Salesloft-Drift泄露事件内幕：对SaaS与身份安全的启示 在本期节目中，Permiso公司的首席技术官将探讨：

• 攻击者如何利用窃取的OAuth令牌从GitHub → AWS → Salesforce横向移动。
• 为何这种“全机器”攻击是SaaS供应链和NHIs的警示信号。
• 在您的环境中检测和遏制类似威胁的实用步骤。

赞助商：Permiso

一如既往，感谢那些给予支持的朋友们！

取证分析

• Alp Batur：程序存在证据：Amcache和Shimcache
• AmpedForensic的Lucy Carey-Shields：使用Amped FIVE的视频取证工作流程 – 第一部分：初步步骤、验证和文件注意事项
• Brian Maloney：OneDrive快速访问
• Cerbero的Erik Pistelli：内存挑战2：MEM挑战
• Ogmini的Christopher Eng：
  • Gmail应用 – IMAP账户痕迹（附件） – 第2部分
  • Gmail应用 – IMAP账户痕迹（附件） – 第3部分
  • Gmail应用 – IMAP账户痕迹（消息日志） – 第1部分
• Cyber Triage：DFIR后续步骤：可疑的Pulseway使用
• ‘The Hacker Factor Blog’的Dr. Neal Krawetz：摄影修订与现实
• Elcomsoft：证据保存：为何iPhone数据会过期
• Forensafe：调查iOS版Truth Social
• Iram Jack：
  • Windows与Linux内存获取
  • 虚拟机和云环境中的内存获取
  • Volatility基础
  • Windows内存与进程
  • Windows内存与用户活动
  • Windows内存与网络
• OSINT团队：
  • 使用MFTEcmd和其他工具分析NTFS中的$MFT文件
  • Forensic-Timeliner v2.2：高速Windows DFIR时间线整合
• Paraben Corporation的Anthony Dourra：DFIR：决策时理解证据类型的重要性
• SJDC：通过MacOS收集iPhone统一日志
• Studio d’Informatica Forense：DMARC取证：验证合规性并防止欺骗问题的工具
• The Packd Byte：
  • 文章003：关于在查获时刻进行移动设备保存。
  • 从FFS提取中导出统一日志以在Mac中查看

