Driver of destruction: How a legitimate driver is being used to take down AV processes 文章描述了一起利用恶意软件“AV killer”攻击事件，该软件通过滥用ThrottleStop.sys驱动终止杀毒进程并降低系统防御。攻击者通过有效凭证入侵SMTP服务器后横向移动，并部署MedusaLocker勒索软件加密系统。... 2025-8-6 10:15:13 | 阅读: 24 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com killer memory attacker security

Cobalt Strike Beacon delivered via GitHub and social media 2024年下半年，俄罗斯IT行业及其他国家实体遭遇网络攻击。攻击者利用DLL劫持、API混淆等技术，并通过社交平台隐藏恶意软件。攻击主要通过伪装成合法通信的钓鱼邮件传播，目标为俄罗斯IT公司为主，波及多国。... 2025-7-30 09:30:19 | 阅读: 25 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com malicious hxxps microsoft attackers

ToolShell: a story of five vulnerabilities in Microsoft SharePoint 在2025年7月19日至20日，安全公司和国家CERT报告称，在Premise SharePoint服务器上活跃利用了两个漏洞（CVE-2025-49704和CVE-2025-49706），允许无认证控制服务器。微软发布了针对其他漏洞的补丁（CVE-2025-53770和CVE-2025-53771），但引发混淆。攻击影响全球多国多行业。Kaspersky检测到恶意活动并提供防护建议。... 2025-7-25 07:0:20 | 阅读: 16 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com microsoft 49704 layouts 49706

Rumble in the jungle: APT41’s new target in Africa read file error: read notes: is a directory... 2025-7-21 08:0:0 | 阅读: 37 | 收藏 | Securelist - securelist.com attackers windows malicious cobalt library

GhostContainer backdoor: malware compromising Exchange servers of high-value organizations in Asia read file error: read notes: is a directory... 2025-7-17 08:0:53 | 阅读: 20 | 收藏 | Securelist - securelist.com exchange proxy attacker

Forensic journey: Breaking down the UserAssist artifact structure read file error: read notes: is a directory... 2025-7-14 10:0:6 | 阅读: 25 | 收藏 | Securelist - securelist.com userassist fireevent ueme ctlsession nmax

Code highlighting with Cursor AI for $500,000 read file error: read notes: is a directory... 2025-7-10 11:15:19 | 阅读: 27 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com malicious solidity attackers powershell developer

Approach to mainframe penetration testing on z/OS. Deep dive into RACF 文章探讨了IBM z/OS大型机上的RACF安全包，分析了其决策逻辑、数据库结构及实体间交互关系，并介绍了一款名为racfudit的工具，用于离线分析RACF配置以识别潜在安全漏洞和权限提升路径。... 2025-7-8 10:0:16 | 阅读: 27 | 收藏 | Securelist - securelist.com racf database phrase des

Batavia spyware steals data from Russian organizations 这篇文章描述了针对俄罗斯工业组织的Batavia间谍软件攻击活动。攻击始于2024年7月，通过伪装成合同的钓鱼邮件传播。恶意软件分为三个阶段：VBS脚本下载恶意文件、WebView.exe收集系统信息并下载下一阶段恶意软件、javav.exe扩展文件收集范围并使用UAC绕过技术执行更多恶意操作。攻击导致大量内部文档和系统信息被盗。... 2025-7-7 10:0:26 | 阅读: 21 | 收藏 | Securelist - securelist.com malicious oblast download stage javav

AI and collaboration tools: how cyberattackers are targeting SMBs in 2025 中小企业面临日益严重的网络攻击威胁，包括伪装成流行工具的恶意软件和AI驱动的钓鱼攻击。需加强安全措施如员工培训、使用官方来源软件等以降低风险。... 2025-6-25 10:0:12 | 阅读: 17 | 收藏 | Securelist - securelist.com smbs malicious security microsoft phishing

SparkKitty, SparkCat’s little brother: A new Trojan spy found in the App Store and Google Play 研究人员发现新的间谍软件通过感染的应用程序进入苹果和安卓官方应用商店，目标是窃取用户照片，包括加密钱包种子短语。该活动自2024年2月起活跃，并与之前的SparkCat间谍软件相关联，主要针对东南亚和中国用户。... 2025-6-23 08:0:37 | 阅读: 17 | 收藏 | Securelist - securelist.com malicious hxxps c2 trojan aliyuncs

