Acronis解析多阶段恶意软件传播链
发布时间 2025-04-021. Acronis解析多阶段恶意软件传播链
4月1日,Acronis威胁研究部门(TRU)近期解析了一起复杂的多阶段恶意软件传播链,揭示了攻击者如何利用混淆技术和多脚本语言绕过安全防御。攻击始于伪装成"账户扣押传票"的西班牙语钓鱼邮件,附件为RAR压缩包,内含高度混淆的Visual Basic脚本(VBS)。执行后,VBS生成批处理文件(BAT),后者构建并执行Base64编码的PowerShell脚本。该脚本解码有效载荷——采用RunPE技术加载的.NET可执行文件,其资源中包含双重加密数据块,需通过特定密钥解密。最终载荷为DCRat或Rhadamanthys等信息窃取程序,可致数据泄露和系统入侵。分析发现,攻击链的多层混淆显著增加了检测难度,但亦引入更多故障点,为防御提供了突破口。Acronis指出,多层安全方案至关重要:初始阶段需拦截恶意邮件及附件,高级启发式分析可识别可疑脚本行为,而内存保护技术能阻断编码载荷执行。值得一提的是,攻击者在PowerShell脚本中植入尼采哲学语录,试图混淆视线,凸显现代恶意软件的创意与复杂性。
https://www.bleepingcomputer.com/news/security/we-smell-a-dcrat-revealing-a-sophisticated-malware-delivery-chain/
2. 无文件加密挖矿攻击导致1500余台PostgreSQL服务器遭攻击
4月1日,近期,针对暴露的PostgreSQL数据库的攻击活动引发安全界关注。云安全公司Wiz披露,该攻击活动与Aqua Security于2024年8月标记的入侵集存在关联,攻击者被追踪为JINX-0126,其利用名为PG_MEM的恶意软件实施攻击。研究人员指出,攻击者持续进化攻击手法,通过为每个目标部署具有唯一哈希值的二进制文件并采用无文件技术执行挖矿负载,有效规避了依赖文件哈希检测的云安全解决方案。据Wiz评估,该活动已导致超过1,500名受害者,凸显了弱密码或默认配置的PostgreSQL实例作为攻击目标的普遍性。攻击者利用弱配置的PostgreSQL服务进行初步渗透,投放Base64编码的shell脚本,该脚本不仅清除竞争矿工,还部署名为PG_CORE的二进制文件。进一步,服务器下载伪装成合法PostgreSQL进程的Golang二进制文件,其通过创建高权限用户、设置cron持久化任务,终从GitHub下载最新版XMRig挖矿程序,利用Linux无文件技术启动挖矿进程。值得注意的是,攻击者为每个受害者分配独立钱包地址,Wiz已识别三个关联钱包,每个钱包关联约550个挖矿节点,总计超过1,500台设备被感染。
https://thehackernews.com/2025/04/over-1500-postgresql-servers.html
3. Palo Alto Global Protect扫描浪潮中涉及近24,000个IP
4月1日,针对Palo Alto Networks GlobalProtect登录门户的网络扫描活动近期显著升级,引发安全研究人员对潜在攻击的预警。威胁情报公司GreyNoise监测数据显示,该扫描活动涉及超过24,000个唯一源IP地址,于2025年3月17日达到每日20,000个唯一IP的峰值,并持续至3月26日。IP地址中,23,800个被标记为"可疑",154个被确认为"恶意",凸显活动异常性。扫描来源主要集中在北美,目标系统虽以美国为主,但呈现全球化特征。GreyNoise指出,此类扫描激增常与漏洞利用前的侦察行动相关,历史模式显示,扫描高峰后2-4周可能出现新漏洞披露或攻击事件。值得注意的是,此次活动与另一项涉及PAN-OS爬虫的扫描存在时间关联性,后者在3月26日同步达到2,580个IP的扫描峰值。当前,攻击者的具体目标和动机尚不明确,但针对暴露在互联网的Palo Alto Networks系统,管理员需提高警惕。GreyNoise建议立即审查3月中旬以来的系统日志,排查入侵迹象,强化登录门户安全防护,并封锁已知恶意IP。
