Security Affairs _恶意软件领域信息情报检索

该类别涉及Amadey恶意软件、Maui勒索软件、Lockbit勒索软件等。大家好,我的名字是Pierluigi Paganini。我是Security Affairs、CYBHORUS和Cybaze的创始人。作为网络威胁景观临时工作组的成员、道德黑客、安全布道者和安全分析师,Pierluigi是一位拥有20多年经验的网络安全专家,他还是EC Council伦敦分部的认证道德黑客。

荷兰捣毁 1700 万台设备的僵尸网络

Botnet of 17 Million Devices Dismantled in the Netherlands

荷兰当局查获了 200 台服务器,这些服务器运行着一个与代理服务 Asocks 相连的 1700 万台设备僵尸网络。荷兰当局已经使一个由至少 1700 万台设备组成的庞大僵尸网络下线,并查封了支持该行动的当地提供商的 200 多台服务器。受感染的设备包括电脑、平板电脑和智能手机。该操作是在 [...]

BTMOB RAT 为犯罪分子提供了一个点击工具包来接管您的 Android 手机

BTMOB RAT Gives Criminals a Point-and-Click Kit to Take Over Your Android Phone

BTMOB 以套件形式销售 Android 全设备接管,无需编码。它窃取数据、记录屏幕并向攻击者提供远程控制,终身价值 5,000 美元。大多数 Android 恶意软件至少需要一些技术能力才能部署,但 BTMOB 不需要。开发人员将其与内置的 APK 构建器一起出售,让买家可以生成新的恶意应用程序,[...]

CVE-2026-35616:恶意软件攻击中主动利用的 FortiClient EMS 缺陷

CVE-2026-35616: FortiClient EMS Flaw Actively Exploited in Malware Attacks

威胁参与者正在利用一个严重的 FortiClient EMS 缺陷(追踪为 CVE-2026-35616)在未修补的系统上部署恶意软件。威胁行为者正在利用一个严重的 FortiClient EMS 漏洞,跟踪为 CVE-2026-35616(CVSS 评分为 9.1),该漏洞允许在未经身份验证的情况下远程执行代码。 Fortinet 在确认野外零日攻击后于 4 月份发布了修复程序,并敦促 [...]

在暴露的数据库上运行的隐藏勒索软件经济

The Hidden Ransomware Economy Running on Exposed Databases

一项针对勒索软件经济的为期 5 年的研究发现,有 30,515 个暴露的数据库遭受了勒索攻击,尽管受害者从未付款,但仍造成了巨大的损失。数据库勒索看起来不像通常占据头条新闻的勒索软件故事。没有华丽的品牌宣传,没有泄密网站倒计时,也没有团伙在 Telegram 上发布表情包。在大多数情况下,只有一个 [...]

Git 标签中毒攻击后 Laravel-Lang Composer 软件包中发现恶意软件

Malware Found in Laravel-Lang Composer Packages After Git Tag Poisoning Attack

攻击者通过重写数百个 Git 标签而毒害了四个 Laravel-Lang Composer 软件包,使许多 Laravel 应用程序面临风险。黑客破坏了四个流行的 Laravel-Lang Composer 软件包,并通过重写与历史版本相关的 700 多个 Git 标签来注入恶意软件。 Laravel-Lang 是一个社区驱动的项目,为 Laravel 应用程序提供翻译和本地化文件。 [...]

当局逮捕了被控运行 Kimwolf 僵尸网络的 23 岁男子

Authorities arrest 23-year-old accused of running the Kimwolf botnet

加拿大当局逮捕了一名 23 岁的渥太华男子,他被控运行 Kimwolf DDoS 僵尸网络。美国目前正在寻求引渡。美国当局指控 23 岁的渥太华居民 Jacob Butler(又名“Dort”)涉嫌运营最近遭到破坏的 Kimwolf 僵尸网络。当局在加拿大逮捕了嫌疑人,他可能面临最高 10 年的监禁 [...]

一家电信提供商托管了中东大部分的主动 C2 基础设施

One Telecom Provider Hosted Most of the Middle East ’s Active C2 Infrastructure

Hunt.io 绘制了中东地区 1,350 多个 C2 服务器的地图,揭示了一小群提供商如何悄悄支持主要恶意软件活动。多年来,威胁情报主要关注恶意软件家族、网络钓鱼域和个人指标。但 Hunt.io 的一份新报告显示了为什么防御者可能需要更加关注一些更无聊的事情,托管 [...]

微软拆除了恶意软件签名网络 Fox Tempest

Microsoft dismantled malware-signing network Fox Tempest

Microsoft 破坏了 Fox Tempest,这是一种恶意软件签名即服务 (MSaaS),允许攻击者使用虚假的受信任证书对恶意软件进行签名。微软表示,它破坏了一个名为 Fox Tempest 的威胁行为者运行的网络犯罪行动,该行动帮助威胁行为者使用短期证书签署恶意软件,使恶意软件看起来合法。该服务滥用 Microsoft Artifact Signing 并支持 [...]

源代码泄露后出现 Shai-Hulud 蠕虫病毒模仿者

Shai-Hulud worm copycats emerge after source code leak

Shai-Hulud 蠕虫模仿者在其源代码泄露后已经开始攻击 NPM 开发人员,从而实现快速供应链利用。 Shai-Hulud 蠕虫病毒的第一批模仿者已经开始在网上出现,就在该恶意软件的源代码被发布到 GitHub 上几天后。研究人员警告说,这种情况几乎会立即发生,他们 [...]

安全事务恶意软件通讯第 97 轮

SECURITY AFFAIRS MALWARE NEWSLETTER ROUND 97

安全事务恶意软件时事通讯包括国际范围内有关恶意软件的最佳文章和研究的集合 恶意软件时事通讯 JDownloader 网站被黑客攻击,用 Python RAT 恶意软件替换安装程序 新 TrickMo 变体:针对银行、金融科技、钱包和身份验证应用程序的设备接管恶意软件 威胁参与者 Mr_Rot13 积极利用 CVE-2026-41940 进行后门部署操作 [...]

俄罗斯 APT Turla 利用 Kazuar 僵尸网络进化构建长期访问工具

Russian APT Turla builds long-term access tool with Kazuar Botnet evolution

与俄罗斯相关的 APT 组织 Turla 将其 Kazuar 恶意软件转变为隐秘的 P2P 僵尸网络,用于长期访问受感染的系统。与俄罗斯有联系的 APT 组织 Turla 将其 Kazuar 后门升级为模块化的点对点僵尸网络,旨在秘密和持久地访问受感染的系统。微软研究人员表示,该恶意软件允许攻击者在进行检测的同时保持长期控制[...]

FamousSparrow 在多波间谍活动中瞄准阿塞拜疆能源部门

FamousSparrow targets Azerbaijani energy sector in multi-wave espionage campaign

与中国相关的 FamousSparrow 多次以一家阿塞拜疆石油和天然气公司为目标,在 2025 年 12 月至 2026 年 2 月的三次入侵中重复使用相同的入口点。与中国相关的威胁行为者 FamousSparrow 对一家阿塞拜疆石油和天然气公司进行了持续的入侵活动,在 2025 年 12 月下旬期间三次返回同一个被入侵的入口点 [...]

WannaCry,改变网络安全历史的勒索软件攻击

WannaCry, the ransomware attack that changed the history of cybersecurity

WannaCry 展示了未修补的缺陷和泄露的网络工具如何削弱全球系统,重塑全球网络安全防御。纪念数字世界被震撼的那一天,但也学会了反击。 WannaCry 勒索软件攻击是近期网络安全历史上最重大的事件之一,不仅因为其全球规模,而且 [...]

Android 银行木马 TrickMo 使用 TON 网络进行 C2 演进

Android banking Trojan TrickMo evolves using TON network for C2

ThreatFabric 发现了一个新的 TrickMo Android 木马,专注于隐秘性和持久性,将其命令和控制流量转移到 TON 网络。 ThreatFabric 的安全研究人员最近发现了 TrickMo 的新版本,这是一种危险的 Android 银行木马,它表明恶意软件操作者如何减少对华而不实的新功能的关注,而更多地关注提高隐秘性、灵活性,[...]

谷歌警告人工智能正在加速网络攻击和零日漏洞

Google warns artificial intelligence is accelerating cyberattacks and zero-day exploits

谷歌表示,黑客现在使用人工智能来创建漏洞、自动攻击、逃避防御并大规模瞄准人工智能供应链。人工智能正在迅速改变网络威胁格局,谷歌云威胁情报团队的一份新报告强调了攻击者如何使用人工智能来改进漏洞利用并获得对[...]的初步访问权限

官方 JDownloader 网站在 5 月 6 日至 5 月 7 日期间向 Windows 和 Linux 用户提供恶意软件

Official JDownloader site served malware to Windows and Linux users between May 6 and May 7

JDownloader 网站被黑客攻击,在 2026 年 5 月 6 日至 7 日期间分发携带 Python RAT 的恶意 Windows 和 Linux 安装程序。JDownloader 官方网站在供应链攻击中受到损害,该攻击在 2026 年 5 月 6 日至 7 日期间用恶意文件替换了合法的 Windows 和 Linux 安装程序。JDownloader 是一款免费的开源下载管理应用程序,设计为 [...]

RansomHouse 表示它破坏了 Trellix 并暴露了内部系统

RansomHouse says it breached Trellix and exposes internal systems

RansomHouse 声称对 Trellix 泄露事件负责,将该安全公司添加到其 Tor 数据泄露站点并分享内部系统的屏幕截图。 RansomHouse 勒索软件组织声称对最近针对网络安全公司 Trellix 的网络攻击负责。为了支持其说法,该团伙发布了据称显示对内部 Trellix 服务的访问权限的屏幕截图。早期 [...]

从 Android TV 到路由器:针对 DDoS 攻击而构建的基于 Mirai 的 xlabs_v1 僵尸网络

From Android TVs to routers: the xlabs_v1 Mirai-based botnet built for DDoS attacks

基于 Mirai 的新僵尸网络 xlabs_v1 劫持 ADB 暴露的物联网设备,进行强大的 DDoS 攻击,具有 21 种洪泛方法和 DDoS 出租用途。一种名为 xlabs_v1 的新型 Mirai 衍生僵尸网络正在劫持运行 Android 调试桥 (ADB) 的暴露于互联网的设备,并利用它们进行大规模 DDoS 攻击。 Hunt.io 在不安全的服务器上发现了该机器人,它包含 21 种洪水技术 [...]