SecLens 情报中心

威胁情报

针对攻击活动、样本与IOC的持续情报更新。

2026年5月发现银狐木马新变种伪装人事文件远控窃密

发布时间 2026-05-24 15:00 (UTC+08:00) 抓取时间 2026-05-24 17:41 (UTC+08:00)

2026年5月24日，国家计算机病毒应急处理中心发布预警通报称发现专门针对我国用户的“银狐”木马出现新变种。该变种通过伪装成“裁员补偿”“违纪通报”“XX季度违纪名单”“裁员名单”“补偿方案”等人事相关文件实施钓鱼，并可伪装成文件夹、快捷方式、回收站或添加“pdf”等伪装后缀诱导点击。样本被激活后在后台静默植入远程控制程序，使攻击者能够远程控制主机、窃取敏感数据与公民个人信息，并可能将受害电脑作为跳板开展精准电信网络诈骗，或进入单位核心业务与高层相关部门发起虚假转账、篡改收款人造成资金损失。通报提示该攻击重点面向一定规模组织机构员工，尤其人事相关岗位，并可能通过QQ、微信、飞书、钉钉等工作群投放恶意文件或下载链接；同时给出通过https://virus.cverc.org.cn进行检测、加强培训、更新系统与防病…
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "银狐"
  ],
  "malware_name": null,
  "reference_links": [
    "https://mp.weixin.qq.com/s/SUlxYuiS3VMyQVPJ6N3A_Q"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": [
    "中国"
  ],
  "target_industry_type": [
    "国央企"
  ]
}
```
微步银狐情报 group:银狐 silverfox tag:银狐 threatbook threat_intelligence threat_intelligence
签名内核驱动滥用成勒索与APT攻击面

发布时间 2026-05-24 10:05 (UTC+08:00) 抓取时间 2026-05-25 11:40 (UTC+08:00)

2025-2026年间，内核驱动滥用（BYOVD）完成了从“利用已知漏洞驱动”到“滥用持有合法签名驱动”的根本范式转移，攻击者将带签名的内核驱动本身视为攻击面，广泛用于勒索软件和APT隐蔽行动。研究和监测显示，签名验证仅检验签名的密码学完整性而不评估驱动行为，基于哈希的黑名单、过期或被盗证书及旧版交叉签名机制均被系统化滥用。共包含8个关键事件和技术要点，涵盖具体威胁样本、利用手法、已记录漏洞与防御响应。 1、2025年8月，名为Silver Fox的APT在大规模行动中滥用一个持有有效签名的反恶意软件驱动（amsdk.sys，WatchDog），该驱动此前未被公开报告为存在漏洞；攻击者在Windows 10/11上通过加载该签名驱动在内核层实现终止安全进程和权限提升，初始访问常由定向钓鱼邮件和DLL侧加载等手段…
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "HoneyMyte",
    "NimBlackout",
    "银狐",
    "amsdk"
  ],
  "malware_name": null,
  "reference_links": [
    "https://www.gm7.org/archives/107194"
  ],
  "related_anonymous": "HoneyMyte,银狐",
  "target_area": [],
  "target_country": [
    "中国台湾"
  ],
  "target_industry_type": [
    "国央企",
    "民营、外资及其它行业"
  ]
}
```
微步银狐情报 group:HoneyMyte,银狐 silverfox tag:amsdk tag:HoneyMyte tag:NimBlackout tag:银狐 threatbook threat_intelligence threat_intelligence
银狐木马新变种伪装人事钓鱼远控窃密预警

发布时间 2026-05-24 09:04 (UTC+08:00) 抓取时间 2026-05-30 11:40 (UTC+08:00)

