披露时间：2025年2月25日

情报来源：https://www.sentinelone.com/labs/ghostwriter-new-campaign-targets-ukrainian-government-and-belarusian-opposition/

相关信息：

SentinelLABS观察到一个针对乌克兰政府和白俄罗斯反对派的攻击活动，该活动自2024年7-8月开始准备，并于2024年11-12月进入活跃阶段。攻击者利用伪装成Excel文件的恶意软件，通过Google Drive共享链接传播，文件中包含VBA宏，激活后会下载并执行恶意DLL文件。这些DLL文件被设计为在系统启动时自动运行，并尝试从攻击者控制的C2服务器下载进一步的有效载荷。攻击者还使用了多种混淆技术（如ConfuserEx和Macropack）来逃避检测。此次攻击活动与之前报道的Ghostwriter（APT组织UNC1151或UAC-0057）相关，目标包括乌克兰军事和政府机构以及白俄罗斯反对派。攻击者通过精心设计的诱饵文档（如“政治犯名单”和“乌克兰武装部队物资报告模板”）吸引目标用户，进一步传播恶意软件。

披露时间：2025年2月23日

情报来源：https://hackread.com/investigators-link-bybit-hack-north-korea-lazarus-group/

相关信息：

2025年2月21日，全球第二大加密货币交易所Bybit遭受了价值14亿美元的以太坊（ETH）冷钱包攻击。独立区块链调查员ZachXBT通过追踪被盗资金，将其直接与朝鲜支持的黑客组织Lazarus Group联系起来。他的发现得到了区块链分析公司Arkham Intelligence的确认。ZachXBT展示了详细的测试交易、连接的钱包地址、取证图表和时间分析，证明此次攻击是预谋的。他还发现Lazarus Group将Bybit攻击与2月20日的Phemex攻击直接联系起来，通过一个关键的重叠地址（0x33d057af74779925c4b2e720a820387cb89f8f65）将两次攻击的资金混合。此外，他还发现Lazarus Group将2024年9月的BingX攻击与Bybit和Phemex攻击通过链上交易联系在一起。

披露时间：2025年2月23日

情报来源：https://cert.gov.ua/article/6282517

相关信息：

UAC-0212 是一场针对乌克兰关键基础设施的复杂网络攻击活动，攻击者通过PDF文档中的恶意链接和CVE-2024-38213漏洞，下载并安装恶意LNK文件，进而触发PowerShell命令，秘密下载和安装恶意EXE/DLL文件。攻击者使用了包括SECONDBEST、EMPIREPAST、SPARK和CROOKBAG在内的多种工具，并通过RSYNC进行长期文件窃取。攻击范围广泛，涉及塞尔维亚、捷克和乌克兰的多家公司。攻击者通过伪装成潜在客户，与目标进行多日交流以获取信任，然后发送恶意文件。攻击活动从2024年下半年开始，一直持续到2025年2月，目标包括物流和设备制造公司。

披露时间：2025年2月21日

情报来源：https://ti.qianxin.com/uploads/2025/02/21/5c66fbda0feb2714c53f54dcedcd2e43.pdf

相关信息：

奇安信威胁情报中心发布的《网络安全威胁2024年度报告》涵盖了APT攻击、勒索软件、互联网黑产和0day漏洞利用等多个方面的内容。报告指出，2024年全球APT攻击活动主要针对政府机构、国防军事和金融领域，活跃的APT组织包括Kimsuky、Lazarus、摩诃草、蔓灵花和APT28等，攻击目标集中在乌克兰、中国、美国、以色列和韩国等地区。年末披露的UTG-Q-015团伙通过入侵源站和供应链攻击，成功入侵了国内最大IT社区、技术论坛、软件园、政府官网和媒体网站，影响规模巨大。勒索软件攻击覆盖了多个平台，包括Windows、Linux、macOS和FreeBSD，攻击团伙之间存在合作和共享工具的情况。互联网黑产中，银狐木马活跃度较高，其源码被多个黑产团伙和APT组织使用。2024年披露的高危漏洞数量达50个，Chrome成为攻击者热衷的浏览器攻击向量，而苹果相关产品的漏洞数量大幅减少，网络边界设备漏洞成为新的攻击重点。

披露时间：2025年2月20日

情报来源：https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-targets-freelance-developers/

