SVG Phishing hits Ukraine with Amatera Stealer, PureMiner FortiGuard Labs发现了一起伪装成乌克兰政府机构的钓鱼活动，通过恶意SVG文件传播Amatera Stealer和PureMiner等恶意软件。攻击者利用SVG文件诱导受害者下载并执行恶意代码，最终实现敏感信息窃取和资源 hijacking。... 2025-9-26 13:0:0 | 阅读: 21 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com stealer amatera pureminer malicious payload

SEO Poisoning Attack Targets Chinese-Speaking Users with Fake Software Sites 2025年8月，FortiGuard Labs发现针对中文用户的SEO中毒攻击。攻击者利用SEO插件和仿冒域名提高搜索排名，诱导用户访问伪造页面并下载恶意软件。该活动主要分发Hiddengh0st和Winos变种恶意软件。... 2025-9-12 13:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com software c2 analysis shellcode windows

MostereRAT Deployed AnyDesk/TightVNC for Covert Full Access FortiGuard Labs发现了一个针对Windows系统的钓鱼攻击活动，利用EPL语言开发分阶段payload，并通过隐藏恶意操作、禁用安全工具和mTLS加密C2通信等技术实现高级 evasion。攻击者通过钓鱼邮件诱导用户下载恶意Word文档，进而部署远程访问木马MostereRAT以完全控制受感染系统。... 2025-9-8 13:0:0 | 阅读: 13 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com windows security epk payload download

Phishing Campaign Targeting Companies via UpCrypter FortiGuard Labs发现一起针对Microsoft Windows用户的钓鱼攻击活动。攻击者通过伪装成语音信箱或采购订单等主题的邮件发送恶意链接，诱导用户下载JavaScript文件以部署UpCrypter恶意软件。该软件进一步释放PureHVNC、DCRat和Babylon RAT等远程访问木马（RATs），实现对目标系统的完全控制。... 2025-8-25 13:0:0 | 阅读: 34 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com phishing loader powershell payload windows

The Resurgence of IoT Malware: Inside the Mirai-Based “Gayfemboy” Botnet Campaign Gayfemboy是一种针对多个网络设备漏洞的恶意软件，能够远程控制受感染系统，并具备DDoS攻击和后门访问功能。... 2025-8-22 13:0:0 | 阅读: 57 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com gayfemboy c2 draytek injection

The Resurgence of IoT Malware: Inside the Mirai-Based Botnet Campaign 文章描述了一种名为“Gayfemboy”的恶意软件，利用DrayTek、TP-Link、Raisecom和Cisco等厂商设备的漏洞进行攻击，影响严重。该恶意软件能够远程控制受感染系统，并通过不断进化增强复杂性和逃避检测能力。... 2025-8-22 13:0:0 | 阅读: 0 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com c2 draytek injection fortiguard

From ClickFix to Command: A Full PowerShell Attack Chain 该攻击活动针对以色列企业与基础设施，利用PowerShell分阶段传播恶意软件并部署远程访问木马（RAT），具备数据外泄、监控与横向移动能力。攻击链包括钓鱼邮件、模拟Microsoft Teams页面及社会工程学诱骗用户执行恶意命令。尽管与MuddyWater活动相似，但归因尚不明确。... 2025-8-11 13:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com powershell c2 remote payload pharmacynod

Unveiling a New Variant of the DarkCloud Campaign DarkCloud恶意软件通过钓鱼邮件传播，利用RAR附件中的JavaScript文件启动攻击链。该恶意软件窃取浏览器、支付信息及联系人数据，并通过SMTP发送给攻击者。Fortinet提供多层防护以应对此类威胁。... 2025-8-7 13:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com darkcloud payload powershell victim analysis

Malicious Packages Across Open-Source Registries: Detection Statistics and Trends (Q2 2025) 文章指出开源软件仓库被滥用为恶意软件传播渠道的趋势持续存在。2025年第二季度数据显示，攻击者通过NPM和PyPI包进行数据窃取等行为依然频繁。攻击者采用最小化代码 footprint、利用安装脚本及混淆技术等方式隐藏恶意行为。Fortiguard Labs监测到大量恶意包，并提供防护建议以应对供应链威胁。... 2025-8-4 13:0:0 | 阅读: 20 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com malicious python mali 10037449

In-Depth Analysis of an Obfuscated Web Shell Script 文章分析了针对中东关键基础设施的网络入侵事件中使用的UpdateChecker.aspx Web Shell。该恶意软件通过高度混淆的C#代码实现远程控制功能，支持文件管理、命令执行等操作，并使用加密的HTTP POST请求传输JSON格式的控制指令。 Fortinet提供相关防护措施以应对此类威胁。... 2025-7-25 13:0:0 | 阅读: 20 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com filemanager attacker analysis fortiguard windows

