HackerNews 编译，转载请注明出处： 加拿大组织已成为一个名为STAC6565的威胁活动集群策划的针对性网络攻击行动的焦点。 网络安全公司Sophos表示，其在2024年2月至2025年8月期间调查了与该威胁行为者相关的近40起入侵事件。该攻击行动被高度确信与一个名为Gold Blade的黑客组织存在重叠，该组织也被追踪为Earth Kapre、RedCurl和Red Wolf。 这个出于经济动机的威胁行为者据信自2018年底开始活跃，最初针对俄罗斯的实体，随后将其目标扩展到加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国的实体。该组织有使用网络钓鱼邮件进行商业间谍活动的历史。 然而，最近的攻击浪潮发现RedCurl参与了使用一种名为QWCrypt的定制恶意软件家族进行的勒索软件攻击。该威胁行为者武器库中的一个显著工具是RedLoader，它将被感染主机的信息发送到命令与控制服务器，并执行PowerShell脚本来收集与受攻击的Active Directory环境相关的详细信息。 Sophos研究员Morgan Demboski表示：“这次攻击行动反映了该组织异常狭窄的地理关注点，近80%的攻击针对加拿大组织。曾经主要专注于网络间谍活动的Gold Blade，已将其活动演变为混合操作，通过一个名为QWCrypt的自定义加密程序，将数据盗窃与有选择的勒索软件部署结合起来。” 其他主要目标包括美国、澳大利亚和英国，在此期间，服务、制造、零售、技术、非政府组织和交通行业受到的影响最为严重。 据悉，该组织以“黑客雇佣兵”模式运作，代表客户进行定制化入侵，同时附带部署勒索软件以从入侵中获利。尽管Group-IB在2020年的一份报告提出了该组织可能是俄语组织的可能性，但目前没有迹象可以证实或否认这一评估。 Sophos将RedCurl描述为一个“专业化的行动”，称该威胁行为者因其完善和发展其攻击手法以及发起隐蔽勒索攻击的能力而与其他网络犯罪集团不同。也就是说，没有证据表明它是国家资助或有政治动机的。 该网络安全公司还指出，其行动节奏以一段时间的无活动为标志，随后是使用改进战术的突然攻击激增，这表明该黑客组织可能正在利用停工期来更新其工具集。 STAC6565始于针对人力资源人员的鱼叉式网络钓鱼电子邮件，诱骗他们打开伪装成简历或求职信的恶意文档。至少从2024年11月起，该活动就利用Indeed、JazzHR和ADP WorkforceNow等合法求职平台上传武器化的简历，作为求职申请过程的一部分。 Demboski解释说：“由于招聘平台使人力资源人员能够查看所有收到的简历，将有效载荷托管在这些平台上并通过一次性电子邮件域发送，不仅增加了文档被打开的可能性，而且还逃避了基于电子邮件的保护措施的检测。” 在一个事件中，发现上传到Indeed的一份虚假简历会将用户重定向到一个设有陷阱的URL，最终通过RedLoader链导致部署QWCrypt勒索软件。在2024年9月、2025年3月/4月和2025年7月，至少观察到了三种不同的RedLoader投递序列。投递链的某些方面此前已由Huntress、eSentire和Bitdefender详细描述过。 2025年7月观察到的主要变化涉及使用由虚假简历投放的ZIP存档。存档中存在一个冒充PDF的Windows快捷方式文件。该LNK文件使用“rundll32.exe”从托管在Cloudflare Workers域名后的WebDAV服务器获取重命名版本的“ADNotificationManager.exe”。 然后，攻击启动合法的Adobe可执行文件，从同一WebDAV路径侧加载RedLoader DLL。该DLL继续连接到外部服务器以下载并执行第二阶段有效载荷，这是一个独立的二进制文件，负责连接到不同的服务器，并检索第三阶段独立可执行文件以及一个恶意的DAT文件和一个重命名的7-Zip文件。 两个阶段都依赖微软的程序兼容性助手来执行有效载荷，这种方法在以前的攻击活动中也出现过。