How FortiSandbox 5.0 Detects Dark 101 Ransomware Despite Evasion Techniques Dark 101 勒索软件通过混淆 .NET 文件传播，加密用户数据并删除备份以阻止恢复。它伪装为系统进程svchost.exe，并禁用任务管理器以避免被终止。该恶意软件还执行命令删除卷影副本和备份目录，并在加密文件后生成赎金说明索要比特币支付。... 2025-7-14 13:0:0 | 阅读: 34 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ransomware analysis windows encryption victim

Catching Smarter Mice with Even Smarter Cats 文章探讨了人工智能在反病毒领域的应用与挑战。AI在处理恶意软件的打包与混淆方面取得进展，尤其在标准混淆上表现良好，但在复杂打包和新兴语言如Rust上仍需改进。尽管如此，AI为反病毒行业提供了新工具，使其首次占据优势地位。... 2025-7-10 13:0:0 | 阅读: 35 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com flutter delphi ladvix assistance ghidra

NordDragonScan: Quiet Data-Harvester on Windows 文章描述了NordDragonScan恶意软件通过伪装文件传播，窃取文档、浏览器数据和截图，并将其发送至C2服务器。该软件利用LNK快捷方式和HTA脚本进行攻击，并创建持久化机制以维持长期存在。... 2025-7-7 13:0:0 | 阅读: 32 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com fortiguard malicious c2 payload

RondoDox Unveiled: Breaking Down a New Botnet Threat 文章描述了一种名为RondoDox的新型恶意软件，利用CVE-2024-3721和CVE-2024-12856漏洞攻击TBK DVR和Four-Faith路由器设备。该恶意软件具备复杂的持久化机制、反分析能力，并能伪装成合法流量发起DDoS攻击。... 2025-7-3 13:0:0 | 阅读: 37 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com rondodox fortiguard analysis c2 dvr

DCRAT Impersonating the Colombian Government FortiMail团队发现一起针对哥伦比亚的网络攻击，利用DCRAT远程木马通过钓鱼邮件传播。该恶意软件采用模块化设计，具备远程控制、数据窃取和系统操作等功能，并通过多重混淆和隐写技术躲避检测。... 2025-7-1 13:0:0 | 阅读: 33 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com windows processes fortiguard figures malicious

Dissecting a Malicious Havoc Sample Havoc是一种远程访问木马（RAT），通过伪装成系统进程conhost.exe注入cmd.exe实现完全控制。它支持多种命令和模块，可执行文件操作、进程管理等，并利用Beacon对象文件扩展功能。Fortinet的安全产品已提供防护措施。... 2025-6-23 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com demon havoc c2 remote injector

Threat Group Targets Companies in Taiwan 2025年1月起，针对台湾用户的网络攻击活动持续活跃。攻击者通过伪装成台湾国税局的钓鱼邮件传播winos 4.0恶意软件，并利用HoldingHands RAT远程访问木马进行多阶段攻击。该恶意软件通过复杂执行流程下载恶意负载，并与C2服务器通信以接收进一步指令。FortiGuard已检测并阻止相关威胁活动。... 2025-6-17 13:0:0 | 阅读: 28 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com msgdb payload shellcode c2 phishing

How a Malicious Excel File (CVE-2017-0199) Delivers the FormBook Payload 这篇文章描述了一次针对旧版Microsoft Office用户的钓鱼攻击活动。攻击者通过恶意Excel附件利用CVE-2017-0199漏洞传播FormBook恶意软件，窃取敏感信息如登录凭证和键盘记录。该活动涉及多个步骤，包括恶意HTA文件下载和执行、sihost.exe运行以及最终解码出FormBook核心payload。... 2025-6-5 15:0:0 | 阅读: 27 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com malicious 0199 formbook phishing springmaker

Deep Dive into a Dumped Malware without a PE Header 文章描述了 FortiGuard 事件响应团队对一起恶意软件事件的调查过程。通过对受感染机器的内存转储分析，团队成功提取并解析了恶意软件代码。该恶意软件通过加密通信与 C2 服务器交互，并具备截图、远程控制和系统服务操作等功能。Fortinet 的安全产品已针对该威胁提供防护措施。... 2025-5-29 15:0:0 | 阅读: 27 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com memory c2 analysis windows dumped

Infostealer Malware FormBook Spread via Phishing Campaign – Part II FormBook是一种复杂的恶意软件，利用多种反分析技术（如复制ntdll.dll、API混淆、动态解密函数）和Heaven’s Gate技术在受感染Windows系统中运行。它收集敏感数据（如浏览器凭证、剪贴板内容），通过加密通信与C2服务器交互，并接收控制命令执行远程操作（如文件下载、进程终止、系统重启）。... 2025-5-27 15:0:0 | 阅读: 29 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com formbook hxxp windows c2 analysis

