Matanbuchus 3.0恶意软件加载器升级
发布时间 2025-07-171. Matanbuchus 3.0恶意软件加载器升级
7月16日,网络安全领域近期聚焦于Matanbuchus恶意软件加载器新变种(3.0版)的涌现。作为一款自2021年起在俄语网络犯罪论坛以“恶意软件即服务”(MaaS)模式运营的攻击工具,其初始版本以2500美元月租价被用于传播Cobalt Strike信标和勒索软件,曾通过“ClickFix”式诱导攻击实施渗透。而最新3.0版本在技术层面实现重大升级,隐蔽性与攻击效率显著提升,引发行业高度警惕。新版Matanbuchus的核心威胁在于其传播策略与功能强化。不同于传统依赖垃圾邮件或漏洞利用的扩散方式,该加载器更依赖“直接交互式社会工程学”手段,攻击者通过伪装身份诱骗用户执行远程协助工具,进而部署PowerShell脚本触发恶意载荷下载。这种“精准定位+人工诱导”的模式,使其成为初始访问经纪人(IAB)向勒索团伙出售企业网络入口的高效工具,威胁性远超普通商业化加载器。技术层面,Matanbuchus 3.0的升级聚焦于三大方向:通信协议优化、内存操作强化、混淆技术升级。其功能扩展包括支持CMD/PowerShell反向Shell、可运行DLL/EXE/Shellcode等多类型后续载荷,并具备通过COM组件交互注入Shellcode实现复杂任务调度的能力。
https://thehackernews.com/2025/07/hackers-leverage-microsoft-teams-to.html
2. 英国Co-op零售商遭网络攻击,650万会员数据泄露
7月16日,英国知名零售商合作社集团(Co-op)近日证实,今年4月遭遇的大规模网络攻击导致其系统瘫痪、杂货店食品短缺,并造成650万会员的个人数据被盗。攻击发生于4月22日,威胁行为者通过社会工程手段重置一名员工密码,成功侵入Co-op网络。随后,攻击者迅速横向渗透至其他设备,并窃取了Windows Active Directory服务的核心数据库文件NTDS.dit。该文件包含用户密码哈希值,攻击者可通过离线破解进一步扩大网络访问权限。最终,攻击者试图部署DragonForce勒索软件加密器,导致Co-op被迫关闭多个IT系统以遏制威胁扩散。尽管财务及交易信息未被泄露,但会员的联系信息等敏感数据遭窃,首席执行官Shirine Khoury-Haq在采访中表示,此次事件“如同人身攻击”,她对会员和员工受到的伤害深感愧疚。调查显示,此次攻击与名为“Scattered Spider”的黑客组织有关。攻击发生后,DragonForce勒索软件运营商声称对Co-op事件负责,并向BBC提供了被盗数据样本。
https://www.bleepingcomputer.com/news/security/co-op-confirms-data-of-65-million-members-stolen-in-cyberattack/
3. BADBOX 2.0已预装在全球百万Android设备上
7月16日,美国联邦调查局(FBI)近日将一款名为BADBOX 2.0的安卓恶意软件列为全球性网络威胁。据安全团队分析,该恶意软件已入侵222个国家和地区的超100万台设备,其核心在于通过预装固件的方式,将低成本安卓设备转化为僵尸网络节点,甚至在用户购买设备前便已潜伏其中。BADBOX 2.0的危险性源于其独特的传播模式:不同于传统恶意软件通过恶意下载或虚假应用传播,它直接嵌入设备固件,在制造阶段即被预装。这意味着用户拆封新设备、首次启动时便已暴露在威胁中。研究显示,受感染设备多来自未经严格安全审查的供应链,尤其是一些无品牌或超低价产品,部分甚至通过亚马逊等主流平台销售。一旦激活,恶意软件会通过原生后门库libanl.so(深嵌固件)在后台静默运行,即使恢复出厂设置仍无法清除。该恶意软件的核心功能是将设备变为“住宅代理网络”节点,出售给犯罪集团用于隐藏点击欺诈、凭证填充等网络攻击的踪迹。其组件包括触发恶意模块的libanl.so、负责持久化的Java模块p.jar和q.jar,以及系统级应用com.hs.app,通过加密通信与C2域名交互。受害者可能察觉设备异常:闲置时CPU占用率高、发热严重、性能下降或网络流量异常,但往往难以追溯源头。
