SonicWall警告:NetExtender木马病毒窃取VPN凭据
发布时间 2025-06-251. SonicWall警告:NetExtender木马病毒窃取VPN凭据
6月24日,SonicWall近日发出警告,威胁行为者正在分发其NetExtender SSL VPN客户端的木马版本,意图窃取用户VPN凭据。这款假冒软件由SonicWall和Microsoft Threat Intelligence (MSTIC)的研究人员共同发现,它模仿了合法的NetExtender v10.3.2.27版本,并托管于一个看似真实的欺骗性网站上,以诱骗用户下载。尽管该恶意安装程序文件未经SonicWall数字签名,但因由“CITYLIGHT MEDIA PRIVATE LIMITED”签名,故可绕过基本防御。该木马应用程序旨在窃取VPN配置和帐户凭据,并将其泄露给攻击者。SonicWall NetExtender是一个远程访问VPN客户端,专为与SonicWall SSL VPN设备和防火墙配合使用而设计,常被中小型企业的远程员工、IT管理员和承包商使用。SonicWall和Microsoft发现,恶意欺骗网站分发了该产品的两个修改后的二进制文件,其中NeService.exe的验证逻辑被修补以绕过数字证书检查,NetExtender.exe文件则被修改以窃取数据。恶意代码会在用户输入VPN配置并点击“连接”按钮后执行自身验证,并将窃取的信息(包括用户名、密码、域名等)通过端口8080发送到远程服务器。SonicWall建议用户仅从官方门户网站下载软件,以避免下载到恶意版本。
https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-trojanized-netextender-stealing-vpn-logins/
2. 黑客入侵政府雇员设备,巴拉圭近700万公民数据遭窃
6月25日,据安全公司消息,黑客利用信息窃取恶意软件感染巴拉圭政府雇员设备,窃取近700万巴拉圭公民大量数据。上月暗网帖子称,多个政府机构遭入侵后,740万巴拉圭人个人信息被出售。这些数据由Resecurity研究人员发现,黑客Brigada Cyber PMC曾以740万美元出售,巴拉圭拒绝支付赎金后数据被公布。Resecurity推测,政府IT员工感染恶意软件使威胁行为者得以窃取数据,数据至少来自国家交通和道路安全局及公共卫生和社会福利部两个不同来源。哈德逊岩公司专家称,受感染员工凭证早在2023年4月就被Redline Infostealer窃取,黑客借此未经授权访问关键系统窃取数据。Redline信息窃取恶意软件曾被广泛使用,可窃取多种敏感数据。信息窃取者常通过网络钓鱼等方式传播,巴拉圭因快速数字化和地缘政治重要性成主要目标。Resecurity表示,泄露信息涉及近700万“全国人口”信息,数据集或有重复、已死亡人员记录及非公民信息,且至少来自两次不同入侵事件。巴拉圭官员称数据可能在几年前就被盗并再次流传。Resecurity向巴拉圭计算机应急响应小组通报情况,并推测数据低价可能是外国情报机构掩盖间谍活动的手段,此次事件或具地缘政治动机。
https://therecord.media/data-leak-paraguayan-millions-infostealer
3. Androxgh0st僵尸网络扩大影响范围,攻击学术机构
6月24日,CloudSEK最新调查显示,Androxgh0st僵尸网络正不断演变,其运作方式发生重大变化,入侵系统能力急剧提升。该僵尸网络于2023年初首次被发现,如今正利用更广泛的初始访问方法,包括利用学术机构配置错误的服务器来入侵系统,加州大学圣地亚哥分校就受到了攻击。美国网络安全和基础设施安全局(CISA)在2024年1月也发布了相关安全警告。CloudSEK调查表明,自2024年早期报告以来,该僵尸网络攻击向量库扩大约50%,其将命令与控制(C2)记录器面板托管在加州大学圣地亚哥分校子域名上,利用合法但易受攻击的公共域名来隐藏恶意基础设施,此前还曾将记录器托管在牙买加的事件聚合平台上。Androxgh0st僵尸网络利用Apache Shiro和Spring Framework等流行软件框架的已知漏洞,以及WordPress插件和Lantronix物联网设备的问题,能运行未经授权的代码、窃取敏感信息,甚至在受感染系统上进行加密货币挖矿。
