披露时间：2025年4月14日

情报来源：https://asec.ahnlab.com/ko/87453/

相关信息：

近期，AhnLab发现一项新型攻击行动 Larva24005，该行动与 Kimsuky 组织有关。攻击者首先利用RDP漏洞渗透目标系统，随后通过部署MySpy恶意软件修改系统配置，并安装RDPWrap以实现持续远控。渗透后，攻击者进一步植入键盘记录器如KimaLogger或RandomQuery，用以收集用户键盘输入信息。调查显示，此次攻击自2023年10月以来主要针对软件、能源、金融等领域，并利用钓鱼邮件对韩国、日本等地区进行传播，同时通过解析和关联分析确认其基础设施涉及美国、韩国、德国、日本等多个国家。此外，部分攻击还利用MS Office方程编辑器漏洞进行恶意软件分发，增加了攻击手段的多样性。

披露时间：2025年4月15日

情报来源：https://research.checkpoint.com/2025/apt29-phishing-campaign/

相关信息：

自2025年1月以来，Check Point Research一直在追踪一系列针对欧洲政府和外交官的定向网络钓鱼攻击。这些攻击由与俄罗斯有关联的APT29组织发起，该组织以针对高知名度组织而闻名。在最新活动中，APT29通过模仿欧洲某国外交部发送虚假的酒会邀请，传播新的恶意软件GRAPELOADER。GRAPELOADER通过DLL侧加载技术执行，用于指纹识别、持久性和有效载荷交付。此外，研究人员还发现了一个新的WINELOADER变种，可能在攻击的后期阶段使用。WINELOADER是一个模块化后门，具有改进的反分析和隐身技术。这些活动表明APT29在隐蔽性和规避检测方面的能力不断增强。

披露时间：2025年4月14日

情报来源：https://unit42.paloaltonetworks.com/slow-pisces-new-custom-malware/

相关信息：

Slow Pisces是一个朝鲜国家资助的威胁组织，主要针对加密货币领域的大型组织。Slow Pisces在2023年从加密货币领域窃取了超过10亿美元，使用了包括假冒交易应用、通过Node Package Manager（NPM）分发的恶意软件和供应链入侵在内的多种方法。2024年12月，FBI将日本一家加密货币公司3.08亿美元的盗窃案归因于Slow Pisces。该组织还因涉嫌从迪拜一家加密货币交易所窃取15亿美元而登上头条新闻。

在最新活动中，Slow Pisces通过LinkedIn发送PDF职位描述，随后提供包含恶意代码的编程挑战。这些挑战链接到GitHub存储库，包含从开源项目改编的代码，主要使用Python和JavaScript。当目标运行项目时，恶意代码通过YAML反序列化或EJS模板执行，下载并运行RN Loader和RN Stealer。RN Loader在内存中执行，与命令和控制服务器通信，下载并执行RN Stealer，窃取受害者设备上的敏感信息，包括登录凭据和云配置文件。

披露时间：2025年4月11日

情报来源：https://mp.weixin.qq.com/s/CFT2YZzCud1f2TCOZ68b-w

相关信息：

近期，知道创宇 404 威胁情报团队在狩猎时再次捕获到DarkHotel组织的攻击活动。攻击活动中利用带有微软签名的系统程序，侧载执行恶意Dll文件，最终导致恶意组件的解密和加载。相较于2023年发现的该组织使用的InitPlugins框架，本次攻击活动中对框架进行了升级。DarkHotel在攻击手法和技术上也展现出较高的水准，在受害者主机开启主动防御及杀毒软件的情况下，仍然能够游刃有余的开展攻击，可见其免杀水准之高。

攻击者精通MFC相关的加载机制，拥有极强的编码能力。在代码方面使用了多种混淆和双层注入机制，不仅能够增加分析难度，还能隐藏自身行踪，并且能保证注入代码的稳定运行。在功能设计上，采用了模块化加载的方式，将加密的模块文件伪装成系统文件。为达到以假乱真的目的，更是将伪装文件的文件时间修改为系统文件kernel32.dll（正常情况下系统安装或者系统更新时文件时间会进行修改）的文件时间。攻击者还利用了RPC技术来执行相关的组件功能，并将通信组件与功能组件进行了区分，二者使用不同的计划任务来保持驻留。

