APT组织 - 我当黑客那几年(AiRedTeam)

登录

APT组织

A collection of 6 posts

三角行动再现：Coruna框架深度解析——iOS零日漏洞利用链升级版

Kaspersky深度分析Coruna框架——Operation Triangulation的升级版iOS漏洞利用包。该工具包利用CVE-2023-32434和CVE-2023-38606等零日漏洞，采用统一模块化设计，支持多版本iOS内核利用，已被用于水坑攻击和间谍活动。了解攻击链、IOCs和缓解措施。

深夜Slack警报：AI监控工具如何捕获Axios供应链攻击

Elastic安全研究员通过自建AI监控工具，在npm生态中实时捕获了Axios供应链攻击。攻击者利用窃取的维护者账号发布恶意版本，植入后门依赖plain-crypto-js并通过postinstall钩子部署跨平台恶意软件。本文深度还原发现过程、技术细节与缓解建议。

Axios供应链攻击深度分析：朝鲜黑客植入跨平台RAT，波及全球多行业

🎯 Critical APT组织 Palo Alto Unit42披露了一起严重的供应链攻击，攻击者劫持了流行JavaScript库Axios维护者的npm账号，发布了两个恶意版本（v1.14.1和v0.30.4）。这些版本通过植入隐藏依赖plain-crypto-js，在安装时触发后门脚本，针对Windows、macOS和Linux系统部署远程访问木马（RAT），并与朝鲜黑客组织（WAVESHAPER）存在关联。来源：Palo Alto Unit42 | 2026-04-01 | 原文链接 🔍 关键发现 * 攻击者通过劫持Axios维护者的npm账户，发布了两个恶意版本，但未修改Axios源代码，而是通过注入plain-crypto-js依赖实现攻击。 * 恶意依赖利用npm的postinstall生命周期钩子执行高度混淆的Node.js dropper，该dropper采用双层编码（字符串反转、Base64和XOR加密）隐藏操作。 * dropper根据操作系统下载不同平台的RAT载荷：macOS使用C++编译的Mach-O二进制，Windows使用Power

伊朗网络威胁升级：47天断网后恢复，关键基础设施与金融欺诈成攻击焦点

🎯 Critical APT组织 2026年2月底美以联合军事行动后，伊朗发动多向量报复性网络攻击，并在47天断网后于4月17日有限恢复互联网接入。Unit 42发现伊朗威胁组织CL-STA-1128（又称Cyber Av3ngers）转向攻击罗克韦尔自动化OT/ICS设备，同时大规模冲突主题钓鱼、金融欺诈和加密货币骗局针对中东地区企业及消费者。来源：Palo Alto Unit42 | 2026-04-17 | 原文链接 🔍 关键发现 * 伊朗威胁组织CL-STA-1128（Cyber Av3ngers）从Unitronics PLC转向攻击罗克韦尔自动化OT/ICS设备，使用FactoryTalk软件进行利用。 * 自4月1日起，全球5600个IP地址暴露罗克韦尔/艾伦-布拉德利SCADA设备；伊朗IP空间每日服务量从2.5万激增至约30万。 * 攻击者注册数千个冲突主题域名，针对阿联酋、沙特阿拉伯等地区实施企业凭证窃取、账单欺诈和加密货币骗局。 ⚔️ 攻击链分析 1. 注册冲突主题域名并搭建仿冒企业门户/支付系统；2. 通过AI增强的鱼叉式钓鱼邮件或短

Silver Fox 组织利用新型 ABCDoor 后门攻击俄罗斯与印度税务机构

🎯 High APT组织 Silver Fox 威胁组织在2025年底至2026年初发起两波钓鱼邮件攻击，分别针对印度和俄罗斯的税务机构。攻击者使用修改版 RustSL 加载器部署 ValleyRAT 后门，并发现其利用新插件分发此前未公开的 Python 后门 ABCDoor。该活动已影响工业、咨询、零售和运输等多个行业，记录恶意邮件超过1600封。来源：Ars Technica Security | 2026-04-30 | 原文链接 🔍 关键发现 * Silver Fox 组织使用伪装成税务通知的钓鱼邮件，诱导用户下载含恶意载荷的压缩包。 * 攻击者采用基于 Rust 的开源加载器 RustSL 的定制版本，新增 steganography.rs 模块实现自定义 XOR 解密与载荷提取。 * 发现此前未记录的 Python 后门 ABCDoor，作为 ValleyRAT 的插件分发，自2024年底即已存在并持续活跃。 * 定制版

K8s安全警报：云身份窃取成APT新宠，282%攻击增长背后的暗流

🎯 Critical APT组织 Palo Alto Unit42报告显示，Kubernetes相关威胁活动一年内激增282%，攻击者利用服务账户令牌窃取和公开应用漏洞（如CVE-2025-55182）实现容器逃逸与横向移动。以朝鲜APT组织Slow Pisces（Lazarus）为例，通过社工获取云凭证后，在K8s集群中部署恶意Pod窃取令牌，最终攻破加密货币交易所后端系统，盗取数百万美元。来源：Palo Alto Unit42 | 2026-04-06 | 原文链接 🔍 关键发现 * Kubernetes相关威胁活动一年内增长282%，IT行业占被攻击目标的78%以上。 * 22%的云环境中观察到服务账户令牌窃取相关可疑活动，成为横向移动关键跳板。 * CVE-2025-55182（React2Shell）在公开后两天内即被用于攻击云服务，实现容器内命令执行。 ⚔️ 攻击链分析 1. 通过鱼叉式钓鱼或利用公开应用漏洞（如CVE-2025-55182）获得初始访问权限 → 2. 在容器内枚举环境并窃取挂载的服务账户令牌 → 3. 利用令牌测试K8s API

        [!] CONTACT_CHANNELS
        
        如需商务合作、技术咨询或漏洞反馈，请通过以下离岸节点联系作者。
    
        > PING_AUTHOR (@A1RedTeam)