网络安全周刊（第1期）

1. 本周安全焦点

上周，Linux系统核心组件`apport`和`systemd-coredump`中发现的竞争条件漏洞（CVE-2025-5054 和 CVE-2025-4598）成为焦点。这些漏洞允许本地攻击者利用SUID程序读取核心转储文件，可能导致`/etc/shadow`等敏感信息的泄露。虽然利用复杂度较高，但潜在影响深远，再次强调了即使是成熟的操作系统组件也需要持续的安全审计。这提醒我们，对于处理崩溃报告和核心转储这类关键功能的系统工具，权限管理和并发控制的安全性至关重要，任何微小的疏忽都可能被利用，对系统安全构成威胁。

2. 重要资讯

2.1. 数据泄露与攻击事件

1. ConnectWise 遭遇网络攻击，疑为国家级黑客所为：
   远程访问和支持软件 ScreenConnect 的开发商 ConnectWise 披露其遭遇网络攻击，影响了少量 ScreenConnect 客户。公司已聘请 Mandiant 进行调查，并通知了受影响客户。目前尚不清楚攻击是否与先前披露的 ScreenConnect 漏洞 CVE-2025-3935 有关。
2. DragonForce 利用 SimpleHelp 漏洞部署勒索软件：
   DragonForce 勒索软件攻击者入侵了一家托管服务提供商 (MSP) 的 SimpleHelp 远程监控和管理 (RMM) 工具，并利用其向多个客户终端渗透数据并部署勒索软件。攻击者据信利用了 SimpleHelp 中1月份披露的三个漏洞（CVE-2024-57727, CVE-2024-57728, CVE-2024-57726）。
3. 俄罗斯黑客利用伪造的微软 Entra 页面通过 Evilginx 钓鱼攻击20多个非政府组织：
   与俄罗斯相关的威胁组织 Void Blizzard (又名 Laundry Bear) 被发现针对欧洲和北美的政府、国防、交通、媒体、非政府组织 (NGO) 和医疗等关键部门进行间谍活动。该组织利用窃取的登录凭证或通过 Evilginx 钓鱼工具包制作的虚假微软 Entra 认证门户网站进行攻击。荷兰国防情报与安全局(MIVD)亦将 Void Blizzard 与2024年9月荷兰警方某雇员账户遭“传递Cookie”攻击事件关联。
4. 黑客冒充IT部门电话诈骗，FBI就 Luna Moth 隐蔽钓鱼活动向律师事务所发出警告：
   美国联邦调查局 (FBI) 警告称，名为 Luna Moth (又名 Chatty Spider, Silent Ransom Group) 的勒索软件组织在过去两年中一直针对律师事务所发起社会工程学攻击。该组织通过IT主题的社工电话和回拨式钓鱼邮件获取远程访问权限，窃取敏感数据并进行勒索。自2025年3月起，该组织策略转变为直接致电目标，冒充公司IT部门员工诱骗受害者加入远程访问会话。
5. 某国家背景的黑客利用 SAP 和 SQL Server 漏洞攻击亚洲和巴西组织：
   一个被追踪为 Earth Lamia 的威胁行为者，自2023年以来一直针对巴西、印度和东南亚的组织进行攻击。该组织主要利用 Web 应用程序中的 SQL 注入漏洞访问目标组织的 SQL 服务器，并利用各种已知漏洞攻击面向公众的服务器。其目标行业从金融服务转向物流、在线零售，最近又转向IT公司、大学和政府组织。该组织还与利用 SAP NetWeaver 严重漏洞 CVE-2025-31324 的活动有关。
6. 俄罗斯黑客利用带宏的Word文档攻击塔吉克斯坦政府：
   与俄罗斯结盟的威胁组织TAG-110（又名UAC-0063）被观察到针对塔吉克斯坦发起鱼叉式钓鱼攻击，使用启用宏的Word模板作为初始有效载荷。这标志着该组织策略的转变，此前他们主要使用名为HATVIBE的HTA加载程序。
7. 员工搜索薪资门户网站时被骗，工资被转给黑客：
   一项新的攻击活动利用搜索引擎优化（SEO）中毒技术，针对员工移动设备进行薪资欺诈。攻击者创建虚假的薪资门户登录页面，诱骗员工输入凭证，随后访问真实的薪资系统，将员工工资重定向到攻击者控制的账户。攻击流量通过受感染的家庭办公路由器和移动网络进行伪装。
8. 某国家背景的APT41利用谷歌日历进行恶意软件命令与控制操作：
   某国家背景的威胁组织APT41被发现利用名为TOUGHPROGRESS的恶意软件，该恶意软件使用谷歌日历进行命令与控制（C2）。该恶意软件托管在一个受感染的政府网站上，并针对多个其他政府实体。恶意软件通过网络钓鱼邮件传播，利用LNK文件启动多阶段攻击链，最终使用谷歌日历事件的描述字段存储窃取的数据和接收命令。