https://hackread.com/androxgh0st-botnet-expand-exploit-us-university-servers/
4. 恶意软件利用恶意WordPress插件窃取信用卡信息
6月24日,网络安全研究人员近日发现了一项高度复杂的新恶意软件活动,该活动涉及信用卡盗刷、凭证盗窃及用户分析等多种恶意行为。据Wordfence威胁情报团队2025年5月16日披露,此恶意软件被伪装成恶意WordPress插件,并采用了新颖的反检测技术,如托管在受感染网站上的实时后端系统,这种手法在针对WordPress的攻击中前所未见。该活动自2023年9月起便已活跃,Wordfence分析的20多个恶意软件样本显示,所有变体均具备混淆、反分析、开发人员工具检测及针对性执行等共同特征。例如,恶意软件会避开管理页面,仅在结帐时激活,并会检查之前是否感染过以避免重复攻击同一用户。最新版本甚至加入了自定义HTML覆盖、虚假支付表格及模仿Cloudflare页面的本地化人工验证挑战,以增强隐蔽性。被盗数据多通过伪装成图像URL的Base64编码字符串泄露。此外,研究人员还发现了另外三种具有不同目标的变体,分别用于操纵Google Ads投放欺诈性广告、窃取WordPress凭证及通过替换链接传播其他恶意软件。
https://www.infosecurity-magazine.com/news/rogue-wordpress-plugin-skim-credit/
5. Palo Alto Networks称Prometei恶意软件新版广泛传播
6月24日,Palo Alto Networks发布报告指出,Prometei恶意软件的更新版本正在广泛传播,且与僵尸网络相关的活动在过去几个月中显著激增。Prometei作为一个模块化僵尸网络,最初于2020年7月被发现,其感染目标涵盖Windows和Linux系统,主要用于加密货币挖掘和凭证泄露。然而,最新版本的Prometei恶意软件功能更为复杂,不仅集成了用于其他恶意活动的后门,还具备自我更新功能,并依赖域生成算法(DGA)进行命令和控制(C&C)服务器连接。该恶意软件通过多种模块实现暴力破解管理员密码、利用漏洞、横向移动、窃取受害者数据、建立C&C通信以及挖掘加密货币(特别是门罗币)等功能。2025年2月对近期恶意软件样本的分析显示,Prometei通过创建服务和计划的cron作业实现了持久性,缺乏硬编码的挖掘池,并能够处理来自操作员的其他命令。Palo Alto Networks在2025年3月发现了该威胁的最新版本,该版本使用Ultimate Packer for eXecutables(UPX)进行打包,使得恶意软件体积更小,且在运行时能在内存中解压缩自身并执行最终的有效载荷,以便僵尸网络开始运行。该恶意软件还广泛收集系统信息,并通过HTTP GET请求将这些数据发送到C&C服务器。
https://www.securityweek.com/prometei-botnet-activity-spikes/
6. 美国众议院因安全问题禁止员工使用WhatsApp
6月24日,美国众议院近日宣布,禁止在国会工作人员的政府发放设备上安装和使用WhatsApp,此举主要源于对该应用程序加密和保护数据方式的担忧。禁令范围广泛,不仅覆盖手机,还包括笔记本电脑、台式电脑以及这些设备上使用的任何网络浏览器。尽管国会工作人员在个人设备上仍可自由使用WhatsApp,但在机密简报会或安全设施等敏感领域,该应用的使用早已受到限制。这一禁令消息最初由Axios根据众议院首席行政官(CAO)发给国会工作人员的一封泄露内部电子邮件报道,邮件中将WhatsApp归类为“高风险”通信平台。尽管美国政府尚未发表官方声明,但首席行政官Catherine Szpindor已通过向The Verge发表的声明证实了初步报道。她强调,保护众议院及其数据是首要任务,因此需要定期审查和更新已批准的应用程序列表,以应对潜在的网络安全风险。WhatsApp方面对此表示强烈反对,称其消息默认采用端到端加密,安全级别高于CAO批准列表中的大多数应用程序。然而,WhatsApp最近宣布在“更新”选项卡中引入广告和促销内容,这一变化引发了人们对数据隐私的担忧。
https://www.bleepingcomputer.com/news/security/us-house-bans-whatsapp-on-staff-devices-over-security-concerns/
京公网安备11010802024551号