ShadowPad,CobaltStrike 在 APT41 攻击中被部署 媒体
中国APT41骇客组织的网络攻击
主要要点
中国国家赞助的APT41组织利用ShadowPad和Cobalt Strike攻击台湾政府相关的研究机构,盗取资料。APT41利用Web Shell和旧版Microsoft Office IME程式码保持持久性。该组织利用PowerShell脚本和Mimikatz进行密码收集及信息收集。研究人员指出,攻击后骇客会删除入侵所需的Web Shell和访客帐号。根据The Hacker News的报导,涉及ShadowPad和Cobalt Strike的攻击使中国国家赞助的APT41威胁组织成功突破并盗取了台湾一个政府相关的研究机构的数据。
APT41可能在部署有效负载之前,通过部署Web Shell来实现持久化。根据Cisco Talos的分析,ShadowPad利用了一个存在漏洞的旧版Microsoft Office IME二进位档作为下一阶段加载器的跳板,并利用基于反病毒加载器的Cobalt Strike来规避安全工具的隔离系统。
在执行支持ShadowPad和Cobalt Strike操作的PowerShell脚本之外,APT41还利用Mimikatz收集密码及进一步的信息收集活动,研究人员指出,在完成这些活动后,他们随即发布了UnmarshalPwn的有效负载。
shadowrocket小火箭“一旦后门被部署,恶意行为者将删除Web Shell和使其获得初步访问的访客帐号,”研究人员补充道。这些发现跟随著德国对三年前其国家测量机构遭受攻击的指控,德国指责这起事件是中国国家支持的骇客所为,而中国则否认这一指控。
Windows NTLM 令牌通过强制认证漏洞进行外泄的可能性 媒体
2025-08-18 14:43:49
Windows NT LAN Manager Tokens可能面临新攻击关键要点攻击者可利用自定义的Microsoft Access文件,通过强制身份验证来窃取Windows NT LAN Manager (NTLM) 令牌。该攻击利用Access的链接表功能,可以将指向远程SQL Server数据...
PHP 更新迫在眉睫,因为存在可能导致远程代码执行RCE的严重漏洞 媒体
PHP 安全漏洞更新建议关键点总结PHP 838 版本修复了一个重要的远程接管漏洞CVE20244577。漏洞主要影响在特定配置下暴露 CGI 的服务器或个人电脑。建议所有管理员立即更新到最新版本,同时考虑使用更现代的解决方案如 ModPHP、FastCGI 或 PHPFPM。除此次漏洞外,还有其他...