数字取证与事件响应周刊：React2Shell漏洞深度分析与安全技术合集

Week 50 – 2025 – 本周在4n6

取证分析

• Akash Patel：内存取证 vs EDR — 演讲
• Forensafe：Android应用程序角色
• Fortinet：揭示Windows中隐藏的取证证据：AutoLogger-Diagtrack-Listener.etl之谜
• Alex Bilz：德国联邦警察CTF 2025完整攻略：破解德国联邦警察的代码 🚔
• Marco Neumann at ‘Be-binary 4n6’：三星核心服务 – “ai search”模块及其对数字取证分析的价值

威胁情报/狩猎

React2Shell

• React2Shell被利用在云服务器上部署EtherRAT
• React2Shell：攻击者如何在数小时内利用CVE-2025-55182
• 多个威胁行为者利用React2Shell (CVE-2025-55182)
• React2Shell支线任务：追踪恶意MeshCentral节点
• React2Shell (CVE-2025-55182)：剖析针对生产环境Next.js应用的Node.js RCE
• PeerBlight Linux后门利用React2Shell CVE-2025-55182
• React2Shell：解码CVE-2025-55182 – React服务器组件中的静默威胁
• 关键React2Shell漏洞被中国威胁行为者积极利用
• 没过多久：CVE-2025-55182现已被积极利用
• React2Shell漏洞 (CVE-2025-55182) 被用于远程代码执行
• EtherRAT：朝鲜在React2Shell攻击中使用新颖的以太坊植入物
• React2Shell入侵剖析
• React2Shell：CVE-2025-55182技术深度剖析与野外利用
• React2Shell：远程代码执行漏洞 (CVE-2025-55182)

