每周高级威胁情报解读(2025.10.24~10.30)

披露时间：2025年10月22日

情报来源：https://www.trellix.com/blogs/research/sidewinders-shifting-sands-click-once-for-espionage/

相关信息：

Trellix的研究揭示了SideWinder APT组织针对南亚外交机构的网络间谍活动。攻击者通过伪装成招聘人员，向目标发送带有恶意软件的PDF文件，这些文件利用ClickOnce技术下载并执行多阶段恶意软件。攻击链包括特洛伊木马化的Adobe Reader更新，通过DLL侧加载技术加载恶意DLL文件，如DEVOBJ.dll和App.dll，最终部署ModuleInstaller和StealerBot恶意软件。攻击者还利用Microsoft Graph API进行隐蔽的C2通信，通过合法的Microsoft基础设施发送请求，降低被检测的风险。此次攻击展示了SideWinder在恶意软件部署和隐蔽通信方面的高度模块化和灵活性，以及其在规避传统安全措施方面的持续适应能力。

披露时间：2025年10月28日

情报来源：https://securityonline.info/lazarus-group-attacks-with-dreamloader-malware-leveraging-dll-sideloading-and-microsoft-graph-api-for-stealth-c2/

相关信息：

Lab52 发现Lazarus Group利用新的恶意软件家族DreamLoader发动攻击。攻击者通过伪装成招聘人员，向目标发送带有恶意软件的ZIP文件，这些文件包含特洛伊木马化的TightVNC客户端（Tnsviewer.exe）。执行后，该恶意软件通过DLL侧加载技术加载多个恶意DLL文件，如Webservices.dll和radcui.dll，这些文件能够执行凭证盗窃和侦察任务。攻击者还利用Microsoft Graph API进行隐蔽的C2通信，通过合法的Microsoft基础设施发送请求，从而降低被检测的风险。此外，TSVIPSrv.dll作为恶意服务执行，能够递归解密和加载其他加密的DLL文件，增加了分析的复杂性。这些技术手段展示了Lazarus Group在恶意软件部署和隐蔽通信方面的高度模块化和灵活性。

披露时间：2025年10月23日

情报来源：https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/

相关信息：

ESET披露了的Lazarus组织针对欧洲无人机（UAV）行业的网络间谍活动。该活动名为Operation DreamJob，通过伪装成高薪职位的工作机会，诱骗目标公司员工下载和执行恶意软件。攻击者利用社会工程学手段，通过特洛伊木马化的开源项目（如PDF阅读器和VNC查看器）作为下载器和加载器，部署名为 ScoringMathTea 的复杂远程访问木马。该RAT支持约40种命令，允许攻击者完全控制受感染的机器。攻击者还使用了新的DLL代理库和特洛伊木马化开源项目，以提高规避能力。此次攻击的目标包括一家金属工程公司、一家飞机零部件制造商和一家国防公司，这些公司均涉及UAV技术的开发。这与朝鲜当前扩大无人机计划的努力相呼应，表明攻击者可能旨在窃取专有信息和制造知识。

披露时间：2025年10月23日

情报来源：https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/

相关信息：

Sekoia.io 揭露了 TransparentTribe 针对印度军事组织的网络间谍活动。该活动利用了印度拉达克地区的政治紧张局势，通过伪装成紧急安全指令的文件诱骗目标用户，最终部署名为DeskRAT的新型远程访问木马。该活动通过精心设计的钓鱼邮件和恶意ZIP文件传播。ZIP文件包含一个DESKTOP文件，该文件在用户执行时会下载并执行一个base64编码的二进制有效载荷，最终部署DeskRAT。DeskRAT通过WebSocket与C2服务器通信，支持多种命令，如文件浏览、上传和执行文件。C2服务器提供了一个高级客户端监控和文件管理系统界面，允许攻击者实时管理和控制受感染的主机。此外，研究人员揭示了 TransparentTribe 感染链在传播阶段的演变，最初的攻击活动利用合法的云存储平台（例如Google Drive）来分发恶意载荷，而现在已转而使用专用的预发布服务器。

披露时间：2025年10月22日

情报来源：https://www.group-ib.com/blog/muddywater-espionage/

相关信息：

Group-IB 揭示了一个由 MuddyWater 发起的复杂网络钓鱼活动。该活动利用被入侵的邮箱，通过NordVPN发送带有Phoenix后门恶意软件的钓鱼邮件，目标是国际组织和中东及北非地区的政府机构。攻击者通过诱使收件人启用Microsoft Word文档中的宏，部署Phoenix后门的第4版。Group-IB根据使用的工具、技术和程序（TTPs）将此次攻击归因于MuddyWater。此次攻击凸显了国家支持的威胁行为者如何利用受信任的通信渠道来绕过防御并渗透高价值目标。攻击者还利用了FakeUpdate注入器和自定义凭证窃取工具，以及合法的远程监控和管理（RMM）工具，如PDQ和Action1，以增强隐蔽性和持久性。

