安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

2025年8月13日起，游蛇（银狐）黑产实施一个新的攻击波次。安天CERT进行了响应处置。在本波次攻击中，攻击者利用社工技巧，将PE可执行文件进行打包和伪装，利用微信、钉钉等传播植入远控木马，并利用其对受害者进行诈骗。攻击中组合使用了“游蛇”黑产此前使用过的多种免杀手段，试图通过更加隐蔽的方式植入远控木马：利用PoolParty手段将Shellcode注入至目标进程中，该Shellcode与C2服务器连接获取载荷文件，通过该载荷文件在指定路径中释放“白加黑”组件并创建计划任务，“白加黑”组件执行后对bin文件进行解密执行最终的远控木马。

2025年7月，澳大利亚ASD与ACSC、美国FBI与CISA、英国NCSC等联合发布通报，警告黑客组织Scattered Spider的网络攻击活动显著升级。该组织（又称UNC3944、Oktapus、Muddled Libra等）近期已从单纯窃取数据扩展至部署DragonForce勒索软件，针对VMware ESXi服务器实施加密并索要赎金。攻击手法以多层次社会工程为核心，包括SIM卡劫持、MFA疲劳攻击与电话钓鱼，常冒充IT或服务台人员窃取凭证，从而劫持身份并控制单点登录环境。攻击者在加密前还会通过Amazon S3、MEGA等平台大规模导出数据，以加大勒索筹码。通报强调，商业和关键基础设施组织需迅速强化防护措施，应对这一愈加复杂且高危的威胁团伙。

2025年8月，企业浏览器安全公司SquareX研究人员在DEF CON上展示了一种可绕过Passkey登录安全的新型攻击方法。Passkey被视为取代密码的更安全认证手段，依赖WebAuthn标准及设备私钥进行身份验证。然而，研究表明若浏览器环境被攻破，攻击者可通过JavaScript注入劫持WebAuthn API，从而伪造注册与登录流程，实现对用户身份的冒用。该攻击并未破坏Passkey的加密机制，而是利用恶意浏览器扩展或网站端XSS漏洞执行。受害者只需在受控环境下进行正常的注册或登录操作，即可能被迫重新注册Passkey或退回密码认证，导致账号凭证泄露。研究人员提醒，随着微软、谷歌和亚马逊等推动Passkey应用，其安全风险亦需受到高度关注。

2025年8月，微软宣布将为Teams引入多项安全升级，以应对恶意URL与高风险文件的威胁。根据Microsoft 365路线图，Teams将阻止在聊天和频道中传播可被武器化的文件类型（如可执行文件），并可检测、提醒用户恶意链接，降低恶意软件入侵风险。此外，Teams现已与Microsoft Defender for Office 365的租户阻止列表集成，管理员可直接封禁来自恶意域的聊天、会议与通话，并清除已有记录。该功能预计9月底前全球普及。微软今年还陆续上线屏幕截图防护与聊天冒充检测功能，以进一步保护会议与交流中的敏感信息。随着Teams用户规模突破3.2亿，这些举措被视为提升企业沟通平台安全性的关键一步。

2025年8月，安全研究员Aviv Y公布了FortiWeb存在的严重漏洞（CVE-2025-52970）细节，并演示部分利用方法。该漏洞源于Cookie解析中的越界读取，使攻击者可触发Era参数异常，令服务器使用全零密钥进行会话加密与签名，从而轻易伪造认证Cookie并实现完整身份绕过，甚至冒充管理员。漏洞影响FortiWeb 7.0至7.6版本，Fortinet已于8月12日发布修复补丁，8.0版本不受影响。虽然攻击需受害者有活跃会话，并需对一个数值字段进行暴力破解，但搜索范围极小（约30次尝试），实际利用复杂度较低。研究员已释放部分PoC，并计划延迟公开完整攻击链，以便管理员有时间完成升级。安全专家警告，相关漏洞公告一旦发布，黑客会迅速跟进，用户需立即更新至修复版本以降低风险。

2025年8月，人力资源巨头Workday披露其数据遭遇泄露，起因是第三方CRM平台在社会工程攻击中被入侵。公司确认攻击者未能访问客户租户数据，但部分业务联系信息（如姓名、邮箱、电话）已外泄，可能被用于后续钓鱼与诈骗。事件最早于8月6日被发现。攻击者冒充人事或IT人员，通过短信和电话诱骗员工泄露敏感信息。据悉，该事件与近期ShinyHunters组织针对Salesforce实例的全球攻击活动有关，该组织通过诱导员工绑定恶意OAuth应用窃取数据库，并进行勒索。除Workday外，Adidas、Allianz Life、Louis Vuitton、Google等多家知名企业亦受波及。此次事件再次凸显社会工程与供应链攻击对大型企业的严重威胁。