每日安全简讯(20250126)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 隐秘的“Magic Packet”恶意软件瞄准Juniper VPN网关
研究人员报告显示,一场针对Juniper边缘设备的恶意活动正在蔓延,这些设备多被用作VPN网关。攻击者利用一种名为J-magic的定制恶意软件,结合"Magic Packet"技术实现隐蔽的反向连接。J-magic基于cd00r后门改写,通过eBPF过滤器监控网络流量中特定的TCP包,若符合五个预设条件之一,将启动受挑战保护的反向Shell连接,确保攻击仅由特定操作者完成。此次攻击主要针对半导体、能源、制造(海事、太阳能、重型机械)及IT行业,自2023年中期持续至2024年中。J-magic通过在企业级路由器上植入恶意代码实现长期隐蔽驻留,规避了传统检测方法。
https://blog.lumen.com/the-j-magic-show-magic-packets-and-where-to-find-them/
2 虚假Reddit网站传播Lumma Stealer恶意软件
研究人员发现,黑客通过近千个虚假Reddit与WeTransfer网站传播信息窃取型恶意软件Lumma Stealer。这些伪造网页以假装真实讨论帖吸引受害者,其中包含虚假工具下载链接,点击后会跳转至伪装的WeTransfer页面并下载恶意程序。这些虚假网站通过结合品牌名称与随机字符构成域名,后缀为“.org”或“.net”,以迷惑用户。研究表明,攻击可能通过恶意广告、SEO投毒、社交媒体私信等手段传播。
https://www.bleepingcomputer.com/news/security/hundreds-of-fake-reddit-sites-push-lumma-stealer-malware/
3 QakBot关联BC模块增强远程控制与数据收集能力
研究人员揭示了一种与QakBot恶意软件相关的新型BackConnect(BC)模块,其功能显著增强,支持远程访问和数据收集。据研究人员分析,该模块集成DarkVNC和IcedID BackConnect,提供嵌入式VNC组件以实现持久控制与代理功能,同时能够收集系统信息,用于后续利用。Sophos的研究将此模块归因于威胁团伙STAC5777,与通过Quick Assist部署Black Basta勒索软件的Storm-1811存在关联。攻击者利用伪装技术支持等手段,通过Microsoft Teams或Quick Assist诱导受害者授予远程访问权限,从而植入后门或执行勒索攻击。
https://medium.com/walmartglobaltech/qbot-is-back-connect-2d774052369f
4 Morpheus与HellCat勒索软件共享代码
安全研究人员发现,Morpheus和HellCat两款新兴勒索软件共享相同代码库,显示两者可能由相同开发工具构建。SentinelOne分析显示,这些恶意软件样本仅在受害者信息与攻击者联系方式上有所区别。两款勒索软件均通过Windows加密API使用BCrypt算法生成加密密钥,排除了\Windows\System32目录及部分文件扩展名(如.dll、.sys)进行加密,但加密后文件扩展名和元数据保持不变。此外,其勒索信模板与2023年出现的Underground Team相似,但功能实现有所差异。
https://www.sentinelone.com/blog/hellcat-and-morpheus-two-brands-one-payload-as-ransomware-affiliates-drop-identical-code/
5 SonicWall紧急修复CVE-2025-23006漏洞可执行任意操作系统命令
SonicWall发布警告,Secure Mobile Access (SMA) 1000系列设备存在严重漏洞CVE-2025-23006,可能已被利用为零日漏洞。该漏洞CVSS评分高达9.8,允许未经身份验证的远程攻击者通过不可信数据反序列化在系统中执行任意操作系统命令。漏洞仅影响SMA 1000设备的管理控制台(AMC)和中央管理控制台(CMC),而防火墙与SMA 100系列产品不受影响。SonicWall已发布12.4.3-02854平台热修复版本以解决问题,并建议客户立即更新,以降低潜在攻击风险。
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002
6 FBI警告朝鲜IT员工通过源代码盗窃勒索企业
FBI警告,美国及全球多家企业因雇佣伪装的朝鲜IT从业者面临源代码盗窃及勒索风险。这些员工利用远程访问权限窃取代码存储库并威胁泄露敏感数据。此外,他们还可能窃取企业凭证,进一步渗透网络。FBI建议企业实施最小权限原则,监控异常网络活动,加强远程雇佣审核,如身份验证和背景核查。朝鲜IT人员常用AI或换脸技术掩饰身份,企业需警惕简历中的重复信息和虚假教育背景。
https://www.ic3.gov/PSA/2025/PSA250123
页:
[1]