2026年5月24日，国家计算机病毒应急处理中心预警称“银狐”木马出现新变种，主要面向国内一定规模组织机构的职场人群，重点针对人事相关岗位。攻击者通过伪装成“裁员补偿”“违纪通报/名单”“裁员名单”“补偿方案”等人事主题钓鱼文件或下载链接，在QQ、微信、飞书、钉钉等工作群投放传播，并通过伪装为文件夹、快捷方式、回收站或添加“pdf”等伪装后缀诱导点击。样本激活后在后台静默植入远程控制程序，实现远程控制主机并窃取敏感数据与公民个人信息，且可能被用于进一步电信网络诈骗、勒索，或在单位内部发起虚假转账、篡改收款人等侵财行为。建议核验文件来源，使用病毒协同分析平台（https://virus.cverc.org.cn）检测，更新系统与防病毒软件、加强培训，发现异常或账号被盗用时及时断网排查并更换高强度口令。
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": "否",
    "is_new_attack": "否"
  },
  "event_types": [],
  "gpt_tags": [
    "银狐"
  ],
  "malware_name": [],
  "reference_links": [
    "https://www.gm7.org/archives/107179",
    "https://mp.weixin.qq.com/s/SUlxYuiS3VMyQVPJ6N3A_Q"
  ],
  "related_anonymous": "银狐",
  "target_area": [],
  "target_country": [
    "中国"
  ],
  "target_industry_type": [
    "国央企"
  ]
}
```
微步银狐情报 group:银狐 silverfox tag:银狐 threatbook threat_intelligence threat_intelligence
2026年银狐木马新变种通过人事钓鱼静默植入远控窃取数据

发布时间 2026-05-24 09:04 (UTC+08:00) 抓取时间 2026-05-25 11:40 (UTC+08:00)

2026年5月24日，国家计算机病毒应急处理中心发布预警通报称，“银狐”木马病毒出现新变种，主要针对国内用户，通过伪装成“裁员补偿”“违纪通报信息”等人事相关钓鱼文件或下载链接传播，诱导受害者点击后在后台静默植入远程控制程序，进而远程控制电脑并窃取敏感数据与公民个人信息。该变种重点面向一定规模组织机构的职场人群，尤其是人事相关岗位人员；攻击者会混入QQ、微信、飞书、钉钉等工作群发布恶意文件。通报指出，该木马可能被用于进一步实施电信网络诈骗、勒索或在单位内部发起虚假转账、篡改收款人等侵财行为，并给出核验文件来源、使用病毒协同分析平台检测、更新防病毒软件与发现异常后断网排查等处置建议。
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "银狐"
  ],
  "ioc": {
    "domain": [
      "virus.cverc.org.cn"
    ],
    "ioc": [
      "virus.cverc.org.cn"
    ]
  },
  "malware_name": null,
  "reference_links": [
    "https://www.gm7.org/archives/107179"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": [
    "中国"
  ],
  "target_industry_type": [
    "国央企"
  ]
}
```
微步银狐情报 group:银狐 silverfox tag:银狐 threatbook threat_intelligence threat_intelligence
ValleyRAT伪装Teams传播并侧加载窃密

发布时间 2026-05-24 06:11 (UTC+08:00) 抓取时间 2026-05-30 03:41 (UTC+08:00)

