设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20250516)
返回列表 发新帖

每日安全简讯(20250516)

[复制链接]
发表于 2025-5-15 23:41 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 安天发布《“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马》

安天CERT发现“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马,若用户下载该网站的WPS Office,实际下载的是托管在OSS中的虚假安装程序。该程序执行后,在临时文件夹%temp%中释放执行一个正常的WPS安装程序,以此迷惑用户,并在C:\ProgramData文件夹中释放三个文件,执行其中的Shine.exe程序后加载恶意libcef.dll文件,该DLL读取1.txt文件,从而在内存中执行原名称为“Install.dll”的文件,调用其Shellex导出函数,最终执行Gh0st远控木马,并创建注册表启动项实现持久化。用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具(ATool)对“Gh0st”木马进行排查和清除。经验证,安天智甲终端防御系统(简称IEP)可有效查杀该远控木马。
image_1.png
https://mp.weixin.qq.com/s/ZsOJzR8zRuomloJAYr6XsA

2 APT28组织利用MDaemon零日漏洞攻击政府邮件服务器

网络安全公司ESET发现,与俄罗斯有关的APT28组织自2023年起利用包括MDaemon在内的多个网络邮件服务器漏洞开展间谍活动,主要针对东欧政府和防务公司,同时也波及非洲、欧洲和南美的政府机构。攻击者通过电子邮件发送包含跨站脚本(XSS)攻击的恶意内容,诱使目标在易受攻击的邮件门户中打开邮件,进而在浏览器中执行恶意JavaScript代码。成功利用漏洞后,攻击者可窃取网络邮件凭证、邮件内容和联系人信息。
image_2.png
https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html

3 恶意npm包利用Unicode隐写术与谷歌日历分发载荷

研究人员发现了一个名为“os-info-checker-es6”的恶意软件包,该软件包伪装成操作系统信息工具,利用Unicode隐写术来隐藏初始恶意代码,并通过谷歌日历活动短链接充当动态下载器,以此投放下一阶段的有效载荷。这个恶意软件包由用户“kim9123”发布,截至5月15日,已被下载2001次。其关联的依赖包(如“skip-tot”)以及下游组件(如“vue-dev-serverr”)进一步扩大了攻击面。
image_3.png
https://thehackernews.com/2025/05/malicious-npm-package-leverages-unicode.html

4 CTM360发现针对Meta商业用户的钓鱼攻击激增

安全公司CTM360发现了一项名为“Meta Mirage”的全球性钓鱼攻击活动,该活动专门针对使用Meta商业套件(Business Suite)的企业用户,旨在劫持高价值账户(例如广告管理账户及品牌官方页面)。攻击者伪装成Meta官方,发送虚假通知,声称用户存在政策违规、账户将被停用或需要进行紧急验证,以此诱导用户通过钓鱼页面泄露密码、一次性验证码(OTP)以及浏览器Cookie。截至报告发布时,已发现超过14,000个恶意URL,其中78%未被主流浏览器拦截。
image_4.png
https://thehackernews.com/2025/05/ctm360-identifies-surge-in-phishing.html

5 勒索组织BianLian与RansomExx利用SAP NetWeaver漏洞部署PipeMagic木马

研究人员发现,多个网络犯罪组织正利用SAP NetWeaver Visual Composer框架存在的未授权文件上传漏洞(CVE-2025-31324)发起攻击。其中,勒索组织BianLian和RansomExx通过该漏洞部署了PipeMagic木马,并试图借助Windows CLFS提权漏洞(CVE-2025-29824)进一步扩大攻击范围。
image_5.png
https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html

6 攻击者利用三星MagicINFO 9漏洞部署Mirai僵尸网络

三星MagicINFO 9 Server被曝存在一个高危路径遍历漏洞(CVE-2025-4632),该漏洞允许攻击者以系统权限向任意文件写入内容。此漏洞实际上是2024年已修复的CVE-2024-7399漏洞的补丁绕过漏洞。自4月30日SSD Disclosure公开该漏洞的概念验证(PoC)后,它迅速被黑产组织利用。研究人员发现,攻击者利用此漏洞部署了Mirai僵尸网络。
image_6.png
https://thehackernews.com/2025/05/samsung-patches-cve-2025-4632-used-to.html


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2025-5-23 05:33

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表