威胁情报/狩猎

• Hexacorn的Adam：ntprint.exe lolbin
• Arctic Wolf：数据外泄
• AttackIQ的Ayelen Torello和Francis Guibernau：模拟多功能Qilin勒索软件
• Auth0的Maria Vasilevskaya：刷新令牌安全：使用Auth0检测劫持和滥用
• Malware Traffic Analysis的Brad Duncan：
  • 2025-10-06：日本钓鱼邮件
  • 2025-10-01：可能伪装为流行软件破解版的Rhadamanthys
  • 2025-10-02：安卓恶意软件
  • 2025-10-08：Kongtuke活动的ClickFix页面感染
• ‘Krebs on Security’的Brian Krebs：
  • ShinyHunters发动广泛的企业勒索活动
  • DDoS僵尸网络Aisuru对美国ISP发起创纪录的DDoS攻击
• CERT-AGID：2025年10月4日至10日恶意活动周度概要
• Check Point：
  • 10月6日 – 威胁情报报告
  • 2025年9月全球网络威胁：攻击量略有缓和，但GenAI风险加剧，勒索软件激增46%
• Cisco的Talos：
  • 过于“咸”而难以处理：揭露CSS滥用隐藏文本“加盐”的案例
  • Velociraptor在勒索软件攻击中被利用
• CloudSEK：深入观察IRGC关联的APT35行动
• Cofense的Emmett Smith和Brooke McLain：远程办公的钓鱼风险 – 潜伏在特斯拉、谷歌、法拉利和Glassdoor远程工作中的隐患
• Compass Security的Andreas Arnold：LockBit泄露：从勒索软件组织内部数据中获取洞察
• CrowdStrike：CrowdStrike识别通过零日漏洞（现编号为CVE-2025-61882）针对Oracle电子商务套件的活动
• Cyfirma：每周情报报告 – 2025年10月10日
• Damien Lewke：狩猎压缩的杀伤链
• Darktrace：揭露Akira SonicWall活动
• Disconinja：每周威胁基础设施调查（第40周）
• DomainTools Investigations：深入加密诈骗网络
• Elastic Security Labs：2025年Elastic全球威胁报告揭示的演变中的威胁态势
• Elliptic：朝鲜加密黑客在2025年已窃取超过20亿美元
• Esentire：新型Rust恶意软件“ChaosBot”使用Discord进行命令与控制
• Eye Security的Bas van den Berg：ClickFix拦截：防范虚假CAPTCHA攻击 | Eye Security
• FalconFeeds：
  • 无国界的战场：地区冲突如何反映在网络威胁行为者的行为中
  • 不断演变的窃取木马威胁态势：为期一个月的深度分析（2025年8月20日至9月19日）
  • 消失的有效载荷：在后恶意软件时代追踪无文件攻击
• Forescout：黑客行动主义攻击剖析：俄罗斯关联组织针对OT/ICS
• gm0：
  • 绅士勒索软件组织概况 – 第2部分：基础设施
  • 绅士勒索软件组织概况 – 第3部分：运营
  • 绅士勒索软件组织概况 – 第4部分：影响
• Google Cloud Threat Intelligence的Peter Ukhanov、Genevieve Stark、Zander Work、Ashley Pearson、Josh Murchie、Austin Larsen：Oracle电子商务套件零日漏洞在广泛勒索活动中被利用
• GreyNoise的Noah Stone：10万+ IP僵尸网络对美国基础设施发起协同RDP攻击浪潮
• Hunt IO：AdaptixC2被发现：能力、战术与狩猎策略
• Huntress：
  • 皇太子，哪吒：中国关联威胁行为者青睐的新工具
  • Gladinet CentreStack和Triofox本地文件包含漏洞的活跃利用
• Infoblox的Maël Le Touz和John Wòjcik：“杀猪盘”诈骗及其DNS踪迹：将威胁链接到恶意窝点
• InfoSec Write-ups：
  • 对抗者TTP模拟实验室
  • 中间人检测
• INTfinity Consulting的Benjamin Tan和Moses Tay：从DFIR视角保护您的CMS
• Invictus Incident Response：2025年BEC攻击剖析
• DoublePulsar的Kevin Beaumont：红帽咨询泄露使超过5000家高知名度企业客户面临风险 – 详细分析
• Kraven Security的Adam Goss：驯服数据野兽：威胁猎手的Nushell指南
• MaverisLabs的Alexandre Kim：规避警觉之眼：红队人员的EDR绕过技术指南
• Md. Abdullah Al Mamun：2025年9月以来的未知俄罗斯网络攻击
• Microsoft Security：
  • 调查CVE-2025-10035 GoAnywhere Managed File Transfer漏洞的活跃利用
  • 破坏针对Microsoft Teams的威胁
  • 调查影响美国大学的针对性“工资海盗”攻击
• Mitiga的Idan Cohen：ShinyHunters和UNC6395：Salesforce和Salesloft泄露事件内幕
• Natto Thoughts：中国的漏洞研究：现在有何不同？
• NCSC：通过可观察性和威胁狩猎加强国家网络弹性
• NVISO Labs：
  • 检测工程：实践检测即代码 – 监控 – 第7部分
