每周高级威胁情报解读(2025.10.10~10.16)

披露时间：2025年10月10日

情报来源：https://mp.weixin.qq.com/s/rW_xSgKlV6r0_JXIjr97Rg

相关信息：

研究人员分析了海莲花组织使用的Havoc 远控木马，该木马通过加载器实现攻击。加载器利用DLL 镂空技术加载 shellcode，借助VEH 异常处理回调机制执行代码，还会创建系统自启动注册表实现持久化，最终内存释放 Havoc Demon 远控木马并外连 C2 服务器。

披露时间：2025年10月9日

情报来源：https://www.fortinet.com/blog/threat-research/confucius-espionage-from-stealer-to-backdoor

相关信息：

Forescout 研究团队发布报告剖析亲俄黑客组织 TwoNet 对关键基础设施运营技术 / 工业控制系统（OT/ICS）的黑客活动攻击。2025 年 9 月，该团队通过模拟水处理厂的蜜罐捕获 TwoNet 攻击，攻击者用默认凭据登录人机界面，执行数据库枚举、创建新账户 “BARLATI”，还利用 CVE-2021-26829 篡改 HMI 登录页、删除 PLC 数据源、修改 PLC 设定值并禁用日志警报，事后 TwoNet 在 Telegram 频道宣称负责且虚假声称发动真实攻击。TwoNet 于 2025 年 1 月出现，初期聚焦 DDoS，9 月后转向 OT/ICS 攻击、人肉搜索恐吓、提供勒索软件即服务（RaaS）等，且与 CyberTroops、OverFlame 等黑客组织结盟，共享工具与目标，不过 9 月 30 日宣布停止运营，相关 Telegram 频道已不可用。此外，研究团队还捕获其他关联攻击，包括俄罗斯关联 IP 利用默认凭据和漏洞攻击 HMI、伊朗 IP 通过 Modbus/S7 协议扫描篡改 PLC。

披露时间：2025年10月7日

情报来源：https://www.cloudsek.com/blog/an-insider-look-at-the-irgc-linked-apt35-operations

相关信息：

CloudSEK 分析了与伊朗伊斯兰革命卫队（IRGC）关联的 APT35组织泄露的内部运营文档（含波斯语文件、人员名册、工具细节等），确认该组织通过钓鱼攻击、CVE 漏洞利用（如 CVE-2024-1709）、供应链攻击等手段，针对中东、美国、亚洲的政府、法律、能源、金融等领域发起间谍活动，具备长期持久化控制、Active Directory 渗透、大规模数据窃取（单目标窃取超 74GB 数据） 能力，其组织架构分工明确（含战略领导、渗透测试、恶意软件开发等团队），还开发了自定义 RAT（如 RTM Project） 及 EDR 规避工具，此次泄露揭示了伊朗有组织的网络间谍能力及对国家安全的潜在风险。

披露时间：2025年10月15日

情报来源：https://securelist.com/mysterious-elephant-apt-ttps-and-tools/117596/

相关信息：

Mysterious Elephant是一个自2023年以来被Kaspersky发现的APT组织，主要针对亚太地区的政府和外交部门。该组织通过不断演变的战术、技术、程序（TTPs）来保持隐蔽性。其最新活动显示了TTPs的重大转变，更多地使用定制工具和开源工具，如BabShell和MemLoader模块。Mysterious Elephant通过鱼叉式网络钓鱼邮件和恶意文档获得初始访问权限，然后部署多种工具以实现其目标。其工具包包括用于执行命令和建立持久性的PowerShell脚本，以及用于信息窃取的工具，特别是针对WhatsApp通信的工具。该组织的攻击目标高度特定，通常使用个性化的网络钓鱼邮件和恶意文档来获取初始访问权限，然后横向移动并窃取敏感信息。Mysterious Elephant的基础设施复杂，使用了多种VPS和云服务来托管其活动。

