HackerNews 编译，转载请注明出处： 据报道，与俄罗斯有关联的黑客组织 Fancy Bear（ APT28）利用微软 Office 近期披露的一项漏洞，对乌克兰及欧盟相关组织发起网络攻击。 该预警由乌克兰国家网络威胁情报机构 —— 乌克兰计算机应急响应小组（CERT-UA）于 2 月 2 日发布。 CVE-2026-21509 漏洞在披露前已遭利用 CERT-UA 具体报告称，其在 1 月 29 日发现了一个名为 “Consultation_Topics_Ukraine(Final).doc” 的 Word 文档。该文档包含 CVE-2026-21509 漏洞的利用程序，该漏洞为高危级别（CVSS 3.1 评分 7.8 分），影响微软 Office 2016、2019、长期服务频道 2021 版、长期服务频道 2024 版及微软 365 企业应用版等多个版本。 微软于 1 月 26 披露了该漏洞，其成因是微软 Office 在安全决策环节过度依赖不可信输入。 该漏洞被成功利用后，攻击者可绕过微软 365 及 Office 中的对象链接与嵌入（OLE）防护机制，而该机制原本用于保护用户免受存在漏洞的组件对象模型（COM）及 OLE 控件的威胁。 微软在其安全公告中确认，已检测到该漏洞存在在野利用的相关证据。该科技企业敦促微软 Office 2016 及 2019 版本用户务必安装更新以获得防护。 微软 Office 2021 及后续版本用户将通过服务端更新获得自动防护，但需重启 Office 应用程序方可生效。 CERT-UA 在报告中指出：“鉴于用户可能延迟（或无法）更新微软 Office 及落实推荐安全措施，利用该漏洞发起的网络攻击数量或将持续上升。” Fancy Bear 针对 CVE-2026-21509 漏洞的攻击链 乌克兰计算机应急响应小组发现的该 Word 文档，与欧盟常驻代表委员会针对乌克兰局势的磋商相关。 文档元数据显示，其创建时间为 1 月 27 日上午，即微软披露该漏洞的次日。 同日，乌克兰计算机应急响应小组表示，从合作方处收到报告称，出现疑似来自乌克兰水文气象中心的钓鱼邮件，附件为另一个名为 BULLETEN_H.doc 的文档。 这封邮件被发送给了超过 60 个邮箱地址，收件方主要是乌克兰的中央行政机关。 CERT-UA 的深入分析表明，使用微软 Office 打开该文档后，会通过 WebDAV 协议触发与外部资源的网络连接，随后下载一个伪装成快捷方式（LNK 文件）的恶意文件，该文件含有的恶意代码可实现载荷的下载与执行。 攻击成功执行后，会进行以下操作： 创建名为 “EhStoreShell.dll” 的 DLL 文件（伪装成系统“增强存储外壳扩展”库）。 创建包含 Shellcode 的图片文件 “SplashScreen.png”。 修改注册表中 CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} 的路径（以此实现 COM 劫持）。 创建名为 “OneDriveHealth” 的计划任务。 这些任务执行后，会终止并重启资源管理器进程（explorer.exe），该进程会通过组件对象模型劫持技术加载 EhStoreShell.dll 文件。 该动态链接库文件会执行图片文件中的壳代码，最终在受感染系统中加载 Covenant 攻击框架。 Covenant 是一款基于.NET 框架开发的命令与控制（C2）工具，最初设计用途为网络攻防演练及红队渗透测试。 乌克兰计算机应急响应小组还强调，由于 Covenant 框架将合法云存储服务 Filen 作为命令与控制基础设施，疑似被Fancy Bear组织列为攻击目标的机构，应封禁该云存储服务节点的网络访问，或至少对相关网络交互进行严密监控。 2026 年 1 月下旬，安全人员还发现了另外三份携带相同漏洞利用代码的文档，其攻击目标指向欧盟国家的组织机构。 乌克兰计算机应急响应小组敦促相关方落实微软安全公告中列明的漏洞缓解措施，尤其是针对 Windows 注册表配置的相关防护操作。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某威胁行为者正针对暴露的 MongoDB 实例发起自动化数据勒索攻击，向数据库所有者索要小额赎金，承诺支付后恢复数据。 