Week 48 – 2025 – This Week In 4n6

您的每周数字取证与事件响应新闻汇总。

本期内容

赞助内容：Salesloft-Drift 泄露事件内幕

• Inside the Salesloft-Drift Breach: What It Means for SaaS & Identity Security 在本期节目中，Permiso 公司的首席技术官将探讨： – 攻击者如何利用窃取的 OAuth 令牌从 GitHub 转移到 AWS，再进入 Salesforce。 – 为何这种“全自动”攻击对 SaaS 供应链和 NHIs 是一次警钟。 – 在您自己的环境中检测和遏制类似威胁的实用步骤。 观看视频播客 由 Permiso 赞助

一如既往，感谢那些给予一点回报以表支持的人们！

数字取证分析

• Ahmed Moaz: ADS Forensics
• Akash Patel: 利用免费工具简化 BEC 案件和云日志分析：Microsoft-Extractor-Suite 和…
• Belkasoft: RAM 取证：工具、技术与最佳实践
• Forensafe: Android 应用程序操作
• Nicholas Dubois at Hexordia: 气泡背后：Apple 的 iMessage 查询的隐私与安全
• Invictus Incident Response: 我们差点被黑客攻击的故事
• Magnet Forensics: 当 Windows 休眠并为您留下证据时：深入 hiberfil.sys
• Matthew Plascencia: 空中的数据
• ThinkDFIR: 关于 USB 注册表键中任意值的问题
• Mark R at you sneakymonkey!: 云元数据 – AWS IAM 凭据滥用

威胁情报/狩猎

Shai-Hulud 2.0

• Shai Hulud 再次来袭，攻击 Zapier、Ensdomains
• Shai-Hulud 2.0：内幕揭秘，2025 年最激进的 NPM 供应链攻击
• Shai-Hulud 2.0 npm 蠕虫：分析及您需要了解的信息
• Shai-Hulud 2.0：超过 14,000 个秘密暴露
• 332. 这就是 Shai-Hulud 2.0 提升权限的方式
• Shai-Hulud 的回归：NPM 供应链妥协的“第二次降临”
• 防御 Sha1-Hulud：第二次降临
• SHA1-Hulud，npm 供应链事件
• Shai Hulud 再次来袭 (v2)
• Shai-Hulud 蠕虫的回归影响超过 25,000 个 GitHub 仓库
• Shai-hulud 2.0 活动针对云和开发者生态系统
• Shai-Hulud：当供应链事件变成蠕虫 (Lucie Cardiet)
• Shai-Hulud 2.0 供应链攻击：25K+ 仓库暴露秘密

