每周高级威胁情报解读(2025.10.31~11.06)

披露时间：2025年11月4日

情报来源：https://www.bitdefender.com/en-us/blog/businessinsights/curly-comrades-evasion-persistence-hidden-hyper-v-virtual-machines

相关信息：

Bitdefender的研究团队与格鲁吉亚CERT合作，发现Curly COMrades威胁行为者利用Hyper-V虚拟化技术在受感染的Windows 10机器上创建隐蔽的远程操作环境。攻击者通过启用Hyper-V功能并部署轻量级的Alpine Linux虚拟机，隔离恶意软件及其执行环境，从而绕过传统的EDR检测。该虚拟机仅占用120MB磁盘空间和256MB内存，运行自定义的反向shell（CurlyShell）和反向代理（CurlCat）。CurlyShell提供持久的反向shell连接，而CurlCat管理SSH反向代理隧道。此外，攻击者还使用了多种代理和隧道工具，如Resocks、Rsockstun和Ligolo-ng，以维持访问能力。

披露时间：2025年11月3日

情报来源：https://www.seqrite.com/blog/operation-peek-a-baku-silent-lynx-apt-dushanbe-espionage/

相关信息：

Seqrite的研究团队分析了Silent Lynx APT组织的网络间谍活动 Operation Peek-a-Baku，该组织通过鱼叉式网络钓鱼邮件和恶意软件攻击，针对俄罗斯、阿塞拜疆和中亚国家的政府机构和关键基础设施。研究揭示了两个主要活动：一是针对俄罗斯-阿塞拜疆关系的攻击，使用了恶意LNK文件、PowerShell脚本和Ligolo-ng隧道工具；二是针对中国-中亚关系的攻击，使用了恶意RAR文件和.NET植入物。这些活动展示了Silent Lynx在部署恶意软件和利用GitHub托管恶意内容方面的技术变化。

披露时间：2025年10月30日

情报来源：https://www.gendigital.com/blog/insights/research/dprk-kimsuky-lazarus-analysis

相关信息：

Gen Digital的研究团队分析了朝鲜相关的两个APT组织Kimsuky和Lazarus的最新活动。Kimsuky部署了一种名为HttpTroy的新后门，通过伪装成VPN发票的ZIP文件进行传播，最终实现文件传输、屏幕截图和命令执行等功能。Lazarus则推出了BLINDINGCAN远程访问工具的新变种，通过Comebacker恶意软件进行传播，该工具提供了文件上传、下载、屏幕截图、命令执行等多种功能。这些攻击展示了朝鲜APT组织在恶意软件开发和隐蔽通信方面的持续进化。

披露时间：2025年10月29日

情报来源：https://www.security.com/threat-intelligence/ukraine-russia-attacks

相关信息：

与俄罗斯相关的攻击者仍在对乌克兰组织进行大规模攻击。研究人员发现，攻击者对一家大型商业服务组织进行了为期两个月的入侵，对一个地方政府组织进行了为期一周的攻击，主要目的是窃取敏感信息并长期潜伏。攻击者主要使用了Living-off-the-Land战术和双用途工具，而非大量部署恶意软件。攻击者通过在公共服务器上部署Webshell（如Localolive）获得初始访问权限，这种Webshell与Sandworm组织有关。攻击者在目标网络中进行了多种侦察活动，包括系统信息收集、修改Windows Defender配置、创建计划任务以进行内存转储等。此外，攻击者还尝试安装OpenSSH以方便远程访问，并部署了合法的Microtik路由器管理应用程序。

披露时间：2025年10月27日

情报来源：https://blogs.jpcert.or.jp/ja/2025/10/APT-C-60_update.html

相关信息：

JPCERT/CC 报告了 APT-C-60 组织的最新攻击活动，这些活动主要针对日本等东亚地区的个人和组织。攻击者通过伪装成求职者的电子邮件发送恶意 VHD X文件，这些文件包含 LNK 文件，当受害者点击时，会通过 Git 执行恶意脚本。攻击链包括多个阶段，首先是 Downloader1 ，它通过与 statcounter.com 的通信来识别受害设备，并从 GitHub 下载后续的恶意软件。Downloader2 负责下载和执行 SpyGlace，这是一个功能强大的间谍软件，能够执行多种命令，如屏幕截图、文件上传和下载等。SpyGlace的通信使用 BASE64 和  RC4 加密，其版本从 3.1.12 更新到 3.1.14，增加了新的命令和功能。攻击者还使用了多个 GitHub仓 库来托管恶意软件，这些仓库在攻击后被删除，但JPCERT/CC通过分析保留的提交记录，识别了多个受害设备。

