每周高级威胁情报解读(2025.09.26~10.09)

披露时间：2025年10月2日

情报来源：https://bi-zone.medium.com/cavalry-werewolf-raids-russias-public-sector-with-trusted-relationship-attacks-e19f7a5c83ef

相关信息：

BI.ZONE 披露，Cavalry Werewolf 组织在2024年夏季对俄罗斯国家机构及关键行业发动持续钓鱼攻击，攻击者冒充吉尔吉斯斯坦政府部委发送官方主题邮件，附件中携带 RAR 压缩包，内含其自制木马 FoalShell与 StallionRAT。攻击者甚至使用真实被黑政府邮箱增强可信度。FoalShell 提供隐藏 cmd 通道，StallionRAT 则通过 Telegram Bot 下发指令，支持文件上传、命令执行与 SOCKS5 代理。攻击者还部署 ReverseSocks5 工具进行横向移动，并收集系统信息、添加启动项确保持久化。安全人员发现其测试文件涉及塔吉克语与阿拉伯语，推测其目标可能扩展至中亚与中东。

披露时间：2025年10月2日

情报来源：https://www.fortinet.com/blog/threat-research/confucius-espionage-from-stealer-to-backdoor

相关信息：

FortiGuard Labs 分析指出，Confucius 组织自 2013 年以来持续活跃，近期攻击链明显升级，从传统的钓鱼文档和恶意 LNK 文件出发，逐步演进为利用 DLL 侧载、PowerShell 脚本和 Python 后门的高阶攻击模式。2024 年底，攻击者通过 PPSX 文档触发远程脚本，释放并执行 WooperStealer，窃取本地文档、图片、邮件等敏感数据。至 2025 年 3 月，攻击转向使用 LNK 文件诱导用户下载并侧载恶意 DLL，继续部署 WooperStealer。2025 年 8 月，攻击链进一步演化，引入基于 Python 的新型后门 AnonDoor，通过伪装 PDF 诱导用户执行 LNK 文件，下载并运行 Python 脚本，建立计划任务实现持久化。AnonDoor 支持屏幕截图、文件列举、密码导出等多种远程控制功能，并具备地理定位、系统指纹识别等能力，显著增强了攻击隐蔽性和适应性。攻击目标主要集中在巴基斯坦，体现出该组织持续针对南亚政府、军事和关键行业的战略意图。

披露时间：2025年10月1日

情报来源：https://www.chainalysis.com/blog/dprk-it-workers-north-korea-crypto-laundering-networks/

相关信息：

研究人员深入剖析了朝鲜（DPRK）IT 工作者构建的加密货币洗钱网络及其运作机制。朝鲜 IT 工作者通过中间人（如受制裁的 Chinyong 公司）部署至全球，借助 VPN、伪造身份文件、AI 音视频技术隐瞒身份与位置，入职后要求以稳定币获取薪资，所得资金用于资助朝鲜大规模杀伤性武器及弹道导弹研发。在洗钱环节，他们通过 “跨链转移、代币交换”（利用去中心化交易所、桥接协议）、资金混同（与其他犯罪所得及其他 IT 工作者资金合并）等方式模糊资金流向，还依赖中间人（如受制裁的 Sim Hyon Sop、中国籍 OTC 交易者 Lu Huaying）通过主流交易所虚假账户或未受监管的 OTC 交易完成洗钱，最终将加密货币兑换为法定货币；例如 Sim 用伪造俄罗斯身份开户，Lu 则以真实身份在 FTX 开户。文章还提及美财政部 OFAC、韩国外交部等的制裁行动（如 2023 年制裁 ChinYong、2024 年制裁 Lu）及美国司法部的资产没收案例，强调区块链分析技术在追踪与阻断资金流中的作用

披露时间：2025年10月1日

情报来源：https://hunt.io/blog/operation-southnet-sidewinder-south-asia-maritime-phishing

相关信息：

Hunt.io披露，SideWinder APT组织近期发动代号为“Operation SouthNet”的持续性网络钓鱼攻击，重点针对南亚五国（巴基斯坦、斯里兰卡、尼泊尔、孟加拉国、缅甸）的海事、政府、军事和电信机构。攻击者利用Netlify、pages.dev、workers.dev等免费托管平台部署伪造的Outlook、Zimbra登录页面，并通过政治、国防、人工智能政策等诱饵文档诱导目标输入凭证。攻击基础设施高度重叠，部分域名与旧有C2服务器关联，显示其长期运营和资源复用能力。攻击频率高，平均每3-5天新增钓鱼域名，钓鱼页面数量超过50个。攻击目标包括巴基斯坦SUPARCO、斯里兰卡国防部、缅甸中央银行、新加坡人力部等。相关恶意样本和开放目录揭示其通过伪造政府通知、会议文件、政策草案等方式传播恶意软件，具备较强社会工程能力和战术适应性。

