每日安全简讯(20250502)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 APT组织Nebulous Mantis攻击北约相关组织
2025年4月29日,PRODAFT研究人员发出警告,自2019年起活跃的俄罗斯APT组织Nebulous Mantis利用RomCom RAT和Hancitor攻击北约相关组织。该组织自2022年中期以来通过鱼叉式网络钓鱼传播RomCom,实施间谍活动、横向移动和数据窃取,攻击过程包括多阶段入侵,使用模块化恶意软件和加密C2通信等先进技术,攻击后部署勒索软件以掩盖数据盗窃行为。
https://securityaffairs.com/177255/intelligence/nebulous-mantis-targets-nato-related-defense-organizations.html
2 DarkWatchman远控木马利用注册表无文件存储机制
DarkWatchman是一种新型轻量级基于JavaScript的远程控制木马,主要通过钓鱼邮件传播,常伪装成ZIP文档附件。该木马具有域名生成算法,并利用注册表进行无文件存储,执行关键功能。一旦启动,会在后台安装有效载荷,显示“未知格式”消息以迷惑用户。它可执行多种操作,如运行可执行文件、加载DLL、执行命令等,并将数据暂存于注册表中,之后传输至攻击者控制服务器。
https://securityaffairs.com/177268/cyber-crime/hive0117-targets-russian-firms-with-darkwatchman-malware.html
3 攻击者利用伪造的验证码(CAPTCHA)网页部署NodeJS远程控制木马
2025年4月29日,Trustwave SpiderLabs安全研究团队披露攻击者通过伪造的验证码(CAPTCHA)网页引诱用户执行NodeJS后门,进而部署复杂的NodeJS远程控制木马。该攻击活动自2024年9月持续至今,用户访问被入侵的合法网站后,攻击者通过注入恶意代码加载外部JavaScript文件,该文件会收集用户系统信息并回传至攻击者控制的服务器。随后,用户端被定向至仿冒的验证码验证页面,实际为部署NodeJS 远程控制木马。该木马具备多项恶意功能,包括但不限于系统信息窃取、敏感数据加密传输等,并可进一步部署多功能的后门模块,以维持长期隐蔽的访问权限。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/yet-another-nodejs-backdoor-yanb-a-modern-challenge/
4 伪装成安全工具的WordPress插件注入后门
2025年4月30,研究人员发现一种新型恶意软件活动,攻击者将恶意插件伪装成安全工具,诱骗用户安装。该插件可为攻击者提供持久访问权限、远程代码执行和JavaScript注入功能,同时隐藏在插件仪表盘中以逃避检测。一旦插件被删除,modified 'wp-cron.php' 文件会在下次网站访问时自动重新创建和激活。插件活跃后,通过自我状态检查为攻击者提供管理员访问权限,并注册自定义REST API路由,允许插入任意PHP代码。恶意软件还更新了注入base64解码的JavaScript到网站头部的行为,可能用于广告、垃圾邮件或重定向到不安全网站。
https://www.bleepingcomputer.com/news/security/wordpress-plugin-disguised-as-a-security-tool-injects-backdoor/
5 SonicWall多款设备漏洞遭在野利用
2025年4月29日,SonicWall确认其SMA100系列安全移动访问设备的两个漏洞(CVE-2023-44221、CVE-2024-38475)正遭在野利用。CVE-2023-44221是因SSL-VPN管理界面未正确处理特殊元素,允许攻击者注入任意命令。CVE-2024-38475则是因Apache HTTP Server的mod_rewrite未正确转义输出,攻击者可将URL映射到服务器允许访问的文件系统位置。目前这两个漏洞分别于2023年12月4日、2024年12月4日被修复。SonicWall敦促用户检查SMA 设备有无未授权登录。
https://thehackernews.com/2025/05/sonicwall-confirms-active-exploitation.html
6 美国加州长滩市政遭遇攻击导致泄露超26万个人信息
2025年4月30日,美国加利福尼亚州长滩市通报2023年11月遭网络攻击致至少26万人信息泄露,受影响者或达47万,包括居民、员工等。攻击者窃取了姓名、出生日期、财务账户和支付卡信息、生物特征信息、医疗诊断和治疗信息以及政府身份证号码等。
https://www.govinfosecurity.com/city-long-beach-says-at-least-260000-affected-by-hack-a-28152
页:
[1]