  • 漏洞管理 – 需求、范围界定和目标设定
• ‘Know Your Adversary’的Oleg Skulkin：
  • 279. 孔子组织使用恶意PowerPoint Show文件
  • 280. 狩猎可疑的TLD
  • 281. 对抗者滥用Bunny.net CDN
  • 282. 这是另一个您很可能未检测到的RMM
  • 283. 勒索软件团伙就是这样滥用Wbadmin的
  • 284. WhatsApp蠕虫就是这样禁用UAC的
  • 285. Stealit就是这样隐藏PowerShell窗口的
• Palo Alto Networks：
  • 从勒索到收入损失
  • ClickFix工厂：首次曝光IUAM ClickFix生成器
  • 响应云事件：2025年Unit 42全球事件响应报告的分步指南
  • 当AI记住太多时 – 智能体记忆中的持久性行为
  • 弥合云安全差距
  • 黄金天平：Bling Libra与不断演变的勒索经济
• Rain Ginsberg：substation_at_0742.nfo
• Recorded Future：大规模恶意NPM包攻击威胁软件供应链
• Red Canary的Tony Lambert和Chris Brook：Mac窃取木马分类学：区分Atomic、Odyssey和Poseidon
• SANS互联网风暴中心：
  • 快速粗略分析可能的Oracle电子商务套件利用脚本（CVE-2025-61882）[更新]，（10月6日，星期一）
  • 多态Python恶意软件，（10月8日，星期三）
  • 针对FreePBX（CVE-2025-57819）并导致代码执行的漏洞利用，（10月7日，星期二）
  • [客座日记] 建立更好的防御：来自蜜罐的RedTail观察，（10月9日，星期四）
  • Wireshark 4.4.10和4.6.0发布，（10月12日，星期日）
• Securelist：
  • 使用机器学习检测DLL劫持：真实案例
  • 我们如何训练ML模型来检测DLL劫持
• SecurityBreak的Thomas Roccia：介绍PromptIntel
• Snyk的Liran Tal：利用NPM生态系统的钓鱼活动
• Socket：
  • 175个恶意npm包托管针对135多个组织的钓鱼基础设施
  • 朝鲜的“传染性访谈”活动升级：338个恶意npm包，5万次下载
  • 在npm、PyPI和RubyGems.org上武器化Discord用于命令与控制
• SOCRadar：虚假Microsoft Teams安装程序分发Oyster后门
• Sophos：
  • 2025年医疗保健行业勒索软件现状
  • WhatsApp蠕虫针对巴西银行客户
• Stairwell的Vincent Zell：Yurei：新的勒索软件威胁
• Sublime Security的Bryan Campbell：英国内政部签证与移民诈骗针对Sponsor Management System账户
• SuspectFile的Marco A. De Felice（又名amvinfe）：
  • 迈阿密律师事务所遭遇重大数据泄露：2.5 TB敏感文件曝光
  • 更新：Beaumont Bone & Joint Institute成为PEAR攻击目标：大规模敏感数据泄露
• Synacktiv：LLM投毒 [1/3] – 解读Transformer的思想
• System Weakness的Eduardo Kayky：LetsDefend – SOC模拟器/英文版
• THOR Collective Dispatch：
  • 时间的形状：掌握时间图表
  • 超越指标狩猎
• Todyl的Andrew Scott：网络犯罪联盟的崛起：LockBit、Qilin和DragonForce对商业风险的意义
• Trellix：俄罗斯物理-网络间谍活动的演变
• Trend Micro：
  • 武器化的AI助手和凭据窃取者
  • 您的AI聊天机器人如何成为后门
  • 不安全架构的连锁反应：Axis插件设计缺陷使部分Autodesk Revit用户面临供应链风险
• Truesec的Jean-Francois Gobin：她在海边售卖Web Shells（第二部分）
• Kusto Insights的Ugur Koc和Bert-Jan Pals：Kusto Insights – 九月更新
• Valdin的Kenneth Kinion：使用Validin探索发票欺诈邮件尝试
• Cyber Intelligence Insights的Vasilis Orlof：情报分享 #2
• Vectra AI的Lucie Cardiet：洞察表面之下：Crimson Collective揭示的云检测深度
• Volexity的Callum Roxan、Killian Raimbaud和Steven Adair：APT遇上GPT：利用未受控LLM的定向攻击活动
• watchTowr Labs：
  • 好吧，好吧，好吧。又是新的一天。（Oracle电子商务套件预认证RCE链 – CVE-2025-61882）
  • 不仅仅是DoS（Progress Telerik UI for ASP.NET AJAX不安全反射 CVE-2025-3600）
• Wiz：
  • RediShell：Redis中的严重远程代码执行漏洞（CVE-2025-49844，CVSS评分10.0）
  • 防御数据库勒索软件攻击
• ZScaler的Vinay Polurouthu、Manohar Ghule和Brendon Macaraeg：防御最终阶段重组攻击
• Блог Solar 4RAYS：NGC4141：东亚组织攻击定制Web应用程序

