Socket安全研究团队披露,朝鲜黑客组织“Contagious Interview”近期再度发动供应链攻击,投放35个恶意npm软件包,并利用LinkedIn冒充招聘人员诱导开发者执行多阶段恶意代码。这一行动与早前披露的“Contagious Interview”社工攻击活动相一致,目标为正在求职的开发者群体。此次攻击中,黑客通过24个npm账号上传带有HexEval加载器的恶意包,并成功诱骗部分开发者在本地运行这些包含恶意依赖的“作业任务”。HexEval加载器在安装时悄悄收集主机信息,并在触发条件下拉取并执行第二阶段信息窃取程序BeaverTail。BeaverTail专门搜索浏览器缓存、加密货币钱包数据、系统密钥链等敏感信息,并视平台环境加载特定窃密逻辑。进一步,它还能下载第三阶段后门程序InvisibleFerret,实现更持久的系统控制。研究人员指出,攻击者将模块名和C2地址编码为十六进制以绕过静态分析,同时构建跨平台键盘记录器增强监控能力。部分软件包中嵌入了基于操作系统的本地钩子组件,可实时捕捉按键数据,进一步暴露受害者隐私。
安全公司Trellix近日揭露一项名为“OneClik”的复杂攻击行动,攻击者利用微软ClickOnce部署技术及亚马逊云服务,配合Golang后门“RunnerBeacon”,针对能源、石油和天然气等关键行业展开隐蔽攻击。此行动自2023年已有前兆,于2025年3月起持续活跃,具备高度隐匿性及沙箱逃避能力。攻击链始于钓鱼邮件,诱导受害者点击托管于Azure平台的虚假硬件分析网站,从而下载安装伪装为工具的.APPLICATION文件。该文件通过ClickOnce机制由dfsvc.exe执行,绕过用户权限控制,进而加载.NET恶意组件OneClikNet,通过AppDomainManager注入手法劫持合法程序如ZSATray.exe执行恶意指令。后续载荷RunnerBeacon通过RC4加密及MessagePack序列化方式与攻击者通信,具备远程命令执行、文件操作、进程枚举、端口扫描及SOCKS代理功能,并使用“obfuscate_and_sleep”机制与随机beacon间隔增加分析难度。
安全公司Varonis发现,一场自2025年5月起发起的广泛钓鱼攻击活动正在利用Microsoft 365的“Direct Send”功能,通过仿冒公司内部邮件欺骗用户并窃取凭证。Direct Send原本是为打印机、扫描仪等设备设计的邮件发送机制,允许通过企业的SMTP智能主机发送邮件而无需身份验证。然而,这一机制的安全隐患正被攻击者利用,其发出的邮件可绕过SPF、DKIM与DMARC验证,伪装成来自企业内部员工。该攻击行动已波及超过70家企业,涵盖金融、制造、建筑、医疗和保险等多个行业,其中95%的受害者位于美国。攻击者通过PowerShell脚本调用目标公司的主机,如company-com.mail.protection.outlook.com,从外部IP(如乌克兰IP 139.28.36[.]230)发送伪装为内部员工的钓鱼邮件。邮件以“语音留言”或“传真信息”为主题,附件为伪装成传真通知的PDF文件,内含二维码,诱导用户用手机扫描并访问伪造的Microsoft登录页面,从而窃取登录凭证。
美国网络安全与基础设施安全局(CISA)近日将三个已被广泛利用的高危漏洞新增至其“已知被利用漏洞”(KEV)目录,包括AMI MegaRAC SPx身份验证绕过漏洞(CVE-2024-54085)、D-Link DIR-859路由器路径遍历漏洞(CVE-2024-0769)以及Fortinet FortiOS硬编码凭证漏洞(CVE-2019-6693)。根据美国联邦绑定操作指令BOD 22-01,所有FCEB联邦机构必须在2025年7月16日前完成漏洞修复。CVE-2024-54085是影响AMI MegaRAC SPx服务器管理固件的认证绕过漏洞,攻击者可通过身份伪造绕过访问控制机制,远程控制设备;而CVE-2019-6693则涉及Fortinet FortiOS设备使用硬编码凭证的问题,长期以来为攻击者提供系统后门,威胁关键基础设施安全。CISA已要求美国联邦机构按期完成修复,并建议私营部门也应参照KEV目录中的条目,尽快排查并加固系统,防止受漏洞攻击的风险扩大。
据Rapid7研究人员披露,Brother品牌多达689款打印机存在一个严重漏洞(CVE-2024-51978),允许远程攻击者基于序列号推算出设备的默认管理员密码,从而接管打印机。更令人担忧的是,该漏洞无法通过固件更新修复,因其源于硬件制造时的密码生成逻辑。该漏洞是Rapid7历时研究Brother硬件时发现的8个漏洞之一,其密码生成算法使用设备序列号加静态“盐”值进行SHA256哈希,并通过Base64编码后截取前8位,最终替换字符生成默认密码。由于该算法可逆,攻击者一旦获取序列号(如通过CVE-2024-51977泄露),便可还原密码并登录设备。尽管大部分厂商已发布固件更新修复相关问题,但Brother方面表示CVE-2024-51978无法通过软件完全修补,需在新生产设备中变更密码生成机制。Rapid7建议用户立刻修改默认管理员密码,并尽快部署官方提供的固件补丁,同时限制打印机管理接口的外部访问以降低风险。
