核心攻击链分为 6 个阶段,各阶段关键目的明确:1. 初始执行阶段通过伪装安装程序tg.exe创建异常目录并篡改 Defender 配置,规避初始检测;2. 载荷提取阶段通过重命名 7-Zip 工具解压加密包,部署核心控制组件men.exe;3. 组件部署阶段侦察系统防御状态,释放权限提升、驱动等关键组件并锁定目录权限;4. 权限提升与持久化阶段通过 UAC 绕过获取高权限,创建伪装计划任务确保长期运行;5. 防御规避阶段通过双驱动滥用削弱系统防御,最终激活 ValleyRat;6. 远控阶段通过 C2 通信实现长期控制与数据窃取,形成完整攻击闭环。
TAG150 用 CastleLoader 和 CastleRAT 发起多阶段攻击
披露时间:2025年11月26日
情报来源:https://www.darktrace.com/blog/castleloader-castlerat-behind-tag150s-modular-malware-delivery-system
相关信息:
TAG-150 是一家自 2025 年 3 月起活跃的移动应用即服务 (MaaS) 运营商,它利用 CastleLoader 和 CastleRAT 发起多阶段攻击。CastleLoader 作为加载器,通过欺骗性域名和恶意 GitHub 代码库检索并执行其他恶意软件;而 CastleRAT 则作为远程访问木马,为攻击者提供系统控制、命令执行和数据窃取能力。
新型安卓恶意软件“Albiriox”可直接进行金融诈骗威胁
披露时间:2025年12月3日
情报来源:https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets
相关信息:
Albiriox是一种针对Android设备的新型恶意软件,能够使攻击者完全远程控制受感染的智能手机,进而实施金融诈骗。该恶意软件通过VNC模块实现屏幕实时流媒体传输,甚至可以绕过双重认证等安全措施。Albiriox的运作由讲俄语的威胁行为者(TA)控制,以MaaS的形式提供,攻击者只需订阅即可使用。其感染过程包括通过SMS发送钓鱼链接,诱导用户下载伪装应用,随后通过多阶段下载器安装最终恶意软件。Albiriox使用Golden Crypt技术进行混淆,以躲避静态分析检测,并利用无障碍功能权限进行覆盖攻击和键盘记录。它针对全球400多个金融和加密货币应用,通过未加密的TCP通信与C2服务器交互。
恶意下载器 Matanbuchus 3.0 技术分析
披露时间:2025年12月2日
情报来源:https://www.zscaler.com/blogs/security-research/technical-analysis-matanbuchus-3-0
相关信息:
Matanbuchus 3.0是一种复杂的恶意软件,其攻击过程包括初始感染、下载器模块和主模块的部署。攻击者通过QuickAssist和社交工程获取系统访问权限,随后下载并执行一个恶意的Microsoft Installer (MSI)包,该包包含一个名为HRUpdate.exe的可执行文件,用于侧载恶意DLL。这个DLL是Matanbuchus的下载器模块,负责下载主模块。Matanbuchus使用ChaCha20流密码算法进行字符串解密和数据加密,并通过动态解析Windows API函数和插入垃圾指令来增加分析难度。下载器模块通过长时间运行的循环来延迟功能执行,以躲避沙箱分析。主模块则通过C2服务器注册受感染主机,并请求任务执行,支持多种网络命令,包括下载和执行有效载荷、收集系统信息和执行系统命令。Matanbuchus还通过创建计划任务实现持久化,并在执行时检查配置的有效期。
分析恶意 VS Code 扩展中发现的 Rust 植入程序
披露时间:2025年11月29日
情报来源:https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/
相关信息:
2025 年 11 月 29 日,Nextron 威胁研究团队发布分析报告,指出一款伪装成「Material Icon Theme」的恶意 VS Code 扩展(5.29.1 版本)内置两个Rust 植入程序,通过模仿合法扩展目录结构隐藏文件,激活后 Windows 系统调用 os.node DLL、macOS 系统调用 darwin.node dylib,从Solana 区块链钱包地址获取 C2 指令,经 Base64 解码后下载 AES-256-CBC 加密的下一阶段载荷,还可通过Google 日历事件(含隐形 Unicode 字符) 作为备用 C2 地址,该技术与 GlassWorm 样本一致。
披露时间:2025年11月30日
情报来源:https://secureannex.com/blog/glassworm-continued/
相关信息:
Secure Annex发现Glassworm恶意软件活动再次抬头,攻击者通过模仿流行的VS Code扩展(如Flutter、Tailwind、Vim等)并更新恶意代码,试图在代码市场中传播恶意软件。攻击者通过操纵下载量,使恶意扩展看起来更可信,并在用户界面中与真实扩展并列显示,增加了用户误安装的风险。Secure Annex指出,攻击者在扩展发布后能够轻松更新恶意代码,绕过检测。
披露时间:2025年12月1日
情报来源:https://www.gdatasoftware.com/blog/2025/12/38306-arkanix-stealer
相关信息:
Arkanix Stealer是一种新发现的恶意软件,旨在通过窃取用户数据实现短期快速获利。该恶意软件通过Discord和在线论坛传播,提供Python和C++两种版本。Python版本通过Nuitka打包,生成自包含的可执行文件,而C++版本则通过“Chrome Elevator”工具绕过Chrome的App Bound Encryption(ABE)保护机制,窃取浏览器数据。Arkanix Stealer能够从多种Chromium浏览器(如Edge、Chrome、Opera等)中收集信息,包括浏览器历史记录、自动填充信息、VPN数据、Steam账户、Wi-Fi密码和加密钱包数据。此外,它还能从桌面、文档和下载文件夹中搜索特定扩展名的文件并上传到恶意服务器。该恶意软件还支持通过Discord自我传播,进一步扩大感染范围。
React Server Components (CVE-2025-55182)远程代码执行漏洞安全风险通告
披露时间:2025年12月4日
情报来源:https://mp.weixin.qq.com/s/w0kQeB6oQMAjTlBazBcrsA
相关信息:
奇安信CERT监测到官方修复了React Server Components和Next.js的远程代码执行漏洞(CVE-2025-55182和CVE-2025-66478),主要影响react-server-dom-webpack的Server Actions功能。攻击者可利用该漏洞通过构造恶意表单请求,调用Node.js内置模块,在服务器上执行任意系统命令、读写文件,甚至完全接管服务。Next.js 15.x和16.x版本因依赖存在缺陷的React服务端DOM包,也受影响。该漏洞利用简单,仅需一次HTTP POST请求即可触发,影响范围较大。奇安信CERT已成功复现该漏洞,并建议用户尽快更新至最新版本(React Server 19.0.1、19.1.2、19.2.1),以避免安全风险。