披露时间：2025年10月13日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal

相关信息：

Proofpoint追踪了TA585这一网络犯罪威胁行为者及其使用的恶意软件MonsterV2。TA585通过复杂的网络注入活动和过滤机制进行攻击，其攻击链包括从基础设施到电子邮件投递再到恶意软件安装的全过程。MonsterV2是一种多功能恶意软件，具备远程访问特洛伊木马（RAT）、信息窃取和加载器的功能，能够在受感染的系统上执行多种操作，如窃取敏感信息、查看桌面、记录网络摄像头、替换加密货币地址等。TA585通过伪装成美国国税局（IRS）等政府机构的网络钓鱼邮件来传播MonsterV2，这些邮件包含链接到恶意PDF的URL，这些PDF会引导用户手动运行恶意命令。Proofpoint还观察到TA585通过GitHub通知邮件传播恶意软件。MonsterV2的配置文件使用ChaCha20算法加密，并在运行时解密，其C2通信也使用类似的加密机制。

披露时间：2025年10月15日

情报来源：https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html

相关信息：

趋势科技披露 “Operation Zero Disco” 攻击活动，攻击者利用思科 IOS XE 软件中 SNMP 协议的关键漏洞 CVE-2025-20352,，主要针对缺乏 EDR 防护的旧版设备 —— 包括 Cisco 9400、9300 系列及已淘汰的 3750G 系列交换机。攻击中，攻击者通过构造特制 SNMP Get-Request 数据包触发漏洞，还串联基于 CVE-2017-3881 修改的 Telnet 漏洞实现内存读写，并使用伪造 IP 与 MAC 地址隐藏痕迹。漏洞利用后会部署 Linux rootkit，通过设置含 “disco”（暗指 “Cisco”）的通用密码绕过认证，在 IOSd 内存空间植入钩子实现无文件持久化，可隐藏恶意账户、篡改日志、绕过 ACL 限制进行 VTY 访问，甚至以 UDP 监听器形式接收隐蔽指令。虽新版设备的地址空间布局随机化（ASLR）可降低攻击成功率，但反复尝试仍可能突破防御。

披露时间：2025年10月16日

情报来源：https://mp.weixin.qq.com/s/VK02EIqifxqA4Qn6cWllBw

相关信息：

2025年10月15日，F5 Networks向美国证券交易委员会披露了一起重大网络安全事件，一个高度复杂的国家级威胁行为者入侵了其系统并维持了长期访问。攻击者窃取了BIG-IP产品开发环境中的部分源代码、未公开漏洞的研究信息以及少量客户配置数据。F5于2025年8月9日首次发现入侵并启动事件响应流程，聘请了CrowdStrike和Mandiant等顶级网络安全专家协助调查。事件引发了CISA发布紧急指令ED-26-01，要求联邦机构采取行动。F5采取了一系列内部加固措施，包括轮换系统凭证、加强访问控制、部署改进的监控工具等，并为客户提供了全面的支持措施，如发布安全更新和提供免费的EDR工具。尽管F5的软件供应链未被篡改，但源代码泄露可能加速攻击者发现0-day漏洞，增加未来APT攻击的风险。此事件凸显了网络基础设施供应商面临的持续威胁，以及开发环境安全和软件供应链安全的重要性。

披露时间：2025年10月13日

情报来源：https://www.seqrite.com/blog/judicial-notification-phish-colombia-svg-asyncrat/

相关信息：

Seqrite 捕获一波以哥伦比亚法官、律所及企业为目标的大规模钓鱼行动。攻击者冒充哥伦比亚司法部门发送“传票/缴费通知”邮件，附件为看似无害的 SVG 文件。一旦用户双击，SVG 内嵌的 HTML+JS 立即触发 CVE-2023-36884，无需启用宏即可在内存中执行 PowerShell 脚本，下载并注入 AsyncRAT。后续 PowerShell 继续下载 C# 编译器 csc.exe 现场编译额外模块，完成键盘记录、屏幕截图、凭证抓取与远程桌面控制。整个链无文件落地，仅依赖计划任务与注册表 Run 键维持持久化，VT 检测率低于 6%。Seqrite 观察到 2025 年 10 月高峰期单日回连 C2 超 1 300 次，受害 IP 90% 位于哥伦比亚境内。

