Inside The ToolShell Campaign 微软SharePoint服务器遭多个威胁行为者攻击，利用新漏洞链"ToolShell"实现远程代码执行。攻击者结合已修补及零日漏洞，在野利用加速。FortiGuard发布防护措施及IPS签名应对威胁。... 2025-7-25 13:0:0 | 阅读: 21 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com fortiguard remote microsoft 203 toolshell

A Special Mission to Nowhere 以色列与伊朗军事冲突后，美国介入促使停火。网络钓鱼活动利用恐慌情绪，以虚假的紧急撤离服务窃取个人信息和银行资料。该网站伪装成高端商务飞机服务，提供低价机票，并通过可疑链接收集敏感数据。技术细节显示其不真实性。... 2025-7-23 13:0:0 | 阅读: 16 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com lineage 1000e charter flight

NailaoLocker Ransomware’s “Cheese” NailaoLocker是一种针对Windows系统的勒索软件，使用AES-256-CBC加密文件，并嵌入SM2加密密钥和内置解密功能。其独特性在于支持解密但实际测试中密钥无效，可能为测试版本或陷阱。该软件通过DLL侧加载技术传播，并采用多线程优化加密性能。尽管具有潜在恢复性，仍构成高威胁。... 2025-7-18 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com encryption ransomware evp memory

Improving Cloud Intrusion Detection and Triage with FortiCNAPP Composite Alerts 现代云攻击复杂且难以检测，攻击者利用多阶段技术模仿合法活动。FortiCNAPP通过Composite Alerts和Observation Timeline关联弱信号，提供高保真检测和结构化时间线，帮助分析师快速识别威胁并减少误报。... 2025-7-17 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com forticnapp cloud composite observation signals

Old Miner, New Tricks 文章描述了H2Miner挖矿僵尸网络与Lcryx勒索软件的新变种Lcrypt0rx之间的关联。H2Miner自2019年起活跃，利用脚本禁用安全软件并部署Kinsing恶意软件；而Lcrypt0rx则通过加密文件、禁用系统工具和修改注册表进行破坏。两者共享基础设施，可能由同一团队操作。文章指出Lcrypt0rx代码异常特征暗示AI生成，并强调其对Linux、Windows和容器平台的影响及数据加密风险。... 2025-7-16 13:0:0 | 阅读: 20 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com lcrypt0rx windows h2miner encryption kinsing

How FortiSandbox 5.0 Detects Dark 101 Ransomware Despite Evasion Techniques Dark 101 勒索软件通过混淆 .NET 文件传播，加密用户数据并删除备份以阻止恢复。它伪装为系统进程svchost.exe，并禁用任务管理器以避免被终止。该恶意软件还执行命令删除卷影副本和备份目录，并在加密文件后生成赎金说明索要比特币支付。... 2025-7-14 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ransomware analysis windows encryption victim

Catching Smarter Mice with Even Smarter Cats 文章探讨了人工智能在反病毒领域的应用与挑战。AI在处理恶意软件的打包与混淆方面取得进展，尤其在标准混淆上表现良好，但在复杂打包和新兴语言如Rust上仍需改进。尽管如此，AI为反病毒行业提供了新工具，使其首次占据优势地位。... 2025-7-10 13:0:0 | 阅读: 20 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com flutter delphi ladvix assistance ghidra

NordDragonScan: Quiet Data-Harvester on Windows 文章描述了NordDragonScan恶意软件通过伪装文件传播，窃取文档、浏览器数据和截图，并将其发送至C2服务器。该软件利用LNK快捷方式和HTA脚本进行攻击，并创建持久化机制以维持长期存在。... 2025-7-7 13:0:0 | 阅读: 21 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com fortiguard malicious c2 payload

RondoDox Unveiled: Breaking Down a New Botnet Threat 文章描述了一种名为RondoDox的新型恶意软件，利用CVE-2024-3721和CVE-2024-12856漏洞攻击TBK DVR和Four-Faith路由器设备。该恶意软件具备复杂的持久化机制、反分析能力，并能伪装成合法流量发起DDoS攻击。... 2025-7-3 13:0:0 | 阅读: 23 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com rondodox fortiguard analysis c2 dvr

DCRAT Impersonating the Colombian Government FortiMail团队发现一起针对哥伦比亚的网络攻击，利用DCRAT远程木马通过钓鱼邮件传播。该恶意软件采用模块化设计，具备远程控制、数据窃取和系统操作等功能，并通过多重混淆和隐写技术躲避检测。... 2025-7-1 13:0:0 | 阅读: 18 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com windows processes fortiguard figures malicious

Dissecting a Malicious Havoc Sample Havoc是一种远程访问木马（RAT），通过伪装成系统进程conhost.exe注入cmd.exe实现完全控制。它支持多种命令和模块，可执行文件操作、进程管理等，并利用Beacon对象文件扩展功能。Fortinet的安全产品已提供防护措施。... 2025-6-23 13:0:0 | 阅读: 7 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com demon havoc c2 remote injector

