赞助内容

Salesloft-Drift泄露内幕：对SaaS与身份安全的意义 在本期视频播客中，Permiso公司的CTO将涵盖：

• 攻击者如何利用被盗的OAuth令牌，从GitHub移动到AWS，再进入Salesforce。
• 为何这场“全机器”攻击为SaaS供应链和非人类身份（NHI）敲响了警钟。
• 在您自身环境中检测并遏制类似威胁的实用步骤。 观看视频播客 | 由Permiso赞助

一如既往，感谢所有给予支持的朋友们！

取证分析

• Ahmed Moaz: ADS取证
• Akash Patel: 使用免费工具（Microsoft-Extractor-Suite和…）简化BEC案件与云日志分析
• Belkasoft: 内存取证：工具、技术与最佳实践
• Forensafe: Android应用程序操作
• Nicholas Dubois (Hexordia): 气泡背后：Apple iMessage查找功能的隐私与安全性
• Invictus事件响应: 我们差点被黑的故事
• Magnet Forensics: 当Windows打盹并留下证据时：深入hiberfil.sys
• Matthew Plascencia: 空中的数据
• ThinkDFIR: 关于USB注册表键中任意值的问题
• Mark R (you sneakymonkey!): 云元数据 – AWS IAM凭证滥用

威胁情报/狩猎

Shai-Hulud 2.0

• Shai Hulud再次出击，攻击Zapier、Ensdomains
• Shai-Hulud 2.0：深入剖析“第二次降临”——2025年最激进的NPM供应链攻击
• Shai-Hulud 2.0 npm蠕虫：分析及须知
• Shai-Hulud 2.0：超过14,000个密钥暴露
• 332. 这是Shai-Hulud 2.0提升权限的方式
• Shai-Hulud回归：NPM供应链攻击的“第二次降临”
• 防御Sha1-Hulud：第二次降临
• SHA1-Hulud, npm供应链事件
• Shai Hulud再次出击 (v2)
• Shai-Hulud蠕虫回归，影响超过25,000个GitHub仓库
• Shai-hulud 2.0活动瞄准云和开发者生态系统
• Shai-Hulud：当供应链事件演变为蠕虫（作者：Lucie Cardiet）
• Shai-Hulud 2.0供应链攻击：25K+仓库暴露密钥

