虚假版权声明催生新型Noodlophile窃取程序变种
发布时间 2025-08-201. 虚假版权声明催生新型Noodlophile窃取程序变种
8月18日,网络安全公司Morphisec近日披露一种新型Noodlophile Stealer变种,该恶意软件通过精心设计的虚假版权侵权钓鱼邮件传播,结合Dropbox链接与DLL侧载技术,对美国、欧洲、波罗的海国家及亚太地区企业发起定向攻击。研究显示,该变种已从早期利用虚假AI平台的攻击手段升级为更复杂的战术组合。攻击流程始于高度个性化的网络钓鱼邮件,攻击者伪装成官方版权侵权通知,采用多语言编写并包含目标企业Facebook页面的唯一ID等具体信息,营造紧迫感迫使收件人点击"查看证据"链接。不同于传统钓鱼攻击,该恶意软件通过Dropbox链接提供压缩包文件,内含被篡改的合法应用程序,利用DLL侧载技术诱骗受信任软件在用户不知情时加载隐藏恶意文件。这种技术通过合法程序与恶意DLL的关联执行,有效绕过安全工具检测,最终加载的恶意代码还借助Telegram通信进一步规避监控。一旦感染成功,该窃取程序将重点攻击网络浏览器,窃取登录凭据、信用卡号、自动填充信息及计算机系统详情。
https://hackread.com/phishing-scam-fake-copyright-notice-noodlophile-stealer/
2. USB恶意软件活动在全球范围内传播加密货币挖矿程序
8月18日,CyberProof托管检测与响应(MDR)团队近期揭露一起利用受感染USB设备传播的多阶段恶意软件攻击事件,其技术手法与2024年阿塞拜疆CERT披露的“通用挖矿”计划高度关联,凸显加密货币挖矿威胁在2025年的持续演变。该攻击通过隐藏于USB驱动器的Visual Basic脚本启动,执行后调用xcopy.exe等进程将恶意文件转移至Windows System32目录,并利用DLL搜索顺序劫持技术侧载加密矿工程序。尽管最终被EDR工具阻止,但其绕过安全控制的策略(如结合PowerShell脚本)仍暴露出传统防御体系的潜在漏洞。研究显示,此次攻击与早期基于XMRig的Zephyr活动存在技术关联,攻击者通过混淆脚本和分阶段载荷部署,试图在终端设备上建立持久化挖矿能力。CyberProof通过多源情报追踪发现,该恶意软件已扩散至美国、欧洲、东南亚及非洲多国,地理覆盖范围之广印证了可移动介质在发达与发展中地区均作为顽固传播载体的现状。值得关注的是,攻击流程中侧载的恶意DLL文件专门针对关键系统进程(如lsass.exe),虽未直接窃取凭证,但为后续升级为更具破坏性的漏洞利用预留了接口。
https://www.infosecurity-magazine.com/news/usb-malware-spreads-cryptominer/
3. APT43利用XenoRAT恶意软件攻击多个驻韩大使馆
8月18日,Trellix研究人员近日披露一起由国家支持的间谍活动,该行动自2025年3月起持续针对驻韩国外交使馆发起至少19次鱼叉式钓鱼攻击,其基础设施与攻击手法与朝鲜黑客组织Kimsuky(APT43)高度吻合。此次攻击通过恶意GitHub仓库分发功能强大的XenoRAT木马,展现出高度针对性的战术演变。攻击分为三个阶段:3月初的初始探测阶段以某中欧国家使馆为目标;5月转入复杂外交主题,如冒充欧盟高级官员发送“5月14日欧盟代表团政治咨询会议”的虚假邀请;6至7月则聚焦美韩军事联盟议题,诱饵内容与真实事件时间点高度契合。目标集中于驻首尔的欧洲使馆,钓鱼邮件伪装成会议邀请、官方信函等活动通知,采用多语种并冒用外交官名义发送,场景化设计显著增强可信度。所有攻击均采用统一投递方式:通过Dropbox、Google Drive或韩国本土云存储服务发送密码保护的ZIP压缩文件,内含伪装成PDF的LNK文件。用户触发后,文件会执行混淆处理的PowerShell代码,从GitHub或Dropbox获取XenoRAT有效载荷,并通过计划任务实现系统持久化驻留。
