Inside the Cross-Platform Propagation of a New Gafgyt Variant C0XMO Affected Platforms: DD-WRT chang... 2026-6-3 13:0:0 | 阅读: 14 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com c0xmo blacklist ssh c2 glpi

Phishing Campaign Deploys JavaScript-Driven PureLogs Variant to Steal Sensitive Data Affected Platforms: Microsoft Wi... 2026-5-26 13:0:0 | 阅读: 23 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com powershell phishing 8443 c2 hollowing

Misconfigured, Enrolled and Dormant: Anatomy of a P2Pinfect Kubernetes Compromise Affected Platforms: Linux, Windo... 2026-5-20 13:0:0 | 阅读: 4 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com p2pinfect redishell peers forticnapp client

PureLogs: Delivery via PawsRunner Steganography Affected Platforms: Microsoft Wi... 2026-5-15 13:0:0 | 阅读: 16 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com loader purelogs payload stage download

Tracking Mirai Variant Nexcorium: A Vulnerability-Driven IoT Botnet Campaign 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。首先，我需要快速浏览一下文章，抓住主要信息。 文章主要讲的是一个针对TBK DVR设备的恶意软件攻击。攻击者利用了CVE-2024-3721漏洞，植入了一个叫做Nexcorium的Mirai变种。这个恶意软件支持多种架构，比如ARM、MIPS和x86-64，并且有多种持久化机制，比如修改inittab、rc.local、创建systemd服务和设置cron任务。此外，它还能进行DDoS攻击，包括UDP flood、TCP ACK flood等多种类型。 用户可能是一个网络安全相关人员，或者是企业IT管理员，他们需要快速了解这个威胁的严重性以及如何应对。因此，在总结时要突出关键点：漏洞利用、恶意软件功能、攻击目标以及影响。 接下来，我要确保在100字以内涵盖这些要点：TBK DVR设备被攻击，利用CVE-2024-3721漏洞植入Nexcorium恶意软件，支持多架构，具备持久化和DDoS能力。同时提到影响范围广和安全建议。 最后，检查一下语言是否简洁明了，避免使用专业术语过多，让读者一目了然。 </think> TBK DVR设备被发现存在严重漏洞（CVE-2024-3721），被用于植入名为Nexcorium的恶意软件。该软件支持多架构（如ARM、MIPS、x86-64），具备持久化机制（如修改启动脚本、创建服务）及DDoS攻击能力（包括UDP flood等）。攻击者通过漏洞利用和暴力破解扩大感染范围。此威胁对物联网设备构成重大风险。... 2026-4-17 13:0:0 | 阅读: 41 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com flood nexcorium fortiguard dvr c2

DPRK-Related Campaigns with LNK and GitHub C2 好的，我需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章讲的是针对韩国用户的LNK文件攻击，利用GitHub作为C2服务器。攻击分为三个阶段：LNK文件、PowerShell脚本和C2通信。攻击者通过隐藏恶意代码和滥用合法工具来逃避检测，最终目标是窃取数据进行后续攻击。 接下来，我要将这些关键点浓缩成简短的句子，确保不超过100字。同时，避免使用“文章内容总结”之类的开头词。 最后，检查一下是否涵盖了所有重要信息：攻击目标、手段、阶段、C2基础设施以及影响。确保语言简洁明了。 </think> 这篇文章描述了针对韩国用户的LNK文件攻击，利用GitHub作为C2服务器进行多阶段脚本攻击。攻击者通过隐藏恶意代码和滥用合法工具逃避检测，并窃取数据用于进一步攻击。... 2026-4-2 13:0:0 | 阅读: 25 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com github powershell attacker stage phishing

Cyber Fallout After the Strikes: Signal, Noise, and What Comes Next 好的，我现在需要帮用户总结一篇文章，控制在100字以内。用户给的原文是关于最近美以对伊朗目标的军事打击以及可能引发的网络报复。文章提到目前没有大规模伊朗网络攻击的确凿证据，但区域网络活动增加，包括心理战、黑客活动和机会主义攻击。建议组织加强网络安全措施。 首先，我需要抓住文章的核心内容：军事行动引发的网络威胁担忧，当前情况和建议措施。然后，用简洁的语言概括这些要点。注意不要使用“文章总结”这样的开头，直接描述内容。 接下来，检查字数是否在限制内，并确保涵盖关键点：军事行动、网络报复的可能性、当前情况（无大规模攻击）、区域活动增加、建议措施（加强安全）。最后，确保语言流畅自然。 </think> 美以对伊朗军事打击引发网络报复担忧。目前无大规模伊朗网络攻击证据，但区域网络活动激增，包括心理战、黑客行为和机会主义攻击。组织需加强网络安全措施以应对潜在威胁。... 2026-3-4 17:0:0 | 阅读: 18 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com security iranian network conflict retaliation