2.2. 漏洞预警与分析

1. Linux apport 和 systemd-coredump 存在信息泄露漏洞：
   在 Ubuntu、Red Hat Enterprise Linux 和 Fedora 使用的核心转储处理程序 apport 和 systemd-coredump 中发现了两个信息泄露漏洞（CVE-2025-5054 和 CVE-2025-4598）。这些竞争条件漏洞可能使本地攻击者能够利用 SUID 程序并获得对核心转储文件的读取权限，从而泄露敏感信息，如 `/etc/shadow` 文件内容。
2. 微软 OneDrive 文件选择器漏洞可能导致应用获得完整的云访问权限：
   微软 OneDrive 文件选择器存在一个安全漏洞，可能允许网站访问用户的全部云存储内容，而非仅仅是用户选择上传的文件。原因是 OAuth 范围过于宽泛以及误导性的同意屏幕未能明确说明授予的访问权限程度。ChatGPT, Slack, Trello, 和 ClickUp 等应用均受影响。
3. Craft CMS 漏洞 CVE-2025-32432 被 Mimo 黑客利用部署加密货币矿工和代理软件：
   一个以经济利益为动机的威胁行为者被观察到利用最近披露的 Craft CMS 远程代码执行漏洞 CVE-2025-32432 来部署多种有效载荷，包括加密货币矿工、名为 Mimo Loader 的加载器以及住宅代理软件。
4. 251个亚马逊托管IP被用于针对 ColdFusion、Struts 和 Elasticsearch 的漏洞扫描：
   研究人员披露了一项协调的基于云的扫描活动，该活动于5月8日针对75个不同的“暴露点”。该活动涉及多达251个恶意IP地址，这些IP地址均位于日本并由亚马逊托管，目标技术包括 Adobe ColdFusion (CVE-2018-15961)、Apache Struts (CVE-2017-5638)、Elasticsearch (CVE-2015-1427) 等。
5. 超过10万 WordPress 网站面临 Wishlist 插件 CVE-2025-47577 (CVSS 10.0) 严重漏洞风险：
   影响 TI WooCommerce Wishlist WordPress 插件（10万+活跃安装量）的一个严重未修补安全漏洞 CVE-2025-47577 被披露，该漏洞允许未经身份验证的攻击者上传任意文件。漏洞影响2.9.2及以下版本，目前尚无补丁。由于利用条件需要 WC Fields Factory 插件处于激活状态，实际受影响范围可能较小。
6. 其他值得关注的漏洞：