该攻击者专挑易得目标下手，即因配置不当导致无限制访问、安全性缺失的数据库。据估计，已有约1,400台暴露的服务器遭入侵，攻击者留下的勒索信索要约500美元（以比特币支付）的赎金。 2021 年之前，此类攻击曾集中爆发，导致数千个数据库被删除，攻击者索要赎金以恢复数据 [1,2]，部分情况下，攻击者仅删除数据库，并未提出金钱诉求。 网络安全公司Flare的研究人员通过渗透测试发现，此类攻击至今仍在持续，只是规模有所缩小。研究人员共发现超过 20.85 万台公网暴露的 MongoDB 服务器。其中，10万台泄露了运维信息，更有3,100台根本无需身份验证即可直接访问。 Flare 核查时发现，无限制访问的 MongoDB 服务器中，近半数（45.6%）已遭入侵，这些数据库被清空，只留下一封勒索信。 Flare 在报告中指出：“威胁行为者要求向指定钱包地址支付比特币（通常为 0.005 枚，当前价值约 500 至 600 美元），并承诺支付后恢复数据”。然而，Flare在报告中明确指出：“但目前无法保证攻击者确实留存了数据，也无法保证受害者支付赎金后，对方会提供可用的解密密钥。” 所有勒索信中仅出现 5 个不同的钱包地址，其中一个地址占比高达约 98%，可见此类攻击由单一威胁行为者主导。 Flare 还指出，部分暴露且防护薄弱的 MongoDB 实例未遭攻击，推测这些实例的所有者可能已向攻击者支付了赎金。 除身份验证措施薄弱外，研究人员还发现，所有公网暴露的 MongoDB 服务器中，近半数（9.5 万台）运行老旧版本，存在已知漏洞（n-day 漏洞）风险。但这些漏洞大多仅能被利用发起拒绝服务攻击，无法实现远程代码执行。 Flare 建议 MongoDB 管理员，非必要不将实例暴露至公网；启用高强度身份验证；部署防火墙规则及 Kubernetes 网络策略，仅允许可信连接访问；避免直接照搬部署指南中的配置。需将 MongoDB 升级至最新版本，并持续监控实例是否存在暴露风险。若发现实例暴露，需立即轮换凭证，并核查日志排查是否存在未授权操作。   消息来源:bleepingcomputer： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。 已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。 Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。” 钓鱼攻击与凭证窃取详情如下： 监测显示，UNC6661 会冒充信息技术人员致电目标受害者组织员工，以指导更新多因素认证设置为幌子，诱导员工点击凭证窃取链接。该攻击活动的监测记录时段为 2026 年 1 月上旬至中旬。 得手后，攻击者利用窃取的凭证为自己的设备注册MFA，随后横向渗透网络，从SaaS平台窃取数据。在至少一起案例中，攻击者还利用已控制的邮箱，向加密货币公司的联系人发送更多钓鱼邮件，并事后删除以掩盖踪迹。最终的勒索环节则由UNC6240（ShinyHunters）发起勒索攻击活动。 监测发现，自2026年1月初起，UNC6671同样会冒充信息技术人员实施欺骗，诱骗受害者在仿冒的钓鱼网站上提交凭证和MFA码。在部分事件中，攻击者成功入侵了Okta客户账户，UNC6671 还会利用 PowerShell 从 SharePoint 及 OneDrive 中下载敏感数据。 UNC6661 与 UNC6671 的差异体现在两方面：一是注册凭证窃取域名所用的注册商不同（UNC6661 使用 NICENIC，UNC6671 使用 Tucows）；二是 UNC6671 攻击后发送的勒索邮件，与已知的 UNC6240 攻击指标无重合。这表明攻击背后可能涉及不同团伙，体现出此类网络犯罪组织的松散性特征。此外，针对加密货币企业的攻击目标选择，表明威胁行为者或在寻求更多牟利途径。 为应对SaaS平台面临的此类威胁，谷歌提出了一系列强化防护、完善日志与加强检测的建议： 优化服务台流程，包括要求工作人员通过实时视频通话完成身份核验。 限制访问可信出口点及物理位置；强制使用高强度密码；取消短信、电话及邮件作为身份验证方式。 限制管理平面访问权限；审计暴露的密钥信息；强化设备访问控制。 