新闻速览
• 国家网络安全通报中心提醒:重点防范10个境外恶意网址和恶意IP
• CNVD:关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告
• 从披露到攻击仅4小时:WordPress插件OttoKit高危漏洞遭快速利用
• SK被曝遭入侵,被窃取1TB数据
• 黑客组织利用受感染移动存储设备攻击西方军事任务
• 新型攻击手法揭秘:黑客通过恶意npm包向加密钱包软件注入恶意代码拦截转账
• AkiraBot利用OpenAI生成内容绕过CAPTCHA攻击42万网站
• 美国俄勒冈州环境质量部遭受网络攻击被迫关闭网络系统
• 食品配送巨头GrubHub遭遇重大数据泄露:7000万行用户数据被黑客兜售
特别关注
国家网络安全通报中心提醒:重点防范10个境外恶意网址和恶意IP
中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、后门利用等,对中国国内联网单位和互联网用户构成重大威胁。
相关恶意网址和恶意IP归属地主要涉及:美国、英国、保加利亚、立陶宛、荷兰、埃及、科威特等。主要情况如下:
1. 恶意地址:hyjk.k3121.com
(关联IP地址:104.155.138.21)
2. 恶意地址:www.caiyundaifu.top
(关联IP地址:107.178.223.183)
3. 恶意地址:302im.ow5dirasuek.com
(关联IP地址:52.34.198.229)
4. 恶意地址:serpentine.servebeer.com
(关联IP地址:192.133.77.133)
5. 恶意地址:panel.daudau.org
(关联IP地址:195.177.95.92)
6. 恶意地址:resbot.online
(关联IP地址:79.124.40.46)
7. 恶意地址:rebirth.stressor.su
(关联IP地址:45.125.66.114)
8. 恶意地址:shenron19862.duckdns.org
(关联IP地址:91.92.243.78)
9. 恶意地址:gadyshahhaa.zapto.org
(关联IP地址:156.213.204.184)
10. 恶意地址:q1337.ddns.net
(关联IP地址:37.231.43.251)
国家网络安全通报中心建议:
- 对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件;
- 及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问;
- 向公安机关及时报告,配合开展现场调查和技术溯源。
原文链接:
CNVD:关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告
4月10日,国家信息安全漏洞共享平台(CNVD)发布《关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告》,指出Foxmail邮件客户端跨站脚本攻击漏洞(CNVD-2025-06036)已发现被利用进行攻击。攻击者利用该漏洞作为攻击入口,向目标用户对象发送包含恶意代码的电子邮件,用户仅浏览邮件即被植入木马,其主机终端即被控。该厂商已发布新版本完成漏洞修复,CNVD建议受影响的单位和用户立即升级至最新版本。
Foxmail是我国知名电子邮件客户端之一,目前由腾讯公司运行维护。 CNVD于2025年3月20日收录了Foxmail邮件客户端跨站脚本攻击漏洞。由于Foxmail在处理加载邮件正文时,对危险内容的过滤处理逻辑存在缺陷,攻击者构造包含恶意指令代码的电子邮件向目标用户发送,目标用户仅需使用Foxmail打开恶意邮件,无需其他点击操作,恶意指令代码即可被用户主机加载执行,具有较高的攻击隐蔽性。攻击者继而利用其他漏洞,在未授权的前提下实现对目标主机的木马文件本地写入和控制权限获取。
CNVD对该漏洞的综合评级为“中危”。漏洞影响的产品和版本:Foxmail < 7.2.25。3月28日,腾讯公司已紧急发布新版本修复该漏洞,CNVD建议受影响的单位和用户立即将Foxmail升级至最新版本:
攻击者通常使用社会工程学等手段,对恶意邮件的标题、内容及附件进行伪装,诱骗用户点击访问,CNVD建议用户做好安全防范措施,不要打开来历不明的邮件。
原文链接:
网络攻击