• Ivanti EPMM (前称 MobileIron Core): CVE-2025-4427 (认证绕过), CVE-2025-4428 (路径遍历)
• SAP NetWeaver: CVE-2025-31324 (未经身份验证的文件上传)
• GitLab (Duo Chat): CVE-2025-4836 (间接提示注入), CVE-2025-4837 (HTML注入)
• Versa Concerto: CVE-2025-34025, CVE-2025-34026, CVE-2025-34027
• RomethemeKit For Elementor WordPress 插件: CVE-2025-30911
• pfSense: CVE-2024-57273, CVE-2024-54780, CVE-2024-54779
• VMware Cloud Foundation: CVE-2025-41229
• Motors WordPress 主题: CVE-2025-4322
• OpenPGP.js: CVE-2025-47934
• PowerDNS: CVE-2025-30193
• GitLab: CVE-2025-0993
• AutomationDirect MB-Gateway: CVE-2025-36535
• Samlify: CVE-2025-47949
• BIND DNS: CVE-2025-40775
• Cisco Identity Services Engine: CVE-2025-20152
• Grafana: CVE-2025-4123
• Google Chrome: CVE-2025-5063
• Linux Kernel (SMB): CVE-2025-37899
• Netwrix Password Secure: CVE-2025-26817
• ModSecurity: CVE-2025-47947
• Canon Printers: CVE-2025-3078, CVE-2025-3079
• NETGEAR: CVE-2025-4978
• DICOM 标准: CVE-2019-11687 (允许在医学图像文件中嵌入恶意代码)
• Apache Struts2: CVE-2017-9805
• GitLab: CVE-2021-22205
• WordPress File Upload 插件: CVE-2024-9047
• JetBrains TeamCity: CVE-2024-27198, CVE-2024-27199
• CyberPanel: CVE-2024-51378, CVE-2024-51567
• Craft CMS: CVE-2024-56145 (此为Earth Lamia利用的另一个Craft CMS漏洞，与Mimo利用的CVE-2025-32432不同)

2.3. 恶意软件与威胁情报

1. 新型 EDDIESTEALER 恶意软件绕过 Chrome 应用绑定加密窃取浏览器数据：
   一种新的基于 Rust 的信息窃取恶意软件 EDDIESTEALER 通过流行的 ClickFix 社会工程策略（利用虚假 CAPTCHA 验证页面）进行分发。该恶意软件能够收集凭证、浏览器信息和加密货币钱包详情，并能利用 Rust 版的 ChromeKatz 工具绕过 Chromium 的应用绑定加密技术。
2. 网络犯罪分子利用伪装成流行工具的恶意软件加载器针对AI用户：
   攻击者正使用伪装成 OpenAI ChatGPT 和 InVideo AI 等流行人工智能工具的虚假安装程序作为诱饵，传播 CyberLock 和 Lucky_Gh0$t (Yashma变种) 勒索软件，以及一种名为 Numero 的新型破坏性恶意软件。这些恶意软件主要针对B2B销售和市场营销领域的个人和组织。
3. 新型 Windows RAT 利用损坏的 DOS 和 PE 头逃避检测数周：
   研究人员发现一种不寻常的网络攻击，其利用的恶意软件具有损坏的 DOS 和 PE 头，以逃避分析和检测。该恶意软件在受感染机器上已运行数周，是一个64位PE文件，一旦执行，会解密内存中存储的C2域名信息，并与服务器 (rushpapers[.]com) 建立TLS加密通信，具有截屏、枚举和操作服务等RAT功能。
4. 新型 PumaBot僵尸网络针对Linux物联网设备窃取SSH凭证并进行加密货币挖矿：
   一种名为 PumaBot 的新型Go语言僵尸网络正针对基于嵌入式Linux的物联网(IoT)设备。它通过从C2服务器获取目标列表并暴力破解SSH凭证进行传播，成功后会接收远程命令、建立持久性，并可能被用于非法加密货币挖矿（如XMRig）。
5. 新型自传播恶意软件感染Docker容器进行Dero加密货币挖矿：
   配置错误的Docker API实例成为一种新型恶意软件活动的目标，该活动将其转变为加密货币挖矿僵尸网络。该攻击旨在挖掘Dero币，并具有蠕虫般的传播能力，利用名为 "nginx" 的Go语言传播恶意软件扫描暴露的Docker API（默认端口2375）并感染其他实例，同时部署名为 "cloud" 的Dero矿机。
6. 黑客利用TikTok视频通过ClickFix技术传播Vidar和StealC恶意软件：
   Latrodectus恶意软件（被认为是IcedID的后继者）成为最新采用广泛使用的社会工程技术ClickFix作为分发媒介的恶意软件。同时，一种新的社工活动利用AI生成的TikTok视频，诱骗用户运行恶意命令（声称可激活Windows、Office、CapCut、Spotify等盗版软件）来传播Vidar和StealC信息窃取器。
7. 发现70多个恶意npm和VS Code扩展包窃取数据和加密货币：
   在npm包注册表中发现了多达60个恶意包，它们具有收集主机名、IP地址、DNS服务器和用户目录等信息并发送到Discord控制端点的恶意功能。此外，还有8个npm包伪装成流行JS框架的辅助库，但会部署破坏性负载。VS Code市场也发现了针对Solidity开发者的恶意扩展（solaibot, among-eth, blankebesxstnion），用于窃取加密货币钱包凭证。
8. 网络犯罪分子克隆杀毒软件网站传播Venom RAT并窃取加密货币钱包：
   一个新的恶意活动利用一个冒充Bitdefender杀毒软件的虚假网站 (bitdefender-download[.]com) 来诱骗受害者下载Venom RAT。该RAT变种自Quasar RAT，具有数据收集和持久远程访问功能，并结合了StormKitty窃密软件和SilentTrinity后渗透框架的代码。
9. PureCrypter恶意软件即服务(MaaS)分发Lumma和Rhadamanthys窃密软件：
   名为PureCrypter的MaaS解决方案被用于通过ClickFix初始访问向量分发Lumma和Rhadamanthys等信息窃取器。该服务由名为PureCoder的威胁行为者在Hackforums上销售，并通过Telegram机器人@ThePureBot分发，该机器人还销售PureRAT和PureLogs等其他恶意软件。PureCrypter包含多种逃避技术，包括绕过AMSI、DLL脱钩、反虚拟机检测、反调试措施，以及通过修补NtManageHotPatch API来绕过Windows 11 24H2安全功能。
10. 恶意浏览器扩展和“浏览器中的浏览器”攻击日益增多：
    研究表明，恶意浏览器扩展和“浏览器中的浏览器”(BitB)攻击正成为窃取会话令牌和绕过MFA的流行手段。这些攻击通过钓鱼诱骗用户安装恶意扩展或在受控的浏览器环境中操作，从而捕获认证后的会话信息。

