每周高级威胁情报解读(2025.02.07~02.13)

披露时间：2025年2月11日

情报来源：https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns

相关信息：

EclecticIQ的研究人员发现，Sandworm（APT44）正在针对乌克兰的Windows用户开展网络间谍活动。该活动可能自2023年底开始，利用盗版的微软KMS激活工具和伪装成Windows更新的恶意软件，部署BACKORDER加载器，进而安装Dark Crystal RAT（DcRAT）。DcRAT能够窃取受害者设备上的敏感数据，包括屏幕截图、键盘记录、浏览器Cookie、系统信息等，并通过命令与控制服务器传输数据。

2025 年 1 月 12 日，研究人员观察到最近的活动使用域名抢注和略微修改的策略来下载和执行 Dark Crystal RAT，使攻击者能够窃取敏感数据并进行网络间谍活动。一旦部署到受害者的设备上，虚假的 KMS 激活工具就会显示伪造的 Windows 激活界面、安装恶意软件加载程序并在后台禁用 Windows Defender，然后传递最终的 RAT 负载。

此外，研究人员还发现了一个新的 RDP 后门 Kalambur，该后门旨在下载 ZIP 文件中重新打包的 TOR 二进制文件，并从可能由攻击者控制的 TOR 洋葱网站中检索其他工具。

披露时间：2025年2月7日

情报来源：https://www.bleepingcomputer.com/news/security/hpe-notifies-employees-of-data-breach-after-russian-office-365-hack/

相关信息：

HPE（Hewlett Packard Enterprise）在2023年5月遭受了俄罗斯国家支持的黑客组织Cozy Bear的网络攻击，导致其Office 365邮件环境中的部分员工数据被盗。此次事件涉及至少16名员工，被盗信息包括驾照、信用卡号码和社会保障号码等敏感信息。HPE在2025年1月开始通知受影响的员工，并表示只有少数团队成员的邮箱被访问，且仅涉及邮箱内的信息。Cozy Bear（也称为Midnight Blizzard、APT29和Nobelium）是俄罗斯外国情报局（SVR）的一部分，还与2020年SolarWinds供应链攻击等其他高调事件有关。此外，HPE还在2023年5月的另一起事件中，其SharePoint服务器被同一黑客组织入侵并窃取文件。

披露时间：2025年2月8日

情报来源：https://medium.com/@rayssac/infostealer-malware-linked-to-lazarus-group-campaigns-a510ad5f3e4f

相关信息：

研究人员 Rayssa Cardoso 分析了一种与 Lazarus 相关的恶意软件，该软件使用多阶段加密和混淆技术，针对 Windows、macOS 和 Linux 平台，窃取用户信息并建立后门。该恶意软件通过检测受害者操作系统来下载正确的有效载荷版本，收集系统信息和地理位置信息，并通过 SSH 连接与远程服务器通信。研究人员发现，Lazarus 集团使用了多种社会工程学攻击手段，如“ClickFix”和“Contagious Interview”，通过伪装成合法的招聘广告或在线面试，诱骗用户执行恶意脚本。这些攻击的主要目标是软件开发者，因为他们可以访问项目源代码、连接到网络上的设备，并可能存储多个关键应用程序的密码。攻击的最终目的是数据窃取、经济利益和间谍活动，以资助朝鲜的核项目。

披露时间：2025年2月10日

情报来源：https://www.0x0v1.com/targeted-threats-research-south-north-korea/

相关信息：

这项研究通过分析近三年内针对韩国民间社会组织的网络威胁，揭示了高级持续性威胁（APT）组织（如APT37和Kimsuky）的攻击模式和动机。这些攻击通常利用社会工程学手段，通过伪装成技术支持或政治相关内容的电子邮件诱骗受害者点击恶意链接或下载恶意文件。攻击者还使用了多种恶意软件家族，包括针对Windows平台的ROKRAT后门和针对移动设备的RambleOn间谍软件，这些恶意软件具有高级技术特性，如内存中加载恶意代码和反逆向工程技巧。研究通过MISP等工具进行事件关联分析，揭示了攻击者的行为模式和基础设施重叠。研究强调了民间社会组织在主动防御和快速响应中的关键作用，建议加强威胁情报共享和教育活动，以保护人权活动家和记者免受网络攻击。