Threat Group Targets Companies in Taiwan 2025年1月起，针对台湾用户的网络攻击活动持续活跃。攻击者通过伪装成台湾国税局的钓鱼邮件传播winos 4.0恶意软件，并利用HoldingHands RAT远程访问木马进行多阶段攻击。该恶意软件通过复杂执行流程下载恶意负载，并与C2服务器通信以接收进一步指令。FortiGuard已检测并阻止相关威胁活动。... 2025-6-17 13:0:0 | 阅读: 12 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com msgdb payload shellcode c2 phishing

How a Malicious Excel File (CVE-2017-0199) Delivers the FormBook Payload 这篇文章描述了一次针对旧版Microsoft Office用户的钓鱼攻击活动。攻击者通过恶意Excel附件利用CVE-2017-0199漏洞传播FormBook恶意软件，窃取敏感信息如登录凭证和键盘记录。该活动涉及多个步骤，包括恶意HTA文件下载和执行、sihost.exe运行以及最终解码出FormBook核心payload。... 2025-6-5 15:0:0 | 阅读: 14 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com malicious 0199 formbook phishing springmaker

Deep Dive into a Dumped Malware without a PE Header 文章描述了 FortiGuard 事件响应团队对一起恶意软件事件的调查过程。通过对受感染机器的内存转储分析，团队成功提取并解析了恶意软件代码。该恶意软件通过加密通信与 C2 服务器交互，并具备截图、远程控制和系统服务操作等功能。Fortinet 的安全产品已针对该威胁提供防护措施。... 2025-5-29 15:0:0 | 阅读: 13 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com memory c2 analysis windows dumped

Infostealer Malware FormBook Spread via Phishing Campaign – Part II FormBook是一种复杂的恶意软件，利用多种反分析技术（如复制ntdll.dll、API混淆、动态解密函数）和Heaven’s Gate技术在受感染Windows系统中运行。它收集敏感数据（如浏览器凭证、剪贴板内容），通过加密通信与C2服务器交互，并接收控制命令执行远程操作（如文件下载、进程终止、系统重启）。... 2025-5-27 15:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com formbook hxxp windows c2 analysis

Ransomware Roundup – VanHelsing VanHelsing 勒索软件针对 Microsoft Windows 系统进行攻击，加密文件并添加 .vanlocker 扩展名以索取赎金。该恶意软件避开特定文件类型和目录，并创建互斥对象 Global\\VanHelsing。Fortinet 提供检测和防护解决方案，并建议组织加强数据备份和采用零信任策略以应对威胁。... 2025-5-16 15:0:0 | 阅读: 13 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ransomware vanhelsing fortiguard security vanlocker

Horabot Unleashed: A Stealthy Phishing Threat Horabot是一种针对西班牙语用户的恶意软件，通过伪装成发票的钓鱼邮件传播。它利用HTML文件和恶意脚本窃取敏感信息，并通过Outlook发送钓鱼邮件进一步传播。主要影响拉丁美洲用户。... 2025-5-12 15:0:0 | 阅读: 9 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com autoit hxxps winupdate malicious powershell

Multilayered Email Attack: How a PDF Invoice and Geo-Fencing Led to RAT Malware 文章描述了一个针对西班牙、意大利和葡萄牙组织的新电子邮件活动，利用远程访问木马（RAT）通过多种规避技术传播恶意软件。攻击者利用合法电子邮件服务和地理位置过滤等手段隐藏真实来源，并通过伪装成发票的PDF文件诱导用户下载恶意JAR文件。该恶意软件能够在安装了Java运行环境的系统上运行，并允许攻击者远程控制设备并窃取敏感数据。... 2025-5-8 15:0:0 | 阅读: 8 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com security malicious phishing ngrok ratty

FortiGuard Incident Response Team Detects Intrusion into Middle East Critical National Infrastructure FortiGuard团队调查了一起针对中东关键基础设施的长期网络入侵事件，时间从2023年5月至2025年2月。该事件由伊朗支持的威胁组织实施，利用多种恶意软件和工具进行多阶段攻击。尽管防御方采取措施遏制了入侵，但攻击者仍试图通过漏洞和钓鱼攻击重新获取访问权限。... 2025-5-1 15:0:0 | 阅读: 23 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com network containment victim hanifnet

Key Takeaways from the 2025 Global Threat Landscape Report 2024年网络安全威胁加速演变：攻击者利用自动化和AI技术缩短侦察到入侵时间； credential盗窃激增；云服务成主要攻击目标；旧漏洞持续被利用；防御需转向持续威胁管理以应对快速变化的威胁环境。... 2025-4-28 13:0:0 | 阅读: 5 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com attackers cloud network security