2.4. 网络犯罪与执法行动

1. 美国制裁 Funnull 公司，因其涉及2亿美元与加密货币欺诈相关的“杀猪盘”骗局：
   美国财政部外国资产控制办公室 (OFAC) 对菲律宾公司 Funnull Technology Inc. 及其管理员 Liu Lizhi 实施制裁，原因是该公司为进行“杀猪盘”骗局提供基础设施，导致巨额加密货币损失。Funnull 被指控为数千个涉及虚拟货币投资诈骗的网站提供便利，导致美国受害者损失超过2亿美元。该公司还被指与Polyfill.io供应链攻击有关。
2. 伊朗黑客承认参与对巴尔的摩市价值1900万美元的 Robbinhood 勒索软件攻击：
   一名伊朗国民 Sina Gholinejad (又名 Sina Ghaaf) 在美国承认参与了一项涉及 Robbinhood 勒索软件的国际勒索计划。他与其同伙被指控入侵美国多个组织的网络，使用 Robbinhood 勒索软件加密文件并索要比特币赎金，导致巴尔的摩市损失超1900万美元。
3. Lumma Stealer 和 DanaBot 操作被捣毁：
   多家私营公司和执法机构联合行动，成功摧毁了与Lumma Stealer和DanaBot恶意软件相关的基础设施。针对16名涉嫌参与DanaBot开发和部署的个人提起了诉讼。同时，约2300个充当Lumma信息窃取器命令与控制(C2)骨干的域名被查封，另有300台服务器被关闭，650个用于发动勒索软件攻击的域名被清除。
4. 苹果公司在过去五年中阻止了90亿美元的欺诈交易：
   苹果公司透露，在过去五年中，其App Store阻止了超过90亿美元的欺诈交易，仅2024年就超过20亿美元。公司还终止了超过4.6万个开发者账户，并拒绝了13.9万个开发者注册，以防止恶意行为者提交应用。2024年，苹果拒绝了超过190万次App Store提交，移除了超过3.7万个欺诈应用。
5. 美国司法部在全球行动中查封了4个支持网络犯罪加密服务的域名：
   作为Operation Endgame的一部分，美国司法部与荷兰和芬兰当局合作，查封了AvCheck[.]net, Cryptor[.]biz, 和 Crypt[.]guru 等4个域名及其相关服务器。这些服务为网络犯罪分子提供反杀毒(CAV)和加密工具，使其恶意软件难以被检测。
6. Meta 瓦解了针对罗马尼亚、阿塞拜疆和台湾等地的影响力行动：
   Meta 在2025年第一季度瓦解了三个源自伊朗、某亚洲国家和罗马尼亚的秘密影响力行动。这些行动利用虚假账户和页面在Meta平台、TikTok、X和YouTube等多个平台上针对特定地区受众发布内容，试图影响当地舆论和选举。其中，针对阿塞拜疆和土耳其的行动与已知的Storm-2035活动集群有关。

3. 技术剖析

1. EDDIESTEALER恶意软件分析

本周出现的新型信息窃取器EDDIESTEALER展示了复杂的攻击技术，值得深入分析其攻击链和规避手段：

攻击流程：

1. 初始入侵 (ClickFix策略):

• 攻击者首先入侵合法网站，并注入恶意JavaScript有效载荷。
• 当用户访问这些受感染网站时，会看到一个虚假的CAPTCHA验证页面。
• 该页面会诱导用户按照三步流程操作：“证明你不是机器人”。这通常包括打开Windows运行对话框，粘贴一个已复制的命令，然后按Enter执行。

• 用户执行的命令实际上是一个混淆的PowerShell命令。
• 此PowerShell命令会从外部服务器（如 llll[.]fit）下载下一阶段的有效载荷。

• 下载的JavaScript载荷（例如 "gverify.js"）被保存到受害者的下载文件夹，并使用cscript在隐藏窗口中执行。
• 这个中间脚本的主要目的是从同一远程服务器获取EDDIESTEALER的二进制文件。

• EDDIESTEALER二进制文件以一个伪随机的12字符文件名保存在下载文件夹中并执行。

EDDIESTEALER核心特性：

• Rust语言编写:
   利用Rust语言的现代特性，可能旨在增强隐蔽性、稳定性和对抗传统分析工具的能力。
• 信息窃取:
   收集系统元数据、浏览器信息（包括绕过Chromium应用绑定加密窃取Cookie）、加密货币钱包详情、密码管理器数据、FTP客户端信息和即时通讯应用数据。这些目标可通过C2服务器配置。
• C2通信:
   收集的信息被加密并通过HTTP POST请求发送到C2服务器。较新版本在接收任务配置前会预先发送主机信息。
• 规避技术:
• 字符串加密。
• 自定义WinAPI查找机制来解析API调用。
• 创建互斥锁以确保只有一个实例运行。
• 沙箱检测：如果检测到在沙箱环境中运行，则会自我删除。
• 自我删除：利用NTFS备用数据流重命名技术绕过文件锁定进行自我删除（类似Latrodectus）。
• 绕过Chrome应用绑定加密:
   集成了ChromeKatz（一个开源工具，可从Chromium浏览器内存中转储Cookie和凭证）的Rust实现版本。如果目标浏览器未运行，它会以屏幕外不可见的方式启动一个新的浏览器实例，以便读取网络服务子进程的内存并提取凭证。
• 远程调试利用:
   较新版本会使用 `--remote-debugging-port=` 标志启动新的Chrome进程，通过本地WebSocket接口启用DevTools协议，以无头方式与浏览器交互，无需用户交互。

EDDIESTEALER的出现表明，攻击者在利用社会工程学、多阶段部署、高级编程语言以及针对特定浏览器安全机制的绕过技术方面正不断演进。

2. 自传播Docker挖矿恶意软件分析

近期发现一种针对配置错误的Docker API实例的新型恶意软件活动，该活动旨在将这些实例转变为Dero加密货币挖矿僵尸网络的一部分。其主要特点是具备蠕虫般的自传播能力。

攻击组件与流程：

1. 初始访问:

• 攻击者利用暴露在互联网上且未安全配置的Docker API（通常是默认端口2375）获得初始访问权限。

• 记录恶意软件的运行活动。
• 启动挖矿模块。
• 进入无限循环，生成随机IPv4子网，扫描其他暴露了Docker API端口2375的实例。

• nginx (传播模块):
   一个用Golang编写的恶意程序，伪装成合法的nginx Web服务器。其主要功能是：
• cloud (挖矿模块):
   Dero加密货币挖矿程序，同样用Golang编写，基于开源的DeroHE CLI矿工。

• "nginx"模块扫描到易受攻击的远程Docker实例后，会检查其dockerd守护进程是否正在运行且响应。
• 如果响应，它会生成一个随机的12字符容器名，并在远程目标上创建一个恶意容器。
• 通过 `docker -H exec apt-get -yq update` 更新新容器中的包，为后续安装依赖做准备。
• 在新容器中安装 `masscan`（用于外部扫描）和 `docker.io`（允许恶意软件与Docker守护进程交互）。
• 使用 `docker -H cp -L /usr/bin/ :/usr/bin` 命令将 "nginx" 和 "cloud" 两个恶意载荷传输到新创建的容器中。
• 恶意软件特别针对基于Ubuntu的正在运行的容器进行感染。

• 传输的 "nginx" 二进制文件被添加到 `/root/.bash_aliases` 文件中，以确保在shell登录时自动启动。

• 执行 "cloud" 模块，利用受害主机的资源进行Dero加密货币挖矿。

值得注意的特点：

• 无C2服务器依赖传播：
   恶意软件的传播不依赖于传统的C2服务器进行指令下发，而是通过扫描和直接利用暴露的API进行横向移动。
• 伪装：
   恶意软件组件（如"nginx"）试图模仿合法系统文件以逃避检测。
• 针对性：
   尽管主要感染Ubuntu容器，但其扫描和利用机制使其对任何暴露Docker API的网络都构成潜在威胁。

此恶意软件活动突显了保护容器化环境和正确配置API端点的重要性，以防止未经授权的访问和资源滥用。

3. Linux核心转储处理程序漏洞剖析 (CVE-2025-5054, CVE-2025-4598)

在Linux系统的核心转储处理程序`apport`（Ubuntu）和`systemd-coredump`（RHEL, Fedora等）中发现了两个竞争条件漏洞，可能导致本地攻击者泄露敏感信息。

漏洞描述：

• CVE-2025-5054 (apport):
   该漏洞存在于Canonical apport包（最高至2.32.0版本）。本地攻击者可以通过PID重用（利用命名空间）来触发竞争条件，从而泄露敏感信息。当一个特权进程崩溃时，如果攻击者能迅速用一个位于不同挂载和PID命名空间内、具有相同PID的非特权进程替换它，apport在进行一致性检查前，可能会错误地将包含敏感信息的核心转储转发到该命名空间。
• CVE-2025-4598 (systemd-coredump):
   该漏洞允许攻击者强制一个SUID进程崩溃，并将其替换为一个非SUID的二进制文件，从而访问原始特权进程的核心转储。这可能导致攻击者读取如`/etc/shadow`文件内容等由原始进程加载的敏感数据。

攻击原理与影响：

SUID（Set User ID）是一种特殊的文件权限，允许用户以文件所有者的权限（通常是root）执行程序。这些漏洞的关键在于，攻击者可以在特权SUID程序崩溃并生成核心转储的短暂间隙，操纵PID或文件系统，使得核心转储处理程序错误地将本应受保护的核心转储文件暴露给攻击者控制的进程或位置。

Qualys的研究人员已开发了针对这两个漏洞的PoC，演示了如何通过利用`unix_chkpwd`进程（用于验证用户密码）崩溃产生的核心转储来获取`/etc/shadow`文件中的密码哈希。

缓解措施：

Red Hat建议用户可以通过以root用户身份运行命令 `echo 0 > /proc/sys/fs/suid_dumpable` 来禁用系统为SUID二进制文件生成核心转UFF。`suid_dumpable`参数控制SUID程序崩溃时是否产生核心转储。将其设置为0会禁止所有SUID程序的核心转储，从而缓解此漏洞，但代价是无法分析此类二进制文件的崩溃。

影响范围与修复：

多个Linux发行版如Amazon Linux, Debian, Gentoo等已发布相关安全通告。Debian系统默认不受CVE-2025-4598影响，除非手动安装了`systemd-coredump`包。Ubuntu版本不受CVE-2025-4598影响。Canonical表示CVE-2025-5054的影响仅限于被调用的SUID可执行文件的内存空间机密性。

这些漏洞的发现强调了即使在看似成熟的操作系统组件中，竞争条件等微妙的编程缺陷也可能导致严重的安全问题，特别是在处理涉及特权操作和敏感数据的场景时。

4. 工具与资源

1. ChromeKatz:
    一个开源工具，能够从基于Chromium的浏览器的内存中转储Cookie和凭证。EDDIESTEALER集成了其Rust实现版本。相关项目可参考：https://github.com/Meckazin/ChromeKatz
2. Latrodectus Self-Deletion PoC:
    EDDIESTEALER的自我删除技术与Latrodectus恶意软件中观察到的类似，相关PoC可参考：https://github.com/LloydLabs/delete-self-poc/tree/main
3. ChromeAppBound-key-injection:
    Katz Stealer使用的DLL注入技术，用于获取Chrome应用绑定加密密钥。相关项目：https://github.com/SilentDev33/ChromeAppBound-key-injection
4. Chrome-App-Bound-Encryption-Decryption:
    与Chrome应用绑定加密解密相关的研究或工具。相关项目：https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption/
5. Evilginx:
    一个开源的网络钓鱼工具包，常被用于创建中间人攻击（AitM）的钓鱼页面，以窃取凭证和会话Cookie。Void Blizzard组织在针对非政府组织的攻击中使用了该工具。项目地址：https://github.com/kgretzky/evilginx2
6. DeroHE CLI Miner:
    一个开源的Dero加密货币命令行界面矿工，自传播Docker恶意软件基于此进行挖矿。
7. PyBitmessage:
    一个点对点（P2P）通信协议的Python实现，近期有报道称被一种新型后门用于处理传入指令。相关项目：https://github.com/Bitmessage/PyBitmessage
8. Gh0st RAT:
    一款知名的远程访问木马，Winos 4.0恶意软件框架基于其构建。
9. ALCATRAZ Obfuscator:
    一个开源的.NET混淆器，DOUBLELOADER恶意软件利用其进行混淆。项目地址：https://github.com/weak1337/Alcatraz
10. ScriptSentry:
     一个免费工具，用于扫描环境中危险的登录脚本配置错误，如明文凭证、不安全的文件/共享权限等。
11. Aftermath:
     一个基于Swift的开源macOS事件响应工具，用于收集和分析取证数据。项目地址：https://github.com/jamf/aftermath
12. AI Red Teaming Playground Labs:
     一个开源的AI红队演练实验室，包含针对AI系统的动手挑战。项目地址：https://github.com/microsoft/AI-Red-Teaming-Playground-Labs
13. Pusher:
     一个用于构建实时功能的API服务，被发现用于在薪资欺诈攻击中向攻击者推送被盗凭证的通知。官方网站：https://pusher.com
14. W3LL Phishing Kit:
     一个被用于创建虚假Adobe共享文件服务页面的钓鱼工具包，用于窃取Outlook凭证。
15. Apport:
     Ubuntu的应用程序崩溃报告系统。官方维基：https://wiki.ubuntu.com/Apport
16. systemd-coredump:
     systemd的组件，用于处理核心转储。文档：systemd-coredump man page
17. Sliver C2 Framework:
     一个开源的命令与控制框架，KrustyLoader恶意软件已知会投递此框架。项目地址：https://github.com/BishopFox/sliver