披露时间：2025年2月12日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/

相关信息：

微软的研究揭示了APT组织Seashell Blizzard的一个子群体“BadPilot”行动，该行动自2021年以来通过大规模网络攻击获取全球目标的初始访问权限。该子群体利用公开的漏洞，如ConnectWise ScreenConnect（CVE-2024-1709）和Fortinet FortiClient EMS（CVE-2023-48788），攻击了包括能源、电信、政府在内的多个关键领域。攻击者通过部署远程管理与监控（RMM）工具和Web Shell，实现了长期的持久化访问，并在某些情况下支持后续的破坏性攻击。该行动的地理范围广泛，从乌克兰扩展到全球，显示出俄罗斯在国际冲突中的网络攻击能力。

披露时间：2025年2月12日

情报来源：https://www.bleepingcomputer.com/news/security/dprk-hackers-dupe-targets-into-typing-powershell-commands-as-admin/

相关信息：

Kimsuky被发现采用了一种新的攻击手段，灵感来源于广泛传播的ClickFix活动。ClickFix是一种社会工程学攻击手段，通过欺骗性的错误信息或提示，诱骗受害者自行执行恶意代码，通常通过PowerShell命令实现，最终导致恶意软件感染。自2025年1月以来，这种攻击手段已被用于有限范围的攻击，目标包括北美、南美、欧洲和东亚的国际事务组织、非政府组织、政府机构和媒体公司的个人。

根据微软威胁情报团队的信息，攻击者伪装成韩国政府官员，逐步与目标建立信任关系。在建立一定信任后，攻击者发送带有PDF附件的鱼叉式网络钓鱼邮件。然而，当目标尝试阅读文档时，会被引导到一个虚假的设备注册链接，该链接指示目标以管理员身份运行PowerShell并粘贴攻击者提供的代码。

执行该代码后，会安装一个基于浏览器的远程桌面工具，下载一个使用硬编码PIN的证书，并将受害者的设备注册到远程服务器，从而为攻击者提供直接的数据窃取访问权限。

披露时间：2025年2月5日

情报来源：https://www.cloudsek.com/blog/getsmoked-uac-0006-returns-with-smokeloader-targeting-ukraines-largest-state-owned-bank

相关信息：

以经济利益为目标的APT威胁组织UAC-0006再次出现，并针对乌克兰国有银行PrivatBank客户发起了网络钓鱼攻击。攻击者通过发送受密码保护的恶意档案，诱导用户打开嵌入的JavaScript或VBScript文件。这些脚本会利用PowerShell代码加载SmokeLoader恶意软件，最终实现凭证窃取和持续控制受感染系统。UAC-0006的手段显示出与俄罗斯APT组织FIN7的高度一致性，可能与多个已知黑客集团共享资源或技术。目前，此类攻击已导致敏感数据泄露和部分行业的信任危机。专家建议机构加强网络安全防护，包括威胁情报监控、员工安全培训以及事件响应机制，以减缓攻击带来的潜在损害。

披露时间：2025年2月11日

情报来源：https://mp.weixin.qq.com/s/8u6pU5HkewMlvaZFnsQ9-A

相关信息：

360威胁情报中心发布的《2024年全球高级持续性威胁（APT）研究报告》显示，全球网络安全厂商和机构累计发布了730多篇APT报告，涉及124个APT组织，其中41个为首次披露。APT攻击活动主要集中在政府机构、国防军工、信息技术、教育和金融等重点行业。

360威胁情报中心在2024年捕获了1300余起针对国内的APT攻击活动，主要来源于南亚、东南亚、东亚和北美地区。报告特别指出，APT-C-70（独角犀）和APT-C-65（金叶萝）是2024年新发现的APT组织。截至2024年底，360已累计发现并披露了56个境外APT组织。

