安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现CloudZ远控木马新增此前未见的恶意插件“Pheno”，可滥用微软Windows 10/11预装的Phone Link功能，从受害主机本地访问相关SQLite数据库，进而窃取手机短信、一次性密码及部分认证应用通知内容。研究人员认为，该入侵活动至少自今年1月起活跃，目的可能是窃取凭证和临时验证码。攻击链从受害者执行伪装成ScreenConnect更新程序的样本开始，随后投放Rust加载器和.NET加载器，安装CloudZ并通过计划任务实现持久化。.NET加载器还包含多种反分析与反沙箱检测。思科暂未确认初始入侵途径，并已公布相关IOC，建议用户减少依赖短信OTP，优先采用更抗钓鱼的硬件密钥等方案。

研究人员发现攻击者正越来越多地滥用亚马逊简单邮件服务Amazon SES发送高仿真钓鱼邮件。由于SES属于可信合法邮件基础设施，相关邮件更容易通过SPF、DKIM和DMARC等认证检查，传统基于信誉和IP封禁的防护效果也会减弱。研究人员认为，此轮滥用增长与大量AWS访问密钥在GitHub仓库、.env文件、Docker镜像、备份和公开S3桶中泄露有关，攻击者可借助TruffleHog等工具自动扫描密钥、验证权限并批量发信。已观察到的活动包括伪装DocuSign的签署通知、AWS托管钓鱼页面，以及伪造邮件线程和发票的BEC攻击。

网络攻击组织ScarCruft自2024年末以来通过游戏平台相关域名sqgame.net传播BirdCall恶意软件，主要针对Android用户实施攻击。报道指出，该恶意软件具备监控与窃取数据能力，可能被用于收集受害者设备中的敏感信息。标题同时提到该活动波及Windows平台，但现有内容重点披露的是其借助游戏平台渠道投放恶意程序，以及对Android用户的持续定向攻击。整体来看，这是一场利用看似正常平台分发恶意载荷、以监视和信息窃取为目的的网络攻击活动。

人工智能正持续降低网络攻击门槛，并在2025年显著放大攻击活动的速度、规模与影响。文中提到，攻击者借助AI能力，能够更快发现并利用漏洞、优化攻击流程，从而提升威胁行动的效率。相关趋势已体现在实际事件中，例如涉及700万用户的数据泄露案例，反映出AI辅助攻击对大规模受害面的推动作用。整体来看，该报道强调，随着AI被越来越多地用于攻击链条中的各个环节，网络威胁正朝着更自动化、更高频和更具破坏性的方向发展，给组织防御带来更大压力。

地下论坛与聊天群中的犯罪分子正系统化分享贷款欺诈方法，重点瞄准中小型信用合作社等金融机构。这类手法并非利用软件漏洞入侵系统，而是借助窃取的身份信息、社会工程和对贷款审批流程的熟悉，伪装成真实借款人完成申请。研究人员发现，攻击者会先收集姓名、住址、出生日期及信用相关资料，再提前准备知识型身份验证（KBA）问题答案，通过征信、身份核验和审批流程，最终获得放款并迅速转移资金。报道指出，小型机构因验证机制较传统、行为风控能力较弱、资源有限，而被视为更易得手的目标，反映出金融欺诈正向流程化、组织化演变。

被引渡至美国的拉脱维亚籍男子Deniss Zolotarjovs因在俄罗斯卡拉库特（Karakurt）勒索团伙中担任所谓“冷案”谈判员，被判处8年6个月监禁。美国司法部称，其负责在受害机构一度停止沟通、未支付赎金后重新施压，通过研究目标公司情况以及分析窃取的个人和健康信息，促使受害者重新考虑付款。法院文件显示，该团伙由前Conti勒索软件组织头目领导，主要通过入侵企业、窃取数据，并以公开泄露或出售数据相威胁实施敲诈。FBI将其与2021年8月至2023年11月间至少6起针对美国机构的勒索案关联。美方表示，已知54家受害企业中，仅13家的损失就超过5600万美元。这是首名在美国被起诉并判刑的Karakurt成员。