最新文章

Top News
研究人员泄露"BlueHammer"Windows 零日漏洞利用代码

研究人员泄露"BlueHammer"Windows 零日漏洞利用代码

作者: hackernews 日期: 2026-04-07 分类: 漏洞事件

HackerNews 编译,转载请注明出处:

一名安全研究人员因对微软安全响应中心(MSRC)处理漏洞披露流程不满,公开了未修补Windows权限提升漏洞的利用代码,攻击者可借此获取SYSTEM或提升的管理员权限。

...

Phorpiex 钓鱼攻击投放强隐蔽性 Global Group 勒索软件

Phorpiex 钓鱼攻击投放强隐蔽性 Global Group 勒索软件

作者: hackernews 日期: 2026-02-11 分类: 网络钓鱼

HackerNews 编译,转载请注明出处:

研究人员监测到一起大规模钓鱼攻击活动,该活动投放长期存在的 Phorpiex 恶意软件,所使用邮件的主题为 “您的文档”,这一诱骗手段在 2024 至 2025 年被广泛使用。

...

ClickFix 攻击利用虚假 Windows 蓝屏死机界面推送恶意软件

ClickFix 攻击利用虚假 Windows 蓝屏死机界面推送恶意软件

作者: hackernews 日期: 2026-01-06 分类: 恶意软件

HackerNews 编译,转载请注明出处:

一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业,利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。


蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。


在12月首次发现、并被Securonix研究人员追踪为"PHALT#BLYX"的新攻击活动中,冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。


ClickFix社会工程攻击是一种设计用于显示错误或问题,然后提供"修复"方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知,指示访问者在其计算机上运行命令来解决问题。


受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。


在这项新的ClickFix攻击活动中,攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件,通常发送给酒店企业。声称的退款金额足够大,足以给邮件接收者制造一种紧迫感。


点击邮件中的链接会将受害者带到一个托管在'low-house[.]com'上的虚假Booking.com网站,Securonix将其描述为真实Booking.com网站的"高保真克隆"。


Securonix报告称:"该页面使用了Booking.com官方品牌元素,包括正确的配色方案、徽标和字体样式。在外行人看来,它与真实网站无法区分。"


该网站托管着恶意JavaScript,向目标显示虚假的"加载时间过长"错误,诱使他们点击按钮刷新页面。


然而,当目标点击该按钮时,浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面,从而启动ClickFix社会工程攻击。


该界面提示用户打开Windows"运行"对话框,然后按CTRL+V,这将粘贴已复制到Windows剪贴板的恶意命令。


接着提示用户按键盘上的"确定"按钮或Enter键来执行该命令。


真正的蓝屏死机消息不会提供恢复指令,只会显示错误代码和重启通知,但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。


粘贴提供的命令会运行一条PowerShell命令,该命令会打开一个诱饵性的Booking.com管理员页面。同时,在后台下载一个恶意的.NET项目(v.proj)并使用合法的Windows MSBuild.exe编译器进行编译。


执行时,该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限,然后使用后台智能传输服务下载主要加载器,并通过在启动文件夹中放置.url文件来建立持久性。


该恶意软件是DCRAT,一种远程访问木马,通常被威胁行为者用于远程访问受感染设备。


该恶意软件使用进程空洞技术注入到合法的'aspnet_compiler.exe'进程中,并直接在内存中执行。


首次与命令与控制服务器联系时,恶意软件会发送其完整的系统指纹,然后等待执行命令。


它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中,攻击者投放了一个加密货币挖矿程序。


随着远程访问的建立,威胁行为者现在在目标网络中获得了立足点,使他们能够传播到其他设备、窃取数据并可能危害其他系统。




 

...

黑客利用 Windows Hyper-V 隐藏 Linux 虚拟机,规避 EDR 检测

黑客利用 Windows Hyper-V 隐藏 Linux 虚拟机,规避 EDR 检测

作者: hackernews 日期: 2025-11-07 分类: 网络安全

HackerNews 编译,转载请注明出处:

名为Curly COMrades的威胁行为者被发现利用虚拟化技术绕过安全解决方案,执行定制恶意软件。


根据Bitdefender的最新报告,该威胁行为者会在选定的受害者系统上启用 Hyper-V 角色,部署一个精简版的阿尔派 Linux(Alpine Linux)虚拟机


安全研究员在技术报告中表示:“这个隐藏环境占用资源极少,仅需 120MB 磁盘空间和 256MB 内存,托管着他们的定制反向 Shell 工具 CurlyShell,以及反向代理工具 CurlCat。”


这家罗马尼亚网络安全厂商于 2025 年 8 月首次记录到Curly COMrades的相关活动,其一系列攻击针对格鲁吉亚和摩尔多瓦。该活动集群被评估为自 2023 年底起持续活跃,其行动目标与俄罗斯的利益一致。


这些攻击会部署多种工具,包括用于双向数据传输的 CurlCat、用于持久远程访问的 RuRat、用于凭证窃取的 Mimikatz,以及一个名为 MucorAgent 的模块化.NET 植入程序,其早期版本可追溯至 2023 年 11 月。


在与格鲁吉亚计算机应急响应小组合作开展的后续分析中,研究人员发现了该威胁行为者使用的更多工具,同时发现他们试图通过在受感染的 Windows 10 主机上利用 Hyper-V 建立隐藏远程操作环境,以实现长期访问。


研究人员称:“通过将恶意软件及其执行环境隔离在虚拟机内,攻击者有效绕过了许多传统的主机端 EDR检测。该威胁行为者展现出维持反向代理能力的明确意图,不断向环境中引入新工具。”


除了使用 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 和基于 SSH 的代理与隧道技术外,Curly COMrades还采用了其他多种工具,包括一个用于远程命令执行的 PowerShell 脚本,以及此前未被记录的 ELF 二进制文件 CurlyShell—— 该工具部署在虚拟机中,可提供持久反向 Shell。


这款恶意软件由 C++ 编写,以无头后台守护进程的形式执行,用于连接命令与控制(C2)服务器并启动反向 Shell,使威胁行为者能够运行加密命令。通信通过 HTTP GET 请求向服务器查询新命令,并通过 HTTP POST 请求将命令执行结果回传至服务器实现。


比特梵德表示:“两款定制恶意软件家族 ——CurlyShell 和 CurlCat 是此次活动的核心,它们共享大部分相同的代码库,但在接收数据的处理方式上存在差异:CurlyShell 直接执行命令,而 CurlCat 通过 SSH 转发流量。这些工具的部署与运行旨在确保灵活的控制能力和适应性。”

...