恶意软件
130 篇文章
恶意软件家族、加载器、窃密木马、僵尸网络与入侵工具。
HIGH秘密暴雪升级Kazuar后门为P2P僵尸网络
秘密暴雪将Kazuar发展为具有150个配置选项的模块化P2P僵尸网络,绕过AMSI/ETW,并拥有静音模式节点。微软详细介绍了三模块架构。
HIGHGremlin Stealer 进化:加密剪贴,会话劫持,打包
Unit 42 详细描述了一种新的 Gremlin stealer 变种,使用 XOR 加密的资源部分,加密剪贴器,WebSocket 会话劫持,以及一个商业打包器,带有指令...
MEDIUMMalwarebytes Blocks Suspicious Yahoo Mail Redirects to Opaque Domains
Malwarebytes 阻止了 Yahoo Mail 到 cook.howduhtable.com 等域名的背景连接 —— 这些域名是第三方基础设施,声誉不佳且重定向链不透明。
欧盟国家向滥用政权出口间谍软件,人权观察报告发现
人权观察报告记录欧盟监控技术销售给超过两打人权记录不佳的国家,引用保加利亚作为顶级出口国。
HIGHTrickMo 安卓木马使用 TON 区块链进行 C2,SOCKS5 跳板
ThreatFabric 追踪到一个 TrickMo 变种,使用 The Open Network (TON) 进行 C2 和 SOCKS5 代理跳板进入受害者网络,目标是法国、意大利的银行和加密货币用户,...
HIGHGoogle Ads, Claude Chats 推送 MacSync Infostealer 给 macOS 用户
攻击者滥用 Google Ads 链接到真实的 claude.ai 和共享的 Claude 聊天,以传递 MacSync 信息窃取器,收集浏览器凭证和 Keychain 数据。
HIGH假的 OpenAI 仓库在 Hugging Face 上推广 Rust 信息窃取器
一个被恶意抢注的 OpenAI 仓库在 Hugging Face 上达到了第一名,下载量达到 244,000 次,分发了一个基于 Rust 的信息窃取器,该窃取器针对浏览器凭证、加密钱包和 VPN...
HIGHNWHStealer 使用 Bun JavaScript 运行时来逃避检测
攻击者重新利用 Bun JavaScript 运行时来分发 NWHStealer,这是一个基于 Rust 的信息窃取器,针对浏览器、加密钱包和 FTP 应用程序,通过游戏诱饵和假冒软件进行传播。
HIGHOceanLotus APT 利用 PyPI 包分发 ZiChatBot 恶意软件
卡巴斯基将 PyPI 供应链活动归因于 OceanLotus APT,使用假冒的 wheel 包来投放滥用 Zulip 聊天 API 进行 C2 的 ZiChatBot 恶意软件,影响 Windows 和 Linux 系统。
HIGHPamDOORa 后门通过 Linux PAM 模块窃取 SSH 凭证
一个名为 PamDOORa 的新 Linux 后门,在 Rehub 论坛上以 1600 美元的价格出售,使用 PAM 模块通过一个魔法密码和 TCP 端口组合来窃取 SSH 凭证。
HIGHQuasar Linux RAT 针对开发者进行供应链攻击
一种新的 Linux 植入代码,代号 QLNX,窃取开发者的凭证、按键和剪贴板数据。针对 DevOps 环境,以破坏软件供应链。
HIGHTCLBANKER 木马针对 59 家银行,通过 WhatsApp 和 Outlook 传播
Elastic Security Labs 追踪 REF3076 —— 一个名为 TCLBANKER 的巴西银行木马,它针对 59 个金融平台,并通过 WhatsApp 蠕虫和 Outlook 电子邮件传播。
HIGHPCPJack 蠕虫窃取云凭证,清除 TeamPCP 感染
SentinelLabs 发现 PCPJack,这是一个针对 Docker、Kubernetes、Redis 和 MongoDB 的凭证窃取蠕虫,它积极地从被入侵的云中移除竞争对手 TeamPCP 的访问权限...