2026年5月24日披露的一次恶意软件活动显示，ValleyRAT正通过仿冒企业通信工具的方式面向企业用户传播。攻击者在X等社交平台引流，诱导受害者访问仿冒Microsoft Teams下载页的相似域名站点并下载恶意ZIP包。运行后启动基于NSIS的隐蔽安装程序，在后台投放恶意组件并同时执行真实Teams安装以降低察觉。载荷利用腾讯开发的合法可执行文件GameBox.exe构建DLL侧加载链，最终部署ValleyRAT变种；并通过PowerShell添加Add-MpPreference排除项，使Windows Defender忽略其工作目录中的恶意DLL。后续阶段在内存中解密并执行名为user.dat的加密shellcode，记录键盘输入、剪贴板变化与活动窗口切换，并在外传前缓存窃取数据；研究人员将该活动与Si…
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "ValleyRAT",
    "银狐"
  ],
  "ioc": {
    "ioc": [
      "103.215.77.17"
    ],
    "ip": [
      "103.215.77.17"
    ]
  },
  "malware_name": [
    "GameBox.exe",
    "user.dat"
  ],
  "reference_links": [
    "https://securityonline.info/valleyrat-malware-campaign-teams/"
  ],
  "related_anonymous": "银狐",
  "target_area": [
    "腾讯"
  ],
  "target_country": null,
  "target_industry_type": [
    "国央企"
  ]
}
```
微步银狐情报 group:银狐 silverfox tag:ValleyRAT tag:银狐 threatbook threat_intelligence threat_intelligence
2025-2026签名驱动滥用BYOVD终止EDR趋势综述

发布时间 2026-05-24 00:54 (UTC+08:00) 抓取时间 2026-05-30 11:41 (UTC+08:00)

2025-2026年间，BYOVD完成从“利用已知漏洞旧驱动”向“滥用任何可加载的合法签名驱动/证书”转移，攻击者将签名视为可被利用的内核信任入口，通过IOCTL滥用在内核层终止EDR、提权与持久化。典型案例包括Silver Fox滥用未公开漏洞的WatchDog amsdk.sys（并以双驱动策略覆盖不同系统），以及HoneyMyte使用被盗/过期证书签署自制迷你过滤驱动。对抗层面出现系统化绕过：单字节翻转TimeDateStamp在不破坏Authenticode签名的前提下改变哈希，削弱哈希黑名单；CVE-2025-59033揭示WDAC基于TBS哈希阻断存在绕过风险；已吊销/过期证书仍被用于加载驱动。勒索软件链条将BYOVD型“EDR杀手”工业化，广泛复用多种签名驱动与ZwOpenProcess/ZwTe…
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": "否",
    "is_new_attack": "否"
  },
  "event_types": [],
  "gpt_tags": [
    "银狐",
    "NimBlackout",
    "ValleyRAT",
    "HoneyMyte",
    "winos",
    "amsdk"
  ],
  "malware_name": [],
  "reference_links": [
    "https://www.gm7.org/archives/107194",
    "https://mp.weixin.qq.com/s/-X-mwyVc108HBSOsZwM0Dw"
  ],
  "related_anonymous": "银狐,HoneyMyte",
  "target_area": [
    "台湾地区企业"
  ],
  "target_country": [
    "中国台湾"
  ],
  "target_industry_type": [
    "政府",
    "国央企",
    "民营、外资及其它行业"
  ]
}
```
微步银狐情报 group:银狐,HoneyMyte silverfox tag:amsdk tag:HoneyMyte tag:NimBlackout tag:ValleyRAT tag:winos tag:银狐 threatbook threat_intelligence threat_intelligence
签名可加载驱动被滥用，内核层绕过哈希与证书阻断终止EDR

发布时间 2026-05-24 00:54 (UTC+08:00) 抓取时间 2026-05-24 03:41 (UTC+08:00)