披露时间：2025年10月27日

情报来源：https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/

相关信息：

Operation ForumTroll 活动通过个性化的网络钓鱼邮件邀请收件人参加Primakov Readings论坛，邮件中包含恶意链接，点击后会触发复杂的攻击链。攻击者利用Google Chrome的零日漏洞（CVE-2025-2783）绕过沙箱保护，安装名为LeetAgent的间谍软件。LeetAgent通过HTTPS与C2服务器通信，执行多种命令，包括运行命令、执行进程、文件操作等。进一步分析发现，该活动与意大利公司Memento Labs（前身为Hacking Team）开发的商业间谍软件Dante有关。Dante具有强大的反分析技术，包括VMProtect加壳、反调试检查和环境检测。尽管Dante在攻击中未被直接使用，但其与LeetAgent的相似性表明，该活动可能使用了Dante的工具集。

披露时间：2025年10月28日

情报来源：https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

相关信息：

Kaspersky 详细分析了 BlueNoroff 组织发起的 GhostCall 和 GhostHire 两大恶意攻击活动，均隶属于其以财务获利为目标的 SnatchCrypto 行动。GhostCall 通过伪造 Zoom/Microsoft Teams 会议链接诱导科技公司高管、风投人士等目标下载恶意脚本，部署包含 ZoomClutch/TeamsClutch、DownTroy 等在内的 7 条多阶段感染链及信息窃取工具 SilentSiphon；GhostHire 则伪装招聘场景，以 GitHub 恶意仓库为载体，针对 Web3 开发者投放跨平台恶意软件 DownTroy，进而触发 Windows 等系统的完整感染链。此外，攻击者还运用AI 技术提升攻击成功率，目前已在日本、新加坡、澳大利亚等多国发现受害者。

披露时间：2025年10月24日

情报来源：https://mp.weixin.qq.com/s/N-ut-NCAPdbdidb4Ng8hdw

相关信息：

APT-C-08（蔓灵花）组织是拥有南亚政府背景的活跃APT组织，近期360安全大脑发现其通过application文件进行钓鱼攻击。攻击流程为投递恶意application文件，用户点击后远程安装恶意组件，创建计划任务周期性访问C2服务器，发送设备名和用户名并下发攻击组件。恶意样本Microsoft.application为ClickOnce应用程序部署配置文件，运行模式为在线安装，访问manifest配置文件地址获取后续文件列表。核心恶意文件Microsoft.exe通过dotnet publish打包，主要功能是创建计划任务。后门组件winsec.exe为C，解密C2地址并接收数据执行。

披露时间：2025年10月22日

情报来源：https://www.sentinelone.com/labs/phantomcaptcha-multi-stage-websocket-rat-targets-ukraine-in-single-day-spearphishing-operation/

相关信息：

PhantomCaptcha是一起针对乌克兰战争救援相关组织和政府机构的复杂网络钓鱼攻击活动。攻击者通过伪装成乌克兰总统办公室的邮件，发送带有恶意PDF附件的钓鱼邮件，诱导受害者点击链接并执行恶意代码。攻击链包括多个阶段，最终部署了一个基于WebSocket的远程访问木马（RAT），使攻击者能够远程执行命令、窃取数据并部署额外恶意软件。此次攻击活动的基础设施仅在一天内活跃，显示出攻击者高度的计划性和对操作安全的重视。此外，攻击者还利用成人娱乐主题的Android应用收集设备信息，进一步扩大了攻击范围。

披露时间：2025年10月23日

情报来源：https://research.checkpoint.com/2025/youtube-ghost-network/

相关信息：

Check Point Research发现并分析了YouTube上的一个复杂且有组织的恶意账号网络 YouTube Ghost Network。这些账号利用YouTube的功能，如视频、描述、帖子和评论，推广恶意内容并分发恶意软件，同时营造出一种虚假的信任感。研究人员识别并报告了超过3,000个与该网络相关的恶意视频，其中大部分已被删除。该网络自2021年以来一直活跃，2025年恶意视频的创建量已比前三年翻了三倍，显示出其规模和有效性的显著增长。该网络主要针对“游戏外挂/作弊”和“软件破解/盗版”类别，这些领域吸引了大量潜在受害者。研究人员发现，通过该网络分发的恶意软件主要是信息窃取器，对用户凭据和敏感数据构成重大风险。