HIGHZiChatBot 恶意软件通过 PyPI 包使用 Zulip C2 传播
三个 PyPI 包在 Windows 和 Linux 上分发 ZiChatBot 恶意软件,使用 Zulip 聊天 API 进行隐蔽的 C2 —— Kaspersky 识别出全球 12 个以上受害组织。
HIGHAPT37 针对中国境内朝鲜族人使用 Android BirdCall 恶意软件
ESET 表示 APT37 破坏了 Sqgame 纸牌游戏平台,向 Android 设备传递 BirdCall 后门,窃取延边朝鲜族人的短信、通话记录和私钥。
HIGHCloudZ RAT 劫持微软电话链接窃取短信和一次性密码
思科 Talos:CloudZ RAT 的新 Pheno 插件滥用 Windows Phone Link 从本地 SQLite 数据库读取短信和一次性密码。
MEDIUMCyber Tax Raises Consumer Prices After Breaches, Podcast Warns
Malwarebytes Lock 和 Code 播客:Eva Velasquez 详细说明了小型企业网络攻击如何造成一个'cyber tax',提高所有消费者的价格——没有哪个行业能免疫。
HIGH2026世界杯诈骗经济针对球迷的假签证、门票
Malwarebytes 记录了围绕2026世界杯的四部分诈骗经济:假签证、伪造门票、钓鱼网站和针对球迷的无价值加密代币,这些诈骗行为发生在……
HIGH银狐通过税务主题钓鱼部署ABCDoor恶意软件
与中国有关的银狐组织针对印度和俄罗斯组织,通过税务主题的钓鱼邮件在2025年12月的活动中部署ABCDoor后门。
HIGHTelegram Mini Apps 助长加密货币诈骗,Android 恶意软件活动
研究人员揭露了一个欺诈网络,滥用 Telegram Mini Apps 来冒充品牌,窃取加密货币钱包,并推广 Android 恶意软件,如 SpyNote 和 ERMAC。
HIGH恶意Ruby Gems和Go模块劫持CI/CD流水线
BufferZoneCorp账户发布了恶意的Ruby gems和Go模块,这些模块窃取凭证,篡改GitHub Actions,并在CI流水线中建立SSH持久性。
HIGHDeep#Door Python 后门针对 Windows 系统进行间谍活动
Deep#Door Python 后门部署持久的 Windows 植入程序进行间谍活动 — 使用加密的 C2 通道、文件外泄和远程 shell。没有可用的补丁。
CRITICALMini Shai-Hulud 攻击劫持 SAP、Lightning、Intercom 包
攻击者在供应链攻击中破坏了 SAP、Lightning 和 Intercom npm 包,影响了 1800 名受害者;包每月下载量达 1000 万。
HIGH巴西DDoS公司背后的僵尸网络攻击ISP
巴西反DDoS公司的基础设施被用来对竞争对手ISP发起大规模僵尸网络攻击。首席执行官声称竞争对手的入侵导致了滥用。
HIGHCISA, FBI 警告 LummaC2 信息窃取者针对组织
CISA 和 FBI 联合咨询详细描述了 LummaC2 信息窃取者的 TTPs 和 IOCs:恶意软件从被入侵的网络中窃取凭证、加密钱包和会话数据。
HIGHDEEP#DOOR Python 后门窃取浏览器、云凭证
DEEP#DOOR Python 后门使用隧道服务进行 C2 通信,通过批处理脚本禁用 Windows 安全功能,并从受感染的主机中收集浏览器 Cookie 和云令牌。
CRITICALPyTorch Lightning 在 PyPI 供应链攻击中被入侵
威胁行为者在 2026 年 4 月 30 日将恶意版本的 PyTorch Lightning 2.6.2 和 2.6.3 推送到 PyPI,通过一个拼写错误的依赖项 —— Aikido Security, Socket… 窃取凭证。
HIGHSilver Fox 针对俄罗斯、印度发动 ABCDoor 后门攻击
据卡巴斯基称,Silver Fox 团伙冒充税务机关,向俄罗斯和印度的组织分发 ValleyRAT 和新的 ABCDoor 后门。
HIGH假Roblox增强功能窃取数十万账户
Malwarebytes报告称黑客利用假Roblox游戏增强功能窃取了数十万玩家的登录凭证,并将账户转售以获利。
HIGHGoogle TAG 报告详细描述商业监控供应商行业
Google TAG的2026年报告绘制了50多家向政府出售间谍软件的商业监控供应商地图 —— 针对记者、活动家和律师。
CRITICALSAP npm 包被劫持在窃取凭证的供应链攻击中
攻击者破坏了多个与SAP相关的npm包,部署窃取凭证的恶意软件,针对SAP BTP和云应用凭证。活动被称为迷你Shai-Hulud。
MEDIUM假冒 CAPTCHA 骗局导致国际短信费用
Malwarebytes 报告称骗子使用假冒 CAPTCHA 页面触发高额国际短信费用,通过 Keitaro 流量分发向受害者收取每条短信高达 15 美元的费用…
HIGHLofyGang 带着针对 Minecraft 的 LofyStealer 恶意软件回归
巴西网络犯罪团伙 LofyGang 在三年后重新出现,带来了 LofyStealer,这是一种伪装成名为 'Slinky' 的 Minecraft 黑客工具的新信息窃取器,目标是玩家的凭证…
CRITICALVECT 2.0 勒索软件破坏超过131KB的文件
VECT 2.0 勒索软件包含一个关键的加密缺陷,该缺陷会不可逆转地破坏Windows、Linux和ESXi上大于131KB的文件 —— 即使拥有也无法恢复...