即将举行的活动

• Simply Defensive：检测工程教程：云安全、Kubernetes日志记录和SOC职业路径 | S5 E2
• Huntress：Tradecraft Tuesday | Huntress CTF 2025
• Magnet Forensics：
  • 云端还是本地？何不两者兼得 — 发现新的Nexus混合代理
  • 使用Magnet Graykey Fastrak和Magnet Automate消除移动设备积压和瓶颈
• Cqure Academy的Paula Janusz kiewicz和Amr Thabet：现场网络研讨会 当邪恶隐匿时：威胁猎手和事件响应者的最佳实践
• Silent Push：研讨会 – 在攻击发生前检测钓鱼基础设施

演示/播客

• Hexordia：Truth in Dat：EP15：痕迹证据权威：专家证人证词
• Cellebrite：
  • 专家问答：与Ian Whiffin一起分析Karen Read审判 – 第1部分
  • 专家问答：与Ian Whiffin一起分析Karen Read审判 – 第2部分
• Cellebrite：周二小贴士：在Inseyets UFED中使用Streamline
• Google的云安全播客：EP246 从扫描器到AI：Qualys CEO Sumedh Thakar谈25年的漏洞管理
• Magnet Forensics：
  • 向领先的媒体取证专家学习审查和分析媒体证据的技巧与最佳实践
  • 网络解包 S2:E4 // 来自现场的声音：DFIR的趋势、挑战与未来
• Michael Haggis：ClickGrab更新：新技术、重定向跟随器、社区集成及更多！
• Microsoft威胁情报播客：威胁态势更新：勒索软件即服务和高级模块化恶意软件
• Monolith Forensics：
  • 如何在Monolith中添加获取任务
  • Neptune中的哈希搜索
  • 在Neptune中将CyberTips标记为已审核
  • Neptune中的已知媒体
  • 在Neptune中使用热键
  • 在Neptune中审核CyberTip数据
  • 在Neptune中添加和处理CyberTips
  • Neptune简介
• MSAB：XAMN早期访问第二部分
• MyDFIR：这就是为什么您应该在家庭实验室中模拟攻击
• Parsing the Truth: One Byte at a Time：关于Pam Hupp & Russ Faria的事情 第1部分
• Proofpoint：当意识到网络安全意味着认识到自己是人类时
• Sandfly Security：Linux隐形Rootkit狩猎演示
• SentinelOne：LABScon25重放 | 自动挑衅熊：AI时代的分析性战术
• The Cyber Mentor：直播：HTB Sherlocks! | 网络安全 | 蓝队
• The DFIR Journal：SharePoint同步：生产力沦为数据外泄渠道
• The Weekly Purple Team Vibe：利用AI实现攻防运营自动化
• Three Buddy Problem：
  • Chris Eng谈从NSA、@Stake、Veracode和20年网络安全生涯中汲取的经验教训
  • 苹果漏洞利用链赏金、无线近场漏洞利用和战术手提箱

