Dissecting a Malicious Havoc Sample Havoc是一种远程访问木马（RAT），通过伪装成系统进程conhost.exe注入cmd.exe实现完全控制。它支持多种命令和模块，可执行文件操作、进程管理等，并利用Beacon对象文件扩展功能。Fortinet的安全产品已提供防护措施。... 2025-6-23 13:0:0 | 阅读: 6 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com demon havoc c2 remote injector

Threat Group Targets Companies in Taiwan 2025年1月起，针对台湾用户的网络攻击活动持续活跃。攻击者通过伪装成台湾国税局的钓鱼邮件传播winos 4.0恶意软件，并利用HoldingHands RAT远程访问木马进行多阶段攻击。该恶意软件通过复杂执行流程下载恶意负载，并与C2服务器通信以接收进一步指令。FortiGuard已检测并阻止相关威胁活动。... 2025-6-17 13:0:0 | 阅读: 11 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com msgdb payload shellcode c2 phishing

How a Malicious Excel File (CVE-2017-0199) Delivers the FormBook Payload 这篇文章描述了一次针对旧版Microsoft Office用户的钓鱼攻击活动。攻击者通过恶意Excel附件利用CVE-2017-0199漏洞传播FormBook恶意软件，窃取敏感信息如登录凭证和键盘记录。该活动涉及多个步骤，包括恶意HTA文件下载和执行、sihost.exe运行以及最终解码出FormBook核心payload。... 2025-6-5 15:0:0 | 阅读: 13 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com malicious 0199 formbook phishing springmaker

Deep Dive into a Dumped Malware without a PE Header 文章描述了 FortiGuard 事件响应团队对一起恶意软件事件的调查过程。通过对受感染机器的内存转储分析，团队成功提取并解析了恶意软件代码。该恶意软件通过加密通信与 C2 服务器交互，并具备截图、远程控制和系统服务操作等功能。Fortinet 的安全产品已针对该威胁提供防护措施。... 2025-5-29 15:0:0 | 阅读: 12 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com memory c2 analysis windows dumped

Infostealer Malware FormBook Spread via Phishing Campaign – Part II FormBook是一种复杂的恶意软件，利用多种反分析技术（如复制ntdll.dll、API混淆、动态解密函数）和Heaven’s Gate技术在受感染Windows系统中运行。它收集敏感数据（如浏览器凭证、剪贴板内容），通过加密通信与C2服务器交互，并接收控制命令执行远程操作（如文件下载、进程终止、系统重启）。... 2025-5-27 15:0:0 | 阅读: 16 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com formbook hxxp windows c2 analysis

Ransomware Roundup – VanHelsing VanHelsing 勒索软件针对 Microsoft Windows 系统进行攻击，加密文件并添加 .vanlocker 扩展名以索取赎金。该恶意软件避开特定文件类型和目录，并创建互斥对象 Global\\VanHelsing。Fortinet 提供检测和防护解决方案，并建议组织加强数据备份和采用零信任策略以应对威胁。... 2025-5-16 15:0:0 | 阅读: 12 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ransomware vanhelsing fortiguard security vanlocker

Horabot Unleashed: A Stealthy Phishing Threat Horabot是一种针对西班牙语用户的恶意软件，通过伪装成发票的钓鱼邮件传播。它利用HTML文件和恶意脚本窃取敏感信息，并通过Outlook发送钓鱼邮件进一步传播。主要影响拉丁美洲用户。... 2025-5-12 15:0:0 | 阅读: 8 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com autoit hxxps winupdate malicious powershell

Multilayered Email Attack: How a PDF Invoice and Geo-Fencing Led to RAT Malware 文章描述了一个针对西班牙、意大利和葡萄牙组织的新电子邮件活动，利用远程访问木马（RAT）通过多种规避技术传播恶意软件。攻击者利用合法电子邮件服务和地理位置过滤等手段隐藏真实来源，并通过伪装成发票的PDF文件诱导用户下载恶意JAR文件。该恶意软件能够在安装了Java运行环境的系统上运行，并允许攻击者远程控制设备并窃取敏感数据。... 2025-5-8 15:0:0 | 阅读: 7 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com security malicious phishing ngrok ratty

FortiGuard Incident Response Team Detects Intrusion into Middle East Critical National Infrastructure FortiGuard团队调查了一起针对中东关键基础设施的长期网络入侵事件，时间从2023年5月至2025年2月。该事件由伊朗支持的威胁组织实施，利用多种恶意软件和工具进行多阶段攻击。尽管防御方采取措施遏制了入侵，但攻击者仍试图通过漏洞和钓鱼攻击重新获取访问权限。... 2025-5-1 15:0:0 | 阅读: 22 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com network containment victim hanifnet

Key Takeaways from the 2025 Global Threat Landscape Report 2024年网络安全威胁加速演变：攻击者利用自动化和AI技术缩短侦察到入侵时间； credential盗窃激增；云服务成主要攻击目标；旧漏洞持续被利用；防御需转向持续威胁管理以应对快速变化的威胁环境。... 2025-4-28 13:0:0 | 阅读: 4 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com attackers cloud network security

