01

家族团伙事件

• 家族团伙别名：

  JokerStash, Anunak, Carberp, Carbanak, APT-C-11, Carbon Spider，Savage Ladybug

• 家族团伙主要影响行业：

  互联网技术服务, 金融, 物流, 交通, 教育

• 参考链接：
  https://cybersecuritynews.com/fin7-hackers-using-windows-ssh-backdoor/

Fin7 组织（又称 Savage Ladybug）长期针对企业环境发动网络攻击，2022 年起首次利用 Windows SSH 后门实施入侵，其攻击手法核心是结合合法 OpenSSH 工具与批处理脚本（install.bat），在目标 Windows 系统部署后门程序实现持久化控制。该脚本与系统自带的 OpenSSH 组件配合，自动配置并启动 SSH 后门服务，攻击者借此建立反向 SSH 隧道和 SFTP 连接，借助 SSH 协议的合法性绕过常规网络监控，使恶意流量伪装成正常管理流量。这种攻击技术能让攻击者在初始入侵后保持长期隐蔽访问，即便其他入侵途径被封堵，预设 SSH 访问点仍可实现持续控制，且后门部署后几乎无明显修改，通过最小化签名改变规避传统行为检测，为数据窃取和横向渗透提供便利，给企业环境带来持续被攻破的风险，可能导致关键数据长期遭窃取，进而影响系统管理与业务连续性。

• 家族团伙主要影响行业：

  教育, 医疗

• 参考链接：

  https://www.hendryadrian.com/alphalocker-hits-indian-auto-dealer-ampl-austrian-bakery-unterkofler/

近期，AvosLocker 组织以勒索软件即服务（RaaS）模式入侵多家企业，这类攻击已从传统犯罪向服务化、平台化演变，对相关企业构成持续威胁。该组织成功渗透多个目标后，窃取了 117GB 包含财务记录、银行对账单和内部运营文件的敏感数据，并将其发布在暗网泄露站点，以此向受害企业施压，迫使对方满足其相关要求。此次攻击展现了当前勒索软件攻击者借助标准化工具和服务快速实施跨境攻击的特点，通过数据泄露进一步扰乱企业正常运营。数据泄露可能给企业带来严重财务损失、法律风险及声誉受损，内部运营文件外泄还可能危及核心业务安全，造成长期负面影响。

• 家族团伙别名：

  GOLD SAHARA, PUNK SPIDER, G1024, Storm-1567

• 家族团伙主要影响行业：

  互联网技术服务, 汽车

• 参考链接：
  https://www.cysecurity.news/2025/11/growing-vpn-exploits-trigger-fresh.html

近年来，多起Akira利用 VPN 及其他网络设备漏洞的线索显示，攻击者不仅通过加密勒索获利，还窃取敏感信息、出售网络访问权限，加剧受害者风险，其中亚太地区正面临严峻的网络安全形势，部分攻击利用特定 VPN 设备漏洞，因设备迁移后未及时重置本地用户密码，攻击者可通过遗留凭证暴力破解，绕过多重身份验证机制，还部署合法远程监控管理工具，禁用安全防护软件、清除备份数据以掩盖入侵。相关安全机构记录到，此类漏洞利用攻击自 2025 年 7 月后显著上升，虽厂商已发布应急补丁，但大量组织应用不及时仍面临风险，攻击者通过数据窃取与非加密勒索获利并横向渗透。此类攻击导致企业关键数据泄露、系统遭非法控制，还可能引发生产中断、财务损失及信誉危机，严重威胁受害组织持续运营。

02

热点攻击手段

• 攻击方式关键词：

  凭证窃取（T1071）、用户执行（T1204）、获取基础设施（T1583）、命令与控制（T1071）、多阶段攻击（T1070）、数据窃取（T1056）

• 参考链接：
  https://www.hendryadrian.com/ransomware-detection-with-real-time-data-recorded-future/