披露时间：2025年9月30日

情报来源：https://mp.weixin.qq.com/s/9QvJ49ZvPBB_jBfdohl-7w

相关信息：

奇安信威胁情报中心披露了魔罗桫（Confucius）组织的武器库源代码和相关测试机信息。魔罗桫是一个具有外包性质的APT组织，其攻击行动多由本土承包商或个人发起，攻击成本较低但目标体现国家意志。文章重点分析了该组织的钓鱼框架 myproject，其核心逻辑由Flask路由处理函数组成，能够根据不同的URL返回特定的木马文件或带有恶意木马的zip包。此外，还详细介绍了该组织的多种攻击工具，包括DeliveryBoy、FileSplitterr、MadBoy和Win等，这些工具分别用于释放加载器、拆分文件、加载最终载荷和执行CMD命令。文章还展示了魔罗桫组织的测试机和测试样本，包括多个LNK文件、ZIP文件和可执行文件，以及用于测试的内网地址和Tor节点IP。

披露时间：2025年10月7日

情报来源：https://www.elliptic.co/blog/north-korea-linked-hackers-have-already-stolen-over-2-billion-in-2025

相关信息：

Elliptic 分析显示，2025 年截至 10 月 3 日，与朝鲜关联的黑客已窃取超 20 亿美元加密资产，创年度最高纪录，较 2024 年数额近乎三倍，也远超 2022 年 13.5 亿美元的此前纪录，使得该政权累计已知窃取加密资产总额超 60 亿美元，联合国及多国政府机构认为这些资金关键用于资助其核武器与导弹研发。今年盗窃规模大，主要因 2 月 Bybit 交易所 14.6 亿美元失窃案，此外 LND.fi、WOO X、Seedify 等也遭其攻击，Elliptic 已将今年超 30 起黑客攻击归因为该关联黑客所为。攻击战术发生转变，此前多利用加密基础设施技术漏洞，2025 年则以社会工程学攻击为主，目标除加密交易所外，高净值个人占比上升，因个人常缺乏企业级安全措施，部分还因关联持有大量加密资产的企业而被盯上。同时，随着区块链分析能力提升，朝鲜黑客洗钱技术更复杂，采用多轮混币、跨链交易、使用小众区块链、购买特定协议实用代币等策略。

披露时间：2025年10月3日

情报来源：https://www.seqrite.com/blog/exploiting-legitimate-remote-access-tools-in-ransomware-campaigns/

相关信息：

研究人员指出，现代勒索软件攻击者正越来越多地利用合法远程访问工具（如 AnyDesk、UltraViewer、RustDesk 等）作为隐蔽的攻击手段，通过劫持或静默安装这些工具，实现持久控制、横向移动和勒索部署。攻击流程包括：初始访问（暴力破解、凭证重用）、工具滥用（静默安装或劫持合法工具）、权限维持与提升、杀毒软件绕过、载荷部署、横向扩展，最终实施加密勒索。文章强调，这些工具因签名可信、常被企业白名单，极易被滥用。

披露时间：2025年10月2日

情报来源：https://www.welivesecurity.com/en/eset-research/new-spyware-campaigns-target-privacy-conscious-android-users-uae/

相关信息：

ESET 最新研究揭示，一系列新型间谍软件活动正专门针对阿联酋地区注重隐私的安卓用户。这些攻击通过伪装成加密通信、VPN、匿名浏览器等隐私工具的应用，诱导用户下载安装。一旦激活，这些恶意应用会请求大量敏感权限，窃取短信、联系人、通话记录、位置信息、媒体文件，甚至远程激活麦克风进行录音。部分样本还具备防卸载、防检测功能，能够在后台持续运行并上传数据至攻击者控制的服务器。ESET 指出，这些攻击具有高度针对性，可能由国家背景或高级威胁行为者主导，目标是监听特定人群，如记者、异议人士或高净值个体。

披露时间：2025年10月2日

情报来源：https://citizenlab.ca/2025/10/ai-enabled-io-aimed-at-overthrowing-iranian-regime/

