安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

2025年初，Red Canary揭示了一种新型网络威胁“Mocha Manakin”，其利用“粘贴并运行”（Paste and Run）手法，成功诱导用户执行恶意PowerShell脚本，从而植入定制的NodeJS远控木马NodeInitRAT。该攻击方式在伪装为文档修复或人机验证界面（又称Clickfix或fakeCAPTCHA）时，诱导用户复制并粘贴命令，绕过安全机制直接在系统中执行恶意指令。NodeInitRAT具备持续驻留、权限枚举、域信息收集等侦察功能，且通过HTTP与攻击者通信，通信过程往往借助Cloudflare隧道进行掩盖。该后门还能远程执行任意命令，并投递额外载荷。虽然目前尚无证据显示Mocha Manakin已直接引发勒索攻击，但Red Canary基于其战术特征、使用的后门工具与部分基础设施，与此前Sekoia.io报告中所述的Interlock勒索活动存在重合，因而推测其具备高风险发展为勒索事件的可能。Red Canary建议企业加强员工警觉性教育，避免轻信任何要求粘贴命令的提示，同时通过监控PowerShell执行行为、封锁恶意通信域名来降低风险。

勒索软件团伙Anubis近日在其暗网泄露网站上宣称，成功入侵巴黎迪士尼系统，窃取了约64GB的敏感数据。此次事件被该组织称为“迪士尼乐园史上最大规模的数据泄露”，目前尚未获得官方证实。泄露内容据称包括涉及多个游乐设施建设与翻新项目的39000个工程文件，涉及项目包括冰雪奇缘、加勒比海盗、雷霆山、巴斯光年、幻想世界等。据Anubis表示，此次数据并非直接来自迪士尼，而是通过攻击其合作方系统而获取。该团伙还已在暗网上公布了部分文件、图纸和视频资料，以证明其掌握了相关数据。Anubis自2024年底开始活跃，是从早期测试版本“Sphinx”演化而来的勒索即服务（RaaS）平台。其盈利模式包括加密赎金分成、数据泄露分成和访问权限倒卖等，具备内置数据销毁（Wiper）功能。目前尚不清楚此次事件是否涉及游客或客户个人信息，亦未有勒索要求公开。

安全研究人员披露，开源AI开发平台LangSmith存在一个严重漏洞，攻击者可借助该平台的Prompt Hub向公众发布携带恶意代理配置的AI代理，进而窃取用户的OpenAI API密钥、提示词、上传文档、图像及语音输入等敏感数据。该漏洞被命名为“AgentSmith”，CVSS评分为8.8，现已由LangSmith官方修复。LangSmith作为LangChain生态的一部分，被广泛应用于大语言模型（LLM）应用的开发与测试场景，常被用于原型设计和快速迭代。Salt Security的安全策略总监Eric Schwake认为，此次事件已构成AI开发生命周期中的供应链安全漏洞，可能导致未授权API调用、模型信息泄露、提示词外泄以及费用异常增加等问题，尤其在企业级复用场景下风险更大。目前建议相关用户立即更换API密钥并审查使用代理的历史行为记录，以防后续攻击风险。

英国牛津市议会近日披露，因一起网络安全事件导致其部分历史系统被非法访问，涉及时间跨度达20年的敏感信息外泄。初步调查显示，受影响数据涉及2001年至2022年间在选举工作中担任过角色的人员，如投票站工作人员与计票员的个人信息。事件还造成市议会信息与通信技术服务中断，虽多数系统已恢复运行，但仍存在部分积压问题，可能影响服务进度。市议会在声明中指出，目前尚无证据表明公民信息被泄露，也未发现攻击者将数据进一步传播或大规模窃取的迹象。牛津市议会已启动对确认受影响人员的单独通知程序，并同步通报相关政府监管机构与执法机关。为防止此类事件再次发生，市议会表示将加固系统安全措施，并加强对历史数据系统的管理与审计。作为服务15万居民的地方政府，牛津市议会此次事件凸显出老旧系统在信息保护方面的脆弱性，也再次提醒公共机构需重视对历史数据资产的安全防护。

在与以色列冲突持续升级之际，伊朗政府首次证实，其于本周实施全国范围的网络中断，旨在应对来自以色列的持续网络攻击威胁。此前，伊朗多个关键基础设施遭受网络攻击，包括国有银行和加密货币交易平台，引发政府出于“国家安全”理由采取断网措施。伊朗政府发言人莫哈杰拉尼在电视采访中表示，当前局势下，许多敌方无人机依靠互联网进行操控，同时网络也是信息交换的关键手段之一。政府担忧网络攻击将进一步危及国家安全、银行系统及民众生活，故决定启用“国家互联网”，限制全球网络访问。知名黑客组织“掠食性麻雀”（Predatory Sparrow）已宣称对多起攻击事件负责，包括入侵伊朗最大加密平台Nobitex并将资金转入无法使用的钱包，以及摧毁国有银行Bank Sepah的数据，称其与伊朗伊斯兰革命卫队有关。相关追踪机构Elliptic与TRM Labs也确认了加密资金被盗事件。尽管伊朗断网之举引发国内外通信困难，但政府坚称该措施是为了防范更严重的基础设施瘫痪和金融风险。此次事件反映出当前中东冲突中网络空间对抗日趋激烈，断网已成为某些国家应急响应的一部分。

微软近日宣布，将定期从Windows Update中移除旧版驱动程序，以降低安全和兼容性风险，优化系统稳定性。官方表示，此举旨在维护Windows生态中硬件设备驱动的质量，同时强化整体安全防护能力。此次清除计划的首个阶段将聚焦于那些已有更新替代版本的旧驱动，相关驱动将在Windows硬件开发中心（Hardware Development Center）中删除受众分配，从而不再通过Windows Update提供给任何系统。微软强调，这一策略将成为常规操作，并计划发布新的驱动发布指南，帮助用户维持系统的安全与可靠。尽管部分驱动将被下架，合作伙伴仍可在具备合理业务理由的前提下重新发布被清理的驱动程序。此外，微软在今年5月已宣布对预生产驱动签名机制进行调整，并计划在7月弃用WMIS（Windows Metadata and Internet Services）与设备元数据服务，以进一步加强驱动发布流程的安全性。