1月，绿盟科技威胁情报中心（NTI）发布了多个漏洞和威胁事件通告，包含Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)通告、Windows LDAP拒绝服务漏洞（CVE-2024-49113）通告、Fortinet FortiOS&FortiProxy身份验证绕过漏洞(CVE-2024-55591)通告、微软1月安全更新多个产品高危漏洞通告、Rsync缓冲区溢出与信息泄露漏洞（CVE-2024-12084/CVE-2024-12085）通告等。

绿盟科技CERT监测到微软发布1月安全更新补丁，修复了159个安全问题，涉及Windows、Microsoft Office、Microsoft Visual Studio、Azure、Microsoft Dynamics、Microsoft Edge等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。

本月的威胁事件中包含，Cloud Atlas在其攻击中使用了新工具、PSLoramyra：无文件恶意软件加载程序的技术分析、Kimsuky Threat Actor的电子邮件网络钓鱼活动分析和Ducktail家族所用恶意软件披露等事件。

以上所有漏洞情报和威胁事件情报、攻击组织情报，以及关联的IOC，均可在绿盟威胁情报中心获取，网址：https://nti.nsfocus.com/

一、 漏洞态势

2025年01月绿盟科技安全漏洞库共收录166个漏洞, 其中高危漏洞14个，微软高危漏洞13个。

* 数据来源：绿盟科技威胁情报中心，本表数据截止到2025.02.14

注：绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等；

二、 威胁事件

1. Cloud Atlas在其攻击中使用了新工具

【标签】CVE-2018-0802

【时间】2025-01-17

【简介】

2024年12月23日，研究人员发现一个以前未记录的工具集，Cloud Atlas组织在2024年大量使用了该工具集。受害者通过网络钓鱼电子邮件感染，其中包含恶意文档，该文档利用公式编辑器（CVE-2018-0802漏洞）下载并执行恶意软件代码。

【参考链接】

Cloud Atlas seen using a new tool in its attacks

【防护措施】

绿盟威胁情报中心关于该事件提取4条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

2. PSLoramyra：无文件恶意软件加载程序的技术分析

【标签】PSLoramyra

【时间】2025-01-17

【简介】

2024年11月27日，监测发现一种称为PSLoramyra的恶意加载程序。这种高级恶意软件利用PowerShell、VBS和BAT脚本将恶意负载注入系统，直接在内存中执行它们，并建立持久访问。