披露时间：2025年4月10日

情报来源：https://www.security.com/threat-intelligence/shuckworm-ukraine-gammasteel

相关信息：

根据 Symantec 报告，Gamaredon（Shuckworm）组织在2025年2月针对乌克兰境内的外国军事任务及相关机构发动攻击，并持续至3月，其主要目标是窃取敏感情报和破坏军事行动。攻击者使用的初始感染媒介似乎是受感染的可移动驱动器。

在此次活动中，攻击者似乎使用了其 GammaSteel 工具的更新版本。GammaSteel 是一款信息窃取工具，可以从受害者网络中窃取数据。此外，攻击者使用各种方法进行数据窃取，包括使用write.as Web 服务进行可能的窃取，并使用 cURL 和 Tor 作为数据窃取的备用方法。cURL 是一款开源命令行工具，可用于与服务器之间传输数据，经常被恶意攻击者利用。此次攻击活动也表明，Shuckworm 已从大量使用 VBS 脚本转向使用更多基于 PowerShell 的工具，尤其是在其攻击链的后期。

披露时间：2025年4月11日

情报来源：https://mp.weixin.qq.com/s/gxkoCh3T29TXJHsxUdPnbw

相关信息：

近期奇安信威胁情报中心发现Kimsuky（APT-Q-2）组织针对韩国企业的攻击样本，该组织使用社会工程学、鱼叉邮件和水坑攻击等手段投递恶意软件，利用 BlueMoonSoft 签名的软件迷惑受害者，释放的后门样本连接动态域名的 C2 服务器，主要功能包括收集系统和网络配置信息、下载后续载荷并执行。较新版本的后门在运行时会检测设备主机名是否在内置的目标列表中，如果不在则直接结束运行，主机名的筛选名单包含字符串 "DANAM"，疑似指向韩国企业 Danam，该公司业务涉及电子制造、通信和国防工业。

披露时间：2025年4月16日

情报来源：https://harfanglab.io/insidethelab/gamaredons-pterolnk-analysis/

相关信息：

2024年底至2025年期间，Gamaredon组织的PteroLNK VBScript恶意软件通过高度混淆的脚本和动态构造的payload进行攻击。该恶意软件能够部署下载器和LNK Dropper，通过计划任务实现持久化，并通过修改Windows Explorer设置隐藏文件。PteroLNK利用LNK文件传播，替换现有文件为恶意快捷方式，执行主VBScript恶意软件。攻击者使用Telegraph和Teletype的文章作为Dead Drop Resolvers（DDR），更新通信渠道以规避检测。这些DDR通常包含Cloudflare快速隧道地址，有时短暂指向Gamaredon控制的域名。Gamaredon的攻击活动主要针对乌克兰，使用军事主题的诱饵文件名，与该组织长期以来的重点一致。

披露时间：2025年4月10日

情报来源：https://securelist.com/goffee-apt-new-attacks/116139/

相关信息：

Paper Werewolf （GOFFEE）组织自2022年以来持续针对俄罗斯组织，利用带有恶意附件的鱼叉式网络钓鱼电子邮件发动攻击，部署 修改后的Owowa（恶意 IIS 模块）Owowa 、explorer.exe变体等恶意软件。2024年下半年，该组织利用PowerTaskel和PowerModul等新工具继续针对俄罗斯境内组织机构发动针对性攻击。PowerTaskel是一款使用PowerShell编写的非公开Mythic代理程序，用于执行命令和脚本，而PowerModul则是一种新的植入物，用于下载和执行其他恶意软件，如FlashFileGrabber（用于从可移动媒体窃取文件）和USB Worm（用于感染可移动设备）。GOFFEE还逐渐转向使用二进制Mythic代理以提高攻击效率。攻击目标涵盖媒体、电信、建筑、政府和能源行业，显示出该组织在不断更新其攻击技术和工具，以提高攻击的成功率和隐蔽性。