唯一的区别是，有效载荷的格式在2025年4月转变为EXE文件，而不是DLL文件。 Sophos表示：“该有效载荷解析恶意的.dat文件并检查互联网连接。然后它连接到另一个攻击者控制的C2服务器，创建并运行一个自动化系统发现的.bat脚本。该脚本解压Sysinternals AD Explorer并运行命令以收集主机信息、磁盘、进程和已安装的防病毒产品等详细信息。” 执行结果被打包成一个加密的、受密码保护的7-Zip存档，并传输到攻击者控制的WebDAV服务器。还观察到RedCurl使用开源反向代理RPivot和Chisel SOCKS5进行C2通信。 攻击中使用的另一个工具是Terminator工具的定制版本，该工具利用签名的Zemana AntiMalware驱动程序，通过所谓的自带易受攻击驱动程序攻击来结束与防病毒相关的进程。至少在2025年4月的一个案例中，威胁行为者在通过SMB共享将其分发到受害者环境中的所有服务器之前，对这两个组件都进行了重命名。 Sophos还指出，大多数这些攻击在安装QWCrypt之前就被检测到并得以缓解。然而，其中三起攻击——一起在4月，两起在2025年7月——导致了成功的部署。 它补充道：“在4月的事件中，威胁行为者手动浏览并收集了敏感文件，然后暂停活动超过五天，才部署加密程序。这种延迟可能表明攻击者在试图将数据货币化或未能找到买家后转向了勒索软件。” QWCrypt部署脚本针对目标环境进行了定制，通常在文件名中包含特定于受害者的ID。该脚本一旦启动，会检查Terminator服务是否正在运行，然后采取措施禁用恢复功能，并在网络中的终端设备（包括组织的虚拟机管理程序）上执行勒索软件。 在最后阶段，该脚本运行一个清理批处理脚本，删除现有的卷影副本和每个PowerShell控制台历史文件，以阻碍取证恢复。 Sophos表示：“Gold Blade对招聘平台的滥用、休眠与爆发的周期循环以及对投递方法的持续完善，展示了一种通常不与经济动机行为者相关的操作成熟度。该组织维护着一个全面且组织良好的攻击工具包，包括开源工具的修改版本和自定义二进制文件，以促进多阶段恶意软件投递链。” 此次披露之际，Huntress表示，它注意到针对虚拟机管理程序的勒索软件攻击大幅激增，从今年上半年的3%跃升至下半年迄今为止的25%，这主要是由Akira组织推动的。 研究人员Anna Pham、Ben Bernstein和Dray Agha写道：“勒索软件操作者直接通过虚拟机管理程序部署勒索软件有效载荷，完全绕过了传统的终端保护。在某些情况下，攻击者利用OpenSSL等内置工具对虚拟机卷进行加密，避免了上传自定义勒索软件二进制文件的需要。这种转变突显了一个日益增长且令人不安的趋势：攻击者正在瞄准控制所有主机的基础设施，并且通过访问虚拟机管理程序，对手极大地放大了其入侵的影响。” 鉴于威胁行为者对虚拟机管理程序的关注度提高，建议使用本地ESXi账户，实施多因素身份验证，执行强密码策略，将虚拟机管理程序的管理网络与生产和普通用户网络隔离，部署跳板机以审核管理员访问权限，限制对控制平面的访问，并将ESXi管理接口访问限制在特定的管理设备上。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰警方逮捕了 3 名乌克兰籍公民，指控其涉嫌使用黑客设备攻击信息技术系统并窃取国防领域敏感数据。 这 3 名乌克兰男子因被指试图利用先进黑客装备破坏 IT 系统、获取国防相关敏感信息而遭到逮捕。警方在其驾乘车辆内查获了 Flipper 系列黑客工具、间谍设备探测器、SIM 卡、存储驱动器及天线等物品。 据 Flipper Zero 官方网站介绍，该工具是一款外观形似玩具的便携式多功能设备，主要面向渗透测试人员和技术爱好者，可实现对无线电协议、门禁控制系统、硬件等各类数字设备的破解操作；同时该工具为完全开源且支持自定义，用户可按需对其功能进行拓展。 此外，3 人还携带了 K19 反监视工具，该设备能够探测射频信号、全球定位系统追踪器、隐藏摄像头以及强磁场。 这三名嫌疑人年龄分别为 43 岁、42 岁和 39 岁，面临欺诈、计算机欺诈以及持有用于破坏国家国防敏感 IT 系统工具等多项指控。目前法院已下令对其实施为期三个月的审前羁押，相关调查仍在持续推进。 事发时，华沙警方在参议员街拦下一辆丰田汽车，车内 3 名乌克兰男子神情紧张，他们声称正进行欧洲跨国旅行，刚抵达波兰，后续计划前往立陶宛。 波兰警方发布的新闻稿称：“警员对车辆内部进行了全面搜查，发现了一批可疑物品，这些物品甚至可被用于干扰本国战略 IT 系统、侵入 IT 及电信网络。调查期间，警员查扣了间谍设备探测器、先进的 FLIPPER 黑客设备、天线、笔记本电脑、大量 SIM 卡、路由器、便携式硬盘及摄像头等涉案物品。” 警方对查获的电子设备进行了解密，而 3 名嫌疑人虽自称 IT 领域专业人士，却始终无法对所持设备的用途作出合理解释，且对相关问题刻意回避。目前调查人员怀疑其涉嫌欺诈及计算机类犯罪。 新闻稿最后指出：“警方正排查多种可能性，同时就 3 人入境波兰的时间及目的展开调查，案件仍在侦办中，相关案卷已移交华沙市中心北区检察院。被羁押人员面临的指控包括欺诈、计算机欺诈，以及持有经改装可用于实施犯罪的设备和计算机程序 —— 其中涉及试图破坏对国家国防具有特殊重要性的计算机数据。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意 MCP 服务器引发提示词注入攻击 安全研究人员发现了模型上下文协议（MCP）采样功能中存在的严重漏洞，同时揭示了恶意服务器如何利用集成大语言模型（LLM）的应用，实施资源窃取、对话劫持以及未授权系统修改等攻击行为。 攻击向量 攻击机制 攻击影响 资源窃取 在采样请求中植入隐藏指令，诱导大语言模型生成额外的不可见内容 在用户无感知的情况下运行未授权工作负载，消耗人工智能计算配额与应用程序编程接口（API）额度 对话劫持 改变助手在整个会话中的行为模式，可能降低其使用价值或触发有害操作 全程篡改助手交互表现，既会削弱工具实用性，也可能诱发恶意行为 秘密工具调用 嵌入指令使大语言模型在用户未明确知晓或同意的情况下调用各类工具 可实现未授权文件操作、恶意程序驻留，甚至可能造成数据窃取或系统篡改 模型上下文协议由 Anthropic 公司于 2024 年 11 月推出，其作用是规范大语言模型与外部工具及数据源的集成方式。尽管该协议的初衷是提升人工智能的能力，但协议中的采样功能（允许 MCP 服务器请求大语言模型生成完成内容）在缺乏完善安全防护措施的情况下，会带来极大的安全风险。 三大核心攻击向量 帕洛阿尔托网络的研究人员在一款广泛使用的代码辅助工具上，完成了三类概念验证攻击的演示，具体如下： 资源窃取用户向代码辅助工具提出需求，希望其帮忙总结当前代码文件。 攻击者在采样请求中注入隐藏指令，使大语言模型在向用户呈现正常响应的同时，生成未授权内容。 例如某恶意代码总结工具，会在合法代码分析内容之外，额外附加生成虚构故事的指令，在用户毫无察觉的情况下消耗大量计算资源与 API 额度。 对话劫持 被攻陷的 MCP 服务器可植入持久性指令，影响整个对话会话。用户虽能正常收到代码文件总结内容，但隐藏提示会强制人工智能助手在后续所有回复中 “模仿海盗口吻说话”。这一演示直观体现了恶意服务器可从根本上改变系统行为，进而可能破坏工具核心功能。 秘密工具调用 恶意服务器利用提示词注入触发未授权的工具执行操作。研究人员证实，隐藏指令可触发文件写入操作，进而实现数据窃取、恶意程序持久化驻留，以及未经用户明确许可的系统修改。其攻击链路为：大语言模型遵照 MCP 隐藏提示的要求，在响应内容中嵌入恶意指令；随后代码辅助工具会执行这些暗藏的恶意指令，最终响应恶意工具调用请求。 漏洞根源与防御方案 该漏洞的根源在于 MCP 采样功能的隐式信任模型，以及内置安全管控机制的缺失 —— 服务器可篡改提示词与响应内容，在伪装成正常工具的同时，悄悄植入隐藏指令。 