ViciousTrap黑客组织利用漏洞构建类蜜罐网络
发布时间 2025-05-261. ViciousTrap黑客组织利用漏洞构建类蜜罐网络
5月23日,网络安全研究人员披露,代号ViciousTrap的黑客组织已入侵全球84个国家近5300台网络边缘设备,将其改造成类蜜罐网络。该组织利用思科小型企业路由器多款型号的关键漏洞CVE-2023-20118实施大规模入侵,其中850台受控设备位于澳门。安全公司Sekoia在分析报告中指出,感染链涉及执行名为NetGhost的shell脚本,该脚本能将被入侵路由器的流量重定向至攻击者控制的类蜜罐设施,实现网络流量劫持。此前,法国网络安全公司曾将该漏洞利用归因于PolarEdge僵尸网络,不过目前尚无证据表明二者有关联。ViciousTrap背后的组织正通过入侵大量暴露于互联网的设备构建蜜罐基础设施,涉及50余个厂商的SOHO路由器、SSL VPN等多种设备。这种架构使攻击者能观察多环境渗透尝试,可能收集未公开或零日漏洞利用方案,并劫持其他威胁组织的入侵成果。攻击链先通过漏洞利用下载bash脚本,进而执行第二阶段的NetGhost脚本,该脚本具备流量重定向功能,可实施中间人攻击,还具备自删除能力以减少取证痕迹。所有攻击尝试均源自单一IP地址,最早活动可追溯至2025年3月,次月该组织还将PolarEdge僵尸网络曾使用的未公开WebShell工具改作己用。本月最新攻击活动转向华硕路由器,使用另一IP地址,但未部署蜜罐,所有活跃IP均位于马来西亚,归属托管服务商Shinjiru运营的自治系统。
https://thehackernews.com/2025/05/vicioustrap-uses-cisco-flaw-to-build.html
2. NPM上的数十个恶意软件包收集主机和网络数据
5月23日,Socket威胁研究团队在NPM索引中发现了两起恶意软件包活动。第一起涉及60个恶意软件包,它们自5月12日起从三个发布者账户上传至NPM存储库。这些软件包包含安装后脚本,在“npm install”期间自动执行,收集包括主机名、内部IP地址、用户主目录等敏感信息,并发送到威胁行为者控制的Discord webhook。该脚本还具备环境检测功能,以确定是否在分析环境中运行。尽管目前未观察到第二阶段有效载荷的投递、权限提升或持久机制,但考虑到所收集数据的敏感性,此类攻击的危险性相当高。这些恶意软件包曾累计下载3000次,不过在报告发布时已从NPM存储库中消失。为诱骗开发人员,威胁行为者使用了与合法软件包相似的名称,可能针对CI/CD管道。另一起恶意活动涉及八个软件包,它们通过域名抢注模仿React、Vue.js、Vite、Node.js和Quill生态系统的合法工具,但具备数据擦除功能,可删除文件、损坏数据和关闭系统。这些软件包过去两年一直存在于NPM上,下载量达6200次。其逃避检测的部分原因是有效载荷根据硬编码的系统日期激活,且其结构会逐步破坏系统。此次活动背后的威胁行为者以“xuxingfeng”名义发布这些文件,并列出了几个合法软件包以建立信任。尽管根据硬编码日期,危险已过去,但鉴于作者可能引入更新重新触发擦除功能,删除这些软件包至关重要。
https://www.bleepingcomputer.com/news/security/dozens-of-malicious-packages-on-npm-collect-host-and-network-data/
3. Cetus Protocol遭黑客窃取2.23亿加密货币
5月23日,去中心化交易所Cetus Protocol近日宣布遭遇黑客攻击,价值2.23亿美元的加密货币被盗。事件发生后,该项目立即暂停智能合约展开调查,并确认“1.62亿美元的受损资金已成功暂停”。Cetus Protocol随后指出,黑客利用了一个易受攻击的软件包实施攻击,但未披露具体细节。该项目表示已找到漏洞根本原因,修复了相关软件包,并通知了生态系统建设者以防止其他团队受影响。此外,Cetus Protocol识别出攻击者的以太坊钱包地址和账户,正与第三方合作追踪和冻结资金,并已通知执法部门。为促使黑客归还资金,Cetus Protocol提出“有时限的白帽和解协议”,承诺若资金退还将不再采取法律行动。同时,该项目宣布将提供500万美元赏金,奖励提供线索、帮助识别和逮捕黑客的信息提供者。在验证者紧急投票后,Sui区块链上1.62亿美元的资金被暂停。区块链分析公司Elliptic发布报告指出,自动做市商(AMM)逻辑存在缺陷,可能涉及池价格操纵,从而引发闪电贷式攻击。Elliptic还概述了攻击者的资金转移尝试,并表示正在积极追踪从Sui初始漏洞到攻击者在以太坊上钱包的交易。目前,黑客的地址已在所有主要交易所和虚拟资产服务提供商上标记,以防止洗钱或资金转移企图。
