https://dti.domaintools.com/Skeleton-Spider-Trusted-Cloud-Malware-Delivery/
知名网络犯罪组织FIN6(又名Skeleton Spider)近期被曝光利用社交工程手段和云服务基础设施,通过伪造求职者身份实施定向钓鱼攻击。攻击者伪装成候选人通过LinkedIn、Indeed等平台与招聘方建立联系,再发送包含假简历网站的钓鱼信息。受害者需手动输入伪装为个人简历主页的域名,页面托管在AWS云服务上,并部署了复杂的访问过滤机制,只有满足特定条件的访问者才能看到恶意ZIP文件。该文件内嵌有LNK快捷方式,实际执行JavaScript脚本以下载并运行名为“More_eggs”的后门程序。More_eggs为一种由Golden Chickens组织提供的恶意软件服务,具备凭证窃取、远程命令执行等功能,常用于后续勒索软件攻击。此次攻击行动充分体现FIN6在规避检测、利用合法服务进行伪装方面的成熟技巧,警示安全团队加强对云资源、招聘流程及社交平台的安全防护。
https://www.zscaler.com/blogs/security-research/danableed-danabot-c2-server-memory-leak-bug
近期,安全研究团队ThreatLabz披露了DanaBot恶意软件控制服务器存在严重内存泄漏漏洞,被命名为“DanaBleed”。DanaBot自2018年起活跃,是一个以恶意软件即服务(MaaS)模式运营的平台,主要用于信息窃取与银行欺诈。2022年6月起,DanaBot发布的新版本引入了一个编程错误,导致C2服务器在回应受感染主机请求时,无意中泄露了其进程内存中的数据。这一漏洞持续近三年,期间泄露信息包括黑客用户名和IP地址、C2后端服务器信息、被感染设备的统计数据、更新日志、私钥、数据库结构、甚至受害者凭证等。泄漏内容还包含HTML片段、调试日志及SQL语句等,揭示了该组织内部运作细节。2025年5月,国际执法行动“Operation Endgame”成功瓦解DanaBot基础设施,并起诉了16名关联成员。然而,研究人员警告称,DanaBot的残余力量可能卷土重来,仍需持续追踪其后续动向。此次漏洞不仅为安全社区提供了前所未有的洞察窗口,也揭示了恶意基础设施在安全开发方面的致命疏忽。
https://hackread.com/top-level-domain-names-hackers-abused-phishing-attacks/
ANY.RUN近期发布的一项研究揭示了2025年黑客最常用于钓鱼攻击的20个顶级域名(TLD),其中.li、.es和.dev等域名因频繁被利用而位列前茅。数据显示,57%的.li域名被用于恶意目的,虽然其中大多数并不直接托管钓鱼页面,而是作为中间跳转器,将用户引导至伪装成合法站点的钓鱼平台或恶意软件下载链接。这些域名常被用于伪造登录门户、假冒快递通知或诱导付款操作,.es域名因其本地化特征,在西语地区尤具欺骗性;而.sbs和.cfd因注册成本低,已成为一次性钓鱼基础设施的热门选择。.dev域名因托管在Google平台上而自带可信印象,使得伪装更具迷惑性。研究强调,这类间接跳转行为常被静态检测或黑名单机制忽视,而像ANY.RUN这样的交互式沙箱可实时追踪跳转路径,精准识别恶意行为,为防御钓鱼攻击提供了关键技术支撑。
https://www.binarly.io/blog/another-crack-in-the-chain-of-trust
Binarly Research团队披露了一个影响广泛的UEFI Secure Boot绕过漏洞(CVE-2025-3052),该漏洞存在于一个使用微软第三方UEFI证书签名的BIOS更新模块中。攻击者可利用该模块中对NVRAM变量的未验证操作,实现任意内存写入,从而禁用Secure Boot机制,在操作系统加载前执行任意未签名代码,部署Bootkit等恶意组件,完全绕过操作系统级别的安全防护。该模块最初由DT Research开发,但由于其使用的是微软广泛信任的“Microsoft UEFI CA 2011”证书,几乎所有支持该证书的设备都处于风险之中。Binarly的分析平台自动检测到该漏洞,并发现该问题并非孤立,微软最终在2025年6月的补丁星期二更新中向dbx添加了14个有问题模块的哈希作为缓解措施。此事件再次揭示了UEFI供应链中信任机制的脆弱性。
ConnectWise近日宣布将更换用于ScreenConnect、ConnectWise Automate及RMM可执行文件的数字代码签名证书,此举源于第三方安全研究员提出的配置数据潜在利用风险。数字证书用于保证软件下载来源可信及代码未被篡改,确保用户安全。此次更换与上月遭遇的国家级网络攻击无关。ConnectWise表示,ScreenConnect安装程序的配置处理存在安全隐患,可能被攻击者利用,需系统权限执行恶意操作。为此,ConnectWise不仅更新证书,还发布了改进配置管理的更新版本。受影响的证书由DigiCert颁发,原计划于2025年6月10日撤销,但因新版ScreenConnect尚未发布,延期至6月13日。此调整将影响本地及云端用户,用户需及时更新软件以免服务中断。云端用户将逐步自动接收更新。安全研究员此前警告,攻击者曾利用伪装成社会保障声明的钓鱼网站,传播预配置的ConnectWise远程访问客户端进行诈骗,凸显此次安全举措的重要性。用户被建议访问官方学习页面下载最新版本,确保系统安全稳定运行。
https://www.freebuf.com/articles/system/434328.html
微软已确认其Web分布式创作和版本控制(WebDAV)实现中存在一个严重的零日漏洞正遭攻击者野外利用,这促使微软在2025年6月的补丁星期二发布紧急安全更新。该漏洞编号为CVE-2025-33053,属于严重的远程代码执行(RCE)缺陷,允许未经授权的攻击者通过外部控制WebDAV中的文件名或路径,通过网络执行任意代码。此安全漏洞影响所有受支持的微软Windows版本,使其成为当前补丁周期中修复范围最广的漏洞之一。
https://www.freebuf.com/news/434312.html
网络安全领域出现了一波新型钓鱼攻击浪潮,攻击者利用Microsoft SharePoint这一可信平台绕过传统安全防护措施,标志着网络威胁战术的重大演变。这些攻击充分利用了SharePoint在企业环境中的固有可信度,诱使用户误以为正在与真实的微软服务进行交互。
https://www.freebuf.com/news/434316.html
以经济利益为驱动的威胁组织FIN6(又称Camouflage Tempest、Gold Franklin等)近期被发现利用亚马逊云服务(AWS)基础设施托管虚假简历,传播名为More_eggs的恶意软件家族。DomainTools调查团队(DTI)向《黑客新闻》提供的报告显示:"该组织通过伪装求职者在LinkedIn等平台与招聘人员建立联系后,发送包含恶意软件的钓鱼信息。"
https://cybersecuritynews.com/windows-remote-desktop-services-rce-vulnerability/
高危漏洞CVE-2025-32710影响多版本Windows Server,允许未经认证远程代码执行,CVSS评分8.1。攻击需网络访问并利用竞态条件,虽复杂度高但威胁严重。微软已发布补丁,建议立即更新并限制RDP暴露。
全球超4万台联网摄像头存在暴露风险,无需认证即可实时窥探家庭、医院等场所,威胁隐私与安全。美日数量最多,主流厂商产品存漏洞。建议禁用远程访问、修改默认凭证、更新固件等防护措施。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