CRITICALVECT 勒索软件 Wiper 漏洞破坏数据,不仅仅是加密
Check Point Research 发现 VECT 勒索软件的加密逻辑中存在一个漏洞,该漏洞会永久性地破坏 Windows 系统上的文件 —— 即使支付赎金后也无法恢复。
HIGH73 个假冒 VS Code 扩展传递 GlassWorm v2 信息窃取器
研究人员在 Open VSX 上发现了 73 个克隆的 VS Code 扩展,其中 6 个被确认为恶意,传递 GlassWorm v2 信息窃取器。
HIGHFast16 恶意软件在供应链攻击中重新出现,滥用可信
Fast16 恶意软件在新的供应链攻击中重新出现,滥用远程监控工具和浏览器扩展来窃取凭证。活动针对企业环境。
HIGHGlassWorm 恶意软件通过 73 个 OpenVSX 休眠扩展卷土重来
新的 GlassWorm 活动在 OpenVSX 上部署了 73 个休眠扩展,这些扩展在更新后激活恶意行为,针对开发环境中的 VS Code 用户。
HIGHDort 被识别为 Kimwolf Botmaster 背后的记录 DDoS 攻击
KrebsOnSecurity 在针对一名披露其...的网络安全研究员发起 DDoS、人肉搜索和电子邮件洪水攻击后,追溯到 Kimwolf botmaster 'Dort' 的真实身份。
HIGHUNC6692 电子邮件轰炸投递 Snow 恶意软件以实现持久访问
UNC6692 向受害者发送数千封电子邮件,然后冒充 IT 支持部署 Snowbelt、Snowglaze 和 Snowbasin 恶意软件以实现持久后门访问。没有涉及 CVE。
CRITICALAxios npm 供应链攻击分发跨平台 RAT
Elastic Security Labs 详细描述了 axios npm 包的供应链被破坏,部署了一个统一的跨平台 RAT,影响了未知数量的下游...
HIGHBRUSHWORM 后门和 BRUSHLOGGER 键盘记录器袭击南亚银行
Elastic Security Labs 详细描述了 BRUSHWORM,这是一个通过 USB 传播的模块化后门,以及 BRUSHLOGGER,一个 DLL-side-loaded 键盘记录器,目标是南亚金融机构。
HIGHCrystalX RAT 结合间谍软件、窃取器和恶作剧软件在 MaaS 提供中
卡巴斯基详细描述了 CrystalX RAT,这是一种自 2025 年中以来针对全球 Windows 用户的 MaaS 恶意软件,具有间谍软件、凭证盗窃和恶作剧软件功能。
HIGH联邦政府破坏了背后记录DDoS攻击的IoT僵尸网络
美国司法部、加拿大和德国拆除了四个IoT僵尸网络 —— Aisuru、Kimwolf、JackSkid、Mossad —— 影响超过300万台设备,使得DDoS攻击达到创纪录的水平。
CRITICAL卡巴斯基详细说明Coruna漏洞利用工具背后的三角测量行动
卡巴斯基GReAT揭示了在三角测量行动中使用的Coruna框架:针对iPhone的零点击iMessage更新了CVE-2023-32434和CVE-2023-38606的内核漏洞利用...
