2026.06.26~07.02
攻击团伙情报
伊朗-Nexus TAG-182 分发 MarkiRAT 监控工具
PolinRider:与朝鲜有关的供应链活动正在开源生态系统中蔓延
APT-C-20利用explorer劫持和LSB隐写等技术实施隐蔽攻击活动分析
与 Lazarus 关联的 npm 恶意软件伪装成 Rollup Polyfill
Turla新型STOCKSTAY后门针对乌克兰及欧洲进行情报收集
攻击行动或事件情报
加密货币 Clipper 浏览器扩展程序攻击活动
Kaspersky披露The Gentlemen勒索组织定制后门与不断演变的攻击战术
从必应搜索到勒索软件:Bumblebee 和 AdaptixC2 推出 Akira
TONResolver RAT 滥用 TON 区块链攻击日本酒店业
Blackpoint披露TaskWeaver Node.js加载器与Djinn Stealer跨平台凭证窃取链
恶意代码情报
伪造的谷歌和 Cloudflare 验证页面传播多种恶意软件家族
JADEPUFFER:用于自动化数据库勒索的代理勒索软件
Cisco Talos披露ARToken:EvilTokens附属PhaaS面板全面解析
RustDuck: 双阶段僵尸网络深度剖析
VIPERTUNNEL Python后门利用LOLBAS技术与SOCKS5隧道隐蔽攻击
漏洞情报
苹果发布 iOS、macOS Tahoe 和 Safari 的安全补丁
Citrix 内存泄漏无限扩大(Citrix NetScaler 预授权内存过度读取 CVE-2026-8451)
攻击团伙情报
01
伊朗-Nexus TAG-182 分发 MarkiRAT 监控工具
披露时间:2026年7月1日
情报来源:https://www.recordedfuture.com/research/nexus-tag182-disseminates-markirat
相关信息:
Recorded Future Insikt Group披露了伊朗关联威胁集群TAG-182的监控活动,该组织通过分发伪装成VPN和媒体播放器(如YEPlayer和Pis2rayVPN)的木马化软件传播MarkiRAT远程访问木马,利用BITSAdmin进行载荷投递,通过伪装成svchost.exe的svehost.exe进程实现持久化,并借助伪造域名和PHP-based C2端点进行数据外泄和监控。该活动在2026年5月26日伊朗部分恢复战时互联网限制后显著加剧,被评估为伊朗国内安全监控行动的一部分,可能与IRGC、Basij Cyber Council、FATA和MOIS等组织有关。
02
PolinRider:与朝鲜有关的供应链活动正在开源生态系统中蔓延
披露时间:2026年7月1日
情报来源:https://socket.dev/blog/polinrider-north-korea-linked-supply-chain-campaign-expands
相关信息:
Socket Threat Research Team披露PolinRider攻击活动,该活动与朝鲜Contagious Interview及Famous Chollima行动关联,攻击者通过向tailwind.config.js、postcss.config.js、eslint.config.mjs等常见配置文件注入恶意代码,利用Tron区块链交易作为死信投递解析C2地址,避免硬编码URL被封锁。该活动最初通过劫持@common-stack/generate-plugin等npm包传播,使用特定解码种子"rmcej%otb%"进行混淆,在安装阶段即触发载荷获取。据OpenSourceMalware统计,PolinRider已入侵超过700个GitHub仓库,远超GlassWorm和TasksJacker等同类活动。攻击者不仅针对npm生态,还将恶意载荷扩展至Packagist PHP包、Go模块及Chrome浏览器扩展,形成跨平台、多生态系统的供应链攻击矩阵
03
APT-C-20利用explorer劫持和LSB隐写等技术实施隐蔽攻击活动分析
披露时间:2026年7月1日
情报来源:https://mp.weixin.qq.com/s/TDb_UzNfebMzMxh_bQdMvA
相关信息:
近期360高级威胁研究院在对APT-C-20组织的持续跟踪过程中发现,该组织用携带恶意宏的诱饵文档作为初始载体,宏代码执行后,会从文档内部解析并释放恶意组件,随后利用COM劫持建立用户级持久化机制,并借助资源管理器初始化COM对象的过程触发恶意DLL加载。加载后的核心模块进一步从经过隐写处理的图片资源中提取并执行Shellcode,最终在内存中构建基于合法云存储平台Filen.io的隐蔽控制框架,实现无文件化驻留与远程控制能力。
04
与 Lazarus 关联的 npm 恶意软件伪装成 Rollup Polyfill
披露时间:2026年6月30日
情报来源:https://research.jfrog.com/post/rollup-polyfill-masquerading/
相关信息:
JFrog Security Research发现Lazarus关联的攻击者通过rollup-packages-polyfill-core等六个npm包伪装Rollup polyfill工具,经多层依赖链从JSONKeeper获取eval载荷,最终部署具备远程控制、浏览器凭证窃取、剪贴板监控和文件收集能力的完整后门。
05
Turla新型STOCKSTAY后门针对乌克兰及欧洲进行情报收集
披露时间:2026年6月26日
情报来源:https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering
相关信息:
Google威胁情报小组分析了Turla组织自2022年12月起部署的STOCKSTAY后门,主要针对乌克兰政府和军事机构及欧洲外交相关实体。该后门采用.NET编写,通过WebSocket加密通信,由三组件构成:STOCKBROKER负责网络隧道,STOCKMARKET负责配置与协调,STOCKTRADER执行文件操作、注册表修改、屏幕截图和命令执行等任务。早期版本伪装成股市数据工具,后演变为PDF查看器等常见应用,配置文件中嵌入加密货币相关URL作为诱饵。STOCKSTAY与Turla另一工具KAZUAR存在显著重叠,包括2025年引入的K1MORPHERSquirrel3字符串混淆机制、多组件分离架构和环境键控防御,表明可能由同一开发团队维护。攻击者通过学术和外交主题钓鱼邮件、恶意RDP文件及利用CVE-2025-8088的WinRAR漏洞分发该后门,并利用Render等第三方平台托管WebSocket服务器以隐藏基础设施。Turla在攻击不同阶段使用STOCKSTAY,初期采用硬编码密码,后期结合环境键控实施精准投放。
攻击行动或事件情报
01
加密货币 Clipper 浏览器扩展程序攻击活动
披露时间:2026年6月30日
情报来源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/
相关信息:
McAfee发现了一场通过恶意浏览器扩展窃取加密货币的大规模活动。攻击者通过未签名的.NET或Golang安装包,向Chrome、Edge、Brave等浏览器植入伪装成“Google Notes”的恶意扩展。该扩展监控剪贴板,利用正则表达式识别比特币、以太坊等链上钱包地址,在用户粘贴前将收款地址替换为攻击者控制的地址,导致资金直接转入攻击者钱包。为绕过浏览器安全机制,安装包会修改Secure Preferences文件并重新计算HMAC值,使扩展看起来像合法安装,同时程序化开启开发者模式以维持加载。扩展的C2地址不硬编码,而是通过查询以太坊智能合约动态解析,攻击者仅需更新链上数据即可轮换基础设施,增加了封堵难度。扩展对主流币种实施按受害者地址一一映射的替换策略,Solana等则使用统一地址。McAfee遥测显示感染遍布全球,以印度最为集中。
02
Kaspersky披露The Gentlemen勒索组织定制后门与不断演变的攻击战术
披露时间:2026年6月30日
情报来源:https://securelist.com/the-gentlemen-raas/120447/
相关信息:
Gentlemen勒索软件团伙自2026年初活跃,已跻身全球前十大勒索组织,主要针对制造业、IT、医疗、金融等行业的全球大型企业。攻击者通常通过漏洞利用或初始访问代理获取权限,而后使用SharpADws、NetScan和netsh进行内网侦察和流量嗅探,窃取敏感凭证。横向移动通过GPO脚本和PsExec实现,同时使用多种BYOVD驱动、kavrmvr.exe及注册表修改等手段禁用安全软件。该团伙部署了Go编写的定制后门,通过Yamux库建立与C2的持久隧道,支持命令执行和SOCKS代理。Go勒索软件采用密码反沙箱、Curve25519与XChaCha20混合加密,支持GPO批量横向扩散,加密前会终止虚拟机和服务并删除卷影副本。新发现的C开发中勒索软件使用AES256-GCM+RSA加密,通过电邮联系,表明团伙正扩展技术栈。攻击通常在取得权限数小时内完成,部分案例中访问权限提前数月已被建立,暗示存在外部初始访问代理合作。
03
从必应搜索到勒索软件:Bumblebee 和 AdaptixC2 推出 Akira
披露时间:2026年6月29日
情报来源:https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/
相关信息:
攻击始于用户通过Bing搜索ManageEngine OpManager时被SEO投毒诱骗至仿冒网站,下载带毒MSI安装包。IT管理员执行该MSI后,通过DLL侧加载启动BumbleBee加载器,该加载器规避独联体地区后,连接DGA生成域名建立C2,约五小时后投放AdaptixC2后门。攻击者利用该后门进行内网侦察,创建域管理员账户并安装RustDesk实现持久化。随后通过RDP横向移动至域控和备份服务器,使用wbadmin导出NTDS.dit、通过lsassy转储LSASS内存、并利用psql窃取Veeam凭据。借助反向SSH隧道和Cloudflare隧道规避防火墙,使用FileZilla经SFTP外传超75GB数据,包括SYSVOL和用户凭证。最后部署Akira勒索软件,通过WMI删除卷影副本,并针对根域和子域执行加密。Swisscom关联案例中攻击者还使用了BYOVD尝试终止安全防护。整个入侵持续约五天,攻击者熟练运用多种开源工具和Living-off-the-land技术。
04
TONResolver RAT 滥用 TON 区块链攻击日本酒店业
披露时间:2026年6月29日
情报来源:https://www.trendmicro.com/en_us/research/26/f/tonresolver.html
相关信息:
攻击者针对日本Booking.com合作酒店,发送伪装成客人投诉的钓鱼邮件,诱骗员工打开恶意LNK文件。该LNK中的PowerShell通过大整数运算解码域名,下载PS1脚本,部署Node.js并执行恶意载荷TONResolver。该RAT采用虚拟机混淆,通过WebSocket加密通信,C2地址不硬编码,而是从TON区块链智能合约动态解析,攻击者可随时更换C2,难以封堵。TONResolver具备保活、文件操作、命令执行和PowerShell执行功能,后续已观察到窃取浏览器凭证。攻击者还利用日程工具合法通知服务绕过SPF/DKIM。
05
Blackpoint披露TaskWeaver Node.js加载器与Djinn Stealer跨平台凭证窃取链
披露时间:2026年6月29日
情报来源:https://blackpointcyber.com/blog/a-djinn-in-the-machine-taskweavers-node-js-intrusion-chain/
相关信息:
Blackpoint发现一起通过SimpleHelp RMM软件CVE-2026-48558认证绕过漏洞发起的攻击,攻击者无需凭证即可获得技术人员会话,利用RMM合法通道投放两个新型恶意软件。TaskWeaver是高度混淆的Node.js加载器,伪装成jquery.js,通过重建require机制隐藏模块加载,采用AES+RSA混合加密与C2通信,仅支持deliver单一指令但可投递任意JavaScript载荷。恢复的二级载荷Djinn Stealer是跨平台窃取器,针对Windows、macOS和Linux系统,广泛收集云平台凭证、源代码控制令牌、包注册表认证、SSH密钥、加密货币钱包及AI开发工具配置与令牌,窃取AI助手凭证可令攻击者继承AI访问的全部代码库和云服务权限。收集数据经RSA加密后通过HTTP外传。
恶意代码情报
01
伪造的谷歌和 Cloudflare 验证页面传播多种恶意软件家族
披露时间:2026年7月2日