相关信息：

ESET研究人员发现了一个名为DeceptiveDevelopment的APT活动，该活动与lazarus组织有关。攻击者通过LinkedIn、Upwork等平台伪装成招聘人员，向目标发送虚假的招聘挑战或项目任务。受害者被要求下载并执行包含恶意软件的项目文件，这些文件伪装成正常的编程任务，但实则包含BeaverTail和InvisibleFerret恶意软件。BeaverTail用于窃取浏览器登录信息和加密货币钱包数据，而InvisibleFerret则提供远程控制功能，并可下载合法的AnyDesk软件以实现持久化，利用FTP和Telegram等渠道泄露数据。

披露时间：2025年2月23日

情报来源：https://mp.weixin.qq.com/s/rB4XeIBATAb1zHZ9WVyxAg

相关信息：

慢雾安全团队调查了多起针对加密货币交易所的国家级APT攻击事件，确认攻击者为朝鲜的Lazarus Group。攻击者利用社会工程学手段诱骗目标员工执行恶意代码，恶意代码通过伪装成合法Python项目的恶意软件（如StockInvestSimulator-main.zip）实现远程控制，并利用pyyaml漏洞进行远程代码执行（RCE），绕过杀毒软件检测。一旦恶意程序在设备上运行，它会建立持久化后门，并向攻击者提供远程访问权限。攻击者利用被入侵设备扫描内网，识别关键服务器，一旦成功获取相关应用服务器权限，攻击者便会窃取关键服务器的 SSH 密钥，利用这些服务器的权限进行横向移动，最终控制钱包服务器，将加密资产转移到外部地址。最后，攻击者会诱骗员工删除调试运行的程序，并且提供调试报酬，以掩盖攻击痕迹。

披露时间：2025年2月24日

情报来源：https://www.forescout.com/blog/healthcare-malware-hunt-part-1-silver-fox-apt-targets-philips-dicom-viewers/

相关信息：

Forescout 旗下 Vedere 实验室的最新调查显示，臭名昭著的Silver Fox（银狐）组织发起一场复杂的新攻击活动，该组织利用常用于患者医学成像的 DICOM（医学数字成像和通信）软件来传播恶意软件。

该活动使用木马版本的飞利浦 DICOM 查看器(PDF) 可执行文件充当第一阶段有效载荷，使用标准 Windows 命令检查与其命令和控制 (C2) 服务器的连接，并使用 PowerShell 脚本削弱 Windows Defender 的防御。然后，它从阿里云存储桶下载伪装成图像文件的加密有效载荷，其中包括禁用防病毒软件的工具、辅助文件和 shellcode。下载的组件被解密，并创建第二阶段恶意可执行文件，旨在通过计划任务在系统中持续存在。第二阶段会禁用安全软件并下载另一个加密文件，解密后会显示核心负载：ValleyRAT 后门。

ValleyRAT 为攻击者提供了对受感染机器的广泛控制，可能允许访问敏感的医院网络。除了后门之外，该恶意软件还安装了键盘记录器来捕获用户输入，并安装了加密货币挖掘器来为攻击者生成数字货币。所有这些组件都设计为在系统上持久存在，确保即使在重新启动后也能继续运行。

披露时间：2025年2月20日

情报来源：https://www.group-ib.com/blog/fingerprint-heists/

相关信息：

ScreamedJungle 是一项复杂的网络犯罪活动，攻击者利用过时的 Magento 电商平台中的漏洞（如 CVE-2024-34102 和 CVE-2024-20720）注入恶意 JavaScript 脚本，收集访问者的浏览器指纹。浏览器指纹技术通过收集浏览器和设备的特征（如安装的字体、屏幕分辨率和显卡信息）来识别用户，这种技术被用于安全系统和网络犯罪中。攻击者通过模仿这些指纹，可以将自动化攻击伪装成合法用户活动，绕过多因素认证（MFA）和设备信誉检查等保护措施。

攻击活动自2024年5月开始，影响范围广泛，仅意大利就有九个电商平台被攻破，每月超过20万用户受到影响。研究人员估计，ScreamedJungle 已在全球范围内窃取了数百万个指纹。为了应对这种威胁，企业需要及时修补漏洞，监控未经授权的脚本注入，并实施设备绑定协议。用户则应使用注重隐私的浏览器（如 Brave 或 Tor）并安装防指纹扩展程序以限制跟踪。