报告还分析了APT攻击的主要发展趋势，包括0day和nday漏洞的利用、供应链攻击的增加、国产化软件系统成为攻击重点以及网络攻击形态的多样化。2024年，全球APT组织利用的0day漏洞共计31个，涉及8个厂商的11个产品，供应链攻击成为APT组织攻击活动的重点趋势。

披露时间：2025年2月11日

情报来源：https://mp.weixin.qq.com/s/tKQ8Wm8SE0bsVh0XnPRBxQ

相关信息：

安全研究团队发现，有黑产团伙开始专门窃取云上部署DeepSeek大模型的API密钥，对外以30美元/月售卖使用权限。

据悉，这类黑产团伙过去长期窃取OpenAI、AWS、Azure等各类大模型服务的API密钥，对外提供违规生成服务，仅此次研究期间就发现超20亿个token被滥用，给付费用户和平台造成了巨大损失。

DeepSeek的最新大模型V3和R1刚发布几天，黑产团队就已经实现API适配支持。目前，研究团队在某个黑产团队的系统中，已经发现了55个疑似被窃取的DeepSeek API密钥。

披露时间：2025年2月8日

情报来源：https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-uses-28-million-ips-to-target-vpn-devices/

相关信息：

全球范围内正在发生一场大规模的暴力破解攻击，攻击者使用了近280万个IP地址，试图破解包括Palo Alto Networks、Ivanti和SonicWall在内的多种网络设备的登录凭证。这些攻击主要针对防火墙、VPN、网关等边缘安全设备，这些设备通常暴露在互联网上以便于远程访问。攻击主要由MikroTik、华为、思科等路由器和物联网设备发起，这些设备经常被大型恶意软件僵尸网络所控制。根据The Shadowserver Foundation的报告，这些攻击的IP地址分布在许多网络和自治系统中，很可能是僵尸网络或与住宅代理网络相关的操作。攻击者通过住宅代理网络进行攻击，使其行为更难被检测和阻止。

披露时间：2025年2月10日

情报来源：https://www.securityweek.com/apple-confirms-usb-restricted-mode-exploited-in-extremely-sophisticated-attack/

相关信息：

苹果公司于2025年2月10日发布了紧急安全更新，修复了iOS和iPadOS中的一个高危漏洞（CVE-2025-24200）。该漏洞允许攻击者在获得设备物理访问权限的情况下，禁用USB限制模式（USB Restricted Mode），从而绕过苹果设备的安全保护机制。USB限制模式是苹果在2018年引入的一项安全功能，当设备锁定超过一小时后，该模式会阻止通过USB接口进行数据访问，以防止执法机构或攻击者使用工具（如Cellebrite或GrayKey）破解设备或提取数据。此次发现的漏洞允许攻击者绕过这一限制，重新启用数据端口，从而访问设备中的敏感信息。

该漏洞已被用于针对特定目标的复杂攻击，苹果公司确认这一漏洞“可能已被用于针对特定目标的极其复杂的攻击”。漏洞的发现归功于多伦多大学蒙克学院公民实验室（Citizen Lab）的研究员Bill Marczak。受影响的设备包括iPhone XS及更高版本，以及多款iPad Pro、iPad Air和iPad mini设备。苹果公司建议用户立即更新设备至iOS 18.3.1或iPadOS 18.3.1，以防止潜在的安全风险。

披露时间：2025年2月11日

情报来源：https://blog.checkpoint.com/artificial-intelligence/love-gone-phishy-check-point-research-exposes-valentines-day-cyber-threats/

相关信息：

Check Point的研究显示，2025年1月新注册的情人节相关网站数量较上月增加了123%，达到18,000多个，其中约1/72的网站被识别为恶意或高风险。研究人员发现了一起网络钓鱼邮件活动，攻击者伪装成Costco、1-800 Flowers和Walmart等知名品牌，以“情人节篮子”为诱饵，诱骗用户点击恶意链接。这些链接被设计用于窃取用户的个人信息和支付信息。

