[0207] 一周重点威胁情报｜天际友盟情报站

• 僵尸网络RapperBot和HailBot针对DeepSeek发动DDoS攻击

• 黑客利用解密文件发布消息进行网络钓鱼与恶意软件攻击活动

• 伪装为DeepSeek AI客户端的恶意PyPI软件包窃取用户数据

• 攻击者利用CVE-2019-18935投递反向Shell及JuicyPotatoNG权限提升工具

• APT37组织利用HWP文件攻击韩国多个组织

• ASTRAL STEALER恶意软件分析

• Phorpiex作为下载器传播勒索软件

• ELF/Sshdinjector.A!tr恶意软件分析

• 恶意Go语言包模块boltdb-go可实现远程代码执行

• 恶意软件Tiny FUD绕过杀毒软件攻击MacOS用户

• 僵尸网络RapperBot和HailBot针对DeepSeek发动DDoS攻击

近日，国产AI大模型DeepSeek线上服务受到大规模网络攻击，多次出现服务中断等情况。奇安信XLab实验室监测发现僵尸网络RapperBot和HailBot对DeepSeek发动了DDoS攻击。安天CERT从样本库中提取了这两个僵尸网络的木马样本进行分析。RapperBot和HailBot都是Mirai僵尸网络源码泄露的产物，它们通过SSH暴力破解、Telnet默认口令探测等方式传播，支持多种DoS攻击。HailBot还利用漏洞进行传播，并在加密方面有所变化。综合样本分析，HailBot与RapperBot的攻击模式主要依赖其控制的海量僵尸节点（肉鸡集群），通过高频发送伪造请求数据包，持续消耗目标主机的带宽资源、TCP连接池容量及连接处理所需的CPU算力。

详情查询：https://redqueen.tj-un.com:57788/IntelDetails.html?id=95fbcbf44edf467f9f776625bc6f1668

• 黑客利用解密文件发布消息进行网络钓鱼与恶意软件攻击活动

Veriti Research发现，围绕着已解密的肯尼迪（JFK）、罗伯特·肯尼迪（RFK）和马丁·路德·金（MLK）文件的发布，出现了潜在的网络威胁活动。攻击者利用公众对这些历史文件的兴趣，发起可能的恶意软件攻击、网络钓鱼和利用漏洞的尝试。在文件发布的消息公布后，攻击者迅速注册了多个可疑域名，准备用于恶意活动。他们使用多种攻击技术，如在文件中嵌入恶意软件、创建假的钓鱼网站、利用浏览器漏洞以及发送钓鱼邮件等，对寻求获取这些文件的用户构成威胁。

详情查询：https://redqueen.tj-un.com/home/infoDetail/f9b76e96c28a46078929fcc8ab82413d

• 伪装为DeepSeek AI客户端的恶意PyPI软件包窃取用户数据

Positive Technologies研究人员近期识别并阻止了一起针对PyPI用户的恶意活动。攻击者发布了名为“deepseeek”和“deepseekai”的虚假软件包，伪装成DeepSeek AI API的合法客户端，以窃取用户的敏感信息和系统数据。借助人们对人工智能和机器学习技术的兴趣，这些恶意软件包被精心设计，使其看起来像是与DeepSeek AI服务交互的正规工具，提供文本生成和完成等功能。然而，它们实际会将用户和系统信息发送至托管在Pipedream上的C2服务器，实施数据窃取。

详情查询：https://redqueen.tj-un.com/home/infoDetail/56affc3444dd4545846fe27f1fa6e69a

• 攻击者利用CVE-2019-18935投递反向Shell及JuicyPotatoNG权限提升工具

eSentire发现未知攻击者利用CVE-2019-18935漏洞进行攻击，该漏洞存在于Progress Telerik UI for ASP.NET AJAX中。攻击者利用w3wp.exe（IIS工作进程）加载反向Shell，并通过cmd.exe执行后续侦察命令。反向Shell被投放在C:WindowsTemp目录下，文件名匹配特定格式。此外，攻击者还在主机上投放了开源权限提升工具JuicyPotatoNG及一些目的不明的批处理文件。

详情查询：https://redqueen.tj-un.com/home/infoDetail/dbb6c14b9f164b9d8e3a5dbe14b3015a