HIGHVoidLink Rootkit Framework 结合 LKM 和 eBPF 实现 Linux 持久性
Elastic Security Labs 解析 VoidLink,这是一个 Linux rootkit 框架,它融合了 Loadable Kernel Modules 与 eBPF 钩子,以规避检测并保持隐蔽的持久性在…
HIGH卡巴斯基:2025年金融网络威胁激增15%
卡巴斯基报告称,2025年金融网络威胁比去年同期增长了15%,其中信息窃取者和网络钓鱼占主导地位。拉丁美洲的Android银行恶意软件增长了20%。
HIGH前Stuxnet恶意软件'Fast16'针对伊朗精密软件
安全研究人员发现了'Fast16',这是一种针对伊朗高精度计算软件的前Stuxnet破坏性恶意软件,篡改结果并自我传播。
HIGHFIRESTARTER 后门入侵联邦 Cisco Firepower 设备
CISA 揭露 FIRESTARTER 后门在 2025 年 9 月入侵了一个运行 ASA 软件的联邦 Cisco Firepower 设备,存活于补丁更新并启用持久远程访问。
HIGHGopherWhisper APT 针对蒙古政府进行间谍活动
ESET 发现与中国对齐的 APT GopherWhisper 针对蒙古政府机构使用基于 Go 的定制恶意软件,利用合法服务进行 C2。
HIGHShadowBrokers 泄露与 Pre-Stuxnet 破坏框架相关联
SentinelLabs 将泄露的 ShadowBrokers 文件与针对伊朗精密软件的 'Fast16' 预-Stuxnet 恶意软件联系起来。该框架早于 Stuxnet 并共享代码相似性。
CRITICALBitwarden CLI 在 Checkmarx 供应链攻击中被入侵
JFrog 和 Socket 在 @bitwarden/[email protected] 中发现了恶意代码 —— 这是同一活动,劫持了 Checkmarx npm 包。
HIGHCanisterSprawl 蠕虫劫持 npm 包,窃取开发者令牌
根据 Socket 和…的说法,CanisterSprawl 供应链蠕虫劫持 npm 包,使用窃取的开发者令牌进行自我传播,并将数据外泄到 ICP canister。
CRITICALCheckmarx KICS 供应链泄露影响 Docker 和 VS Code
攻击者破坏了 Checkmarx KICS 的 Docker 镜像和 VS Code 扩展,以窃取开发者环境中的云凭证、API 密钥和源代码。
MEDIUMCyberattacks on Firms Cascade to Consumers, Malwarebytes Warns
Malwarebytes 分析显示,企业数据泄露暴露了客户个人信息(PII),使得后续欺诈行为成为可能,并导致保险费率上升——甚至影响到了未受影响的个人。
MEDIUMICE 承认使用 Graphite 间谍软件进行监控
美国移民和海关执法局(ICE)确认使用了以色列公司 Graphite 的间谍软件,这是一个能够从加密消息应用如 WhatsApp 中提取数据的工具…
CRITICALLotus Wiper 攻击委内瑞拉能源部门的破坏性活动
卡巴斯基发现了 Lotus Wiper,这是一种针对委内瑞拉能源和公用事业部门的新型文件擦除器,自2025年底以来一直活跃。
HIGHMirai 僵尸网络利用 D-Link 路由器漏洞 CVE-2025-29635
Mirai 僵尸网络操作者利用 CVE-2025-29635,这是一个 CVSS 8.8 命令注入漏洞,存在于生命周期结束的 D-Link DIR-823X 路由器中,以部署恶意软件并发起 DDoS 攻击。
HIGH朝鲜黑客通过木马化软件窃取1200万美元加密货币
朝鲜黑客在2026年第一季度使用木马化的交易应用程序如CoinStats和TradingView AI Agent窃取了超过1200万美元的加密货币,以窃取恢复短语和…
HIGHTrigona 勒索软件部署自定义数据泄露工具以加快数据盗窃
Trigona 勒索软件攻击现在使用自定义的 CLI 工具从被入侵的网络中更快地外泄数据,加密前针对备份和云存储。
HIGH中国关联的GopherWhisper攻击12个蒙古国政府系统
ESET识别出与China对齐的APT GopherWhisper,自2026年初以来,利用基于Go的后门、注入器和加载器侵入12个蒙古国政府系统。
HIGHGopherWhisper APT 使用 Go 工具,合法服务在政府攻击中
GopherWhisper,一个新的国家支持的 APT,针对政府实体使用基于 Go 的工具包滥用 Outlook、Slack 和 Discord 进行 C2。