披露时间：2025年4月11日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/stolen-with-a-click-the-booming-business-of-paypal-scams/

相关信息：

McAfee Labs指出，随着PayPal等在线支付平台的普及，其用户也成为了网络犯罪分子的目标。2025年2月，PayPal相关的诈骗邮件数量相比1月增加了七倍。诈骗者通过发送看似官方的邮件，以“需要采取行动”为由，要求用户在48小时内更新账户信息，否则将暂停账户。这些诈骗邮件主要通过电子邮件传播，常见的诈骗手段包括账户暂停通知、虚假PayPal礼品卡优惠、欺诈性发票、欺骗性调查、假冒客户支持以及虚假付款确认或请求等。文章提醒用户注意识别诈骗邮件，如链接非PayPal官方域名、邮件非PayPal.com发出等。为了保护自己，用户应直接通过PayPal官网或应用验证信息，不要点击可疑链接或拨打邮件中的电话号码，定期检查账户，开启双因素认证等。用户通过官方渠道验证信息是防范这些复杂诈骗的最佳防御手段。

披露时间：2025年4月9日

情报来源：https://bi.zone/eng/expertise/blog/kamen-ogranennyy-sapphire-werewolf-ispolzuet-novuyu-versiyu-amethyst-stealer-dlya-atak-na-tek/

相关信息：

2025年4月10日，研究人员披露Sapphire Werewolf组织近期升级攻击工具链，利用最新版Amethyst Stealer对能源企业发起定向钓鱼攻击。该组织伪装成人力资源代表想目标发送带有恶意附件的网络钓鱼邮件，附件是一个伪装成PDF文件的可执行文件，基于C#开发并使用.NET Reactor保护。该文件是一个.NET加载器，携带Base64编码的有效载荷（PE文件），在内存中解码并执行。PE文件是Amethyst stealer，同样使用.NET Reactor保护，它将恶意文件下载到内存中，并将系统数据发送到指定地址。Amethyst stealer还提取并执行诱饵PDF文件。更新后的Amethyst stealer具备高级虚拟机环境检测能力，包括检查VirtualBox文件描述符、VMware Tools注册表键、硬件制造商和型号、处理器制造商、主板制造商和BIOS详细信息、磁盘型号数据、即插即用设备、服务以及VM相关注册表键的最后修改时间等。此外，它还使用Triple DES算法加密几乎所有函数调用的参数字符串。该恶意软件可窃取Telegram和多种浏览器的凭证、远程桌面和VPN客户端的配置文件以及各种类型的文档。

披露时间：2025年4月10日

情报来源：https://expel.com/blog/observing-atlas-lion-part-one/

相关信息：

研究人员披露了摩洛哥网络犯罪组织Atlas Lion针对发行礼品卡的组织的攻击事件。该组织通过短信钓鱼活动获取用户凭证，然后利用这些凭证和新注册的MFA设备登录目标组织的账户，并更改用户密码。之后，他们通过在自己的Microsoft Azure云租户中创建Windows虚拟机，并使用盗取的凭证和MFA代码将该虚拟机注册到目标组织的域中，从而绕过了防止未经授权设备接入公司网络的要求。然而，目标组织要求新设备安装Microsoft Defender等软件以满足合规要求，这使得攻击者的虚拟机被安装了端点安全软件，从而被检测到并阻止了攻击。尽管这次攻击被阻止，但Atlas Lion并未放弃对该组织的攻击，后续事件将在第二部分中继续讲述

