The Ηоmоgraph Illusion: Not Everything Is As It Seems 本文探讨了网络钓鱼中的同形攻击技术，即通过替换非拉丁字符模仿拉丁字符以欺骗用户。文章通过三个真实案例展示了此类攻击如何绕过安全检测并诱导用户点击恶意链接或提供敏感信息。最后强调了提升安全意识和采用先进技术的重要性。... 2025-7-25 21:0:13 | 阅读: 20 | 收藏 | Unit 42 - unit42.paloaltonetworks.com homograph malicious latin attackers attacker

Cloud Logging for Security and Beyond 本文探讨了亚马逊AWS、微软Azure和谷歌GCP三大云服务提供商的云日志最佳实践，强调需结合业务需求、监管要求及安全目标进行配置。通过区分数据平面（基础功能）与控制平面（资源管理），企业可有效监控云环境并满足合规性要求。... 2025-7-22 21:0:47 | 阅读: 17 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud plane security network regulatory

Active Exploitation of Microsoft SharePoint Vulnerabilities: Threat Brief 微软SharePoint服务器存在多个高危漏洞（CVE-2025-49704等），影响政府、学校、医疗和大型企业的内部部署环境。攻击者可利用这些漏洞绕过身份验证机制（如MFA），窃取敏感数据并植入后门。建议立即修补漏洞、更新加密材料并寻求专业响应团队协助以应对潜在威胁。... 2025-7-21 22:48:19 | 阅读: 23 | 收藏 | Unit 42 - unit42.paloaltonetworks.com microsoft 49706 53770 53771

Behind the Clouds: Attackers Targeting Governments in Southeast Asia Implement Novel Covert C2 Communication 本文描述了针对东南亚政府机构的网络攻击活动CL-STA-1020，该活动利用新型Windows后门HazyBeacon通过AWS Lambda URL建立C2通信，并结合DLL侧加载技术实现持久化。攻击者通过Google Drive和Dropbox进行数据外泄，Palo Alto Networks提供了相关防护产品。... 2025-7-14 10:0:44 | 阅读: 20 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud malicious windows hazybeacon c2

Evolving Tactics of SLOW#TEMPEST: A Deep Dive Into Advanced Malware Techniques 本文分析了2024年底发现的与SLOW#TEMPEST活动相关的恶意软件变种，探讨了其使用的动态跳跃和混淆函数调用等混淆技术，并介绍了Palo Alto Networks的产品如何帮助客户防御这些威胁。... 2025-7-11 10:0:9 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com loader analysis jumps dispatcher malicious

Fix the Click: Preventing the ClickFix Attack Vector 这篇文章介绍了ClickFix技术作为一种社会工程学手段被用于网络攻击的情况。通过伪装成快速修复计算机问题的步骤，攻击者诱导用户执行恶意命令或下载恶意软件。文中分析了三种主要的ClickFix攻击活动：NetSupport远程访问木马（RAT）、Latrodectus恶意软件和Lumma Stealer窃取器，并详细描述了它们的传播方式和技术细节。此外，文章还提供了检测和防御ClickFix攻击的方法，并强调了提升员工安全意识的重要性。... 2025-7-10 10:0:43 | 阅读: 17 | 收藏 | Unit 42 - unit42.paloaltonetworks.com clickfix malicious netsupport lumma loader

GoldMelody’s Hidden Chords: Initial Access Broker In-Memory IIS Modules Revealed 文章揭示了一个初始访问代理(IAB)利用泄露的ASP.NET机器密钥通过ViewState反序列化技术入侵企业服务器的活动。该组织通过获取合法签名的恶意负载，在内存中执行代码以规避检测，并针对多个行业的企业实施攻击。建议企业检查并更新密钥以防范此类威胁。... 2025-7-8 10:0:43 | 阅读: 25 | 收藏 | Unit 42 - unit42.paloaltonetworks.com machine cri tgr 0045 attacker

Apache Under the Lens: Tomcat’s Partial PUT and Camel’s Header Hijack Apache在2025年3月披露了三个关键漏洞：CVE-2025-24813、CVE-2025-27636和CVE-2025-29891，分别影响Apache Tomcat和Camel。这些漏洞允许远程代码执行，影响广泛使用的版本。研究人员迅速发布了概念验证 exploits，检测到大量扫描和攻击尝试。建议用户立即应用补丁以缓解风险。... 2025-7-3 10:0:3 | 阅读: 21 | 收藏 | Unit 42 - unit42.paloaltonetworks.com camel 24813 malicious 27636

Windows Shortcut (LNK) Malware Strategies Windows快捷方式（LNK）文件因灵活性被广泛用于恶意软件传播。2023年发现21,098个恶意样本，2024年激增至68,392个。分析显示LNK恶意软件分为四类：利用执行、磁盘文件执行、参数脚本执行和覆盖内容执行。通过检查目标字段和命令行参数可识别威胁。建议谨慎处理未知LNK文件，并使用安全工具防范攻击。... 2025-7-2 10:0:37 | 阅读: 20 | 收藏 | Unit 42 - unit42.paloaltonetworks.com malicious windows powershell overlay idlist

Threat Brief: Escalation of Cyber Risk Related to Iran 伊朗近期军事行动加剧了网络战风险。尽管尚未出现大规模伊朗网络攻击，但未来可能看到更多破坏性、DDoS等攻击。相关威胁集团利用AI进行社会工程学攻击，并针对关键基础设施展开行动。... 2025-6-25 18:0:13 | 阅读: 9 | 收藏 | Unit 42 - unit42.paloaltonetworks.com iranian serpens destructive phishing iran

