Model Namespace Reuse: An AI Supply-Chain Attack Exploiting Model Name Trust 文章揭示了AI供应链中的重大漏洞——Model Namespace Reuse，允许攻击者通过重新注册已删除或转移的模型名称，在Azure AI Foundry、Google Vertex AI等平台及开源项目中部署恶意模型并获得远程代码执行能力。该问题源于Hugging Face平台对模型命名空间的管理机制。文章建议通过版本固定、模型克隆和扫描等措施提升AI安全防护能力。... 2025-9-3 10:0:56 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com hugging vertex reuse malicious developers

Why Threat Intelligence: A Conversation With Unit 42 Interns Palo Alto Networks的Unit 42团队通过实习生Sakthi和Gabrielle的工作展示了威胁情报与恶意软件分析的重要性。Sakthi专注于自动化数据处理和分析工具开发，Gabrielle则致力于恶意软件分类与自动化解决方案。他们的实习经历不仅加深了对网络安全的理解，还激发了对技术探索的热情。... 2025-9-2 23:0:57 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com sakthi gabrielle internship palo

Threat Brief: Salesloft Drift Integration Used To Compromise Salesforce Instances Salesloft Drift集成被用于攻击Salesforce客户，攻击者利用OAuth凭证窃取敏感数据并删除查询记录以隐藏痕迹。Salesloft已通知受影响客户并采取措施限制访问。建议组织审查日志、旋转凭证并监测异常活动以防范进一步风险。... 2025-9-2 11:0:23 | 阅读: 18 | 收藏 | Unit 42 - unit42.paloaltonetworks.com salesforce drift salesloft unusual

Data Is the New Diamond: Heists in the Digital Age 本文探讨了金融犯罪分子在数字和物理世界中的共同点——利用社会工程和侦察手段实现目标。以比利时钻石中心盗窃案为例，展示了犯罪分子如何通过伪装身份和细致侦察规避安全措施。在数字领域，类似手法被用于数据勒索攻击，威胁者通过语音钓鱼获取初始访问权限，并收集敏感数据进行勒索。这些攻击主要针对奢侈品零售、航空和金融等行业的高价值客户数据。... 2025-8-26 23:0:23 | 阅读: 15 | 收藏 | Unit 42 - unit42.paloaltonetworks.com extortion heist victim salesforce notably

Insights: Telling You What We Really Think Palo Alto Networks 的 Unit 42 团队推出新栏目“Insights”，分享研究人员和顾问对威胁环境的即时观察和理论，提供更直接、真实的见解。... 2025-8-25 18:0:45 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com muddled libra pieces hear consultants

Your Connection, Their Cash: Threat Actors Misuse SDKs to Sell Your Bandwidth 该文章描述了一项利用GeoServer漏洞CVE-2024-36401的网络攻击活动，攻击者通过部署SDK或修改后的应用程序非法获取受害者带宽资源以实现被动收入。该活动自2025年3月起活跃，利用多个IP地址分发恶意软件，并通过隐蔽手段长期获利。Palo Alto Networks提供了多种安全产品以应对此类威胁。... 2025-8-21 10:0:32 | 阅读: 16 | 收藏 | Unit 42 - unit42.paloaltonetworks.com hxxp 226 attackers payload malicious

Logit-Gap Steering: A New Frontier in Understanding and Probing LLM Safety 文章介绍了一种新的视角来分析大型语言模型（LLM）的安全性问题。通过研究“拒绝-肯定logit差距”，揭示了LLM的安全机制并非完全消除有害响应的可能性，而是降低其概率。攻击者可以通过缩小这一差距来绕过安全限制。研究表明现有模型存在漏洞，需结合多层次防御策略以增强AI安全性。... 2025-8-20 23:0:15 | 阅读: 10 | 收藏 | Unit 42 - unit42.paloaltonetworks.com gap alignment llm harmful logit

Fashionable Phishing Bait: GenAI on the Hook 生成式AI快速发展，广泛应用于代码协助、自然语言生成等领域。然而，其也被用于网络钓鱼等恶意活动，如创建逼真的钓鱼网站和恶意聊天机器人。文章分析了这些滥用场景，并提供了检测指标及防护建议。... 2025-8-19 10:0:2 | 阅读: 15 | 收藏 | Unit 42 - unit42.paloaltonetworks.com phishing genai builders malicious assisted

A Mega Malware Analysis Tutorial Featuring Donut-Generated Shellcode 文章提供了一个详细的恶意软件分析教程，使用Donut生成的shellcode演示感染链分析过程。适合初学者学习静态和动态分析工具及技术，并了解 Palo Alto Networks 的防御产品。... 2025-8-14 10:0:46 | 阅读: 16 | 收藏 | Unit 42 - unit42.paloaltonetworks.com 10a31a shellcode analysis x64dbg decompiled

Muddled Libra’s Strike Teams: Amalgamated Evil Muddled Libra 是一个松散协作的网络犯罪组织，通过社交应用联系成员形成打击团队。这些团队拥有独特技能和目标，涉及加密货币盗窃、勒索、数据收集等。由于成员流动性大，难以预测其下一个目标。防御者应关注自身可能被攻击的点，并采取数据保护和业务连续性等措施应对潜在威胁。... 2025-8-12 21:0:39 | 阅读: 10 | 收藏 | Unit 42 - unit42.paloaltonetworks.com personas libra muddled tradecraft industries

