安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

2026年1月，研究人员发现一个疑似由伊朗的Dust Specter组织发起的攻击活动，其目标是伊拉克的政府官员。研究人员在此活动中发现了此前未见记录的恶意软件，包括SPLITDROP、TWINTASK、TWINTALK和GHOSTFORM。Dust Specter在与C2服务器通信时使用了随机生成的URI路径，并在路径后附带校验值，以确保请求源自真实的受感染系统。研究人员在代码库中发现了多处迹象，表明Dust Specter利用生成式人工智能进行恶意软件开发。

巴基斯坦的攻击组织APT36（又名Transparent Tribe）已从使用现成恶意软件转向“Vibeware”，这是一种由AI驱动的开发模式，旨在产出大量植入程序但实际质量一般。该组织利用Nim、Zig 和 Crystal等小众编程语言，试图规避标准检测引擎的扫描，同时利用Slack、Discord、Supabase和Google Sheets等受信任的云服务进行指令与控制。

研究人员近期发现了一项针对GitHub用户的恶意活动，该活动利用伪造的仓库和脚本来传播针对LuaJIT环境的恶意载荷。攻击者创建了大量看似合法的公共仓库，这些仓库宣称提供流行的自动化工具或作弊脚本，实际上却包含高度混淆的恶意代码。一旦用户克隆并运行这些仓库中的脚本，恶意载荷就会在本地Lua环境中执行。该载荷能够绕过常规的安全监测，直接访问系统底层的敏感资源。初步调查显示，该活动的背后可能是一个专注于窃取开发者凭据和加密货币钱包信息的网络犯罪团伙。目前，GitHub安全团队正在着手移除受影响的仓库，建议用户在运行来源不明的Lua脚本前进行严格的代码审计。

研究人员识别出多起归于未知攻击者的钓鱼活动。攻击者通过钓鱼邮件发送伪造的PDF附件或链接，冒充会议邀请、财务文档、发票和组织通知。这些消息包含嵌入的钓鱼链接，引导用户下载冒充信任应用程序的软件。虚假网站显示“版本过时”或“需要更新”的提示，最终下载的文件伪装成Teams、Zoom或Google Meet的安装程序，但实际这些应用程序会部署远程监控与管理（RMM）工具，如ScreenConnect、Tactical RMM和Mesh Agent。这些工具使攻击者能够建立持久化访问，并在受感染的环境中进行横向移动。

旧金山儿童委员会本周确认，已向12655人发出通知，告知其在2025年8月发生的一起数据泄露事件中，姓名和社会安全号码（SSN）遭到泄露。根据委员会发送给受害者的通知，泄露发生在2025年8月3日。通知中未具体说明受影响的数据是否属于儿童。一个名为SafePay的网络犯罪组织在其数据泄露网站上声称对此负责。该委员会目前尚未确认SafePay的声明是否属实。

位于波兰西部城市什切青的一家医院因遭遇大规模网络攻击，导致IT系统访问受阻，被迫重新使用纸笔系统进行操作。医院的发言人称，攻击者加密了部分数据，导致访问受阻。但他强调，患者的生命和健康目前没有风险。医院的首要任务是恢复对IT系统的访问并返回标准运行模式。该医院目前仍在接收新病人，但医疗和行政程序的处理时间比平时更长。