部署日志机制，提升身份操作、授权行为及软件即服务平台数据导出行为的可视性。 重点监控MFA设备注册及生命周期变更事件；警惕可能暗示邮箱被工具（如ToogleBox Email Recall）操纵的OAuth/应用授权事件；关注在非工作时间发生的异常身份验证活动。 谷歌表示：“此类攻击并非厂商产品或基础设施存在安全漏洞所致。相反，它再次凸显了社会工程学攻击的有效性，并强调了各组织应尽可能转向采用防钓鱼的MFA方案。诸如FIDO2安全密钥或通行密钥等方法，能够有效抵御社会工程攻击，而推送通知或短信验证则不具备同等的防护能力。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据当地媒体报道，俄罗斯弗拉基米尔州一家大型面包生产企业遭遇网络攻击，导致食品配送工作受阻。 弗拉基米尔面包厂—— 该州最大面包生产企业之一 —— 在声明中表示，其内部数字系统于周日夜间遭攻击，办公电脑、服务器、电子文档管理工具及广泛应用的 1C 企业会计系统均陷入瘫痪。 尽管生产线未受波及，面包房仍在满负荷运转，但系统中断严重阻碍了订单处理与产品交付。当地居民、零售门店以及面向社会机构的食品供应商均反映，在履行现有合同方面遇到困难，该公司的烘焙产品在商店出现暂时性短缺。 大型连锁零售企业确认存在配送问题，但表示门店货架未出现面包大面积短缺情况。 为保障物资供应持续，该企业安排全体办公人员实行 24 小时轮班制，并暂时恢复订单与发货的人工处理模式。目前该厂尚未公布数字系统全面恢复的时间表，并就此次事件造成的不便向合作伙伴及消费者致歉。 目前，攻击者身份及事件的具体性质尚未明确。 这并非网络攻击首次波及俄罗斯食品行业。今年 6 月，俄罗斯动物源性产品数字认证系统遭网络攻击瘫痪，当地乳制品企业因此出现供应问题，企业被迫改用纸质兽医证明，进而引发物流延误。 去年 12 月，西伯利亚南部一家大型乳制品加工厂遭遇勒索软件攻击，系统被全面加密。当地媒体猜测，此次入侵可能与该工厂据称向乌克兰境内俄军提供支持有关，但官方尚未就攻击归属作出认定。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项大语言模型劫持攻击行动正大规模针对暴露的大语言模型及 MCP 开展攻击，以实现商业化牟利。 据Pillar Security报告，在此次大规模大语言模型劫持行动中，网络犯罪分子正批量搜寻、劫持暴露的大语言模型及 MCP 端点，并将其商业化牟利。该攻击行动被命名为 “Operation Bizarre Bazaar”，针对暴露或未受保护的人工智能端点发起攻击，实现劫持系统资源、转售应用程序接口访问权限、窃取数据及横向渗透至内部系统等目的。 攻击主要针对自托管的AI基础设施，包括：暴露了默认端口的服务、未设置身份验证的API接口、面向公网的开发或测试环境，以及缺乏访问控制的MCP服务器。 Pillar公司解释称：“被入侵的大语言模型端点会产生高额成本（推理计算成本高昂）、泄露企业敏感数据，还会为攻击者提供横向渗透的机会。” “Operation Bizarre Bazaar”涉及三个环环相扣的组成部分：一个扫描器（即自动扫描互联网寻找暴露系统的僵尸网络基础设施）、一个验证器（与名为silver.inc的实体关联，负责验证发现的端点是否可利用），以及一个市场（名为“统一LLM API网关”，同样由silver.inc控制）。 扫描发现目标后，silver.inc 会在 2 至 8 小时内通过系统化应用程序接口测试，对目标端点进行验证。监测显示，威胁行为者会枚举目标模型功能并评估其响应质量。 Pillar指出，这个黑市提供对超过30种大型语言模型的访问权限。该交易市场部署在荷兰的抗攻击基础设施上，在 Discord 及 Telegram 平台进行推广，交易支持加密货币或 PayPal 支付。 Pillar已监测到超过35,000次与该行动相关的攻击会话，平均每天高达972次。“持续的高频攻击活动表明，攻击者是系统性针对暴露的人工智能基础设施发起攻击，而非随机性扫描。”报告强调。 已被确认遭利用的系统类型包括：11434端口上未设认证的Ollama实例、8000端口上暴露的OpenAI兼容API、无访问控制的MCP服务器、分配了公网IP的开发环境，以及缺乏认证或速率限制的生产环境聊天机器人。 