Keys to the Kingdom: Erlang/OTP SSH Vulnerability Analysis and Exploits Observed in the Wild 本文探讨了针对CVE-2025-32433漏洞的攻击尝试。该漏洞存在于Erlang/OTP SSH守护进程中,允许未经身份验证的远程代码执行,影响多个版本,CVSS评分为10.0。检测数据显示,自5月1日起,针对OT网络的攻击活动显著增加,主要集中在医疗、农业、媒体和高科技等行业。建议用户升级至修复版本以缓解风险,Palo Alto Networks提供了相关产品和服务进行防护。... 2025-8-11 10:0:48 | 阅读: 16 | 收藏 | Unit 42 - unit42.paloaltonetworks.com otp 32433 erlang ssh firewalls

New Infection Chain and ConfuserEx-Based Obfuscation for DarkCloud Stealer DarkCloud Stealer采用新方法传播和混淆技术，涉及ConfuserEx保护和VB6编写最终payload。攻击链通过钓鱼邮件中的压缩包启动，并利用多层加密和混淆技术投放恶意软件。Palo Alto Networks提供多种防护产品以应对这些威胁。... 2025-8-7 10:0:2 | 阅读: 21 | 收藏 | Unit 42 - unit42.paloaltonetworks.com darkcloud payload confuserex vb6 stealer

Muddled Libra: Why Are We So Obsessed With You? Muddled Libra 是一个以社会工程学攻击著称的网络犯罪组织，近期针对政府、零售、保险和航空等行业发动攻击。尽管其工具和技术并非独特，但其一致的战术、行业针对性以及流利的英语能力使其在众多 RaaS 附属组织中脱颖而出。这些因素使其成为媒体关注焦点，并引发对其防御策略的研究。... 2025-8-6 21:0:54 | 阅读: 6 | 收藏 | Unit 42 - unit42.paloaltonetworks.com libra muddled industries affiliate involving

When Good Accounts Go Bad: Exploiting Delegated Managed Service Accounts in Active Directory BadSuccessor是一种利用Windows Server 2025中的委托管理服务账户（dMSA）进行权限提升的攻击技术。攻击者可通过篡改dMSA属性冒充高权限用户或域管理员，导致域被完全控制。文章分析了该技术的核心机制、检测策略及缓解建议，并提到Palo Alto Networks的产品可帮助检测此类威胁。... 2025-8-6 10:0:47 | 阅读: 15 | 收藏 | Unit 42 - unit42.paloaltonetworks.com evtlog dmsa msds

Project AK47: Uncovering a Link to the SharePoint Vulnerability Attacks Unit 42发现微软报告中提到的Storm-2603威胁行为者与追踪的CL-CRI-1040活动存在高度重叠。该活动利用ToolShell漏洞链针对SharePoint漏洞进行攻击，并部署名为Project AK47的工具集，包括后门、勒索软件和加载器。CL-CRI-1040曾与LockBit 3.0 affiliate相关联，并近期与Warlock Client双重勒索站点有关。... 2025-8-5 23:0:47 | 阅读: 15 | 收藏 | Unit 42 - unit42.paloaltonetworks.com ransomware ak47 1040 cri lockbit

Introducing Unit 42’s Attribution Framework Palo Alto Networks' Unit 42团队开发了一种系统化的威胁归属框架（Unit 42 Attribution Framework），用于分析和归因网络威胁活动。该框架分为三个层次：活动集群、临时威胁组和命名威胁行为者，并结合Admiralty系统评估证据的可靠性和可信度。通过Diamond模型分析入侵行为，并以Stately Taurus案例展示了其应用过程。... 2025-7-31 10:0:15 | 阅读: 17 | 收藏 | Unit 42 - unit42.paloaltonetworks.com attribution analysis clusters ttps motivation

2025 Unit 42 Global Incident Response Report: Social Engineering Edition 文章指出，社会工程学在2025年将成为最可靠、可扩展和影响深远的入侵方法之一。其成功源于高接触攻击的兴起、非钓鱼技术的使用、低检测覆盖率、业务中断加剧以及人工智能的助力。防御需强化身份验证、零信任原则和行为分析能力。... 2025-7-30 10:0:33 | 阅读: 18 | 收藏 | Unit 42 - unit42.paloaltonetworks.com attackers attacker security intrusions phishing

The Covert Operator's Playbook: Infiltration of Global Telecom Networks Unit 42观察到针对西南亚电信行业的攻击活动（CL-STA-0969），攻击者利用移动漫游网络部署恶意工具（如Cordscan、GTPDoor），目标为获取受害者位置数据。该活动与Liminal Panda关联，采用SSH暴力破解初始访问，并利用漏洞提升权限。攻击者保持高运营安全，使用防御规避技术并删除日志以隐藏痕迹。Palo Alto Networks提供多种防护产品应对威胁。... 2025-7-29 21:0:16 | 阅读: 26 | 收藏 | Unit 42 - unit42.paloaltonetworks.com network ssh proxy tunneling

The Ηоmоgraph Illusion: Not Everything Is As It Seems 本文探讨了网络钓鱼中的同形攻击技术，即通过替换非拉丁字符模仿拉丁字符以欺骗用户。文章通过三个真实案例展示了此类攻击如何绕过安全检测并诱导用户点击恶意链接或提供敏感信息。最后强调了提升安全意识和采用先进技术的重要性。... 2025-7-25 21:0:13 | 阅读: 20 | 收藏 | Unit 42 - unit42.paloaltonetworks.com homograph malicious latin attackers attacker

Cloud Logging for Security and Beyond 本文探讨了亚马逊AWS、微软Azure和谷歌GCP三大云服务提供商的云日志最佳实践，强调需结合业务需求、监管要求及安全目标进行配置。通过区分数据平面（基础功能）与控制平面（资源管理），企业可有效监控云环境并满足合规性要求。... 2025-7-22 21:0:47 | 阅读: 17 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud plane security network regulatory