内部：Salesloft-Drift 入侵事件对SaaS与身份安全的影响

在此次会议中，Permiso公司的首席技术官将涵盖：

• 攻击者如何利用被盗的OAuth令牌，从GitHub移动到AWS，再进入Salesforce。
• 为何这种“全机器”攻击为SaaS供应链和NHI（非人类身份）敲响了警钟。
• 在您的环境中检测和遏制类似威胁的实用步骤。

观看视频播客 由Permiso赞助

一如既往，感谢那些给予支持并有所回馈的人们！

取证分析

• Belkasoft: Christopher Eng 在 Ogmini 撰写 导航数据洪流：使用RSMF和Belkasoft X进行电子取证
• Chris Ray 在 Cyber Triage: DFIR后续步骤：可疑的AnyDesk使用情况
• Sebastian Weigmann 在 DFRWS: SOLVE-IT Alpha Release 0.2025.09：2025年9月版
• Magnet Forensics: UserAssist取证工件：它们是什么以及如何使用

威胁情报/狩猎

• Faan Rossouw 在 Active Countermeasures: 网络威胁猎人对DNS记录的指南
• Aikido: S1ngularity/nx 攻击者再次出击
• Akash Patel: 勒索软件、恶意软件和入侵：逐步分析方法论
• ASEC:
  • 2025年8月钓鱼邮件趋势报告
  • 2025年8月勒索软件威胁趋势报告
  • 2025年8月信息窃取器趋势报告
  • 2025年8月APT攻击趋势报告（韩国）
• Patterson Cake 在 Black Hills Information Security: 使用 Hayabusa & SOF-ELK 处理 Windows 事件日志（第1部分）
• Brian Krebs 在 ‘Krebs on Security’: 自我复制蠕虫袭击 180+ 软件包
• CERT-AGID:
  • 恶意软件活动滥用合法RMM工具并通过虚假文档共享传播
• Chamindu Pushpika 在 ChamX: APT29 混合入侵模拟
• Check Point:
  • 9月15日 – 威胁情报报告
  • 在Pure Curtain之下：从RAT到构建器再到编码器
• CTF导航:
  • 模仿APT！银狐寄生政府网站大肆传播 | 银狐八月总结
  • 疑似APT-C-00（海莲花）投递Havoc木马
• Cyb3rhawk: 从抽象术语到洞察：SEO投毒
• Cyble:
  • 深入Maranhão窃取器：使用反射式DLL注入的Node.js驱动的信息窃取器
  • 2025年8月勒索软件态势：Qilin主导，Sinobi浮现
• Darktrace: SEO投毒和虚假PuTTY站点：Darktrace对Oyster后门的调查
• Dexpose: 威胁参与者档案：APT27
• Dirk-jan Mollema: 一统天下的令牌 – 通过Actor令牌获取每个Entra ID租户的全局管理员权限
• Elastic: 导航Shai-Hulud蠕虫：Elastic对npm供应链被入侵的主动防御
• Elastic Security Labs: MCP工具：自主代理的攻击向量和防御建议
• FalconFeeds:
  • 键盘背后：AI时代威胁参与者的行为指纹识别
  • 第二波：重复访问如何推动再次入侵
• Flare:
  • IntelBroker和Scattered Spider被捕（使用窃取器日志，锒铛入狱：第1部分）
  • PowerSchool和Snowflake被捕（使用窃取器日志，锒铛入狱：第2部分）
• GitGuardian:
  • Shai-Hulud：持续的秘密泄露活动
  • 使用ggshield检测GitLab CI日志中的秘密并自带源代码
• Huntress:
  • 存储未加密密码的危险
  • 恶意黑客如何试图渗透您的IT团队
• Invictus Incident Response: 云威胁态势的坦诚视角：fwd:cloudsec EU回顾
• Andrey Polkovnichenko 在 JFrog: Shai-Hulud npm供应链攻击 – 检测到新的被入侵包
