网络安全与数字取证周报：漏洞攻击、恶意软件分析及DFIR工具动态

赞助内容

在攻击者发现漏洞之前强化您的身份安全态势 本速查表将揭示：

需要立即修复的四个最高风险身份类别。
分步的身份安全态势管理（ISPM）成熟度模型和90天实施计划。
如何大规模消除危险权限、强制执行多因素认证（MFA）并移除休眠身份。 [下载 ISPM 速查表] 赞助商：Permiso

一如既往，感谢那些提供支持、给予回馈的朋友们！

取证分析

Akash Patel：内存取证与端点检测与响应（EDR）的对比讨论。
Forensafe：Android 应用角色分析。
Fortinet：揭露 Windows 中隐藏的取证证据：AutoLogger-Diagtrack-Listener.etl 文件的奥秘。
Alex Bilz：2025年德国联邦警察 CTF 攻略：破解代码。
Marco Neumann（来自 ‘Be-binary 4n6’）：三星核心服务——“ai search” 模块及其在数字取证分析中的价值。

威胁情报/狩猎

React2Shell

React2Shell 被利用以在云服务器上部署 EtherRAT。
React2Shell：攻击者如何在几小时内利用 CVE-2025-55182。
多个威胁行动者利用 React2Shell（CVE-2025-55182）。
React2Shell 支线任务：追踪恶意 MeshCentral 节点。
React2Shell（CVE-2025-55182）：剖析针对生产 Next.js 应用的 Node.js 远程代码执行。
PeerBlight Linux 后门利用 React2Shell CVE-2025-55182。
React2Shell：解码 CVE-2025-55182 —— React 服务器组件中的无声威胁。
中国威胁行动者积极利用关键 React2Shell 漏洞。
用时很短：CVE-2025-55182 现已遭到主动利用。
利用 React2Shell 漏洞（CVE-2025-55182）进行远程代码执行。
EtherRAT：朝鲜在 React2Shell 攻击中使用新型以太坊植入程序。
React2Shell 入侵剖析。
React2Shell：CVE-2025-55182 技术深度解析与在野利用。
React2Shell：远程代码执行漏洞（CVE-2025-55182）。