有效的防御需要构建多层防护体系： 采用严格模板对请求进行净化，实现用户内容与服务器修改内容的分离； 对响应内容进行过滤，剔除类指令表述； 增设访问控制机制，限制服务器的操作权限； 按操作类型设置令牌额度限制； 要求工具执行操作必须获得用户明确批准。 帕洛阿尔托网络建议，各组织应评估人工智能安全解决方案，包括运行时防护平台与全面的安全评估服务。这些研究结论也凸显出，随着大语言模型集成在企业级应用中日益普及，保障人工智能基础设施安全已成为至关重要的工作。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型高精密语音钓鱼攻击活动已出现，该攻击将传统语音钓鱼与现代协作工具相结合，用以投放隐蔽性极强的恶意软件。 攻击者借助微软 Teams 通话功能以及远程支持工具 “快速助手”，实现对企业安全边界的突破。 他们通过冒充高级 IT 人员制造紧迫感，瓦解受害者的防备心理，进而启动多阶段感染流程，以此规避常规检测机制。 攻击的初始阶段，攻击者会使用外部账号发起 Teams 通话，并伪造显示名称，伪装成企业内部合法管理员。 随后，威胁行为者诱骗目标设备启动微软 “快速助手”（一款 Windows 系统原生工具），这一操作可绕过多数会标记第三方远程访问软件的常规安全管控。一旦建立远程访问连接，攻击者便会着手投放恶意载荷。 该攻击活动由 SpiderLabs 安全分析师率先发现，分析师指出，此类攻击已明显转向利用受信任的系统内置实用工具来实施入侵。 该攻击活动的危害性极大，原因在于其主要依赖社会工程学手段，而非软件漏洞发起攻击。 攻击者通过.NET 恶意软件封装器，可直接在内存中执行代码，最大程度减少在终端设备上留下的取证痕迹。 这种无文件攻击方式给传统的事件响应工作带来极大阻碍，因为磁盘上可供调查人员分析的攻击遗留痕迹极少。 感染机制技术分析 此次攻击的核心是一条复杂的感染链路，涉及一个.NET Core 8.0 可执行文件。名为 updater.exe 的恶意文件充当着嵌入式库 loader.dll 的封装载体。 该加载器在执行后，会先与位于 jysync [.] info 的命令与控制服务器建立连接，获取特定加密密钥。 这些密钥对后续阶段至关重要 —— 恶意软件会凭借密钥下载加密的载荷文件。 解密过程结合了 AES-CBC 算法与 XOR 运算，以此解锁恶意程序集。 尤为关键的是，解密后的代码绝不会写入磁盘，而是通过.NET 反射技术直接加载至系统内存中，从而实现极高的驻留性与隐蔽性。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某网络犯罪论坛上，攻击者声称已攻破位于印度喜马偕尔邦的官方汽车经销商——曼迪大众汽车门店，其客户数据据称正被公开售卖。 攻击者声称在今年入侵了该公司，并窃取了250万条经销商及其客户的个人信息，目前这批数据已被公开挂牌出售。 数据来源与具体内容 这批数据疑似来自客户关系管理系统后台的泄露。挂牌信息附带的数据样本显示，被窃取的个人信息包含以下类型： 姓名 家庭住址 邮政编码 电话号码 电子邮箱 截至目前，涉事公司尚未就此次网络安全事件发布公开确认声明。 Cybernews 已尝试联系该公司，但暂未收到回复。由于数据样本仅包含 8 条信息，目前无法核实攻击者的相关指控是否属实。 该威胁行为者于今年 4 月加入上述网络犯罪论坛，此前也曾多次挂牌出售多家企业的数据，且每次均会附带包含数条信息的数据样本。 Cybernews研究团队表示：“若此次数据泄露被证实属实，那么被盗数据可能会被用于身份画像，为后续攻击铺路。受影响人群遭遇社会工程学攻击的风险也将大幅上升。” 大众并非首次成为黑客目标 大众汽车及其经销商已多次成为网络犯罪分子的攻击目标。今年 10 月，大众集团法国分公司（大众汽车集团旗下子公司）被麒麟勒索软件团伙列入其泄密网站。 麒麟团伙声称窃取了约2000份文件、总计150GB的数据，其中包含敏感的客户、员工信息及商业数据。 