恶意软件Herodotus通过“人性化“延迟输入逃避检测
发布时间 2025-10-301. 恶意软件Herodotus通过"人性化"延迟输入逃避检测
10月28日,据Threat Fabric报告,一种名为Herodotus的新型Android恶意软件家族正通过短信钓鱼(smishing)在意大利、巴西等国传播。该恶意软件属于恶意软件即服务(MaaS)平台,由与Brokewell运营者关联的犯罪分子提供,主要针对经济利益驱动的网络犯罪活动。Herodotus的核心技术特征在于其输入例程中采用的随机延迟注入机制,通过0.3至3秒的随机间隔模拟人类打字节奏,有效规避安全软件基于时间的行为检测。这种"人性化"设计使其能绕过Android 13及以上版本的辅助功能权限限制:恶意短信包含的链接会引导用户下载自定义植入程序,该程序会先打开辅助功能设置,通过虚假加载窗口隐藏权限授予步骤,最终获得与用户界面交互的能力。除基础交互功能外,Herodotus还具备多项高级功能:控制面板支持自定义短信文本;模仿银行/加密应用覆盖页面窃取账户凭证;不透明覆盖层隐藏欺诈行为;短信窃取程序拦截双因素认证代码;屏幕内容捕获等。
https://www.bleepingcomputer.com/news/security/new-herodotus-android-malware-fakes-human-typing-to-avoid-detection/
2. 麒麟网络犯罪团伙攻击美国MedImpact公司
10月28日,俄罗斯网络犯罪组织"麒麟"宣称对700余起勒索软件攻击负责,其最新目标为美国大型药品福利管理公司MedImpact。该组织在泄密网站声称已攻破这家服务5000万会员、合作健康计划及政府项目的医疗企业。MedImpact迅速确认部分系统遭受勒索软件攻击,并启动"遏制与缓解措施",同时联合国内顶尖网络安全公司展开调查,将受影响系统迁移至多层防御的新环境恢复运行。据分析,麒麟泄露的数据样本显示其获取了MedImpact的财务运营细节,包括合作伙伴佣金、理赔汇款报告及月度银行账户摘要(含账号、交易日志),但未发现直接涉及患者的敏感个人信息。研究人员指出,此类财务数据可能暴露商业策略,甚至被用于竞争情报侦察。考虑到MedImpact日均处理超百万份医疗索赔,麒麟可能持有更多未公开的敏感信息。
https://cybernews.com/security/qilin-medimpact-data-breach-healthcare/
3. 黑客出售800万份墨西哥债务催收机构数据
10月28日,网络犯罪分子在暗网论坛宣称出售包含超800万条记录的墨西哥债务人数据库,涉及2023至2025年间收集的个人及财务敏感信息。该数据库源自墨西哥某债务催收机构,该机构专门负责追讨客户逾期款项。威胁行为者声称已渗透其系统,但未公开具体机构名称,仅表示仍可访问其系统,并设定了数据集价格标签。据泄露样本显示,被盗数据涵盖姓名、债务金额、完整地址、出生日期、CURP(墨西哥个人身份证号)、电话号码、银行信息、金融产品及逾期投资组合分配日期等。CURP作为墨西哥政府向公民和居民发放的唯一身份标识,其功能类似美国社会安全号码,可被用于身份盗窃、诈骗及开设虚假银行账户等非法活动,对受害者安全构成严重威胁。研究团队指出,此类数据泄露可能导致身份盗窃、欺诈及社会工程攻击,但仅凭样本尚无法完全确定数据获取途径及具体来源。
https://cybernews.com/security/mexico-debtors-data-leak-darkweb/
4. NCX加密平台超500万条敏感数据泄露
10月28日,近日,Cybernews研究团队发现加密货币交易平台NCX因未受保护的MongoDB数据库泄露超500万条用户敏感信息,涉及双因素身份验证码、哈希密码、钱包地址、KYC文件链接等核心数据,泄露数据总量超过1GB。该数据库因人为配置错误未启用身份验证,导致全球用户信息长期暴露于公开网络,部分数据最早可追溯至数月前。泄露数据涵盖八大集合,最大集合包含超200万条记录,最小组合各含17万条以上,所有记录均为最新数据,反映平台高活跃度。具体暴露信息包括:全名、出生日期、电子邮件、用户上传的身份证件链接、双因素认证(TFA)代码及URL、内部API密钥、IP地址、哈希密码、个人资料照片、钱包地址、区块链交易记录、存款/取款历史、管理员支持日志等。研究团队指出,此类数据组合可被用于身份盗窃、账户接管、加密钱包漏洞攻击及社会工程诈骗,尤其KYC文件和内部密钥的泄露暴露了平台关键基础设施的安全漏洞。
https://cybernews.com/security/ncx-exchange-data-leak-wallets-exposed/
5. 微软DNS服务中断影响Azure和Microsoft 365服务
10月29日,微软遭遇全球性DNS服务中断事件,影响范围波及Azure云平台、Microsoft 365及关联服务,导致全球数万用户无法登录企业网络、访问在线平台及执行关键业务操作。此次故障始于UTC时间16:00左右,DownDetector及社交媒体显示用户集中报告服务器连接失败、网站访问异常等问题。具体影响层面,用户反馈包括Intune、Azure门户、Exchange管理中心无法访问,Azure Front Door内容分发网络(CDN)服务瘫痪,医疗机构等关键客户遭遇身份验证故障,员工无法登录业务系统。荷兰铁路系统等公共设施亦受波及,其在线旅行规划平台及售票机出现操作中断。最新进展显示,微软已确认故障由Azure Front Door配置变更触发,系无意操作导致。公司正同步执行两项行动:冻结AFD服务变更权限,并将系统回滚至最后一次稳定状态。预计完全恢复需4小时,目标完成时间为UTC 23:20。微软建议客户启用Azure流量管理器实施故障转移,将流量从AFD转向源服务器,并承诺每两小时更新进展。
https://www.bleepingcomputer.com/news/microsoft/microsoft-dns-outage-impacts-azure-and-microsoft-365-services/
6. 加拿大称黑客组织入侵了水务和能源设施
10月29日,加拿大网络安全中心近日发布紧急警告,指出黑客行动主义者已多次入侵全国关键基础设施系统,通过篡改工业控制系统(ICS)制造潜在危险。当局强调,此类针对暴露于互联网的ICS设备的恶意活动正呈上升趋势,亟需采取更强安全措施以阻止攻击。警报列举了三起典型事件:其一,某供水设施遭入侵,水压值被恶意修改,导致社区供水服务下降;其二,加拿大某石油天然气公司的自动油罐液位计(ATG)被操纵,触发虚假警报;其三,某农场谷物干燥筒仓的温度与湿度水平遭人为篡改,若未及时发现可能引发安全事故。这些袭击被认定为机会主义行为,旨在制造媒体轰动、破坏公众对政府信任并损害国家声誉,而非有计划、有预谋的攻击。黑客行动主义者常与高级持续性威胁(APT)组织合作,通过散播恐惧和威胁感实现其目标。为应对日益猖獗的黑客行动主义活动,加拿大当局提出建议,包括全面清点并评估所有可访问互联网的ICS设备等。
https://www.bleepingcomputer.com/news/security/canada-says-hacktivists-breached-water-and-energy-facilities/
京公网安备11010802024551号