其他威胁情报

Faan Rossouw（来自 Active Countermeasures）：每日恶意软件——DNS C2 中的 TXT 记录滥用（Joker Screenmate）。
AttackIQ：重新审视多变的 Qilin 勒索软件。
响应 CISA 咨询（AA25-343A）：亲俄罗斯黑客活动分子针对美国和全球关键基础设施进行机会主义攻击。
澳大利亚网络安全中心：亲俄罗斯黑客活动分子针对美国和全球关键基础设施进行机会主义攻击。
Tony Burgess（来自 Barracuda）：恶意软件简报：Android 成为攻击目标——FvncBot、SeedSnatcher、ClayRat。
BI.Zone：映射和利用网络威胁态势预测攻击；利用暗网预测攻击。
Bitdefender：ClickFix：来自网络犯罪分子的一个"KISS"；虚假莱昂纳多·迪卡普里奥电影种子通过分层的 PowerShell 链投放 Agent Tesla；Bitdefender 威胁简报 | 2025年12月。
Brian Krebs（来自 ‘Krebs on Security’）：微软2025年12月补丁星期二。
CERT-AGID：正在进行的恶意活动滥用公共行政账户，通过 PDF 附件和 Figma 访问；2025年12月6日至12日一周恶意活动汇总报告。
Check Point：12月8日威胁情报报告；破解 ValleyRAT：从构建器秘密到内核 Rootkit；2025年11月全球网络攻击增加，由勒索软件激增和生成式 AI 风险驱动。
Hendrix Garcia（来自 Cofense）：网络钓鱼者变得有创意：你没预料到的 NoteGPT 转折。
Cyfirma：每周情报报告 – 2025年12月12日。
Martin McCloskey, Christophe Tafani-Dereeper, 和 Julie Agnes Sparks（来自 Datadog Security Labs）：调查针对 Microsoft 365 和 Okta 用户的中间人网络钓鱼活动。
DebugPrivilege：Citrix 如何在其文档中修复了 ESC1 风险。
Detect FYI：用于电子邮件 URL 重定向狩猎的 KQL 技术；衡量恶意：当"几乎正确"恰恰是错误的时候；重新思考良性告警：检测工程的新视角。
Disconinja：每周威胁基础设施调查（第49周）。
DomainTools 调查：中国恶意软件分发域名第四部分。
Erik Hjelmvik（来自 Netresec）：Latrodectus 反向连接。
Esentire：黑客今年大肆庆祝节日，以 40% 到 75% 的折扣出售 ChatGPT、Perplexity 和 Gemini 订阅！
F5 Labs：ShellShock 卷土重来，RondoDox 改变策略。
Agapios Tsolakis（来自 Falcon Force）：数据科学如何提升您的检测工程维护并让您免于牧羊。
FalconFeeds：威胁行动者角色扮演：当犯罪团伙伪装成黑客活动分子以掩盖真实意图；浏览器攻击时代的威胁情报：为什么 CTI 必须转向客户端前沿；网络犯罪本地化：威胁行动者如何根据区域文化定制活动。
Flashpoint：超越恶意软件：深入了解一个朝鲜威胁行动者的数字帝国。
Group-IB：更陌生的威胁即将到来：Group-IB 2026年及以后的网络预测；在乌兹别克斯坦打击信贷欺诈：对抗社会工程的艰苦战斗。
HP Wolf Security：HP Wolf Security 威胁洞察报告：2025年12月；攻击者喜欢 Cookie：追踪涉及会话 Cookie 盗窃的数据泄露事件上升。
Hudson Rock：信息窃取器到 APT 的管道：Lazarus 组织如何劫持了一个也门虚假信息网络。
Huntress：强化虚拟机管理程序：针对勒索软件攻击 ESXi 的实用防御；AI 投毒与 AMOS 窃取程序：信任如何成为 Mac 最大的威胁；积极利用 Gladinet CentreStack/Triofox 不安全加密漏洞。
Infoblox：2025年12月 DNS 威胁态势：三个月回顾。
Pieter Arntz（来自 Malwarebytes）：GhostFrame 网络钓鱼工具包助长针对数百万用户的广泛攻击。
Microsoft Security：Shai-Hulud 2.0：检测、调查和防御供应链攻击的指南。
Oleg Skulkin（来自 ‘Know Your Adversary’）： 342. Mshta – 狩猎的重要目标。 343. 勒索软件团伙滥用 SystemSettingsAdminFlows 以逃避防御。 344. 攻击者为他们的武器库添加了另一个取证工具。 345. 攻击者就是这样从受感染系统中移除指示器。 346. 狩猎可疑用户账户。 347. 攻击者修改注册表以抑制系统恢复和分析。
Pepe Berba：反编译仅运行的 AppleScript。
Picus Security：APT28 网络威胁概况和详细 TTP；APT15 网络间谍活动：活动与 TTP 分析。
Push Security：分析复杂的 Google 恶意广告攻击；ConsentFix：浏览器原生 ClickFix 劫持 OAuth 授权。
Recorded Future：GrayBravo 的 CastleLoader 活动集群针对多个行业；俄罗斯-印度-中国三边合作的影响；巴勒斯坦行动：行动与全球网络。
Red Canary：超越炸弹：当攻击者自带虚拟机以实现持久化；Bun 搞定：Shai-Hulud 蠕虫的第二次来临。
Salvation DATA：CDN 取证：如何揭示现代内容分发网络背后的真实 IP 地址。
SANS 互联网风暴中心：CVE-2024-9042（Kubernetes OS 命令注入）的可能利用变体，（12月10日，星期三）；使用单个 CPU 本地运行 AI Gemma 3，（12月10日，星期三）；滥用 DLL 入口点找乐子，（12月12日，星期五）。
Valery Akulenko 和 Dmitry Sabadash（来自 Securelist）：在网络流量中狩猎 Mythic。
Dakota Cary（来自 SentinelOne）：恶意学徒 | 两位黑客如何从思科学院走向思科 CVE。
Mike Watson（来自 Sysdig）：如何使用运行时行为分析检测多阶段攻击。
System Weakness：[CyberDefenders 报告] BumbleSting（Bumblebee 导致域名被入侵和 Conti 勒索软件）。
The Raven File：REACT2SHELL：在野利用。
Maulik Maheta 和 Chao Sun（来自 Trellix）：静默域劫持：使用 Trellix NDR 检测 DCSync。
Trend Micro：AI 自动化威胁狩猎让 GhostPenguin 走出阴影；网络犯罪的下一阶段：智能体 AI 向自主犯罪操作的转变；SHADOW-VOID-042 使用类似 Void Rabisu 的策略针对多个行业；PureRAT 活动针对求职者，滥用 Foxit PDF 阅读器进行 DLL 侧加载。
Daniel Kelley（来自 Varonis）：Spiderman 网络钓鱼工具包模仿顶级欧洲银行，只需点击几下。
VirusTotal：在 Google Threat Intelligence (GTI) 和 VirusTotal (VT) 中引入保存的搜索：增强协作和效率。
Hassan Khafaji（来自 White Knight Labs）：从 Veeam 到域管理员：真实世界的红队入侵路径。
Gili Tikochinski 和 Yaara Shriki（来自 Wiz）：Gogs 0-Day 在野被利用。

