Logit-Gap Steering: A New Frontier in Understanding and Probing LLM Safety 文章介绍了一种新的视角来分析大型语言模型（LLM）的安全性问题。通过研究“拒绝-肯定logit差距”，揭示了LLM的安全机制并非完全消除有害响应的可能性，而是降低其概率。攻击者可以通过缩小这一差距来绕过安全限制。研究表明现有模型存在漏洞，需结合多层次防御策略以增强AI安全性。... 2025-8-20 23:0:15 | 阅读: 13 | 收藏 | Unit 42 - unit42.paloaltonetworks.com gap alignment llm harmful logit

Fashionable Phishing Bait: GenAI on the Hook 生成式AI快速发展，广泛应用于代码协助、自然语言生成等领域。然而，其也被用于网络钓鱼等恶意活动，如创建逼真的钓鱼网站和恶意聊天机器人。文章分析了这些滥用场景，并提供了检测指标及防护建议。... 2025-8-19 10:0:2 | 阅读: 20 | 收藏 | Unit 42 - unit42.paloaltonetworks.com phishing genai builders malicious assisted

A Mega Malware Analysis Tutorial Featuring Donut-Generated Shellcode 文章提供了一个详细的恶意软件分析教程，使用Donut生成的shellcode演示感染链分析过程。适合初学者学习静态和动态分析工具及技术，并了解 Palo Alto Networks 的防御产品。... 2025-8-14 10:0:46 | 阅读: 21 | 收藏 | Unit 42 - unit42.paloaltonetworks.com 10a31a shellcode analysis x64dbg decompiled

Muddled Libra’s Strike Teams: Amalgamated Evil Muddled Libra 是一个松散协作的网络犯罪组织，通过社交应用联系成员形成打击团队。这些团队拥有独特技能和目标，涉及加密货币盗窃、勒索、数据收集等。由于成员流动性大，难以预测其下一个目标。防御者应关注自身可能被攻击的点，并采取数据保护和业务连续性等措施应对潜在威胁。... 2025-8-12 21:0:39 | 阅读: 17 | 收藏 | Unit 42 - unit42.paloaltonetworks.com personas libra muddled tradecraft industries

Keys to the Kingdom: Erlang/OTP SSH Vulnerability Analysis and Exploits Observed in the Wild 本文探讨了针对CVE-2025-32433漏洞的攻击尝试。该漏洞存在于Erlang/OTP SSH守护进程中,允许未经身份验证的远程代码执行,影响多个版本,CVSS评分为10.0。检测数据显示,自5月1日起,针对OT网络的攻击活动显著增加,主要集中在医疗、农业、媒体和高科技等行业。建议用户升级至修复版本以缓解风险,Palo Alto Networks提供了相关产品和服务进行防护。... 2025-8-11 10:0:48 | 阅读: 23 | 收藏 | Unit 42 - unit42.paloaltonetworks.com otp 32433 erlang ssh firewalls

New Infection Chain and ConfuserEx-Based Obfuscation for DarkCloud Stealer DarkCloud Stealer采用新方法传播和混淆技术，涉及ConfuserEx保护和VB6编写最终payload。攻击链通过钓鱼邮件中的压缩包启动，并利用多层加密和混淆技术投放恶意软件。Palo Alto Networks提供多种防护产品以应对这些威胁。... 2025-8-7 10:0:2 | 阅读: 25 | 收藏 | Unit 42 - unit42.paloaltonetworks.com darkcloud payload confuserex vb6 stealer

Muddled Libra: Why Are We So Obsessed With You? Muddled Libra 是一个以社会工程学攻击著称的网络犯罪组织，近期针对政府、零售、保险和航空等行业发动攻击。尽管其工具和技术并非独特，但其一致的战术、行业针对性以及流利的英语能力使其在众多 RaaS 附属组织中脱颖而出。这些因素使其成为媒体关注焦点，并引发对其防御策略的研究。... 2025-8-6 21:0:54 | 阅读: 11 | 收藏 | Unit 42 - unit42.paloaltonetworks.com libra muddled industries affiliate involving

When Good Accounts Go Bad: Exploiting Delegated Managed Service Accounts in Active Directory BadSuccessor是一种利用Windows Server 2025中的委托管理服务账户（dMSA）进行权限提升的攻击技术。攻击者可通过篡改dMSA属性冒充高权限用户或域管理员，导致域被完全控制。文章分析了该技术的核心机制、检测策略及缓解建议，并提到Palo Alto Networks的产品可帮助检测此类威胁。... 2025-8-6 10:0:47 | 阅读: 20 | 收藏 | Unit 42 - unit42.paloaltonetworks.com evtlog dmsa msds

Project AK47: Uncovering a Link to the SharePoint Vulnerability Attacks Unit 42发现微软报告中提到的Storm-2603威胁行为者与追踪的CL-CRI-1040活动存在高度重叠。该活动利用ToolShell漏洞链针对SharePoint漏洞进行攻击，并部署名为Project AK47的工具集，包括后门、勒索软件和加载器。CL-CRI-1040曾与LockBit 3.0 affiliate相关联，并近期与Warlock Client双重勒索站点有关。... 2025-8-5 23:0:47 | 阅读: 22 | 收藏 | Unit 42 - unit42.paloaltonetworks.com ransomware ak47 1040 cri lockbit