Inside The ToolShell Campaign 微软SharePoint服务器遭多个威胁行为者攻击，利用新漏洞链"ToolShell"实现远程代码执行。攻击者结合已修补及零日漏洞，在野利用加速。FortiGuard发布防护措施及IPS签名应对威胁。... 2025-7-25 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com fortiguard remote microsoft 203 toolshell

A Special Mission to Nowhere 以色列与伊朗军事冲突后，美国介入促使停火。网络钓鱼活动利用恐慌情绪，以虚假的紧急撤离服务窃取个人信息和银行资料。该网站伪装成高端商务飞机服务，提供低价机票，并通过可疑链接收集敏感数据。技术细节显示其不真实性。... 2025-7-23 13:0:0 | 阅读: 14 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com lineage 1000e charter flight

NailaoLocker Ransomware’s “Cheese” NailaoLocker是一种针对Windows系统的勒索软件，使用AES-256-CBC加密文件，并嵌入SM2加密密钥和内置解密功能。其独特性在于支持解密但实际测试中密钥无效，可能为测试版本或陷阱。该软件通过DLL侧加载技术传播，并采用多线程优化加密性能。尽管具有潜在恢复性，仍构成高威胁。... 2025-7-18 13:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com encryption ransomware evp memory

Improving Cloud Intrusion Detection and Triage with FortiCNAPP Composite Alerts 现代云攻击复杂且难以检测，攻击者利用多阶段技术模仿合法活动。FortiCNAPP通过Composite Alerts和Observation Timeline关联弱信号，提供高保真检测和结构化时间线，帮助分析师快速识别威胁并减少误报。... 2025-7-17 13:0:0 | 阅读: 18 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com forticnapp cloud composite observation signals

Old Miner, New Tricks 文章描述了H2Miner挖矿僵尸网络与Lcryx勒索软件的新变种Lcrypt0rx之间的关联。H2Miner自2019年起活跃，利用脚本禁用安全软件并部署Kinsing恶意软件；而Lcrypt0rx则通过加密文件、禁用系统工具和修改注册表进行破坏。两者共享基础设施，可能由同一团队操作。文章指出Lcrypt0rx代码异常特征暗示AI生成，并强调其对Linux、Windows和容器平台的影响及数据加密风险。... 2025-7-16 13:0:0 | 阅读: 18 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com lcrypt0rx windows h2miner encryption kinsing

How FortiSandbox 5.0 Detects Dark 101 Ransomware Despite Evasion Techniques Dark 101 勒索软件通过混淆 .NET 文件传播，加密用户数据并删除备份以阻止恢复。它伪装为系统进程svchost.exe，并禁用任务管理器以避免被终止。该恶意软件还执行命令删除卷影副本和备份目录，并在加密文件后生成赎金说明索要比特币支付。... 2025-7-14 13:0:0 | 阅读: 18 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ransomware analysis windows encryption victim

Catching Smarter Mice with Even Smarter Cats 文章探讨了人工智能在反病毒领域的应用与挑战。AI在处理恶意软件的打包与混淆方面取得进展，尤其在标准混淆上表现良好，但在复杂打包和新兴语言如Rust上仍需改进。尽管如此，AI为反病毒行业提供了新工具，使其首次占据优势地位。... 2025-7-10 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com flutter delphi ladvix assistance ghidra

NordDragonScan: Quiet Data-Harvester on Windows 文章描述了NordDragonScan恶意软件通过伪装文件传播，窃取文档、浏览器数据和截图，并将其发送至C2服务器。该软件利用LNK快捷方式和HTA脚本进行攻击，并创建持久化机制以维持长期存在。... 2025-7-7 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com fortiguard malicious c2 payload

RondoDox Unveiled: Breaking Down a New Botnet Threat 文章描述了一种名为RondoDox的新型恶意软件，利用CVE-2024-3721和CVE-2024-12856漏洞攻击TBK DVR和Four-Faith路由器设备。该恶意软件具备复杂的持久化机制、反分析能力，并能伪装成合法流量发起DDoS攻击。... 2025-7-3 13:0:0 | 阅读: 21 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com rondodox fortiguard analysis c2 dvr

DCRAT Impersonating the Colombian Government FortiMail团队发现一起针对哥伦比亚的网络攻击，利用DCRAT远程木马通过钓鱼邮件传播。该恶意软件采用模块化设计，具备远程控制、数据窃取和系统操作等功能，并通过多重混淆和隐写技术躲避检测。... 2025-7-1 13:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com windows processes fortiguard figures malicious