HIGHUNC6692 劫持 Microsoft Teams 部署 SNOW 恶意软件套件
UNC6692 通过 Microsoft Teams 聊天冒充 IT 帮助台工作人员,诱骗受害者安装 SNOW 恶意软件 —— 一个具有凭证盗窃和横向移动功能的自定义后门…
HIGH假冒TradingView AI代理网站投放浏览器劫持恶意软件
一个冒充TradingView AI代理的恶意网站部署了恶意软件,该软件赋予攻击者对受害者浏览器的完全控制权,使得账户盗窃和金融数据泄露成为可能…
HIGHHarvester 通过 Microsoft Graph API 部署 Linux GoGra 后门
Harvester 威胁行为者部署了其 GoGra 后门的新 Linux 版本,使用 Microsoft Graph API 和 Outlook 邮箱进行隐蔽的 C2 通信,在针对...的攻击中。
HIGHKyber 勒索软件在攻击中部署后量子加密
根据 BleepingComputer 的分析,Kyber 勒索软件团伙正在使用一个变种,该变种实现了 Kyber1024 后量子加密,以针对 Windows 和 VMware ESXi 系统。
HIGHLotus Wiper 针对委内瑞拉能源部门在美国干预前发起攻击
Lotus Wiper 恶意软件针对委内瑞拉国有能源公司 PDVSA,通过覆盖驱动器和删除文件破坏数据,在美国领导的干预行动之前,即 2026 年 3 月。
HIGHThe Gentlemen 勒索软件为 Windows、Linux 和 VMware 部署双锁定器
The Gentlemen 勒索软件即服务操作已感染超过320名受害者,为 Windows/Linux 和 VMware ESXi 系统部署不同的加密器,以最大化对企业网络的破坏和勒索压力。
HIGHMustang Panda 部署针对印度银行的新 LOTUSLITE 变种
Mustang Panda 的新 LOTUSLITE 变种针对印度银行和韩国政策圈,通过动态 DNS C2 通过 HTTPS 实现远程 shell 访问和文件盗窃。
HIGH假冒的 Google Antigravity 安装程序通过木马化的 AI 工具窃取账户
Malwarebytes 报告称,Google 的 Antigravity AI 工具的木马化安装程序在几分钟内窃取浏览器 cookies 和账户凭证,针对寻求泄露软件的用户。
HIGHKyber 勒索软件为 Windows 和 VMware ESXi 部署双重有效载荷
Kyber 勒索软件部署两个不同的有效载荷以加密 Windows 系统和 VMware ESXi 服务器,使用自定义工具清除 ESXi 快照并阻碍恢复。攻击链始于被泄露的 RDP 凭证。
HIGH恶意加密应用从苹果应用商店劫持恢复短语
苹果从其应用商店移除了45个恶意加密货币应用,这些应用窃取了用户的恢复短语和私钥,模仿了像MetaMask和Coinbase这样的合法钱包。
HIGHNGate 恶意软件木马化 HandyPay 应用以窃取巴西NFC数据
根据 ESET 的说法,NGate 恶意软件使用 AI 生成的代码感染了合法的 HandyPay NFC 应用,从巴西超过 220,000 名 Android 用户那里窃取支付卡数据和 PIN 码。
HIGHNGate 恶意软件使用 AI 来躲避在木马化 NFC 应用中的检测
NGate 恶意软件版本 2.0,借助 AI 构建,隐藏在木马化的 NFC 支付应用中,从 Android 设备中窃取短信、联系人和加密钱包数据,同时躲避安全软件。
HIGHPureRAT 恶意软件通过PNG隐藏有效载荷逃避检测
PureRAT 将其 Windows PE 有效载荷隐藏在 PNG 文件中,并在内存中无文件执行它们,这是网络安全研究人员分析一种新的复杂活动时详细描述的技术。
HIGHThe Gentlemen 勒索软件僵尸网络通过 SystemBC 代理感染 1,570+ 系统
Check Point Research 发现一个与 The Gentlemen 勒索软件有关的 1,570 名受害者的僵尸网络,使用 SystemBC 代理恶意软件建立隐蔽的 SOCKS5 隧道进行命令和控制。
MEDIUM威胁行为者在.WAV音频文件中嵌入恶意负载
SANS ISC报告称威胁行为者正在使用.WAV音频文件来传递恶意软件负载,利用该格式在看似无害的音频数据中隐藏恶意代码的能力。
HIGHFakeWallet Crypto Stealer 通过 Apple App Store 感染 iOS 设备
Kaspersky 发现了 22 个恶意的 iOS 应用程序在官方 App Store 上冒充 MetaMask 和 Coinbase 等加密钱包,从超过 1,000 名受害者那里窃取种子短语和私钥。
