Advent of Configuration Extraction – Part 2: Unwrapping QuasarRAT’s Configuration 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写文章的描述即可。 首先，我需要通读整篇文章，理解它的主要内容。文章主要讲的是QuasarRAT，这是一种基于.NET的远程访问木马。作者详细介绍了如何从二进制文件中提取其加密配置。他们使用了Jupyter Notebook、pythonnet、dnSpy等工具来构建一个Python提取器，并且还处理了混淆版本的样本。 接下来，我需要找出文章的关键点：QuasarRAT是什么，它的功能，以及如何提取配置。还要注意作者提到的方法和工具。 然后，我要把这些关键点浓缩成一百个字以内。确保涵盖QuasarRAT作为.NET RAT的特点、提取加密配置的过程、使用的工具和方法，以及处理混淆版本的能力。 最后，检查语言是否简洁明了，符合用户的要求。 </think> 文章介绍了如何从QuasarRAT（一种基于.NET的远程访问木马）的二进制文件中提取其加密配置。通过使用Jupyter Notebook、pythonnet和dnSpy等工具构建Python提取器，并分析其静态构造函数和IL指令，成功提取了配置信息。文章还扩展了方法以处理混淆版本的样本，并展示了如何通过逆向工程恢复加密字符串。... 2025-12-8 09:16:41 | 阅读: 2 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io instr dnlib operand opcodes python

French NGO Reporters Without Borders targeted by Calisto in recent campaign read file error: read notes: is a directory... 2025-12-3 10:2:12 | 阅读: 10 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io calisto phishing tdr protonmail php

Advent of Configuration Extraction – Part 1: Pipeline Overview – First Steps with Kaiji Configuration Unboxing 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我得仔细阅读文章，抓住主要信息。 文章是关于Sekoia威胁检测与研究团队如何自动化提取恶意软件配置数据的系列文章的第一篇。他们使用Assemblyline平台和ConfigExtractor服务，通过案例分析Kaiji物联网僵尸网络来展示流程。 我需要提炼出关键点：自动化提取配置数据、Assemblyline平台、ConfigExtractor服务、Kaiji案例、以及后续会分析.NET恶意软件。这些信息要在100字内简洁表达。 然后，组织语言，确保流畅且信息完整。比如：“本文介绍了Sekoia团队如何利用Assemblyline平台和ConfigExtractor服务自动化提取恶意软件配置数据，并以Kaiji物联网僵尸网络为例展示了具体流程。后续将分析.NET恶意软件的配置提取。” 这样既涵盖了主要内容，又符合字数限制。 </think> 本文介绍了Sekoia团队如何利用Assemblyline平台和ConfigExtractor服务自动化提取恶意软件配置数据，并以Kaiji物联网僵尸网络为例展示了具体流程。后续将分析.NET恶意软件的配置提取。... 2025-12-1 08:31:47 | 阅读: 1 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io analysis extractor c2 maco

Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers read file error: read notes: is a directory... 2025-11-6 07:34:1 | 阅读: 48 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io booking phishing hotel clickfix powershell

TransparentTribe targets Indian military organisations with DeskRAT read file error: read notes: is a directory... 2025-10-23 06:18:41 | 阅读: 13 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io defence deskrat client payload india

Decoding UserAuthenticationMethod in Microsoft 365 audit logs: the bitfield mapping 分析微软云服务登录日志中的`UserAuthenticationMethod`字段，发现其为位字段，每位代表不同认证方法，并提供了解码方法及示例。... 2025-10-21 07:33:46 | 阅读: 16 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io microsoft entra rollout

Inside Sekoia.io Hackathon 2025 – Innovating together for customer satisfaction Sekoia.io于2025年在布列塔尼南部举办黑客马拉松，7支团队通过3天协作解决7个客户痛点，推出多项创新功能如AI驱动的事件助手和攻击路径可视化工具，并由高管评审选出最佳项目。活动展现公司文化中的自主权与客户至上理念。... 2025-10-16 10:47:2 | 阅读: 41 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io sekoia hackathon squads organized intake

Defrosting PolarEdge’s Backdoor 嗯，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。首先，我需要仔细阅读用户提供的文章内容，理解其主要信息。 这篇文章是关于一个叫做PolarEdge的后门程序的分析报告。它详细描述了这个后门是如何利用CVE-2023-20118漏洞进行攻击的，以及它的技术细节，比如TLS服务器、配置加密、反分析技术等等。此外，文章还提到了该后门影响了多个设备，包括Cisco、Asus、QNAP和Synology路由器。 接下来，我需要将这些关键点浓缩到100字以内。首先确定主要信息：PolarEdge后门利用特定漏洞攻击路由器，具备TLS通信、反分析功能，并且影响多个品牌设备。 然后组织语言，确保简洁明了。可能的结构是：介绍PolarEdge是什么，它的功能和影响范围。 最后检查字数是否符合要求，并确保没有使用任何开头模板。这样就能满足用户的需求了。 </think> 文章介绍了PolarEdge后门程序的技术细节及其攻击行为。该后门通过CVE-2023-20118漏洞感染路由器，在目标设备上建立TLS通信通道，并支持多种模式操作。其配置信息加密存储于二进制末尾，并采用多种反分析技术以规避检测。该恶意软件影响了多个品牌设备，包括Cisco、Asus、QNAP和Synology路由器。... 2025-10-14 07:46:29 | 阅读: 100 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io polarssl analysis c2 x509v3 polaredge