其他情报

• Hitesh Duseja (Altered Security): Pass-The-Cert永存：复兴跨Entra ID加入设备的经典横向移动
• Arctic Wolf: 俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投送Mythic Agent
• Andrea Chiarelli (Auth0): 揭秘OAuth安全：State vs. Nonce vs. PKCE
• Bitdefender:
  • 韩国泄露事件 – 分析针对韩国金融服务、使用Qilin RaaS的混合地缘政治活动
  • 勒索软件经济在中端市场蓬勃发展
• Blu Raven Academy: 用简单方法检测Cobalt Strike HTTP(S)信标
• Brian Krebs (‘Krebs on Security’):
  • 您的Android电视流媒体盒子是僵尸网络的一部分吗？
  • 认识‘Scattered Lapsus$ Hunters’的管理员Rey
• CERT-AGID:
  • 对进行钓鱼活动模拟的行政部门的建议
  • 11月22日至28日恶意活动汇总
  • 代理人工智能与网络安全：CERT-AgID分析上线
• Check Point:
  • 11月24日 – 威胁情报报告
  • GhostAd：隐藏的Google Play广告软件消耗设备并扰乱数百万用户
• Roshan (Confiant): 幻影商店：零售仿冒在黑色星期五前通过视频广告和模块化…传播
• Cybersec Sentinel:
  • 通过Matrix Push C2进行的浏览器通知劫持
  • Xillen Stealer v5高级凭据窃取和加载器平台
• Cyfirma: 每周情报报告 – 2025年11月28日
• Andrea Draghetti (D3Lab): 在意大利检测到的首次针对Klarna的钓鱼活动
• Daniel Koifman: 介绍LUMEN：您的EVTX伴侣
• Dark Atlas: 钓鱼短信三人组瞄准埃及的金融部门和邮政服务
• Darktrace:
  • CastleLoader & CastleRAT：TAG150模块化恶意软件交付系统背后
  • 从亚马逊到路易威登：Darktrace如何检测黑色星期五钓鱼攻击
• Disconinja: 每周威胁基础设施调查（第47周）
• Malcolm Heath (F5 Labs): 追踪RondoDox：利用多种物联网漏洞的恶意软件
• FalconFeeds: 威胁情报简报：Scattered LAPSUS$ Hunters (SLSH)
• g0njxa: 接近窃密软件开发者：与XFILES (DeerStealer)的简短访谈
• Amirbek Kurbanov和Volen Kayo (Group-IB): Bloody Wolf：对司法的粗暴威胁
• Intrinsec:
  • 隐藏威胁 – GPO横向移动
  • 针对俄罗斯航空航天工业的活动
• Isaac Dunham: Microsoft Sentinel中的基于风险的告警
• Itsec: 追踪UNC5337：对持续网络威胁行为者的调查性研究
• Kroll: 付出代价：增强零售业对Scattered Spider和Cl0p的韧性
• Micah Babinski: 检测恶意的ArcGIS服务器对象扩展
• Idan Cohen (Mitiga): Scattered Lapsus$ Shiny Hunters再次攻击Salesforce
• Nariman Gharib: 第40部门曝光：连接网络行动与刺杀的IRGC部门内幕
• Nextron Systems:
  • Thor vs. Silver Fox – 揭露并挫败一场复杂的ValleyRat活动
  • 在市场中发现的冒充“Material Icon Theme”的恶意VS Code扩展
  • 在恶意VS Code扩展中发现的Rust植入程序分析
• Kristof Baute (NVISO Labs): 检测工程：实践检测即代码 – 调优 – 第8部分
• Oleg Skulkin (‘Know Your Adversary’):
  • 327. 对手使用Shell图标覆盖处理器进行持久化
  • 328. 对手使用PowerCat进行反向Shell
  • 329. 对手使用Blender 3D文件传递窃密软件
  • 330. 对手使用Windows事件日志进行发现
  • 331. 对手持续滥用Microsoft Management Console
  • 333. 对手使用多个LOLBIN进行入口工具传输
• Picus Security:
  • Fog勒索软件2025：TTPs深度剖析
  • APT41网络攻击：历史、行动和完整TTP分析
  • Olymp Loader：2025年新出现的恶意软件即服务威胁
• Recorded Future: Salesforce-Gainsight安全事件：须知事项
• Red Canary: 您在Office Hours上错过了什么：2025年11月
• SANS互联网风暴中心:
  • YARA-X 1.10.0发布：修复警告，(Sun, Nov 23rd)
  • URL映射与基于URL的访问控制之间的冲突，(Mon, Nov 24th)
• Thomas Roccia (SecurityBreak): GenAI x Sec Advent (2025版)
• sentinel.blog:
  • 将UniFi网络监控集成到Microsoft Sentinel中
  • 在Microsoft Sentinel中扩展UniFi监控：工作簿和分析规则
• Simone Kraus: Ivanti利用后横向移动 – 分析与检测
• Snyk: Snyk日志嗅探器：为安全负责人提供AI驱动的审计日志洞察
• SOCRadar:
  • 暗网档案：Berserk Bear
  • Morte Loader内幕：加载器即服务如何构建现代僵尸网络
  • 暗网档案：ByteToBreach
• System Weakness: 数字取证与事件响应 – Velociraptor [MCP入侵与滥用案例]
• Sydney Marrone (THOR Collective Dispatch): Dispatch汇报：2025年11月
• Jacob Baines (VulnCheck): 一场区域针对性漏洞利用行动背后的神秘OAST主机
• Sapir Federovsky (Wiz): 本月观察到的3种OAuth TTP及如何使用Entra ID日志检测
• Palo Alto Networks:
  • AI的双重用途困境：恶意LLM
  • 黄金天平：节日季的“不速之礼”