Pillar指出，该行动由一个代号为“Hecker”（亦化名Sakuya、LiveGamer101）的威胁行为者运营，其基础设施与nexeonai.com服务存在重叠，暗示可能存在关联。 “攻击者会选择阻力最小的路径，即无防护门槛的端点。即便是面向公网的人工智能服务，也可通过速率限制、使用额度管控及行为监测抵御随机性滥用；对于内部服务，防护逻辑更简单：非必要不暴露，需定期扫描外部攻击面，确认无违规暴露情况。”Pillar建议道。 此外，该公司还发现了另一个很可能由不同攻击者发起、目标迥异的侦察活动，专门针对MCP服务器。“到一月底，总攻击流量的60%都来自这类针对MCP的侦察行动，”报告补充道。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 音频流媒体平台SoundCloud系统遭黑客入侵，超过2980万用户账户的个人信息与联系方式被盗。这家成立于2007年、以艺术家为核心的平台，目前为全球4000多万艺术家提供超过4亿首曲目访问服务。 公司于12月15日确认数据泄露事件，此前用户普遍反映无法访问SoundCloud，且通过VPN连接时出现403″禁止访问”错误。SoundCloud当时向科技媒体BleepingComputer表示，在检测到涉及辅助服务控制面板的未授权活动后已启动事件响应程序。 “我们获悉某自称威胁行为者的组织访问了公司持有的部分有限数据，”SoundCloud声明称，”已完成受影响数据的调查，确认未涉及财务数据或密码等敏感信息。泄露数据仅包含电子邮件地址及SoundCloud公开个人资料中已显示的信息。” 尽管SoundCloud未披露事件具体细节，BleepingComputer获悉此次泄露影响平台20%用户（约2800万账户，基于公开用户数据计算）。SoundCloud随后发布的安全公告证实了该媒体信源的信息准确性。 调查发现，勒索组织ShinyHunters是本次攻击的幕后黑手，该组织曾试图勒索SoundCloud。公司1月15日更新确认了该情况，称威胁行为者”提出勒索要求，并通过邮件洪水攻击骚扰用户、员工及合作伙伴”。 虽然SoundCloud尚未公布具体受影响用户数量，但数据泄露通知服务”Have I Been Pwned”周一披露了事件全貌：约2980万账户的电子邮箱、地理位置、姓名、用户名及个人资料统计数据在此次事件中被窃取。 该通知服务说明称：”2025年12月，SoundCloud宣布发现平台存在未授权活动。攻击者借此将约20%用户的公开资料数据与电子邮箱地址进行匹配。受影响数据包含3000万个独立邮箱地址、姓名、用户名、头像、关注者统计信息，部分案例还涉及用户所在国家。攻击者随后试图勒索SoundCloud，并于次月公开泄露数据。” BleepingComputer今日再次就12月事件联系SoundCloud询问细节，尚未获得即时回复。值得关注的是，ShinyHunters上周还宣称对Okta、微软及谷歌单点登录账户的语音钓鱼攻击浪潮负责，此类攻击可能导致企业SaaS平台被入侵进而窃取数据用于勒索。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯家庭、企业及车辆警报安防系统提供商Delta公司近日遭受网络攻击，导致运营瘫痪、服务大面积中断，引发客户投诉潮。该公司周一发布声明称，遭遇”大规模、协同且组织严密”的网络攻击，攻击源来自某未指明的”敌对国家”，部分服务出现临时中断，但尚无证据表明客户个人信息泄露。 Delta营销总监瓦列里·乌什科夫在视频声明中表示：”我们的系统架构未能抵御来自境外的高度协同攻击。”他同时指出，由于公司持续面临后续攻击威胁，数据备份恢复工作进展缓慢。技术团队正全力修复系统，预计将尽快全面恢复运营。 截至周二，Delta官网及电话线路仍处于离线状态，公司被迫通过社交媒体平台VKontakte与数万名客户保持沟通。此次事件对用户造成切实影响：俄语Telegram新闻频道Baza报道称，事件发生后用户立即投诉车辆警报系统无法关闭或完全锁死车辆；《生意人报》报道则指出，尽管Delta声称多数服务运行正常，用户仍反映出现远程车辆启动系统故障、车门意外锁闭、行驶中引擎熄火等广泛问题。 