披露时间：2025年10月31日

情报来源：https://mp.weixin.qq.com/s/CruHXK8m7RP-0ZQFBF-5sg

相关信息：

APT-C-60（伪猎者）是一个以朝鲜半岛为目标的APT组织，其活动最早可追溯到2014年。该组织主要针对与韩国相关的政府、经贸和文化机构，以及劳务咨询公司。2025年6月，360威胁情报中心发布报告后，APT-C-60迅速调整其攻击策略，展现出高度的警觉性和对抗能力。其主要变化包括：1) “阅后即焚”式的载荷分发，利用GitHub平台特性，实现恶意载荷的短暂、动态托管，并在受害者下载后立即抹除痕迹；2) 核心组件的对抗性升级，通过轮换加密密钥、升级混淆算法，特别是引入数据与函数指针化技术，显著增强了恶意软件的免杀和反分析能力；3) 攻击链的平台统一化，将原先托管于Bitbucket的最终后门载荷迁移至GitHub，实现了攻击基础设施的集中管理与策略协同。这些变化表明，APT-C-60正密切关注安全社区的分析与披露，并具备快速迭代其攻击工具、技术和流程的能力。

披露时间：2025年11月4日

情报来源：https://mp.weixin.qq.com/s/_fgUzW4v0yTDHaJm_14a9g

相关信息：

奇安信威胁情报中心红雨滴团队在与东北亚地区的高级APT组织进行对抗过程中，发现了多个针对国产手机的0day漏洞利用活动。这些活动涉及近20个0day漏洞，部分细节已在之前的报告中披露。这些0day攻击主要针对东北地区的朝鲜人和与之有往来的中国人，属于两国三方在东北地区的谍报对抗。研究人员详细分析了ZipperDown漏洞的在野利用，该漏洞允许攻击者通过精心构造的DAT文件覆盖目标应用组件，实现恶意软件的植入。攻击者通过邮件客户端的漏洞，将恶意代码植入目标设备，获取敏感数据。此外，文章还披露了其他邮件结构漏洞的利用，这些漏洞允许攻击者通过构造的图片和JS代码实现任意代码执行。这些攻击活动表明，国家级情报机构正在大规模研发和使用移动设备攻击武器，对目标国家的利益造成严重损害。

披露时间：2025年11月5日

情报来源：https://www.darktrace.com/blog/tracking-a-dragon-investigating-a-dragonforce-affiliated-ransomware-attack-with-darktrace

相关信息：

Darktrace的研究团队调查了一起与DragonForce勒索软件即服务（RaaS）平台相关的攻击事件，该事件影响了制造业的一个客户。攻击的早期迹象出现在2025年8月，当时一个受感染的设备开始进行网络扫描并尝试暴力破解管理员凭据。经过八天的静默期后，攻击者返回并开始通过SMB协议加密文件，并留下了声称与DragonForce有关的勒索信。尽管Darktrace在攻击早期阶段就检测到了异常行，攻击最终导致了数据外泄和文件加密。

披露时间：2025年10月31日

情报来源：https://expel.com/blog/certified-oysterloader-tracking-rhysida-ransomware-gang-activity-via-code-signing-certificates/

相关信息：

Expel的研究团队发现，Rhysida勒索软件团伙通过恶意广告活动传播OysterLoader恶意软件，这是一种初始访问工具（IAT），用于在设备上建立立足点，以便后续部署持久化后门。该团伙利用恶意广告，通过Bing搜索引擎广告将用户引导至恶意下载页面，这些页面伪装成Microsoft Teams、PuTTy和Zoom等流行软件的下载页面。为了降低检测率，Rhysida使用了代码签名证书来提高恶意软件的信任度。这些证书通常用于合法软件，但Rhysida通过滥用证书绕过了系统信任机制。Expel通过跟踪这些证书，能够识别新的恶意活动，并报告给证书颁发机构以撤销这些证书。文章还提到，Rhysida不仅使用OysterLoader，还使用Latrodectus恶意软件进行初始访问，并且他们利用微软的Trusted Signing服务来签发恶意文件。尽管微软已经撤销了与Rhysida相关的200多个证书，但该团伙仍在继续使用该服务。