披露时间：2025年10月23日

情报来源：https://unit42.paloaltonetworks.com/global-smishing-campaign/

相关信息：

Unit 42的研究发现，一个名为Smishing Triad的组织正在实施一场大规模的短信钓鱼活动，该活动自2024年4月以来已针对美国居民，并且正在全球范围内扩展。攻击者通过假冒国际服务，包括银行、加密货币平台、电子商务、医疗保健和执法部门等关键行业，发送虚假的违规通知和包裹递送失败通知。该活动使用了超过194,000个恶意域名，这些域名通过香港的注册商注册，但主要托管在美国的云服务上。攻击者利用短信进行社交工程，制造紧迫感，诱使受害者立即采取行动。这些钓鱼页面旨在收集敏感信息，如国家身份证号码、家庭地址、支付详情和登录凭据。该活动的全球规模、复杂基础设施和逼真的钓鱼页面表明，这背后是一个大型、资源丰富的钓鱼即服务（PhaaS）操作，对全球个人构成了广泛威胁。

披露时间：2025年10月27日

情报来源：https://www.trendmicro.com/en_us/research/25/j/active-water-saci-campaign-whatsapp-update.html

相关信息：

Water Saci活动通过WhatsApp传播恶意ZIP文件，这些文件包含混淆的VBS下载器，能够通过PowerShell命令执行无文件攻击。该恶意软件会劫持WhatsApp Web会话，收集联系人信息，并自动向这些联系人分发恶意文件，同时保持与C2服务器的持久通信。攻击者利用IMAP连接到特定的电子邮件账户以获取C2服务器的URL，然后通过HTTP轮询系统接收命令，实现对攻击活动的实时控制。该恶意软件还具备多种持久性机制，包括注册表修改和计划任务创建，以确保在系统重启后仍能运行。此外，它还具备多种逃避检测的机制，如语言检查、调试器检测和自我删除功能。

披露时间：2025年10月23日

情报来源：https://blog.lastpass.com/posts/possible-cryptochameleon-social-engineering-campaign-targeting-lastpass-customers-and-more

相关信息：

LastPass在其官方博客中警告用户，近期出现了一种针对其用户以及加密货币交易所用户的网络钓鱼活动。攻击者通过伪造的电子邮件，声称收件人家属试图以遗产继承人的身份访问其LastPass保险库，并附上伪造的案件信息和代理信息。邮件中包含一个钓鱼链接，引导受害者访问该链接，并要求输入主密码以取消请求，实际上是为了窃取用户凭证。此外，攻击者还会通过电话进一步诱导受害者访问钓鱼网站并输入主密码。该活动与已知网络犯罪集团CryptoChameleon有关，该集团曾于2024年4月利用LastPass进行钓鱼活动。

披露时间：2025年10月22日

情报来源：https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/

相关信息：

Jingle Thief活动由摩洛哥的攻击者发起，主要针对零售和消费服务行业的全球企业，利用钓鱼和Smishing攻击获取凭证，进而入侵发行礼品卡的组织。攻击者利用Microsoft 365服务进行侦察、长期潜伏并大规模发行未经授权的礼品卡。攻击者通过高度定制的钓鱼页面和内部钓鱼邮件扩大攻击范围，通过创建自动转发规则监控内部通信，通过注册流氓设备维持长期访问权限。攻击者在节假日期间增加活动频率，利用礼品卡的易兑换性和快速变现能力进行欺诈。

披露时间：2025年10月23日

情报来源：https://blog.checkpoint.com/research/lockbit-returns-and-it-already-has-victims/

相关信息：

LockBit勒索软件组织在2024年初被中断后，于2025年9月重新浮出水面，并且已经开始勒索新的受害者。Check Point Research确认，LockBit已经重新开始运作，并且已经有新的受害者。2025年9月，Check Point Research识别出有十几个组织被LockBit的新版本LockBit 5.0（代号“ChuongDong”）和LockBit Black攻击，这些攻击影响了欧洲、美洲和亚洲的Windows和Linux系统。LockBit 5.0引入了多项更新，包括对Windows、Linux和ESXi系统的多平台支持、更强的反分析机制、更快的加密速度和新的随机文件扩展名，以逃避检测。LockBit的回归凸显了该组织的韧性和复杂性，尽管面临执法部门的行动和公开挫折，LockBit仍然成功恢复了其运营，并招募了新的附属组织，恢复了勒索活动。

披露时间：2025年10月26日

情报来源：https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/

相关信息：

Qilin（前身为Agenda）勒索软件自2022年7月活跃以来，已成为全球最具影响力的勒索软件之一。2025年，Qilin继续以每月超过40起案件的速度在泄露网站上发布受害者信息，制造业成为受影响最严重的行业。攻击者通过VPN访问和RDP连接进入目标网络，利用被盗的管理员凭证进行横向移动，并使用如Cyberduck等开源工具进行数据外泄。在攻击过程中，攻击者还使用了多种工具和脚本，包括Mimikatz和NirSoft的密码恢复工具，以收集和泄露敏感信息。Qilin勒索软件通过加密文件和公开披露被盗信息的双重勒索策略，对受害者造成严重影响。