披露时间：2025年10月10日

情报来源：https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/

相关信息：

Unit 42 报告显示，名为Scattered Lapsus$ Hunters 的黑客联盟以勒索即服务（EaaS） 模式开展攻击，声称窃取超10 亿条 Salesforce 记录并针对39 家全球组织设下 2025 年 10 月 10 日赎金截止日期，还试图直接勒索 Salesforce。其核心成员 Bling Libra 近期与新黑客组织 Crimson Collective 合作，后者声称 2025 年 10 月 1 日入侵 Red Hat、窃取约 570GB 压缩数据且聚焦 AWS 云环境数据盗窃勒索；尽管 2025 年 10 月 9 日 FBI 查封 BreachForums 及 SLSH 的明网数据泄露站点，但 Bling Libra 称核心成员未被捕、暗网 DLS 未受影响，并警告 10 月 10 日纽约时间 23:59 或泄露 Salesforce 数据；报告同时指出零售和酒店业面临客户数据被盗引发的身份盗窃、欺诈等风险。

披露时间：2025年10月10日

情报来源：https://snyk.io/blog/phishing-campaign-leveraging-the-npm-ecosystem/

相关信息：

2025年10月，研究人员发现了一种新型的钓鱼活动，该活动利用了NPM生态系统。攻击者通过在unpkg.com CDN上托管恶意JavaScript脚本，而不是在安装时感染开发人员，从而绕过浏览器保护并窃取用户凭证。攻击者创建了175多个一次性NPM包，这些包包含自动将受害者重定向到凭证收集网站的HTML文件。这些HTML文件通常伪装成发票或其他商业文件，当受害者打开这些文件时，会触发从unpkg.com加载脚本。该脚本会立即将受害者重定向到攻击者控制的页面，并通过URL片段传递受害者的电子邮件，以便钓鱼表单预先填充。这种攻击方法表明，攻击者正在探索超越传统基于包的攻击的新方法，以武器化开源生态系统本身。

披露时间：2025年10月14日

情报来源：https://cyble.com/blog/ghostbat-rat-inside-the-resurgence-of-rto-themed-android-malware/

相关信息：

Cyble 研究团队发布报告剖析 “GhostBat RAT” 安卓恶意软件活动，该恶意软件以印度地区运输办公室（RTO）官方应用 “mParivahan” 为伪装，通过 WhatsApp/SMS 发送短链接、GitHub 托管恶意 APK 及被攻陷网站传播，主要针对印度用户窃取金融信息并进行加密货币挖矿；其采用三级投放器架构，含反模拟器检测、ZIP 头篡改、字符串混淆等抗分析手段，借助原生.so 库动态解析 API 调用，最终部署钓鱼页面诱骗用户输入手机号、车辆信息及 UPI PIN，同时过滤并外渗含银行关键词的短信，用于窃取 OTP 完成未授权交易，还通过 Telegram 机器人 “GhostBatRat_bot” 完成设备注册。

披露时间：2025年10月13日

情报来源：https://blog.kyntra.io/Singularity-A-final-boss-linux-kernel-rootkit

相关信息：

Kyntra 剖析了现代隐蔽型 Linux 内核 rootkit “Singularity”，开源于 GitHub，支持 Linux 6.x 内核，其作为可加载内核模块 LKM，通过 ftrace 机制挂钩系统调用，实现多维度隐蔽与持久化，在进程隐藏上，通过拦截kill()系统调用，过滤/proc目录列表与stat等系统调用，调整系统统计信息掩盖进程数量差异；文件系统隐蔽上，基于 “singularity”“matheuz” 等字符串模式过滤目录列表、阻止隐藏路径访问，推荐在/dev/shm（tmpfs）存储恶意文件以规避磁盘取证；网络隐藏上，硬编码隐藏端口 8081，过滤/proc/net/tcp*伪文件并挂钩tpacket_rcv阻止抓包工具捕获相关流量；还支持两种提权方式，通过清理内核日志、隐藏自身模块、重置内核污染标志、支持 x86_64 与 ia32 双架构避免 32 位工具绕过，同时提供日志清理脚本与开机自启持久化机制，是兼具技术深度与隐蔽性的现代 rootkit 研究案例。

披露时间：2025年10月10日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/

相关信息：

McAfee 实验室报告发现银行木马 Astaroth 的新攻击活动，该木马通过滥用 GitHub 提升抗毁性，其不单纯依赖易被关停的传统C2服务器，而是将含隐藏配置的 GitHub 仓库作为备用基础设施，当 C2 服务器不可用时，便从 GitHub 获取新配置继续运行。该木马的感染链始于伪装成 DocuSign、简历等主题的钓鱼邮件，邮件含链接可下载含 Windows 快捷方式的压缩包，执行后通过 JavaScript 下载器在系统 ProgramData 目录释放 AutoIT 编译脚本、解释器、加密 payload 及恶意配置，最终在 RegSvc.exe 进程中注入 Astaroth payload；其主要针对南美多国及葡萄牙、意大利，会检测用户是否访问银行或加密货币网站，通过键盘记录窃取凭证，并借助 Ngrok 反向代理将信息发送给攻击者，还会在启动文件夹放置 LNK 文件实现持久化。

披露时间：2025年10月15日

情报来源：https://securelist.com/maverick-banker-distributing-via-whatsapp/117715/

相关信息：

近期，研究人员在巴西发现了一种通过WhatsApp传播的新银行木马“Maverick”。该木马通过恶意LNK文件传播，这些文件伪装成银行文件，通过WhatsApp发送给用户。一旦用户点击，木马会通过复杂的、完全无文件的感染链在内存中执行，最终安装Maverick木马。该木马具有多种功能，包括屏幕截图、监控浏览器、安装键盘记录器、控制鼠标、在访问银行网站时锁定屏幕、终止进程以及在覆盖层中打开钓鱼页面等，旨在窃取银行凭证。Maverick木马还会检查受感染机器的时区、语言、地区和日期时间格式，以确保受害者在巴西，否则不会安装。此外，该木马利用AI技术进行代码编写，尤其是在证书解密和代码开发过程中。研究人员指出，Maverick木马与之前记录的Coyote银行木马有许多代码重叠，但被认为是新的威胁。

披露时间：2025年10月15日

情报来源：https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/

相关信息：

Unit 42研究人员追踪了一种名为PhantomVAI Loader的恶意软件加载器，它通过网络钓鱼活动传播多种信息窃取恶意软件。攻击链从包含恶意JavaScript或VBS脚本的网络钓鱼邮件附件开始，这些脚本通过混淆技术试图绕过检测。脚本会下载并执行一个PowerShell脚本，该脚本使用隐写术从图像文件中提取并加载下一步的恶意软件。PhantomVAI Loader是一个用C.NET加载器，它会检查是否运行在虚拟机上，建立持久性，并从命令与控制（C2）服务器下载最终的有效载荷。Katz Stealer是一种新的恶意软件即服务（MaaS），它从受感染的机器上收集敏感数据，包括浏览器凭据、加密货币钱包、Telegram和Discord数据等。PhantomVAI Loader的多阶段感染链展示了攻击者为绕过检测和防御所采取的复杂手段。

披露时间：2025年10月15日

情报来源：https://mp.weixin.qq.com/s/jnLcxV9ZMIJ3ZUvQHCbIcg

相关信息：

2025年10月15日，微软发布了175个漏洞的补丁程序，修复了Windows内核、Microsoft DWM、Windows远程访问连接管理器等产品中的漏洞。其中，24个漏洞值得关注，包括9个紧急漏洞和14个重要漏洞。这些漏洞中，部分已被在野利用，攻击者可利用这些漏洞造成权限提升、远程代码执行等危害。例如，CVE-2025-59230（Windows远程访问连接管理器权限提升漏洞）、CVE-2025-47827（IGEL OS 11安全引导绕过漏洞）和CVE-2025-24990（Windows Agere Modem Driver权限提升漏洞）等已被发现存在在野利用。此外，CVE-2025-59287（Windows服务器更新服务远程代码执行漏洞）和CVE-2025-59246（Azure Entra ID权限提升漏洞）等也被标记为更容易被利用。