首頁 > 安全研究 > 安全通報 > 安全簡訊

Acronis解析多階段惡意軟件傳播鏈

發布時間 2025-04-02

1. Acronis解析多階段惡意軟件傳播鏈


4月1日,Acronis威脅研究部門(TRU)近期解析了一起復雜的多階段惡意軟件傳播鏈,揭示了攻擊者如何利用混淆技術和多腳本語言繞過安全防御。攻擊始于偽裝成"賬戶扣押傳票"的西班牙語釣魚郵件,附件為RAR壓縮包,內含高度混淆的Visual Basic腳本(VBS)。執行后,VBS生成批處理文件(BAT),后者構建并執行Base64編碼的PowerShell腳本。該腳本解碼有效載荷——采用RunPE技術加載的.NET可執行文件,其資源中包含雙重加密數據塊,需通過特定密鑰解密。最終載荷為DCRat或Rhadamanthys等信息竊取程序,可致數據泄露和系統入侵。分析發現,攻擊鏈的多層混淆顯著增加了檢測難度,但亦引入更多故障點,為防御提供了突破口。Acronis指出,多層安全方案至關重要:初始階段需攔截惡意郵件及附件,高級啟發式分析可識別可疑腳本行為,而內存保護技術能阻斷編碼載荷執行。值得一提的是,攻擊者在PowerShell腳本中植入尼采哲學語錄,試圖混淆視線,凸顯現代惡意軟件的創意與復雜性。


https://www.bleepingcomputer.com/news/security/we-smell-a-dcrat-revealing-a-sophisticated-malware-delivery-chain/


2. 無文件加密挖礦攻擊導致1500余臺PostgreSQL服務器遭攻擊


4月1日,近期,針對暴露的PostgreSQL數據庫的攻擊活動引發安全界關注。云安全公司Wiz披露,該攻擊活動與Aqua Security于2024年8月標記的入侵集存在關聯,攻擊者被追蹤為JINX-0126,其利用名為PG_MEM的惡意軟件實施攻擊。研究人員指出,攻擊者持續進化攻擊手法,通過為每個目標部署具有唯一哈希值的二進制文件并采用無文件技術執行挖礦負載,有效規避了依賴文件哈希檢測的云安全解決方案。據Wiz評估,該活動已導致超過1,500名受害者,凸顯了弱密碼或默認配置的PostgreSQL實例作為攻擊目標的普遍性。攻擊者利用弱配置的PostgreSQL服務進行初步滲透,投放Base64編碼的shell腳本,該腳本不僅清除競爭礦工,還部署名為PG_CORE的二進制文件。進一步,服務器下載偽裝成合法PostgreSQL進程的Golang二進制文件,其通過創建高權限用戶、設置cron持久化任務,終從GitHub下載最新版XMRig挖礦程序,利用Linux無文件技術啟動挖礦進程。值得注意的是,攻擊者為每個受害者分配獨立錢包地址,Wiz已識別三個關聯錢包,每個錢包關聯約550個挖礦節點,總計超過1,500臺設備被感染。


https://thehackernews.com/2025/04/over-1500-postgresql-servers.html


3. Palo Alto Global Protect掃描浪潮中涉及近24,000個IP


4月1日,針對Palo Alto Networks GlobalProtect登錄門戶的網絡掃描活動近期顯著升級,引發安全研究人員對潛在攻擊的預警。威脅情報公司GreyNoise監測數據顯示,該掃描活動涉及超過24,000個唯一源IP地址,于2025年3月17日達到每日20,000個唯一IP的峰值,并持續至3月26日。IP地址中,23,800個被標記為"可疑",154個被確認為"惡意",凸顯活動異常性。掃描來源主要集中在北美,目標系統雖以美國為主,但呈現全球化特征。GreyNoise指出,此類掃描激增常與漏洞利用前的偵察行動相關,歷史模式顯示,掃描高峰后2-4周可能出現新漏洞披露或攻擊事件。值得注意的是,此次活動與另一項涉及PAN-OS爬蟲的掃描存在時間關聯性,后者在3月26日同步達到2,580個IP的掃描峰值。當前,攻擊者的具體目標和動機尚不明確,但針對暴露在互聯網的Palo Alto Networks系統,管理員需提高警惕。GreyNoise建議立即審查3月中旬以來的系統日志,排查入侵跡象,強化登錄門戶安全防護,并封鎖已知惡意IP。


https://www.bleepingcomputer.com/news/security/nearly-24-000-ips-behind-wave-of-palo-alto-global-protect-scans/


