Sleep with one eye open: how Librarian Ghouls steal data by night Librarian Ghouls 是一个针对俄罗斯及独联体地区的 APT 组织，活跃至 2025 年 5 月。其通过钓鱼邮件传播恶意软件，利用合法工具如 AnyDesk 远程控制设备并部署 XMRig 挖矿机。攻击者还禁用 Windows Defender 并创建计划任务以掩盖活动。受害者多为工业企业和学校。... 2025-6-9 10:15:17 | 阅读: 21 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com systemdrive attackers malicious miner victim

Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721 Mirai僵尸网络利用CVE-2024-3721漏洞攻击DVR设备，通过恶意POST请求植入Linux命令下载并执行ARM32二进制文件。该变种采用RC4加密、反虚拟机和反仿真技术，并在全球多地引发感染。... 2025-6-6 10:0:38 | 阅读: 25 | 收藏 | Securelist - securelist.com bots dvr decrypted machine 203

IT threat evolution in Q1 2025. Non-mobile statistics 2025年第一季度IT威胁报告显示，全球遭受超6亿次网络攻击，勒索软件激增近1.2万种新变种，RansomHub、Akira和Clop为主要威胁。执法机构成功打击Phobos和LockBit团伙。矿工攻击影响超31.5万用户，macOS面临新威胁，物联网设备受Mirai等DDoS攻击影响显著。... 2025-6-5 10:0:25 | 阅读: 32 | 收藏 | Securelist - securelist.com ransomware quarter trojan territory q1

IT threat evolution in Q1 2025. Mobile statistics 2025年第一季度移动设备面临多重威胁，包括恶意软件、广告软件及银行木马等。攻击数量显著增长，主要由Mamont银行木马和Fakemoney诈骗应用驱动，并发现预装Triada后门的假智能手机。银行木马活动集中在土耳其和印度，Mamont采用MaaS模式传播多种变种。... 2025-6-5 10:0:4 | 阅读: 24 | 收藏 | Securelist - securelist.com trojan banker mamont triada trojans

Host-based logs, container-based threats: How to tell where an attack began 文章探讨了容器化环境中因共享宿主机内核而产生的安全风险，指出许多组织忽视了对容器环境的安全监控。作者详细介绍了容器创建与运行机制，并通过实际案例展示了如何利用宿主机日志恢复执行链以追踪攻击来源。文章强调了提升容器环境可见性的必要性，并建议使用专业工具如Kaspersky Container Security来加强防护。... 2025-6-3 10:0:14 | 阅读: 25 | 收藏 | Securelist - securelist.com busybox containers runc shim processes

Exploits and vulnerabilities in Q1 2025 2025年第一季度的安全报告指出，部分漏洞因披露延迟而未及时公开，导致攻击者转向利用旧操作系统的漏洞。报告分析了Linux和Windows系统的常见漏洞类型，并强调及时更新软件的重要性。... 2025-5-30 12:0:16 | 阅读: 22 | 收藏 | Securelist - securelist.com q1 windows attackers quarter

Zanubis in motion: Tracing the active evolution of the Android banking malware Zanubis 是一款针对 Android 的银行木马程序，自 2022 年起活跃于秘鲁金融市场。其通过伪装合法应用获取无障碍权限，并持续进化以增强窃取数据和远程控制能力。最新版本采用新型加密技术和隐蔽安装方式，并集中攻击高价值金融目标。... 2025-5-28 10:0:38 | 阅读: 28 | 收藏 | Securelist - securelist.com zanubis c2 peru trojan

Dero miner zombies biting through Docker APIs to build a cryptojacking horde 文章描述了一种通过暴露的 Docker API 传播的新型 Dero 挖矿攻击。恶意软件 nginx 和 cloud 自动化感染容器并创建新恶意容器以传播挖矿活动。该攻击无需 C2 服务器，通过扫描互联网寻找暴露的 Docker 端口 2375 实施入侵。... 2025-5-21 10:0:47 | 阅读: 21 | 收藏 | Securelist - securelist.com containers malicious miner cloud dero

Threat landscape for industrial automation systems in Q1 2025 ICS计算机上恶意对象被阻止的百分比保持稳定在21.9%，但逐年下降。生物识别行业比例上升。地区差异显著（北欧10.7%，非洲29.6%）。互联网和邮件为主要威胁源。挖矿软件比例增加。... 2025-5-15 13:7:40 | 阅读: 16 | 收藏 | Securelist - securelist.com malicious q1 threats pp miners

Using a Mythic agent to optimize penetration testing 本文探讨了网络安全公司如何利用Mythic框架进行渗透测试。通过分析现有工具的缺陷（如Cobalt Strike和Metasploit易被检测），选择了支持模块化设计和多种通信方式的Mythic框架。详细介绍了Stage 1模块的设计与实现方法，包括COFF文件执行、内存加载机制及与Mythic框架的通信模型。... 2025-5-13 10:0:41 | 阅读: 11 | 收藏 | Securelist - securelist.com payload stage security memory mythic