Cisco近日发布安全公告,披露其网络访问控制平台Identity Services Engine(ISE)以及Passive Identity Connector(ISE-PIC)中存在两个严重的远程代码执行(RCE)漏洞,编号为CVE-2025-20281与CVE-2025-20282,CVSS评分均为最高的10.0。CVE-2025-20281漏洞源于公开API未充分验证用户输入,攻击者可通过特制请求在目标系统上以root权限执行任意命令;而CVE-2025-20282则由于内部API文件验证不足,允许攻击者上传任意文件至高权限目录,并执行恶意代码。前者影响ISE与ISE-PIC的3.3与3.4版本,后者仅影响ISE 3.4。ISE广泛部署于政府、企业、高校及服务提供商网络核心,作为身份管理与访问策略控制平台。这两个漏洞一旦被利用,可实现对目标设备的完全远程接管,无需任何身份认证或用户交互,风险极高。
https://www.malwarebytes.com/blog/news/2025/06/fake-docusign-email-hides-tricky-phishing-attempt
近日有研究者披露了一起巧妙的仿冒DocuSign钓鱼攻击案例,该攻击通过合法渠道绕过常规安全检测,并借助Webflow网站预览功能隐藏恶意跳转行为。攻击者发送一封来自“可信联系人”的DocuSign签署通知邮件,邮件成功通过了SPF、DKIM和DMARC认证,极具迷惑性。邮件中的“查看文档”链接实际指向Webflow的预览地址,这一合法的页面初看无异常,但随后跳转至伪造的DocuSign风格界面,点击“查看文档”按钮后又跳转到一个可疑域名,如sjw.ywmzoebuntt.es,并呈现简化的伪验证码界面诱导用户点击。最终,用户被重定向到真正的Google登录页,使整个流程显得可信,掩盖了中间的数据采集行为。研究者分析认为,此类攻击属于“探测型钓鱼”操作:通过初步访问采集用户设备指纹信息(如IP地址、浏览器、硬件信息等),筛选目标进行后续更精准的攻击,而非立即投放恶意程序。
以色列安全公司Check Point近日发布报告称,伊朗背景的APT42(又名Educated Manticore、Charming Kitten、Mint Sandstorm)近期针对以色列记者、网络安全专家及学术人员发起了一波精准的钓鱼攻击行动。该行动自2025年1月起持续至今,于6月中旬加剧,攻击者伪装成网络安全从业者,通过电子邮件和WhatsApp进行接触,借助AI生成的措辞专业信息骗取信任,再诱导受害者登录伪造的Google登录界面,从而窃取邮箱凭证和双因素认证代码。APT42使用了定制化的React单页应用(SPA)钓鱼套件,伪装成Google登录界面,并内置实时按键记录器与WebSocket数据通道,能即时传输受害者输入的账号、密码及2FA验证码。此外,攻击者还使用Google Sites托管的虚假Google Meet邀请页面,以增加钓鱼攻击的可信度。
安全公司Backslash Security警告称,全球已有超过7000台Model Context Protocol(MCP)服务器因配置不当而暴露在公共互联网中,给AI应用程序带来严重安全隐患。MCP协议自2023年11月才刚出现,但因其能将AI模型连接至组织内部敏感数据,部署速度惊人,目前全球部署数量已超过15000台。研究人员指出,大量MCP服务器缺乏认证控制机制,允许未经授权的设备连接访问,尤其在本地网络中形成所谓的“邻居劫持”(neighborjacking)风险。更严重的是,约70台服务器存在关键漏洞,如路径遍历及未对用户输入进行净化处理,其中部分系统甚至会将用户输入作为Shell命令执行,导致攻击者可远程执行任意代码、删除数据或完全控制主机。此外,MCP服务器还可能被用于“上下文投毒”,攻击者通过操控送入AI模型的数据内容,影响模型输出的准确性与可信度。在一例中,研究人员发现某企业部署的MCP为数万用户提供服务,却未设置任何数据篡改防护机制。
https://www.govinfosecurity.com/nationwide-recovery-service-hack-grows-to-500000-victims-a-28835
2024年针对美国医疗债务催收公司Nationwide Recovery Service(NRS)的黑客攻击事件持续发酵,受影响的患者人数已超过50万。NRS最初于去年9月向美国卫生与公众服务部(HHS)报告称,事件影响仅为501人,但随着多个合作医疗机构陆续提交数据泄露报告,实际受害规模大幅攀升。近期,包括Select Medical(11.9万人)、UChicago Medicine Medical Group(3.8万人)、Shore Medical Center(3.1万人)以及Radiology Chartered等在内的多家医疗机构确认因NRS数据泄露影响其患者。NRS在2024年7月5日至11日期间遭遇未经授权的入侵,黑客访问并复制了包含个人姓名、地址、社会安全号码、出生日期、账户余额及医疗账单信息等敏感数据的文件。尽管受害机构强调其自身IT系统未遭破坏,但作为业务外包方的NRS成为攻击突破口,引发行业对第三方数据安全的严重担忧。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动