[0411] 一周重点威胁情报|天际友盟情报站

发布于 作者:

[0411] 一周重点威胁情报|天际友盟情报站

天际友盟 天际友盟 2025-04-11 07:04

热点情报

  • 微软补丁日通告:2025年4月版

  • Lazarus组织npm恶意软件活动再扩张

  • Kimsuky使用恶意软件定向渗透韩国企业

  • APT32利用GitHub对安全团队和企业网络发动攻击

  • UAC-0226组织利用GIFTEDCROOK与恶意宏实施精准攻击

APT攻击

  • Kimsuky组织针对韩国政府投放诱饵文件

  • 多平台攻击驱动的SideCopy组织新技术分析

  • 借反病毒之名:ToddyCat利用漏洞隐匿攻击痕迹

  • Scattered Spider借助多种钓鱼套件与RAT技术持续发起网络攻击

  • Outlaw组织在Linux服务器上部署加密劫持恶意软件进行挖矿活动

技术洞察

  • 伪装成政府官方应用的Android恶意软件变种分析

  • Neptune RAT:针对Windows系统的高级远控木马

  • 邮件钓鱼与恶意软件下载双重攻击致用户敏感信息泄露

  • 信用卡盗刷活动RolandSkimmer利用浏览器扩展窃取敏感数据

  • G
    randoreiro恶意软件针对西班牙和拉丁美洲用户窃取银行凭证

情报详情

  • 微软补丁日通告:2025年4月版

微软近期发布了2025年4月的安全更新。本次安全更新修复了总计134个安全漏洞,其中包括1个被积极利用的零日漏洞。在漏洞类型方面,主要包括49个特权提升漏洞、9个安全功能绕过漏洞、31个远程代码执行漏洞、17个信息泄露漏洞、14个拒绝服务漏洞、3个欺骗漏洞。本次发布的安全更新涉及Windows DWM Core Library、Microsoft Edge、OpenSSH、Azure Portal Windows Admin Center、ASP.NET Core、Windows NTFS、Dynamics Business Central、Visual Studio Code等多个产品和组件。

详情查询:
https://redqueen.tj-un.com/home/infoDetail/1d833c885c0844ac9aa970adebada80f

  • Lazarus组织npm恶意软件活动再扩张

朝鲜威胁组织Lazarus在npm生态系统中扩大其恶意活动,发布了多个恶意软件包。这些软件包以实用工具的名义出现,实际用于窃取开发者系统中的敏感信息和资产。攻击者使用多种技术来隐藏恶意行为,如十六进制字符串编码、多层混淆等,并通过 C2 服务器进行控制。攻击活动涉及多个平台和账户,且部分账户已被暂停,但威胁仍在持续。此次攻击影响了开发者系统的安全,可能导致敏感信息泄露和财产损失。攻击活动针对的是信息技术行业。

详情查询:
https://redqueen.tj-un.com/home/infoDetail/abe67a9298194d2ca0609599d5790cd9

  • Kimsuky使用恶意软件定向渗透韩国企业

近日,安全研究人员发现了一批与Kimsuky历史样本相似的恶意软件,其中一个样本伪装成韩国软件厂商BlueMoonSoft签名的合法程序,通过精心设计的鱼叉邮件诱导受害者下载恶意载荷。恶意软件采用Dropper技术分两阶段进行攻击:第一阶段负责收集感染设备的系统与网络配置信息,并通过动态域名的C2服务器上传数据;第二阶段则在内存中加载后门程序,实现远程控制。值得注意的是,新版后门在启动时会检测设备主机名是否包含“DANAM”等关键字,疑似指向韩国企业Danam,该公司业务涉及电子制造、通信和国防军工。只有符合条件的设备才会执行核心恶意代码,显示出攻击具有高度定向性。

详情
查询:
https://redqueen.tj-un.com/home/infoDetail/a10e4738b34544149e76788a7a2b4e68