此外，用户还报告住宅和商业建筑的警报系统自动切换至紧急模式且无法解除。尽管Delta坚称客户数据未泄露，某个自称攻击方运营的匿名Telegram频道发布了据称包含被盗数据的文件压缩包。相关材料的真实性及攻击者身份均未获独立核实。 值得注意的是，同一日俄罗斯航空业也遭遇大规模IT系统中断，多家航空公司及机场的订票值机系统瘫痪。多家航司报告称，在多个航空IT系统检测到问题后，售票、值机、改签及退款服务均出现临时中断。俄罗斯官方表示此次中断由航空业通用系统运营商Sirena-Travel的内部技术故障引起，未归因为网络攻击。该公司此前曾多次遭黑客攻击，包括2023年其Leonardo航班预订系统被入侵事件。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜威胁行为体Konni近期被发现使用AI工具生成的PowerShell恶意软件，针对区块链领域的开发者和工程团队发起攻击。该钓鱼活动已瞄准日本、澳大利亚和印度用户。 根据Check Point研究团队报告，Konni的恶意活动已超越其常规攻击范围，显示出在亚太地区更广泛的攻击目标。该黑客组织通常攻击韩国、俄罗斯、乌克兰及欧洲的机构。 此次攻击主要针对具备区块链相关资源和基础设施专业知识或访问权限的软件开发人员及工程团队。Konni使用伪装成合法项目文档的诱饵内容，这些内容通常与区块链及加密货币项目相关。 具体而言，攻击活动通过Discord内容分发网络投放模仿项目需求文档的ZIP文件，从而展开多阶段攻击链。诱饵文档包含架构、技术栈、开发时间表等技术细节，部分甚至包含预算和交付里程碑。 研究人员在技术报告中指出：“这种模式表明其意图是渗透开发环境，从而获取包括基础设施、API凭证、钱包访问权限乃至加密货币资产在内的敏感资产。” 为实现攻击目的，攻击者部署了AI生成的PowerShell后门程序。该脚本具有异常精巧的结构，但代码中直接嵌入了注释：”# <– 您的永久项目UUID”。 Check Point解释称：”这种措辞是LLM生成代码的典型特征，模型会明确指示用户如何自定义占位符数值。此类注释常见于AI生成的脚本和教程中。” 研究人员表示，所有这些都凸显了包括朝鲜组织在内的威胁行为体对AI技术的使用日益增多。 Check Point强调：”与针对个人终端用户不同，此次攻击活动的目标似乎是在开发环境中建立据点，通过渗透开发环境可获得跨多个项目和服务的更广泛下游访问权限。AI辅助工具的引入表明攻击者正试图在继续依赖成熟传播手段和社会工程学的同时，加速开发进程并实现代码标准化。” 该组织至少自2014年开始活跃，通常依靠鱼叉式钓鱼攻击传播围绕朝鲜半岛地缘政治议题制作的武器化文档。Konni以针对韩国的机构和个人而闻名，重点关注外交渠道、国际关系、非政府组织、学术界和政府机构，也被追踪为Earth Imp、Opal Sleet、Osmium、TA406和Vedalia。 去年11月，Konni曾被发现通过利用谷歌资产跟踪服务Find Hub攻击Android设备，远程重置受害者设备并清除其个人数据。 消息来源: cybernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月下旬一场针对波兰电网的网络攻击，已被证实与受俄罗斯政府支持的黑客组织“沙虫”有关。该组织在攻击中试图部署一种名为”DynoWiper”的新型破坏性数据擦除恶意软件。 沙虫组织（亦被追踪为UAC-0113、APT44和Seashell Blizzard）是一个俄罗斯国家级黑客组织，自2009年以来持续活跃。该组织被认为隶属于俄罗斯总参谋部情报总局（GRU）第74455部队，并以实施破坏性和毁灭性网络攻击而闻名。 几乎正好在十年前，沙虫曾对乌克兰能源电网发动了一次破坏性数据擦除攻击，导致约23万人断电。 根据ESET公司的调查，沙虫组织现已被证实与12月29日至30日针对波兰能源基础设施的攻击有关，此次攻击使用了名为“DynoWiper”的数据擦除器。 当数据擦除器被执行时，会遍历文件系统并删除文件。操作完成后，操作系统将无法使用，必须通过备份恢复或重新安装。 波兰官方在声明中表示，此次攻击的目标是两座热电联产厂以及一个用于控制风电机组和光伏农场等可再生能源发电的管理系统。 