其他情报

• Hitesh Duseja at Altered Security: Pass-The-Cert 永存：复兴在 Entra ID 加入设备间横向移动的经典演绎
• Arctic Wolf: 俄罗斯 RomCom 利用 SocGholish 向支持乌克兰的美国公司投递 Mythic Agent
• Andrea Chiarelli at Auth0: 揭秘 OAuth 安全：State vs. Nonce vs. PKCE
• Bitdefender: – 韩国泄露事件 – 分析针对韩国金融服务、使用 Qilin RaaS 的混合地缘政治活动 – 勒索软件经济在中端市场蓬勃发展
• Blu Raven Academy: 使用简单方法检测 Cobalt Strike HTTP(S) Beacons
• Brian Krebs at ‘Krebs on Security’: – 您的 Android TV 流媒体盒是僵尸网络的一部分吗？ – 认识 Rey，“Scattered Lapsus$ Hunters”的管理员
• CERT-AGID: – 为进行钓鱼活动模拟的管理部门提供的建议 – 2025 年 11 月 22 – 28 日恶意活动总结 – 智能代理与网络安全：CERT-AgID 分析上线
• Check Point: – 11 月 24 日 – 威胁情报报告 – GhostAd：隐藏的 Google Play 广告软件耗尽设备资源并干扰数百万用户
• Roshan at Confiant: 幽灵商店：零售假冒在黑色星期五前通过视频广告和模块化…传播
• Cybersec Sentinel: – 通过 Matrix Push C2 进行的浏览器通知劫持 – Xillen Stealer v5 高级凭据窃取和加载器平台
• Cyfirma: 每周情报报告 – 2025 年 11 月 28 日
• Andrea Draghetti at D3Lab: 在意大利检测到的首次针对 Klarna 的钓鱼活动
• Daniel Koifman: 介绍 LUMEN：您的 EVTX 伴侣
• Dark Atlas: Smishing Triad 针对埃及金融部门和邮政服务
• Darktrace: – CastleLoader & CastleRAT：TAG150 模块化恶意软件投递系统的背后 – 从亚马逊到路易威登：Darktrace 如何检测黑色星期五钓鱼攻击
• Disconinja: 每周威胁基础设施调查（第 47 周）
• Malcolm Heath at F5 Labs: 追踪 RondoDox：利用众多物联网漏洞的恶意软件
• FalconFeeds: 威胁情报简报：Scattered LAPSUS$ Hunters (SLSH)
• g0njxa: 接近窃密程序开发者：与 XFILES (DeerStealer) 的简短访谈
• Amirbek Kurbanov and Volen Kayo at Group-IB: Bloody Wolf：对司法系统的粗暴威胁
• Intrinsec: – 隐藏威胁 – GPO 横向移动 – 针对俄罗斯航空航天工业的活动
• Isaac Dunham: Microsoft Sentinel 中的基于风险的警报
• Itsec: 追踪 UNC5337：对持续性网络威胁行为者的调查研究
• Kroll: 付出代价：增强零售业对 Scattered Spider 和 Cl0p 的抵御能力
• Micah Babinski: 检测恶意的 ArcGIS 服务器对象扩展
• Idan Cohen at Mitiga: Scattered Lapsus$ Shiny Hunters 再次攻击 Salesforce
• Nariman Gharib: Department 40 曝光：连接网络行动与暗杀的 IRGC 部门内幕
• Nextron Systems: – Thor vs. Silver Fox – 揭露并击败复杂的 ValleyRat 活动 – 在市场中发现冒充“Material Icon Theme”的恶意 VS Code 扩展 – 对恶意 VS Code 扩展中发现的 Rust 植入程序的分析
• Kristof Baute at NVISO Labs: 检测工程：实践检测即代码 – 调优 – 第 8 部分
• Oleg Skulkin at ‘Know Your Adversary’: – 327. 对手使用 Shell 图标覆盖处理器进行持久化 – 328. 对手使用 PowerCat 进行反向 Shell – 329. 对手使用 Blender 3D 文件投递窃密程序 – 330. 对手使用 Windows 事件日志进行发现 – 331. 对手持续滥用 Microsoft Management Console – 333. 对手使用多个 LOLBIN 进行入口工具传输
• Picus Security: – Fog 勒索软件 2025：TTPs 深度剖析 – APT41 网络攻击：历史、行动和完整 TTP 分析 – Olymp Loader：2025 年新兴的恶意软件即服务威胁
• Recorded Future: Salesforce-Gainsight 安全事件：您需要了解的信息
• Red Canary: 以下是您在 Office Hours 上错过的内容：2025 年 11 月
• SANS Internet Storm Center: – YARA-X 1.10.0 发布：修复警告，(Sun, Nov 23rd) – URL 映射和基于 URL 的访问控制之间的冲突，(Mon, Nov 24th)
• Thomas Roccia at SecurityBreak: GenAI x Sec Advent（2025 版）
• sentinel.blog: – 将 UniFi 网络监控集成到 Microsoft Sentinel – 在 Microsoft Sentinel 中扩展 UniFi 监控：工作簿和分析规则
• Simone Kraus: Ivanti 后渗透横向移动 — 分析与检测
• Snyk: Snyk Log Sniffer：面向安全领导者的 AI 驱动审计日志洞察
• SOCRadar: – 暗网简介：Berserk Bear – Morte Loader 内幕：Loader as a Service 如何构建现代僵尸网络 – 暗网简介：ByteToBreach
• System Weakness: 数字取证与事件响应 - Velociraptor [MCP 入侵与滥用案例]
• Sydney Marrone at THOR Collective Dispatch: Dispatch 简报：2025 年 11 月
• Jacob Baines at VulnCheck: 区域性利用行动背后的神秘 OAST 主机
• Sapir Federovsky at Wiz: 本月发现的 3 种 OAuth TTPs — 以及如何使用 Entra ID 日志检测它们
• Palo Alto Networks: – AI 的双重用途困境：恶意的 LLMs – 黄金天平：‘Tis the Season for Unwanted Gifts

