免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 APT组织Konni对乌克兰及欧盟外交机构发起网络间谍攻击
APT组织Konni近期针对乌克兰政府机构及欧盟外交实体发起网络间谍活动。攻击者通过发送伪装成欧盟政策文件的鱼叉式钓鱼邮件,诱导目标下载恶意LNK文件,进而部署定制化远程控制木马(RAT)。该木马可窃取敏感文件、键盘记录及系统信息,并通过加密通道回传至C2服务器。分析显示,此次攻击主要用于获取俄乌冲突相关情报及欧盟对俄制裁决策细节。目前至少3个乌克兰政府部门和2个欧盟驻外机构受影响,攻击活动最早可追溯至2023年5月。
https://thehackernews.com/2025/05/north-korean-konni-apt-targets-ukraine.html
2 APT37发起名为“Think Tank”的鱼叉式网络钓鱼活动
APT37发起了名为“Think Tank”的鱼叉式网络钓鱼活动,其目标锁定为关注朝鲜的活动人士。攻击者伪装成韩国国家安全智囊团发出邀请,通过邮件分发嵌入了Dropbox链接的压缩档案,该档案中包含恶意LNK文件。攻击者利用与韩国国家安全相关的主题以及实际事件“特朗普2.0时代:前景与韩国的应对”来吸引目标注意,并通过Dropbox云平台分发这些恶意LNK文件。当LNK文件被执行后,它会被配置为通过嵌入参数运行PowerShell命令。该命令触发后,会启动一个伪装成合法文档的HWP文件,同时在%Temp%目录下创建3个隐藏文件并执行BAT文件,最终部署RoKRAT窃密木马。RoKRAT窃密木马在执行核心恶意程序之前,会收集系统信息,包括Windows版本、计算机名称、用户名等。此外,它还会使用XOR和AES-CBC-128算法对收集的信息进行加密,并将其传输到C2服务器。
https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story
3 土耳其黑客组织利用Output Messenger零日漏洞攻击伊拉克库尔德军事目标
微软威胁情报团队发现,与土耳其相关联的黑客组织Marbled Dust自2024年4月起持续利用企业通信软件Output Messenger的零日漏洞(CVE-2025-27920),对伊拉克库尔德军事机构及欧盟外交实体发起网络间谍活动。该漏洞属于目录遍历漏洞,攻击者可通过认证用户身份,利用此漏洞将恶意文件上传至服务器的启动目录,进而部署用Go语言编写的后门程序。该程序能够窃取敏感通信数据、用户凭证及系统信息,并通过硬编码的域名将这些信息回传至控制服务器。攻击链显示,Marbled Dust组织会通过DNS劫持或仿冒域名来截获用户凭证,再结合漏洞利用手段,实现对目标服务器的完全控制。一旦控制成功,他们便可窃取所有用户的通信内容、伪造用户身份,并渗透进入内部系统。
https://thehackernews.com/2025/05/turkiye-hackers-exploited-output.html
4 摩尔多瓦执法机关逮捕涉嫌DoppelPaymer勒索软件攻击的嫌疑人
摩尔多瓦执法机关逮捕了一名45岁的外国男子,怀疑其参与了2021年针对荷兰公司的勒索软件攻击事件。警方查获了超过84,000欧元的现金、电子钱包、两台笔记本电脑、一部手机、一台平板电脑、六张银行卡、两个数据存储设备以及六张内存卡。据调查,该嫌疑人涉嫌与多起网络犯罪活动有关,其中包括针对荷兰公司的勒索软件攻击、勒索及洗钱等行为。其中一起攻击事件针对荷兰科学研究组织(NWO),造成了约450万欧元的损失。该攻击发生在2021年2月,在荷兰科学研究组织拒绝支付赎金后,攻击者泄露了其内部文件。经调查,此次攻击被归因于DoppelPaymer勒索软件组织。DoppelPaymer勒索软件被认为是在BitPaymer勒索软件的基础上发展而来的,因为两者在源代码、勒索信息以及支付门户等方面存在相似之处。2023年3月,德国和乌克兰的执法机关针对涉嫌使用DoppelPaymer进行大规模攻击的网络犯罪集团核心成员采取了行动。此外,德国还对三名涉嫌操作DoppelPaymer勒索软件的人员发出了逮捕令。
https://thehackernews.com/2025/05/moldovan-police-arrest-suspect-in-45m.html
5 华硕DriverHub漏洞可导致远程代码执行
DriverHub是华硕提供的官方驱动程序管理工具。在使用某些华硕主板时,该工具会在系统首次启动时自动安装。该软件会在后台运行,自动检测主板型号及其芯片组,并获取相应的最新驱动程序版本。然而,网络安全研究员发现,该软件对发送到DriverHub后台服务的命令验证不足。这一缺陷使得研究人员能够利用CVE-2025-3462和CVE-2025-3463这两个漏洞创建一个漏洞利用链。当这两个漏洞被结合利用时,攻击者可以绕过源站验证,并在目标系统上触发远程代码执行
https://www.bleepingcomputer.com/news/security/asus-driverhub-flaw-let-malicious-sites-run-commands-with-admin-rights/
6 黑客组织Anonymous窃取美国驱逐航空公司GlobalX的航班数据
黑客组织Anonymous宣称已成功入侵美国包机航空公司GlobalX,窃取了大量敏感数据,并揭露该公司参与了非法驱逐行动。攻击者通过获取GlobalX开发者的AWS云存储访问令牌,侵入了该公司的数字基础设施,进而窃取了2025年1月19日至5月1日期间的航班日志、乘客名单以及行程细节。这些数据中包含了数百名委内瑞拉移民的驱逐记录,部分乘客在被驱逐时甚至仍在法律申诉阶段。此外,黑客还篡改了GlobalX网站的子域名,发布了一张盖伊·福克斯面具的图像以及一份政治声明,谴责该公司无视联邦法院关于暂停驱逐的裁决,并配合所谓的“法西斯计划”。攻击者还声称,他们利用Airbus的飞行管理工具NAVBLUE向飞行员发送了内部消息,并访问了该公司的GitHub代码库。
https://hackread.com/anonymous-hackers-flight-data-us-deportation-airline-globalx/
|
发表于 2025-5-13 22:06
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