5. 言论

1. "这些竞争条件允许本地攻击者利用一个SUID程序，并获得对由此产生的核心转储的读取权限。"—— Saeed Abbasi, Qualys TRU (关于Linux核心转储漏洞)
2. "利用Apport和systemd-coredump中的漏洞可能会严重危及机密性，因为攻击者可以从核心转储中提取敏感数据，如密码、加密密钥或客户信息。"—— Saeed Abbasi, Qualys TRU
3. "网络犯罪分子不仅仅创造恶意软件；他们将其完善以实现最大程度的破坏。通过利用反杀毒服务，恶意行为者针对世界上最强大的安全系统改进其武器，以便更好地绕过防火墙，逃避取证分析，并在受害者系统中造成严重破坏。"—— Douglas Williams, FBI休斯顿特工负责人 (关于加密服务打击行动)
4. "这种恶意软件活动利用欺骗性的CAPTCHA验证页面诱骗用户执行恶意PowerShell脚本，最终部署信息窃取器，收集敏感数据，如凭证、浏览器信息和加密货币钱包详情。"—— Jia Yu Chan, Elastic Security Labs (关于EDDIESTEALER)
5. "在恶意软件开发中采用Rust语言反映了威胁行为者日益增长的趋势，他们试图利用现代语言特性来增强隐蔽性、稳定性和对抗传统分析工作流程及威胁检测引擎的能力。"—— Elastic (关于EDDIESTEALER)
6. "网络犯罪分子现在正在使用可能由AI工具生成的TikTok视频，通过社交工程手段诱使用户执行PowerShell命令，伪装成指导他们激活合法软件或解锁高级功能。"—— Junestherry Dela Cruz, Trend Micro (关于利用TikTok传播恶意软件)
7. "该僵尸网络代表了一种持久性的基于Go语言的SSH威胁，它利用自动化、凭证暴力破解和原生Linux工具来获取并维持对受感染系统的控制。"—— Darktrace (关于PumaBot)
8. "在分析应用程序崩溃时，apport会尝试检测崩溃的进程是否在容器内运行，然后再对其执行一致性检查。这意味着，如果本地攻击者成功诱使特权进程崩溃，并迅速用另一个具有相同进程ID且位于挂载和pid命名空间内的进程替换它，apport将尝试将核心转储（可能包含属于原始特权进程的敏感信息）转发到该命名空间。"—— Octavio Galland, Canonical (关于CVE-2025-5054)
9. "虽然这在无法更新systemd包时可以缓解此漏洞，但它禁用了分析此类二进制文件崩溃的能力。"—— Red Hat (关于CVE-2025-4598的缓解措施)
10. "Earth Lamia正在多个国家和行业中以积极的意图开展其行动。与此同时，该威胁行为者通过开发自定义黑客工具和新的后门程序，不断完善其攻击策略。"—— Joseph C Chen, Trend Micro (关于Earth Lamia)