即将到来的活动

Black Hills Information Security：Inside SOC：更智能而非更费力地进行告警分类（与 Tom Dejong 一起）；Talkin’ Bout [infosec] News 2025-12-15 #infosec #news。
Huntress：社区炉边谈话 | 网络保险的演变：重新思考保险供应商名单。
Magnet Forensics：S3:E12 // 我们最喜欢的一些东西：12个为我们带来调查乐趣的取证痕迹。

演示/播客

Behind the Binary by Google Cloud Security：EP20 Windows 内核揭秘：内核设计、EDR 及向 VBS 的转变（与 Pavel Yosifovich 一起）。
BSides Cape Town：BSides Cape Town 2025。
Cellebrite：周二小贴士：101 个速查表。
Cerbero：内存挑战 11：BOughT；内存挑战 12：BlackEnergy。
Cloud Security Podcast by Google：EP255 区分炒作与危险：关于自主 AI 黑客的真相。
Huntress：Tradecraft Tuesday | 您是专家：如何应对家人的网络安全问答。
InfoSec_Bret：IR – SOC293 – 检测到通过 Pastebin 的数据外泄。
John Hammond：信息窃取器恶意软件日志由… AI 分析！？；从端点到身份的黑客攻击（Microsoft 365）：“ConsentFix”。
Magnet Forensics：AI 解读 #7：Magnet Forensics 对 AI 方法的人文一面。
Monolith Forensics：在 Monolith 中添加证据照片。
MSAB：#MSABMonday – XAMN Pro 已删除痕迹；Forensic Fix 第 25 集。
MyDFIR：MYDFIR SOC 社区如何教会我像 SOC 分析师一样思考；SOC 告警分类 | TryHackMe Advent of Cyber 2025 第10天；从零售到网络安全培训 | Oscar 的自学之旅。
Off By One Security：机器身份与攻击路径：配置错误的危险！；机器身份与攻击路径：配置错误的危险！
Parsing the Truth: One Byte at a Time：蘑菇谋杀案第4部分。
Permiso Security：非人类身份（NHI）与 AI – 保护下一个身份时代的安全。
Proofpoint：呵呵呵等一下——那条消息是真的吗？坏圣诞老人正在发送季节性诈骗。
SANS：DFIR Summit Prague 2025。
The Cyber Mentor：直播：HTB Sherlocks！ | 网络安全 | 蓝队。
Three Buddy Problem：合法腐败，React2Shell 利用，双重用途 AI 风险。