HIGHGh0st RAT和CloverPlus广告软件在双重载荷活动中部署
一个新的恶意软件活动通过单一混淆加载器同时部署Gh0st RAT和CloverPlus广告软件,使攻击者能够从单一感染中获得持久的远程控制和收入流。
HIGHMiningDropper 框架向 Android 设备传送 Infostealers、RATs
据 CyberSecurity News 研究人员称,MiningDropper 是一个多阶段的 Android 恶意软件框架,通过伪装的应用程序向设备传送 infostealers、RATs 和银行木马。
HIGHThe Gentlemen 勒索软件部署 SystemBC 代理以进行 C2 规避
根据 Check Point DFIR 报告分析最近的一次关联攻击,The Gentlemen 勒索软件即服务组织使用 SystemBC SOCKS5 代理工具来隐藏命令和控制流量。
HIGHUNC1069 针对加密专业人士使用假 Zoom 和 Teams 会议
根据最新研究,朝鲜威胁行为者 UNC1069 利用假 Zoom 和 Microsoft Teams 会议吸引 Web3 专业人士,部署窃取加密货币的恶意软件。
HIGH108款恶意Chrome扩展劫持浏览器,窃取Google和Telegram数据
Socket识别出108款恶意Chrome扩展,感染了20,000名用户,窃取Google和Telegram会话cookie,并通过共享的命令和控制服务器注入广告。
HIGHMirax Android RAT 通过 Meta 广告感染 220,000 用户,创建 SOCKS5 代理
Mirax Android RAT 通过 Meta 广告感染了超过 220,000 用户,将受感染的设备变成 SOCKS5 代理,供威胁行为者路由恶意流量并从讲西班牙语的受害者那里窃取数据。
HIGHOmnistealer 恶意软件通过区块链 C2 收集密码和加密钱包
Omnistealer 恶意软件,由 Malwarebytes 详细描述,窃取来自 1Password、Bitwarden、NordPass 和 Exodus 加密钱包的凭证,使用 Solana 区块链进行隐蔽的命令和控制通信。
HIGHLumma Stealer 活动通过恶意 PDF 部署 Sectop RAT
一个新的活动分发了 Lumma 信息窃取器,随后安装了 Sectop RAT(ArechClient2)以在被入侵的 Windows 系统上建立持久的远程访问,使用恶意 PDF 文件作为初始感染向量。
MEDIUMMirai 变种 Nexcorium 利用 DVR 漏洞构建 DDoS 僵尸网络
一种新的 Mirai 僵尸网络变种 'Nexcorium',正在利用 TBK DVR 和生命周期结束的 TP-Link 路由器中的命令注入漏洞(CVE-2024-3721)来征召设备加入分布式拒绝服务(DDoS)攻击群。
HIGHObsidian 插件滥用在定向攻击中投递 PHANTOMPULSE RAT
威胁行为者滥用 Obsidian 笔记应用通过恶意插件投递新型 PHANTOMPULSE RAT,针对金融和加密货币领域的个人进行攻击,此次行动被追踪为 REF6598。
HIGH假冒数据泄露通知部署恶意软件,窃取凭证
根据 ESET 研究,威胁行为者正在将数据泄露通知武器化,发送假警报,诱骗用户下载恶意软件或在钓鱼网站上输入凭证。
HIGH假冒 Proton VPN 网站和游戏模组传播 NWHStealer 恶意软件
一种名为 NWHStealer 的新型 Windows 信息窃取器正通过假冒 Proton VPN 网站、游戏修改和硬件实用程序下载进行分发,目标是凭证和加密货币钱包。
HIGHPayouts King 勒索软件部署 QEMU 虚拟机作为隐蔽的反向 SSH 后门
Payouts King 勒索软件团伙正在部署开源 QEMU 模拟器,在被入侵的主机上创建隐藏的虚拟机,建立持久的反向 SSH 后门,以规避传统的端点检测。
HIGH电子邮件传播的蠕虫激增目标指向工业控制系统
2025年第四季度,由单一恶意软件驱动的全球电子邮件传播蠕虫浪潮,针对工业控制系统(ICS),标志着运营技术(OT)威胁的重大转变。
HIGHSapphire Sleet 针对 macOS 用户的假 Zoom SDK 更新
朝鲜威胁行为者 Sapphire Sleet 通过假 Zoom SDK 安装程序分发新的 macOS 恶意软件,通过多阶段社会工程活动窃取密码、加密钱包和个人数据。
CRITICALTP-Link 路由器漏洞被 Mirai 僵尸网络变种利用
攻击者正在利用 CVE-2023-33538,这是 TP-Link Archer AX21 路由器中的一个命令注入漏洞,来部署 Mirai 僵尸网络的一个变种。这场活动劫持设备进行 DDoS 攻击和凭证盗窃。