Cybercriminals Abuse Open-Source Tools To Target Africa’s Financial Sector 威胁行为者利用开源工具攻击非洲金融机构，伪造合法签名隐藏恶意活动，并可能作为初始访问中介出售网络访问权限。... 2025-6-24 22:0:22 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com poshc2 spy classroom chisel proxy

Resurgence of the Prometei Botnet Prometei是一种恶意软件家族，包括Linux和Windows版本，用于远程控制被攻击系统进行加密货币挖矿（尤其是Monero）和窃取凭证。最新版本引入了后门功能、域生成算法（DGA）和自我更新机制以增强隐蔽性和传播能力。Palo Alto Networks提供多种安全解决方案以应对该威胁。... 2025-6-20 10:0:33 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com prometei upx analysis c2 trailer

Exploring a New KimJongRAT Stealer Variant and Its PowerShell Implementation 这篇文章分析了KimJongRAT恶意软件的两个新变种：PE文件和PowerShell脚本。它们通过LNK文件启动，并利用合法CDN服务下载恶意组件。两者均窃取浏览器数据及加密钱包信息，PE版本还收集FTP和邮件客户端信息。Palo Alto Networks的解决方案可有效防御此类威胁。... 2025-6-17 10:0:16 | 阅读: 27 | 收藏 | Unit 42 - unit42.paloaltonetworks.com powershell c2 stealer kimjongrat windows

Serverless Tokens in the Cloud: Exploitation and Detections 这篇文章探讨了主要云平台（如AWS Lambda、Azure Functions和Google Cloud Run）上的无服务器认证机制及其安全影响。攻击者通过利用漏洞获取凭证，导致云环境风险增加。文章详细介绍了各平台的身份管理方式，并分析了SSRF和RCE等攻击向量。此外，还提供了检测异常行为和实施最小权限原则等防护策略，并强调了Palo Alto Networks Cortex Cloud在保护中的作用。... 2025-6-13 10:0:42 | 阅读: 19 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud identities microsoft gcp security

JSFireTruck: Exploring Malicious JavaScript Using JSF*ck as an Obfuscation Technique 这篇文章描述了一种大规模网络攻击活动，攻击者通过注入混淆的JavaScript代码（使用JSFireTruck技术）入侵合法网站，并在用户访问时将其重定向至恶意页面。该技术利用有限字符集隐藏代码目的，并通过检查网站来源（如搜索引擎）触发重定向。此类攻击可能导致恶意软件下载或网络钓鱼等危害。... 2025-6-12 10:0:36 | 阅读: 25 | 收藏 | Unit 42 - unit42.paloaltonetworks.com jsfiretruck malicious coercion devtools analysis

The Evolution of Linux Binaries in Targeted Cloud Operations 文章指出Linux ELF文件正被用于针对云基础设施的攻击，包括后门、数据擦除器等恶意软件。研究人员发现五种ELF恶意软件家族活跃于云环境，并建议采用机器学习检测技术以提升云安全防护能力。... 2025-6-10 10:0:0 | 阅读: 23 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud malicious machine families cortex

Roles Here? Roles There? Roles Anywhere: Exploring the Security of AWS IAM Roles Anywhere 文章探讨了AWS IAM Roles Anywhere服务的风险与缓解策略。该服务允许外部工作负载通过数字证书身份验证访问AWS资源，默认配置可能因过于宽松而引发安全漏洞。文章分析了攻击者如何利用这些漏洞，并建议通过限制信任策略、使用ACM-PCA信任锚、实施最小权限原则及持续监控来降低风险。Cortex Cloud提供检测和预防工具以应对相关威胁。... 2025-6-9 10:0:8 | 阅读: 16 | 收藏 | Unit 42 - unit42.paloaltonetworks.com attacker anchor cloud arns

Blitz Malware: A Tale of Game Cheats and Code Repositories Blitz是一种Windows恶意软件，通过被黑的游戏作弊程序传播。它分为两阶段：下载器和bot。开发者利用Hugging Face托管C2基础设施，并包含Monero挖矿机。作者通过Telegram推广后宣布退出。... 2025-6-6 10:0:49 | 阅读: 16 | 收藏 | Unit 42 - unit42.paloaltonetworks.com blitz cheat backdoored c2 cheats

Lost in Resolution: Azure OpenAI's DNS Resolution Issue 研究人员发现Azure OpenAI DNS解析逻辑存在漏洞，可能导致跨租户数据泄露和中间人攻击。该问题源于API与UI处理域名方式不同，多个租户可共享同一域名并解析至外部IP地址。微软已修复此漏洞，并强调需持续监控云配置和DNS解析以确保安全。... 2025-6-3 10:0:13 | 阅读: 15 | 收藏 | Unit 42 - unit42.paloaltonetworks.com openai security cloud microsoft tenants

How Good Are the LLM Guardrails on the Market? A Comparative Study on the Effectiveness of LLM Content Filtering Across Major GenAI Platforms 文章比较了三家主流云平台大型语言模型内置的安全护栏效果。研究发现这些护栏在处理良性查询和恶意指令时存在误报和漏报问题。不同平台表现差异显著：平台3误报率高但漏报较少；平台2漏报率低但误报较多；平台1则较为宽松。模型对齐机制在减少有害输出方面发挥了关键作用。... 2025-6-2 22:0:26 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com prompts guardrails malicious harmful benign