https://www.bleepingcomputer.com/news/security/hacker-steals-223-million-in-cetus-protocol-cryptocurrency-heist/
4. FBI警告Silent Ransom Group针对美律所发起勒索攻击
5月23日,美国联邦调查局近日发出警告,指出一个名为Silent Ransom Group(SRG)的勒索团伙在过去两年里持续针对美国律师事务所发动回拨网络钓鱼和社会工程攻击。该团伙又名Luna Moth、Chatty Spider和UNC3753,自2022年起便一直活跃,是BazarCall活动的幕后主使,为Ryuk和Conti勒索软件攻击提供了初始网络访问权限。在Conti关闭后,该威胁行为者脱离原网络犯罪集团,组建了SRG。在最近的攻击中,SRG通过电子邮件、虚假网站和电话冒充目标IT支持人员,利用社会工程学手段获取网络访问权限。与一般勒索组织不同,SRG并不加密受害者系统,而是以索要赎金防止敏感信息泄露而闻名。他们通过远程访问会话进入受害者设备,进行最低限度的权限提升,并迅速转向数据泄露,利用“WinSCP”或隐藏/重命名的“Rclone”版本窃取数据。窃取数据后,SRG通过勒索邮件和电话威胁出售或公开信息,迫使受害者进行赎金谈判。尽管他们有专门的网站泄露受害者数据,但FBI指出,这些勒索团伙并不总会兑现数据泄露威胁。为防御此类攻击,FBI建议使用强密码、启用双因素身份验证、定期备份数据,并对员工进行网络钓鱼尝试检测培训。
https://www.bleepingcomputer.com/news/security/fbi-warns-of-luna-moth-extortion-attacks-targeting-law-firms/
5. Marlboro-Chesterfield Pathology数据泄露影响23.5万人
5月22日,美国北卡罗来纳州全服务解剖病理实验室Marlboro-Chesterfield Pathology(MCP)近期遭遇勒索软件攻击,致使大量个人信息记录失窃。该机构在官网发布的数据泄露通知表明,2025年1月16日其内部IT系统出现未经授权活动,经调查确认攻击者窃取了部分文件。此次泄露的数据涵盖姓名、住址、出生日期、医疗治疗信息及健康保险信息等敏感内容,具体泄露字段因个体差异而有所不同。MCP本周向美国卫生与公众服务部(HHS)通报,此次事件影响范围涉及235,911人。勒索软件组织SafePay于一月下旬宣称对此次攻击负责,该团伙近期还对商业服务提供商Conduent发起攻击。值得注意的是,截至发稿时,MCP已从SafePay的泄密网站下架,这暗示受害方可能已支付赎金。
https://www.securityweek.com/marlboro-chesterfield-pathology-data-breach-impacts-235000-people/
6. 黑客利用虚假VPN及浏览器NSIS安装包传播Winos 4.0恶意软件
5月26日,网络安全研究人员披露恶意软件活动,攻击者通过伪装成LetsVPN、QQ浏览器等流行工具的虚假安装程序,最终投递Winos 4.0框架。此攻击行动由Rapid7于2025年2月首次监测到,使用了名为Catena的多阶段驻内存加载器,将有效载荷完全驻留内存以规避杀毒软件检测。植入后,Catena会静默连接攻击者控制的服务器,多数位于香港,以接收后续指令或额外恶意程序。该攻击似乎专门针对中文环境,幕后存在具备高度能力的威胁组织。Winos 4.0是基于知名远程木马Gh0st RAT代码基础编写的先进恶意框架,具有数据窃取、远程Shell访问及发动DDoS攻击等功能。2025年发现的基于QQ浏览器的感染流程显示,所有相关攻击载体均依赖NSIS安装程序,这些安装包捆绑了经过签名的诱饵应用,通过反射式DLL注入技术实现隐蔽驻留。在2025年4月发现的LetsVPN安装包攻击案例中,恶意程序通过创建计划任务实现持久化,且包含检测系统中文语言设置的显性校验,但即使未发现中文环境仍会继续执行。此外,攻击者还进行了“战术调整”,修改了Catena执行链的某些组件,新增反杀毒检测规避功能,如为所有驱动器添加Microsoft Defender排除项,并使用过期证书签名的恶意载荷反射式加载DLL文件以连接C2服务器下载执行Winos 4.0。
https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html
京公网安备11010802024551号