今年6月，大众汽车集团也曾出现在Stormous勒索软件卡塔尔的暗网泄密网站上。尽管攻击者宣称已窃取该公司数据，但大众汽车集团发言人向Cybernews表示，暂无证据表明存在数据失窃情况。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过对印尼非法赌博网络的深入调查，一个已运作超过 14 年的复杂网络犯罪基础设施被成功揭露。 安全研究人员发现，该犯罪生态体系规模庞大，涉及数十万个域名、数千款恶意移动应用，且全球范围内大量政府及企业基础设施遭域名劫持。 这一至少自 2011 年便已活跃的网络犯罪活动，其背后的资金实力、技术复杂度和运营持续性，更符合国家赞助型威胁行为者的特征，而非普通网络犯罪分子。 该团伙最初仅从事本地化赌博活动，后逐步发展为集非法赌博运营、搜索引擎优化操纵、恶意软件分发及网站持久化劫持技术于一体的多层级犯罪基础设施。 此次发现的犯罪活动，其规模与复杂度堪称目前已知最大的印尼语网络犯罪生态之一。 该威胁行为者掌控着约 328039 个域名，其中包括 90125 个遭入侵的域名、1481 个被攻陷的子域名，以及 236433 个用于将用户重定向至赌博平台的外购域名。 Malanta 安全分析师通过系统化的基础设施测绘与威胁情报收集，成功识别出其恶意软件生态体系。研究表明，该犯罪网络的技术架构中，嵌入了复杂的攻击链路与规避检测的能力。 安卓恶意软件的分发与持久化手段 该犯罪网络最值得警惕的环节，是其通过可公开访问的亚马逊云服务 S3 存储桶，分发数千款安卓恶意应用。 这些应用实为高复杂度的投放器，它们伪装成正规赌博平台，以实现对设备的持久化入侵。 应用安装后，会在用户不知情的情况下自动下载并安装额外 APK 文件，展现出先进的投放器功能。该恶意软件借助谷歌 Firebase 云消息服务接收远程指令，无需建立传统的命令与控制（C2）连接，即可直接向受感染设备下发操作指令。 技术分析显示，恶意软件中内置了用于遥测与设备管理的硬编码凭据及 API 密钥，同时还会申请高危权限（如外部存储读写权限），使攻击者能够窃取敏感数据并投放更多恶意载荷。 一项尤为令人震惊的发现是，多款 APK 样本共用同一域名jp-api.namesvr.dev，该域名是协调恶意软件运作的中心化命令与控制服务器。 该犯罪基础设施的影响范围不仅限于安卓设备，还延伸至被攻陷的政府及企业服务器子域名。 攻击者在正规政府域名上部署了基于 NGINX 的反向代理以终止 TLS 连接，将恶意命令与控制流量伪装成合法的政府通信，以此规避检测。 研究人员还发现，超过 51000 个源自赌博平台、受感染安卓设备及遭劫持子域名的被盗凭据，正在暗网论坛流通，这直接将受害者数据与该犯罪基础设施关联起来。 此次事件表明，网络犯罪分子可大规模利用可信基础设施实施攻击，同时借助域名多样性与先进的规避机制，维持自身的运营安全。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新型 GhostFrame 钓鱼工具包 一款名为 GhostFrame 的新型高复杂度钓鱼工具包已被用于发起超 100 万次攻击。 该隐蔽工具由Barracuda安全研究员于 2025 年 9 月首次发现，是钓鱼即服务（phishing-as-a-service）技术的一次危险升级。 GhostFrame 之所以格外值得警惕，在于其兼具易用性与攻击有效性。 与传统钓鱼工具包不同，GhostFrame 会生成一个看似无害的 HTML 文件，并将所有恶意操作隐匿在隐形 iframe 框架中。这个嵌入式小窗口会从其他来源加载攻击内容，这种方式让安全工具极难检测到攻击行为。 攻击实施流程 该工具包的攻击分为两个阶段： 钓鱼邮件投递：受害者会收到带有欺诈性主题的钓鱼邮件，例如 “保密合同与提案通知”“密码重置请求” 等。 恶意页面诱导：用户点击邮件链接后，会进入一个看似安全的网页，而页面底层的 iframe 框架会从不断变更的子域名中加载真实的钓鱼内容。 