文章分析了勒索软件攻击的最新趋势，指出在RaaS模式、AI赋能和凭证窃取的推动下，攻击的数量、速度和复杂性不断上升。传统基于签名的检测方法已无法有效应对多态、无文件、加密和凭证失窃等新型手法。因此，结合实时数据、威胁情报、机器学习、行为分析和自动化技术，进行快速响应和预警变得至关重要。该攻击主要通过RaaS模式和凭证窃取实施“log-in, not break-in”攻击，即攻击者通过窃取合法用户凭证入侵系统，而不是直接突破防御。攻击过程中，使用了MITRE ATT&CK框架中的多种手法，如有效账户、命令与脚本解释器、钓鱼等，利用无文件、内存运行模式规避传统防病毒软件。同时，攻击还伴随大量文件修改、加密操作和权限提升行为，攻击者利用File and Directory Discovery和Ingress Tool Transfer等技术实现快速扩散和隐蔽运行。该攻击可能导致企业数据加密、损坏和泄露，严重影响业务连续性和财务安全。

防护建议：

加强实时监控和应急响应，部署EDR和SOAR工具，结合威胁情报、机器学习和行为分析构建主动防御体系，并定期更新检测规则以确保及时拦截类似攻击。

• 攻击方式关键词：

  绕过EDR在隐蔽Hyper-V虚拟机中实施后门植入以实现C2通信及持久化控制

• 参考链接：
  https://securityonline.info/curly-comrades-apt-bypasses-edr-by-hiding-linux-backdoor-inside-covert-hyper-v-vm/

2025年7月，Bitdefender与格鲁吉亚CERT联合调查发现一波复杂的网络攻击。该攻击利用Microsoft Hyper-V虚拟化技术，在受感染的Windows 10系统上部署了隐蔽的Linux后门，绕过传统端点检测措施。攻击者启用了Hyper-V角色并部署了一个名为“WSL”的虚拟机，实际上是一个独立的Hyper-V实例，虚拟机中运行了定制恶意工具CurlyShell和CurlCat，分别用于远程执行命令和操控网络流量。攻击者使用非标准Base64转换技术，躲避传统检测工具的识别，同时通过PowerShell脚本增强持久性，获得经过认证的远程访问权限，并通过脚本控制本地账户密码，确保长期控制。分析还发现攻击者精确配置了iptables规则，将特定流量重定向到控制的SSH服务，利用虚假的TLS证书技术混淆加密通信，进一步降低了被检测的风险。该攻击利用虚拟化环境和定制工具绕过EDR检测，严重威胁受害系统的安全和数据完整性。

防护建议：

加强对启用Hyper-V角色的系统监控，限制未经授权的脚本执行，并加强实时行为检测和安全补丁更新，提升对隐蔽威胁的应对能力。

• 攻击方式关键词：

  定向钓鱼邮件投递（T1566）、恶意附件伪装（T1036）、LNK 文件执行（T1204）、PowerShell 滥用（T1059.001）、反向 Shell 建立（T1071.001）、定时任务实现持久化（T1053.001）、植入工具部署（T1219）

• 参考链接：
  https://gbhackers.com/silent-lynx-apt/

Silent Lynx APT组织以网络间谍活动著称，常通过伪装成工作人员实施定向钓鱼攻击，目标为各类机构，旨在窃取敏感情报并监控国际动态。此次攻击始于通过邮件投递恶意RAR档案，附件模仿合法文件，诱使目标下载。攻击者利用LNK文件和PowerShell脚本，从GitHub仓库下载并执行恶意代码，最终建立TCP反向Shell连接。技术细节显示，攻击者使用多种工具如SilentLoader、Laplas和SilentSweeper，通过定时任务保持持久化控制，同时部署Ligolo-ng隧道工具以确保加密代理和跨平台运行。此策略通过合法平台下载载荷，减少被检测的风险，展示了对最新安全研究成果的快速应对。该攻击可能导致敏感数据泄露，威胁相关部门的信息安全，并增加跨国监控和情报窃取的风险，影响政治稳定和安全合作。