披露时间：2025年2月24日

情报来源：https://securelist.com/gitvenom-campaign/115694/

相关信息：

GitVenom 是一项利用 GitHub 平台进行恶意软件传播的网络攻击活动。攻击者创建了数百个虚假的开源项目，涵盖多种编程语言（如 Python、JavaScript、C、C++ 和 C#），并植入恶意代码。这些虚假项目通过精心设计的 README.md 文件和频繁的提交记录伪装成合法项目，吸引开发者下载。恶意代码的功能包括下载进一步的恶意组件，如 Node.js 信息窃取器（用于收集保存的凭据、加密货币钱包数据和浏览历史）、AsyncRAT 和 Quasar 后门，以及剪贴板劫持器（用于替换加密货币钱包地址）。攻击活动影响范围广泛，感染尝试主要集中在俄罗斯、巴西和土耳其。

披露时间：2025年2月24日

情报来源：https://ics-cert.kaspersky.com/publications/reports/2025/02/24/fatalrat-attacks-in-apac-backdoor-delivered-via-an-overly-long-infection-chain-to-chinese-speaking-targets/

相关信息：

Kaspersky ICS CERT 揭露了一起针对亚太地区工业组织的网络攻击活动“Operation SalmonSlalom”，攻击者利用合法的中国云服务（如 myqcloud 和有道云笔记）作为攻击基础设施的一部分。攻击活动涉及复杂的多阶段恶意软件交付框架，包括使用原生文件托管 CDN、样本加密工具、动态变化的 C2 地址、DLL 侧加载等技术，以逃避检测。攻击者通过伪装成税务文件的 ZIP 压缩包（通过电子邮件、微信和 Telegram 传播）进行初始感染，最终部署 FatalRAT 后门。该活动显示出针对中文用户的战术、技术及程序（TTP）的显著变化，目标包括制造业、建筑业、信息技术、电信业、医疗保健业、电力能源业、大型物流和运输业，主要集中在亚太地区。

披露时间：2025年2月18日

情报来源：https://www.sonicwall.com/blog/russian-threat-group-cryptobytes-is-still-active-in-the-wild-with-uxcryptor

相关信息：

SonicWall Capture Labs的研究团队分析了与俄罗斯网络犯罪团伙CryptoBytes相关的UxCryptor勒索软件。该团伙自2023年以来一直活跃，利用泄露的勒索软件构建器创建和分发恶意软件。UxCryptor是众多使用泄露构建器的勒索软件家族之一，使得技术能力较弱的攻击者也能轻松部署勒索软件。

UxCryptor通常与其他恶意软件（如远程访问木马或信息窃取器）一起分发，以最大化攻击影响。该恶意软件旨在加密受害者系统上的文件，并要求支付加密货币以换取解密密钥。UxCryptor自出现以来保持活跃，其使用量在2024年达到高峰。

在执行时，UxCryptor会显示多个勒索屏幕，并在用户的临时文件夹中生成勒索信。该恶意软件使用.NET编写，包含多种反分析技术，例如终止explorer.exe进程、检测沙箱环境和虚拟机，以及终止运行中的应用程序。尽管在分析的早期版本中没有实际加密文件，但该功能确实存在。

披露时间：2025年2月24日

情报来源：https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color/

相关信息：

Auto-Color是一种新型Linux后门恶意软件，于2024年11月至12月被Palo Alto Networks的研究人员发现。该恶意软件通过多种方法躲避检测，包括使用看似无害的文件名（如“door”或“egg”）、隐藏与远程C2服务器的连接，以及使用专有加密算法隐藏通信和配置信息。安装后，Auto-Color允许攻击者完全远程访问受感染的机器，并通过挂钩libc功能防止被卸载，使得移除变得非常困难。该恶意软件主要针对北美和亚洲的大学和政府机构，支持多种API功能，包括反向Shell、文件操作、网络代理和全局配置数据操作。

披露时间：2025年2月21日

情报来源：https://www.cyfirma.com/research/spylend-the-android-app-available-on-google-play-store-enabling-financial-cyber-crime-extortion/