为进一步规避检测，攻击者会为每个目标单独创建专属子域名。同时，工具包还内置反分析功能：禁用右键菜单、屏蔽快捷键、关闭开发者工具，让安全分析师或普通用户几乎无法对页面进行安全核查。 GhostFrame 工具包的核心特性 GhostFrame 搭载多项高隐蔽性功能： 钓鱼表单伪装：将钓鱼表单隐藏在为大文件设计的图像流功能中，以此绕过针对传统登录表单的安全扫描； 子域名动态轮换：可在攻击会话中实时切换子域名，且配备备用 iframe 框架，应对 JavaScript 被拦截的情况； 多目标灵活适配：攻击者无需修改主页面即可替换钓鱼内容，能够同时针对多个地区或机构发起攻击； 仿冒合法服务：通过修改页面标题和网站图标来模拟正规服务，增强伪装的真实性。 防护建议 Barracuda安全专家建议采用多层防御策略： 企业需强制浏览器定期更新，部署可检测可疑 iframe 的邮件安全网关，并对网站 iframe 使用权限进行管控； 员工安全培训至关重要，需养成核验网址后再输入凭据的习惯，及时上报可疑嵌入内容。 随着 GhostFrame 在全球范围持续扩散，保持警惕并部署全面的邮件安全解决方案，是抵御这类新型威胁的关键。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FortiGuard 实验室的报告显示，伊朗黑客组织 MuddyWater 近期启用了一款名为 UDPGangster 的新型后门程序，该后门通过用户数据报协议（UDP）实现命令与控制（C2）通信，且已针对土耳其、以色列和阿塞拜疆三国用户发起网络间谍活动。 安全研究员卡拉・林表示：“这款恶意软件可实现对受感染系统的远程控制，支持攻击者执行系统命令、窃取文件、投放额外恶意载荷，而所有通信均通过 UDP 信道完成，以此规避传统网络防御手段的检测。” 此次攻击的完整链路以鱼叉式钓鱼为初始入口：攻击者向目标发送携带恶意 Microsoft Word 文档的钓鱼邮件，一旦受害者启用文档宏，便会触发恶意载荷执行。部分钓鱼邮件还伪装成北塞浦路斯土耳其共和国外交部的官方信函，谎称邀请收件人参加一场名为 “总统选举及结果” 的线上研讨会。 钓鱼攻击细节 钓鱼邮件中通常附带一个压缩包（“seminer.zip”）和一份 Word 文档（“seminer.doc”），压缩包内也包含相同的恶意 Word 文件。用户打开文件后会被诱导启用宏，进而触发内嵌 VBA 代码的隐秘执行。 该投放器文档中的 VBA 脚本还设置了伪装机制以掩盖恶意行为：它会展示一张希伯来语的诱饵图片，内容为以色列电信运营商 Bezeq 发布的 “2025 年 11 月第一周以色列多城网络断连通知”，以此迷惑受害者。 卡拉・林解释道：“该宏会通过 Document_Open () 事件实现自动运行，先解码隐藏表单域（UserForm1.bodf90.Text）中的 Base64 编码数据，并将解码内容写入路径 C:\Users\Public\ui.txt，随后调用 Windows API 接口 CreateProcessA 执行该文件，最终加载 UDPGangster 后门。” UDPGangster 后门核心特性 UDPGangster 通过修改 Windows 注册表实现持久化驻留，同时内置多重反分析检测机制以抵御安全人员的逆向分析，具体包括： 检测自身进程是否被调试 分析 CPU 配置以识别沙箱或虚拟机环境 校验系统内存是否低于 2048MB 获取网卡信息，验证 MAC 地址前缀是否匹配已知虚拟机厂商列表 确认计算机是否加入域环境，而非处于默认 Windows 工作组 排查运行进程中是否存在 VBoxService.exe、VBoxTray.exe、vmware.exe、vmtoolsd.exe 等虚拟化工具 扫描注册表，检索 VBox、VMBox、QEMU、VMWARE 等虚拟化厂商特征标识 查找已知沙箱或调试工具进程 判断自身是否运行于分析环境 只有通过全部检测后，UDPGangster 才会开始收集系统信息，并通过 UDP 1269 端口连接外部 C2 服务器（157.20.182 [.] 