Ransomware Roundup – VanHelsing VanHelsing 勒索软件针对 Microsoft Windows 系统进行攻击，加密文件并添加 .vanlocker 扩展名以索取赎金。该恶意软件避开特定文件类型和目录，并创建互斥对象 Global\\VanHelsing。Fortinet 提供检测和防护解决方案，并建议组织加强数据备份和采用零信任策略以应对威胁。... 2025-5-16 15:0:0 | 阅读: 26 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ransomware vanhelsing fortiguard security vanlocker

Horabot Unleashed: A Stealthy Phishing Threat Horabot是一种针对西班牙语用户的恶意软件，通过伪装成发票的钓鱼邮件传播。它利用HTML文件和恶意脚本窃取敏感信息，并通过Outlook发送钓鱼邮件进一步传播。主要影响拉丁美洲用户。... 2025-5-12 15:0:0 | 阅读: 24 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com autoit hxxps winupdate malicious powershell

Multilayered Email Attack: How a PDF Invoice and Geo-Fencing Led to RAT Malware 文章描述了一个针对西班牙、意大利和葡萄牙组织的新电子邮件活动，利用远程访问木马（RAT）通过多种规避技术传播恶意软件。攻击者利用合法电子邮件服务和地理位置过滤等手段隐藏真实来源，并通过伪装成发票的PDF文件诱导用户下载恶意JAR文件。该恶意软件能够在安装了Java运行环境的系统上运行，并允许攻击者远程控制设备并窃取敏感数据。... 2025-5-8 15:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com security malicious phishing ngrok ratty

FortiGuard Incident Response Team Detects Intrusion into Middle East Critical National Infrastructure FortiGuard团队调查了一起针对中东关键基础设施的长期网络入侵事件，时间从2023年5月至2025年2月。该事件由伊朗支持的威胁组织实施，利用多种恶意软件和工具进行多阶段攻击。尽管防御方采取措施遏制了入侵，但攻击者仍试图通过漏洞和钓鱼攻击重新获取访问权限。... 2025-5-1 15:0:0 | 阅读: 38 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com network containment victim hanifnet

Key Takeaways from the 2025 Global Threat Landscape Report 2024年网络安全威胁加速演变：攻击者利用自动化和AI技术缩短侦察到入侵时间； credential盗窃激增；云服务成主要攻击目标；旧漏洞持续被利用；防御需转向持续威胁管理以应对快速变化的威胁环境。... 2025-4-28 13:0:0 | 阅读: 17 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com attackers cloud network security

IngressNightmare: Understanding CVE‑2025‑1974 in Kubernetes Ingress-NGINX Kubernetes Ingress-NGINX控制器发现严重漏洞IngressNightmare（CVE-2025-1974等），允许攻击者通过网络访问admission webhook实现远程代码执行。受影响版本包括v1.11.0-4、v1.12.0及以下。修复建议包括升级至v1.12.1+或v1.11.5+、限制webhook访问、禁用未使用功能及强化服务账户权限。检测方法涉及监控异常行为和使用安全工具如Lacework FortiCNAPP及Fortinet产品。... 2025-4-23 15:0:0 | 阅读: 31 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com ingress network kubernetes malicious

Infostealer Malware FormBook Spread via Phishing Campaign – Part I Fortinet发现一起网络钓鱼活动，通过伪装成销售订单的恶意Word文档传播Formbook恶意软件。该文档利用CVE-2017-11882漏洞执行恶意代码，并通过进程空洞技术将Formbook注入目标进程运行。... 2025-4-22 15:0:0 | 阅读: 15 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com formbook rtf phishing decrypted equation

New Rust Botnet "RustoBot" is Routed via Routers FortiGuard Labs发现新的僵尸网络RustoBot通过TOTOLINK和DrayTek设备传播，利用CGI脚本漏洞远程控制设备并发起DDoS攻击，影响多个行业的技术领域。... 2025-4-21 15:0:0 | 阅读: 30 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com totolink hxxp rustobot injection fortiguard

Malicious NPM Packages Targeting PayPal Users FortiGuard Labs发现一系列恶意NPM包利用PayPal相关名称窃取敏感信息，并通过预安装脚本收集系统数据发送至攻击者服务器。... 2025-4-11 13:0:0 | 阅读: 19 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com tommyboy oauth2 malicious

RolandSkimmer: Silent Credit Card Thief Uncovered 文章描述了一种名为“RolandSkimmer”的高级信用卡网络钓鱼攻击活动。该活动通过恶意LNK文件传播，在Windows系统中运行并利用Chrome、Edge和Firefox浏览器扩展收集用户的敏感财务信息。攻击者使用混淆技术隐藏其恶意行为，并通过持续的数据收集和隐蔽的数据传输机制实现长期控制和数据窃取。... 2025-4-2 16:30:0 | 阅读: 16 | 收藏 | Fortinet Threat Research Blog - feeds.fortinet.com malicious victim attacker fortiguard site1