Introducing Unit 42’s Attribution Framework read file error: read notes: is a directory... 2025-7-31 10:0:15 | 阅读: 24 | 收藏 | Unit 42 - unit42.paloaltonetworks.com attribution analysis clusters ttps motivation

2025 Unit 42 Global Incident Response Report: Social Engineering Edition 文章指出，社会工程学在2025年将成为最可靠、可扩展和影响深远的入侵方法之一。其成功源于高接触攻击的兴起、非钓鱼技术的使用、低检测覆盖率、业务中断加剧以及人工智能的助力。防御需强化身份验证、零信任原则和行为分析能力。... 2025-7-30 10:0:33 | 阅读: 22 | 收藏 | Unit 42 - unit42.paloaltonetworks.com attackers attacker security intrusions phishing

The Covert Operator's Playbook: Infiltration of Global Telecom Networks read file error: read notes: is a directory... 2025-7-29 21:0:16 | 阅读: 34 | 收藏 | Unit 42 - unit42.paloaltonetworks.com network ssh proxy tunneling

The Ηоmоgraph Illusion: Not Everything Is As It Seems 本文探讨了网络钓鱼中的同形攻击技术，即通过替换非拉丁字符模仿拉丁字符以欺骗用户。文章通过三个真实案例展示了此类攻击如何绕过安全检测并诱导用户点击恶意链接或提供敏感信息。最后强调了提升安全意识和采用先进技术的重要性。... 2025-7-25 21:0:13 | 阅读: 27 | 收藏 | Unit 42 - unit42.paloaltonetworks.com homograph malicious latin attackers attacker

Cloud Logging for Security and Beyond 本文探讨了亚马逊AWS、微软Azure和谷歌GCP三大云服务提供商的云日志最佳实践，强调需结合业务需求、监管要求及安全目标进行配置。通过区分数据平面（基础功能）与控制平面（资源管理），企业可有效监控云环境并满足合规性要求。... 2025-7-22 21:0:47 | 阅读: 22 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud plane security network regulatory

Active Exploitation of Microsoft SharePoint Vulnerabilities: Threat Brief 微软SharePoint服务器存在多个高危漏洞（CVE-2025-49704等），影响政府、学校、医疗和大型企业的内部部署环境。攻击者可利用这些漏洞绕过身份验证机制（如MFA），窃取敏感数据并植入后门。建议立即修补漏洞、更新加密材料并寻求专业响应团队协助以应对潜在威胁。... 2025-7-21 22:48:19 | 阅读: 32 | 收藏 | Unit 42 - unit42.paloaltonetworks.com microsoft 49706 53770 53771

Behind the Clouds: Attackers Targeting Governments in Southeast Asia Implement Novel Covert C2 Communication 本文描述了针对东南亚政府机构的网络攻击活动CL-STA-1020，该活动利用新型Windows后门HazyBeacon通过AWS Lambda URL建立C2通信，并结合DLL侧加载技术实现持久化。攻击者通过Google Drive和Dropbox进行数据外泄，Palo Alto Networks提供了相关防护产品。... 2025-7-14 10:0:44 | 阅读: 25 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud malicious windows hazybeacon c2

Evolving Tactics of SLOW#TEMPEST: A Deep Dive Into Advanced Malware Techniques 本文分析了2024年底发现的与SLOW#TEMPEST活动相关的恶意软件变种，探讨了其使用的动态跳跃和混淆函数调用等混淆技术，并介绍了Palo Alto Networks的产品如何帮助客户防御这些威胁。... 2025-7-11 10:0:9 | 阅读: 19 | 收藏 | Unit 42 - unit42.paloaltonetworks.com loader analysis jumps dispatcher malicious

Fix the Click: Preventing the ClickFix Attack Vector read file error: read notes: is a directory... 2025-7-10 10:0:43 | 阅读: 22 | 收藏 | Unit 42 - unit42.paloaltonetworks.com clickfix malicious netsupport lumma loader

GoldMelody’s Hidden Chords: Initial Access Broker In-Memory IIS Modules Revealed 文章揭示了一个初始访问代理(IAB)利用泄露的ASP.NET机器密钥通过ViewState反序列化技术入侵企业服务器的活动。该组织通过获取合法签名的恶意负载，在内存中执行代码以规避检测，并针对多个行业的企业实施攻击。建议企业检查并更新密钥以防范此类威胁。... 2025-7-8 10:0:43 | 阅读: 29 | 收藏 | Unit 42 - unit42.paloaltonetworks.com machine cri tgr 0045 attacker

Apache Under the Lens: Tomcat’s Partial PUT and Camel’s Header Hijack Apache在2025年3月披露了三个关键漏洞：CVE-2025-24813、CVE-2025-27636和CVE-2025-29891，分别影响Apache Tomcat和Camel。这些漏洞允许远程代码执行，影响广泛使用的版本。研究人员迅速发布了概念验证 exploits，检测到大量扫描和攻击尝试。建议用户立即应用补丁以缓解风险。... 2025-7-3 10:0:3 | 阅读: 26 | 收藏 | Unit 42 - unit42.paloaltonetworks.com camel 24813 malicious 27636