75），执行数据窃取、cmd.exe 命令调用、文件传输、C2 服务器配置更新及额外恶意载荷投放等操作。 卡拉・林提醒：“UDPGangster 依赖宏投放器实现初始入侵，且集成了大量反分析逻辑来规避检测，用户及企业需警惕来路不明的文档，尤其是要求启用宏的文件。” 值得注意的是，就在此次攻击披露数天前，ESET 曾发布报告称，该组织还针对以色列的学术界、工程领域、地方政府、制造业、科技、交通及公用事业等行业发起攻击，并投放了另一款名为 MuddyViper 的后门程序。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Wordfence 的监测数据显示，WordPress 平台的 Sneeit Framework 插件中存在的一个高危安全漏洞已被攻击者在野环境中积极利用。 此次涉及的远程代码执行漏洞编号为 CVE-2025-6389（CVSS 评分 9.8），影响该插件 8.3 及以下的所有版本，该漏洞已于 2025 年 8 月 5 日发布的 8.4 版本中完成修复。目前该插件的活跃安装量超 1700 个。 Wordfence 表示：“该漏洞成因是 [sneeit_articles_pagination_callback ()] 函数接收用户输入后，直接将其传入 call_user_func () 函数执行。这使得未授权攻击者能够在服务器上执行代码，进而可用于植入后门，或是创建新的管理员账户等操作。” 也就是说，攻击者可利用该漏洞调用任意 PHP 函数，比如通过 wp_insert_user () 函数创建恶意管理员账户。一旦成功创建，攻击者便能借此掌控整个网站，注入恶意代码，将网站访客重定向至钓鱼网站、恶意软件下载页面或垃圾信息站点。 Wordfence 指出，针对该漏洞的在野利用始于 2025 年 11 月 24 日（即漏洞公开披露当日），该公司已拦截超 13.1 万次针对此漏洞的攻击尝试，仅过去 24 小时内就记录到 15381 次攻击。 攻击详情 部分攻击行为表现为向 “/wp-admin/admin-ajax.php” 端点发送特制 HTTP 请求，创建如 “arudikadis” 这类恶意管理员账户，并上传可能用于获取后门访问权限的恶意 PHP 文件 “tijtewmg.php”。 攻击来源的 IP 地址如下： 185.125.50[.]59 182.8.226[.]51 89.187.175[.]80 194.104.147[.]192 196.251.100[.]39 114.10.116[.]226 116.234.108[.]143 这家 WordPress 安全厂商还发现，攻击者使用的恶意 PHP 文件具备目录扫描、文件及权限的读写删操作、ZIP 文件解压等能力，涉及的恶意文件包括 “xL.php”“Canonical.php”“.a.php”“simple.php”。 据 Wordfence 披露，“xL.php” 后门程序由一款名为 “up_sf.php” 的漏洞利用 PHP 文件下载获取，同时该文件还会从外部服务器（racoonlab [.] top）下载 “.htaccess” 文件至受攻击主机。 伊斯万・马尔顿表示：“这份.htaccess 文件可确保 Apache 服务器上特定扩展名的文件能被正常访问。当其他.htaccess 文件限制了脚本访问（比如在上传目录中）时，该文件就能发挥作用。” ICTBroadcast 漏洞被用于传播 Frost DDoS 僵尸网络 与此同时，VulnCheck 称其监测到攻击者利用 ICTBroadcast 的高危漏洞（CVE-2025-2611，CVSS 评分 9.3），针对其蜜罐系统发起新攻击，通过下载 Shell 脚本加载器，获取多个不同架构版本的名为 “frost” 的恶意二进制文件。 