HIGHW3LL 钓鱼平台在国际执法行动中被破坏
一次协调的执法行动破坏了W3LL钓鱼即服务平台,该平台被用来全球范围内针对超过800,000个企业Microsoft 365账户。
HIGH假冒Adobe Reader下载通过内存加载器部署ScreenConnect
一项新活动通过伪装成Adobe Acrobat Reader安装程序的恶意软件来传递ConnectWise ScreenConnect,使用高级内存执行和防御规避技术以避免检测。
HIGHJanaWare 勒索软件活动六年来针对土耳其家庭和中小企业
一个名为 'JanaWare' 的勒索软件活动自至少2018年以来一直在针对土耳其家庭和中小型企业,部署了 Adwind RAT 的定制变种,在加密之前窃取凭证。
INFORMATIONALOpenAI 扩大 GPT-5.4-Cyber 在防御安全任务中的使用
OpenAI 正在扩大其 GPT-5.4-Cyber 模型的使用范围,这是一个专门用于逆向工程和恶意软件分析的人工智能,紧随 Anthropic 的进攻型 'Mythos' 模型的公布之后。此举旨在降低合法安全研究的障碍。
HIGHPowMix Botnet 针对捷克劳动力使用随机化C2流量
思科Talos研究人员识别出自2025年12月以来活跃的PowMix僵尸网络,针对捷克工作人员使用随机化C2信标以规避检测并部署额外的有效载荷。
HIGH工业控制系统在2025年第四季度面临日益增长的恶意软件、USB威胁
卡巴斯基数据显示,在2025年第四季度,33.3%的工业控制系统计算机上被阻止的恶意软件,互联网威胁和可移动媒体是主要的感染途径。面临USB传播威胁的系统比例增长到4.1%。
HIGH研究人员绘制超过1250个活跃C2服务器在俄罗斯托管提供商之间
为期三个月的调查已识别出超过1250个活跃的命令与控制服务器在165个俄罗斯托管提供商中运行,形成了一个用于恶意软件和勒索软件操作的弹性基础设施。
HIGH威胁行为者滥用谷歌云存储以规避过滤器,投递Remcos RAT
网络犯罪分子在谷歌云存储上托管钓鱼页面以绕过电子邮件安全和声誉检查,在自2026年初观察到的活动中投递Remcos远程访问木马。
HIGHUAC-0247 威胁行为者针对乌克兰医院和政府
UAC-0247 威胁行为者正在积极针对乌克兰市政医疗保健和政府机构,部署恶意软件以窃取浏览器数据、WhatsApp会话和凭证,同时在网络内部横向移动。
HIGH广告软件活动劫持DNS暴露数千个OT和政府终端
自2023年以来活跃的恶意广告软件活动劫持了超过25,000个系统的DNS设置,将流量重定向至攻击者控制的服务器,使关键OT和政府网络中的终端暴露于进一步的威胁之中。
HIGHAgingFly 恶意软件针对乌克兰政府和医院
一种名为 'AgingFly' 的新恶意软件家族正在从 Chromium 浏览器和 WhatsApp 窃取认证数据,在针对乌克兰地方政府机构和医院的定向攻击中。
HIGHEssentialPlugin WordPress Suite 被入侵部署后门影响数千网站
包含超过30个流行WordPress插件的EssentialPlugin套件已被入侵,以注入后门,使攻击者能够获得对数千个网站的管理员访问权限。供应链攻击正在被积极利用。
HIGH微软修补了允许本地权限提升的Defender零日漏洞
微软修补了CVE-2026-33825,这是微软Defender Antimalware Platform中的一个'重要'零日漏洞,允许本地攻击者将权限提升至SYSTEM。该漏洞于2026年4月14日公开披露。
HIGHMirax Android RAT 进化为代理网络和数据窃取能力
Mirax Android RAT 被提供为针对俄语系附属机构的恶意软件即服务,将欧洲的设备诱捕进住宅代理网络,同时窃取凭证和敏感数据。
HIGH签名广告软件工具使用SYSTEM权限禁用杀毒软件
一个数字签名的广告工具 'PC App Store' 被滥用来部署脚本,这些脚本使用SYSTEM权限禁用杀毒软件,影响了教育和政府等领域的数千个终端。
HIGH威胁行为者武器化n8n工作流平台进行网络钓鱼和载荷投递
自2025年10月以来,攻击者一直在滥用合法的n8n工作流自动化平台发送网络钓鱼邮件和投递恶意软件,利用其受信任的基础设施绕过电子邮件安全过滤器。
HIGHWordPress 插件供应链攻击在8个月休眠后部署后门
一个威胁行为者购买了合法的WordPress插件业务,并在更新中隐藏了一个后门长达八个月,然后激活它,在一个复杂的供应链攻击中,数千个站点被泄露。
HIGH苹果应用商店上的假冒Ledger Live应用窃取了价值950万美元的加密货币