Toxic trend: Another malware threat targets DeepSeek 研究人员发现威胁分子利用DeepSeek-R1聊天机器人热度展开攻击。他们通过malvertising在Google Ads投放广告，诱导用户访问伪造的DeepSeek官网。该网站会下载恶意安装程序AI_Launcher_1.21.exe，在用户不知情的情况下安装BrowserVenom代理劫持软件。该恶意软件会将所有浏览器配置为使用指定代理服务器，使攻击者能够监控和劫持用户的网络流量。攻击影响全球多个国家和地区。... 2025-6-11 10:0:50 | 阅读: 23 | 收藏 | Securelist - securelist.com malicious deepseek proxy captcha x509store

Sleep with one eye open: how Librarian Ghouls steal data by night Librarian Ghouls 是一个针对俄罗斯及独联体地区的 APT 组织，活跃至 2025 年 5 月。其通过钓鱼邮件传播恶意软件，利用合法工具如 AnyDesk 远程控制设备并部署 XMRig 挖矿机。攻击者还禁用 Windows Defender 并创建计划任务以掩盖活动。受害者多为工业企业和学校。... 2025-6-9 10:15:17 | 阅读: 19 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com systemdrive attackers malicious miner victim

Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721 Mirai僵尸网络利用CVE-2024-3721漏洞攻击DVR设备，通过恶意POST请求植入Linux命令下载并执行ARM32二进制文件。该变种采用RC4加密、反虚拟机和反仿真技术，并在全球多地引发感染。... 2025-6-6 10:0:38 | 阅读: 23 | 收藏 | Securelist - securelist.com bots dvr decrypted machine 203

IT threat evolution in Q1 2025. Non-mobile statistics 2025年第一季度IT威胁报告显示，全球遭受超6亿次网络攻击，勒索软件激增近1.2万种新变种，RansomHub、Akira和Clop为主要威胁。执法机构成功打击Phobos和LockBit团伙。矿工攻击影响超31.5万用户，macOS面临新威胁，物联网设备受Mirai等DDoS攻击影响显著。... 2025-6-5 10:0:25 | 阅读: 30 | 收藏 | Securelist - securelist.com ransomware quarter trojan territory q1

IT threat evolution in Q1 2025. Mobile statistics 2025年第一季度移动设备面临多重威胁，包括恶意软件、广告软件及银行木马等。攻击数量显著增长，主要由Mamont银行木马和Fakemoney诈骗应用驱动，并发现预装Triada后门的假智能手机。银行木马活动集中在土耳其和印度，Mamont采用MaaS模式传播多种变种。... 2025-6-5 10:0:4 | 阅读: 23 | 收藏 | Securelist - securelist.com trojan banker mamont triada trojans

Host-based logs, container-based threats: How to tell where an attack began 文章探讨了容器化环境中因共享宿主机内核而产生的安全风险，指出许多组织忽视了对容器环境的安全监控。作者详细介绍了容器创建与运行机制，并通过实际案例展示了如何利用宿主机日志恢复执行链以追踪攻击来源。文章强调了提升容器环境可见性的必要性，并建议使用专业工具如Kaspersky Container Security来加强防护。... 2025-6-3 10:0:14 | 阅读: 23 | 收藏 | Securelist - securelist.com busybox containers runc shim processes

Exploits and vulnerabilities in Q1 2025 2025年第一季度的安全报告指出，部分漏洞因披露延迟而未及时公开，导致攻击者转向利用旧操作系统的漏洞。报告分析了Linux和Windows系统的常见漏洞类型，并强调及时更新软件的重要性。... 2025-5-30 12:0:16 | 阅读: 22 | 收藏 | Securelist - securelist.com q1 windows attackers quarter

Zanubis in motion: Tracing the active evolution of the Android banking malware Zanubis 是一款针对 Android 的银行木马程序，自 2022 年起活跃于秘鲁金融市场。其通过伪装合法应用获取无障碍权限，并持续进化以增强窃取数据和远程控制能力。最新版本采用新型加密技术和隐蔽安装方式，并集中攻击高价值金融目标。... 2025-5-28 10:0:38 | 阅读: 25 | 收藏 | Securelist - securelist.com zanubis c2 peru trojan

Dero miner zombies biting through Docker APIs to build a cryptojacking horde 文章描述了一种通过暴露的 Docker API 传播的新型 Dero 挖矿攻击。恶意软件 nginx 和 cloud 自动化感染容器并创建新恶意容器以传播挖矿活动。该攻击无需 C2 服务器，通过扫描互联网寻找暴露的 Docker 端口 2375 实施入侵。... 2025-5-21 10:0:47 | 阅读: 19 | 收藏 | Securelist - securelist.com containers malicious miner cloud dero