这些恶意文件在执行后，会自行删除载荷与加载器以清除攻击痕迹，其最终目的是对目标发起分布式拒绝服务（DDoS）攻击。 VulnCheck 的雅各布・贝恩斯称：“这款 frost 二进制文件整合了 DDoS 攻击工具与传播逻辑，内置了针对 15 个 CVE 漏洞的 14 种利用程序。其传播方式的关键在于，攻击者并非对全网进行无差别攻击，frost 会先对目标进行检测，只有发现预期的特定特征时才会发起漏洞利用。” 例如，该恶意程序仅在接收到包含 “Set-Cookie: user=(null)” 的 HTTP 响应，且后续请求的响应中包含 “Set-Cookie: user=admin” 时，才会利用 CVE-2025-1610 漏洞发起攻击；若未检测到这些特征，程序则会保持休眠状态。相关攻击均来自 IP 地址 87.121.84 [.] 52。 尽管相关漏洞已被多个 DDoS 僵尸网络利用，但鉴于互联网上易受攻击的暴露系统不足 1 万台，证据表明此次攻击属于小规模定向操作。 贝恩斯补充道：“这限制了基于这些 CVE 漏洞构建的僵尸网络规模，也意味着该攻击者的体量相对较小。值得注意的是，用于传播该样本的 ICTBroadcast 漏洞利用程序并未出现在二进制文件中，说明攻击者还具备未被发现的其他攻击能力。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于得克萨斯州的金融科技服务商Marquis软件解决方案公司已确认发生数据泄露事件，此次事件波及超 78 万名用户。该公司为全美 700 余家银行及信用社提供服务。 此次泄露事件始于 8 月 14 日，攻击者通过利用 SonicWall 防火墙漏洞侵入了公司网络。据悉，Marquis公司发现入侵行为后，立即关停了受影响系统，并聘请外部网络安全专家介入调查。 10 月下旬完成的内部审查显示，未授权攻击者获取并复制了部分商业客户的文件，这些文件包含个人及金融相关信息。 Xcape 公司安全工程师诺艾尔・村田表示：“Marquis事件是第三方供应商集中化给金融服务行业带来系统性风险的最新例证。” “一家处于众多银行数据流中的中型供应商，一旦发生安全事件，其影响范围会瞬间扩大至全国层面。” 尽管该公司尚未发现与此次事件相关的身份盗用或欺诈迹象，但备案文件显示，至少有 74 家银行和信用社受到波及。 缅因州、得克萨斯州和艾奥瓦州最新提交的通知文件，详细披露了此次泄露事件的发生过程及影响范围。 社区第一信用社一份现已被移除的备案文件指出，Marquis公司在攻击发生后不久曾支付赎金以阻止数据外泄，但该公司并未对此说法予以回应。 上述备案文件证实，多州用户均受到此次事件影响，且泄露的个人数据类型相近，包括姓名、住址、出生日期、社会保险号、纳税人识别号以及银行或银行卡账户详情。 Marquis公司将为受影响用户提供 1 至 2 年的免费信用监测及身份保护服务。 此外，该公司表示在事件发生后已推出一系列安全强化措施，具体如下： 确保所有防火墙设备均完成补丁更新 更换本地账户密码 注销未使用的账户 为所有防火墙及 VPN 账户启用多因素认证（MFA） 延长防火墙日志留存时长 增设 VPN 多次登录失败锁定规则 对已授权国家启用地理 IP 过滤 阻断与已知僵尸网络控制服务器的连接 Suzu Labs首席执行官迈克尔・贝尔评论称：“这份整改清单道出了问题本质。” “这些安全管控措施本应在零日漏洞出现前就全部落实到位。零日漏洞只是为攻击者打开了大门，而基础的安全防护水平才决定了他们闯入后的破坏程度。” 安全研究人员还指出，近期多起与 SonicWall 相关的泄露事件均与 Akira 勒索软件团伙有关，但本次事件目前尚无任何组织宣称负责。 Marquis公司表示相关调查仍在进行中，截至发稿时，尚未发现被盗数据在网络上流传的证据。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文