相关信息：

CYFIRMA的研究揭示了一款名为“SpyLend”的复杂Android恶意软件，伪装成“Finance Simplified”应用，通过谷歌应用商店传播。该应用利用位置定位技术向印度用户展示未经授权的贷款应用列表，诱导用户下载外部APK文件，绕过谷歌应用商店的安全检查。一旦安装，这些贷款应用会收集用户的敏感数据（如照片、视频、联系人、剪贴板内容等），并利用这些数据进行敲诈勒索，例如通过编辑照片生成虚假裸照来威胁用户。该活动还涉及通过API收集用户设备信息、短信记录、通话记录等数据，并将这些信息发送到攻击者的C2服务器。研究发现，该应用的下载量在短时间内大幅增加，且用户反馈中存在大量关于隐私侵犯和敲诈的投诉。

披露时间：2025年2月20日

情报来源：https://hunt.io/blog/lightspy-malware-targets-facebook-instagram

相关信息：

LightSpy是一个用于数据收集和泄露的模块化监视框架，最初观察到其针对移动设备，后证实其可危害Windows、macOS、Linux和路由器。该恶意软件通过水坑技术和基于漏洞的交付方式进行有针对性的攻击，其基础设施频繁变动以逃避检测。近期发现其瞄准Facebook和Instagram应用数据库文件进行数据提取，且命令列表有显著扩展，新增了针对Android、iOS、Windows、macOS、路由器和Linux 的超过100条命令，包括传输管理和插件版本跟踪等功能。此外，还发现了针对iOS和Windows的插件，以及多个管理端点。

披露时间：2025年2月21日

情报来源：https://mp.weixin.qq.com/s/LRbKUS0HZ9578N6eBQ_fFQ

相关信息：

近日，悬镜供应链安全情报中心在NPM官方仓库（www.npmjs.com）中捕获多起针对Windows、Linux及Mac平台Solana智能合约用户开展合约私钥窃取的NodeJs组件投毒事件。投毒者（satoshinana11）在npmjs官方源上连续投放4个伪装成Solana智能合约SDK的NPM恶意组件包，并利用代码混淆技术对抗静态安全检测，已有多名NodeJs开发者受到投毒攻击导致合约私钥泄露。

截至发稿，这些恶意组件仍正常托管在NPM官方源及国内各大主流镜像源，对于NPM开发者来说存在较大安全隐患。

披露时间：2025年2月26日

情报来源：https://cybersecuritynews.com/grub2-vulnerabilities-exposes-millions-of-linux-systems/

相关信息：

研究人员发现GRUB2引导程序中存在20个关键漏洞（CVSS评分高达7.5），这些漏洞影响大多数Linux发行版和类Unix系统，可能导致安全启动绕过、远程代码执行和固件级别的持久化攻击。这些漏洞包括堆溢出、整数溢出和释放后使用错误，涉及文件系统驱动程序、网络堆栈和加密模块。攻击向量包括恶意文件系统（CVE-2025-0677、CVE-2025-0685）、伪造的JPEG图像（CVE-2024-45774）和网络启动配置（CVE-2025-0624）。其中，CVE-2025-0624允许攻击者通过网络启动过程中的DHCP服务器响应注入恶意代码，而Squash4驱动程序（CVE-2025-0678）和JFS模块（CVE-2025-0685）的整数溢出漏洞可能导致堆外写操作。这些漏洞由Red Hat、Oracle和SUSE的安全研究人员在代码审计中发现，攻击者可能利用这些漏洞覆盖TPM寄存器中的启动测量值或修改内核命令行以禁用安全策略。缓解措施需要更新GRUB2、shim（v25+）和SBAT元数据，并采用新的吊销框架替代传统的UEFI dbx列表。由于GRUB2安装在超过72%的Linux系统上，这些漏洞对全球企业和政府基础设施构成严重威胁。

披露时间：2025年2月20日

情报来源：https://thehackernews.com/2025/02/microsoft-patches-actively-exploited.html

相关信息：

近日，微软发布了安全更新以修复影响其Bing和Power Pages平台的两个严重漏洞，其中CVE-2025-24989漏洞已被广泛利用。CVE-2025-21355漏洞（CVSS评分：8.6）允许未经授权的攻击者在Microsoft Bing中通过网络执行代码，而CVE-2025-24989漏洞（CVSS评分：8.2）则涉及Power Pages中的访问控制不当，攻击者能够提升权限并绕过用户注册控制。微软指出，已有攻击者利用该漏洞进行恶意活动，并通知所有受影响的客户升级其系统以修复此问题。