设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20250529)
返回列表 发新帖

每日安全简讯(20250529)

[复制链接]
发表于 2025-5-29 00:06 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 APT组织Velvet Chollima使用钓鱼邮件攻击多国政府官员

研究人员发现,与朝鲜有关的Velvet Chollima APT组织发起了一场复杂的网络攻击活动,该活动针对韩国政府官员,以及北美、南美、欧洲和东亚地区的非政府组织、政府机构和媒体组织。攻击者通过发送鱼叉式钓鱼邮件,投递带有密码保护的压缩文件,诱骗目标对象输入预设密码以解压恶意LNK文件。这些初始LNK文件伪装成会议议程,一旦执行,便会触发PowerShell脚本下载二级载荷,并通过隐写术提取并执行Velvet远程控制木马。该木马具备窃取文件、截取屏幕、记录键盘操作以及获取通信软件数据等功能。
image_1.png
https://medium.com/@S3N4T0R/velvet-chollima-apt-adversary-simulation-89c5159e7fc1

2 攻击者利用伪造的防病毒网站传播多个恶意软件

研究人员发现了一起攻击活动,该活动通过伪装成Windows防病毒软件下载页面,诱骗用户下载Venom远程控制木马。一旦用户点击伪造网站上的下载按钮,便会触发一个指向Bitbucket的链接,最终用户会下载到一个ZIP文件,此文件包含名为StoreInstaller.exe的可执行文件。该可执行文件捆绑了Venom恶意软件、开源后渗透利用框架SilentTrinity的代码以及StormKitty窃取器。其中,Venom远程控制木马具备窃取用户凭证、加密钱包信息等功能。
image_2.png
https://securityaffairs.com/178366/malware/fake-antivirus-spreads-venom-rat.html?web_view=true

3 新型PumaBot僵尸网络攻击IoT设备

研究人员发现了一种名为PumaBot的新型僵尸网络,该网络专门针对基于Linux的物联网设备。PumaBot僵尸网络使用Go语言编写,它通过暴力破解SSH登录凭证进行传播,并在受感染的主机上部署额外的恶意软件。具体而言,PumaBot会从命令与控制服务器获取目标列表,尝试暴力破解SSH凭证,一旦成功入侵目标主机,便会接收远程命令并建立持久化机制。此外,该恶意软件还会伪装成合法的Redis系统文件,创建一个持久化的systemd服务,并执行从服务器接收到的命令,这些命令中包括用于非法挖矿的指令。除此之外,PumaBot还会部署其他相关恶意软件,例如ddaemon、networkxm、installx.sh、jc.sh、pam_unix.so等工具,这些工具被用于进一步扩大感染范围以及窃取用户凭证。
image_3.png
https://thehackernews.com/2025/05/new-pumabot-botnet-targets-linux-iot.html

4 新型恶意软件攻击Docker容器并部署Dero加密货币挖矿程序

研究人员发现,一种新型自我传播恶意软件正针对配置不当的Docker容器发起攻击,并将受感染的Docker容器变成用于挖掘Dero加密货币的僵尸网络。该恶意软件通过两个组件实现其攻击链:其中一个组件是名为“nginx”的恶意软件,它负责扫描互联网上暴露的Docker容器;另一个组件则是用于挖掘Dero加密货币的“cloud”矿工程序。这两个组件均使用Golang语言开发。“nginx”恶意软件被设计为记录自身的运行活动、启动矿工程序,并进入一个无限循环,在循环中生成随机IPv4网络子网,以标记更多易受攻击的Docker容器。此外,该恶意软件还会通过安装masscan和docker.io工具来感染其他网络,进而实现恶意软件的进一步传播。其最终目标是部署用于挖掘Dero加密货币的程序。
image_4.png
https://thehackernews.com/2025/05/new-self-spreading-malware-infects.html

5 微软OneDrive文件选择器漏洞可导致用户访问整个云存储内容

微软OneDrive文件选择器被发现存在一个安全漏洞,该漏洞使得网站用户在通过该工具上传文件时,能够访问其整个云存储内容,而不仅仅是用户选定的文件。这一问题源于OAuth范围设置得过于宽泛,且相关权限说明具有误导性,未能明确解释用户所授予的访问权限范围。受此漏洞影响的应用包括ChatGPT、Slack、Trello和ClickUp等。
image_5.png
https://thehackernews.com/2025/05/microsoft-onedrive-file-picker-flaw.html

6 攻击组织利用Craft CMS漏洞部署挖矿程序和后门程序

研究人员发现,攻击者组织Mimo利用Craft CMS存在的远程代码执行漏洞(CVE - 2025 - 32432)来部署挖矿程序和后门。攻击者首先借助该漏洞获取未经授权的系统访问权限,随后部署Web Shell,以此实现持久化的远程访问。紧接着,攻击者下载并执行恶意脚本,先卸载已知的加密货币挖矿程序并终止相关进程,最后部署新的恶意软件。此次攻击活动可归因于自2022年3月起就活跃的攻击者组织Mimo,该组织此前曾利用其他漏洞部署过挖矿程序,还在2023年使用基于Go语言的Mimus勒索软件发动过攻击。
image_6.png
https://thehackernews.com/2025/05/mimo-hackers-exploit-cve-2025-32432-in.html


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2026-6-30 09:25

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表