披露时间：2025年2月12日

情报来源：https://www.seqrite.com/blog/xelera-ransomware-fake-fci-job-offers/

相关信息：

Seqrite Labs发现了一种名为XELERA的勒索软件活动，该活动通过伪装成印度食品公司（FCI）的虚假招聘广告，针对技术求职者进行攻击。攻击者利用恶意文档作为初始感染载体，通过嵌入的OLE对象传播包含Python脚本的PyInstaller可执行文件。这些脚本利用Discord机器人进行命令与控制（C2）通信，执行系统干扰和文件操作，最终部署勒索软件。虽然目前该勒索软件尚未涉及加密操作，但其通过系统干扰和文件操作对受害者进行勒索，显示出其攻击手段的多样性和复杂性。

披露时间：2025年2月6日

情报来源：https://www.esentire.com/security-advisories/netsupport-rat-clickfix-distribution

相关信息：

安全研究人员发现NetSupport远程访问木马（RAT）事件显著增加，NetSupport RAT允许攻击者完全控制受害主机，可监视屏幕、控制键盘和鼠标、上传下载文件，并执行恶意命令。如果未被检测到，NetSupport RAT可能导致更高级别的威胁，包括勒索软件攻击、敏感数据泄露和业务中断。此次事件中，攻击者利用了新兴的“ClickFix”初始访问向量（IAV），通过社交工程诱导用户执行恶意PowerShell命令，从而下载和运行NetSupport RAT。

披露时间：2025年2月12日

情报来源：https://mp.weixin.qq.com/s/xSS5MAFqf3eNWKcwuIXt6g

相关信息：

近日，安恒猎影实验室发现多起恶意软件仿冒DeepSeek进行传播的事件。攻击者利用DeepSeek在人工智能领域的知名度，通过伪造官方网站、捆绑软件、伪装更新程序等方式，诱导用户下载并安装恶意软件。这些恶意软件会窃取用户数据、破坏系统，甚至植入后门程序，对用户隐私和系统安全构成严重威胁。

目前在Android、Windows均发现了仿冒的恶意软件。Android平台上的恶意软件伪装成DeepSeek应用程序，安装后申请多种权限监控设备，如短信、通知、通话记录等，并将数据发送至服务器。Windows平台上发现的恶意软件伪装成DeepSeek安装包，包含BumbleBee恶意软件加载器，连接远程服务器等待后续指令。

披露时间：2025年2月12日

情报来源：https://www.bleepingcomputer.com/news/security/sarcoma-ransomware-claims-breach-at-giant-pcb-maker-unimicron/

相关信息：

新兴勒索软件组织“Sarcoma”声称对台湾印刷电路板（PCB）制造商Unimicron进行了攻击，并威胁称如果未支付赎金，将在下周泄露从该公司系统中窃取的377GB文件和文档。Unimicron是全球最大的PCB制造商之一，产品广泛应用于LDC显示器、计算机、外设和智能手机。Unimicron表示，攻击的影响有限，并已聘请外部网络取证团队进行事件分析并协助实施防御措施。尽管Unimicron未确认数据泄露，但Sarcoma泄露的样本文件看起来是真实的。Sarcoma于2024年10月首次发起攻击，迅速成为最活跃的勒索软件团伙之一，通过网络钓鱼邮件和利用n-day漏洞获得初始访问权限，并通过供应链攻击从服务供应商转向其客户。

披露时间：2025年2月6日

情报来源：https://www.reversinglabs.com/blog/rl-identifies-malware-ml-model-hosted-on-hugging-face

相关信息：

Reversing Labs研究团队在Hugging Face平台上发现了恶意机器学习（ML）模型。该模型伪装成安全研究工具，实则包含恶意代码，可能对使用者的系统构成威胁。攻击者利用Pickle文件序列化的不安全特性，将恶意软件隐藏在ML模型中。恶意负载被插入在Pickle流的开头，因此Hugging Face现有的安全扫描工具不会将模型的执行检测为不安全。ReversingLabs将此攻击技术命名为nullif AI，因为它涉及规避AI社区对ML模型的现有保护。

