披露时间：2025年1月20日

情报来源：https://mp.weixin.qq.com/s/e4BxBrj_Zzvc53K-eNlldw

相关信息：

新海莲花组织最早出现于2022年中，2023年底转入不活跃状态，2024年11月重新活跃并被快速制止。跟踪分析发现2024年3月老海莲花继承了其攻击资源又发起了两波 0day 供应链事件，并最终确认攻击者位于 UTC +7 时区。

新海莲花组织通过终端软件0day漏洞向内网特定终端下发恶意更新，实现供应链攻击。该组织使用Cobalt Strike工具，注入系统进程后加载Rust木马并回连新的C2服务器，通过Process Hollowing方式将文件目录收集插件注入系统进程。

文章介绍了新海莲花组织内存态的几个攻击武器，包括文件名收集插件、管道特马、SSH登录插件、双平台特马等。此外，研究人员发现新海莲花组织能够区分360安全卫士和天擎EDR，并使用特定方法对抗这两种安全产品。

披露时间：2025年1月20日

情报来源：https://mp.weixin.qq.com/s/NUHVDgO6eHgCs7J4m4R3tQ

相关信息：

近日，360研究人员发现 Lazarus 组织通过毒化 uniswap-sniper-bot 项目来对加密货币行业相关人员进行攻击。该开源项目是一个用于类似交易所（DEX）平台的自动化交易工具，通常是为了帮助用户自动化购买新上线的代币或快速抢购热门代币。毒化后的恶意程序使用 Electron 打包，一旦受害者点击Electron打包的恶意程序，首先会显示正常的安装过程，但是在后台会运行恶意功能，然后通过层层加载，最终完成攻击行为。

披露时间：2025年1月17日

情报来源：https://cyble.com/blog/sliver-implant-targets-german-entities-with-dll-sideloading-and-proxying-techniques/

相关信息：

Cyble研究与情报实验室（CRIL）发现一起针对德国组织的网络攻击。攻击通过包含欺骗性LNK文件的存档文件发起，该文件在用户执行时触发一系列操作，包括执行合法可执行文件、进行DLL侧载和代理、读取并解密恶意数据，最终执行Sliver恶意软件，使攻击者能与受感染系统建立通信并进行进一步恶意操作。攻击采用多种先进的规避技术，如DLL侧载、代理、壳代码注入等，绕过传统安全措施。Sliver的功能包括动态代码生成、编译时混淆以及对分阶段和非分阶段有效负载的支持。这种多功能性使攻击者可以进行各种恶意活动，包括数据泄露和进一步的系统破坏。

DLL 侧载的使用、Sliver 的部署以及攻击的复杂性质等多个迹象表明，这可能是 APT29 所为。然而，DLL 代理的引入是一种新技术，在 APT29 之前的行动中从未见过。

披露时间：2025年1月17日

情报来源：https://www.cyfirma.com/research/android-malware-in-donot-apt-operations/

相关信息：

CYFIRMA的研究团队发现了一个与APT组织“DONOT”相关的安卓恶意软件样本，恶意软件名为“Tanzeem”和“Tanzeem Update”，名称表明，攻击针对的是国内外的特定个人或群体。恶意软件伪装成聊天应用，但实际上在安装后无法正常运行，而是通过获取用户权限（如通话记录、短信、联系人、存储和位置信息）来窃取敏感数据。该应用还利用OneSignal平台推送包含钓鱼链接的通知，以诱导用户安装更多恶意软件。

披露时间：2025年1月20日

情报来源：https://www.seqrite.com/blog/silent-lynx-apt-targeting-central-asian-entities/

相关信息：

Seqrite Labs 研究人员披露了威胁组织Silent Lynx的两次攻击活动。最近一次攻击活动主要针对吉尔吉斯斯坦，目标分别是吉尔吉斯斯坦国家银行的政府实体和吉尔吉斯斯坦财政部。第一次活动，攻击者发送了一个包含恶意RAR压缩文件的钓鱼邮件至吉尔吉斯斯坦国家银行员工的邮箱，第二次活动，他们发送了受密码保护的RAR文件以及以员工奖金的名义诱骗员工的紧急消息。Silent Lynx的攻击活动展示了一种复杂的多阶段攻击策略，包括使用ISO文件、C++加载程序、PowerShell脚本和Golang植入工具。他们依赖Telegram Bot进行命令执行和数据窃取，并通过修改注册表实现持久化，同时结合诱饵文档和区域性目标，重点针对中亚地区及SPECA成员国进行间谍活动，且Silent Lynx与YoroTrooper存在显著的相似和重叠信息，有极大的可能来自哈萨克斯坦。