https://hackread.com/badbox-2-0-preinstalled-android-iot-devices-worldwide/
4. 欧洲刑警组织捣毁亲俄的NoName057(16) DDoS黑客组织
7月16日,一场代号为“伊斯特伍德行动”的国际执法行动针对亲俄黑客组织NoName057(16)展开精准打击。该行动由欧洲刑警组织和欧洲司法组织牵头,联合12个国家的执法力量,目标直指这个自2022年乌克兰战争爆发后活跃的亲俄黑客团体。NoName057(16)以Telegram频道和“DDoSia”众包项目为工具,通过志愿者计算机发起分布式拒绝服务(DDoS)攻击,长期针对欧洲、以色列和乌克兰的支持乌克兰机构,包括北约站点、政府机构、银行、能源供应商及媒体组织。据欧洲刑警组织披露,该组织的攻击活动曾扰乱德国、波兰、立陶宛等国的关键服务。此次行动中,执法机构在7国展开搜查,摧毁或下线100余台服务器,逮捕2人,并发出7份欧洲逮捕令,目标直指藏匿于俄罗斯的核心成员。此外,当局向1100名参与者及17名管理员发送Telegram警告,明确其法律责任。尽管行动对NoName057(16)造成重大打击,但因其核心成员位于俄罗斯,基础设施可能快速重建。
https://www.bleepingcomputer.com/news/security/europol-disrupts-pro-russian-noname05716-ddos-hacktivist-group/
5. UNC6148利用Overstep恶意软件攻击过时SonicWall设备
7月16日,谷歌威胁情报小组(GTIG)近日警告,一个被追踪为UNC6148的威胁行为者正针对已结束支持但仍在使用中的SonicWall Secure Mobile Access(SMA)100系列设备发起新型攻击。该组织自2024年10月起活跃,通过部署未知恶意软件OVERSTEP,实现数据窃取、凭证盗用及潜在勒索软件部署,其活动可能关联World Leaks数据泄露平台。攻击目标为已完全修补但寿命终止(EoL)的SMA设备,这类设备因缺乏厂商安全更新,成为漏洞利用的温床。UNC6148通过多个已知漏洞(如CVE-2025-32819、CVE-2024-38475等)窃取本地管理员凭据,随后利用SSL-VPN会话建立反向Shell,尽管SonicWall设备设计上禁止Shell访问,但攻击者可能利用未知零日漏洞实现突破。一旦获得权限,威胁行为者手动清除系统日志以掩盖踪迹,并部署OVERSTEP恶意软件。OVERSTEP作为用户模式Rootkit,通过修改设备启动流程实现持久化,具备隐蔽窃取凭据、会话令牌及一次性密码(OTP)种子的能力。尽管未明确确认经济动机,但受害设备数据被发布至World Leaks网站,暗示潜在勒索意图。
https://www.securityweek.com/sonicwall-sma-appliances-targeted-with-new-overstep-malware/
6. Century Support Services遭数据泄露,16万人敏感信息被窃
7月15日,宾夕法尼亚州债务清偿公司Next Level Finance Partners(以Century Support Services名义运营)近日披露一起重大数据泄露事件,影响逾16万名用户。该公司于2024年11月检测到系统遭黑客入侵,经5月下旬完成的调查确认,攻击者可能访问或窃取了存储用户个人信息的文件。此次事件成为又一起涉及高敏感数据泄露的安全事故。泄露信息涵盖多个关键领域,包括用户姓名、社会安全号码、出生日期、驾照/州身份证/护照号码等身份标识,以及医疗健康保险信息、金融账户数据及数字签名。这些信息若被滥用,可能导致身份盗用、金融诈骗或医疗信息泄露等严重风险。根据Century Support Services向缅因州总检察长办公室提交的报告,其累计服务客户近30万,此次泄露规模占其客户群的半数以上。事件曝光后,该公司宣布为受影响用户提供12个月的免费身份盗用保护及信用监控服务,以缓解潜在风险。截至目前,尚未有任何已知勒索软件组织宣称对此次攻击负责,攻击动机仍不明确。
https://www.securityweek.com/data-breach-at-debt-settlement-firm-impacts-160000-people/
京公网安备11010802024551号