恶意软件

• CTF导航：APT | 海莲花组织Havoc远控木马分析
• Cybereason：应对针对Oracle EBS CVE-2025-61882的CL0P勒索活动
• Dr Josh Stroschein：
  • 直播：Suricata 8.0.1 & 7.0.12安全版本：与核心团队修复高危CVE
  • 《Behind the Binary》新一期：逆向工程中的机器学习革命
• Fortinet：
  • Chaos勒索软件的演变：更快、更智能、更危险
  • 新的Stealit活动滥用Node.js单可执行应用程序
• McAfee Labs的Harshil Patel和Prabudh Chakravorty：Astaroth：滥用GitHub增强韧性的银行木马
• Moonlock的Ray Fernandez：Mac.c窃取木马演变为具有后门和远程控制的MacSync
• OSINT Team的Rizqi Setyo Kusprihantanto：MCP作为您的恶意软件分析助手
• Paolo Luise：Ghidra与字符串
• Shubho57：批处理文件释放器分析
• System Weakness的Rizqi Mulki：安卓应用程序逆向工程：揭示隐藏的秘密
• Zhassulan Zhussupov：Linux黑客第7部分：Linux系统信息窃取程序：Telegram Bot API。简单的C示例
• بانک اطلاعات تهدیدات بدافزاری پادویش：HackTool.Win32.APT-GANG8220

其他

• Decrypting a Defense：ICE增强能力、SIM卡农场、NYCHA监视听证会、修复损坏手机进行提取及更多
• DFIR Dominican的Josibel Mendoza：DFIR工作更新 – 2025年10月6日
• Forensic Focus：
  • Exterro推出FTK Imager Pro，为全球调查人员解锁对加密证据的更快访问
  • 关于PDF解密的一切 – 在Passware知识库中发现
  • 即将举行的网络研讨会 – 深入2025年秋季版本
  • Alexander Fehrmann：如何在Amped FIVE中分析压痕证据
  • Forensic Focus摘要，2025年10月10日
• GreyNoise：介绍GreyNoise Feeds：用于实时响应的实时情报
• Group-IB：值得您关注的七大网络安全通讯
• InfoGuard Labs的Manuel Feifel：分析和破坏Defender for Endpoint的云通信
• Stark 4N6的Kevin Pagano：与Magnet Forensics合作的网络解包功能
• Magnet Forensics：
  • Magnet Axiom秋季更新：ChatGPT、Chromium、私密消息支持等
  • 使用Magnet One在数字调查中节省时间：第4部分 – 简化数据管理
  • 利用数字取证打击毒品和帮派暴力
• MISP：Wazuh和MISP集成
• Oxygen Forensics：
  • 事件响应团队可以立即改进远程数据收集的5种方法
  • 如何在Oxygen Remote Explorer中使用代理管理中心
• Shantaciak：事件响应策略：风暴前的蓝图
• Sucuri的Pilar Garcia：介绍Sucuri学院：您网站安全教育的新平台
• System Weakness：Blue Cape Security的新取证认证？我拿到了，这是我的评价。
• VirusTotal的Bernardo.Quintero：更简便的访问，更强的VirusTotal

软件更新

• Brian Maloney：OneDriveExplorer v2025.10.09
• Digital Sleuth：winfor-salt v2025.11.1
• Baker Street Forensics的Doug Metz：跨平台DFIR工具：Windows上的MalChelaGUI
• North Loop Consulting：Arsenic v2.0
• OpenCTI：6.8.4
• Passmark Software：OSForensics V11.1 build 1011 2025年10月8日
• Passware：Passware Kit Mobile 2025 v4 现已推出
• Phil Harvey：ExifTool 13.39
• Ulf Frisk：MemProcFS 版本 5.16
• WithSecure Labs：Chainsaw v2.13.1
• Xways：
  • X-Ways Forensics 21.5 SR-8
  • X-Ways Forensics 21.6 Beta 6

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道告诉我！ 使用代码 PM15 或点击此链接可享受Hexordia下一堂课15%的折扣。与我一起上课！使用折扣码 thisweekin4n6 可享受Cyber5w任何课程15%的折扣。