即将举行的活动

• Magnet Forensics:
  • Cyber Unpacked S2:E5 // 双时间线的故事
  • 当证据时间至关重要时 – 介绍Magnet One Mobile Case Stream

演示/播客

• Black Hills信息安全: Talkin’ Bout [infosec] News 2025-11-24 #infosec #news
• Hunter Wade (Black Hills信息安全): 利用Impacket滥用委派（第3部分）：基于资源的约束委派
• Cellebrite: 周二小贴士：单一应用程序
• Erik Pistelli (Cerbero): 内存挑战9：BankingTroubles
• Gerald Auger (Simply Cyber): 我如何在无工作经验的情况下获得SOC分析师经验（内含真实简历要点）
• InfoSec_Bret: IR – SOC344 – 通过EDR-Freeze尝试EDR篡改
• John Hammond:
  • Wazuh让一切变得可见
  • 键盘记录恶意软件分析
  • 2025年网络犯罪现状第2部分（与Nick Ascoli共同探讨！）
  • NPM恶意软件现拥有多个目标！
• Magnet Forensics:
  • 云上还是本地？为何不两者兼得 — 发现全新的Nexus混合代理
  • Mobile Unpacked S3:E11 // 分析应用程序的生命周期
• Monolith取证: 案例文件系统概述
• MSAB: #MSABMonday – XAMN Pro深度剖析
• MyDFIR:
  • 初学者友好型SOC分析师训练方法
  • 零IT经验到SOC分析师的18个月历程
  • Paul赢得他的第一次CTF，然后通过了面试评估
  • MYDFIR SOC社区 | 黑色星期五特惠
• Off By One安全: 模拟APT：构建与部署Bootkit & Rootkit
• Parsing the Truth: One Byte at a Time: 蘑菇谋杀案第2部分
• Sandfly安全:
  • Sandfly行动 – 无代理方式添加Linux主机进行保护
  • 安装Sandfly以无代理方式保护您的Linux系统
• SANS云安全: 超越基础：云防御者须知
• SentinelOne: LABScon25回放 | 模拟遇见现实：中国的网络靶场如何推动网络行动
• THE Security Insights Show: THE Security Insights Show 第280集：土耳其日特洛伊木马
• Three Buddy Problem: Shai-Hulud 2.0，俄罗斯GRU入侵，以及微软的监管俘获

恶意软件

• 0day in {REA_TEAM}: [快速分析] 冒充税务机构传播恶意软件的钓鱼活动
• Adam (Hexacorn): Enter Sandbox 31: Web Shells
• Any.Run: 2025年11月重大网络攻击：XWorm, JSGuLdr加载器, Phoenix后门, 移动威胁等
• Cyble: RelayNFC：针对巴西的新NFC中继恶意软件
• Dexpose: 深入Valkyrie窃密软件：功能、规避技术与操作者画像
• Fortinet: ShadowV2将阴影投向物联网设备 | FortiGuard实验室
• hasherezade’s 1001 nights: Flare-On 12 – 任务8
• Ben Folland和Anna Pham (Huntress): ClickFix创意无限：隐藏在图片中的恶意软件
• Jamf: FlexibleFerret恶意软件持续攻击
• Shmuel Uzan (Morphisec): Morphisec挫败通过恶意.blend文件针对Blender用户的俄罗斯相关StealC V2活动
• Patrick Wardle (Objective-See): 在macOS上恢复反射式代码加载（第二部分）
• Securelist:
  • 旧技术，新漏洞：NTLM滥用，2025年持续利用
  • Tomiris制造浩劫：APT组织的新工具与技术
• Ayush Anand (Securityinbits): 如何为Elasticsearch SIEM设置Sigma规则
• Shubho57: APT28变种（Muddywater）分析
• Socket:
  • 恶意Chrome扩展向Solana Swap注入隐藏的SOL费用
  • 支撑朝鲜Contagious Interview npm攻击的GitHub基础设施内幕
• Jason Reaves (Walmart): 利用ChatGPT解码Astaroth字符串
• Suraj Mundalik (ZScaler): Zscaler威胁狩猎发现并重建了一场复杂的Water Gamayun APT组织攻击
• بانک اطلاعات تهدیدات بدافزاری پادویش: Hacktool.Win32.Nimplant