4. CrushFTP CVE-2025-2825漏洞正在被利用進行攻擊


4月1日,近期,攻擊者正積極利用公開的概念驗證代碼(PoC)對CrushFTP文件傳輸軟件中的一個高危身份驗證繞過漏洞(CVE-2025-2825)實施攻擊。該漏洞由Outpost24報告,允許遠程攻擊者無需認證即可訪問未修補的CrushFTP v10或v11設備。CrushFTP在3月21日緊急發布補丁時強調,暴露的HTTP(S)端口可能直接導致未授權訪問,并建議用戶立即升級至10.8.4或11.3.1以上版本。作為臨時防護措施,管理員可啟用DMZ外圍網絡選項加強防護。一周后,Shadowserver監測數據顯示,其蜜罐系統已檢測到數十次針對暴露在互聯網的CrushFTP服務器的攻擊嘗試,當時仍有超過1,500個未修補實例處于風險中。此次漏洞的公開PoC由ProjectDiscovery于漏洞披露前數日發布,加速了攻擊者的利用進程。值得注意的是,CrushFTP長期位列勒索軟件團伙(如Clop)的高價值目標名單,此前曾遭遇多次零日漏洞攻擊,包括2024年4月修補的CVE-2024-4040漏洞,該漏洞允許攻擊者逃逸虛擬文件系統并竊取系統文件。


https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/


5. Vitenas整形外科患者數據遭黑客入侵并泄露


4月1日,美國休斯頓知名整形外科機構Vitenas整形外科遭遇重大網絡攻擊,導致大量敏感患者數據泄露。該機構由外科醫師學會院士Paul Vitenas, Jr.創立,旗下包括Mirror Mirror Beauty Boutique及德克薩斯州休斯頓外科中心。3月5日,威脅組織Kairos在其暗網泄密站點公開宣稱已入侵Vitenas博士官網,并展示未經編輯的1.34GB泄露文件。泄露數據包含未加密的受保護健康信息(PHI),涉及患者裸照、姓名、出生日期、聯系方式、社保號、駕照照片等敏感信息,同時包含員工信息及診所運營文件。攻擊者通過俄語論壇兜售數據,試圖尋找買家。Kairos組織聲稱通過暴力攻擊于2月成功入侵系統,且診所IT部門已察覺攻擊但未能阻止數據泄露。攻擊者表示已與Vitenas博士進行約一個月的談判,威脅若無法盡快找到數據買家,將公開最敏感信息。


https://databreaches.net/2025/04/01/vitenas-cosmetic-surgery-patient-data-hacked-and-leaked/


6. 歐洲服務平臺Yoojo泄露千萬敏感文件


4月1日,歐洲服務市場平臺Yoojo因云存儲桶配置錯誤,導致超1450萬份敏感文件暴露,涵蓋用戶護照、通訊記錄、電話號碼等核心隱私數據。作為連接個人與服務提供商的流行平臺,Yoojo(前身為Youpijobs)在英法西荷等多國運營,其應用下載量超50萬次,服務范圍覆蓋家政、寵物看護等多領域。此次泄露的存儲桶至少公開訪問達10天,雖然暫無濫用跡象,但研究人員警告潛在風險顯著:攻擊者可利用泄露的身份證件實施身份盜竊,通過真實電話號碼構建虛假服務收費場景,甚至發起精準網絡釣魚攻擊。個人信息暴露還顯著增加用戶被跟蹤勒索的風險。在網絡安全團隊通報后,Yoojo已修復配置漏洞并完成數據保護。為避免類似事件,專家建議采取多重安全措施,包括強化訪問控制、啟用加密傳輸與存儲、部署密鑰管理服務、實施SSL/TLS協議,并加強安全審計與員工培訓。值得注意的是,此次泄露涉及大量政府簽發證件及用戶通信內容,其敏感程度遠超普通數據泄露事件。


https://cybernews.com/security/yoojo-data-leak-exposed-passports/

上一篇 下一篇