数字取证与事件响应技术周报:SaaS供应链、APT威胁与恶意软件分析

数字取证与事件响应周报(2025年第46周)

本期周报汇总了数字取证、事件响应、威胁情报、恶意软件分析等领域的最新动态、技术文章、工具更新与行业事件。

赞助内容

Salesloft-Drift 入侵事件剖析:对SaaS与身份安全的启示
本次会议中,Permiso的CTO将涵盖:

  • 攻击者如何利用被盗的OAuth令牌从GitHub转移到AWS,再到Salesforce。
  • 为何此次“全自动化”攻击为SaaS供应链和NHI敲响了警钟。
  • 在您的环境中检测和遏制类似威胁的实用步骤。
    观看视频播客,由 Permiso 赞助

一如既往,感谢所有支持者的回馈!

威胁情报/狩猎

  • Faan Rossouw (Active Countermeasures):狩猎痛点:痛苦金字塔
  • Alex Necula:从ClickFix虚假更新到Vidar窃密木马
  • Anthropic:瓦解首个报道的AI策划网络间谍活动
  • AttackIQ:勒索故事:第五卷 – 怀旧版!模拟REvil、DarkSide和BlackMatter勒索软件;模拟间谍导向组织SideWinder
  • CJ Moses (AWS Security):亚马逊发现APT组织利用思科和Citrix零日漏洞
  • Jade Brown (Bitdefender):Bitdefender威胁简报 | 2025年11月
  • Brian Krebs (Krebs on Security):深入探讨美国政府提议的TP-Link禁令;谷歌起诉以瓦解中国SMS钓鱼三人组
  • CERT-AGID:以Facebook为主题的钓鱼活动:虚假版权侵权通知;2025年11月8日至14日恶意活动周报摘要
  • Check Point:11月10日 – 威胁情报报告;新的钓鱼活动利用Meta Business Suite针对美国及全球的中小企业;2025年10月全球网络攻击激增,勒索软件爆炸性增长和GenAI威胁上升;工资单海盗:一个网络,数百个目标;勒索软件现状 – 2025年第三季度
  • CISA:CISA及合作伙伴发布关于Akira勒索软件的公告更新;关于思科ASA和Firepower设备漏洞的紧急指令实施指南更新
  • Chetan Raghuprasad & Michael Szeliga (Cisco Talos):释放Kraken勒索软件组织
  • Cyberdom:Entra ID日志分析器:将原始日志转化为故事;Entra ID中ChatGPT的隐藏风险
  • Cyble:多品牌主题钓鱼活动通过Telegram Bot API窃取凭证;2025年10月攻击激增30%,新组织重新定义网络战场
  • Cyfirma:每周情报报告 – 2025年11月14日
  • Andrea Draghetti (D3Lab):GPT Trade:假冒Google Play商店投递BTMob间谍软件和UASecurity挖矿程序至安卓设备
  • Damien Lewke:氛围狩猎:以结果为导向的威胁狩猎
  • Danny Zendejas:重新思考SIEM 第二部分
  • Darktrace:Vo1d僵尸网络曝光:Darktrace如何检测全球安卓威胁
  • DebugPrivilege:我如何通过Citrix FAS利用ESC3获取域管理员权限;从供应商到ESC3/ESC4
  • Burak Karaduman (Detect FYI):代理检测创建 – 现已集成Atomic Red Team和Splunk MCP
  • Disconinja:每周威胁基础设施调查(第45周)
  • DomainTools Investigations:深入长城防火墙之内 第3部分:地缘政治和社会影响
  • Elliptic:Elliptic类型学报告:破坏受制裁行为者对稳定币的使用
  • FalconFeeds:恶意域名的生命周期:从注册到关停;当泄露导致杠杆效应:威胁行为者如何利用泄露数据进行长期目标锁定;专家威胁档案:Cyber Toufan——疏忽利用与破坏能力的交汇;间谍与金融的联结:通过西奈山事件分析中国跨国网络犯罪生态系统
  • Luis Corrons (Gen):SMS威胁:小文本的多重面孔
  • Genians:国家支持的远程擦除策略针对安卓设备
  • Google Cloud Threat Intelligence:没有比localhost更好的地方:通过Triofox漏洞CVE-2025-12480实现未经身份验证的远程访问;时光旅行分类:使用.NET进程空洞案例研究介绍时光旅行调试
  • Billy Leonard (Google TAG):TAG公告:2025年第三季度
  • Group-IB:揭露针对意大利基础设施的多阶段钓鱼工具包
  • Grumpy Goose Labs:成为KVM,实施欺诈
  • Hornet Security:勒索软件攻击统计数据;2025年10月月度威胁报告
  • Hunt IO:狩猎Cobalt Strike完全指南 – 第1部分:在开放目录中检测Cobalt Strike
  • Lindsey O’Donnell-Welch (Huntress):教育机构饱受威胁困扰
  • Meyta Zenis Taliti (Intellibron):威胁狩猎目录:让Sigma检测规则焕发生机
  • Roy Halevi (Intezer):Anthropic关于AI间谍活动的报告对安全领导者意味着什么
  • Invictus Incident Response:分析Silk Typhoon:战术、历史与防御
  • Adam Goss (Kraven Security):战术CTI与运营CTI深度解析;CTI分析师路线图:从零到英雄指南与CTI学习路径
  • Doug Olenick (LevelBlue):LevelBlue未来报告:零售业领袖揭示安全担忧
  • Mike Cohen (Rapid7):使用Velociraptor进行内存分析 – 第1部分
  • Ucha Gobejishvili (Mitiga):现在你看到我了:Workday日志
  • Nasreddine Bencherchali:SigmaHQ质量保障流水线
