新闻速览
•工信部CSTIS提醒:防范Redox Stealer恶意软件的风险
•欧盟投资13亿欧元推动人工智能和网络安全发展
•Check Point被曝遭入侵,访问权限被兜售
•Daisy Cloud黑客组织曝光逾3万组登录凭证,涉及多种在线服务
•新型恶意软件Crocodilus利用社会工程学窃取Android用户加密钱包密钥
•Morphing Meerkat钓鱼工具包利用DNS MX记录投递伪造登录页面,殃及百余品牌
•PhaaS平台Lucid每天发布10万条加密钓鱼短信实施攻击
•HPE集群管理工具曝严重RCE漏洞,攻击者可获root权限
•融资5亿美元,估值达34亿美元,ReliaQuest的AI安全自动化获投资者青睐
特别关注
工信部CSTIS提醒:防范Redox Stealer恶意软件的风险
工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)4月1日发布《关于防范Redox Stealer恶意软件的风险提示》,指出监测发现Redox Stealer恶意软件持续活跃,主要针对游戏玩家、软件盗版者及游戏模组爱好者实施攻击并窃取敏感数据信息。
Redox Stealer是一种信息窃取型恶意软件,通过存放虚假游戏模组、游戏作弊程序、破解软件(如Roblox、Fortnite等)的GitHub代码库诱导用户下载。在传播过程中,攻击者采用SEO投毒技术提高恶意代码库的搜索排名,并利用AI工具自动生成README文件来增强迷惑性。在攻击过程中,通过将恶意软件负载隐藏在RAR和ZIP压缩文件绕过GitHub平台的检测机制。一旦植入成功,Redox Stealer会窃取浏览器存储的密码、会话Cookie、银行账户凭证、加密货币钱包等数据,并通过Discord服务器(虚拟社群空间)将数据以日志形式发送至攻击者,使攻击者可以通过筛选日志的方式提取有价值信息,为进一步实施账号劫持和资产窃取提供信息储备。
CSTIS建议相关单位及用户立即组织排查,及时更新防病毒软件,定期实施全盘查杀,加强来源不明软件的识别与防范,避免下载盗版或破解版工具,加强网络安全意识培训,防范网络攻击风险。
原文链接:
热点观察
欧盟投资13亿欧元推动人工智能和网络安全发展
欧盟委员会近日批准了2025-2027年数字欧洲计划(DIGITAL)工作方案,拨款13亿欧元用于推进对欧盟未来和技术主权至关重要的关键技术。
DIGITAL是一项欧盟资助计划,旨在将数字技术带给企业、公民和公共管理部门。该计划总预算超过81亿欧元,重点关注超级计算、人工智能、网络安全、高级数字技能以及数字技术在经济和社会中的广泛应用等关键领域。通过扩大欧洲数字创新中心(EDIHs)网络,该计划帮助工业、中小企业和公共管理部门实现数字转型。
DIGITAL工作方案专注于推进欧洲的人工智能、云和数据、网络安全和数字技能。另一个关键优先事项是推进”地球目的地”(Destination Earth)计划,该计划正在开发地球数字模型,以支持气候适应和灾害风险管理;通过EU网络安全储备等计划加强对医院和海底电缆等关键基础设施的保护,将提升网络弹性。该计划还注重通过支持教育和培训机构来提高数字技能,以培养和留住顶尖数字人才。
原文链接:
网络攻击
Check Point被曝遭入侵,访问权限被兜售
黑客CoreInjection近日声称成功入侵以色列网络安全公司Check Point,并获取了敏感内部数据和网络系统访问权限。该黑客于2025年3月30日在暗网Breach Forums上发布声明,宣布以5个比特币(约434,570美元)的”坚定且不可协商”价格出售被盗内容,仅接受加密货币付款。
黑客声称,待售数据包括内部项目文档、用户凭证(包括哈希和明文形式)、内部网络图和架构图、专有软件的源代码和编译二进制文件,以及员工联系详情。
Check Point迅速回应,否认近期发生任何此类规模的入侵。公司表示,这一声明涉及的是一个”旧的、已知的且非常有针对性的事件”,仅影响有限数量的组织,并未触及任何核心系统。该公司强调,这一事件几个月前就已处理,并不包括暗网论坛消息中详述的内容;这些组织当时已得到更新和处理,这不过是旧信息的常规回收。
尽管公司给予保证,但黑客对所谓被盗材料的详细描述引发了担忧。如果数据属实,提及内部网络图、明文凭证和专有软件可能表明比Check Point确认的更深入的访问权限。
原文链接:
https://hackread.com/hacker-breach-check-point-cybersecurity-firm-access/
Daisy Cloud黑客组织曝光逾3万组登录凭证,涉及多种在线服务
安全研究人员近日揭示,黑客组织Daisy Cloud曝光了超过3万组登录凭证,涵盖众多数字服务。该威胁行为者自2023年10月18日起在Telegram上运营一个复杂的凭证交易市场,以惊人的低价出售金融平台、云服务、政府门户和个人账户的访问权限。
根据Veriti研究人员的分析,这些被曝光的凭证似乎是通过信息窃取恶意软件收集的,可能与臭名昭著的RedLine Stealer家族有关。此次泄露影响了108个国家的25,693个独特网站和应用程序,构成了数字服务的广泛范围。被窃取的凭证提供了对高价值目标的访问权限,包括Binance和Coinbase等加密货币交易所、Facebook和Netflix等个人服务,以及来自多个国家的政府门户等关键基础设施。
研究人员在分析曝光的数据转储时,发现了多个服务器级别的入侵案例,展示了攻击的复杂性。他们发现了跨越多个地理区域的云服务器和本地服务器的管理员访问权限。研究人员指出,许多这些服务器缺乏适当的安全控制,有些甚至完全缺少防病毒保护,为恶意软件传播和持久性创造了理想环境。
原文链接:
新型恶意软件Crocodilus利用社会工程学窃取Android用户加密钱包密钥
安全研究人员近日发现,新型Android恶意软件Crocodilus通过警告用户备份密钥以避免失去访问权限的方式,诱骗用户提供加密货币钱包的助记词。
据介绍,Crocodilus具备完备的功能,可以控制设备、收集数据并进行远程控制。该恶意软件通过专有的投放器分发,并在不触发Play Protect的情况下安装,绕过Android 13(及更高版本)的安全保护。
Crocodilus整合了社会工程学技术,通过屏幕覆盖层警告用户”在12小时内在设置中备份钱包密钥”,否则可能失去对钱包的访问权限来实现这一目的。启动时,Crocodilus获取无障碍服务访问权限。当受害者打开目标应用程序时,Crocodilus在真实应用程序上加载假冒覆盖层,以拦截受害者的账户凭证。该恶意软件的机器人组件支持一组23个可在设备上执行的命令,包括:启用呼叫转移、启动特定应用程序、发布推送通知、向所有联系人或指定号码发送短信、获取短信消息、请求设备管理员权限、启用黑色覆盖层、启用/禁用声音、锁定屏幕、使自己成为默认短信管理器等。
该恶意软件还提供远程访问木马(RAT)功能,使其操作者能够点击屏幕、导航用户界面、执行滑动手势等。还有一个专用的RAT命令可以截取Google Authenticator应用程序的屏幕截图,并捕获用于双因素身份验证账户保护的一次性密码代码。
原文链接:
https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/
Morphing Meerkat钓鱼工具包利用DNS MX记录投递伪造登录页面,殃及百余品牌
安全研究人员近日发现,新型钓鱼即服务(PhaaS)平台生成了名为Morphing Meerkat的多个钓鱼工具包,利用DNS邮件交换(MX)记录投递伪造登录页面,目标涉及超过100个品牌。
Morphing Meerkat背后的PhaaS平台已活跃至少五年。该平台支持大规模钓鱼和垃圾邮件活动,使用被入侵的WordPress站点、开放重定向和MX记录来定制伪造的登录页面。平台通过混淆代码、动态翻译和将可疑用户重定向到真实站点来绕过安全措施。该PhaaS平台发送带有恶意链接的垃圾邮件,全球用户是其目标。钓鱼工具包使用DNS MX记录提供动态登录页面,并可以将受害者重定向到真实站点以逃避安全检测。攻击者使用JavaScript翻译模块将钓鱼页面适配为十多种语言,实现跨区域的大规模攻击。
Morphing Meerkat利用Google DoubleClick等广告技术平台上的开放重定向,使用虚假域名和被入侵的站点。它通过DoH(Google/Cloudflare)查询受害者电子邮件域的MX记录,加载定制的钓鱼页面,并预填充电子邮件以增加可信度。该平台通过AJAX请求、PHP脚本或Telegram机器人webhook窃取凭证。为确保准确性,受害者会看到”密码无效”错误,提示他们重新输入凭证。提交后,他们会被重定向到合法登录页面以避免怀疑。
