GoldMelody’s Hidden Chords: Initial Access Broker In-Memory IIS Modules Revealed 文章揭示了一个初始访问代理(IAB)利用泄露的ASP.NET机器密钥通过ViewState反序列化技术入侵企业服务器的活动。该组织通过获取合法签名的恶意负载，在内存中执行代码以规避检测，并针对多个行业的企业实施攻击。建议企业检查并更新密钥以防范此类威胁。... 2025-7-8 10:0:43 | 阅读: 24 | 收藏 | Unit 42 - unit42.paloaltonetworks.com machine cri tgr 0045 attacker

Apache Under the Lens: Tomcat’s Partial PUT and Camel’s Header Hijack Apache在2025年3月披露了三个关键漏洞：CVE-2025-24813、CVE-2025-27636和CVE-2025-29891，分别影响Apache Tomcat和Camel。这些漏洞允许远程代码执行，影响广泛使用的版本。研究人员迅速发布了概念验证 exploits，检测到大量扫描和攻击尝试。建议用户立即应用补丁以缓解风险。... 2025-7-3 10:0:3 | 阅读: 17 | 收藏 | Unit 42 - unit42.paloaltonetworks.com camel 24813 malicious 27636

Windows Shortcut (LNK) Malware Strategies Windows快捷方式（LNK）文件因灵活性被广泛用于恶意软件传播。2023年发现21,098个恶意样本，2024年激增至68,392个。分析显示LNK恶意软件分为四类：利用执行、磁盘文件执行、参数脚本执行和覆盖内容执行。通过检查目标字段和命令行参数可识别威胁。建议谨慎处理未知LNK文件，并使用安全工具防范攻击。... 2025-7-2 10:0:37 | 阅读: 17 | 收藏 | Unit 42 - unit42.paloaltonetworks.com malicious windows powershell overlay idlist

Threat Brief: Escalation of Cyber Risk Related to Iran 伊朗近期军事行动加剧了网络战风险。尽管尚未出现大规模伊朗网络攻击，但未来可能看到更多破坏性、DDoS等攻击。相关威胁集团利用AI进行社会工程学攻击，并针对关键基础设施展开行动。... 2025-6-25 18:0:13 | 阅读: 8 | 收藏 | Unit 42 - unit42.paloaltonetworks.com iranian serpens destructive phishing iran

Cybercriminals Abuse Open-Source Tools To Target Africa’s Financial Sector 威胁行为者利用开源工具攻击非洲金融机构，伪造合法签名隐藏恶意活动，并可能作为初始访问中介出售网络访问权限。... 2025-6-24 22:0:22 | 阅读: 12 | 收藏 | Unit 42 - unit42.paloaltonetworks.com poshc2 spy classroom chisel proxy

Resurgence of the Prometei Botnet Prometei是一种恶意软件家族，包括Linux和Windows版本，用于远程控制被攻击系统进行加密货币挖矿（尤其是Monero）和窃取凭证。最新版本引入了后门功能、域生成算法（DGA）和自我更新机制以增强隐蔽性和传播能力。Palo Alto Networks提供多种安全解决方案以应对该威胁。... 2025-6-20 10:0:33 | 阅读: 13 | 收藏 | Unit 42 - unit42.paloaltonetworks.com prometei upx analysis c2 trailer

Exploring a New KimJongRAT Stealer Variant and Its PowerShell Implementation 这篇文章分析了KimJongRAT恶意软件的两个新变种：PE文件和PowerShell脚本。它们通过LNK文件启动，并利用合法CDN服务下载恶意组件。两者均窃取浏览器数据及加密钱包信息，PE版本还收集FTP和邮件客户端信息。Palo Alto Networks的解决方案可有效防御此类威胁。... 2025-6-17 10:0:16 | 阅读: 26 | 收藏 | Unit 42 - unit42.paloaltonetworks.com powershell c2 stealer kimjongrat windows

Serverless Tokens in the Cloud: Exploitation and Detections 这篇文章探讨了主要云平台（如AWS Lambda、Azure Functions和Google Cloud Run）上的无服务器认证机制及其安全影响。攻击者通过利用漏洞获取凭证，导致云环境风险增加。文章详细介绍了各平台的身份管理方式，并分析了SSRF和RCE等攻击向量。此外，还提供了检测异常行为和实施最小权限原则等防护策略，并强调了Palo Alto Networks Cortex Cloud在保护中的作用。... 2025-6-13 10:0:42 | 阅读: 18 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud identities microsoft gcp security

JSFireTruck: Exploring Malicious JavaScript Using JSF*ck as an Obfuscation Technique 这篇文章描述了一种大规模网络攻击活动，攻击者通过注入混淆的JavaScript代码（使用JSFireTruck技术）入侵合法网站，并在用户访问时将其重定向至恶意页面。该技术利用有限字符集隐藏代码目的，并通过检查网站来源（如搜索引擎）触发重定向。此类攻击可能导致恶意软件下载或网络钓鱼等危害。... 2025-6-12 10:0:36 | 阅读: 24 | 收藏 | Unit 42 - unit42.paloaltonetworks.com jsfiretruck malicious coercion devtools analysis

The Evolution of Linux Binaries in Targeted Cloud Operations 文章指出Linux ELF文件正被用于针对云基础设施的攻击，包括后门、数据擦除器等恶意软件。研究人员发现五种ELF恶意软件家族活跃于云环境，并建议采用机器学习检测技术以提升云安全防护能力。... 2025-6-10 10:0:0 | 阅读: 21 | 收藏 | Unit 42 - unit42.paloaltonetworks.com cloud malicious machine families cortex