• Faan Rossouw at Active Countermeasures：今日恶意软件 – DNS C2中的TXT记录滥用 (Joker Screenmate)
• AttackIQ
  • 重新审视多功能的Qilin勒索软件
  • 对CISA公告 (AA25-343A) 的回应：亲俄黑客活动分子对美国及全球关键基础设施进行机会性攻击
• 澳大利亚网络安全中心：亲俄黑客活动分子对美国及全球关键基础设施进行机会性攻击
• Tony Burgess at Barracuda：恶意软件简报：Android成为目标 — FvncBot、SeedSnatcher、ClayRat
• BI.Zone
  • 映射并利用网络威胁态势预测攻击
  • 利用暗网预测攻击
• Bitdefender
  • ClickFix：来自网络犯罪分子的KISS
  • 假的莱昂纳多·迪卡普里奥电影种子通过分层PowerShell链投放Agent Tesla
  • Bitdefender威胁简报 | 2025年12月
• Brian Krebs at ‘Krebs on Security’：微软补丁星期二，2025年12月版
• CERT-AGID
  • 正在进行的恶意活动通过PDF附件和Figma访问滥用PA账户
  • 12月6日至12日恶意活动总结摘要
• Check Point
  • 12月8日 – 威胁情报报告
  • 剖析ValleyRAT：从构建器秘密到内核Rootkit
  • 勒索软件激增和GenAI风险推动11月全球网络攻击增加
• Hendrix Garcia at Cofense：钓鱼者变得有创意：你未曾预见的NoteGPT变种
• Cyfirma：每周情报报告 – 2025年12月12日
• Martin McCloskey, Christophe Tafani-Dereeper, and Julie Agnes Sparks at Datadog Security Labs：调查针对Microsoft 365和Okta用户的中继钓鱼攻击
• DebugPrivilege：Citrix如何修复其文档中的ESC1风险
• Detect FYI
  • 用于邮件URL重定向狩猎的KQL技术
  • 衡量恶意：当“几乎正确”完全错误时
  • 重新思考良性告警：检测工程的新视角
• Disconinja：每周威胁基础设施调查 (第49周)
• DomainTools Investigations：中国恶意软件投递域名 第四部分
• Erik Hjelmvik at Netresec：Latrodectus回连
• Esentire：黑客今年大肆庆祝节日，以40%至75%的折扣出售ChatGPT、Perplexity和Gemini订阅
• F5 Labs：ShellShock卷土重来，RondoDox改变策略
• Agapios Tsolakis at Falcon Force：数据科学如何提升你的检测工程维护并让你免于放羊
• FalconFeeds
  • 威胁行为者角色扮演：当团伙伪装成黑客活动分子以掩盖真实意图
  • 浏览器时代攻击中的威胁情报：为什么CTI必须转向客户端前沿
  • 网络犯罪本地化：威胁行为者如何根据区域文化定制活动
• Flashpoint：超越恶意软件：朝鲜威胁行为者的数字帝国内部
• Group-IB
  • 陌生威胁正在来临：Group-IB 2026年及以后的网络预测
  • 在乌兹别克斯坦打击信用欺诈：对抗社会工程的上坡战
• HP Wolf Security
  • HP Wolf Security威胁洞察报告：2025年12月
  • 攻击者喜欢Cookie：追踪涉及会话Cookie窃取的入侵事件上升趋势
• Hudson Rock：从信息窃取者到APT管道：Lazarus组织如何劫持也门虚假信息网络
• Huntress
  • 加固虚拟机监控程序：针对ESXi勒索软件的实际防御
  • AI投毒与AMOS窃取者：信任如何成为最大的Mac威胁
  • Gladinet CentreStack/Triofox不安全加密漏洞被积极利用
• Infoblox：2025年12月DNS威胁态势：三个月回顾
• Pieter Arntz at Malwarebytes：GhostFrame钓鱼工具包推动针对数百万人的广泛攻击
• Microsoft Security：Shai-Hulud 2.0：检测、调查和防御供应链攻击的指南
• Oleg Skulkin at ‘Know Your Adversary’
  • 342. Mshta – 狩猎的绝佳目标
  • 343. 勒索软件团伙滥用SystemSettingsAdminFlows逃避防御
  • 344. 攻击者将另一个取证工具加入其 arsenal
  • 345. 攻击者如何从受损系统中移除入侵指标
  • 346. 狩猎可疑用户账户
  • 347. 攻击者修改注册表以抑制系统恢复和分析
• Pepe Berba：反编译仅限运行的AppleScripts
• Picus Security
  • APT28网络威胁画像与详细TTPs
  • APT15网络间谍活动：活动与TTPs分析
• Push Security
  • 分析复杂的Google恶意广告攻击
  • ConsentFix：浏览器原生ClickFix劫持OAuth授权
• Recorded Future
  • GrayBravo的CastleLoader活动集群针对多个行业
  • 俄罗斯-印度-中国三边合作的启示
  • 巴勒斯坦行动：行动与全球网络
• Red Canary
  • 超越炸弹：当攻击者自带虚拟机以实现持久化
  • Bun完结：Shai-Hulud蠕虫的再次降临
• Salvation DATA：CDN取证：如何揭示现代内容分发网络背后的真实IP地址
• SANS互联网风暴中心
  • CVE-2024-9042 (Kubernetes OS命令注入) 的可能利用变种 (12月10日周三)
  • 使用AI Gemma 3在单CPU上本地运行 (12月10日周三)
  • 滥用DLL入口点以获取乐趣 (12月12日周五)
• Valery Akulenko and Dmitry Sabadash at Securelist：在网络流量中狩猎Mythic
• Dakota Cary at SentinelOne：恶意学徒 | 两名黑客如何从思科学院走向思科CVE
• Mike Watson at Sysdig：如何使用运行时行为分析检测多阶段攻击
• System Weakness：[CyberDefenders题解] BumbleSting (Bumblebee导致域沦陷和Conti勒索软件)
• The Raven：REACT2SHELL：野外利用
• Maulik Maheta and Chao Sun at Trellix：静默域名劫持：使用Trellix NDR检测DCSync
• Trend Micro
  • AI自动化威胁狩猎将GhostPenguin从阴影中带出
  • 网络犯罪的下一阶段：Agentic AI及向自主犯罪操作的转变
  • SHADOW-VOID-042采用类似Void Rabisu的策略针对多个行业
  • PureRAT活动针对求职者，滥用Foxit PDF阅读器进行DLL侧加载
• Daniel Kelley at Varonis：Spiderman钓鱼工具包点击几下即可模仿欧洲顶级银行
• VirusTotal：在Google威胁情报 (GTI) 和VirusTotal (VT) 中引入保存的搜索：增强协作与效率
• Hassan Khafaji at White Knight Labs：从Veeam到域管理员：真实红队入侵路径
• Gili Tikochinski and Yaara Shriki at Wiz：Gogs 0-day在野外被利用