  • APT32利用GitHub对安全团队和企业网络发动攻击

2024年,东南亚高级持续性威胁组织 APT32被发现利用GitHub对中国网络安全专业人员发动复杂的毒化攻击。攻击者从2024年9月中旬开始,通过在Visual Studio项目中嵌入恶意的.suo文件,在编译时触发执行,自动加载并执行恶意代码,随后删除以避免检测。攻击者还创建了名为0xjiefeng的GitHub账户,发布带有后门的Cobalt Strike插件工具,诱骗中国网络安全社区的目标。此次攻击利用了Notion API进行C2通信,并使用了多个C2服务器。攻击在中国网络安全社区广泛传播,许多博客和平台无意中分享了被植入后门的项目。    

详情
查询:
https://redqueen.tj-un.com/home/infoDetail/6887707f92a14ab389d4d3f75b87679a

  • UAC-0226组织利用GIFTEDCROOK与恶意宏实施精准攻击

自2025年2月起,乌克兰计算机应急响应小组CERT-UA监测到一起目的为间谍活动的针对性攻击事件,攻击目标为乌克兰军事领域的创新发展中心、军事编队、执法机构、地方自治机构等,特别是位于该国东部边境的相关机构。攻击者通过发送包含宏的XLS文档(.xlsm)进行初步攻击,文档中的宏会将base64编码的字符串转换为可执行文件并在计算机上运行。截至2025年4月,已知存在两种实现网络威胁的软件工具,一种是包含PowerShell脚本的.NET程序,另一种是被分类为GIFTEDCROOK的C/C++ 程序窃取器,它可以获取浏览器数据并进行数据窃取和外发。攻击活动被标识为UAC-0226。

详情查询:
https://redqueen.tj-un.com/home/infoDetail/e80c6e6a0fa141429908a1c025340aac

一直以来,天际友盟秉承“创造安全价值”
的理念,致力于提供全生命周期的数字风险防护服务,为客户的数字化业务保驾护航。天际友盟以专注的威胁情报技术研究能力为支撑,以成熟多样的产品与服务落地,将数字风险防护的价值应用到众多客户的多样行业场景之中。

天际友盟技术骨干均为国内安全行业的专家人才,有着超过10年的安全从业经验,对威胁情报、数字风险、大数据分析、人工智能等领域有着深入的了解和丰富的实践经验。

天际友盟目前在北京、上海、深圳、广州、珠海、江苏、西安、沈阳、长春、哈尔滨、长沙、石家庄、太原、香港、澳门等多地设有分支机构,为全国各地的客户及合作伙伴提供及时、高效、优质的服务。2024年天际友盟在新加坡设立了东南亚业务中心,覆盖亚太市场。

了解更多内容请访问:https://www.tj-un.com

客户案例

威胁情报****

CNCERT | 上海网信办 | 国家信息中心 | 国家电网

中国航信 | 
中国电子技术标准化研究院 | 
青岛税务局

河北省税务局 |
中国银行 | 宁夏银行

国家信息技术安全研究中心 | 
天津经开区 | ASTRI

华为 | 滴滴出行 | 吉视传媒 | OPPO | 
长安汽车

河南电力 | 北京电力 | 浙江电力 | 中国移动

中国电信北京研究院 | 
湖南广电
 | Green Radar

北京电视台 | 天懋信息 | 核工业计算机应用研究所

上海观安 | 
数梦工场 | 重庆银行 | 北京安态

数字风险防护

中国银行 | 交通
银行 | 厦门国际银行

深圳农村商业银行 | 泉州银行 | 立桥银行 | 秦皇岛银行

黄河农村银行 | 乌鲁木齐银行 | 中国银联 | 泸州银行

昆仑银行 | 绵阳市商业银行 | 中泰证券
 | 
辉腾金控

安信证券 | 中国航信 | 大业信托 | 国信证券 | 国信期货

国家电网 | 核工业计算机应用研究所 | 顺丰速递

青岛市税务局 | 河北省税务局 | 中国密码学会

一图一数 | 抖音 | Tiktok | 懂车帝 | 字节跳动

火山小视频 | Musical.ly | 火币网 | OKCoin | Bit-Z

西瓜视频 | 京东 | 今日头条 | TANDL