一个通过苹果官方App Store分发的恶意Ledger Live应用通过收集恢复短语,从50名受害者那里窃取了大约950万美元。
HIGHJanela RAT 活动针对拉丁美洲金融业使用假 MSI 安装程序
一个新的活动部署了 Janela RAT,使用假 MSI 安装程序和恶意浏览器扩展来针对拉丁美洲的金融和加密货币实体进行数据盗窃。
HIGH恶意Chrome扩展劫持OAuth令牌,部署后门
官方Chrome网上应用店中有超过100个恶意扩展正在窃取Google OAuth2令牌,部署后门,并进行广告欺诈,影响数百万用户。
HIGHMirax Android RAT 窃取凭证,将手机变成代理网络的奴隶
Mirax Android RAT 窃取银行凭证,并将受感染的设备秘密地变成用于犯罪流量的住宅代理节点,创建了一个双重威胁的移动僵尸网络。
HIGHPlugX USB 蠕虫通过 DLL 侧加载进化以跨大陆传播
一种新的 PlugX USB 蠕虫变种使用 DLL 侧加载在亚洲和非洲传播,针对可移动驱动器进行初始访问并建立持久性。
MEDIUMClickFix Mac 恶意软件活动使用虚假苹果页面投放有效载荷
新的 ClickFix 风格活动针对 macOS 用户,使用虚假苹果指令运行恶意命令。
HIGHCPUID 软件下载被入侵,分发了 STX RAT 恶意软件
威胁行为者入侵了 CPUID 的下载基础设施六小时,将用户重定向到提供 STX RAT 的恶意网站。官方签名文件未受影响。
HIGHCPUID 网站被入侵以分发木马化系统工具
一个讲俄语的威胁行为者黑客入侵了CPUID网站,用木马化的安装程序替换了CPU-Z和HWMonitor的合法下载链接,这些安装程序分发了STX RAT恶意软件。
HIGH假冒 Claude AI 网站通过 DLL 侧加载传递 PlugX RAT
一个冒充 Anthropic 的 Claude AI 的欺诈网站分发了一个自删除安装程序,该安装程序通过 DLL 侧加载部署了 PlugX 远程访问木马。
HIGHJanelaRAT 进化新增反分析和数据窃取能力
卡巴斯基研究人员详细描述了一个更新的JanelaRAT活动,该活动针对拉丁美洲用户,通过钓鱼邮件提供增强的反分析、凭证窃取和远程访问能力。
HIGHJanelaRAT 恶意软件活动针对拉丁美洲金融部门
被称为 JanelaRAT 的 BX RAT 修改版本已在针对巴西和墨西哥的银行及金融机构的超过 14,000 次攻击中部署,窃取金融数据和按键记录。
HIGHLucidRook 恶意软件通过鱼叉式网络钓鱼针对台湾的非政府组织和大学
一种新的基于Lua的恶意软件LucidRook,正在针对台湾的非政府组织和大学部署,使用诱饵文档建立持久性并窃取数据。
HIGHObsidian 插件生态系统被滥用以在针对性活动中传递 PhantomPulse RAT
REF6598 威胁组织利用 Obsidian 笔记插件向金融科技与加密货币从业者投递 PhantomPulse RAT — 完整攻击链 TTP、IOC 指标与蓝队排查建议。
HIGHVIPERTUNNEL Python 后门通过假DLL和混淆加载器绕过检测
威胁行为者部署 VIPERTUNNEL,一个 Python 后门,使用假 DLL 和多阶段混淆加载器来建立隐蔽的 SOCKS5 代理隧道,以实现持久的网络访问。
HIGHAPT41 部署隐蔽后门以窃取云凭证
与中国有关的威胁行为者 APT41 正在针对 AWS、Google、Azure 和阿里巴巴云部署一种新型的、低检测率的后门,以窃取凭证并建立持久性。
HIGH被植入后门的Smart Slider 3 Pro更新通过被入侵的插件服务器部署
未知的威胁行为者入侵了Smart Slider 3 Pro WordPress插件的更新基础设施,向用户推送了一个被植入后门的版本(3.5.1.35)。这次攻击利用供应链入侵来获得管理权限。
HIGHClickFix 恶意软件活动通过脚本编辑器绕过macOS防御
一个ClickFix社会工程学活动通过使用脚本编辑器执行恶意命令来绕过macOS安全警告,标志着针对Mac的恶意软件的重大演变。
HIGH假冒Claude AI网站通过木马化安装程序传递PlugX恶意软件
一场复杂的网络钓鱼活动使用假冒的Claude AI网站分发木马化的安装程序,部署远程访问木马PlugX以建立持久的后门访问。
HIGH勒索软件团伙进化EDR规避,采用新的基于驱动程序的杀手
ESET Research 报告称勒索软件操作者正在扩大他们的EDR-killing工具库,从利用易受攻击的驱动程序转向使用合法但恶意签名的驱动程序以实现隐蔽性。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。