Unmasking Agent Tesla: A Deep Dive into a Multi-Stage Campaign 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读文章内容，理解其主要信息。 文章主要讲的是Agent Tesla恶意软件的攻击链。它通过钓鱼邮件开始，附件是RAR文件，里面包含JScript加载器。然后下载PowerShell脚本，使用进程空洞技术注入恶意代码到合法进程中，避免被检测。接着进行反分析检查，确保环境安全后开始窃取敏感信息，包括浏览器 cookie 和其他数据。最后提到Fortinet的防护措施。 我需要将这些关键点浓缩成100字以内。首先确定攻击链的各个阶段：钓鱼邮件、JScript、PowerShell、进程空洞、反分析、数据窃取。然后提到防护措施。 可能的结构是：Agent Tesla通过钓鱼邮件和多阶段技术感染Windows用户，利用JScript和PowerShell下载恶意负载，使用进程空洞和反分析技术隐藏自身，窃取敏感信息。Fortinet提供多种防护措施。 现在检查字数是否在限制内，并确保涵盖所有重要部分。 </think> 文章描述了Agent Tesla恶意软件通过钓鱼邮件和多阶段技术感染Windows用户的过程。该恶意软件利用JScript加载器和PowerShell脚本下载恶意负载，并通过进程空洞技术隐藏自身以避免检测。它还进行了反分析检查以确保环境安全，并最终窃取敏感信息如浏览器cookie等。Fortinet提供了多种防护措施来应对此类威胁。... 2026-2-25 14:0:0 | 阅读: 29 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com phishing stage malicious tesla memory

Massive Winos 4.0 Campaigns Target Taiwan 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”这样的开头。首先，我需要仔细阅读这篇文章，理解其主要内容。 文章主要讲的是针对Windows用户的钓鱼攻击活动，特别是台湾地区的。攻击者使用了恶意软件Winos 4.0，通过伪装成税务通知或电子发票的附件来传播。这些附件包含恶意LNK文件或DLL侧载技术，下载并执行恶意软件。 接下来，恶意软件会提升权限，加载内核模式驱动，并窃取数据。攻击者还利用动态域名和云服务来分发恶意软件，使得传统的静态防御措施不够有效。此外，文章提到了攻击者组织内部的一些细节，比如项目名称和开发机器ID，显示他们是一个有组织的威胁集团。 最后，文章给出了FortiGuard的安全防护措施和一些IOC（指标），帮助用户识别和防御这些攻击。 现在我需要将这些信息浓缩到100字以内。要抓住关键点：攻击目标、手法、恶意软件功能、基础设施特点以及防护建议。 可能的结构是：描述攻击活动、手法、目标、影响以及防护措施。确保每个部分都简洁明了。 比如：“描述针对Windows用户的钓鱼攻击活动，利用伪装税务通知或电子发票的附件传播Winos 4.0恶意软件。该软件通过LNK文件或DLL侧载技术下载并执行，提升权限后加载内核模式驱动以窃取数据。攻击者利用动态域名和云服务分发恶意软件，并通过隐藏C2地址等手段规避检测。FortiGuard提供多项防护措施以应对此类威胁。” 这样大概控制在100字左右。 </think> 描述针对Windows用户的钓鱼攻击活动,利用伪装税务通知或电子发票的附件传播Winos 4.0恶意软件,该软件通过LNK文件或DLL侧载技术下载并执行,提升权限后加载内核模式驱动以窃取数据,攻击者利用动态域名和云服务分发恶意软件,并通过隐藏C2地址等手段规避检测,FortiGuard提供多项防护措施以应对此类威胁.... 2026-2-20 14:0:0 | 阅读: 16 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com phishing malicious hxxps invoice winos