  • Netscout:现在轮到谁石化?
  • Bart Parys (NVISO Labs):传染性钓鱼攻击者现利用JSON存储服务投递恶意软件
  • Oleg Skulkin (Know Your Adversary)
    1. 对手滥用PowerShell创建快捷方式以实现持久化
    2. 对手滥用CURL收集身份验证材料
    3. 对手持续使用Plink和Putty建立反向SSH隧道
    4. 对手越来越多地使用AppleScript文件
    5. 对手使用PowerShell搜索密码存储
    6. 对手滥用JSON存储服务投递恶意软件
    7. 对手在ClickFix攻击中滥用Finger
  • Pepe Berba:macOS感染载体:使用AppleScript绕过Gatekeeper;脚本混淆:玩弄隐藏在命名分支中的AppleScript
  • Picus Security
    • xHunt APT:针对科威特和Exchange服务器的网络间谍活动
    • Ferocious Kitten APT曝光:针对伊朗的间谍活动内幕
    • MalKamak APT的ShellClient RAT:深入GhostShell行动
    • GreenCharlie APT:伊朗基于PowerShell的网络间谍活动
    • DEV-1084和MERCURY:伊朗DarkBit勒索软件行动内幕
  • Proofpoint:安全简报:VenomRAT被拔除毒牙;Operation Endgame撼动Rhadamanthys
  • Dan Green (Push Security):分析2021年以来的“分散的Lapsus$猎人”入侵事件
  • Daniel Card (PwnDefend)
    • 疑似零日 – 如果你的设备可能被利用该怎么办?
    • 疑似Fortinet零日漏洞在野利用
    • 使用Defused Cyber Deception分析100万个蜜罐事件
    • Rhadamanthys – 超过4400万凭证被盗
    • 2025年Fortiweb漏洞
    • 防御性网络AI应用简史
  • Recorded Future:威胁狩猎 vs. 威胁情报;发布2025年威胁情报现状报告:威胁情报从防御转向战略;威胁情报与高管层
  • Laura Brosnan (Red Canary):在AWS中嗅探出TruffleHog
  • SANS Internet Storm Center
    • 并非总是默认值:扫描3CX用户名 (11月10日,周一)
    • 通过多个脚本投递的Formbook (11月13日,周四)
    • SmartApeSG活动使用ClickFix页面推送NetSupport RAT (11月12日,周三)
    • 俄罗斯套娃式的Microsoft Office文件 (11月14日,周五)
    • 蜜罐:FortiWeb CVE-2025-64446漏洞利用 (11月15日,周六)
    • Finger.exe 与 ClickFix (11月16日,周日)
    • SANS假日黑客挑战赛2025 (11月16日,周日)
  • Shadowserver:Rhadamanthys历史僵尸网络感染特别报告
  • Silent Push:高级威胁狩猎:在钓鱼基础设施发动攻击前检测的四种技术
  • Simone Kraus:从勒索软件到国家支持 – MITRE ATT&CK v18 与检测策略如何将Active Directory...
  • Socket:恶意Chrome扩展窃取种子短语,实现钱包接管;新一轮TEA协议垃圾邮件充斥npm,但并非蠕虫
  • Jon Munshaw (Sophos):信息窃密软件:身份攻击的无声门户——以及为何主动防御至关重要
  • Splunk:NotDoor洞察:深入了解Outlook宏等;再次隐藏:更新的多载荷.NET隐写加载器,包含Lokibot
  • Jeremy Bender (Team Cymru):Team Cymru支持欧洲刑警组织取缔三项关键网络犯罪工具,作为Operation Endgame的一部分
  • THOR Collective Dispatch:自治SOC(泰勒版);你会希望早点拥有的PEAK威胁狩猎模板
  • Adithya Chandra & Maulik Maheta (Trellix):Trellix Helix如何检测Active Directory中的AS-REP烘烤攻击
  • David Sancho, Vincenzo Ciancaglini, Salvatore Gariuolo (Trend Micro):魔鬼评论Xanthorox:对最新恶意LLM产品的犯罪者导向分析
  • Lucie Cardiet (Vectra AI):Operation ENDGAME与初始访问之争
  • Joseliyo Sánchez (VirusTotal):VTPRACTITIONERS{ACRONIS}:追踪FileFix、Shadow Vector和SideWinder
  • VX API:虚假的Lockbit 5.0闹剧和三层勒索软件千层面
  • Sina Kheirkhah & Jake Knott (watchTowr Labs):当模拟功能被用来模拟用户时 (Fortinet FortiWeb (??) 认证绕过)
  • Jay Pandya (White Knight Labs):理解云持久化:攻击者如何使用Google Cloud Functions维持访问
  • Francesco Sercia (YLabs):Hamburglars
  • Блог Solar 4RAYS:在Shedding Zmiy的军火库中:攻击流行CMS系统配置缺陷的工具
  • Taggart Tech:通过Entra来宾邀请进行的TOAD攻击
  • Hunter Wade (Black Hills Information Security):滥用Impacket进行委派攻击(第2部分):约束委派
  • Palo Alto Networks:你以为结束了?身份验证胁迫攻击持续演进;数字分身:分发Gh0st RAT的不断演变的模拟活动剖析