披露时间：2025年11月4日

情报来源：https://unit42.paloaltonetworks.com/global-smishing-campaign/

相关信息：

Trustwave SpiderLabs的研究团队追踪了网络犯罪领域中出现的一个新现象，即三个知名威胁团伙Scattered Spider、ShinyHunters和LAPSUS$合并形成了一个“联合联盟”，并开始提供“勒索即服务”（EaaS）。该联盟利用Telegram作为主要的运营基地，通过已有的品牌知名度制造恐慌，以实现更高的经济回报。自2025年8月首次亮相以来，该组织的Telegram频道多次被封禁，但始终能够迅速恢复，显示出其强大的适应能力和维持公共存在的决心。SLH不仅通过数据泄露和勒索获取经济利益，还频繁地发布信息、进行投票和发起强制性信息传播，以此模糊招募和众包勒索之间的界限。此外，SLH有意向发展勒索软件运营的野心，并利用其成员在技术开发和社交工程方面的专业知识，提高其运营影响力。

披露时间：2025年10月31日

情报来源：https://www.seqrite.com/blog/operation-skycloak-tor-campaign-targets-military-of-russia-belarus/

相关信息：

Seqrite Labs发现了一个名为“Operation SkyCloak”的复杂网络攻击活动，主要针对俄罗斯和白俄罗斯的军事人员，特别是俄罗斯空降兵和白俄罗斯特种部队。攻击者通过精心设计的鱼叉式网络钓鱼邮件发送带有恶意LNK文件的ZIP档案，这些文件伪装成与军事相关的文件，如提名信和培训通知。一旦执行，这些LNK文件会触发PowerShell命令，解压并部署多阶段恶意软件链，最终通过Tor网络暴露多个本地服务，包括SSH和SFTP服务器，以实现隐蔽的远程访问。攻击者使用了多种技术来逃避检测，包括反分析检查、计划任务以实现持久化，以及通过Tor网络的隐蔽通信。尽管目前尚无法确定攻击者的具体身份，但该活动与东欧相关的间谍活动一致，主要针对国防和政府领域。

披露时间：2025年10月29日

情报来源：https://unit42.paloaltonetworks.com/new-windows-based-malware-family-airstalk/

相关信息：

Unit 42发现了一种名为Airstalk的新型Windows恶意软件家族，它利用AirWatch（现称Workspace ONE Unified Endpoint Management）的API进行隐蔽的命令与控制（C2）通信。Airstalk分为PowerShell和.NET两种变体，其中.NET变体功能更为复杂，处于更高级的开发阶段。该恶意软件能够窃取浏览器数据，如Cookie、浏览历史、书签和截图。Airstalk通过多线程C2通信协议、版本控制和使用被盗证书签名等技术来逃避检测。研究人员评估认为，Airstalk可能是由攻击者CL-STA-1009在供应链攻击中使用的。

披露时间：2025年10月30日

情报来源：https://blog.checkpoint.com/research/hezi-rash-rising-kurdish-hacktivist-group-targets-global-sites/

相关信息：

Hezi Rash是一个成立于2023年的库尔德民族主义黑客活动组织，自称“黑力量”，旨在保护库尔德社会免受网络威胁。该组织通过一系列DDoS攻击迅速扩大了其影响力，目标包括日本、土耳其、以色列、伊朗、伊拉克和德国的网站。这些攻击主要基于意识形态，回应对库尔德身份或穆斯林尊严的冒犯。2025年8月至10月期间，Check Point的外部风险管理团队归因于Hezi Rash的DDoS攻击约有350起。尽管这些攻击的技术影响（如临时网站中断）是显而易见的，但其更广泛的商业后果尚不清楚。Hezi Rash可能利用了来自更成熟威胁行为者的工具和服务，包括EliteStress、Killnet、Project DDoSia和Abyssal DDoS v3等。该组织在Telegram、TikTok、YouTube和X（前Twitter）等平台上保持了显著的在线存在。

披露时间：2025年11月3日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/11/03/sesameop-novel-backdoor-uses-openai-assistants-api-for-command-and-control/

相关信息：

微软安全团队发现了一种名为SesameOp的新型后门恶意软件，该软件通过滥用OpenAI Assistants API作为命令与控制（C2）通信机制，以实现隐蔽的恶意活动。SesameOp于2025年7月首次被发现，当时微软响应了一起复杂的网络安全事件，攻击者已在目标环境中潜伏数月。该恶意软件通过.NET AppDomainManager注入技术加载到宿主可执行文件中，利用OpenAI API作为C2通道，以实现隐蔽通信和持久化。SesameOp通过压缩和加密技术保护命令数据和外泄结果，确保通信隐蔽性。

