亲俄黑客冒充官方机构实施网络钓鱼攻击
发布时间 2026-04-021. 亲俄黑客冒充官方机构实施网络钓鱼攻击
3月31日,乌克兰计算机应急响应小组(CERT-UA)发布报告,揭露一个编号为UAC-0255的亲俄黑客组织冒充该机构,针对政府机构、企业及其他组织开展网络钓鱼攻击。攻击者通过伪造官方邮件,警告收件人俄罗斯正计划对乌克兰关键基础设施发动“大规模网络攻击”,并诱导其从文件共享服务Files.fm下载密码保护的压缩文件,安装所谓的“安全防护软件”。该文件实际包含名为AgeWheeze的远程管理工具,攻击者可借此远程控制受感染设备,执行命令、管理文件进程、传输屏幕内容、模拟鼠标键盘操作及访问剪贴板等操作。此次攻击目标涵盖政府机构、医疗中心、金融公司、安全公司、大学及软件开发商等多个行业。CERT-UA评估认为,此次钓鱼活动整体成效有限,仅导致少量感染,主要集中于教育机构员工的个人设备。调查显示,攻击行动可能与新兴网络威胁组织CyberSerp存在关联,该组织随后在Telegram频道宣称对此次攻击负责,并声称已向约一百万Ukr.net用户发送恶意邮件,入侵超20万台设备,但CERT-UA尚未证实这些数字。
https://therecord.media/pro-russian-hackers-posing-as-ukrainian-cyber-agency
2. WhatsApp发现虚假应用感染200名用户
4月2日,WhatsApp宣布已通知约200名用户,他们的设备因安装带有间谍软件的假冒WhatsApp应用而遭到入侵。该虚假应用由意大利间谍软件制造商SIO专门为iPhone设计,受影响的用户主要集中在意大利。WhatsApp表示,此次攻击并非源于其自身漏洞,而是威胁行为者通过高度针对性的社会工程手段,诱使用户在官方应用商店之外下载恶意软件。WhatsApp的安全团队主动发现了这一虚假应用,并将其归咎于SIO的子公司ASIGINT。目前,SIO和苹果公司均未对此事作出回应。WhatsApp已将受影响的200名用户登出,并提醒用户下载非官方客户端存在隐私和安全风险,建议删除假冒应用并安装官方版本。SIO在其官网上自称是执法部门、政府机构以及警察和情报机构的“合作伙伴”,此前已有类似行为记录。去年,TechCrunch曾报道SIO开发了多款植入间谍软件的安卓应用。
https://therecord.media/whatsapp-warns-users-of-fake-app-used-for-spyware
3. CrystalRAT恶意软件即服务上线Telegram
4月1日,一种名为CrystalRAT的新型恶意软件即服务(MaaS)正在Telegram上推广,提供远程访问、数据窃取、键盘记录和剪贴板劫持等功能。该恶意软件于1月出现,采用分级订阅模式,除了Telegram频道外,还通过专门的YouTube营销频道进行推广。CrystalRAT提供了一个用户友好的控制面板和自动化构建工具,支持地理封锁、可执行文件自定义和反分析功能。生成的有效载荷经过zlib压缩,并使用ChaCha20对称流密码进行加密。该恶意软件通过WebSocket连接到命令与控制(C2)服务器,并发送主机信息用于感染跟踪。目前其信息窃取组件暂时被禁用,正在进行升级准备,该组件可通过ChromeElevator工具以及Yandex、Opera等基于Chromium的浏览器进行攻击,同时从Steam、Discord和Telegram等桌面应用程序收集数据。远程访问模块支持通过CMD执行命令、上传/下载文件、浏览文件系统,并通过内置VNC实时控制机器。此外,该恶意软件还能捕获麦克风的视频和音频,配备的键盘记录器可将击键实时传输至C2服务器,剪贴板工具则使用正则表达式检测剪贴板中的钱包地址并替换为攻击者提供的地址。
https://www.bleepingcomputer.com/news/security/new-crystalrat-malware-adds-rat-stealer-and-prankware-features/
4. TrueChaos行动利用零日漏洞攻击TrueConf服务器
4月1日,黑客利用编号为CVE-2026-3502的零日漏洞攻击TrueConf会议服务器,从而在所有连接的端点上执行任意文件。该漏洞严重程度评级为中等,源于软件更新机制中缺少完整性检查,攻击者可将合法更新替换为恶意变种。TrueConf是一个视频会议平台,可作为自托管服务器运行,通常为封闭的离线环境设计。CheckPoint研究人员追踪到一个名为TrueChaos的活动,自今年年初以来,该活动利用CVE-2026-3502漏洞对东南亚政府实体发起零日攻击。攻击者若控制了本地TrueConf服务器,可将预期更新包替换为任意可执行文件并伪装成当前应用程序版本,分发给所有连接的客户端。由于客户端未进行适当验证即信任服务器提供的更新,恶意文件可伪装成合法TrueConf更新而被传递和执行。该漏洞影响TrueConf版本8.1.0至8.5.2,修复程序于2026年3月在8.5.3版本中发布。
https://www.bleepingcomputer.com/news/security/hackers-exploit-trueconf-zero-day-to-push-malicious-software-updates/
5. NoVoice安卓恶意软件藏身Google Play超50款应用
4月1日,一种名为NoVoice的新型安卓恶意软件在Google Play上被发现,隐藏在50多款累计下载量达230万次的应用程序中。这些应用包括清理工具、图片库和游戏,表面上无需可疑权限且提供正常功能。据McAfee研究人员分析,该恶意软件利用2016年至2021年间已修复的旧版安卓漏洞,试图获取设备root权限。启动受感染应用后,恶意软件将加密有效载荷隐藏在PNG图像文件中,提取加载后清除中间文件以消除痕迹。攻击者会避免感染北京、深圳等特定地区设备,并对模拟器、调试器和VPN实施15项检查。恶意软件连接命令与控制(C2)服务器收集设备信息,每60秒轮询一次并下载针对特定设备的漏洞利用组件。McAfee发现了22个漏洞,攻击者可借此获取root权限并禁用SELinux强制执行,削弱设备基本安全保护。设备被root后,关键系统库被替换为hook包装器,拦截系统调用并将执行重定向至攻击代码。在后渗透阶段,攻击者将控制代码注入设备上启动的每个应用程序,主要部署两个组件:一个用于静默安装或卸载应用,另一个在任何能访问互联网的应用中运行,作为主要针对WhatsApp数据窃取机制。
https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/
6. 孩之宝遭网络攻击致业务中断
4月1日,玩具和游戏巨头孩之宝周三报告称,该公司遭受网络攻击,导致部分业务流程中断。根据提交给美国证券交易委员会的文件,孩之宝于3月28日检测到其网络遭到未经授权的访问,作为事件响应措施的一部分,部分系统已被离线。目前,公司正借助外部网络安全专家的力量展开调查,目标之一是确定此次事件的全部影响范围,包括是否有任何文件遭到泄露。孩之宝表示,公司已实施并将继续实施业务连续性计划,以确保在解决当前情况的同时能够继续接受订单、发货和开展其他关键业务。声明补充称,在情况完全解决之前,可能需要持续数周时间实施这些临时措施,这可能会导致一些延误。截至目前,尚无网络犯罪团伙声称对此次攻击负责。孩之宝表示,公司正在努力加强系统安全,并将根据调查结果采取其他措施,包括发布必要的通知。
https://www.securityweek.com/toy-giant-hasbro-hit-by-cyberattack/
京公网安备11010802024551号