披露时间：2025年4月15日

情报来源：https://mp.weixin.qq.com/s/kJmPWtOSeddsEAyrvp0XQw

相关信息：

2025年哈尔滨第九届亚冬会期间，赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击。哈尔滨市公安局发布悬赏通告，通缉美国国家安全局特定入侵行动办公室（TAO）的3名特工：凯瑟琳·威尔逊、罗伯特·思内尔、斯蒂芬·约翰逊。他们参与了对亚冬会赛事系统的网络攻击，并多次攻击中国关键信息基础设施及华为公司等企业。调查显示，攻击分为两个阶段：赛前主要针对注册系统、抵离管理系统、竞赛报名系统等，意图窃取运动员隐私数据；赛事期间则攻击赛事信息发布系统等，试图破坏赛事正常运行。此外，美国国家安全局还攻击了黑龙江省内能源、交通等关键行业，企图引发社会混乱并窃取机密信息。攻击手段包括未知漏洞攻击、文件读取漏洞攻击等。美国国家安全局还通过掩护机构购买多国IP地址，租用服务器以隐藏攻击来源。此次事件表明中国有能力构建有效防御体系，抵御大规模网络攻击，维护国家主权、安全和发展利益。

披露时间：2025年4月11日

情报来源：https://reliaquest.com/blog/threat-spotlight-hijacked-and-hidden-new-backdoor-and-persistence-technique/

相关信息：

ReliaQuest在2025年3月调查多起客户事件时，发现了一种新型的攻击手段。攻击者通过Microsoft Teams发送网络钓鱼消息，伪装成IT支持人员，诱导目标用户启动Windows内置的“快速协助”工具，从而获得设备控制权。随后，攻击者利用一种前所未见的TypeLib劫持技术，通过修改Windows注册表中的CLSID条目，将合法的COM对象重定向到恶意代码，从而实现持久化。这种技术利用了Component Object Model（COM）的机制，通过将恶意脚本或文件与合法应用程序的交互挂钩，确保恶意代码在系统重启后仍能自动执行。此外，攻击者还部署了一种新的PowerShell后门，该后门通过多层脚本（JScript嵌套PowerShell）实现，具有高度的隐蔽性。这种攻击手段可能与部署Black Basta勒索软件的Storm-1811团伙有关，但后续攻击阶段的特殊性表明该团伙可能正在演变新的技术或分裂。

披露时间：2025年4月16日

情报来源：https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf

相关信息：

BRICKSTORM后门与UNC5221组织相关，主要针对欧洲的战略行业。该后门通过RDP漏洞和钓鱼邮件进行初始渗透，部署MySpy恶意软件和RDPWrap以实现持久远程访问。BRICKSTORM利用DNS over HTTPS（DoH）技术绕过网络监控，通过多层TLS加密和WebSocket隧道与命令控制服务器通信。其主要功能包括文件管理和网络隧道，允许攻击者浏览文件系统、上传/下载文件以及通过RDP和SMB等协议进行横向移动。BRICKSTORM的配置灵活，支持硬编码IP地址，以适应不同环境。攻击者通过BRICKSTORM实现了长期的网络内横向移动和信息窃取。

披露时间：2025年4月14日

情报来源：https://www.morphisec.com/blog/new-malware-variant-identified-resolverrat-enters-the-maze/

相关信息：

ResolverRAT是一种新发现的远程访问木马，结合了先进的内存执行、API和资源解析以及多层规避技术，使得静态和行为分析变得极为困难。该木马主要通过多语言网络钓鱼活动传播，利用恐吓性主题诱使用户点击恶意链接，从而触发感染链，针对医疗保健和制药领目标进行攻击。攻击者通过经典的DLL侧加载技术实现有效载荷传递，使用合法签名的可执行文件加载恶意DLL。ResolverRAT的内存加载器采用多层加密和压缩技术保护其有效载荷，并在内存中执行，避免在磁盘上留下痕迹。其字符串混淆系统通过运行时解码和缓存机制防止静态分析。此外，该木马利用.NET资源解析器劫持技术，完全在托管内存中运行，绕过传统的安全监控。为实现持久化，ResolverRAT通过注册表和文件系统安装多个副本，并使用XOR操作混淆键名和路径。其C2基础设施采用证书验证和IP轮换系统，确保即使主C2服务器不可用，也能维持通信。通过自定义协议和证书固定技术，该木马能够有效规避中间人攻击和网络监控。