恶意软件

Nathan Richards（来自 Bridewell）：融合的勒索软件技术：多阶段攻击分析。
Jordyn Dunk 和 Chetan Raghuprasad（来自 Cisco Talos）：DeadLock 勒索软件攻击背后的新 BYOVD 加载器。
CTF导航：APT-C-26（Lazarus）组织利用 WinRAR 漏洞部署 Blank Grabber 木马的技术分析。
Andrea Draghetti（来自 D3Lab）：深入剖析 BTMOB：对泄露的 Android RAT 生态系统的解析。
Elastic Security Labs：NANOREMOTE，FINALDRAFT 的表亲。
G Data Software：Lumma Stealer：潜伏在 itch.io 和 Patreon 假游戏更新中的危险；浏览器劫持：三项技术研究。
Idan Dardikman（来自 Koi Security）：捕获您屏幕的 VS Code 恶意软件。
Hiroaki Hara（来自 Palo Alto Networks）：01flip：用 Rust 编写的多平台勒索软件。
Petar Kirhmajer（来自 ReversingLabs）：VS Code 扩展使用包含木马的假图片。
Pierre Le Bourhis 和 Jeremy Scion（来自 Sekoia）：配置提取的降临 – 第2部分：解开 QuasarRAT 的配置。
Jim Walter（来自 SentinelOne）：CyberVolk 归来 | 有缺陷的 VolkLocker 带来新功能与成长阵痛。
Seqrite：Operation FrostBeacon：多集群 Cobalt Strike 活动瞄准俄罗斯；具有欺骗性的裁员主题 HR 邮件分发 Remcos RAT 恶意软件；Operation MoneyMount-ISO — 通过 ISO 挂载的可执行文件部署 Phantom Stealer。
Shubho57：分析一个归属为 Mysterious Elephant 的未知样本。
Sophos：部署 Warlock 勒索软件的 GOLD SALEM 技术。
Puja Srivastava（来自 Sucuri）：伪装成 JavaScript 数据文件的 WordPress 自动登录后门。
Gladis Brinda R 和 Ashwathi Sasi（来自 ZScaler）：BlackForce 网络钓鱼工具包的技术分析。

其他

Adam Hachem（来自 Hexordia）：宣布推出 Evanole 虚拟机。
Belkasoft：防止数据泄露：支持离线优先的 DFIR 与 Belkasoft X。
Brett Shavers（来自 DFIR.Training）：可启动的取证操作系统不是虚拟机。
Fabian Mendoza（来自 DFIR Dominican）：DFIR 职位更新 – 2025/12/08。
Forensic Focus：数字取证职位汇总，2025年12月08日；SYTECH 总监呼吁增加资金以改善对入门犯罪的早期干预；保护数字证据：最佳实践与 ISO/IEC 17025 的关键作用；描绘证据：使用 Exterro Imager Pro 助力调查；S21 VisionX 聚焦：第2周 – 自动化、优先级排序和更快的证据发现；数字取证汇总，2025年12月10日；从提取到分析：MSAB 2025年第四季度创新，实现更快更智能的调查；爱达荷州谋杀案：从行为线索到 AI 在数字取证中的作用；Cellebrite 完成对 Corellium 的收购，揭开业界最先进的 AI 驱动数字调查产品组合；Oxygen Remote Explorer v.2.0.1 现已发布！；Forensic Focus 文摘，2025年12月12日。
Howard Oakley（来自 ‘The Eclectic Light Company’）：谁决定隔离文件？
LockBoxx：课程回顾：Certified CyberDefender – 事件响应选修模块。
Magnet Forensics：非活动计时器时代的证据保存：当时间成为威胁时；工作留下的痕迹——以及我为何仍然为之奋斗。
Tryfon Skandamis（来自 NVISO Labs）：使用 Ansible 和 GitHub Actions 大规模管理 SIEM 日志收集器 – 第1部分。
OSINT Team：最佳数字取证框架。
TobyG（来自 sentinel.blog）：使用模型上下文协议查找和编写 KQL 查询。
VMRay：发现最佳事件响应工具：2026年全面指南。

软件更新

MISP：MISP v2.5.30 和 v2.5.29 发布：Beta UI/UX 模式、新工作流模块和性能增强。
MSAB：2025年第四季度主要版本现已发布。
MuSecTech：在 AChoirX 中附加嵌入式工具包。
OpenCTI：6.9.0。
Xways：X-Ways Forensics 21.3 SR-13；X-Ways Forensics 21.4 SR-9；X-Ways Forensics 21.5 SR-11；X-Ways Forensics 21.6 SR-3；杂项；X-Ways Forensics 21.7 预览版 5。
Yogesh Khatri：mac_apt 20251206；spotlight_parser v1.0.4。

结语

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或在社交媒体上联系我！