• Roei Sherman 在 Mitiga: 剖析Microsoft Entra ID Actor令牌漏洞：云中的完美犯罪
• Oleg Skulkin 在 ‘Know Your Adversary’:
  • 第258期. 对手如何滥用WMI进行软件发现
  • 第259期. Bloody Wolf如何滥用WMI进行发现
  • 第260期. Bloody Wolf如何滥用Telegram进行外泄
  • 第261期. APT28滥用的另一个合法Web服务
  • 第262期. 对手如何禁用警告消息
  • 第263期. 搜寻分发SilentSync RAT的PyPI包
• Patrick Wardle 在 Objective-See: [0day] 从Spotlight到Apple Intelligence
• Adam Crosser 在 Praetorian: 域前置已死。域前置万岁！
• Proofpoint: 潜入地下：中国背景的TA415使用VS Code远程隧道进行美中经济关系定向攻击
• Qi’anxin X Lab: 史上最强？揭秘11.5T级超大规模僵尸网络AISURU的内幕
• Recorded Future: CopyCop深化其策略，采用新网站和新目标
• SANS Internet Storm Center:
  • 对存档文件的网络搜索，（9月14日，星期日）
  • CTRL-Z DLL挂钩，（9月17日，星期三）
  • 为何您现在就需要防钓鱼验证，（9月16日，星期二）
• Securelist:
  • 闪亮的工具，肤浅的检查：AI炒作如何为恶意MCP服务器打开大门
  • RevengeHotels：利用LLM和VenomRAT的新一波攻击
• Ayush Anand 在 Securityinbits: AdaptixC2防御者指南
• Alex Delamotte, Vitaly Kamluk & Gabriel Bernadett-Shapiro 在 SentinelOne: 提示即代码与嵌入式密钥 | 搜寻启用LLM的恶意软件
• Socket:
  • 持续的供应链攻击针对CrowdStrike npm包
  • 流行的Tinycolor npm包在供应链攻击中被入侵，影响40多个包
• Stairwell: Stairwell报告揭示企业安全中存在巨大的恶意软件盲点
• Steven Masada 在 Microsoft: 微软查封338个网站以瓦解快速增长的’RaccoonO365’钓鱼服务
• Sygnia:
  • 16分钟造成影响：npm供应链滥用部署加密货币盗取恶意软件
  • 从危机到战略：ToolShell教会我们关于企业韧性的知识
• Synacktiv: 剖析DCOM 第1部分
• System Weakness:
  • 在TryHackMe上检测Web攻击：日志和基于网络的威胁狩猎完整演练
• Trellix: 暗网盘点 – 2025年8月版
• Trend Micro:
  • 关于NPM供应链攻击我们了解的情况
  • AI原生开发平台如何启用虚假验证码页面
• Matthieu Faou 和 Zoltán Rusnák 在 WeLiveSecurity: Gamaredon与Turla合作
• Merav Bar, Rami McCarthy, 和 Barak Sharoni 在 Wiz: Shai-Hulud：持续的分发包供应链蠕虫，分发数据窃取恶意软件
• ZephrSec: pyLDAPGui – 它是如何诞生的
• Блог Solar 4RAYS:
  • NGC6061：针对政府机构的系列钓鱼攻击
  • 网络威胁态势：2025年第二季度传感器分析
• Genians: Kimsuky APT实施的AI驱动深度伪造军事ID欺诈活动

即将举行的活动

• Black Hills Information Security: BHIS – 谈论[信息安全]新闻 2025-09-22 #直播 #信息安全 #信息安全新闻
• Magnet Forensics: 移动设备揭秘 S3:E9 // NOW 这就是我所说的iOS：26
• SANS: 领先勒索软件一步：恰当的事件遏制……与恐怖故事
• SentinelOne: LABScon 2025 | 从LLM恶意软件到酒店房间窃听器：回顾今年的演讲
• Silent Push: 研讨会 – 用于恶意软件检测的高级查询