Roles Here? Roles There? Roles Anywhere: Exploring the Security of AWS IAM Roles Anywhere 文章探讨了AWS IAM Roles Anywhere服务的风险与缓解策略。该服务允许外部工作负载通过数字证书身份验证访问AWS资源，默认配置可能因过于宽松而引发安全漏洞。文章分析了攻击者如何利用这些漏洞，并建议通过限制信任策略、使用ACM-PCA信任锚、实施最小权限原则及持续监控来降低风险。Cortex Cloud提供检测和预防工具以应对相关威胁。... 2025-6-9 10:0:8 | 阅读: 14 | 收藏 | Unit 42 - unit42.paloaltonetworks.com attacker anchor cloud arns

Blitz Malware: A Tale of Game Cheats and Code Repositories Blitz是一种Windows恶意软件，通过被黑的游戏作弊程序传播。它分为两阶段：下载器和bot。开发者利用Hugging Face托管C2基础设施，并包含Monero挖矿机。作者通过Telegram推广后宣布退出。... 2025-6-6 10:0:49 | 阅读: 15 | 收藏 | Unit 42 - unit42.paloaltonetworks.com blitz cheat backdoored c2 cheats

Lost in Resolution: Azure OpenAI's DNS Resolution Issue 研究人员发现Azure OpenAI DNS解析逻辑存在漏洞，可能导致跨租户数据泄露和中间人攻击。该问题源于API与UI处理域名方式不同，多个租户可共享同一域名并解析至外部IP地址。微软已修复此漏洞，并强调需持续监控云配置和DNS解析以确保安全。... 2025-6-3 10:0:13 | 阅读: 13 | 收藏 | Unit 42 - unit42.paloaltonetworks.com openai security cloud microsoft tenants

How Good Are the LLM Guardrails on the Market? A Comparative Study on the Effectiveness of LLM Content Filtering Across Major GenAI Platforms 文章比较了三家主流云平台大型语言模型内置的安全护栏效果。研究发现这些护栏在处理良性查询和恶意指令时存在误报和漏报问题。不同平台表现差异显著：平台3误报率高但漏报较少；平台2漏报率低但误报较多；平台1则较为宽松。模型对齐机制在减少有害输出方面发挥了关键作用。... 2025-6-2 22:0:26 | 阅读: 13 | 收藏 | Unit 42 - unit42.paloaltonetworks.com prompts guardrails malicious harmful benign

DarkCloud Stealer: Comprehensive Analysis of a New Attack Chain That Employs AutoIt DarkCloud Stealer是一种恶意软件，通过钓鱼邮件和文件共享服务传播。攻击者利用AutoIt脚本隐藏恶意代码，并窃取浏览器密码、信用卡信息等敏感数据。该恶意软件自2022年起活跃，并在2025年出现新变种。Palo Alto Networks提供安全解决方案以防御此类威胁。... 2025-5-14 10:0:53 | 阅读: 24 | 收藏 | Unit 42 - unit42.paloaltonetworks.com autoit darkcloud stealer shellcode malicious

Threat Brief: CVE-2025-31324 SAP披露了CVE-2025-31324高危漏洞（CVSS 10.0），影响SAP NetWeaver 7.50版本的Visual Composer组件。该漏洞允许未认证用户上传任意文件至服务器，可能导致远程代码执行和系统完全控制。攻击者通过发送特定HTTP请求至/developmentserver/metadatauploader端点利用此漏洞，并部署web shell进行进一步攻击。建议用户及时更新补丁并参考SAP官方指南以降低风险。... 2025-5-9 22:0:14 | 阅读: 21 | 收藏 | Unit 42 - unit42.paloaltonetworks.com payload download powershell attacker reverse

Stealthy .NET Malware: Hiding Malicious Payloads as Bitmap Resources 网络犯罪分子利用位图资源隐藏恶意软件于32位.NET应用中，通过多阶段链式反应提取并执行最终有效负载（如Agent Tesla）。Palo Alto Networks提供Advanced WildFire等产品以增强防护能力。... 2025-5-9 10:0:50 | 阅读: 8 | 收藏 | Unit 42 - unit42.paloaltonetworks.com malicious payload analysis stage tl

Iranian Cyber Actors Impersonate Model Agency in Suspected Espionage Operation Unit 42发现一个冒充德国模特经纪公司的伊朗基础设施，创建虚假网站收集用户信息用于定向攻击，并利用假模特资料进行社会工程学攻击。该活动疑似由伊朗威胁集团Agent Serpens实施。... 2025-5-7 10:0:55 | 阅读: 11 | 收藏 | Unit 42 - unit42.paloaltonetworks.com iranian mega fictitious benzion shir

Lampion Is Back With ClickFix Lures Unit 42发现针对葡萄牙政府、金融和交通部门的恶意活动，由Lampion银行木马团伙策划。攻击利用ClickFix诱饵和社会工程学技术诱导受害者执行恶意命令，并通过多阶段混淆VB脚本传播。最终有效载荷被注释掉，但完整感染链已被识别。建议提高对ClickFix风险的认识并加强检测能力以应对此类威胁。... 2025-5-6 10:0:59 | 阅读: 23 | 收藏 | Unit 42 - unit42.paloaltonetworks.com stage lampion malicious clickfix portuguese

AI Agents Are Here. So Are the Threats. 文章探讨了基于AI的代理程序（agentic applications）的安全风险及其防御策略。通过分析九种具体攻击场景（如提示注入、工具滥用和代码执行），文章指出这些风险主要源于设计缺陷、配置错误及工具集成问题。作者建议采用多层次防御策略，包括强化提示、内容过滤和工具输入清理等，并强调了Palo Alto Networks的解决方案在保护AI代理中的作用。... 2025-5-1 22:0:8 | 阅读: 13 | 收藏 | Unit 42 - unit42.paloaltonetworks.com attacker injection agents payload crewai