Posted in威胁分析
多层嵌套下的隐蔽袭击:银狐木马LuaJIT变种攻击链分析
概述
近期,瑞星通过自动化沙盒捕获到一个银狐家族的最新变种样本。该变种关联的攻击活动目标明确,攻击链高度复杂且极具迷惑性,其在沿用银狐家族传统手法——多层安装包嵌套(NSIS+Inno Setup)、内存反射加载、隐蔽进程注入及DLL侧加载(白加黑)——的基础上,新增了Lua脚本作为中间攻击组件以投递RAT载荷,并利用TypeLib劫持实现持久化驻留。
Posted in威胁分析
供应链攻击盯上AI公司:智谱AI输入法官网下载链接被植入病毒
概述
瑞星威胁情报平台在2026年6月1日的威胁狩猎中发现智谱AI输入法官网提供的Windows版的下载链接下载到的软件安装包被替换为了包含病毒的版本,疑似遭遇供应链攻击。事件发生后,智谱官方迅速采取应对措施,于当晚在官网下架Windows版智谱AI输入法的下载入口,且相关下载链接指向的文件目前已替换为带有有效数字签名的正常版本,有效阻断了恶意安装包的进一步传播。
Posted in威胁分析
2026年5月:俄乌战争诱饵下的多阶段远控后门攻击链分析
概述
2026年5月瑞星威胁情报平台捕获到了一起以俄乌战争与欧盟制裁为诱饵的高度定向多阶段攻击事件。攻击者将初始载荷伪装成欧盟官方制裁政策文件,利用涉外人员对政策文件的信任心理作为切入点,在受害者机器上逐步推进并最终植入一个Go语言编写的持久化远控后门。
Posted in威胁分析
偷梁换柱——JDownloader官网供应链攻击深度剖析
概述
近日瑞星威胁情报平台捕获到一起针对开源下载管理器JDownloader官方网站的供应链攻击事件。攻击者利用官网CMS系统中的未修补漏洞,将官方下载页面中的安装程序链接替换为指向第三方恶意服务器的重定向地址,向用户投递以PyArmor 8+加密保护的基于Python 3.14的后门木马。Windows版本直接以脚本形式投递,Linux版本则通过PyInstaller打包为ELF二进制文件分发并具备root级持久化机制。此次攻击利用用户对官方分发渠道的信任,属于典型的网站级软件供应链攻击。