BoryptGrab通过GitHub仓库伪装传播
发布时间 2026-03-091. BoryptGrab通过GitHub仓库伪装传播
3月8日,趋势科技近日披露一起通过100余个GitHub代码库大规模分发BoryptGrab信息窃取程序的攻击活动。该恶意软件以C/C++编写,核心功能是窃取浏览器、加密货币钱包数据、系统详情及常用文件,并通过压缩文件上传至攻击者服务器。部分变种会部署TunnesshClient PyInstaller后门,建立反向SSH隧道实现远程控制。攻击者采用多层伪装策略:将恶意代码嵌入伪装成软件工具、游戏作弊器的ZIP压缩包,链接至GitHub存储库。通过在README中填充SEO关键词,使恶意仓库在搜索引擎中排名靠前,例如模仿Voicemod Pro下载页面,利用含"github-io"的ZIP文件名诱导用户下载。感染链包含多种启动方式。BoryptGrab具备反分析机制:通过注册表查询和虚拟机文件检测虚拟环境,比对运行进程列表,并尝试提升权限。若未指定输出路径,将按当前时间、公网IP和国家代码生成存储目录。其"文件抓取器"模块可收集特定扩展名的常用目录文件,新变种还增加了Discord代币窃取功能。
https://securityaffairs.com/189110/malware/massive-github-malware-operation-spreads-boryptgrab-stealer.html
2. Velvet Tempest利用ClickFix技术部署恶意软件
3月7日,被追踪为"Velvet Tempest"(别名DEV-0504)的勒索软件威胁行为者,正通过ClickFix技术和合法Windows实用程序部署DonutLoader恶意软件及CastleRAT后门。该组织作为勒索软件攻击的附属组织已活跃至少五年,曾参与部署Ryuk、REvil、Conti、BlackMatter、BlackCat/ALPHV、LockBit和RansomHub等多款破坏性勒索软件。网络欺骗威胁情报公司MalBeacon在模拟非营利组织环境中观察到该组织12天的攻击行为。攻击初始阶段通过恶意广告活动实施,利用ClickFix与CAPTCHA混合欺骗,诱导受害者将混淆命令粘贴至Windows运行对话框,触发嵌套cmd.exe链并调用finger.exe获取首个伪装成PDF压缩文件的恶意软件加载器。获取访问权限后,攻击者执行键盘操作进行Active Directory侦察、主机发现及环境分析,并使用托管于关联Termite勒索软件工具部署环境的PowerShell脚本,提取Chrome存储的凭据。后续阶段通过PowerShell下载执行命令,最终部署DonutLoader并获取与CastleLoader关联的CastleRAT远程访问木马。
https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/
3. 伊朗MuddyWater APT组织对美机构发动混合攻击
3月6日,博通赛门铁克团队近日披露,与伊朗情报和安全部(MOIS)关联的MuddyWater(别名SeedWorm、TEMP.Zagros等)APT组织正对美国多家机构发动持续攻击。该活动自2026年2月启动,至今仍在活跃,目标涵盖美国银行、机场、非营利组织及一家以色列国防航空航天软件供应商。此次攻击中,MuddyWater部署了新型后门Dindoor,其依赖Deno运行时执行JavaScript/TypeScript代码,并使用“Amy Cherne”证书签名。同时,研究人员发现攻击者试图通过Rclone工具将目标软件公司数据窃取至Wasabi云存储桶,但传输结果未明。美国机场和非营利组织网络中还出现了独立的Python后门Fakeset,该恶意软件使用与Seedworm关联的证书签名,托管于Backblaze服务器,进一步印证伊朗背景。
https://securityaffairs.com/189060/apt/iran-linked-muddywater-deploys-dindoor-malware-against-u-s-organizations.html
4. TriZetto医疗数据泄露事件影响超340万人
3月6日,医疗保健IT公司TriZetto Provider Solutions遭遇重大数据泄露,导致超340万人的敏感信息暴露。事件始于2024年11月19日,威胁行为者未经授权访问保险资格验证交易记录,这是医疗服务提供方治疗前确认患者保险范围的关键流程。直至2025年10月2日,该公司才在门户网站检测到可疑活动并启动调查,调查显示访问行为持续近一年。泄露数据因人各异,可能包含全名、实际地址、出生日期、社会安全号码、健康保险会员编号、医疗保险受益人标识符、提供商及保险公司名称,以及人口统计、健康和保险信息。但支付卡、银行账户或其他财务信息未被泄露,且目前未发现信息被滥用的案例。受影响服务提供商于2025年12月9日获通知,客户通知工作则从2026年2月初启动。根据缅因州总检察长提交的文件,受影响人数达3,433,965人。TriZetto已采取措施加强系统安全,并通报执法部门,同时为受影响者提供Kroll的12个月免费信用监控和身份保护服务。
https://www.bleepingcomputer.com/news/security/cognizant-trizetto-breach-exposes-health-data-of-34-million-patients/
5. CISA紧急要求联邦机构修复iOS高危漏洞
3月6日,美国网络安全和基础设施安全局(CISA)近日发布强制性指令,要求联邦机构在2026年3月26日前修复三个被Coruna漏洞利用工具包攻击的iOS安全漏洞。这些漏洞已被纳入CISA已知利用漏洞目录,属于约束性操作指令(BOD)22-01的管控范围。谷歌威胁情报小组(GTIG)研究显示,Coruna工具包通过23个iOS漏洞链实施攻击,其中多数为零日漏洞。该工具包具备指针认证码(PAC)绕过、沙箱逃逸和页面保护层(PPL)绕过能力,可实现WebKit远程代码执行并提升至内核权限。然而,最新版iOS系统、隐私浏览模式或苹果锁定模式可有效阻断此类攻击。Coruna攻击链已被多个威胁行为者利用:包括监控供应商客户、疑似俄罗斯国家支持的黑客组织UNC6353,以及经济驱动的中国威胁行为者UNC6691。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-apple-flaws-exploited-in-spyware-crypto-theft-attacks/
6. 伊朗Dust Specter借AI攻击伊拉克政府
3月6日,Zscaler ThreatLabz近日揭露,与伊朗关联的黑客组织Dust Specter针对伊拉克政府官员发起精密网络攻击,通过冒充伊拉克外交部的钓鱼邮件传播新型恶意软件,包括SPLITDROP、TWINTASK、TWINTALK及GHOSTFORM。此次行动被中高置信度归因于Dust Specter,其TTP特征与伊朗历史网络间谍活动高度吻合。攻击链1以密码保护的RAR文件为载体,内含伪装成WinRAR的SPLITDROP投放器。执行后,该二进制文件解密并部署TWINTASK与TWINTALK。恶意软件通过注册表项建立持久性,利用VLC、WingetUI等合法软件进行DLL侧加载。TWINTALK采用随机延迟、自定义URI路径及JWT令牌与C2服务器通信,支持命令执行、文件上传及有效载荷下载。攻击链2整合功能至单一二进制文件GHOSTFORM,直接在内存中执行命令以减少文件系统痕迹。该恶意软件伪装成伊拉克外交部调查的Google表单诱骗受害者,并采用隐形窗体延迟执行、互斥锁检查避免多实例。代码分析发现异常元素:嵌入表情符号、Unicode文本及占位符值,这些特征与生成式AI生成的代码模式相符。
https://securityaffairs.com/189033/apt/iran-nexus-apt-dust-specter-targets-iraq-officials-with-new-malware.html
京公网安备11010802024551号