即将到来的事件

• Magnet Forensics: – Cyber Unpacked S2:E5 // 双时间线的故事 – 当证据时间至关重要时 – 介绍 Magnet One Mobile Case Stream

演示/播客

• Black Hills Information Security: Talkin’ Bout [infosec] News 2025-11-24 #infosec #news
• Hunter Wade at Black Hills Information Security: 滥用 Impacket 中的委派（第 3 部分）：基于资源的约束委派
• Cellebrite: 周二小贴士：单一应用程序
• Erik Pistelli at Cerbero: 内存挑战 9：BankingTroubles
• Gerald Auger at Simply Cyber: 我如何在无工作的情况下获得 SOC 分析师经验（内含实际简历要点）
• InfoSec_Bret: IR – SOC344 – 通过 EDR-Freeze 进行的 EDR 篡改尝试
• John Hammond: – Wazuh 为一切提供可见性 – 键盘记录恶意软件分析 – 2025 年网络犯罪现状第 2 部分（与 Nick Ascoli 一起！） – NPM 恶意软件现在有多个目标！
• Magnet Forensics: – 云上还是本地？为何不兼得 — 探索新的 Nexus 混合代理 – Mobile Unpacked S3:E11 // 分析应用程序的生命周期
• Monolith Forensics: 案例文件系统概述
• MSAB: #MSABMonday – XAMN Pro 深度剖析
• MyDFIR: – 初学者友好型 SOC 分析师训练方式 – 从零 IT 经验到 SOC 分析师的 18 个月历程 – Paul 赢得了他第一次 CTF，然后轻松通过了面试评估 – MYDFIR SOC 社区 | 黑色星期五特惠
• Off By One Security: 模拟 APTs：构建和部署 Bootkits & Rootkits
• Parsing the Truth: One Byte at a Time: Mushroom Murders 第 2 部分
• Sandfly Security: – Sandfly 操作 – 添加 Linux 主机以实现无代理保护 – 安装 Sandfly 以无代理方式保护您的 Linux 系统
• SANS Cloud Security: 超越基础：云防御者需要了解的知识
• SentinelOne: LABScon25 回放 | 模拟遇见现实：中国的网络靶场如何推动网络行动
• THE Security Insights Show: THE Security Insights Show 第 280 集：火鸡节木马
• Three Buddy Problem: Shai-Hulud 2.0、俄罗斯 GRU 入侵和微软的监管俘获

恶意软件

• 0day in {REA_TEAM}: [快速分析] 冒充税务机关传播恶意软件的钓鱼活动
• Adam at Hexacorn: Enter Sandbox 31：Web Shells
• Any.Run: 2025 年 11 月主要网络攻击：XWorm、JSGuLdr Loader、Phoenix 后门、移动威胁等更多内容
• Cyble: RelayNFC：针对巴西的新型 NFC 中继恶意软件
• Dexpose: 深入 Valkyrie Stealer：功能、规避技术和操作者画像
• Fortinet: ShadowV2 给物联网设备蒙上阴影 | FortiGuard 实验室
• hasherezade’s 1001 nights: Flare-On 12 – 任务 8
• Ben Folland and Anna Pham at Huntress: ClickFix 发挥创意：隐藏在图片中的恶意软件
• Jamf: FlexibleFerret 恶意软件持续攻击
• Shmuel Uzan at Morphisec: Morphisec 挫败了针对 Blender 用户、通过恶意 .blend 文件进行的与俄罗斯相关的 StealC V2 活动
• Patrick Wardle at Objective-See: 在 macOS 上恢复反射式代码加载（第二部分）
• Securelist: – 旧技术，新漏洞：NTLM 滥用，2025 年持续利用 – Tomiris 肆虐：APT 组织的新工具和技术
• Ayush Anand at Securityinbits: 如何为 Elasticsearch SIEM 设置 Sigma 规则
• Shubho57: APT28 变种（Muddywater）分析
• Socket: – 恶意 Chrome 扩展向 Solana 交换注入隐藏的 SOL 费用 – 支持朝鲜“传染性面试” npm 攻击的 GitHub 基础设施内幕
• Jason Reaves at Walmart: 利用 ChatGPT 解码 Astaroth 字符串
• Suraj Mundalik at ZScaler: Zscaler 威胁狩猎发现并重建了一场复杂的 Water Gamayun APT 组织攻击
• بانک اطلاعات تهدیدات بدافزاری پادویش: Hacktool.Win32.Nimplant