披露时间：2025年4月13日

情报来源：https://cybersecuritynews.com/hellokitty-ransomware-resurafced/

相关信息：

HelloKitty勒索软件自2020年首次出现后，经过不断进化，最近被发现重新活跃，并推出了至少11个新变种。这些新变种能够同时针对Windows、Linux和ESXi环境，显示出其攻击范围的扩大和技术的持续改进。该勒索软件以其独特的加密机制而闻名，使用AES-128和NTRU加密组合针对Windows系统，而Linux环境则采用AES-256与ECDH加密。HelloKitty通过定制化的勒索信直接点名受害者，采用更个性化的勒索策略。安全分析师在2025年2月检测到潜在的新变种，暗示该勒索软件仍在积极开发中。

披露时间：2025年4月15日

情报来源：https://www.cloudsek.com/blog/byte-bandits-how-fake-pdf-converters-are-stealing-more-than-just-your-documents

相关信息：

网络犯罪分子发起了一场复杂的恶意软件活动，该活动涉及一个恶意的 PDF 转 DOCX 转换器，其网站模仿合法的pdfcandy.com服务，通过欺骗性的用户界面和域名，诱骗用户上传PDF文件进行转换。攻击者利用一系列复杂的社会工程技巧，包括模拟文件处理和显示伪造的CAPTCHA验证对话框，来降低用户的警惕性。在用户完成这些步骤后，网站会提示用户执行一个PowerShell命令，该命令实际上会下载并安装Arechclient2恶意软件。这种恶意软件属于SectopRAT家族，以其从受感染系统中窃取敏感数据的能力而闻名。

披露时间：2025年4月15日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/04/15/threat-actors-misuse-node-js-to-deliver-malware-and-other-malicious-payloads/

相关信息：

自2024年10月以来，Microsoft Defender Experts观察到多起利用Node.js分发恶意软件的活动。攻击者通过恶意广告活动引诱用户下载伪装成合法软件的恶意安装程序。这些安装程序包含恶意DLL，用于收集系统信息并设置计划任务以确保持久性。攻击者通过PowerShell命令排除安全扫描，收集详细的系统信息并将其发送到命令与控制（C2）服务器。此外，攻击者还下载并执行包含Node.js运行时和JavaScript编译文件的存档文件，以启动攻击的下一阶段。Microsoft建议组织教育用户不要从不可信来源下载软件，监控Node.js执行，启用PowerShell日志记录，并使用EDR或XDR解决方案来检测和阻止恶意活动。

披露时间：2025年4月16日

情报来源：https://support.apple.com/en-us/122282

相关信息：

苹果公司发布了iOS 18.4.1和iPadOS 18.4.1更新，以修复两个0day漏洞。这些漏洞可能已被用于针对特定用户的复杂攻击。其中一个漏洞影响了Core Audio系统，允许通过恶意媒体文件执行代码；另一个漏洞允许绕过指针认证，增加内存注入攻击的风险。谷歌威胁分析小组和苹果公司分别发现了这两个漏洞。苹果强调，虽然攻击的幕后黑手和受影响用户数量尚不清楚，但这些漏洞的复杂性表明有高级威胁组织参与。用户应尽快更新至最新版本以确保安全。

披露时间：2025年4月16日

情报来源：https://mp.weixin.qq.com/s/j8SC1BotKIxvbygTT_aXKA

相关信息：

Oracle在2025年4月的关键安全补丁更新中修复了多个高危漏洞，包括CVE-2025-30706、CVE-2025-21574、CVE-2025-21575等。其中，MySQL Connectors内存破坏漏洞（CVE-2025-30706）影响较大，攻击者可能利用该漏洞接管MySQL Connectors。其他漏洞涉及MySQL Cluster和MySQL Server的多个组件，CVSS评分均为6.5至7.5。奇安信CERT建议客户尽快自查并应用补丁。此外，多个Oracle WebLogic Server版本已停止维护，用户需注意升级或禁用相关协议以降低风险。