Silent Smishing : The Hidden Abuse of Cellular Router APIs 这篇文章描述了针对Milesight工业蜂窝路由器的漏洞利用事件，攻击者通过这些设备发送恶意短信（smishing），主要针对比利时和法国用户。攻击者利用未认证API访问功能发送钓鱼链接，伪装成政府服务如CSAM和eBox。研究人员发现超过18,000台暴露设备中572台可能易受攻击，并观察到自2022年起持续的恶意活动。... 2025-9-30 07:31:47 | 阅读: 18 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io hxxps phphxxps ebox csam phishing

APT28 Operation Phantom Net Voxel read file error: read notes: is a directory... 2025-9-16 07:1:32 | 阅读: 16 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io nocase beardshell apt28 filen windows

Predators for Hire: A Global Overview of Commercial Surveillance Vendors 这篇文章探讨了商业 surveillance vendors（CSVs）的发展历程及其对隐私和人权的影响。从2010年至今，CSVs通过提供间谍软件帮助政府监控目标，逐渐工业化并扩展市场。然而，其滥用行为引发人权争议和监管压力。尽管面临制裁和法律诉讼，CSVs通过改名、重组等方式继续活跃于高利润市场。... 2025-9-2 07:46:17 | 阅读: 30 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io spyware csvs intellexa predator security

Global analysis of Adversary-in-the-Middle phishing threats read file error: read notes: is a directory... 2025-6-11 09:2:47 | 阅读: 25 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io phishing aitm phaas kits sekoia

Navigating DORA: How Sekoia.io can support your compliance journey 欧盟《数字运营韧性法案》（DORA）自2025年1月起生效，要求金融机构加强网络安全措施，包括保护信息通信技术（ICT）系统、管理网络事件及进行威胁驱动的渗透测试（TLPT）。Sekoia.io通过提供威胁情报、安全运营中心（SOC）平台及自动化响应工具，助力机构实现合规并提升应对真实攻击的能力。... 2025-6-3 07:32:4 | 阅读: 20 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io sekoia dora threats security

The Sharp Taste of Mimo’lette: Analyzing Mimo’s Latest Campaign targeting Craft CMS read file error: read notes: is a directory... 2025-5-27 07:16:56 | 阅读: 39 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io mimo alamdar attacker 4l4md4r iproyal

ViciousTrap – Infiltrate, Control, Lure: Turning edge devices into honeypots en masse. read file error: read notes: is a directory... 2025-5-22 11:31:58 | 阅读: 19 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io attacker routers redirection netghost vicioustrap

Detecting Multi-Stage Infection Chains Madness 文章描述了一起利用Cloudflare隧道基础设施分发远程访问木马（RAT）的网络攻击活动。攻击链复杂，涉及钓鱼邮件、LNK文件、HTA文件及PowerShell脚本等多个阶段，并通过隐藏文件和动态DNS等技术规避检测。Sekoia TDR团队通过多种Sigma规则和CTI情报成功识别并追踪该活动。... 2025-4-22 07:2:19 | 阅读: 26 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io windows chains python powershell attacker

Interlock ransomware evolving under the radar Interlock 是一个自 2024 年 9 月活跃的勒索软件团伙，主要针对大型企业实施双重勒索攻击。他们通过入侵合法网站分发虚假浏览器更新以部署恶意软件，并利用 ClickFix 技术诱骗用户手动执行恶意命令。尽管受害者数量相对较少，但该团伙不断改进工具和技术以增强攻击能力。... 2025-4-16 08:31:33 | 阅读: 21 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io interlock ransomware powershell c2

The evolution of the AI SOC: From Hype to Hyper 文章探讨了人工智能（AI）的不同阶段及其对安全运营中心（SOC）的影响。感知AI通过理解文本、语音和图像增强威胁检测；生成式AI通过创建内容优化检测规则；能动AI引入自主决策的智能体；物理AI实现与物理世界的交互。这些技术共同提升了SOC团队的工作效率，并展望了未来人机协作的安全环境。... 2025-4-14 13:17:7 | 阅读: 8 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io generative agents security perception triage

From Contagious to ClickFake Interview: Lazarus leveraging the ClickFix tactic Lazarus组织通过虚假面试网站ClickFake Interview攻击加密货币行业，利用ClickFix技术在Windows和macOS系统中部署恶意软件GolangGhost和FrostyFerret。该活动针对中心化金融平台员工，窃取敏感数据并远程控制设备。... 2025-3-31 07:1:20 | 阅读: 22 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io clickfake golangghost windows cloudapi sekoia

ClearFake’s New Widespread Variant: Increased Web3 Exploitation for Malware Delivery ClearFake是一种恶意JavaScript框架，通过注入受攻击网站传播恶意软件。它利用区块链技术隐藏代码，并采用ClickFix诱饵欺骗用户执行PowerShell命令下载勒索软件。最新变种结合Binance Smart Chain与社会工程学技术，通过伪造验证页面诱导用户感染系统。... 2025-3-18 08:17:28 | 阅读: 36 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io hxxps clearfake powershell stage clickfix