披露时间：2025年11月3日

情报来源：https://cert.pl/en/posts/2025/11/analiza-ngate/

相关信息：

CERT Polska的研究团队发现了一种名为NGate的移动恶意软件活动，该活动通过NFC中继攻击针对波兰银行用户。攻击者通过网络钓鱼信息（电子邮件或短信）诱导用户安装恶意Android应用。该应用通过伪装成银行支持人员的电话，诱导用户将支付卡靠近手机并输入卡PIN。恶意软件捕获卡的NFC通信数据和PIN，并将这些数据发送到攻击者控制的设备或C2服务器。攻击者随后在ATM机上重放这些数据，提取现金。该恶意软件支持两种角色：作为读取器（用户手机）和作为发射器（攻击者手机/ATM端）。配置信息通过XOR加密存储在应用的资产文件中，解密密钥为APK签名证书的SHA-256哈希值。

披露时间：2025年10月29日

情报来源：https://www.cyfirma.com/research/investigation-report-android-bankbot-ynrk-mobile-banking-trojan/

相关信息：

CYFIRMA的研究团队分析了三个Android应用包（APK），发现它们属于同一恶意软件家族Android/BankBot-YNRK。该恶意软件通过滥用Android的无障碍服务，获得对设备的完全远程控制能力，能够自动化用户界面交互、提取敏感数据，并执行未经授权的操作。它还利用环境检测技术来逃避沙盒分析，并通过JobScheduler服务实现持久化。该恶意软件能够从C2服务器接收广泛的命令集，用于数据外泄、设备操控和加密货币盗窃。此外，它还能够伪装成合法应用，如Google News，以欺骗用户。该恶意软件通过C2服务器ping.ynrkone.top进行通信，使用HTTP和WebSocket协议。

披露时间：2025年10月29日

情报来源：https://www.reversinglabs.com/blog/tracking-discord-rat-family

相关信息：

ReversingLabs的研究人员在发现了四个新的远程访问木马（RAT），这些RAT利用Discord平台进行命令与控制（C2）。这些RAT由一个名为“STD Group”的威胁行为者群体操作，包括Minecraft RAT、UwUdisRAT、STD RAT和Propionanilide RAT。这些RAT之间代码高度相关，可能基于同一代码库重命名而来。研究人员提供了详细的文件指标和两个YARA规则，以帮助安全团队检测这些RAT及其自定义打包器。文章还详细分析了每个RAT的特征，例如UwUdisRAT的早期样本包含用户名“Digital”，而STD RAT的早期样本包含未加密的Discord令牌。此外，Propionanilide RAT展示了从单一有效载荷到使用打包器的演变。研究人员还提供了Python解密器，用于解码这些RAT使用的ROT23加密。

披露时间：2025年11月5日

情报来源：https://www.malwarebytes.com/blog/news/2025/11/apple-patches-50-security-flaws-update-now

相关信息：

Malwarebytes提醒用户，苹果公司已经发布了针对其设备和软件的安全更新，修复了近50个安全漏洞。这些漏洞可能允许网络犯罪分子查看用户的私人数据、控制设备的部分功能，或破坏关键的安全保护。其中特别提到两个严重的安全漏洞：CVE-2025-43442，这是一个权限问题，可能允许应用程序识别用户安装的其他应用程序；CVE-2025-43455，这是一个隐私问题，允许恶意应用程序捕获嵌入式视图中的敏感信息。苹果通过加强隐私检查和隔离策略来解决这些问题。

披露时间：2025年11月2日

情报来源：https://research.checkpoint.com/2025/drawn-to-danger-windows-graphics-vulnerabilities-lead-to-remote-code-execution-and-memory-exposure/

相关信息：

Check Point Research发现了Windows图形设备接口（GDI）中的三个安全漏洞，这些漏洞分别被编号为CVE-2025-30388、CVE-2025-53766和CVE-2025-47984。这些漏洞涉及处理EMF+元文件记录时的边界检查问题，可能导致远程代码执行和信息泄露。研究人员通过模糊测试发现了这些漏洞，并详细分析了每个漏洞的成因和影响。例如，CVE-2025-30388涉及在处理EmfPlusDrawString记录时的堆缓冲区溢出，攻击者可以通过控制特定字段来写入内存。CVE-2025-53766则涉及在处理EmfPlusDrawRects记录时的越界写操作。CVE-2025-47984涉及在处理EMR_STARTDOC记录时的信息泄露问题。微软已在2025年5月、7月和8月的Patch Tuesday更新中修复了这些漏洞。