State of ransomware in 2025 2024年勒索软件检测量下降18%，但针对组织的攻击比例上升至41.6%。RaaS模式主导攻击市场，赎金总额下降35%，但平均赎金上涨至396万美元。数据外泄与双重勒索策略普及。中东、亚太地区受创较重。未来威胁或利用AI与非常规漏洞加剧风险。... 2025-5-7 10:0:39 | 阅读: 22 | 收藏 | Securelist - securelist.com ransomware ransomhub attackers security

Outlaw cybergang attacking targets worldwide 这篇文章分析了Linux环境中的挖矿僵尸网络Outlaw（又称Dota），其通过弱或默认SSH凭证传播，在受感染系统中部署加密货币矿工和IRC botnet。该恶意软件会清除现有SSH设置并添加新密钥以维持持久性，并通过隐藏文件和目录、混淆程序等手段规避检测。受害者主要分布在北美和欧洲等地。建议加强SSH配置以防范此类威胁。... 2025-4-29 10:0:29 | 阅读: 24 | 收藏 | Securelist - securelist.com ssh outlaw attackers perl

Triada strikes back 新版本Triada木马通过感染安卓设备固件，在系统分区植入恶意软件，使其难以移除。木马利用多阶段加载器感染Zygote进程，影响所有应用，可窃取加密货币钱包地址、替换浏览器链接、发送短信及窃取登录凭证。... 2025-4-25 10:0:14 | 阅读: 15 | 收藏 | Securelist - securelist.com malicious triada c2 attackers trojan

Operation SyncHole: Lazarus APT goes back to the well Lazarus组织通过“Operation SyncHole”活动利用 watering hole 战略和韩国软件漏洞攻击了至少六家韩国组织，包括软件、IT、金融、半导体制造和电信行业。该活动结合了多种恶意工具和漏洞利用，并已确认相关软件已更新至补丁版本以修复漏洞。... 2025-4-24 05:0:4 | 阅读: 26 | 收藏 | Securelist - securelist.com software c2 signbt korea

Russian organizations targeted by backdoor masquerading as secure networking software updates 文章描述了一起针对俄罗斯政府、金融和工业部门的复杂网络攻击事件。攻击者通过伪装ViPNet软件更新分发恶意软件，利用路径替换技术执行恶意程序并植入后门。该后门可连接C2服务器，用于窃取文件和执行其他恶意操作。文章强调了多层防御的重要性，并提供了相关威胁指标。... 2025-4-22 13:0:8 | 阅读: 15 | 收藏 | Securelist - securelist.com msinfo32 vipnet security lumpdiag malicious

Lumma Stealer – Tracking distribution channels Lumma Stealer是一种通过虚假CAPTCHA页面传播的信息窃取恶意软件，利用钓鱼网站、克隆站点和Telegram渠道诱导用户执行恶意命令。它采用DLL侧载和注入合法软件覆盖区等技术规避检测，并窃取加密货币钱包、2FA数据及浏览器凭证等敏感信息。... 2025-4-21 12:0:51 | 阅读: 16 | 收藏 | Securelist - securelist.com payload lumma stealer malicious captcha

Phishing attacks leveraging HTML code inside SVG files 近年来，网络钓鱼攻击采用更复杂的手段欺骗用户并绕过安全措施。攻击者利用SVG格式文件嵌入HTML和JavaScript代码，隐藏恶意链接或重定向脚本。这种技术使钓鱼邮件更具隐蔽性，并导致用户被引导至伪造的登录页面以窃取凭证。2025年数据显示此类攻击呈上升趋势。... 2025-4-21 08:0:49 | 阅读: 23 | 收藏 | Securelist - securelist.com phishing attachment attackers graphics markup

IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia 研究人员发现MysterySnail RAT恶意软件的新版本在蒙古和俄罗斯政府机构中被使用。该恶意软件通过伪装成文档的恶意MMC脚本传播，并利用DLL侧加载技术加载恶意库。新版本采用模块化架构，增加了更多功能模块，并支持通过WebSocket协议通信的轻量级变种MysteryMonoSnail。该恶意软件自2021年以来持续活跃，提醒安全团队需警惕旧威胁的重现。... 2025-4-17 08:15:16 | 阅读: 21 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com malicious processes c2 attackers

Streamlining detection engineering in security operation centers 文章探讨了安全运营中心（SOC）在网络安全中的作用，重点分析了SIEM系统在日志收集、威胁检测、分类与调查及响应四个阶段中的常见问题与挑战，并提出了通过建立专门的检测工程团队、优化流程与工具以及实施最佳实践来提升威胁检测能力的有效方法。... 2025-4-16 10:0:15 | 阅读: 12 | 收藏 | Securelist - securelist.com security threats detections metric triage

GOFFEE continues to attack organizations in Russia 文章描述了威胁行为者GOFFEE针对俄罗斯实体的网络攻击活动，利用鱼叉式网络钓鱼邮件和恶意附件进行初始感染。攻击中使用了多种恶意软件工具，包括PowerTaskel、PowerModul和USB Worm，并通过WinRM服务进行横向移动。GOFFEE在2024年引入了新的植入工具PowerModul，并逐渐转向使用二进制Mythic代理进行内部传播。... 2025-4-10 10:0:12 | 阅读: 18 | 收藏 | Securelist - securelist.com powershell powertaskel powermodul mythic malicious