设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20250327)
返回列表 发新帖

每日安全简讯(20250327)

[复制链接]
发表于 2025-3-26 19:16 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Water Gamayun组织利用微软管理控制台中的零日漏洞进行攻击

研究人员发现,疑似俄罗斯攻击组织Water Gamayun(又名EncryptHub和Larva-208)发起了一个攻击活动,利用微软管理控制台(mmc.exe)中的零日漏洞在受感染的机器上执行恶意代码。研究人员将该漏洞命名为“MSC EvilTwin”(CVE-2025-26633)。研究人员在这篇报告中重点对“MSC EvilTwin”漏洞和利用此漏洞的恶意加载程序进行介绍,解释它如何通过微软管理控制台(.msc)文件下载和执行恶意文件。
MSC EvilTwin.png
https://www.trendmicro.com/en_us/research/25/c/cve-2025-26633-water-gamayun.html

2 研究人员对Kimsuky组织的新样本进行分析

Kimsuky,也称为“Black Banshee”,是一个至少从2012年开始活跃的朝鲜APT组织,据信是由国家支持的。他们的网络间谍活动针对韩国、日本和美国等国家。他们的策略包括网络钓鱼、恶意软件感染、供应链攻击、网络内部的横向移动和数据泄露。最近,研究人员在一条推文中看到了该APT组织最新攻击的IOC,样本是一个包含恶意载荷的ZIP文件。ZIP文件内有四个文件:一个VBScript、一个PowerShell脚本和两个经过编码的文本文件,这些编码的文本文件包含混淆的数据。研究人员对这些文件进行了深入分析并揭示其攻击链。
Kimsuky.png
https://labs.k7computing.com/index.php/inside-kimsukys-latest-cyberattack-analyzing-malicious-scripts-and-payloads/

3 研究人员对恶意软件SectopRAT进行分析

SectopRAT(又名ArechClient、1xxbot)是一个基于.NET框架构建的远控木马,自2019年初以来一直活跃。该恶意软件会窃取浏览器凭据、加密货币钱包和系统数据等信息。SectopRAT的独特之处在于它能够建立隐藏的辅助桌面,这允许攻击者在受害者不知情的情况下远程操作浏览器会话。该恶意软件实现了强大的反分析功能,包括反虚拟机和反模拟器功能,同时使用AES-256对通信流量进行加密。SectopRAT通常通过恶意广告活动(包括Google和Bing广告)以及虚假软件进行传播。
SectopRAT.png
https://www.inde.nz/blog/i-am-not-a-robot

4 攻击者通过恶意邮件传播SnakeKeylogger窃密木马

研究人员近期发现一个恶意软件活动,该活动将SnakeKeylogger作为最终载荷植入到目标系统中。初始诱饵文件是一个包含.img文件的恶意电子邮件。该.img文件中含有一个伪装成PDF文档的可执行程序,攻击者以此诱导用户执行该程序。该程序是由.NET编写的下载器,它会连接远程服务器并下载后续载荷,并最终植入SnakeKeylogger。
SnakeKeylogger.png
https://www.seqrite.com/blog/snakekeylogger-a-multistage-info-stealer-malware-campaign/

5 CrushFTP修复一个安全漏洞并提醒用户尽快更新

CrushFTP修复未经身份验证的HTTP(S)端口访问漏洞,并提醒用户立即对CrushFTP进行更新。如果未修复该漏洞的服务器通过HTTP(S)在网络中公开,则攻击者能够利用此安全漏洞获得未经身份验证的访问权限。CrushFTP于2025年3月21日对该漏洞进行修复,很快将会对其分配CVE编号。用户应立即更新至CrushFTP v11.3.1+版本,无法更新的用户可以启用DMZ(隔离区)外围网络选项,以保护其CrushFTP实例直到可以部署安全更新。
CrushFTP.png
https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-unauthenticated-access-flaw-immediately/

6 博通修复VMware Tools for Windows中的一个安全漏洞

博通发布安全更新,修复VMware Tools for Windows中的一个身份验证绕过漏洞。该漏洞被标识为CVE-2025-22230(CVSS评分7.8),是由不正确的访问控制缺陷引起的,具有低权限的本地攻击者可以在不需要用户交互的低复杂性攻击中利用它,从而在易受攻击的虚拟机上获得高权限。
VMware.png
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2025-4-3 14:01

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表