https://www.bleepingcomputer.com/news/security/xenorat-malware-campaign-hits-multiple-embassies-in-south-korea/
4. 美国制药企业Inotiv遭Qilin勒索软件攻击
8月19日,美国印第安纳州合同研究组织Inotiv于2025年8月8日披露一起重大网络安全事件,其部分系统与数据遭"麒麟"(Qilin)勒索软件团伙加密,导致业务运营中断。该公司专注于药物开发、活体动物研究建模及安全评估,拥有约2000名员工,年收入超5亿美元。根据Inotiv向美国证券交易委员会(SEC)提交的文件,攻击发生后,公司立即启动应急响应,联合外部安全专家调查并通报执法部门。初步调查显示,威胁行为者未经授权访问系统后实施加密,导致数据库、内部应用程序等关键设施无法正常使用。为缓解影响,IT团队已将部分受影响操作迁移至离线替代方案,但截至披露时,系统恢复时间仍无法估计,业务中断预计持续一段时间。值得关注的是,Qilin团伙声称窃取约16.2万个文件(总量达176GB),并在其泄密网站发布数据样本,但Inotiv尚未确认数据真实性。
https://www.bleepingcomputer.com/news/security/pharma-firm-inotiv-says-ransomware-attack-impacted-operations/
5. 加拿大金融监管机构CIRO披露数据泄露事件
8月19日,加拿大投资监管组织(CIRO)于2025年8月11日披露一起重大网络安全事件,其部分会员公司及注册员工的个人信息遭未经授权访问。作为2023年成立的全国性自律组织,CIRO负责监管加拿大投资交易商、共同基金交易商及债务/股票市场活动,并拥有对不合规实体处以罚款等处罚的权力。此次事件引发对金融监管机构数据安全能力的关注。事件发生后,CIRO迅速关闭受影响系统以确保安全,并联合外部网络安全专家及执法部门展开调查。初步调查确认,威胁行为者获取了部分会员公司及其员工的个人信息,但具体泄露数据的性质如姓名、联系方式、财务信息等尚未公开。CIRO在8月18日的新闻稿中强调,尽管事件引发担忧,但其核心职能如实时股票市场监管未受影响,投资者投资活动无风险。为应对潜在影响,CIRO承诺将直接通知受影响个人,并提供风险缓解服务。同时,该机构警告其成员警惕以监管机构名义索取个人或财务信息的钓鱼电话及邮件,防止二次攻击。
https://www.infosecurity-magazine.com/news/canadian-financial-regulator-hacked/
6. 安联人寿大规模数据泄露影响110万人
8月19日,2025年7月,全球知名勒索组织ShinyHunters通过针对Salesforce平台的恶意OAuth应用攻击,引发多起大规模数据泄露事件,影响范围涵盖保险、科技、零售、奢侈品等领域。此次攻击链中,美国保险巨头安联人寿(Allianz Life)成为焦点,其110万客户个人信息遭窃,事件暴露出第三方云服务安全漏洞的严重风险。根据披露,7月16日,攻击者通过诱骗安联人寿员工将恶意OAuth应用链接至公司Salesforce实例,成功访问第三方云CRM系统并下载数据库。泄露数据包含客户电子邮件、姓名、性别、出生日期、电话号码及实际地址等敏感信息,部分安联员工也受波及。尽管安联未公开被入侵的云CRM提供商名称,但BleepingComputer确认此次攻击与ShinyHunters直接相关,该组织随后在泄密网站发布约280万条来自安联及其他企业的数据记录,包括财富管理公司、财务顾问等合作伙伴信息。数据泄露通知服务Have I Been Pwned的报告进一步证实了事件的严重性,110万安联客户信息已流入黑市,部分受害者反馈泄露文件中的税号、电话号码等数据准确无误。
https://www.bleepingcomputer.com/news/security/massive-allianz-life-data-breach-impacts-11-million-people/
京公网安备11010802024551号