波兰总理唐纳德·图斯克在新闻发布会上表示：“一切迹象表明，这些攻击是由与俄罗斯情报部门直接相关的团体策划的。” ESET尚未公布关于DynoWiper的详细技术细节，仅表示该防病毒公司将其检测为Win32/KillFiles.NMO，其SHA-1哈希值为4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6。 BleepingComputer未能在VirusTotal、Triage、Any.Run等其他恶意软件提交平台找到该擦除器的样本。 虽然目前尚不清楚攻击者在波兰系统内潜伏了多长时间，也不确定其入侵方式，但Team Cymru的高级威胁情报顾问威尔·托马斯建议防御者参阅微软2025年2月发布的关于沙虫组织的报告。 不久前，沙虫组织还被证实与2025年6月和9月针对乌克兰教育、政府和粮食部门的破坏性数据擦除攻击有关。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者使用了一种名为PDFSider的新型恶意软件，在Windows系统上投放恶意载荷，针对金融行业《财富》前100强的一家企业发起勒索软件攻击。 攻击者借助社会工程学手段实施攻击。他们冒充技术支持人员，诱骗该企业员工安装微软Quick Assist（快速协助工具），以此尝试获取远程访问权限。 网络安全公司Resecurity的研究人员在一次事件响应过程中发现了PDFSider，并将其描述为一款用于长期隐蔽访问的后门程序，同时指出该恶意软件具备“高级持续性威胁攻击常用的典型特征”。 利用合法 EXE，搭载恶意 DLL Resecurity的发言人向BleepingComputer透露，PDFSider 已被证实用于Qilin勒索软件的攻击行动。此外，该公司威胁狩猎团队指出，这款后门程序目前已被多个勒索软件攻击团伙作为投放恶意载荷的工具，处于活跃使用状态。 PDFSider后门程序通过鱼叉式网络钓鱼邮件传播，邮件中附带一个压缩包，内含经过数字签名的合法软件——来自 Miron Geek Software GmbH的PDF24 Creator工具，同时还包含一个恶意DLL文件（cryptbase.dll），而该DLL正是该应用正常运行所需的组件。 当EXE文件运行时，会加载攻击者提供的DLL文件，这种技术被称为DLL侧加载（DLL side-loading），从而实现系统上的代码执行。 在部分攻击案例中，攻击者还会使用诱饵文档，将恶意文件伪装成与目标高度相关的内容，诱导收件人主动打开。 一旦被执行，DLL 将以加载它的 EXE 文件的权限运行。 Resecurity 解释称：“该EXE文件具有合法签名，但 PDF24软件本身存在漏洞，攻击者能够利用这些漏洞加载恶意代码，并有效绕过EDR系统。” 研究人员表示，随着AI编程技术的兴起，网络犯罪分子如今能够更轻易地找到存在漏洞的软件，并加以利用实施攻击。 内存驻留、DNS 通信与强加密 PDFSider直接加载至内存中运行，几乎不在磁盘上留下痕迹，并通过匿名管道借助CMD执行命令。 每一台受感染主机都会被分配一个唯一标识符，系统信息随后通过DNS（53端口）被外泄至攻击者控制的VPS服务器。 PDFSider使用Botan 3.0.0加密库和AES-256-GCM来保护其命令与控制通信，并在内存中对接收到的数据进行解密，以尽量减少在主机上的可见痕迹。 此外，其数据还通过GCM模式下的AEAD（带关联数据的认证加密）进行完整性验证。 Resecurity 指出：“这种加密实现方式通常出现在定向攻击中使用的远程 Shell 恶意软件里，在这类攻击中，通信的完整性与机密性至关重要。” 反分析与长期潜伏能力 该恶意软件还具备多种反分析机制，例如检测内存大小、识别调试器环境，一旦发现运行于沙箱或分析环境中，便会提前退出。 综合分析后，Resecurity 认为，PDFSider “更接近于间谍活动所使用的技术，而非单纯以经济利益为目的的恶意软件”。它被设计为一种高度隐蔽的后门工具，能够维持长期、隐秘的访问，并提供灵活的远程命令执行能力与加密通信机制。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文