披露时间：2025年2月12日

情报来源：https://mp.weixin.qq.com/s/4urgAstBZYrIXWngK881vQ

相关信息：

本月，微软共发布了63个漏洞的补丁程序，修复了Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等产品中的漏洞，包括4个紧急漏洞、10个重要漏洞。其中，以下11个漏洞被微软标记为 “Exploitation Detected”或“Exploitation More Likely”，这代表这些漏洞已遭利用或更容易被利用：

• CVE-2025-21400Microsoft SharePoint Server 远程代码执行漏洞；
• CVE-2025-21377NTLM 哈希泄露欺骗漏洞；
• CVE-2025-21418Windows 辅助功能驱动程序WinSock权限提升漏洞；
• CVE-2025-21414Windows Core Messaging 权限提升漏洞；
• CVE-2025-21358Windows Core Messaging 权限提升漏洞；
• CVE-2025-21184Windows Core Messaging 权限提升漏洞；
• CVE-2025-21367Windows Win32 内核子系统权限提升漏洞；
• CVE-2025-21391Windows 存储权限提升漏洞；
• CVE-2025-21419Windows 安装程序文件清理权限提升漏洞；
• CVE-2025-21420Windows 磁盘清理工具权限提升漏洞；
• CVE-2025-21376Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞。

披露时间：2025年2月10日

情报来源：https://cybersecuritynews.com/poc-exploit-released-for-anydesk-vulnerability-exploited/

相关信息：

AnyDesk是一款流行的远程桌面软件，其最近被披露存在一个漏洞（CVE-2024-12754），该漏洞允许本地攻击者通过Windows桌面背景图像处理机制，绕过权限限制，访问敏感系统文件并提升至管理员权限。该漏洞被归类为CWE-59（文件访问前的不当链接解析），CVSS评分为5.5（中等），表明其可能导致机密性泄露。

研究人员Naor Hodorov发现，AnyDesk在会话初始化时会将当前桌面壁纸复制到C:WindowsTemp目录。这一操作由以NT AUTHORITYSYSTEM账户运行的AnyDesk服务执行，该账户具有高级权限。攻击者可以通过在C:WindowsTemp目录中预创建文件或利用符号链接（软链接）来操纵这一过程。攻击者可以创建一个重定向AnyDesk文件复制操作的软链接，指向如\Device\HarddiskVolumeShadowCopy1\Windows\System32\CONFIG等敏感目录，从而访问SAM、SYSTEM和SECURITY等关键文件。通过这些文件，攻击者可以使用工具（如mimikatz）提取哈希凭据或机器密钥，进而提升权限并可能获得管理员访问权限。

研究人员已经发布了一个概念验证（PoC）利用代码，展示了攻击者如何利用该漏洞。AnyDesk已在9.0.1及更高版本中发布了补丁，强烈建议用户立即更新软件。

披露时间：2025年2月10日

情报来源：https://www.kaspersky.com/blog/slap-flop-attacks/52996/

相关信息：

研究人员发现苹果M2、M3、A15和A17芯片存在两个新的安全漏洞，分别命名为SLAP（Speculative Load Address Prediction）和FLOP（False Load Output Prediction）。这些漏洞利用了苹果处理器的推测执行功能，允许攻击者通过侧信道攻击窃取用户在浏览器中的敏感信息

SLAP攻击通过欺骗CPU的加载地址预测器（LAP），使其访问超出范围的内存地址，从而读取敏感数据。FLOP攻击则利用加载值预测器（LVP），通过诱导LVP转发错误的值，绕过内存安全检查，读取通常受限的内存内容。这些攻击可以利用缓存计时或其他侧信道技术推断泄露的数据。

研究人员已经展示了这些攻击的实际效果，能够从Safari浏览器中提取私人邮件、恢复信用卡详情等敏感数据。受影响的设备包括2022年及以后发布的所有MacBook Air和MacBook Pro、2023年及以后发布的所有Mac Mini、iMac、Mac Studio和Mac Pro，以及2021年9月及以后发布的所有iPad Pro、Air、Mini和iPhone。