其他

• Adam (Hexacorn):
  • ShellAbout函数的一个类似rundll的愚蠢特性…
  • 更多隐藏的Phantom DLL
• Belkasoft: Belkasoft客户调查2025
• Steven Alexander (Cybersecurity Oversight): 对手速度持续提升
• Josibel Mendoza (DFIR Dominican): DFIR职位更新 – 2025年11月24日
• Elan (DFIR Diva):
  • 免费及经济实惠的培训新闻：2025年黑色星期五版
  • 我使用SockPuppet Alias的经历
• Oleg Afonin (Elcomsoft):
  • 利用用户配置文件进行更智能的密码攻击
  • GPU加速的十八年
• Michael Karsyan (Event Log Explorer blog): 在PowerShell中改进事件日志过滤
• Forensic Focus:
  • 深入FTK Imager Pro：厂商中立取证、更智能的AI以及Exterro的取证愿景
  • 数字取证职位汇总，2025年11月24日
  • Detego Global为数字取证和事件响应团队推出专用案件管理平台
  • 即将举行的网络研讨会 – S21 VisionX发布
  • 技术安全与数字取证会议西部站总结
  • Oxygen Review Center：审查数字证据的更快、更智能方式
  • 数字取证汇总，2025年11月26日
  • 暴力破解之旅：从GPU主导到CPU主力再回归
  • Oxygen Forensic KeyScout有哪些亮点？
  • 完全访问、免费培训、大额折扣：Semantics 21公布黑色星期五套餐
  • Forensic Focus摘要，2025年11月28日
  • Atola在TaskForce 2025.11中引入ZFS和LDAP支持
• GreyNoise: 您的IP地址可能成为别人的问题（以及如何发现）
• Howard Oakley (‘The Eclectic Light Company’): 深入统一日志8：查找错误
• Doug Metz (Magnet Forensics): 弥合网络安全与取证：为何DFIR应属于现代SOC
• Siddhant Mishra: 让您的SOC摆脱混乱区域
• Studio d’Informatica Forense:
  • 为Le Iene进行USB闪存盘取证分析和Word元数据
  • 与Le Iene一起追踪黑客跟踪者Noemi

软件更新

• Sergiy Pasyuta (Atola): TaskForce 2025.11更新：ZFS支持 + LDAP身份验证
• Ahmed K. Ali: Seshat EVTX分析器
• Amped: Amped Replay 更新 39248：进入辅助视频编辑领域！
• Cwrw: CommandHunter
• Digital Sleuth: winfor-salt v2025.14.7
• hasherezade: tiny_tracer 3.2
• IsoBuster: IsoBuster 5.7 发布
• MISP: MISP v2.5.27 – 附带新功能和各种修复发布
• OpenCTI: 6.8.14
• Passmark Software: OSForensics V11.1 build 1013 2025年11月25日
• radare2: 6.0.7
• Sigmar: 2025-12-01
• SigmaHQ: pySigma v1.0.1
• Tsurugi Linux: 2024年11月24日（版本 25.11）
• XingTuLab: Recopilot 0.2

本周内容到此结束！如果您认为我遗漏了什么，或希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！

使用代码 PM15 或点击此链接，在您下一次的Hexordia课程中获得15%折扣 | 和我一起上课！ 使用折扣码 thisweekin4n6，在Cyber5w的任何课程中获得15%折扣。