安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员披露，一种名为DEAD#VAX的新型隐蔽恶意软件活动通过钓鱼邮件投递托管在IPFS网络上的VHD文件，以部署AsyncRAT远程访问木马。攻击利用脚本混淆、运行时解密以及内存内注入受信任Windows进程的方式执行载荷，且不将解密后的二进制文件写入磁盘。AsyncRAT是一款开源恶意软件，能够对受感染终端进行广泛控制，如键盘记录、屏幕和网络摄像头捕获、剪贴板监控、文件系统访问、远程命令执行以及持久化等。

研究人员披露，一场针对老旧家用路由器的DNS流量劫持活动已影响全球30多个国家的网络用户，攻击者通过入侵不再获得安全更新的路由器，修改其DNS配置，将用户流量重定向至由受美国制裁的俄罗斯防弹托管服务商Aeza International托管的服务器。由于该行为发生在路由器层面，导致下面的连接设备（手机、笔记本电脑或智能家居设备）在不易察觉的情况下被引导至恶意或欺骗性网站。

研究人员披露，一种EDR杀手工具正在滥用已废弃但仍签名有效的EnCase取证软件内核驱动，以检测并禁用多达59种安全防御软件。研究人员在响应一起安全事件时发现该杀手工具伪装成合法固件更新程序，并利用被攻破的SonicWall SSL VPN凭证入侵网络（相关VPN账户未启用多因素认证），其后攻击者进行内部侦察，包括ICMPping扫描、NetBIOS名称探测和SMB相关活动，SYN洪水攻击超过370个SYN/秒。

意大利罗马La Sapienza大学宣布因安全事件对其IT系统进行部分关闭，暂停多项面向公民和企业的在线服务。该大学的技术人员正与意大利网络安全事件响应小组(CSIRT)以及国家网络安全局(ACN)和意大利邮政警察的专家合作，从备份中恢复系统。有渠道消息称，该事件是由一个名为Femwar02的亲俄黑客组织实施的勒索软件攻击。与此同时，一名网络攻击者声称对该机构系统发起攻击，并公布了数据样本作为泄露证据。

研究人员指出，加密货币相关诈骗仍是高收益的网络犯罪形式，诈骗者通过心理操纵和虚假投资项目诱使受害者投入资金，如杀猪盘、虚假加密货币交易平台，随着人工智能技术普及，攻击者正在采用更复杂的手段实施欺诈活动，如时任币安首席传播官帕特里克·希尔曼(PatrickHillmann)透露，骗子利用他过去在电视节目中的视频片段制作了他的AI全息影像，并以此诱骗业内重要人士支付费用，使其代币在币安交易所上市。

Microsoft宣布，已开始向部分Windows Insider用户推送内置的Sysmon监控功能。Sysmon是Sysinternals工具集的一部分，可以监视和阻止恶意/可疑活动，用于记录进程创建、终止及其他系统活动，并将其记录到Windows事件日志中。Microsoft此前表示，将把Sysmon原生集成到Windows 11和Windows Server，以减少在大型IT环境中手动部署和管理该工具的复杂性。