Posted in威胁分析
2026年5月:俄乌战争诱饵下的多阶段远控后门攻击链分析
概述
2026年5月瑞星威胁情报平台捕获到了一起以俄乌战争与欧盟制裁为诱饵的高度定向多阶段攻击事件。攻击者将初始载荷伪装成欧盟官方制裁政策文件,利用涉外人员对政策文件的信任心理作为切入点,在受害者机器上逐步推进并最终植入一个Go语言编写的持久化远控后门。
Posted in漏洞预警
CVE-2026-41089漏洞预警
概述
近日,微软发布安全更新修补了位于Windows Netlogon服务中的基于栈的缓冲区溢出高危漏洞,CVE编号为CVE-2026-41089。当活动目录域控制器在处理无连接轻量级目录访问协议(CLDAP)的搜索请求时,其DC定位器ping响应句柄未对数据边界进行有效检查,导致远程未授权的攻击者可以通过向目标域控制器的UDP 389端口发送单个精心构造的CLDAP数据包,直接引发本地安全机构子系统服务(LSASS)进程崩溃,并迫使域控制器发生强制重启。该漏洞的成功触发具有特定前置条件,即目标域控制器必须配置有较长的DNS域名(50个字符以上)。
Posted in威胁分析
偷梁换柱——JDownloader官网供应链攻击深度剖析
概述
近日瑞星威胁情报平台捕获到一起针对开源下载管理器JDownloader官方网站的供应链攻击事件。攻击者利用官网CMS系统中的未修补漏洞,将官方下载页面中的安装程序链接替换为指向第三方恶意服务器的重定向地址,向用户投递以PyArmor 8+加密保护的基于Python 3.14的后门木马。Windows版本直接以脚本形式投递,Linux版本则通过PyInstaller打包为ELF二进制文件分发并具备root级持久化机制。此次攻击利用用户对官方分发渠道的信任,属于典型的网站级软件供应链攻击。
Posted in威胁分析
环境感知与按需投递:银狐木马下载器分析报告
概述
近期瑞星接到用户反馈的疑似银狐木马样本,经过分析确认,该样本是一个伪装成票务工具,是一个具备环境感知与按需投递能力的下载器,最终将下载易语言编写的模块化的银狐木马并执行。样本采用多阶段投递的方式,逐层按需落地恶意载荷。Payload执行后,并非立即窃取数据,而是优先完成对目标主机的深度环境画像,采集多种目标主机的内容,基于采集结果,恶意程序会动态评估目标价值,针对具备特定条件的机器,差异化下发特定恶意模块,实现按需精准操作的同时,大大的减少非任务代码暴露,增加分析难度。