从披露到攻击仅4小时:WordPress插件OttoKit高危漏洞遭快速利用
近日,WordPress插件OttoKit(原名SureTriggers)被发现存在一个高危漏洞(CVE-2025-3102),允许攻击者绕过身份认证。该漏洞影响OttoKit/SureTriggers 1.0.78及以下版本,波及约10万个网站。
漏洞源于authenticate_user()函数中缺少空值检查,当插件未配置API密钥时,存储的secret_key保持为空,攻击者可通过发送空的st_authorization头来绕过检查,获取受保护API端点的未授权访问权限。最严重的是,攻击者可以创建新的管理员账户,从而完全控制网站。
安全研究人员于3月中旬发现并报告了这一漏洞,插件供应商在4月3日收到完整的漏洞利用细节后,当天就发布了修复版本1.0.79。然而,黑客们迅速开始利用这一漏洞。WordPress安全平台Patchstack警告称,在漏洞公开仅4小时后就记录到了首次攻击尝试。攻击者试图使用随机生成的用户名/密码和电子邮件地址组合创建新的管理员账户,显示出自动化攻击的特征。
安全专家建议OttoKit/SureTriggers用户立即升级到1.0.79版本,并检查日志中是否存在意外的管理员账户或其他用户角色、插件/主题安装、数据库访问事件以及安全设置修改等异常情况。
原文链接:
SK被曝遭入侵,被窃取1TB数据
Qilin勒索软件组织于4月10日在其暗网泄露网站上宣称已成功入侵全球能源和制造业巨头SK集团,窃取了1TB的文件数据,并威胁称如果SK在48小时内未跟他们联系,将公布数据。但是Qilin尚未提供任何”证明”样本。
SK集团是能源、电信和半导体行业的领导者,在全球运营超过175家公司,业务涵盖信息通信技术(ICT)、先进材料、生物制药、移动出行、生命科学和电动汽车电池等领域。
臭名昭著的Qilin勒索软件组织将医院和制造业作为主要攻击目。作为一个勒索软件即服务(RaaS)模式的网络犯罪组织,该团伙经常对受害者采用双重敲诈策略,先是索要解密赎金,然后再索要第二笔赎金,以保证被盗取的文件日后不会在暗网上被泄露出去。过去一年中,Qilin的总受害者数量达到256个,比3月第一周记录的191个增加了近三分之一。
原文链接:
黑客组织利用受感染移动存储设备攻击西方军事任务
赛门铁克威胁研究人员近日报告,黑客组织Gamaredon(又称”Shuckworm”)于2025年2月至3月期间针对一个驻乌克兰的西方国家军事任务发动攻击,部署了更新版本的GammaSteel信息窃取恶意软件以窃取数据。
研究人员指出,攻击者可能通过包含恶意.LNK文件的移动存储设备获得初始访问权限。值得注意的是,该组织的战术发生了变化,包括从VBS脚本转向基于PowerShell的工具,增加了有效载荷的混淆处理,并更多地利用合法服务来规避检测。在攻击过程中,恶意软件首先通过外部驱动器上名为files.lnk的快捷方式文件感染系统,随后创建两个文件:一个负责命令与控制(C2)通信,通过合法服务解析服务器地址并连接到受Cloudflare保护的URL;另一个负责通过LNK文件感染其他可移动和网络驱动器,同时隐藏特定文件夹和系统文件以掩盖入侵痕迹。
攻击者还使用了侦察PowerShell脚本捕获并窃取受感染设备的屏幕截图,收集有关已安装防病毒工具、文件和运行进程的信息。最终的有效载荷是存储在Windows注册表中的基于PowerShell的GammaSteel版本,能够从桌面、文档和下载等位置窃取文档(.DOC、.PDF、.XLS、.TXT),并使用PowerShell网络请求或通过Tor网络的cURL进行数据窃取。
原文链接:
新型攻击手法揭秘:黑客通过恶意npm包向加密钱包软件注入恶意代码拦截转账
网络安全公司ReversingLabs最近发现了一种新型攻击手法,黑客通过npm(Node Package Manager)网络向本地安装的加密货币钱包软件注入恶意代码,特别针对Atomic Wallet和Exodus钱包用户。这种攻击通过恶意修补合法软件文件,使攻击者能够通过悄然替换收款钱包地址来拦截加密货币转账。