演示/播客

• Behind the Binary by Google Cloud Security: EP15 为FLARE-On 12做准备 – 逆向工程考验的内部视角
• Cellebrite: 提示星期二：在学习中心查找培训
• Cloud Security Podcast by Google: EP243 AI时代的电子邮件安全：2025年史诗般的军备竞赛开始
• InfoSec_Bret: SA – SOC176-234 – RDP暴力破解检测
• Matthew Plascencia: 解密加密数据包 | Wireshark黑客攻击 3
• MyDFIR:
  • SOC自动化项目更新 | 第4部分/共4部分
  • SOC分析师面试：如何应对基于场景的问题
• Off By One Security: UEFI引导工具包和内核模式Rootkit开发，与 Alejandro Vazquez 一起
• The Cyber Mentor: 直播：SOC 201 发布 | 事件响应 | 威胁狩猎 | 网络安全
• The Defender’s Advantage Podcast: vSphere如何成为攻击者的目标

恶意软件

• Adam 在 Hexacorn:
  • RunDll导出器
  • 进入沙箱 30：失败的静态分析
• ASEC:
  • 从El Dorado到BlackLock：剖析快速崛起的RaaS威胁
  • Kawa4096勒索软件：利用品牌模仿产生心理影响
• CISA: 针对Ivanti端点移动管理系统的恶意监听器
• DomainTools Investigations: 针对印度尼西亚和越南Android用户的银行木马
• Dr Josh Stroschein:
  • 与Hahna Kane Latonick一起的机器学习实际应用
  • IDA基础 – 什么是偏移量？
• Michal Rajčan 在 Jamf: Jamf威胁实验室发现泄露凭证的应用程序
• Silent Push: CountLoader：Silent Push发现以3个不同版本提供的新恶意软件加载器
• Sophos: GOLD SALEM的Warlock行动加入繁忙的勒索软件版图
• Zero Salarium: EDR冻结：一款让EDR和杀毒软件陷入昏迷状态的工具
• Zhassulan Zhussupov: 恶意软件开发：持久化 – 第28部分。CertPropSvc注册表劫持。简单的C/C++示例。
• ZScaler:
  • SmokeLoader死灰复燃
  • 恶意的PyPI包分发SilentSync RAT

杂项

• Sergiy Pasyuta 在 Atola: Insight Forensic 5.7中的逻辑映像
• Dr. Erdal Ozkaya 在 Binalyze: 事件准备 vs. 事件响应
• Page McBeth 在 Cellebrite: 数字取证实验室正被淹没：调查员可以介入的4种方式
• Christopher Eng 在 Ogmini: CISA IR培训 – 勒索软件攻击剖析研讨会 (IR224)
• Computer Forensics Lab:
  • 面向法律专家的8个基本移动取证工具列表
  • 了解计算机取证调查员及其角色
  • 逐步进行云取证：掌握数字调查
• Forensic Focus:
  • 2025年8月Oxygen Tech Bytes
  • 为什么移动调查技术对现代企业至关重要
  • 数字取证工作综述，2025年9月15日
• Kevin Beaumont 在 DoublePulsar: 企业中的大象：关键IT和网络安全功能外包危及英国经济…
• Reverse Engineering: 将Metal带入加密后门之战！利用GPU和90年代的加密战争破解APT Down代码签名密钥
• Alfredo Oliveira 和 David Fiser 在 Trend Micro: 使用容器保护您的MCP基础设施

软件更新

• Atola: Atola Insight Forensic 5.7
• C.Peter: UFADE 1.0.1
• Digital Sleuth: winfor-salt v2025.10.10
• Oxygen Forensics: 推出 Oxygen Forensic Detective v.18.0
• Lethal Forensics: Microsoft-Analyzer-Suite v1.6.1
• Metaspike: 取证电子邮件收集器 (FEC) 变更日志 – 4.2.564.1066
• MISP: MISP同步 – 测试与验证项目
• OpenCTI: 6.7.20
• Rapid7: Velociraptor v0.75.2
• Security Onion: Security Onion 2.4.180 现已可用，包含多项新功能和更新组件！
• Xways:
  • X-Ways Forensics 21.5 SR-7
  • X-Ways Forensics 21.6 Beta 4

本周内容就是这些！如果您认为我遗漏了什么，或者希望我专门报道某些内容，请通过联系页面或社交媒体渠道与我联系！

使用代码 PM15 或点击此链接，可在您的下一堂Hexordia课程中享受15%的折扣。 与我一起上课！使用折扣码 thisweekin4n6，在Cyber5w的任何课程中享受15%的折扣。