每日安全简讯(20250412)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 APT组织GOFFEE持续攻击俄罗斯境内实体
2025年4月10日,研究人员披露APT组织GOFFEE持续定向攻击俄罗斯境内实体,并在2024年下半年进一步升级攻击链。最新活动中,GOFFEE引入新型PowerShell植入物“PowerModul”,攻击目标涵盖媒体、电信、建筑、政府及能源等关键领域。PowerModul具备模块化载荷投递、持久化驻留及加密通信功能,通过内存注入规避传统检测。攻击者同时保留对Owowa模块的变种利用,结合伪造文档诱导目标启用宏代码执行。
https://securelist.com/goffee-apt-new-attacks/116139/
2 APT组织对东欧能源企业发起钓鱼攻击
2025年4月10日,研究人员披露APT组织Sapphire Werewolf(蓝宝石狼人)近期升级攻击工具链,利用最新版Amethyst Stealer(紫水晶窃取程序)对能源企业发起定向钓鱼攻击。攻击者伪造人力资源部门邮件,发送内含伪装为PDF文档的恶意可执行文件(.exe)的指定名称压缩包。恶意程序运行后连接C2服务器下载Amethyst Stealer变种。攻击目标涉及东欧地区能源基础设施,可能意图获取工业控制系统敏感信息。
https://gbhackers.com/sapphire-werewolf-upgrades-arsenal-with-amethyst-stealer/?web_view=true
3 黑客组织借云虚拟机对零售商发起钓鱼攻击
2025年4月10日,研究人员披露摩洛哥组织Atlas Lion近期通过新型手法攻击零售、餐饮等企业。该组织利用窃取的员工凭证,将自有虚拟机(VM)伪装为合法设备接入企业云域,以绕过网络设备管控。攻击初期,黑客通过仿冒企业帮助台的钓鱼短信诱导用户提交账号、密码及多因素认证(MFA)验证码,随后劫持账户并绑定其设备以维持访问权限。
https://therecord.media/atlas-lion-gift-card-cybercrime-hiding-virtual-machines?&web_view=true
4 恶意npm包篡改加密货币钱包劫持转账
2025年4月10日,研究人员披露攻击者通过npm平台投递名为“pdf-to-office”的恶意软件包,定向攻击Atomic Wallet和Exodus加密货币钱包用户。攻击者利用Node.js软件包管理器(npm)的分发机制,将恶意代码嵌入伪装为格式转换工具的合法功能模块中。该恶意包通过篡改本地安装的钱包软件代码,在用户发起转账时静默替换目标钱包地址,将资金重定向至攻击者控制的账户。
https://hackread.com/npm-malware-atomic-exodus-wallets-hijack-crypto/
5 可缩放矢量图形图像钓鱼攻击激增
2025年4月10日,研究人员称基于SVG(可缩放矢量图形)文件的钓鱼攻击近期呈现爆发趋势。攻击者将恶意链接嵌入SVG图像代码中,利用其支持脚本执行的特性诱导用户点击,部分案例甚至结合隐写术隐藏恶意载荷。此类攻击通过邮件附件或网页内嵌传播,因SVG文件视觉呈现无害且可适配多种分辨率,能有效规避传统文本特征检测机制。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/pixel-perfect-trap-the-surge-of-svg-borne-phishing-attacks/
6 英伟达容器工具包漏洞未完全修复
2025年4月10日,研究人员披露NVIDIA Container Toolkit针对2024年修复的高危漏洞CVE-2024-0132存在补丁不完整问题,新编号为CVE-2025-23359。该漏洞本质为竞态条件(TOCTOU)缺陷,攻击者在已获得容器内代码执行权限的前提下,可利用mount_files函数缺乏锁机制的特性,以root权限逃逸容器隔离并控制宿主机文件系统。研究人员时发现,当Docker在Linux系统配置多挂载点时,容器终止后挂载表项未清除,导致挂载表暴增耗尽文件描述符,引发拒绝服务(DoS)及SSH连接中断。
https://thehackernews.com/2025/04/incomplete-patch-in-nvidia-toolkit.html
页:
[1]