地盘战打响,DragonForce争夺勒索软件市场主导权;AI助手DIANNA首次成功识别大语言模型生成的恶意软件 | 牛览
地盘战打响,DragonForce争夺勒索软件市场主导权;AI助手DIANNA首次成功识别大语言模型生成的恶意软件 | 牛览
安全牛 2025-05-26 09:32
新闻速览
•《网络交易平台收费行为合规指南》面向社会征求意见
•FBI警告:SRG索团伙针对律师事务所发动攻击
•国际”终局行动”重创恶意软件生态系统:DanaBot被瓦解,QakBot头目被起诉
•
DIANNA
AI助手首次成功识别大语言模型生成的恶意软件
•AI浪潮下的安全危机:91%企业在混合云环境中做出风险妥协
•地盘战打响,DragonForce争夺勒索软件市场主导权
•多阶段Chihuahua信息窃取木马现身:利用Google Drive窃取浏览器凭证和加密钱包
•西班牙汉堡王备份系统遭遇RCE漏洞威胁,黑客4000美元叫卖访问权限
•针对中文用户的安全威胁:黑客利用伪装安装程序部署Catena链传播Winos 4.0
•Versa修复Concerto SD-WAN平台三个高危漏洞,串联可导致完全系统入侵
特别关注
《网络交易平台收费行为合规指南》面向社会征求意见
为规范网络交易平台向平台内经营者收取佣金、抽成、会员费、技术服务费、信息服务费、营销推广费等收费行为,维护平台内经营者合法权益,促进平台经济健康有序发展,近日,市场监管总局研究起草了《网络交易平台收费行为合规指南(征求意见稿)》(以下简称《指南》),并向社会公开征求意见。
《指南》共28条,主要内容包括5个方面:一是明确平台收费要遵循的原则;二是倡导降低平台内经营者负担;三是强化平台合规自律;四是规范平台收费行为。五是加强监督与实施。其中,在“强化平台合规自律”方面,要求平台按照有关规定,落实合规管理主体责任,健全合规管理组织、配备合规管理人员,建立不合理收费风险识别评估、防范收费风险的事前合规审核等机制,提升平台收费合规管理能力。
下一步,市场监管总局将根据社会公开征求意见反馈情况完善《指南》内容,尽快出台实施,进一步健全平台经济常态化监管制度,持续规范平台收费行为,推动平台经济有序健康发展。
原文链接:
https://mp.weixin.qq.com/s/PKyuzRWNu57GGBpJcsRI8g
热点观察
FBI警告:SRG索团伙针对律师事务所发动攻击
FBI近日发布警告,勒索团伙Silent Ransom Group (SRG)在过去两年中通过回拨网络钓鱼和社会工程学攻击手段,持续针对美国律师事务所实施攻击。
该团伙也被称为Luna Moth、Chatty Spider或UNC3753,自2022年活跃以来,曾参与为Ryuk和Conti勒索软件攻击提供初始网络访问权限的BazarCall活动。在最近的攻击中,SRG通过电子邮件、虚假网站和电话冒充目标公司的IT支持人员,利用社会工程学策略获取目标网络访问权限。与传统勒索软件不同,该团伙不加密受害者系统,而是威胁泄露从受害设备窃取的敏感信息,以此勒索赎金。一旦获取受害者设备访问权,SRG攻击通常涉及最小权限提升,并迅速转向通过“WinSCP”或隐藏版本的“Rclone”进行数据窃取。
据安全公司EclecticIQ报告,SRG勒索要求金额在100万至800万美元之间,取决于被入侵公司的规模。攻击者注册域名冒充主要美国律师事务所和金融服务公司的IT帮助台,使用拼写错误的域名模式,诱导员工安装远程监控管理软件。
FBI建议组织采用强密码、为所有员工启用双因素认证、定期备份数据,并对员工进行钓鱼识别培训,以防御此类攻击。
原文链接:
https://www.bleepingcomputer.com/news/security/fbi-warns-of-luna-moth-extortion-attacks-targeting-law-firms/
国际”终局行动”重创恶意软件生态系统:DanaBot被瓦解,QakBot头目被起诉
国际执法机构近日宣布,由美国、加拿大和欧盟联合发起的”终局行动”(Operation Endgame)取得重大进展,成功瓦解DanaBot僵尸网络,并起诉了DanaBot和Qakbot恶意软件即服务(MaaS)组织的领导人。
在5月19日至22日的行动中,执法部门全球范围内关闭了约300台服务器,接管了650个域名,并对20个目标发出国际逮捕令。此次行动主要针对Bumblee、Hijackloader、Lactrodectus、Qakbot、DanaBot、Trickbot和Warmcookie后门等多种恶意软件加载器,这些工具常被用于大规模勒索软件攻击的前期准备。
美国司法部公布了对16名涉嫌开发和部署DanaBot恶意软件的嫌疑人的指控,其中两名俄罗斯籍嫌疑人Aleksandr Stepanov(”JimmBee”)和Artem Aleksandrovich Kalinkin(”Onix”)被点名。据悉,DanaBot以恶意软件即服务模式运营,每月向客户收取数千美元费用,提供僵尸网络访问权和支持工具。该恶意软件不仅针对金融欺诈,还专门开发了一个版本瞄准北美和欧洲的军事、外交和政府实体。同时,美国司法部还起诉了来自莫斯科的Rustam Rafailevich Gallyamov,指控其为Qakbot恶意软件团伙的领导者。
“终局行动”得到了包括Sekoia、Zscaler、Crowdstrike、Proofpoint在内的多家网络安全公司和hadowserve等非营利组织的支持。
原文链接:
https://www.helpnetsecurity.com/2025/05/23/operation-endgame-danabot-botnet-disrupted-qakbot-leader-indicted/
DIANNA AI助手首次成功识别大语言模型生成的恶意软件
今年2月,网络安全领域迎来重要里程碑:复杂恶意软件BypassERWDirectSyscallShellcodeLoader 被发现。Deep Instinct分析师通过其专有的DIANNA(Deep Instinct Artificial Neural Network Assistant)系统识别了这一威胁,这是生成式AI助手首次成功解释和分类AI生成的恶意软件样本。这一突破性发展标志着AI驱动工具已在网络战争的双方同时部署,从根本上改变了威胁的创建、检测和分析方式。
该恶意软件使用ChatGPT和DeepSeek等知名大语言模型创建,代表着从传统手工编码恶意软件向AI生成威胁的范式转变。这些AI生成的威胁能够快速生产,同时具备增强的复杂性和复杂的混淆技术。发现时间线揭示了传统安全方法的关键漏洞:Deep Instinct在恶意软件出现在VirusTotal平台前数小时就已检测并阻止了该威胁,而在VirusTotal上最初只有六家安全供应商将其标记为恶意。
BypassERWDirectSyscallShellcodeLoader的攻击方法集中在其无缝加载和部署多种有效载荷的能力,同时通过综合防御机制保持隐蔽性。该恶意软件作为模块化框架运行,允许攻击者根据目标集成各种有效载荷。其主要感染载体依赖于初始系统入侵,随后使用直接系统调用注入有效载荷,从而绕过传统API监控。该恶意软件最令人担忧的方面在于其复杂的规避机制,包括反调试和反沙箱功能,可检测安全研究人员和自动分析系统常用的虚拟化环境。
原文链接:
https://cybersecuritynews.com/genai-assistant-dianna/
AI浪潮下的安全危机:91%企业在混合云环境中做出风险妥协
根据Gigamon发布的2025年混合云安全调查,高达91%的组织承认在AI快速发展的压力下,在混合云环境中做出了危险的安全妥协。随着AI应用激增和混合架构扩展,安全态势仍然危险地分散。
该调查覆盖了1000多名安全和IT领导者,结果显示数据泄露率同比增长17%,达到55%,主要由AI驱动的攻击推动。导致这些安全妥协的主要因素包括用于安全AI工作负载部署的数据质量不佳(46%)和东西向流量可见性不足(47%)。70%的安全领导者将公共云视为首要安全隐患。超过一半的企业正在考虑将数据迁回私有云,而54%的企业因担心知识产权泄露和治理缺口而不愿在公共云中部署AI。
可见性仍然是核心痛点。55%的安全领导者对其工具在分散基础设施中检测漏洞的能力缺乏信心。因此,64%的企业优先考虑通过对数据流动的完全可见性来实现实时威胁监控,89%认为深度可观察性是保护混合云基础设施的基础。约83%的董事会表示,现在正在董事会层面讨论可观察性,以更好地保护混合云环境。
AI正在加剧现有的安全缺口。企业正经历AI驱动的勒索软件攻击激增:从2024年的41%上升到今年的58%。7%的企业已经遭遇专门针对大语言模型(LLMs)的攻击。
随着AI将推动前所未有的流量增长并加深基础设施复杂性,专家们一致认为:混合云不会消失,但保护它需要可见性、治理和战略与运营之间的深度整合。
原文链接:
https://www.csoonline.com/article/3994124/over-91-of-companies-sacrifice-hybrid-cloud-security-in-the-ai-adoption-rush.html
地盘战打响,DragonForce争夺勒索软件市场主导权
根据Sophos最新研究,勒索软件组织DragonForce正与竞争对手展开”地盘战”,试图在网络犯罪市场中确立主导地位。该组织疑似对2025年3月底RansomHub基础设施中断负责,这导致4月份勒索软件攻击显著减少,可能是DragonForce试图对该组织进行”敌意接管”的结果。
研究人员观察到,DragonForce对勒索软件即服务(RaaS)竞争对手的攻击始于2025年3月,当时该组织将自身重塑为”卡特尔”以扩大影响力。这种卡特尔模式允许附属组织利用DragonForce的基础设施和勒索软件工具,同时保持自有品牌运营。DragonForce通过推出”RansomBay”白标服务为该模式奠定基础,允许附属组织以不同名称重塑勒索软件。附属组织支付20%的赎金分成,而DragonForce则负责底层基础设施、技术支持和泄露站点托管。据报道,DragonForce的基础设施被Scattered Spider利用,在4月底针对英国零售玛莎百货、Co-operative Group和Harrods发动攻击。
这与BlackLock和Mamona勒索软件组织运营的泄露站点被篡改事件同时发生,篡改页面显示DragonForce的标志。随后,DragonForce与RansomHub之间似乎爆发了一场重大地盘战。
最初,这些组织似乎可能开始合作,RansomHub泄露站点上出现了标题为”欢迎加入DragonForce卡特尔”的帖子。然而,不久后RansomHub的泄露站点下线,显示”RansomHub R.I.P 03/03/2025″的消息。Sophos研究人员指出:”DragonForce和RansomHub之间的’合作’似乎更像是DragonForce的敌意接管。”
原文链接:
https://www.infosecurity-magazine.com/news/dragonforce-turf-war-ransomware/
网络攻击
多阶段Chihuahua信息窃取木马现身:利用Google Drive窃取浏览器凭证和加密钱包
研究人员近日发现,
2025年4月首次被检测到的
新型.NET恶意软件
Chihuahua Infostealer
,主要针对浏览器凭证和加密货币钱包数据进行窃取。与传统恶意软件不同,Chihuahua采用多阶段加载器、云托管传递、基于原生API的加密和精细的清理例程,使其更难被检测和防御。
Chihuahua的感染链分为三个阶段:首先,通过社会工程学诱导用户执行恶意PowerShell脚本,该脚本会解码Base64编码的有效载荷并在内存中执行,避免写入磁盘以规避杀毒软件检测;其次,脚本创建名为f90g30g82的计划任务,每分钟运行一次,并监控用户的Recent文件夹中的.normaldaki标记文件,同时与命令控制服务器cdn.findfakesnake[.]xyz或备用服务器cat-watches-site[.]xyz通信获取额外载荷;最后,恶意软件从flowers.hold-me-finger[.]xyz下载.NET程序集和从OneDrive下载Base64编码的载荷,使用.NET反射在内存中执行,随后清理控制台、擦除剪贴板内容和本地痕迹。
根据picussecurity的报告,Chihuahua针对Chrome、Chromium、Brave、Opera、Microsoft Edge等多种浏览器,窃取保存的密码、Cookie、自动填充数据、会话令牌和浏览历史。它还通过定位特定浏览器扩展ID(如EVER Wallet、Rabby和Clover Wallet)来窃取加密货币钱包数据。
值得注意的是,该恶意软件代码中包含俄语说唱歌词的音译,说明其可能与俄罗斯有关,但尚未确定具体威胁行为者。
原文链接:
https://cybersecuritynews.com/net-based-chihuahua-infostealer-exploit-google-drive-steals-browser-credentials-and-crypto-wallets/
西班牙汉堡王备份系统遭遇RCE漏洞威胁,黑客4000美元叫卖访问权限
威胁行为者#LongNight近日在黑客论坛上公开叫价4000美元,声称出售西班牙汉堡王备份基础设施的远程代码执行(RCE)访问权限。该漏洞针对汉堡王使用的AhsayCBS备份系统。这是该公司数据管理基础设施的关键组件,负责处理跨多个存储平台的敏感企业信息。
AhsayCBS平台作为一个集中式备份服务器,具有网页控制台功能,管理着本地存储系统、FTP/SFTP连接以及包括Amazon Web Services和Microsoft Azure在内的主要云服务中的数据。这种综合备份解决方案通常处理并存储大量企业数据,使其成为寻求有价值信息或计划勒索软件攻击的网络犯罪分子的理想目标。据报道,约2.6太字节的敏感信息可能面临风险。
此次漏洞销售的时机和方式表明,威胁行为者对企业备份系统及其固有安全弱点有着详细了解。该漏洞利用机制允许攻击者在备份操作期间执行任意代码,特别是在备份过程的初始化和完成阶段。备份操作通常以提升的系统权限运行,并且常常绕过标准安全监控,为恶意代码执行创造了理想窗口。通过针对备份操作期间的执行点,攻击者可能访问敏感数据流、修改备份完整性,或在不被传统安全措施检测到的情况下建立对企业网络的持久访问。
原文链接:
https://cybersecuritynews.com/burger-king-backup-system-rce-vulnerability/
针对中文用户的安全威胁:黑客利用伪装安装程序部署Catena链传播Winos 4.0
Rapid7安全研究人员近期揭露了一起复杂的恶意软件攻击活动,黑客通过伪装成LetsVPN和QQ浏览器等流行软件的虚假安装程序,传播Winos 4.0内存驻留恶意软件。该活动于2025年2月首次在一次托管检测与响应(MDR)调查中被发现,采用了一种名为Catena的多层感染链。
攻击者利用特洛伊化的NSIS安装程序将恶意载荷完全部署在内存中,从而规避传统杀毒工具的检测。这一活动到现在持续活跃,主要针对中文环境用户,其基础设施主要托管在香港,显示出高水平的策划能力,可能与Silver Fox APT组织有关。
Catena加载器的感染过程始于看似合法的NSIS安装程序,它会释放带有欺骗性的签名可执行文件,同时部署恶意组件,如嵌入shellcode的INI文件和反射式DLL。在2月份涉及QQ浏览器安装程序的MDR案例中,研究人员观察到在%APPDATA%中创建了Axialis目录,其中包含使用基于互斥体的逻辑在Config.ini和Config2.ini之间切换有效载荷的脚本和DLL,所有这些都通过反射式DLL注入执行。
一旦执行,Winos 4.0会通过TCP端口18852或HTTPS端口443连接到攻击者控制的服务器获取额外的有效载荷,并通过计划任务和监视脚本确保持久性。该恶意软件还会检查中文语言设置,尽管这一过滤器并未严格执行,暗示了区域性定向攻击意图。
该活动的技术复杂性体现在其使用sRDI(Shellcode反射式DLL注入)进行内存执行,最小化磁盘痕迹并绕过终端防御。硬编码的互斥体如”VJANCAVESU”和”zhuxianlu”控制有效载荷选择,而线程则管理诸如通过PowerShell排除项禁用Microsoft Defender等任务。
原文链接:
Winos 4.0 Malware Masquerades as VPN and QQBrowser to Target Users
安全漏洞
Versa修复Concerto SD-WAN平台三个高危漏洞,串联可导致完全系统入侵
Versa Networks近日修复了其Concerto网络安全和SD-WAN编排平台中的三个严重漏洞。Project Discovery研究团队指出,这些漏洞如果被串联起来,可能允许攻击者完全入侵应用程序和底层主机系统。这项研究突显,现代云部署中的小型配置错误可升级为严重的安全风险,特别是对于处理敏感网络配置和企业数据的平台。
这三个Versa Concerto漏洞分别为:
CVE-2025-34027:评级10.0的竞争条件和不当身份验证漏洞。Concerto平台在12.1.2至12.2.0版本中的Traefik反向代理配置存在身份验证绕过问题,可能允许攻击者访问管理端点。Spack上传端点可能与竞争条件结合,通过路径加载操作实现远程代码执行。
CVE-2025-34026:评级9.2的不当身份验证漏洞。Traefik反向代理配置中的身份验证绕过可能允许内部Actuator端点被利用,从而访问堆转储和跟踪日志。
CVE-2025-34025:评级8.6的关键资源权限分配不正确漏洞。Concerto平台存在权限提升和容器逃逸漏洞,由不安全的主机二进制路径挂载导致,允许容器修改主机路径。
作为拥有企业和服务提供商客户群的公司,Versa的及时响应非常重要。Versa声明,这些漏洞已于3月7日通过热修复程序得到修复,并在4月16日的Concerto 12.2.1正式版本中完全解决。Versa强调,目前没有迹象表明这些漏洞被黑客利用,也没有客户报告受到影响。
原文链接:
https://thecyberexpress.com/versa-concerto-vulnerabilities-patched/
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:[email protected]