Deep Dive into New XWorm Campaign Utilizing Multiple-Themed Phishing Emails 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内。首先，我需要仔细阅读这篇文章，理解它的主要内容和关键点。 文章讲的是一个钓鱼活动，通过恶意Excel附件传播XWorm远程访问木马。XWorm是一种多功能的RAT，可以提供对受害计算机的完全远程控制。攻击链包括钓鱼邮件、利用CVE-2018-0802漏洞、HTA文件下载、PowerShell执行、无文件.NET模块加载以及进程空洞注入到Msbuild.exe中。 文章还详细分析了XWorm的功能，包括加密通信、命令控制协议、插件架构等。最后提到Fortinet的安全保护措施，如反垃圾邮件、网络过滤、IPS和反病毒服务。 用户的要求是用中文总结，控制在100字以内，并且不需要特定的开头。所以我要提取最核心的信息：钓鱼活动、XWorm RAT、利用CVE漏洞、远程控制功能以及Fortinet的防护措施。 现在，把这些信息浓缩成一句话，确保不超过100字。可能的结构是：描述活动类型，使用的工具和漏洞，攻击目标和结果，以及防护措施。 最终总结应该简洁明了，涵盖主要攻击手段和防护措施。 </think> 文章描述了一个通过钓鱼邮件传播的恶意活动，利用恶意Excel附件中的CVE-2018-0802漏洞下载并执行HTA文件。该HTA文件通过PowerShell加载无文件.NET模块，并使用进程空洞技术将XWorm远程访问木马注入到Msbuild.exe进程中。XWorm提供了全面的远程控制功能，并支持加密通信和插件扩展。Fortinet的安全服务能够有效防御此类攻击。... 2026-2-10 14:0:0 | 阅读: 15 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com xworm victim payload phishing windows

Interlock Ransomware: New Techniques, Same Old Tricks 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户提供了文章的详细内容，看起来是关于Interlock勒索软件集团的攻击活动。首先，我要通读整篇文章，抓住主要信息。 文章开头提到Interlock主要针对北美教育机构，使用的是金融动机的勒索软件，影响包括数据窃取和加密，严重程度为中等。接下来详细描述了攻击过程，包括初始访问、数据访问与外泄、以及勒索软件的部署。攻击者利用MintLoader进行初始入侵，然后使用NodeSnakeRAT和Interlock RAT进行后续活动。 攻击者还开发了一种新的进程终止工具，利用游戏反作弊驱动的零日漏洞来禁用受害者的EDR和AV工具。此外，他们使用了ScreenConnect进行远程访问，并通过AZcopy工具外泄数据。最后阶段部署了针对Windows和Nutanix的勒索软件。 文章还提到受害者未能及时检测到入侵，导致数据外泄和加密。最后给出了缓解建议和MITRE ATT&CK映射。 现在需要将这些关键点浓缩到100字以内。重点包括：Interlock针对北美教育机构的攻击、利用MintLoader和NodeSnakeRAT、开发新工具禁用安全软件、使用ScreenConnect和AZcopy外泄数据、以及部署勒索软件导致加密和赎金要求。 确保语言简洁明了，不遗漏关键信息。 </think> Interlock 勒索软件集团针对北美教育机构发动攻击，利用MintLoader初始入侵并部署NodeSnakeRAT获取持久访问权。攻击者开发新工具禁用安全软件，并通过ScreenConnect远程访问及AZcopy外泄数据。最终部署勒索软件加密文件并索要赎金。... 2026-1-29 14:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com c2 victim ransomware interlock powershell

Unveiling the Weaponized Web Shell EncystPHP Affected Platforms: FreePBX Endp... 2026-1-28 14:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com php freepbx encystphp asterisk 64328

Inside a Multi-Stage Windows Malware Campaign 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读这篇文章，了解其主要内容和重点。 文章主要描述了一个针对俄罗斯用户的多阶段恶意软件攻击。攻击开始于钓鱼邮件，包含LNK文件和PowerShell脚本，最终导致系统被完全控制。攻击者利用GitHub和Dropbox分发恶意负载，包括禁用微软 defender、部署远程访问木马（RAT）、加密文件和锁定系统。 接下来，我需要提取关键信息：攻击目标、初始感染向量、使用的工具、最终影响等。同时要注意用词简洁，确保在100字以内完整表达。 可能的结构是先说明攻击目标和方法，然后提到使用的工具和技术，最后指出造成的后果。例如：“针对俄罗斯用户的多阶段恶意软件攻击利用钓鱼邮件和LNK文件启动，通过PowerShell脚本分发恶意负载到GitHub和Dropbox。攻击禁用微软 defender，部署远程访问木马（RAT），加密文件，并锁定系统。” 这样既涵盖了主要点，又符合字数限制。 </think> 针对俄罗斯用户的多阶段恶意软件攻击利用钓鱼邮件和LNK文件启动，通过PowerShell脚本分发恶意负载到GitHub和Dropbox。攻击禁用微软 defender，部署远程访问木马（RAT），加密文件，并锁定系统。... 2026-1-20 14:0:0 | 阅读: 15 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com windows payload stage security microsoft