【参考链接】

https://any.run/cybersecurity-blog/psloramyra-malware-technical-analysis/

【防护措施】

绿盟威胁情报中心关于该事件提取6条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

3. Kimsuky Threat Actor的电子邮件网络钓鱼活动分析

【标签】Kimsuky

【时间】2025-01-17

【简介】

2024年12月6日，研究人员发现威胁行为者Kimsuky多年来一直以朝鲜研究人员和相关组织为目标，试图劫持账户

【参考链接】

https://www.genians.co.kr/blog/threat_intelligence/kimsuky-cases

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

4. Ducktail家族所用恶意软件披露

【标签】Ducktail

【时间】2025-01-13

【简介】

2025年1月9日，国外社交平台披露Ducktail家族所用C2 domain及恶意软件

【参考链接】

https://x.com/suyog41/status/1877167622896206312

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

5. Stealer组织所用恶意软件披露

【标签】Stealer

【时间】2025-01-13

【简介】

2025年1月8日，国外社交平台披露Stealer组织所用恶意软件

【参考链接】

https://x.com/suyog41/status/1876975308810678344

【防护措施】

绿盟威胁情报中心关于该事件提取1条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

6. KEYPLUG家族所用恶意软件披露

【标签】KEYPLUG

【时间】2025-01-13

【简介】

2025年1月8日，国外社交平台披露KEYPLUG家族所用C2及恶意软件

【参考链接】

https://x.com/Cyberteam008/status/1876819353611411963

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

7. Sidewinder组织所用恶意软件披露

【标签】Sidewinder

【时间】2025-01-13

【简介】

2025年1月10日，国外社交平台披露Sidewinder组织所用恶意软件

【参考链接】

https://x.com/ginkgo_g/status/1877604805612548507

【防护措施】

绿盟威胁情报中心关于该事件提取2条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

8. Patchwork组织所用恶意软件披露

【标签】Patchwork

【时间】2025-01-13

【简介】

2025年1月10日，国外社交平台披露Patchwork组织所用恶意软件

【参考链接】

https://x.com/wa1Ile/status/1877608314239934635

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

9. 警惕！假冒社会保障局邮件链接暗藏ConnectWise RAT木马

【标签】ConnectWise RAT

【时间】2025-01-10

【简介】

2024年9月出现了一场冒充美国社会保障局的网络钓鱼活动，它向电子邮件发送嵌入了ConnectWise远程访问木马(RAT)安装程序链接的电子邮件。这些电子邮件伪装成更新的福利声明，采用了各种技巧，包括不匹配的链接和“查看声明”按钮，以欺骗收件人。它最初利用ConnectWise基础设施进行命令和控制(C2)，但后来转变为动态DNS服务和威胁行为者托管的域。

【参考链接】

Hackers Mimic Social Security Administration To Deliver ConnectWise RAT

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

10. 黑客滥用AWS泄露的信息进行云狩猎

【标签】EC2 Grouper

【时间】2025-01-06

【简介】

名为“EC2 Grouper”的黑客组织，近年来一直在利用AWS工具以及泄露的凭证对云环境展开狩猎型攻击。在过去的数年里，这个相当活跃的威胁行为主体在数十个客户环境中被发现，这使其成为网络安全专家追踪的最活跃的组织之一。攻击者主要是从与有效账户相关的代码库中窃取凭证。一旦获取这些凭证后，他们就会借助API进行侦察、创建安全组以及配置资源。攻击策略包括调用DescribeInstanceTypes来盘点EC2类型，还会调用DescribeRegions来收集有关可用区域的信息。

【参考链接】

EC2 Grouper Hackers Abusing AWS Tools to Attack With Compromised Credentials

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

11. Ducktail组织所使用的C2服务器以及恶意软件披露

【标签】Ducktail

【时间】2025-01-13

【简介】

2025年1月6日，国外社交平台披露Ducktail组织所使用的C2服务器以及恶意软件

【参考链接】

https://x.com/suyog41/status/1876170401375789494

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

12. Akira组织所用恶意软件hash披露

【标签】Akira

【时间】2025-01-13

【简介】

2024年12月30日，国外安全组织披露Akira组织所使用恶意软件hash

【参考链接】

https://blog.polyswarm.io/2024-recap-malware-hall-of-fame

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

13. Lumma组织所使用的恶意软件披露

【标签】Lumma

【时间】2025-01-13

【简介】

2025年1月6日，国外社交平台披露Lumma组织所使用的恶意软件

【参考链接】

https://x.com/suyog41/status/1876155401408065891

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

14. RansomHub家族所使用的恶意软件hash披露

【标签】RansomHub

【时间】2025-01-13

【简介】

2024年12月30日，国外安全平台披露出RansomHub家族所使用的恶意软件hash

【参考链接】

https://blog.polyswarm.io/2024-recap-malware-hall-of-fame

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

15. 新的“DoubleClickjacking”漏洞可绕过网站的劫持保护

【标签】DoubleClickjacking

【时间】2025-01-03

【简介】

安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”，该漏洞通过利用双击操作来推动点击劫持攻击及账户接管，几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。Yibelo指出：“它并非依赖单一点击，而是利用双击的序列。这看似微小的变化，却为新的UI操控攻击敞开了大门，能够绕过所有现有的点击劫持防护措施，包括X-Frame-Options头部或SameSite: Lax/Strict cookie。”点击劫持，亦称作UI重定向，是一种攻击手段，诱使用户点击看似无害的网页元素（如按钮），进而导致恶意软件的安装或敏感信息的泄露。DoubleClickjacking作为这一领域的变种，它利用点击开始与第二次点击结束之间的时间差来规避安全控制，以最小的用户交互实现账户接管。

【参考链接】

https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。