防护建议：

加强电子邮件过滤，严格审查来历不明的附件，特别是仿冒合法文件的钓鱼邮件。同时，严格管控脚本工具的使用，监控合法平台上的异常活动，并对网络流量和定时任务进行实时审计，及时发现并应对潜在风险。

• 攻击方式关键词：

  用户执行（T1204）、获取基础设施（T1583）、社会工程学（T1071）、数据窃取（T1056）、执行远程恶意操作（T1105）、利用合法工具（T1071）

• 情报来源：
  https://cybersecuritynews.com/phishing-attack-that-abuses-cloudflare/

事件中，攻击者利用用户对合法云服务的信任，通过滥用Cloudflare Pages和ZenDesk平台实施欺诈。攻击者注册超过600个恶意域名，利用typosquatting伪造知名品牌的客户支持页面，诱导受害者误以为自己在访问合法网站。钓鱼页面通过人工智能生成，设计精良，嵌入实时聊天界面，攻击者伪装成技术支持人员，诱导受害者提交电话号码、电子邮件等敏感信息。收集到信息后，攻击者引导受害者下载并安装名为Rescue的远程监控工具，执行后门程序，允许远程控制、窃取数据和账户凭证。攻击者还滥用Google和Microsoft的单点登录令牌来扩展攻击面。此攻击结合社交工程和技术手段，增加了传统防御的难度。攻击可能导致设备被远程控制、敏感信息泄露、财务损失和身份盗用，同时损害企业和品牌信誉。

防护建议：

加强云服务平台访问监控、网络安全意识，核实远程控制工具的安装请求，及时更新系统补丁，并启用多重身份验证。同时，安全团队应加强对恶意域名的拦截与清理，持续监控异常活动。

• 攻击方式关键词：

  电子邮件账号劫持（T1586）、钓鱼邮件发送（T1566）、恶意软件伪装（T1036）、远程访问工具滥用（T1219）、凭据窃取（T1003）、横向移动（T1021）、业务系统干预（T1489）

• 情报来源：
  https://thehackernews.com/2025/11/cybercriminals-exploit-remote.html

2025 年 6 月以来，一个威胁团伙与有组织犯罪团伙合作，针对地面运输行业发动攻击，意图通过窃取货运货物获利，其手法和目标较 2024 年 9 月的类似攻击有新变化。攻击者先劫持受害者电子邮件账号，截取业务沟通后伪造含虚假货运信息和合同的钓鱼邮件，诱使受害者点击伪装成合法远程监控工具的恶意安装包，部分案例中还组合使用多个 RMM 工具部署程序；成功安装后，攻击者获取远程访问权限，开展系统侦察并窃取凭据以扩大控制范围，个别案例中还干预货运调度系统、更改设置劫持运输任务。此类攻击会导致货物被窃、物流调度混乱，造成财务损失和业务中断，影响企业运营与客户信任，还可能留下后续入侵隐患。

防护建议：

加强远程监控工具安全管理、更新补丁、扫描漏洞，强化邮件安全与多因素认证，开展员工反诈培训，配备入侵检测与响应系统监控处置异常行为。

03

重点漏洞情报

• 风险等级：严重

• 参考链接：
  https://research.jfrog.com/vulnerabilities/react-native-cli-command-injection-jfsa-2025-001495618/
  https://github.com/react-native-community/cli/commit/15089907d1f1301b22c72d7f68846a2ef20df547

React Native CLI 是一个命令行工具，主要用于帮助开发者创建、初始化和管理 React Native 项目。而 Metro Development Server 是其内置的开发服务器。据描述，在 React Native CLI 开启的 Metro 开发服务器中，由于其默认绑定到外部网络接口，且暴露的 /open-url 服务端点存在输入验证缺陷，导致未经身份验证的远程攻击者可通过向该服务器发送特制的 POST 请求，注入并执行任意操作系统命令或可执行程序，在 Windows 系统上甚至能完全控制命令行参数，从而完全控制运行 Metro 开发服务器的主机系统。