原文链接:
PhaaS平台Lucid每天发布10万条加密钓鱼短信实施攻击
钓鱼即服务(PhaaS)平台Lucid正通过iMessage(iOS)和RCS(Android)发送精心设计的消息,针对88个国家的169个实体进行攻击。据Prodaft研究人员报告,该平台由网络犯罪分子”XinXin组织”运营,通过订阅模式出售给其他威胁行为者。
订阅者可获得超过1000个钓鱼域名、定制自动生成的钓鱼网站和专业级垃圾邮件工具的访问权限。Lucid通过一个专用Telegram频道(2,000名成员)销售订阅,客户按周获得访问许可。该威胁组织声称每天通过富通信服务(RCS)或Apple iMessage发送10万条钓鱼短信,这些服务采用端到端加密,使其能够逃避垃圾邮件过滤器。据悉,该平台采用自动化攻击投递机制,部署可定制的钓鱼网站,主要通过基于SMS的诱饵分发;为提高效率,Lucid利用Apple iMessage和Android的RCS技术,绕过传统SMS垃圾过滤器,显著提高投递和成功率。Lucid运营商使用大规模iOS和Android设备农场发送短信。对于iMessage,Lucid使用临时Apple ID;对于RCS,威胁行为者利用运营商特定实现中的发送者验证漏洞。
移动钓鱼消息通常冒充快递、税务警报或未付通行费,包含自定义徽标/品牌、与目标人群相匹配的适当语言,并进行地理位置受害者过滤。点击钓鱼链接的受害者会被重定向到伪造的登录页面,这些页面冒充州政府通行费和停车机构或私人实体。钓鱼页面旨在窃取个人和财务信息。
原文链接:
安全漏洞
HPE集群管理工具曝严重RCE漏洞,攻击者可获root权限
安全研究人员近日发现HPE Insight集群管理工具(CMU)v8.2存在一个严重的未经身份验证的远程代码执行漏洞(CVE-2024-13804),攻击者可绕过身份验证机制,以root权限在后端服务器上执行命令。这个高危漏洞影响了一款专为管理高性能计算集群设计的工具,可能使攻击者完全控制整个计算环境。而且HPE已停止支持该版本,因此用户无安全补丁可用。
漏洞源于CMU应用程序在实现客户端授权检查时的根本设计缺陷,缺乏适当的服务器端验证。研究人员发现,该漏洞存在于应用程序的Java网络启动协议(JNLP)客户端架构中。通过对应用程序的JAR文件进行反编译并修改关键授权检查,攻击者可以将客户端武器化,通过远程方法调用(RMI)向服务器发送特权命令。
漏洞利用过程始于下载并反编译CMU客户端应用程序(cmugui_standalone.jar),该应用程序通过1099端口连接到后端服务器。分析反编译代码后发现多个客户端”isAdmin”授权检查实例,可以通过简单修改以下函数来规避:
重新编译修改后的客户端后,可以通过ModelDispatcher.getRMIModel().executeCmdLine()方法以root权限在服务器上执行任意命令,攻击者成功执行了”ifconfig”命令。专家专家建议仍在使用此软件的组织实施严格的网络级隔离,作为主要缓解策略。
原文链接:
行业动态
融资5亿美元,估值达34亿美元,ReliaQuest的AI安全自动化获投资者青睐
安全运营公司ReliaQuest于2025年3月31日宣布获得超过5亿美元新一轮融资,公司估值达34亿美元。此轮融资将用于推进Agentic AI驱动的网络安全自动化,并支持公司的国际扩张计划。
成立于2007年的ReliaQuest专注于增强企业安全运营,其使命是”使安全成为可能”,为组织提供更高的可见性和跨安全生命周期自动化的能力。其核心产品GreyMatter是一个技术不可知的安全运营平台,基于开放式扩展检测和响应(XDR)架构构建。GreyMatter与200多种不同的网络安全和企业工具集成,在复杂的IT环境中提供威胁检测、调查和响应服务。该平台允许安全团队在几分钟内跨各种解决方案检测、控制、调查和响应网络威胁,同时消除最繁琐的工作,并从现有投资中获取更多价值。ReliaQuest声称,使用GreyMatter的自动化和AI功能,客户可以以比传统方法快20倍且准确率提高30%的速度执行调查,在不到五分钟内控制威胁,使安全团队能够专注于更高层次的业务需求。
ReliaQuest的客户包括西南航空、坎贝尔汤品公司、Abercrombie & Fitch、Darden餐厅集团、Hanesbrands、波士顿凯尔特人队和APi集团等知名企业。
原文链接:
