新型Linux后门Plague通过恶意PAM模块绕过身份验证
发布时间 2025-08-051. 新型Linux后门Plague通过恶意PAM模块绕过身份验证
8月2日,网络安全领域近日披露一款名为"Plague"的新型Linux后门程序,该恶意软件通过伪装成可插拔认证模块(PAM)实现长达一年的隐蔽运行。据Nextron Systems研究员Pierre-Henri Pezier揭示,该植入程序深度集成于Linux系统的认证堆栈,通过替换或篡改PAM模块,使攻击者能够静默绕过系统认证机制,建立持久的SSH访问通道。作为UNIX/Linux系统核心组件,PAM通过共享库实现用户认证的集中化管理,但这一特性被恶意软件开发者利用。当恶意PAM模块加载至特权进程时,可同时实现凭证窃取、认证流程绕过及安全工具规避三重功能。研究显示,自2024年7月29日起,VirusTotal平台已收录多个Plague样本,但截至披露时所有主流反病毒引擎均未将其识别为威胁,暗示该框架具备成熟的免杀技术。
https://thehackernews.com/2025/08/new-plague-pam-backdoor-exposes.html
2. 黑客组织CL-STA-0969潜伏10个月,向电信网络植入隐蔽恶意软件
8月2日,东南亚电信组织近期遭遇国家级威胁组织CL-STA-0969的定向网络攻击,该组织通过部署高度定制化的恶意工具链实现对目标网络的远程控制。据Palo Alto Networks旗下Unit 42实验室披露,2024年2月至11月期间,该组织针对东南亚关键电信基础设施发起多起攻击事件,利用Cordscan等工具收集移动设备位置数据,但调查显示其未实施数据外泄或设备追踪行为。技术分析显示,CL-STA-0969自2020年起持续针对南亚、非洲电信实体开展情报窃取活动,其部分攻击手法与知名APT组织"LightBasin"(UNC1945)及金融犯罪团体"UNC2891"存在关联。此次攻击中,攻击者通过SSH暴力破解电信设备内置账户获取初始访问权限,使用定制化字典列表实施定向突破。其工具链包含六大核心组件:覆盖合法PAM模块的AuthDoor凭证窃取工具、滥用GTP-C协议的GTPDoor隐蔽C2通道、基于ICMP回显的EchoBackdoor无加密指令传输、模拟SGSN节点的网络流量绕行技术,以及具备远程Shell和键盘记录功能的ChronosRAT后门。值得关注的是NoDepDNS工具,该基于Golang的DNS隧道后门通过原始套接字解析53端口UDP指令,实现跨防火墙通信。
https://thehackernews.com/2025/08/cl-sta-0969-installs-covert-malware-in.html
3. 越南黑客利用PXA窃取软件攻击全球4000个IP地址
8月4日,网络安全领域近期曝光一起由越南黑客团伙发起的跨国网络犯罪活动,其核心工具为新型Python信息窃取木马"PXA Stealer"。据Beazley Security与SentinelOne联合报告,该犯罪集团通过Telegram API构建订阅制地下生态,已成功攻陷62个国家超4000台设备,窃取包含20万组独立密码、数百条信用卡信息及400万条浏览器Cookie的敏感数据,形成集数据窃取、自动化转售与复用于一体的完整犯罪产业链。研究显示,PXA Stealer的技术演进呈现显著突破。最早由思科Talos于2024年11月发现的该木马,最初针对欧亚政府及教育机构实施定向攻击,可窃取密码、加密货币钱包、金融机构信息及浏览器自动填充数据。2025年攻击活动升级后,犯罪团伙采用DLL侧加载技术与复杂分阶段部署层规避检测,通过向受害者展示版权侵权通知等非恶意诱饵文档完成感染流程。新版木马突破Chromium浏览器"应用绑定加密保护"机制,将攻击范围扩展至VPN客户端、云命令行工具(CLI)、共享文件及Discord等应用数据。
https://thehackernews.com/2025/08/vietnamese-hackers-use-pxa-stealer-hit.html
4. 香奈儿陷Salesforce数据泄露风波:ShinyHunters组织持续攻击
8月4日,法国时尚巨头香奈儿近日成为跨国数据盗窃浪潮中的最新受害者,其美国客户服务中心数据库遭入侵导致用户信息泄露。据报道,此次事件源于威胁行为者对香奈儿第三方服务提供商Salesforce实例的非法访问,攻击者通过语音钓鱼和社会工程手段窃取员工凭证,或诱骗其授权恶意OAuth应用程序,最终于7月25日成功渗透系统。泄露数据涵盖部分美国客户的姓名、电子邮件、邮寄地址及电话号码等有限个人信息,香奈儿已向受影响用户发出通知,但未公开具体受影响人数及第三方服务商名称。此次攻击被归因于勒索组织ShinyHunters发起的持续性Salesforce定向攻击。据Mandiant分析,该团伙通过复杂的社会工程策略获取企业Salesforce账户控制权,进而窃取数据库实施勒索。值得注意的是,Salesforce官方强调其平台未被直接入侵,问题源于客户账户安全措施不足,并重申企业级安全机制已融入平台底层设计,但客户仍需承担数据保护责任。该公司建议用户启用多因素认证(MFA)、遵循最小权限原则及严格管理第三方应用连接,并发布安全指南协助防范类似攻击。
https://www.bleepingcomputer.com/news/security/fashion-giant-chanel-hit-in-wave-of-salesforce-data-theft-attacks/
5. 摩纳哥奢华酒店集团遭D4rk4rmy黑客组织数据泄露
8月4日,摩纳哥百年奢华酒店集团蒙特卡洛滨海度假酒店(SBM)近日卷入重大网络安全事件,网络犯罪集团D4rk4rmy宣称对其发动黑客攻击,并将该集团列入其Tor暗网泄密网站的受害者名单。作为摩纳哥公国象征性企业,SBM自1863年成立以来始终主导着当地豪华酒店、博彩及高端餐饮产业,其旗下蒙特卡洛赌场与巴黎大酒店更是全球精英阶层的标志性社交场所。此次数据泄露事件不仅威胁到高端客户隐私安全,更可能动摇摩纳哥奢侈品行业苦心经营的品牌形象。攻击者声称已窃取大量敏感客户数据与公司内部文件,具体影响范围尚未完全披露。值得关注的是,此次事件凸显网络犯罪分子正将目标转向高净值服务业,这类机构虽拥有严格的安全防护体系,却因掌握大量高价值客户数据而成为攻击者的"优选目标"。网络安全专家指出,若泄露信息涉及政商要员或机密商业数据,可能引发连锁反应,波及SBM的跨国合作伙伴关系与高端客户信任度。
https://securityaffairs.com/180780/cyber-crime/hacking-group-d4rk4rmy-claimed-the-hack-of-monte-carlo-societe-des-bains-de-mer.html
6. CTM360发现针对TikTok Shop用户的恶意“ClickTok”活动
8月4日,网络安全机构CTM360近日披露代号"ClickTok"的新型跨平台诈骗行动,该组织通过构建完整虚假TikTok商业生态,结合网络钓鱼与SparkKitty间谍软件实施加密货币盗窃。攻击者利用AI生成视频在TikTok平台大规模引流,诱导用户访问精心伪造的域名,通过加密货币支付要求诱导安装嵌套恶意代码的"TikTok修改版"应用。技术分析显示,该木马与卡巴斯基此前曝光的SparkCat间谍软件存在技术关联,其变种SparkKitty通过注入Chromium浏览器进程突破传统加密保护,可深度窃取设备截图、VPN凭证、云服务CLI工具数据及Discord等应用信息。尤为值得注意的是,该组织采用"应用绑定加密保护"突破技术,使恶意代码能绕过常规安全检测。据CTM360统计,此次行动已部署超10000个虚假域名及5000个恶意应用实例,通过二维码、即时通讯软件及应用内下载实现裂变式传播。攻击者构建了完整的地下交易链:窃取数据经Sherlock等黑市平台转售,下游犯罪团伙可利用获取的TikTok账号实施二次诈骗或渗透攻击,形成"数据窃取-平台托管-订阅销售"的产业化犯罪模式。
https://www.bleepingcomputer.com/news/security/ctm360-spots-malicious-clicktok-campaign-targeting-tiktok-shop-users/
京公网安备11010802024551号