其他杂项

• Adam at Hexacorn: – ShellAbout 函数的一个略显傻气的 rundll-ish 功能… – 更多隐藏的 Phantom DLLs
• Belkasoft: Belkasoft 客户调查 2025
• Steven Alexander at Cybersecurity Oversight: 对手速度持续加快
• Josibel Mendoza at DFIR Dominican: DFIR 职位更新 – 2025年11月24日
• Elan at DFIR Diva: – 免费和实惠培训新闻：黑色星期五 2025 版 – 我的 Alias by SockPuppet 使用体验
• Oleg Afonin at Elcomsoft: – 利用用户档案进行更智能的密码攻击 – GPU 加速十八年
• Michael Karsyan at Event Log Explorer blog: 在 PowerShell 中改进事件日志过滤
• Forensic Focus: – 深入 FTK Imager Pro：供应商中立的取证、更智能的 AI 以及 Exterro 的取证愿景 – 数字取证职位汇总，2025 年 11 月 24 日 – Detego Global 为数字取证和事件响应团队推出专用案件管理平台 – 即将举行的网络研讨会 – S21 VisionX 发布 – Techno Security & Digital Forensics Conference West 总结 – Oxygen Review Center：一种更快速、更智能的数字证据审查方式 – 数字取证汇总，2025 年 11 月 26 日 – 暴力破解之旅：从 GPU 主导到 CPU 主力再回归 – Oxygen Forensic KeyScout 有什么酷炫之处？ – 完全访问、免费培训、大额折扣：Semantics 21 揭秘黑色星期五套餐 – Forensic Focus 文摘，2025 年 11 月 28 日 – Atola 在 TaskForce 2025.11 中引入 ZFS 和 LDAP 支持
• GreyNoise: 您的 IP 地址可能是别人的问题（以及如何查明）
• Howard Oakley at ‘The Eclectic Light Company’: 深入统一日志 8：查找错误
• Doug Metz at Magnet Forensics: 连接网络安全与取证：为何现代 SOC 需要包含 DFIR
• Siddhant Mishra: 让您的 SOC 走出混乱区域
• Studio d’Informatica Forense: – 为 Le Iene 进行 U 盘取证分析和 Word 元数据分析 – 随 Le Iene 追踪黑客 Noemi 的跟踪者

软件更新

• Sergiy Pasyuta at Atola: TaskForce 2025.11 更新：ZFS 支持 + LDAP 认证
• Ahmed K. Ali: Seshat EVTX 分析器
• Amped: Amped Replay 更新 39248：进入辅助视频编辑领域！
• Cwrw: CommandHunter
• Digital Sleuth: winfor-salt v2025.14.7
• hasherezade: tiny_tracer 3.2
• IsoBuster: IsoBuster 5.7 发布
• MISP: MISP v2.5.27 – 发布新功能和各种修复
• OpenCTI: 6.8.14
• Passmark Software: OSForensics V11.1 build 1013 2025年11月25日
• radare2: 6.0.7
• Sigmar: 2025-12-01
• SigmaHQ: pySigma v1.0.1
• Tsurugi Linux: 2025年11月24日（发布 25.11）
• XingTuLab: Recopilot 0.2

本周内容到此结束！如果您觉得我遗漏了什么，或者希望我专门报道某个内容，请通过联系页面或社交媒体联系我！

使用代码 PM15 或点击此链接，在 Hexordia 下一堂课享受 15% 折扣。和我一起上课吧！使用折扣码 thisweekin4n6，在 Cyber5w 的任何课程中享受 15% 的折扣。