https://www.bleepingcomputer.com/news/security/nearly-24-000-ips-behind-wave-of-palo-alto-global-protect-scans/
4. CrushFTP CVE-2025-2825漏洞正在被利用进行攻击
4月1日,近期,攻击者正积极利用公开的概念验证代码(PoC)对CrushFTP文件传输软件中的一个高危身份验证绕过漏洞(CVE-2025-2825)实施攻击。该漏洞由Outpost24报告,允许远程攻击者无需认证即可访问未修补的CrushFTP v10或v11设备。CrushFTP在3月21日紧急发布补丁时强调,暴露的HTTP(S)端口可能直接导致未授权访问,并建议用户立即升级至10.8.4或11.3.1以上版本。作为临时防护措施,管理员可启用DMZ外围网络选项加强防护。一周后,Shadowserver监测数据显示,其蜜罐系统已检测到数十次针对暴露在互联网的CrushFTP服务器的攻击尝试,当时仍有超过1,500个未修补实例处于风险中。此次漏洞的公开PoC由ProjectDiscovery于漏洞披露前数日发布,加速了攻击者的利用进程。值得注意的是,CrushFTP长期位列勒索软件团伙(如Clop)的高价值目标名单,此前曾遭遇多次零日漏洞攻击,包括2024年4月修补的CVE-2024-4040漏洞,该漏洞允许攻击者逃逸虚拟文件系统并窃取系统文件。
https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/
5. Vitenas整形外科患者数据遭黑客入侵并泄露
4月1日,美国休斯顿知名整形外科机构Vitenas整形外科遭遇重大网络攻击,导致大量敏感患者数据泄露。该机构由外科医师学会院士Paul Vitenas, Jr.创立,旗下包括Mirror Mirror Beauty Boutique及德克萨斯州休斯顿外科中心。3月5日,威胁组织Kairos在其暗网泄密站点公开宣称已入侵Vitenas博士官网,并展示未经编辑的1.34GB泄露文件。泄露数据包含未加密的受保护健康信息(PHI),涉及患者裸照、姓名、出生日期、联系方式、社保号、驾照照片等敏感信息,同时包含员工信息及诊所运营文件。攻击者通过俄语论坛兜售数据,试图寻找买家。Kairos组织声称通过暴力攻击于2月成功入侵系统,且诊所IT部门已察觉攻击但未能阻止数据泄露。攻击者表示已与Vitenas博士进行约一个月的谈判,威胁若无法尽快找到数据买家,将公开最敏感信息。
https://databreaches.net/2025/04/01/vitenas-cosmetic-surgery-patient-data-hacked-and-leaked/
6. 欧洲服务平台Yoojo泄露千万敏感文件
4月1日,欧洲服务市场平台Yoojo因云存储桶配置错误,导致超1450万份敏感文件暴露,涵盖用户护照、通讯记录、电话号码等核心隐私数据。作为连接个人与服务提供商的流行平台,Yoojo(前身为Youpijobs)在英法西荷等多国运营,其应用下载量超50万次,服务范围覆盖家政、宠物看护等多领域。此次泄露的存储桶至少公开访问达10天,虽然暂无滥用迹象,但研究人员警告潜在风险显著:攻击者可利用泄露的身份证件实施身份盗窃,通过真实电话号码构建虚假服务收费场景,甚至发起精准网络钓鱼攻击。个人信息暴露还显著增加用户被跟踪勒索的风险。在网络安全团队通报后,Yoojo已修复配置漏洞并完成数据保护。为避免类似事件,专家建议采取多重安全措施,包括强化访问控制、启用加密传输与存储、部署密钥管理服务、实施SSL/TLS协议,并加强安全审计与员工培训。值得注意的是,此次泄露涉及大量政府签发证件及用户通信内容,其敏感程度远超普通数据泄露事件。
https://cybernews.com/security/yoojo-data-leak-exposed-passports/
京公网安备11010802024551号