相关信息：

Citizen Lab的研究报告揭示了一个名为PRISONBREAK的网络影响行动，该行动由超过50个不真实的X（前身为Twitter）账号组成，自2023年创建以来，主要在2025年1月后开始活跃，传播旨在煽动伊朗民众反抗伊朗政权的内容。该行动与2025年6月以色列对伊朗的军事行动同步，特别是在以色列空袭德黑兰的埃文监狱后，该行动发布了大量虚假内容，包括AI生成的视频，试图引导伊朗民众起义。报告指出，该行动的账号活动高度协调，使用了AI技术生成虚假视频和图像，并通过X平台的社区功能和相互转发来增加内容的传播。尽管无法完全确定行动的幕后黑手，但报告认为最有可能的假设是以色列政府或其承包商直接参与了该行动。

披露时间：2025年10月1日

情报来源：https://blog.nviso.eu/2025/10/01/lunar-spider-expands-their-web-via-fakecaptcha/

相关信息：

NVISO 最新研究揭示，Lunar Spider 组织正在运营一个名为 FakeCaptcha 的新型钓鱼即服务（PhaaS）平台，该平台通过伪装成“验证码验证”页面，诱导用户输入敏感信息（如账号、密码、2FA 令牌等）。FakeCaptcha 提供完整的钓鱼工具包，包括自定义页面模板、后台数据收集面板、流量分发机制和多语言支持，用户无需技术背景即可快速发起钓鱼攻击。该平台采用订阅制收费，支持加密货币支付，具备高度匿名性和可扩展性。攻击者可通过该平台生成看似可信的验证码页面，并将其嵌入钓鱼邮件、虚假登录页或恶意广告中，显著提高了攻击成功率。NVISO 指出，FakeCaptcha 的出现标志着钓鱼攻击正在向“服务化”与“模块化”演进，降低了攻击门槛，扩大了攻击者群体。

披露时间：2025年10月8日

情报来源：https://unit42.paloaltonetworks.com/clickfix-generator-first-of-its-kind/

相关信息：

Palo Alto Networks 于 2025 年 7 月 18 日首次发现并曝光了IUAM ClickFix Generator 钓鱼工具包，该工具包可自动化生成高度可定制的钓鱼页面，模拟 CDN 或云安全提供商的浏览器验证挑战，通过操作系统检测、剪贴板注入等功能诱骗受害者手动执行恶意命令，降低了网络攻击的技术门槛。目前已观测到至少两类实际攻击活动：一是针对 Windows 用户、分发DeerStealer 信息窃取 malware的攻击；二是多平台攻击，向 macOS 用户分发Odyssey 信息窃取 malware（部分变体含 Windows 诱饵命令），且存在多个 ClickFix 主题工具包变体，形成商业化攻击生态。

披露时间：2025年10月3日

情报来源：https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html

相关信息：

趋势科技分析了名为 “Water Saci” 的恶意软件活动，其通过 WhatsApp 传播自传播型恶意软件 SORVEPOTEL，主要针对巴西用户及企业。攻击始于受害者收到来自受感染联系人的钓鱼消息，邮件也为潜在传播途径。用户解压后执行.LNK 文件，该文件隐蔽启动命令行 / PowerShell 脚本，从攻击者控制的域名下载 BAT 脚本，BAT 脚本通过复制到 Windows 启动文件夹实现持久化，并连接 C2 服务器获取后续载荷。SORVEPOTEL 的核心特性是劫持活跃的 WhatsApp Web 会话，自动向受害者所有联系人及群组发送恶意 ZIP，导致账号因垃圾邮件被封禁；其载荷为信息窃取器，通过反射加载.NET DLL、注入 shellcode 到 powershell_ise.exe 等方式，监控巴西金融机构及加密货币交易所的访问行为，还会创建全屏伪装暗中窃取凭据，同时通过地域验证、混淆域名规避检测。

披露时间：2025年10月3日

情报来源：https://labs.withsecure.com/publications/tamperedchef

相关信息：

WithSecure 详细分析了 “TamperedChef” 恶意软件活动，该活动以欧洲组织为目标，通过恶意广告诱导用户下载伪装成 “AppSuite PDF 编辑器” 的恶意软件（NodeJS 编写的 Electron 应用），其MSI安装包含 EULA 对话框增强合法性，无需管理员权限即可安装，还通过注册表添加开机自启项实现持久化。该软件正常提供 PDF 编辑功能近两个月以隐蔽自身，直至 2025 年 8 月 21 日激活恶意载荷（藏于混淆的 pdfeditor.js 中）窃取浏览器凭据；暴露后，攻击者迅速推出移除恶意代码的 “清洁版”（1.0.40/1.0.41），但仍连接攻击者控制的基础设施。

披露时间：2025年10月2日

情报来源：https://www.trellix.com/blogs/research/xworm-v6-exploring-pivotal-plugins/

相关信息：

XWorm 作为 2022 年出现的恶意软件，其开发者 XCoder 在 2024 下半年停止对XWorm V5.6的支持后，于2025 年 6 月 4 日通过hackforums.net发布XWorm V6.0，该版本修复了 V5.6 的 RCE 漏洞，采用模块化设计，拥有35 + 款插件（如 RemoteDesktop.dll、Ransomware.dll 等），支持远程控制、数据窃取、勒索等功能，通过钓鱼邮件等方式经 “恶意 JS→PowerShell 脚本→注入器→XWorm 客户端” 的感染链攻击，且存在破解版传播及与 NoCry 勒索软件的代码重叠。

披露时间：2025年10月1日

情报来源：https://www.elastic.co/security-labs/revisiting-warmcookie

相关信息：

WarmCookie 是一种多阶段信息窃取型恶意软件，自2024年起活跃，近期通过钓鱼邮件、虚假广告（如“虚假浏览器更新”）传播，诱导用户启用宏或点击恶意链接。攻击链从VBA宏开始，释放PowerShell脚本并下载后续载荷，最终部署WarmCookie后门。该家族使用多层混淆、动态C2域名和加密通信，具备反检测能力。最新版本引入更复杂的基础设施，包括使用Cloudflare隧道、动态生成URL和多层载荷加密。WarmCookie 支持窃取浏览器凭据、系统信息和加密货币钱包数据。Elastic 指出，该威胁持续演化，攻击者积极调整策略以绕过检测，建议企业加强邮件过滤、禁用Office宏、监控异常PowerShell活动，并利用行为检测识别潜在感染。

披露时间：2025年10月7日

情报来源：https://www.kaspersky.com/blog/update-unity-games-cve-2025-59489/54542/

相关信息：

卡巴斯基发布文章指出，Unity 游戏引擎存在漏洞（CVE-2025-59489）,攻击者可向游戏传递启动参数，而存在漏洞的 Unity 运行时版本会处理多个本用于调试的命令，包括 - xrs dk、-pre-init-library、–data folder、override mono search path 以及 - mono profiler 等，这可能给攻击者提供可乘之机，对游戏及用户设备安全构成威胁。

披露时间：2025年10月6日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/

相关信息：

2025 年 9 月 18 日，Fortra 披露 GoAnywhere MFT 的 License Servlet 存在严重反序列化漏洞CVE-2025-10035，CVSS 评分 10.0。攻击者伪造合法许可证响应签名即可反序列化任意对象，进而实现命令注入与远程代码执行，且无需认证，对互联网暴露实例威胁极大。微软监测到威胁组织 Storm-1175（以部署 Medusa 勒索软件闻名）于 9 月 11 日起利用该漏洞发起攻击，其攻击链包括：通过漏洞获取初始访问权，在 GoAnywhere MFT 进程下投放 SimpleHelp、MeshAgent 等 RMM 工具及.jsp 文件实现持久化，执行系统 / 用户发现命令、用 netscan 进行网络探测，借助 mstsc.exe 横向移动，通过 RMM 工具及 Cloudflare 隧道建立 C2，用 Rclone 泄露数据，最终部署 Medusa 勒索软件。

披露时间：2025年10月6日

情报来源：https://www.crowdstrike.com/en-us/blog/crowdstrike-identifies-campaign-targeting-oracle-e-business-suite-zero-day-CVE-2025-61882/

相关信息：

2025 年 8 月 9 日起，CrowdStrike 发现针对Oracle E-Business Suite 的大规模攻击活动，攻击者利用此前未知的零日漏洞（CVE-2025-61882，2025 年 10 月 4 日 Oracle 正式披露） 实现未授权远程代码执行，核心目的为数据泄露。该漏洞利用流程含两步：通过向/OA_HTML/SyncServlet发送 HTTP POST 请求绕过认证，再针对 XML Publisher Template Manager 上传恶意 XSLT 模板并预览执行代码，多数案例中攻击者还部署 Web Shell 建立持久化。CrowdStrike 中度置信GRACEFUL SPIDER参与此活动，且 2025 年 10 月 3 日 Telegram 曝光的漏洞 POC 及补丁发布，大概率促使更多攻击者利用该漏洞。