每日安全简讯(20250404)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Tomcat服务器遭恶意软件攻击
2025年4月2日,安全员披露针对Apache Tomcat服务器的攻击活动。攻击者通过暴力破解弱口令植入恶意JSP脚本,部署内核进程伪装的二进制文件进行门罗币挖矿,并通过窃取SSH密钥横向移动。代码中含中文注释,基础设施涉及新注册域名dbliker.top。恶意载荷支持多平台,利用AES加密及多层解码规避检测。安全机构建议强化凭证策略、监控异常进程及网络连接,防范资源劫持与数据泄露风险。
https://www.aquasec.com/blog/new-campaign-against-apache-tomcat/
2 朝鲜组织把目光投向了欧洲企业
2025年4月2日,安全研究员(GTIG)监测到朝鲜攻击组织把目光投向了欧洲企业,通过伪造身份在招聘平台求职。攻击组织重点攻击目标为国防工业、政府部门及区块链技术企业。攻击者利用企业“自带设备”策略的安全盲区,通过个人设备接入公司虚拟机系统来规避监控,并尝试在暴露后勒索赎金。研究显示,此类活动的激增与美国执法部门打击朝鲜IT人员有关,迫使其转向欧洲、亚洲及拉美市场。
https://www.helpnetsecurity.com/2025/04/02/north-korean-it-workers-target-europe/
3 多款恶意软件加载器升级攻击手法
2025年4月2日,安全机构披露多款恶意软件加载器升级攻击手法。Hijack Loader新增调用堆栈欺骗及反虚拟机检测模块,利用Heaven's Gate技术注入进程,并针对Avast等安全软件延迟执行。SHELBY家族通过钓鱼邮件分发.NET加载器,以GitHub仓库存储加密指令,使用个人访问令牌实现隐蔽C2通信,支持文件窃取与PowerShell命令执行。Emmenhtal加载器通过7-Zip文件传播,采用.NET Reactor混淆SmokeLoader载荷,增强反分析能力。
https://thehackernews.com/2025/04/new-malware-loaders-use-call-stack.html
4 Stripe旧版API被滥用于信用卡盗刷
2024年4月3日,安全机构发现针对电商平台的网络信用卡盗刷活动,Stripe是一家爱尔兰-美国跨国金融服务和软件即服务(SaaS)公司,攻击者利用Stripe已弃用的旧版API实时验证并回传验证有效性数据。攻击者通过伪造Stripe支付页面,隐藏原订单按钮并植入Base64加密窃密代码,当受害者支付失败后提示刷新页面;部分脚本还伪装Square支付界面并添加比特币等加密货币选项。
https://thehackernews.com/2025/04/legacy-stripe-api-exploited-to-validate.html
5 开源恶意软件致数据窃取成主流
2025年4月2日,根据Sonatype公司的数据显示,第一季度全球开源软件中检测到的恶意软件包为17,954个,同比2024年同期增长超一倍。其中,数据窃取类占比达56%,加密挖矿类占比7%。报告指出,攻击者的攻击目标主要集中于金融、政府及能源领域,并且80%的恶意程序已转向更复杂的载荷投递与代码注入技术。
https://www.helpnetsecurity.com/2025/04/03/open-source-malware-index-q1-2025/
6 英国皇家邮政疑因供应商被黑导致数据泄露
2025年4月2日,黑客组织GHNA在暗网公开英国皇家邮政集团144GB敏感数据,包括客户个人信息、内部会议录像、邮递路线数据库及Mailchimp营销列表。该组织者称攻击入口为皇家邮政供应商Spectos公司,该供应商曾涉多起数据泄露事件。皇家邮政确认正与Spectos联合调查,但未披露实际影响范围。本次事件系皇家邮政继2023年遭LockBit勒索攻击后又一重大安全危机,本次泄漏事件或引发监管机构对其第三方供应链安全审查。
https://hackread.com/hacker-leaks-royal-mail-group-data-supplier-spectos/
页:
[1]