首頁 > 安全研究 > 安全通報 > 安全簡訊

ViciousTrap黑客組織利用漏洞構建類蜜罐網絡

發布時間 2025-05-26

1. ViciousTrap黑客組織利用漏洞構建類蜜罐網絡


5月23日,網絡安全研究人員披露,代號ViciousTrap的黑客組織已入侵全球84個國家近5300臺網絡邊緣設備,將其改造成類蜜罐網絡。該組織利用思科小型企業路由器多款型號的關鍵漏洞CVE-2023-20118實施大規模入侵,其中850臺受控設備位于澳門。安全公司Sekoia在分析報告中指出,感染鏈涉及執行名為NetGhost的shell腳本,該腳本能將被入侵路由器的流量重定向至攻擊者控制的類蜜罐設施,實現網絡流量劫持。此前,法國網絡安全公司曾將該漏洞利用歸因于PolarEdge僵尸網絡,不過目前尚無證據表明二者有關聯。ViciousTrap背后的組織正通過入侵大量暴露于互聯網的設備構建蜜罐基礎設施,涉及50余個廠商的SOHO路由器、SSL VPN等多種設備。這種架構使攻擊者能觀察多環境滲透嘗試,可能收集未公開或零日漏洞利用方案,并劫持其他威脅組織的入侵成果。攻擊鏈先通過漏洞利用下載bash腳本,進而執行第二階段的NetGhost腳本,該腳本具備流量重定向功能,可實施中間人攻擊,還具備自刪除能力以減少取證痕跡。所有攻擊嘗試均源自單一IP地址,最早活動可追溯至2025年3月,次月該組織還將PolarEdge僵尸網絡曾使用的未公開WebShell工具改作己用。本月最新攻擊活動轉向華碩路由器,使用另一IP地址,但未部署蜜罐,所有活躍IP均位于馬來西亞,歸屬托管服務商Shinjiru運營的自治系統。


https://thehackernews.com/2025/05/vicioustrap-uses-cisco-flaw-to-build.html


2. NPM上的數十個惡意軟件包收集主機和網絡數據


5月23日,Socket威脅研究團隊在NPM索引中發現了兩起惡意軟件包活動。第一起涉及60個惡意軟件包,它們自5月12日起從三個發布者賬戶上傳至NPM存儲庫。這些軟件包包含安裝后腳本,在“npm install”期間自動執行,收集包括主機名、內部IP地址、用戶主目錄等敏感信息,并發送到威脅行為者控制的Discord webhook。該腳本還具備環境檢測功能,以確定是否在分析環境中運行。盡管目前未觀察到第二階段有效載荷的投遞、權限提升或持久機制,但考慮到所收集數據的敏感性,此類攻擊的危險性相當高。這些惡意軟件包曾累計下載3000次,不過在報告發布時已從NPM存儲庫中消失。為誘騙開發人員,威脅行為者使用了與合法軟件包相似的名稱,可能針對CI/CD管道。另一起惡意活動涉及八個軟件包,它們通過域名搶注模仿React、Vue.js、Vite、Node.js和Quill生態系統的合法工具,但具備數據擦除功能,可刪除文件、損壞數據和關閉系統。這些軟件包過去兩年一直存在于NPM上,下載量達6200次。其逃避檢測的部分原因是有效載荷根據硬編碼的系統日期激活,且其結構會逐步破壞系統。此次活動背后的威脅行為者以“xuxingfeng”名義發布這些文件,并列出了幾個合法軟件包以建立信任。盡管根據硬編碼日期,危險已過去,但鑒于作者可能引入更新重新觸發擦除功能,刪除這些軟件包至關重要。


https://www.bleepingcomputer.com/news/security/dozens-of-malicious-packages-on-npm-collect-host-and-network-data/


3. Cetus Protocol遭黑客竊取2.23億加密貨幣


5月23日,去中心化交易所Cetus Protocol近日宣布遭遇黑客攻擊,價值2.23億美元的加密貨幣被盜。事件發生后,該項目立即暫停智能合約展開調查,并確認“1.62億美元的受損資金已成功暫?!?。Cetus Protocol隨后指出,黑客利用了一個易受攻擊的軟件包實施攻擊,但未披露具體細節。該項目表示已找到漏洞根本原因,修復了相關軟件包,并通知了生態系統建設者以防止其他團隊受影響。此外,Cetus Protocol識別出攻擊者的以太坊錢包地址和賬戶,正與第三方合作追蹤和凍結資金,并已通知執法部門。為促使黑客歸還資金,Cetus Protocol提出“有時限的白帽和解協議”,承諾若資金退還將不再采取法律行動。同時,該項目宣布將提供500萬美元賞金,獎勵提供線索、幫助識別和逮捕黑客的信息提供者。在驗證者緊急投票后,Sui區塊鏈上1.62億美元的資金被暫停。區塊鏈分析公司Elliptic發布報告指出,自動做市商(AMM)邏輯存在缺陷,可能涉及池價格操縱,從而引發閃電貸式攻擊。Elliptic還概述了攻擊者的資金轉移嘗試,并表示正在積極追蹤從Sui初始漏洞到攻擊者在以太坊上錢包的交易。目前,黑客的地址已在所有主要交易所和虛擬資產服務提供商上標記,以防止洗錢或資金轉移企圖。


https://www.bleepingcomputer.com/news/security/hacker-steals-223-million-in-cetus-protocol-cryptocurrency-heist/


4. FBI警告Silent Ransom Group針對美律所發起勒索攻擊


5月23日,美國聯邦調查局近日發出警告,指出一個名為Silent Ransom Group(SRG)的勒索團伙在過去兩年里持續針對美國律師事務所發動回撥網絡釣魚和社會工程攻擊。該團伙又名Luna Moth、Chatty Spider和UNC3753,自2022年起便一直活躍,是BazarCall活動的幕后主使,為Ryuk和Conti勒索軟件攻擊提供了初始網絡訪問權限。在Conti關閉后,該威脅行為者脫離原網絡犯罪集團,組建了SRG。在最近的攻擊中,SRG通過電子郵件、虛假網站和電話冒充目標IT支持人員,利用社會工程學手段獲取網絡訪問權限。與一般勒索組織不同,SRG并不加密受害者系統,而是以索要贖金防止敏感信息泄露而聞名。他們通過遠程訪問會話進入受害者設備,進行最低限度的權限提升,并迅速轉向數據泄露,利用“WinSCP”或隱藏/重命名的“Rclone”版本竊取數據。竊取數據后,SRG通過勒索郵件和電話威脅出售或公開信息,迫使受害者進行贖金談判。盡管他們有專門的網站泄露受害者數據,但FBI指出,這些勒索團伙并不總會兌現數據泄露威脅。為防御此類攻擊,FBI建議使用強密碼、啟用雙因素身份驗證、定期備份數據,并對員工進行網絡釣魚嘗試檢測培訓。


https://www.bleepingcomputer.com/news/security/fbi-warns-of-luna-moth-extortion-attacks-targeting-law-firms/


5. Marlboro-Chesterfield Pathology數據泄露影響23.5萬人


5月22日,美國北卡羅來納州全服務解剖病理實驗室Marlboro-Chesterfield Pathology(MCP)近期遭遇勒索軟件攻擊,致使大量個人信息記錄失竊。該機構在官網發布的數據泄露通知表明,2025年1月16日其內部IT系統出現未經授權活動,經調查確認攻擊者竊取了部分文件。此次泄露的數據涵蓋姓名、住址、出生日期、醫療治療信息及健康保險信息等敏感內容,具體泄露字段因個體差異而有所不同。MCP本周向美國衛生與公眾服務部(HHS)通報,此次事件影響范圍涉及235,911人。勒索軟件組織SafePay于一月下旬宣稱對此次攻擊負責,該團伙近期還對商業服務提供商Conduent發起攻擊。值得注意的是,截至發稿時,MCP已從SafePay的泄密網站下架,這暗示受害方可能已支付贖金。


https://www.securityweek.com/marlboro-chesterfield-pathology-data-breach-impacts-235000-people/


6. 黑客利用虛假VPN及瀏覽器NSIS安裝包傳播Winos 4.0惡意軟件


5月26日,網絡安全研究人員披露惡意軟件活動,攻擊者通過偽裝成LetsVPN、QQ瀏覽器等流行工具的虛假安裝程序,最終投遞Winos 4.0框架。此攻擊行動由Rapid7于2025年2月首次監測到,使用了名為Catena的多階段駐內存加載器,將有效載荷完全駐留內存以規避殺毒軟件檢測。植入后,Catena會靜默連接攻擊者控制的服務器,多數位于香港,以接收后續指令或額外惡意程序。該攻擊似乎專門針對中文環境,幕后存在具備高度能力的威脅組織。Winos 4.0是基于知名遠程木馬Gh0st RAT代碼基礎編寫的先進惡意框架,具有數據竊取、遠程Shell訪問及發動DDoS攻擊等功能。2025年發現的基于QQ瀏覽器的感染流程顯示,所有相關攻擊載體均依賴NSIS安裝程序,這些安裝包捆綁了經過簽名的誘餌應用,通過反射式DLL注入技術實現隱蔽駐留。在2025年4月發現的LetsVPN安裝包攻擊案例中,惡意程序通過創建計劃任務實現持久化,且包含檢測系統中文語言設置的顯性校驗,但即使未發現中文環境仍會繼續執行。此外,攻擊者還進行了“戰術調整”,修改了Catena執行鏈的某些組件,新增反殺毒檢測規避功能,如為所有驅動器添加Microsoft Defender排除項,并使用過期證書簽名的惡意載荷反射式加載DLL文件以連接C2服務器下載執行Winos 4.0。


https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html

上一篇 下一篇