披露时间：2025年1月17日

情报来源：https://www.securityweek.com/wolf-haldenstein-data-breach-impacts-3-4-million-people/

相关信息：

律师事务所 Wolf Haldenstein Adler Freeman & Herz LLP 在其通知中表示：“2024 年 12 月 3 日，沃尔夫·哈尔登斯坦 (Wolf Haldenstein) 确定了一部分可能受影响的人，但沃尔夫·哈尔登斯坦 (Wolf Haldenstein) 无法找到地址信息，无法直接通知这部分可能受影响的个人。”

可能泄露的信息包括姓名、社会保险号、员工身份证号码以及诊断和医疗索赔详情等医疗信息。该律师事务所向缅因州总检察长办公室表示，超过 340 万人的个人信息在此次事件中遭到泄露。沃尔夫·哈尔登斯坦正在为受影响的个人提供免费的信用监控服务。

披露时间：2025年1月21日

情报来源：https://www.bleepingcomputer.com/news/security/fake-homebrew-google-ads-target-mac-users-with-malware/

相关信息：

研究人员发现，黑客通过Google广告传播恶意软件，利用假冒的Homebrew网站（一个流行的macOS和Linux开源包管理器）诱导用户安装名为AmosStealer（又称“Atomic”）的信息窃取器。该恶意软件以订阅形式出售给网络犯罪分子，月费为1000美元。AmosStealer能够窃取超过50种加密货币扩展程序、桌面钱包以及浏览器中存储的数据。此次攻击通过恶意广告将用户重定向到假冒的“brewe.sh”网站，而不是真正的“brew.sh”网站，从而诱导用户在终端中运行恶意命令。Homebrew项目负责人Mike McQuaid批评Google未能有效阻止此类恶意广告的传播。尽管此次恶意广告已被移除，但用户仍需警惕类似的重定向攻击。

披露时间：2025年1月21日

情报来源：https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/

相关信息：

2024年11月和12月，Sophos MDR开始调查两起分别由STAC5143和STAC5777黑客组织发起的活动。这些攻击者利用Microsoft Office 365平台的功能，通过电子邮件轰炸和Microsoft Teams语音钓鱼等手段，对目标组织进行攻击，旨在窃取数据和部署勒索软件。攻击过程中使用了多种恶意软件和技术，如Java Archive (JAR)、Python-based backdoors、ProtonVPN可执行文件等。Sophos MDR在过去三个月中观察到超过15起涉及这些战术的事件，其中一半发生在过去两周内。STAC5143的攻击与FIN7的攻击有一些相似之处，但也存在差异；STAC5777与Microsoft先前确定为Storm-1811的威胁组织存在重叠，攻击过程更依赖于手动操作和脚本命令。

披露时间：2025年1月20日

情报来源：https://paper.seebug.org/3269/

相关信息：

近期，知道创宇404团队在威胁狩猎过程中，发现了针对俄语区目标的攻击样本。通过对样本的分析和关联，本次样本具备以下特点：（1）利用军事设施相关内容为诱饵发起攻击；（2）使用7z自解压程序（SFX）释放和加载后续载荷；（3）利用开源工具UltraVNC进行后续的攻击行为；（4）该组织的TTP模仿针对乌克兰进行攻击的Gamaredon组织，并依此将其命名为GamaCopy。该组织于 2023 年 6 月首次被发现，并通过模仿Gamaredon的TTPs多次发动针对俄罗斯国防和关键基础设施部门的网络攻击。据信该组织至少自 2021 年 8 月起就一直活跃。

披露时间：2025年1月17日

情报来源：https://www.trendmicro.com/en_us/research/25/a/iot-botnet-linked-to-ddos-attacks.html

