每周高级威胁情报解读(2025.08.22~08.28)

披露时间：2025年8月28日

情报来源：https://mp.weixin.qq.com/s/9dLrdbWQ81QQMYKZ5Yh0Bg

相关信息：

Lazarus（APT-Q-1）是一个具有东北亚背景的高级持续性威胁（APT）组织，自 2007 年以来一直活跃，曾因攻击索尼影业而闻名。该组织近期被发现利用 ClickFix 手法，通过虚假招聘网站诱导受害者下载恶意软件。攻击过程中，受害者被引导运行伪装成 Nvidia 驱动更新的恶意脚本，这些脚本会进一步部署 Node.js 环境并执行 BeaverTail 窃密软件。对于 Windows 11 系统，攻击者还会部署一个名为 drvUpdate.exe 的后门程序，用于执行命令和读写文件。此次攻击不仅涉及 Windows 系统，还扩展到 macOS 系统。攻击链包括多个阶段，从初始的 ClickFix-1.bat 脚本到最终的恶意软件部署，整个过程利用了社会工程学手段，诱导受害者主动运行恶意代码。

披露时间：2025年8月26日

情报来源：https://news.drweb.com/show/?i=15046&lng=en&c=5

相关信息：

Insikt Group 发现 TAG-144（Blind Eagle）自 2024 年 5 月至 2025 年 7 月间针对南美组织的多波攻击活动。该组织利用五个不同的活动集群，通过钓鱼邮件、伪装成政府通知的恶意文档和动态域名服务（如 DuckDNS）传播多种远程控制木马（如 AsyncRAT、DcRAT、REMCOS RAT）。攻击链涉及利用合法互联网服务（如 GitHub、Discord、Google Drive）托管恶意载荷，通过图片隐写术隐藏恶意代码，躲避检测。TAG-144 主要针对哥伦比亚政府机构，包括司法、税务、能源等部门，同时波及教育、医疗、石油等行业。攻击者通过伪装成政府机构的钓鱼邮件，诱导受害者下载恶意文件，进而实现远程控制、信息窃取和横向移动。

披露时间：2025年8月22日

情报来源：https://mp.weixin.qq.com/s/ItcbKuoH0KjJjzSTG7YSrA

相关信息：

360 威胁情报中心披露 APT-C-08（蔓灵花）组织新载荷 gmRAT，样本 执行后连接 C2 服务器，上线并发送主机基本信息。其支持多种指令，可实现目录操作、文件管理、进程控制、命令执行、屏幕截取等功能。同期，研究人员还捕获了与该样本代码基本一致的同类样本，该样本在 2025 年 5 月 23 日被上传至 VT，查杀率较低，显示出较好的免杀性

披露时间：2025年8月21日

情报来源：https://www.cloudsek.com/blog/investigation-report-apt36-malware-campaign-using-desktop-entry-files-and-google-drive-payload-delivery

相关信息：

CloudSEK 发现 APT36（Transparent Tribe）近期对印度政府及国防机构发动精准钓鱼。攻击者将恶意 ZIP 中的 .desktop 文件伪装成采购文档，用户双击后自动从 Google Drive 拉取并解码 hex-encoded ELF 载荷，写入 /tmp 并以当前时间戳命名，随后赋权执行并弹出诱饵 PDF 掩人耳目。该 ELF 载荷是一个 Go 二进制文件，具备抗调试、反沙箱、随机休眠与 WebSocket 回连功能。APT36利用Google Drive域名白名单与Linux图形环境信任链规避网关检测，同时通过 X-GNOME-Autostart-enabled 实现会话级持久化。

披露时间：2025年8月20日

情报来源：https://hunt.io/blog/apt-muddywater-deploys-multi-stage-phishing-to-target-cfos

相关信息：

MuddyWater组织正在通过复杂的网络钓鱼活动，针对全球的首席财务官（CFO）和财务高管。攻击者伪装成Rothschild & Co的招聘人员，通过Firebase托管的网络钓鱼页面和自定义验证码挑战，诱导受害者下载恶意VBS脚本和多阶段有效载荷。这些脚本会安装NetBird和OpenSSH，创建隐藏的本地管理员账户，启用远程桌面协议（RDP），并设置计划任务以实现持久化。研究人员发现，攻击者利用了多个Firebase/Web App域名，这些域名使用相同的网络钓鱼工具包和AES加密的重定向逻辑。此外，攻击者滥用合法工具NetBird和AteraAgent.exe进行远程访问和监控。

披露时间：2025年8月27日

情报来源：https://mp.weixin.qq.com/s/BUDSvqc_DhBNad71kI2VuA

相关信息：

黑产组织 UTG-Q-1000 是一个活跃的黑产组织，其“财务组”专门针对企事业单位的财务人员和管理人员，通过制作高度仿真的钓鱼内容实施攻击。近期，该团伙利用国家育儿补贴政策的热度，架设大量钓鱼网站，群发钓鱼二维码，伪造补贴申领页面和虚假政策解读文档，诱骗受害者填写身份信息、银行卡信息等。钓鱼页面通过复杂的加密和动态加载技术规避检测，攻击者还利用合法商业软件的功能进行“白利用”攻击，显示出高超的隐蔽技巧。受害者信息被收集后，攻击者通过盗刷银行卡获利。此外，该团伙还使用“银狐”远控木马和多种远控软件后台，通过微信群钓鱼话术和社交工程学手段扩大攻击范围。

披露时间：2025年8月26日

情报来源：https://research.checkpoint.com/2025/zipline-phishing-campaign/#single-post

相关信息：

Check Point 发现 ZipLine 钓鱼活动，攻击者通过目标公司官网的“联系我们”表单发起沟通，诱导受害者主动回复邮件，建立信任后发送伪装成保密协议的恶意 ZIP 文件。ZIP 包含 PowerShell 脚本，执行后加载自定义内存植入物 MixShell，通过 DNS TXT 隧道与 C2 通信，支持文件操作、命令执行与反向代理。攻击者还利用 Heroku 平台托管恶意 ZIP，使用与美国公司匹配的域名和模板网站增强可信度。该活动涉及多个行业，以美国企业为主，攻击者通过长期邮件互动绕过防护，其动机可能与获取高价值数据或供应链信息有关。

披露时间：2025年8月27日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/08/27/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware/

相关信息：

微软威胁情报中心观察到攻击者Storm-0501不断演变其攻击策略，专注于基于云的攻击技术。与传统本地勒索软件不同，Storm-0501利用云原生能力快速窃取大量数据并销毁备份，而无需部署传统恶意软件。Storm-0501的攻击目标包括教育和医疗行业，其攻击手段包括利用混合云环境中的安全漏洞，通过Active Directory和Microsoft Entra ID进行权限提升，并在云环境中建立持久化机制。攻击者通过恶意添加联合域来绕过身份验证，并利用Azure的管理权限删除或加密数据以实现勒索目的。文章详细描述了Storm-0501的攻击链，包括本地环境的入侵、云环境的权限提升、数据泄露和销毁等阶段。

披露时间：2025年8月27日

情报来源：https://www.group-ib.com/blog/shadowsilk/

相关信息：

Group-IB披露，威胁组织“ShadowSilk”近期针对中亚及亚太地区35家机构发动网络攻击，主要目标为政府部门，亦涉及能源、制造、零售与交通等行业。该组织与YoroTrooper、Silent Lynx等威胁活动存在工具与基础设施重叠。攻击者通过鱼叉式钓鱼邮件投递加密压缩包，利用自定义加载器并借助Telegram机器人隐藏C2通信，随后部署远控木马与后渗透工具，窃取凭据与敏感数据。攻击还结合Drupal与WordPress漏洞，以及Cobalt Strike、Metasploit等渗透工具，具备跨语言多子组织特征，展现出跨区域、隐蔽性强的威胁能力。

披露时间：2025年8月25日

情报来源：https://www.fortinet.com/blog/threat-research/phishing-campaign-targeting-companies-via-upcrypter

相关信息：

FortiGuard Labs识别了一起针对公司的网络钓鱼活动，该活动利用精心设计的电子邮件和恶意URL，通过UpCrypter恶意软件部署了多种远程访问工具（RATs）。攻击链从一个小型混淆脚本开始，将受害者重定向到个性化的钓鱼页面，这些页面通过显示目标公司的电子邮件域名和公司标志来增强可信度。活动中有多个主题变体，包括“未接来电”和“采购订单”，附件中包含HTML文件，这些文件通过Base64编码和XOR操作生成恶意链接，将受害者引导至下载恶意JavaScript文件的页面。这些JavaScript文件作为dropper，最终部署了UpCrypter恶意软件。UpCrypter通过多层混淆和反分析技术，下载并执行多个RATs，如PureHVNC、DCRat和Babylon RAT，使攻击者能够完全控制受感染的系统。该活动具有全球影响力，影响了包括制造业、技术、医疗保健、建筑和零售/酒店业在内的多个行业。

披露时间：2025年8月27日

情报来源：https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor/

相关信息：

2025年6月6日，Xlab监测到一个名为dst86.bin的可疑ELF文件，该文件被误标为Mirai僵尸网络，但实际是一个全新的后门木马MystRodX。MystRodX由C++实现，支持文件管理、端口转发、反弹SHELL等功能，其特点在于隐匿性和灵活性。它对不同级别的敏感信息采用差异化加密策略，如单字节XOR和自定义Transform算法，并能根据配置动态开启功能。最独特的是其被动唤醒模式，可通过特定DNS或ICMP报文激活，无需开放端口。该后门已在网络中潜伏超过20个月，且检测率极低。研究人员通过奇安信网络空间测绘鹰图平台发现3个活跃的C2服务器，并确认存在未被捕获的样本。文章还详细分析了MystRodX的被动后门模式、DNS和ICMP激活报文的构造方式、配置解密方法、双进程守护机制以及网络通信协议。尽管目前的检测率有所提高，但多数杀软仍未真正识别这一威胁。

披露时间：2025年8月23日

情报来源：https://levelblue.com/blogs/security-essentials/like-putty-in-admins-hands

相关信息：

LevelBlue  近期发现多起 PuTTY 事件，攻击者购买 Bing 搜索广告，将 恶意域名（如 puttyy.org、puttysystems.com）推至前列，诱导下载经过签名的木马执行文件。运行后，木马投放恶意 dll，利用计划任务保持持久化，并回连 C2。攻击者还执行了用于Kerberoasting的内联PowerShell脚本，试图获取服务账户的明文密码。攻击者通过不断更换域名、证书与任务名称绕过哈希黑名单，广告下架后数日又以新域名卷土重来。

披露时间：2025年8月22日

情报来源：https://dti.domaintools.com/spynote-malware-part-2/

相关信息：

DomainTools 发现，4 月份 DTI 报告中的同一威胁行为者持续利用高度还原的 Google Play 静态克隆页面，诱导用户下载 SpyNote 2.0 Android RAT。新样本在 APK 内嵌 AES 加密资产，首次运行即解密并 DEX Element 注入主木马，随后通过 WebSocket 与硬编码或随机混淆域名建立 C2。该木马具备完整间谍功能：远程开关摄像头、麦克风，记录键盘、拦截短信与 2FA，窃取联系人、照片、加密钱包私钥，还可覆盖窗口实施点击劫持，甚至在获得设备管理员权限后远程锁屏、擦机。攻击者仍依赖 NameSilo、XinNet 注册的廉价域名及 Vultr、Lightnode IP，交付 Chrome、8 Ball Pool、TmmTmm 等 30 余款热门品牌假 APK。尽管技术迭代有限（仅增加简单混淆与动态域名列表），其广撒网式社会工程对全球消费者构成持续金融与隐私威胁，凸显移动供应链与用户教育的重要性。

披露时间：2025年8月27日

情报来源：https://mp.weixin.qq.com/s/p-3uuTUmtWN4t1zJcxnovQ

相关信息：

yayaya Miner挖矿木马的新变种被安天CERT捕获并分析。该木马主要通过SSH弱口令暴力破解攻击Linux系统，传播门罗币挖矿程序。与旧版本相比，新变种进行了多项更新，包括更改隐藏目录名称、内核模块名和信号值，并新增了IRC bot后门程序，支持端口扫描、日志清理、邮件发送、DDoS攻击和Shell指令等功能。挖矿脚本会删除竞品挖矿程序的文件和系统日志，优化挖矿性能，并通过安装内核模块实现进程和目录隐藏。IRC bot后门程序则连接C2服务器，等待攻击者指令。

披露时间：2025年8月26日

情报来源：https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938&articleTitle=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2025_7775_CVE_2025_7776_and_CVE_2025_8424

相关信息：

Citrix发布安全更新，修复NetScaler ADC和NetScaler Gateway中的三处严重漏洞，其中CVE-2025-7775（CVSS 9.2）已被确认在野外遭到利用，可导致远程代码执行或拒绝服务。另两处漏洞为CVE-2025-7776（CVSS 8.8，内存溢出）及CVE-2025-8424（CVSS 8.7，管理接口访问控制不当）。受影响版本包括NetScaler 13.1、14.1、FIPS及NDcPP，官方已在最新补丁中修复，暂无缓解措施。研究人员指出，漏洞利用需满足特定配置条件，如启用网关或IPv6相关服务。此次披露紧随CVE-2025-5777“Citrix Bleed 2”和CVE-2025-6543等漏洞后，显示NetScaler仍是攻击者重点目标。Citrix敦促用户尽快升级，以防进一步入侵和业务中断风险。