研究人员发现,恶意npm包“pdf-to-office”伪装成一个将PDF文件转换为Microsoft Office文档的工具。执行时,它会部署恶意payload修改Atomic Wallet和Exodus安装目录中的关键文件。恶意软件用木马化版本覆盖合法文件,秘密更改外发加密货币交易的目标地址,从而允许攻击者长时间保持隐蔽。该payload针对Atomic Wallet目录中的”atomic/resources/app.asar”归档文件和Exodus中的”src/app/ui/index.js”文件。攻击者针对特定版本的Atomic Wallet(2.91.5和2.90.6),恶意文件相应命名,无论安装的是哪个版本,都会覆盖正确的文件。
即使从受害者系统中删除恶意”pdf-to-office”包,被入侵的加密货币钱包软件仍然保持感染状态。Atomic Wallet和Exodus中的木马化文件继续运行,悄悄地将资金重定向到攻击者的Web3钱包。消除威胁的唯一有效方法是完全卸载并重新安装受影响的钱包软件。
原文链接:
AkiraBot利用OpenAI生成内容绕过CAPTCHA攻击42万网站
网络安全研究人员近日披露,人工智能驱动平台AkiraBot被用于向网站聊天、评论区和联系表单发送垃圾信息,推广名为Akira和ServicewrapGO等可疑的搜索引擎优化(SEO)服务。该机器人使用OpenAI根据网站的目的生成定制化的推广信息,针对超过40万个网站,并成功向至少8万个网站发送了垃圾信息。
这款基于Python的批量信息发送工具自2024年9月开始投入使用,最初针对使用Shopify、GoDaddy、Wix和Squarespace开发的网站,以及那些具有通用联系表单和使用Reamaze构建的实时聊天小部件的网站。
AkiraBot的核心操作是利用OpenAI API生成垃圾内容。该工具使用gpt-4o-mini模型,并被赋予”生成营销信息的有用助手”角色。该服务的另一个显著特点是能够绕过CAPTCHA障碍,大规模向网站发送垃圾信息,并通过依赖通常提供给广告商的代理服务来逃避基于网络的检测。目标CAPTCHA服务包括hCAPTCHA、reCAPTCHA和Cloudflare Turnstile。为实现这一目标,机器人的网络流量被设计为模仿合法终端用户,并使用来自SmartProxy的不同代理主机来掩盖流量来源。
AkiraBot还配置为在名为”submissions.csv”的文件中记录其活动,记录成功和失败的垃圾邮件尝试。对这些文件的检查显示,迄今为止已有超过42万个独特域名被定向攻击。此外,与CAPTCHA绕过和代理轮换相关的成功指标通过API发布到Telegram频道。针对这些发现,OpenAI已禁用威胁行为者使用的API密钥和其他相关资产。
原文链接:
美国俄勒冈州环境质量部遭受网络攻击被迫关闭网络系统
俄勒冈州环境质量部(DEQ)官员在当地时间周三(4月9日)遭遇网络攻击后被迫关闭了该组织的网络系统。这个负责监管俄勒冈州空气、土地和水质量的监管机构表示,车辆检验站将因此关闭至周五(4月11日)。
当前该机构正在隔离服务器和网络,”直到攻击被完全控制并可能根除”。DEQ在周三晚间的更新中表示:”俄勒冈DEQ的IT、企业信息系统和Microsoft网络安全团队正在共同解决我们的网络安全问题。此外,DEQ网络系统和计算机将无法运行。您的DEQ在线系统,即DEQ的环境数据管理系统,位于单独的服务器上,现在可以使用。”
该机构敦促民众查看其网站和社交媒体页面,了解周六车辆检验站是否会开放的最新信息。官方未回应关于是否正在应对勒索软件攻击的置评请求。
原文链接:
食品配送巨头GrubHub遭遇重大数据泄露:7000万行用户数据被黑客兜售
网络攻击者近日在数据泄露论坛声称掌握了美国食品配送巨头GrubHub的约7000万行数据,包括数百万条哈希密码、电话号码和电子邮件地址。这一声明与该在线食品配送平台今年2月承认的数据泄露事件时间相吻合。
GrubHub在2月曾宣布,公司通过第三方服务提供商遭遇了数据泄露,当时表示哈希密码、电子邮件地址和其他数据被盗,但未具体说明攻击范围。如果黑客的声明属实,这意味着数千万GrubHub用户的数据已被曝光。根据一个密码代表一个账户的计算,受影响的账户数量可能约为1700万。GrubHub在发现入侵后,锁定了攻击者并删除了第三方的账户。最初尚不清楚攻击者是否成功窃取了数据,但最近的声明表明攻击者可能已成功获取了大量客户数据。
攻击者分享了数千行据称被盗的数据样本。这些样本包含姓名、电子邮件地址和哈希密码。这些密码使用SHA1加密哈希进行编码,该算法被广泛认为存在漏洞。研究人员认为,攻击者可能利用这些数据进行所谓的”碰撞攻击”,即使用两个不同的密码创建相同的哈希值,从而使网络犯罪分子能够使用伪造的密码入侵账户。
原文链接:
