网络威胁情报与技术动态
概述 某威胁情报部门是一个全球性的威胁研究团队,结合专有的数据分析和机器学习技术,分析全球最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报,为弹性的威胁检测与响应提供支持,即使组织的攻击面扩大、技术演变、对手改变其战术、技术和程序。
威胁情报动态
Npm供应链攻击:“沙虫”再次来袭 2025年9月23日,某机构曾预警一次影响500个npm包的广泛供应链攻击。这种自我复制的蠕虫以用于上传凭据的仓库名称被命名为“沙虫”。本月,“沙虫2.0”卷土重来,导致JavaScript生态系统面临最激进的供应链攻击之一,超过700个npm包被感染。 在11月21日至24日期间,“沙虫”背后的威胁行为者将数百个流行包(包括来自Zapier、ENS Domains、PostHog、Postman和AsyncAPI的包)木马化,注入了在安装完成前执行的恶意预安装脚本。此战术允许早期访问开发环境和CI/CD管道,从而实现大规模的凭据窃取。被盗的密钥包括GitHub令牌、npm凭据和多云API密钥,这些信息被外泄到攻击者控制的、标记为“沙虫:第二次降临”的GitHub仓库。 与第一次攻击相比,这次攻击的影响呈指数级增长:超过25,000个仓库被入侵,数百个npm包被感染,数千个密钥暴露。该蠕虫的自我传播特性使每个受害者都成为放大器——重新发布恶意版本并注入用于远程命令执行的恶意GitHub工作流。这次攻击代表了开源生态系统的系统性风险,因为即使一个被入侵的依赖项也可能在数千个下游项目中级联传播。建议组织审计依赖项、清除npm缓存、轮换所有凭据、强制执行多因素认证并加固CI/CD管道以防止进一步传播。
“终局行动”:Rhadamanthys信息窃取器被捣毁 11月中旬,执法机构对网络犯罪生态系统予以重大打击,捣毁了最猖獗的信息窃取恶意软件家族之一Rhadamanthys背后的基础设施。在“终局行动”的协调下,某欧洲执法机构与司法机构,以及来自11个国家的当局和超过30个私营部门合作伙伴,在11月10日至14日期间查封了1,025台服务器和20个域名。被破坏的基础设施曾支持数十万个受感染系统,并包含数百万个被盗凭据以及对超过10万个加密货币钱包的访问权限,其价值可能高达数百万欧元。 Rhadamanthys曾作为恶意软件即服务平台运作,向网络犯罪分子提供凭据窃取、浏览器数据收集和加密货币钱包外泄的订阅模式。其隐蔽性和可扩展性使其成为勒索软件运营商和访问代理的基石。
追踪、检测与狩猎能力 威胁情报团队创建了以下对手追踪器,以自动识别和检测部署的恶意基础设施:ClearFake、ValleyRAT、SystemBC、PureLogs、TinyLoader。此外,以下追踪器已更新:StealC、Tycoon2FA和XWorm。
ClearFake是一种部署在受感染网站(最常见的是WordPress)上的恶意JavaScript框架,用于传递欺骗性的浏览器更新提示和虚假验证页面,例如FakeCAPTCHA。该恶意软件依赖一个庞大且快速移动的基础设施。自本月开始被追踪以来,ClearFake的活动激增,其指标几乎占所有IOC的四分之三。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。
团队已确定以下恶意软件/威胁行为者在11月份最为活跃。 (此处应有图表:图1:2025年11月恶意软件趋势。) 相关追踪器已为跟踪的不同家族识别了超过11,616个新IOC,其中最大的增量来自ClearFake。11月份最活跃的追踪器是: (此处应有图表:图2:2025年11月新IOC统计。)
检测系统改进 在11月,我们添加或更新了18个相关检测规则和5个网络入侵检测系统规则。以下是改进和新元素的一些示例:
- 新增了用于检测1password异常活动的规则集,例如不可能旅行、暴力破解后成功认证或禁用多因素认证。
- 新增了检测用于获取特权访问的注册表键
LocalAccountTokenFilterPolicy修改的规则。 - 针对Gh0stKCP协议和Danabot活动的网络入侵检测系统规则。
请访问支持中心查看改进、新元素、发现的问题和创建的任务的完整列表。
开放威胁情报交换平台 开放威胁情报交换平台是全球最大的开放威胁情报共享社区之一,由来自全球140个国家的33万名威胁研究人员组成,他们每天在平台上发布威胁信息。威胁情报团队验证、分析并丰富这些威胁情报。平台成员受益于集体研究,可以为社区做出贡献、分析威胁、创建公共和私人威胁情报共享群组等。
新的威胁情报推送 威胁情报团队根据其研究和发现,持续在平台上发布新的威胁情报推送。推送是关于威胁、威胁行为者、攻击活动等信息的交互式可研究知识库,包括对成员有用的入侵指标。11月,实验室团队创建了99个新的推送,涵盖最新威胁和活动。以下是一些最相关的新推送示例:
- 沙虫2.0活动瞄准云和开发生态系统
- RONINGLOADER:DragonBreath滥用受保护进程的新路径
- 俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic代理。