即将举行的活动

• Black Hills信息安全
  • SOC内部：更智能地分类，而非更努力 — 与Tom Dejong
  • 讨论 [信息安全] 新闻 2025-12-15
• Huntress：社区炉边谈话 | 网络保险的演变：重新思考供应商小组
• Magnet Forensics：S3:E12 // 我们喜爱的一些东西：带来调查乐趣的12个工件

演讲/播客

• Behind the Binary by Google Cloud Security：EP20 深入了解Windows：内核设计、EDR以及向VBS的转变 — 与Pavel Yosifovich
• BSides Cape Town：BSides开普敦2025
• Cellebrite：提示星期二：101速查表
• Cerbero
  • 内存挑战11：BOughT
  • 内存挑战12：BlackEnergy
• Cloud Security Podcast by Google：EP255 区分炒作与危害：自主AI黑客的真相
• Huntress：Tradecraft星期二 | 你是专家：如何应对你家人的网络安全问答
• InfoSec_Bret：IR – SOC293 – 检测到通过Pastebin的数据外泄
• John Hammond
  • 信息窃取恶意软件日志被… AI分析！？！
  • 从终端入侵到身份 (Microsoft 365)：“ConsentFix”
• Magnet Forensics：AI解析 #7：Magnet Forensics AI方法的人性化一面
• Monolith Forensics：在Monolith中添加证据照片
• MSAB
  • #MSABMonday – XAMN Pro 已删除工件
  • Forensic Fix 第25集
• MyDFIR
  • MYDFIR SOC社区如何教会我像SOC分析师一样思考
  • SOC告警分类 | TryHackMe 2025网络冒险第10天
  • 从零售到网络安全培训 | Oscar的自学之旅
• Off By One Security
  • 机器身份与攻击路径：错误配置的危险！
• Parsing the Truth: One Byte at a Time：蘑菇谋杀案 第四部分
• Permiso Security：非人类身份 (NHI) 与AI – 保护下一代的身份安全
• Proofpoint：嗬嗬嗬 — 那条消息是真实的吗？坏圣诞老人正在发送季节性诈骗
• SANS：DFIR峰会布拉格2025
• The Cyber Mentor：直播：🕵️ HTB Sherlocks！ | 网络安全 | 蓝队
• Three Buddy Problem：合法腐败、React2Shell利用、双重用途AI风险

