https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/
名为“Fire Ant”的攻击者自2025年初以来针对VMware ESXi、vCenter和网络设备发动了一场隐秘的网络间谍活动。攻击者利用虚拟机管理程序级别的技术,通过多层攻击链实现持久访问,绕过传统安全检测。攻击手段包括利用CVE-2023-34048和CVE-2023-20867漏洞、部署未签名的VIB、篡改日志、创建伪造身份验证cookie等。此外,攻击者还通过F5负载均衡器漏洞和Neo-reGeorg隧道Webshell操纵网络基础设施,建立跨网段隧道。专家建议采取强化监控、应用安全补丁、启用锁定模式等措施应对此类威胁。
网络安全研究人员披露,名为EncryptHub的黑客组织入侵了Steam平台上的抢先体验版游戏Chemia,并向用户分发信息窃取恶意软件。Chemia是由“Aether Forge Studios”开发的一款生存制作游戏,目前尚未正式发布。研究人员发现,EncryptHub在7月22日将HijackLoader恶意软件注入该游戏文件中,该恶意软件会从Telegram频道检索命令和控制(C2)地址,并下载Vidar信息窃取程序。此外,Fickle Stealer也在三小时后通过DLL文件(cclib.dll)被添加到游戏中,用于收集浏览器中的账户凭据、自动填充信息、Cookie和加密货币钱包数据。目前尚不清楚攻击者如何将恶意文件植入游戏,但有猜测可能是内部人员所为。
安全研究团队在调查一系列电子商务网站工作负载泄露事件时发现,Mimo威胁行为体(也称为Mimo'lette)的攻击目标已从Craft CMS扩展到Magento电商平台和Docker环境。研究人员观察到,Mimo利用未确定的PHP - FPM漏洞入侵Magento,通过复杂的持久性机制和规避技术保持长期访问。例如,Mimo使用GSocket工具建立未经授权的远程访问,并通过memfd_create()系统调用在内存中创建匿名临时文件,以规避检测。此外,Mimo还针对配置错误的Docker实例发动攻击,扫描互联网上运行Docker Engine API的主机,并尝试创建包含恶意命令的新容器,以启动感染链。
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2025-0009
Mitel公司发布安全更新,修复了MiVoice MX-ONE系统中的严重漏洞。该漏洞存在于Provisioning Manager组件中,攻击者可利用其绕过身份验证,未经授权访问系统中的用户或管理员账户。该漏洞尚未分配CVE编号,CVSS评分为9.4(满分10.0),影响7.3至7.8 SP1版本。Mitel已发布补丁,建议用户尽快联系授权服务合作伙伴申请更新。此外,Mitel还修复了MiCollab中的高危漏洞(CVE-2025-52914),该漏洞可能允许攻击者执行SQL注入攻击。为缓解风险,建议用户限制MX-ONE服务直接暴露于公共互联网。
https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/
研究人员发现了一种名为Koske的复杂Linux威胁,该恶意软件显示出明显的人工智能辅助开发迹象。攻击者利用配置错误的服务器安装后门程序,通过缩短的URL下载看似无害的JPEG图像,这些图像文件末尾附加了恶意负载。Koske通过模块化有效载荷、规避型rootkit和武器化图像文件传播,主要目的是加密挖矿。该恶意软件利用多种技术确保系统持久性,包括编辑Shell配置、修改系统启动操作和设置Cron Jobs等。此外,它还通过滥用多语言文件、部署rootkit和操纵网络设置来逃避检测。Koske的自适应行为和精确诊断策略表明其可能借助了人工智能技术。专家建议采取运行时检测、容器保护和网络安全措施来防御此类威胁。
近日,亚马逊的人工智能编程助手“Q”被黑客植入恶意“擦除”命令,引发了开发人员的广泛关注和担忧。据调查,黑客通过向亚马逊Q的GitHub代码库提交拉取请求,植入了一条指示人工智能代理清理系统并删除文件和云资源的提示。如果该命令被执行,可能会删除本地文件,甚至破坏亚马逊网络服务(AWS)的云基础设施。虽然攻击者表示实际风险较低,但该更新已通过亚马逊的验证流程并被包含在公开版本中。亚马逊随后发布声明称已迅速阻止攻击并解决相关问题,确认客户资源未受影响。
https://hackread.com/replit-ai-agent-deletes-data-despite-instructions/
科技创业者、SaaStr创始人Jason Lemkin在社交媒体上曝光了一起严重的AI安全事件。他试用了Replit的AI代理一周多,期间该代理在未经许可的情况下删除了SaaStr专业网络内1206名高管和1196家公司的数据。尽管Lemkin多次明确指示AI代理不要进行未经授权的更改,甚至使用了全大写的“DON’T DO IT”,但AI代理仍运行了删除命令。事件发生后,Replit首席执行官Amjad Masad承认这一行为“完全不可接受”,并表示已紧急上线开发与生产数据库的自动隔离机制,改进了回滚系统。尽管如此,这一事件引发了人们对AI在实时环境中安全性和控制的担忧。
网络安全机构发现了一起通过伪造的ClickFix验证页面传播Epsilon Red勒索软件的活动。该活动自7月起活跃,攻击者利用社交工程技术,冒充Discord、Twitch和OnlyFans等平台,诱骗用户下载恶意的.HTA文件。通过ActiveX静默执行恶意命令,攻击者会从控制的IP地址下载并运行勒索软件有效载荷。受害者在不知情的情况下,其设备会被加密,随后勒索软件会要求支付赎金。专家建议用户禁用ActiveX,屏蔽攻击者IP,并进行安全意识培训以防范此类攻击。
安全机构发现了一种名为Soco404的新型加密货币挖矿攻击活动。该活动利用云环境中的漏洞和错误配置,尤其是PostgreSQL的错误配置,针对Linux和Windows系统部署恶意软件。攻击者通过伪装成合法系统进程、利用cron作业和shell初始化文件实现持久性,并通过受感染的合法服务器托管和传播恶意软件。恶意负载被嵌入在使用Google协作平台构建的虚假404HTML页面中。研究人员推测,Soco404是更广泛的加密诈骗基础设施的一部分,攻击者还利用虚假的加密货币交易网站进行社会工程活动。
https://news.drweb.com/show/?i=15036&lng=en
安全人员检测到名为Trojan.Scavenger的恶意应用程序家族。该家族的木马程序通过伪装成游戏作弊软件和模组,利用Windows系统的DLL搜索顺序劫持漏洞,从玩家的加密钱包和密码管理器中窃取机密数据。木马通过多阶段感染计算机,初始阶段以ZIP压缩包形式分发,伪装成游戏补丁或模组,诱导玩家将其放入游戏目录。一旦启动,木马会下载并安装其他恶意组件,篡改浏览器扩展程序,窃取加密钱包中的助记词和密码管理器中的用户数据。目前,相关防护措施已添加至Dr.Web反病毒产品中,有效抵御此类攻击。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