2025-2026年间，BYOVD（自带易受攻击驱动）完成攻击范式转移：攻击者不再局限于搜集“已知有漏洞且已入黑名单”的旧驱动，而是把“任何可被加载的、带有效签名且具内核特权的驱动/证书”本身当作攻击面，通过IOCTL滥用在内核层终止EDR、提权与持久化。该阶段的关键变化集中在未知漏洞驱动武器化、被盗/过期/已吊销证书仍可被利用、以及对基于哈希/证书指纹的阻断策略实施绕过，共包含6个关键安全事件与漏洞要点。 1、2025年8月，Silver Fox APT在大规模攻击中滥用带微软签名且此前未公开漏洞的WatchDog反恶意软件驱动amsdk.sys（v1.0.600），在Windows 10/11上实现内核级终止任意进程与权限提升，并以双驱动策略兼容不同系统：Windows 7使用已知漏洞的Zemana驱动，W…
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "ValleyRAT",
    "银狐",
    "winos"
  ],
  "malware_name": null,
  "reference_links": [
    "https://mp.weixin.qq.com/s/-X-mwyVc108HBSOsZwM0Dw"
  ],
  "related_anonymous": "银狐",
  "target_area": [
    "台湾地区企业"
  ],
  "target_country": [],
  "target_industry_type": [
    "政府"
  ]
}
```
微步银狐情报 group:银狐 silverfox tag:ValleyRAT tag:winos tag:银狐 threatbook threat_intelligence threat_intelligence
5月16–22日监测：新增多家族恶意样本与游蛇组织隐蔽活动

发布时间 2026-05-23 11:00 (UTC+08:00) 抓取时间 2026-05-23 13:41 (UTC+08:00)

2026年05月16日—2026年05月22日的周度监测显示，反病毒引擎在该周期共发布84次病毒库更新，新增可检测恶意代码家族52个、变种6,680个和检测规则28,571条。核心发现包含6个安全要点，覆盖新增恶意家族清单与一项活跃的黑产组织攻击活动，检测能力与预处理能力在本周期持续扩展，且新活动表现出高度隐蔽化与持久化倾向。 1、Trojan/MSIL.MiniPlasma：木马家族，利用系统漏洞传播，常伪装成正常软件或隐藏在破解/盗版程序中诱骗用户下载执行，主要窃取银行账户、密码及个人身份信息，属于信息窃取与持久化并行的高风险样本； 2、Trojan/Win32.SepSys[Ransom]：勒索类木马，通过钓鱼邮件、恶意下载或漏洞利用等方式传播，一旦感染对用户文件进行加密并索要赎金，对业务连续性和数据可用…
扩展字段
```
{
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "SepSys",
    "银狐",
    "Cython",
    "Megamz",
    "BUTTSniff",
    "MiniPlasma"
  ],
  "ioc": {
    "domain": [
      "virusview.net"
    ],
    "ioc": [
      "virusview.net"
    ]
  },
  "malware_name": null,
  "reference_links": [
    "https://mp.weixin.qq.com/s/otdXOWoOvisIWQbSQI4wFg"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": null,
  "target_industry_type": null
}
```
微步银狐情报 group:银狐 silverfox tag:BUTTSniff tag:Cython tag:Megamz tag:MiniPlasma tag:SepSys tag:银狐 threatbook threat_intelligence threat_intelligence

全部来源 Cloudflare 博客腾讯云安全公告 Adobe 安全公告阿里云 AVD Ubuntu 安全通告启明星辰安全通告 Amazon Linux AL2 公告 Amazon Linux AL2023 公告 AWS 安全公告 MSRC 更新指南 Oracle 安全警报 Apple 安全更新 Chrome 稳定版更新 Red Hat 安全公告 Atlassian 安全公告 NVIDIA 安全公告华为安全公告联想安全公告阿里云 Linux 安全公告阿里云 Linux CVE 通知阿里云安全公告 Amazon Linux 1 (EOL)安全公告 Amazon Linux 安全公告长亭漏洞库 Seebug 漏洞库 CISA KEV Catalog 微步银狐情报微步银狐 IOC Ransomware.live 近期受害者工信部 CNVDB CNNVD 通报 CNNVD 漏洞库 CNVD 漏洞库 FreeBuf 社区 TC260 标准征求意见 Seebug 技术 Paper GitHub Advisory HackerOne 博客 Exploit-DB 安天每日安全简讯 LinuxSecurity Hybrid VulDB 地方采购（CCGP）中央采购（CCGP） The Hacker News 嘶吼安全资讯 Doonsec 微信聚合 arXiv cs.CR VIPRead 信息安全知识库 RSA Conference Podcast 会议与培训融资快讯并购整合情报快报事件通报工具更新产品发布

威胁情报

订阅来源 RSS