IngressNightmare: Understanding CVE‑2025‑1974 in Kubernetes Ingress-NGINX Kubernetes Ingress-NGINX控制器发现严重漏洞IngressNightmare（CVE-2025-1974等），允许攻击者通过网络访问admission webhook实现远程代码执行。受影响版本包括v1.11.0-4、v1.12.0及以下。修复建议包括升级至v1.12.1+或v1.11.5+、限制webhook访问、禁用未使用功能及强化服务账户权限。检测方法涉及监控异常行为和使用安全工具如Lacework FortiCNAPP及Fortinet产品。... 2025-4-23 15:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ingress network kubernetes malicious

Infostealer Malware FormBook Spread via Phishing Campaign – Part I Fortinet发现一起网络钓鱼活动，通过伪装成销售订单的恶意Word文档传播Formbook恶意软件。该文档利用CVE-2017-11882漏洞执行恶意代码，并通过进程空洞技术将Formbook注入目标进程运行。... 2025-4-22 15:0:0 | 阅读: 6 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com formbook rtf phishing decrypted equation

New Rust Botnet "RustoBot" is Routed via Routers FortiGuard Labs发现新的僵尸网络RustoBot通过TOTOLINK和DrayTek设备传播，利用CGI脚本漏洞远程控制设备并发起DDoS攻击，影响多个行业的技术领域。... 2025-4-21 15:0:0 | 阅读: 14 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com totolink hxxp rustobot injection fortiguard

Malicious NPM Packages Targeting PayPal Users FortiGuard Labs发现一系列恶意NPM包利用PayPal相关名称窃取敏感信息，并通过预安装脚本收集系统数据发送至攻击者服务器。... 2025-4-11 13:0:0 | 阅读: 5 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com tommyboy oauth2 malicious

RolandSkimmer: Silent Credit Card Thief Uncovered 文章描述了一种名为“RolandSkimmer”的高级信用卡网络钓鱼攻击活动。该活动通过恶意LNK文件传播，在Windows系统中运行并利用Chrome、Edge和Firefox浏览器扩展收集用户的敏感财务信息。攻击者使用混淆技术隐藏其恶意行为，并通过持续的数据收集和隐蔽的数据传输机制实现长期控制和数据窃取。... 2025-4-2 16:30:0 | 阅读: 3 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com malicious victim attacker fortiguard site1

Real-Time Anti-Phishing: Essential Defense Against Evolving Cyber Threats 文章指出网络钓鱼仍是全球主要网络安全威胁之一，涉及财务损失、数据泄露等风险。随着AI技术的应用，钓鱼攻击更具欺骗性且目标广泛。实时反钓鱼解决方案结合AI和机器学习可有效识别未知威胁。加强员工安全意识也是防御关键。... 2025-3-20 13:0:0 | 阅读: 26 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com phishing fortiguard rtap machine threats

Fortinet Identifies Malicious Packages in the Wild: Insights and Trends from November 2024 Onward FortiGuard Labs分析了2024年11月以来的恶意软件包，发现攻击者利用低文件数、可疑安装脚本、无仓库URL等多种技术来规避检测并利用系统漏洞。报告指出这些威胁可能引发数据窃取、远程控制等风险，并提供了防御建议及检测工具支持。... 2025-3-10 13:0:0 | 阅读: 7 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com malicious python amzn seller attacker

Havoc: SharePoint with Microsoft Graph API turns into FUD C2 文章描述了一起利用钓鱼邮件和多阶段恶意软件传播的网络攻击活动，攻击者通过伪装错误提示诱导用户执行恶意PowerShell命令，最终部署修改后的Havoc框架以控制目标系统。攻击者利用微软Graph API隐藏C2通信，并结合SharePoint网站进行恶意活动。FortiGuard实验室提供了相关检测和防护措施。... 2025-3-3 14:0:0 | 阅读: 15 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com havoc c2 powershell demon python

Winos 4.0 Spreads via Impersonation of Official Email to Target Users in Taiwan 2025年1月，Winos4.0恶意软件通过伪装成台湾税务总局的钓鱼邮件攻击台湾公司。该软件利用多阶段加载机制，从C2服务器获取模块并执行多种恶意行为，包括持久化、绕过UAC、收集信息和键盘记录等。FortiGuard实验室已检测并提供防护措施。... 2025-2-27 14:0:0 | 阅读: 22 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com shellcode cos guangzhou myqcloud 360sdgg

FortiSandbox 5.0 Detects Evolving Snake Keylogger Variant FortiGuard Labs检测到新的Snake Keylogger变种AutoIt/Injector.GTY!tr，该恶意软件通过钓鱼邮件传播，记录键盘输入窃取浏览器敏感信息，并通过SMTP和Telegram外传数据。已影响中国、土耳其等地区。... 2025-2-18 14:0:0 | 阅读: 16 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com snake analysis fsav5 malicious ageless