New Remcos Campaign Distributed Through Fake Shipping Document 这篇文章描述了一个新的钓鱼活动，利用伪装成越南航运公司邮件的恶意Word文档传播Remcos远程访问木马（RAT）。该活动通过CVE-2017-11882漏洞下载VBScript和PowerShell代码，在内存中加载无文件的.NET模块，并通过进程空洞注入Remcos代理。Remcos代理具备远程控制、系统管理、监视等功能，并通过加密配置与C2服务器通信。Fortinet的安全产品已提供防护措施。... 2026-1-14 14:0:0 | 阅读: 14 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com remcos powershell victim payload phishing

Uncovering Hidden Forensic Evidence in Windows: The Mystery of AutoLogger-Diagtrack-Listener.etl 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要仔细阅读这篇文章，理解它的主要内容和重点。 文章主要讲的是Windows系统中的一个ETL文件，AutoLogger-Diagtrack-Listener.etl，它在取证分析中的作用。FortiGuard在应对一起勒索软件攻击时，发现这个文件记录了威胁行为者删除的恶意软件和工具的历史证据。这表明即使恶意软件被删除，ETL文件仍然保留了执行细节。 接下来，文章讨论了ETW（事件跟踪）的工作原理，以及如何配置DiagTrack服务的 telemetry level。通过实验发现，在设置为最高级别后，虽然创建了ETL文件，但内容为空。这说明文件填充可能依赖于内部或未公开的条件。 最后，文章提到Fortinet的安全解决方案如何利用这些数据进行检测和分析，并建议进一步研究以明确填充条件。 现在我需要将这些信息浓缩到100字以内。要抓住关键点：ETL文件的作用、取证发现、实验结果、安全解决方案的作用以及研究建议。 可能的结构是：描述ETL文件及其在取证中的作用，提到实验结果和填充条件的问题，然后提到Fortinet的解决方案和进一步研究的必要性。 确保语言简洁明了，避免使用复杂的术语。 </think> Windows 10/11及后续版本中,AutoLogger-Diagtrack-Listener.etl文件记录了系统诊断数据,可用于取证分析。该文件由DiagTrack服务生成,记录进程创建等低级活动,但填充依赖内部条件,配置最高 telemetry level仍可能为空。此发现对事件响应有价值,但需进一步研究其填充机制。... 2025-12-9 14:0:0 | 阅读: 21 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com etl diagtrack windows telemetry autologger

UDPGangster Campaigns Target Multiple Countries 嗯，用户让我用中文总结一下这篇文章，控制在100字以内，而且不需要特定的开头。首先，我得通读整篇文章，抓住主要信息。 文章讲的是UDPGangster这个后门程序，由MuddyWater威胁组织使用，主要通过恶意Word文档传播。攻击目标包括土耳其、以色列和阿塞拜疆。文档里有VBA宏，一旦启用就会下载恶意软件。UDPGangster还能通过UDP通信，逃避传统防御，并且有多种反分析技术。最后提到Fortinet的防护措施。 现在要浓缩到100字以内。我需要涵盖攻击手段、目标、恶意软件功能以及防护措施。可能的结构是：攻击方式、目标国家、UDPGangster的功能和传播方式、以及Fortinet的保护。 比如：“文章描述了MuddyWater组织利用UDPGangster后门通过恶意Word文档攻击土耳其、以色列和阿塞拜疆用户。该恶意软件使用UDP通信并包含反分析技术，Fortinet提供检测和防护。” 这样大概在100字左右。 检查一下是否遗漏了关键点：攻击手段（VBA宏）、目标国家、UDPGangster的功能（UDP通信、反分析）、以及Fortinet的解决方案。看起来都涵盖了。 </think> 文章描述了MuddyWater组织利用UDPGangster后门通过恶意Word文档攻击土耳其、以色列和阿塞拜疆用户。该恶意软件使用UDP通信并包含反分析技术，Fortinet提供检测和防护。... 2025-12-4 14:0:0 | 阅读: 39 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com phishing udpgangster analysis israel fortiguard