披露时间：2025年10月28日

情报来源：https://mp.weixin.qq.com/s/NiINbCNnDWBUtAdhB5gt-Q

相关信息：

近期，奇安信网络安全部和威胁情报中心发现多个政企客户研发人员从GitHub下载不可信工具或安装包，导致开发终端被植入窃密或挖矿软件。文章重点分析了两个活跃黑客团伙Water Curse和Lucifer的攻击手法。Water Curse通过恶意GitHub仓库传播SearchFilter工具，最终植入AsyncRat木马尝试窃取凭证。Lucifer则通过IDEA破解仓库诱导下载，释放恶意DLL劫持服务并加载挖矿程序。奇安信全线产品已支持对此类攻击的精确检测。

披露时间：2025年10月23日

情报来源：https://www.trendmicro.com/en_us/research/25/j/agenda-ransomware-deploys-linux-variant-on-windows-systems.html

相关信息：

Trend Micro的研究揭示了Agenda勒索软件组织的一种复杂攻击手段，该组织通过合法的远程管理和文件传输工具，在Windows系统上部署Linux勒索软件变体。这种跨平台执行方式绕过了传统的Windows安全控制，包括端点检测和响应平台。攻击者利用WinSCP进行安全文件传输，并通过Splashtop Remote执行Linux勒索软件二进制文件。攻击链还包括使用自带漏洞驱动（BYOVD）技术进行防御规避，以及在多个系统目录中部署多个SOCKS代理实例以混淆命令与控制（C2）流量。攻击者还特别针对Veeam备份基础设施，使用专门的凭证提取工具，从多个备份数据库中系统地收集凭证，从而在部署勒索软件有效载荷之前破坏组织的灾难恢复能力。

披露时间：2025年10月21日

情报来源：https://arcticwolf.com/resources/blog/brazilian-caminho-loader-employs-lsb-steganography-to-deliver-multiple-malware-families/

相关信息：

Arctic Wolf Labs识别并分析了一个名为Caminho的新恶意软件加载器，这是一个巴西起源的加载器即服务（LaaS）操作，采用最小有效位（LSB）隐写术将恶意软件隐藏在图像文件中。自2025年3月以来，该活动已经传播了多种恶意软件和信息窃取器，如REMCOS RAT、XWorm和Katz Stealer，目标是南美洲、非洲和东欧的多个行业的受害者。该活动的主要感染向量是通过鱼叉式网络钓鱼邮件发送存档的JavaScript或VBScript文件，这些文件使用商业主题的社会工程学诱饵。执行后，初始脚本从pastebin风格的服务中检索混淆的PowerShell有效载荷，下载来自archive.org的隐写图像。PowerShell随后从图像中提取隐藏的.NET加载器（Caminho），直接将其加载到内存中并执行。加载器检索并注入最终恶意软件到calc.exe（一个合法的可执行文件，用于Windows计算器）的地址空间中，而无需将文件写入磁盘，通过计划任务建立持久性，重新执行感染链。

披露时间：2025年10月28日

情报来源：https://unit42.paloaltonetworks.com/microsoft-cve-2025-59287/

相关信息：

研究人员详细介绍了微软Windows Server Update Services（WSUS）中的一个关键远程代码执行漏洞（CVE-2025-59287），该漏洞CVSS评分为9.8，允许远程未认证攻击者在受影响服务器上以系统权限执行任意代码。WSUS是企业用于补丁管理的核心组件，其漏洞影响范围广泛。攻击者可通过向GetCookie()端点发送特制请求或通过ReportingWebService触发不安全的反序列化来利用该漏洞。该漏洞仅影响启用了WSUS服务器角色的系统，且该角色默认未启用。在野外观察到的攻击行为包括初始访问、内部网络侦察等，攻击者通过公开暴露的WSUS实例的默认TCP端口（8530和8531）进行攻击，执行恶意PowerShell命令以收集内部网络信息。

披露时间：2025年10月26日

情报来源：https://cybersecuritynews.com/bind-9-resolver-instances/

相关信息：

研究人员披露了BIND 9解析器中的一个高危漏洞（CVE-2025-40778），该漏洞影响全球超过706,000个在线暴露的实例。该漏洞源于BIND对DNS响应中未经请求的资源记录处理过于宽松，允许攻击者在不直接访问网络的情况下注入伪造数据。该漏洞的CVSS评分为8.6，维护BIND软件的互联网系统联盟（ISC）已于2025年10月22日发布详细信息，敦促管理员立即打补丁。BIND 9是互联网域名解析的重要组成部分，因此该漏洞对企业、互联网服务提供商和政府机构尤其令人担忧。尽管目前尚未报告有实际的利用行为，但PoC代码已在GitHub上公开，这为潜在攻击者提供了实施攻击的蓝图。