恶意软件

• Nathan Richards at Bridewell：融合的勒索软件攻击手法：多阶段攻击分析
• Jordyn Dunk and Chetan Raghuprasad at Cisco’s Talos：DeadLock勒索软件攻击背后的新型BYOVD加载器
• CTF导航：APT-C-26 (Lazarus) 组织利用WinRAR漏洞部署Blank Grabber木马的技术分析
• Andrea Draghetti at D3Lab：BTMOB内部：泄露的Android RAT生态系统的分析分解
• Elastic Security Labs：NANOREMOTE，FINALDRAFT的表亲
• G Data Software
  • Lumma窃取者：潜伏在itch.io和Patreon虚假游戏更新中的危险
  • 浏览器劫持：三种技术研究
• Idan Dardikman at Koi Security：捕获屏幕的VS Code恶意软件
• Hiroaki Hara at Palo Alto Networks：01flip：用Rust编写的多平台勒索软件
• Petar Kirhmajer at ReversingLabs：VS Code扩展使用包含木马的虚假图片
• Pierre Le Bourhis and Jeremy Scion at Sekoia：配置提取降临历 – 第二部分：解包QuasarRAT的配置
• Jim Walter at SentinelOne：CyberVolk回归 | 有缺陷的VolkLocker带来新功能和成长烦恼
• Seqrite
  • 操作FrostBeacon：针对俄罗斯的多集群Cobalt Strike活动
  • 以裁员为主题的欺骗性HR邮件分发Remcos RAT恶意软件
  • 操作MoneyMount-ISO — 通过ISO挂载的可执行文件部署Phantom Stealer
• Shubho57：对归因于Mysterious Elephant的未知样本分析
• Sophos：用于部署Warlock勒索软件的GOLD SALEM手法
• Puja Srivastava at Sucuri：伪装成JavaScript数据文件的WordPress自动登录后门
• Gladis Brinda R and Ashwathi Sasi at ZScaler：BlackForce钓鱼工具包的技术分析

杂项

• Adam Hachem at Hexordia：宣布Evanole虚拟机
• Belkasoft：防止数据泄露：使用Belkasoft X进行离线优先的DFIR
• Brett Shavers at DFIR.Training：可启动的取证操作系统不是虚拟机
• Fabian Mendoza at DFIR Dominican：DFIR职位更新 – 12/08/25
• Forensic Focus
  • 数字取证职位汇总，2025年12月8日
  • SYTECH总监呼吁更多资金以改善网关犯罪中的早期干预
  • 保护数字证据：最佳实践与ISO/IEC 17025的关键作用
  • 图片证明：使用Exterro Imager Pro助力调查
  • S21 VisionX聚焦：第2周 – 自动化、优先级排序和更快的证据发现
  • 数字取证汇总，2025年12月10日
  • 从提取到分析：MSAB 2025年第四季度创新，实现更快更智能的调查
  • 爱达荷谋杀案：从行为线索到AI在数字取证中的角色
  • Cellebrite完成对Corellium的收购，推出业界最先进的AI驱动数字调查产品组合
  • Oxygen Remote Explorer v.2.0.1 来了！
  • Forensic Focus摘要，2025年12月12日
• Howard Oakley at ‘The Eclectic Light Company’：谁来决定隔离文件？
• LockBoxx：课程回顾：认证网络防御者 – 事件响应可选模块
• Magnet Forensics
  • 在非活动计时器时代保护证据：当时机成为威胁
  • 工作留下的东西 — 以及我为何仍然为之奋斗
• Tryfon Skandamis at NVISO Labs：使用Ansible和GitHub Actions大规模管理SIEM日志收集器 – 第一部分
• OSINT团队：最佳的数字取证框架
• TobyG at sentinel.blog：使用模型上下文协议查找和编写KQL查询
• VMRay：发现最佳事件响应工具：2026年全面指南

软件更新

• MISP：MISP v2.5.30和v2.5.29发布：Beta UI/UX模式、新工作流模块和性能增强
• MSAB：2025年第四季度主要版本现已可用
• MuSecTech：在AChoirX中附加嵌入式工具包
• OpenCTI：6.9.0
• Xways
  • X-Ways Forensics 21.3 SR-13
  • X-Ways Forensics 21.4 SR-9
  • X-Ways Forensics 21.5 SR-11
  • X-Ways Forensics 21.6 SR-3
  • 杂项
  • X-Ways Forensics 21.7 Preview 5
• Yogesh Khatri
  • mac_apt 20251206
  • spotlight_parser v1.0.4 bFU+5FNJK8is9JVnhmQWIYqbn0EWhVzRW6ugwNFhX3T7YTVRmtOBTysp/enopsjc1VHcfTcMQBV/0eyL2O/wGA==