New eBPF Filters for Symbiote and BPFdoor Malware 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是Linux系统上的eBPF技术被恶意软件滥用的情况。eBPF本身是一个强大的内核技术，允许用户加载沙盒程序来处理网络数据包和系统调用。然而，恶意软件作者利用了这一点，开发出了如Symbiote和BPFDoor这样的恶意软件家族。 2025年的情况显示，这些恶意软件仍然存在，并且变种增多。它们通过使用非标准端口进行C2通信，增加了检测难度。此外，这些恶意软件还增强了功能，比如支持IPv6和UDP协议，进一步提升了隐蔽性。 文章还提到使用AI工具如Claude.AI来分析BPF字节码，帮助理解恶意软件的行为。同时，Fortinet提供了相应的防护措施，包括反病毒检测和IPS签名等。 总结时需要涵盖以下几点： 1. eBPF技术及其被滥用的情况。 2. 恶意软件家族（Symbiote和BPFDoor）及其在2025年的活动。 3. 它们如何隐藏通信（非标准端口、UDP、IPv6）。 4. 使用AI分析的技术。 5. Fortinet的防护措施。 现在把这些信息浓缩到100字以内： eBPF技术被用于Linux系统的恶意软件中，如Symbiote和BPFDoor家族。这些恶意软件通过非标准端口、UDP和IPv6隐藏通信，并利用AI分析技术提升隐蔽性。Fortinet提供了检测和防护措施。 这样应该符合用户的要求了。 </think> 文章描述了Linux系统中eBPF技术被滥用的情况及其对网络安全的影响。eBPF是一种强大的内核技术，允许用户加载沙盒程序以处理网络数据包和系统调用。然而，这一技术也被恶意软件作者利用来开发隐蔽性强的C2通信工具。文章指出，在2025年发现了新的Symbiote和BPFDoor变种，这些恶意软件通过非标准端口进行通信，并利用AI工具分析其行为以提高隐蔽性。Fortinet提供了相应的安全防护措施来应对这些威胁。... 2025-12-2 14:0:0 | 阅读: 39 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com bpfdoor bytecode ebpf symbiote radare2

ShadowV2 Casts a Shadow Over IoT Devices | FortiGuard Lab Affected Platforms: DD-WRT 24 sp... 2025-11-26 14:0:0 | 阅读: 25 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com shadowv2 mozilla windows fortiguard wow64

Cyberthreats Targeting the 2025 Holiday Season: What CISOs Need to Know Every year, the holiday season brings a predictable spike in online activity. But in 2025, the vo... 2025-11-25 14:0:0 | 阅读: 28 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com holiday attackers malicious fortiguard season

Cloud Abuse at Scale 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求是直接写文章描述，不需要特定的开头。首先，我得仔细阅读这篇文章，理解其主要内容。 文章主要讲的是TruffleNet攻击活动，利用被盗的AWS凭证进行大规模网络钓鱼和业务邮件诈骗。攻击者使用TruffleHog工具进行侦察，创建虚假身份发送恶意邮件。影响包括财务损失、数据泄露和声誉损害。Fortinet提供了检测和防护措施。 接下来，我需要提取关键点：TruffleNet攻击、被盗AWS凭证、SES滥用、业务邮件诈骗、TruffleHog工具、影响和防护措施。然后把这些点浓缩成100字以内的总结。 要注意用词简洁，涵盖主要威胁和应对方法。确保信息准确且全面。 </think> 文章描述了针对AWS的TruffleNet攻击活动，利用被盗云凭证通过SES服务进行大规模网络钓鱼和业务邮件诈骗（BEC），造成财务损失和数据泄露。攻击者使用TruffleHog工具进行侦察，并创建虚假身份发送恶意邮件。该活动涉及多个受损域名和API滥用，Fortinet提供检测和防护解决方案以应对此类威胁。... 2025-10-31 13:0:0 | 阅读: 27 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com botocore trufflenet cloud python attackers