演示/播客

  • Black Hills Information Security:X-Typhon – 不是你父辈的中国(与John Strand)
  • Erik Pistelli (Cerbero):内存挑战7:深度潜水
  • Chainalysis:加密货币国家安全与杀猪盘:播客第174集
  • Cloud Security Podcast by Google:EP251 超越花哨的脚本:AI红队能否发现真正新颖的攻击?
  • InfoSec_Bret
    • SA – SOC275 EventID: 250 – 检测到应用程序令牌窃取尝试
    • 挑战 – 学习Sigma
  • John Hammond
    • Lua信息窃密木马分析("我的夏威夷假期" CTF)
    • 2025年网络犯罪现状(与Nick Ascoli!)
  • Magnet Forensics
    • 移动时刻 第14集:Magnet One中的移动案件流
    • AI拆解 #6:你想知道的一切——并且不怕问
  • Monolith Forensics
    • Monolith中的案件报告
    • 在Monolith中合并调查
  • MSAB

    • MSABMonday – XRY日志文件导出

    • 取证修复 第24集
  • MyDFIR
    • 网络安全SOC分析师实验室 – 恢复已删除文件 (BTLO)
    • 从不知所措到充满信心:Paul如何学会像SOC分析师一样调查
    • MyDFIR SOC社区如何帮助我做好工作准备
  • Parsing the Truth: One Byte at a Time
    • 数字取证25年的动荡
    • 25集 – 回顾过去!
  • Sandfly Security:在DigitalOcean Marketplace 1-Click App中安装Sandfly Security
  • The Cyber Mentor:直播:PSAP发布 | TCM安全 | 蓝队 | 问答
  • Three Buddy Problem
    • Countermeasures现场:Google vs FFmpeg,勒索软件变节者,三星0day
    • Anthropic Claude代码自动化APT黑客,KnownSec泄露,具有远程访问权限的中国公交车

杂项

  • Adam (Hexacorn):disksnapshot.exe的一个或多个小秘密
  • Brett Shavers:对抗市政厅:如果您错过了网络研讨会,您正在犯一些您不知道的错误
  • Cellebrite:数字证人是昆士兰州母亲六年正义之路的关键
  • CyberBoo:Microsoft Defender for Endpoint 第5部分:实时响应与自动调查
  • Fabian Mendoza (DFIR Dominican):DFIR职位更新 – 2025年11月10日
  • Dr. Neal Krawetz (The Hacker Factor Blog):密封严实
  • Forensic Focus
    • 数字取证职位汇总,2025年11月10日
    • Cellebrite如何释放AI在数字调查中的力量
    • 用证据描绘:用Exterro Imager Pro为调查赋能
    • 管理警察调查中的GenAI风险
    • 数字取证汇总,2025年11月12日
    • Amped Software开启Amped Connect U.S. 2026预注册:在南卡罗来纳州默特尔比奇举行的免费全天数字取证活动
    • 论文征集:FOSDEM 2026开源(数字)取证开发室
    • Semantics 21推出AI Describe – 全球首个用于CSAM和淫秽材料的安全离线AI描述器
  • Don Sears (Forescout):勒索软件趋势:禁止还是不禁勒索软件付款?
  • Howard Oakley (The Eclectic Light Company):解释器:.DS_Store文件
  • Magnet Forensics:为何数字取证对联邦机构变得至关重要
  • Matthew Plascencia:不要将你工作中的人性灵魂出卖给机器
  • Grayson Milbourne (OpenText):OpenText网络安全2025年全球勒索软件调查:信心上升,恢复力下降
  • Nazrul Islam Rana (OSINT Team):每位网络安全专业人员都应知道的18种数字取证工具(2025指南)
  • Amber Schroader (Paraben Corporation):通过数字取证保护过去
  • Joseph Williams (Pen Test Partners):寻找进入DFIR领域的路径

以上就是本周的全部内容!如果您认为我遗漏了什么,或希望我特别报道某些内容,请通过联系页面或社交媒体联系我!

参加我的课程!

  • 使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程中享受 15% 折扣
  • 使用代码 PM15 或点击此链接在您的下一堂 Hexordia 课程中享受 15% 折扣
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

posted @ 2025-12-01 17:18  qife  阅读(3)  评论(0)    收藏  举报