安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员披露，Muddled Libra（又名Scattered Spider或UNC3944）黑客组织在2025年9月的一起事件中通过社会工程学方式获取受害者VMware vSphere环境的访问权限，并创建恶意用途的虚拟机作为行动据点。报告指出，该组织在获得未经授权访问后自行创建虚拟机，而非立即部署定制恶意软件，以在受害者网络中维持操作。

研究人员披露，攻击者通过Pastebin评论传播类似ClickFix的攻击，诱导加密货币用户在浏览器中执行恶意JavaScript，从而劫持比特币期货交易并将资金转入攻击者控制的钱包。该活动利用所谓Swapzone.io套利漏洞，在受害者浏览器内运行代码并修改交易过程。

研究人员披露，一种新的ClickFix变体通过利用DNS查询方式传播恶意软件，受害者被诱导运行nslookup命令查询攻击者控制的DNS服务器，返回结果中包含恶意PowerShell脚本，随后在设备上执行以下载并安装恶意代码。这被认为是首次发现在ClickFix类别的攻击活动中结合DNS查询流量的传输方式。

微软在2026年2月补丁星期二发布的Windows 11 KB5077181更新中修复了一个导致部分商用设备出现“UNMOUNTABLE_BOOT_VOLUME”启动错误的问题。该问题此前与2025年12月的更新错误相关，影响运行24H2和25H2版本的少量系统。

研究人员披露Lumma与Ninja窃密软件滥用Google Groups进行传播。报告称，超过4000个恶意Google群组和3500个Google托管URL被用于针对全球组织的活跃恶意软件活动。攻击者利用Google可信生态系统分发窃取凭证的恶意软件，并在受感染设备上建立持续访问。攻击链始于谷歌群组内部的社工攻击，攻击者会注册与行业相关的论坛，发布看似合法的技术讨论，涵盖网络问题、认证错误或软件配置等话题。

攻击者向加密货币硬件钱包用户邮寄冒充Trezor和Ledger官方安全与合规团队的邮件，声称需完成“身份验证”或“交易检查”以避免失去钱包访问权限，警告用户必须在2026年2月15日前完成流程，否则设备功能将丧失，并诱导收件人扫描指向恶意网站的二维码提交恢复短语。