情报来源:https://www.malwarebytes.com/blog/threat-intel/2026/07/fake-google-and-cloudflare-verification-pages-spread-multiple-malware-families
相关信息:
Malwarebytes发现一系列利用虚假Google和Cloudflare验证页面的ClickFix攻击活动。攻击者通过伪造reCAPTCHA、Google登录验证和Google Meet音频修复等页面,诱导用户手动复制粘贴恶意PowerShell命令。这些命令从远程IP或Cloudflare R2存储桶下载载荷,经多阶段投放后传播包括HijackLoader、StealC、Remus、Amatera Stealer、NetSupport和Rust窃取器在内的多种恶意软件。其中一个链条通过木马化Franz消息应用下载ResiLoader,该加载器利用OPSWAT AppRemover驱动终止超过140个AV/EDR进程并绕过UAC,最终通过进程镂空执行StealC。攻击基础设施使用同一ASN下的多个IP和Cloudflare Pages域名,并采用随机端口及C2轮换手段规避检测。
02
JADEPUFFER:用于自动化数据库勒索的代理勒索软件
披露时间:2026年7月1日
情报来源:https://webflow.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
相关信息:
Sysdig发现首个由大语言模型完全驱动的代理勒索软件JADEPUFFER。攻击者通过Langflow的CVE-2025-3248未认证RCE漏洞获得初始执行权限,随后由LLM自主完成侦察、凭据窃取、横向移动到最终破坏的全流程。该代理在初始主机上并行扫描云凭据和数据库凭证,通过MinIO对象存储获取关键配置,并通过Nacos服务进行容器逃逸探测。其真实目标为一台暴露的MySQL数据库服务器,LLM在31秒内完成从失败登录到诊断修复的完整过程,利用已知JWT默认密钥注入管理员账号,随后加密全部1,342条Nacos配置项并删除原始表。加密密钥生成后未保存或外传,即使支付赎金也无法解密。攻击代码包含大量自然语言注释,解释攻击意图和决策依据,在破坏阶段根据外键约束失败自动调整命令。该比特币地址为文档示例格式,真实性存疑。
03
Cisco Talos披露ARToken:EvilTokens附属PhaaS面板全面解析
披露时间:2026年7月1日
情报来源:https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/
相关信息:
Cisco Talos发现了一个名为ARToken的钓鱼即服务平台,与先前披露的EvilTokens共享相同的API接口、客户端模式和Cloudflare Worker部署模式,确认为同一生态下的关联平台。ARToken通过伪造发票查询邮件,利用真实供应商关系和合法SharePoint外观绕过安全检测,诱骗受害者点击仿冒链接完成微软OAuth设备码认证。该平台采用七层客户端反分析系统,包括User-Agent检测、浏览器指纹、鼠标轨迹验证和800毫秒时间门控,仅当确认为真实用户时才交付XOR加密载荷,比EvilTokens的服务器端令牌机制更为复杂。ARToken提供80多个API端点,功能涵盖令牌获取、PRT持久化、邮件收发与规则创建、SharePoint和OneDrive文件操作,以及Cloudflare Worker直接部署。其PRT链可令访问权限在密码重置后依然存活。面板还内置跨账户关键词监控、令牌导入导出和协作共享等成熟BEC运营功能。该平台以订阅模式出售访问权限,瞄准金融、人力资源和物流等行业的微软365用户,构成持续威胁。
04
RustDuck: 双阶段僵尸网络深度剖析
披露时间:2026年6月30日
情报来源:https://blog.xlab.qianxin.com/rustduck/
相关信息:
奇安信XLAB发现自2026年2月起活跃的RustDuck僵尸网络,采用Loader和Core双阶段架构,主要用于DDoS攻击,正经历从C向Rust语言的全面技术转型。Loader存在四个演进变种,从早期LCG异或加解密逐步升级至ChaCha20加密,配置和校验机制也日趋复杂。Core模块引入HKDF-SHA256动态密钥派生、基于UTC时间的密钥更新和Curve25519非对称交换,对称加密分支采用Ascon128或ChaCha20与AES-GCM混合体制。该家族内置多维度反调试与环境检测,包括时间差校验、网络黑洞检测、进程列表分析、SHA256自校验等加权评分机制,超标即自毁退出。通信协议基于Noise IK模式,经ECDH密钥交换和HKDF派生后,分上下行独立密钥,通过AES-GCM加密,且握手阶段包含多步身份验证。传播依赖弱口令爆破和IoT及Web应用漏洞,覆盖路由器、摄像头和服务器等环境。
05
VIPERTUNNEL Python后门利用LOLBAS技术与SOCKS5隧道隐蔽攻击
披露时间:2026年6月30日
情报来源:https://www.extrahop.com/blog/vipertunnel
相关信息:
VIPERTUNNEL是一个Python后门,用于建立持久化隐蔽代理。攻击者通过计划任务启动无参数pythonw.exe,借助Python启动钩子sitecustomize.py加载伪装成DLL的高度混淆载荷,经三层解码后,最终在内存中执行植入物,通过SOCKS5隧道转发恶意流量,并通过TCP 443与C2通信,融入正常HTTPS表象以规避检测。该工具可能关联UNC2165,并常与DragonForce勒索软件及Pyramid后渗透框架配合使用。
漏洞情报
01
苹果发布 iOS、macOS Tahoe 和 Safari 的安全补丁
披露时间:2026年6月30日
情报来源:https://www.malwarebytes.com/blog/news/2026/06/update-time-apple-releases-security-patches-for-ios-macos-tahoe-safari
相关信息:
Apple于2026年6月发布iOS 26.5.2、iPadOS 26.5.2、macOS Tahoe 26.5.2和Safari 26.5.2安全更新,修复超过20个安全漏洞,其中大量漏洞集中在WebKit浏览器引擎,由于iOS和iPadOS强制所有浏览器使用WebKit,该引擎同时影响Safari、Chrome、Firefox和Edge,修复内容包括use-after-free漏洞、内存损坏和跨源逻辑错误,攻击者可通过诱导用户加载恶意页面触发,影响从浏览器崩溃到内存损坏乃至从其他标签页泄露数据,此外还修复了Web Extensions和权限处理问题,防止浏览器扩展或网站访问超出预期的数据,libxslt和WebRTC相关库也存在漏洞修复,尽管目前尚无已知在野利用案例,但由于这些漏洞在iOS 26.6和iPadOS 26.6 beta测试期间已被公开,利用代码的开发竞赛已经开始,用户应尽快通过设置中的软件更新功能安装补丁并启用自动更新。
02
Citrix 内存泄漏无限扩大(Citrix NetScaler 预授权内存过度读取 CVE-2026-8451)
披露时间:2026年6月30日
情报来源:https://labs.watchtowr.com/citrixbleed-to-infinity-and-beyond-citrix-netscaler-pre-auth-memory-overread-cve-2026-8451/
相关信息:
watchTowr披露了Citrix NetScaler中一个新的内存超读漏洞CVE-2026-8451,CVSS评分8.8,影响配置为SAML身份提供者的ADC和Gateway设备。漏洞源于XML属性解析器的输入验证不足,在处理未加引号的属性值时,解析器无法正确识别换行符等终止字符,会持续读取直至遇到闭合标签或空字节。通过构造畸形的SAML认证请求,攻击者可诱导服务器解析超出原始XML缓冲区边界的数据,将不应返回的任意内存内容嵌入到响应的NSC_TASS Cookie中回传给客户端。实验成功泄露了填充模式和疑似数据指针,在一定条件下还可通过简单请求触发nsppe进程崩溃造成拒绝服务。Citrix已在14.1-72.61和13.1-63.18版本中修复。
点击阅读原文至ALPHA 9.3
即刻助力威胁研判
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……




发表评论