当前位置：首页 > news >正文

十二月网络安全威胁情报与技术更新解析

news 2026/5/11 19:12:09

威胁情报与研究概述

该威胁情报团队结合数据分析、机器学习（ML）等专有技术，分析全球规模最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报，以驱动有韧性的威胁检测与响应——即使组织的攻击面在扩展、技术在演进、对手在不断改变其战术、技术和程序。

该威胁情报更新提供最新的威胁新闻，包括对某检测产品的最新更新，以及发布在开放式威胁情报交换平台（OTX）上的新威胁情报，OTX是全球最大的开放威胁情报共享社区之一。

追踪、检测与狩猎能力

该威胁情报团队创建了以下对手追踪器，以自动识别和检测部署的恶意基础设施：ClearFake， ValleyRAT， SystemBC， PureLogs， TinyLoader。此外，以下追踪器得到了更新：StealC， Tycoon2FA，和 XWorm。

ClearFake是一种部署在受感染网站（最常见的是WordPress）上的恶意JavaScript框架，用于传递欺骗性的浏览器更新提示和虚假验证页面，例如FakeCAPTCHA。该恶意软件依赖一个庞大且快速移动的基础设施。自本月初被添加为追踪目标以来，ClearFake的活动激增，占据了该追踪器统计数据的近四分之三的IOC。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。

该团队已确定以下恶意软件/威胁行为者在11月份最为活跃。
图1： 2025年11月恶意软件趋势。

该系列追踪器已识别出超过11，616个针对其追踪的不同家族的新IOC，其中最大的增量来自ClearFake。11月份最繁忙的追踪器包括：
图2： 2025年11月来自追踪器的新IOC。

安全检测产品改进

在11月，该威胁情报团队在某安全检测产品中添加或更新了18条检测规则和5条NIDS检测规则。以下是该团队开发的一些改进和新元素的示例：

新增规则集，包含针对某密码管理工具的新检测，例如不可能旅行、暴力破解后的成功认证或禁用多因素认证。
新增检测，用于识别修改注册表键LocalAccountTokenFilterPolicy以获取特权访问的行为。
新增针对Gh0stKCP协议和Danabot活动的NIDS检测。

请访问相关支持中心，查看完整的改进列表、新增元素、发现的问题以及创建的任务。

开放式威胁情报交换平台动态

该开放式威胁情报交换平台（OTX）是全球最大的开放威胁情报共享社区之一，由来自全球140个国家的330，000名威胁研究人员组成，他们每天向平台发布威胁信息。该威胁情报团队对此威胁情报进行验证、分析和丰富。OTX成员受益于集体研究，可以为社区做出贡献、分析威胁、创建公共和私人威胁情报共享群组等等。

新的 OTX 威胁情报摘要

该威胁情报团队根据其研究和发现，持续在OTX上发布新的威胁情报摘要。这些摘要是关于威胁、威胁行为者、攻击活动等的交互式和可研究的信息库，其中包含对成员有用的危害指标。11月，该实验室团队创建了99个新的摘要，提供了对最新威胁和攻击活动的覆盖。以下是一些最新相关摘要的示例：

Shai-hulud 2.0 攻击活动瞄准云和开发者生态系统
RONINGLOADER： DragonBreath通过滥用受保护进程达到持久化的新途径
俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic代理
更多精彩内容请关注我的个人公众号公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

查看全文

http://www.jsqmd.com/news/279896/