相关信息：

自2024年底以来，一个利用易受攻击的IoT设备（如无线路由器和IP摄像头）的IoT僵尸网络持续发动大规模DDoS攻击。该僵尸网络的恶意软件源自Mirai和Bashlite，通过利用远程代码执行（RCE）漏洞和弱凭据感染物联网设备。感染过程包括下载和执行恶意软件负载，连接到C&C服务器以接收攻击命令。攻击命令包括多种DDoS攻击方法、恶意软件更新和代理服务启用等。攻击目标地域分布广泛，涵盖亚洲、北美洲、南美洲、欧洲等地区，主要集中在北美和欧洲，针对日本和国际目标的攻击命令存在差异，对不同行业也有不同影响。

披露时间：2025年1月21日

情报来源：https://mp.weixin.qq.com/s/Z-UwCxmB2m1J04kyLwmkGw

相关信息：

奇安信威胁情报中心分享了一例通过恶意 LNK 文件窃取数据的攻击分析。该样本为 ZIP 压缩包，其中包含一个 LNK 文件，ZIP 包可能是通过钓鱼邮件等方式传播的，LNK 文件名伪装为 txt 文件，诱使受害者点击查看，然而一旦受害者点击将触发 powershell 代码执行，创建一个 EXE 文件，该 EXE 文件通过计划任务实现持久化，与远程服务器建立 HTTP 通信，并窃取设备上的多种数据。

根据后门回传数据中出现的 ZIZI_VERSION 字符串关联到名为 ZIZI Stealer 的恶意软件。对比发现本次分析的恶意软件与以往披露的 ZIZI Stealer 样本存在多处一致，比如使用相同 IP 作为 C2 服务器；网络通信数据具有相同的格式；回传窃取的数据时所用的 Telegram chat_id 参数相同。

披露时间：2025年1月17日

情报来源：https://socket.dev/blog/malicious-pypi-package-targets-discord-developers-with-token-theft-and-backdoor

相关信息：

Python 包索引（PyPI）上名为“pycord-self”的恶意包针对 Discord 开发人员，以窃取身份验证令牌并植入后门以远程控制系统。该软件包模仿了非常流行的“discord.py-self”，其下载量接近 2800 万次，甚至提供合法项目的功能。“discord.py-self”官方软件包是一个 Python 库，允许与 Discord 的用户 API 通信并允许开发人员以编程方式控制帐户。

据悉，该恶意软件软件包于去年6月被添加到PyPi中，迄今为止已被下载885次。恶意 pycord-self 包含执行两项主要操作的代码。一是从受害者那里窃取 Discord 身份验证令牌并将其发送到外部 URL。第二个是通过端口6969与远程服务器建立持久连接，建立隐秘的后门机制。根据操作系统的不同，它会启动一个 shell（Linux 上的“bash”或 Windows 上的“cmd”），让攻击者能够持续访问受害者的系统。

披露时间：2025年1月17日

情报来源：https://mp.weixin.qq.com/s/BxUD9qS-vYY50y80DE8AZw

相关信息：

近日，悬镜供应链安全情报中心在NPM官方仓库（www.npmjs.com）中捕获一起针对NodeJS开发者开展远控攻击的组件投毒事件。投毒者在连续发布多达26个正常版本的 fix-this NPM包之后，在最近4个版本中（3.0.9; 3.1.9; 3.2.1; 3.2.3）正式将混淆的反向shell远控的恶意代码植入到该组件中进行远控投毒攻击。截至目前，该恶意组件包仍正常托管在NPM官方仓库以及国内主流NPM镜像源，对于NPM开发者来说存在较大安全隐患。此外，根据NPM官方接口统计，fix-this恶意NPM包总下载量为2179次。

披露时间：2025年1月21日

情报来源：https://mp.weixin.qq.com/s/Pd4otrGgUVm4DazqP6io2w

相关信息：

奇安信CERT发布了2024年度网络安全漏洞态势报告，指出全球新增漏洞数量达到43,757个，同比增长46.7%，其中高危漏洞占比17.8%。漏洞从暴露到被利用的平均时间缩短至18天，APT组织更倾向于利用零日漏洞和复合攻击链，目标集中于政府、能源、金融及国产软件行业。报告还指出，国产软件漏洞数量显著增加，供应链漏洞频发，勒索软件通过漏洞攻击的频率也在上升。展望2025年，人工智能将被广泛用于漏洞挖掘与利用，量子计算可能冲击传统密码算法，云原生和物联网设备漏洞将成为新的热点，漏洞利用的自动化和产业化趋势将更加明显。