/
CPUID网站遭劫持,HWMonitor下载链接被恶意替换
知名硬件检测工具CPUID官网本周遭到攻击,黑客入侵其后端API接口约六小时,导致HWMonitor等工具的下载链接被替换为恶意安装包。恶意文件内含伪造的CRYPTBASE.dll,可连接C&C服务器下载额外载荷,并通过PowerShell在内存中运行,同时尝试窃取Chrome浏览器存储的用户凭据。CPUID确认原始签名文件未被篡改,漏洞已修复,但受影响用户数量尚不明确。
GlassWorm恶意软件利用Solana区块链投递远程控制木马并窃取浏览器加密货币数据
网络安全研究人员发现GlassWorm活动的新变种,该恶意软件通过多阶段框架实施全面数据窃取并安装远程访问木马。攻击者通过恶意npm、PyPI等软件包获得初始立足点,利用Solana区块链交易作为中转站获取C2服务器地址。恶意软件包含数据窃取框架、硬件钱包钓鱼程序和基于WebSocket的JavaScript RAT,能够记录击键、窃取Cookie和会话令牌、截屏并强制安装伪装成Google文档离线版的Chrome扩展程序来监控浏览器活动。
新发现的ClickFix攻击变种利用WorkFlowy应用绕过安全检测
Atos研究人员发现了一种新型ClickFix攻击变种,攻击者诱导用户通过Win+R快捷键执行恶意命令。该变种使用"net use"命令映射外部服务器网络驱动器,执行托管的批处理文件,下载并运行被修改的WorkFlowy应用程序,恶意代码隐藏在.asar压缩包中作为C2信标和恶意载荷投递器,成功绕过微软Defender检测。
Hive0163团伙利用AI辅助生成的Slopoly恶意软件在勒索攻击中实现持久访问
网络安全研究人员披露,名为Hive0163的威胁组织使用了疑似人工智能生成的恶意软件Slopoly。该恶意软件虽然技术相对简单,但展现了威胁行为者如何利用AI快速开发新的恶意软件框架。Slopoly作为后门程序,能够每30秒向C2服务器发送心跳消息,每50秒轮询新命令并执行。这表明AI辅助恶意软件正在帮助网络犯罪分子加速攻击开发和扩大运营规模。
Rust恶意软件VENON攻击33家巴西银行窃取凭据
巴西网络安全公司ZenoX发现了一款名为VENON的新型银行恶意软件,该软件采用Rust语言编写,专门针对巴西用户。VENON具备银行覆盖逻辑、活动窗口监控和快捷方式劫持等功能,能够通过DLL侧加载技术传播。恶意软件使用九种规避技术逃避检测,并通过WebSocket连接控制服务器。该软件可监控33家金融机构,当用户访问目标应用或网站时启动凭据盗取攻击。
KadNap恶意软件感染超1.4万台边缘设备构建隐秘代理僵尸网络
网络安全研究人员发现名为KadNap的新型恶意软件,主要针对华硕路由器实施攻击,将其纳入僵尸网络用于代理恶意流量。该恶意软件于2025年8月首次被发现,已感染超过1.4万台设备,其中60%以上的受害者位于美国。KadNap采用自定义版本的Kademlia分布式哈希表协议,在点对点系统中隐藏基础设施IP地址以规避传统网络监控。受感染设备被名为Doppelganger的代理服务进行销售,该服务声称在50多个国家提供100%匿名的居民代理服务。
ScarCruft利用Zoho WorkDrive和USB恶意软件突破物理隔离网络
朝鲜威胁组织ScarCruft部署了新攻击工具包,包括使用Zoho WorkDrive进行命令控制通信的后门程序,以及利用可移动介质中继命令、攻破物理隔离网络的植入程序。该名为Ruby Jumper的活动涉及多个恶意软件家族,通过恶意LNK文件启动多阶段感染链,利用合法云服务部署Ruby执行环境,并weaponize可移动介质绕过网络隔离感染气隙系统。
Aeternum C2僵尸网络利用Polygon区块链存储加密指令规避打击
网络安全研究人员披露了一种名为Aeternum C2的新型僵尸网络加载器,该恶意软件利用基于区块链的指令控制基础设施来抵御打击行动。该僵尸网络将指令存储在公共Polygon区块链上,而非依赖传统服务器或域名进行控制。威胁行为者LenAI在地下论坛以200美元价格出售该恶意软件。该C++加载器通过智能合约向受感染主机写入命令,机器人随后通过查询公共RPC端点读取指令。
蠕虫式XMRig挖矿活动使用BYOVD漏洞利用和基于时间的逻辑炸弹
网络安全研究人员披露了一起新的加密货币挖矿攻击活动,该攻击利用盗版软件包作为诱饵,在受感染主机上部署定制的XMRig挖矿程序。恶意软件具有蠕虫传播能力,可通过外部存储设备扩散,甚至在隔离环境中实现横向移动。攻击者使用社会工程学欺骗用户下载恶意可执行文件,恶意软件内置逻辑炸弹,将在2025年12月23日后自毁。该活动还利用BYOVD技术和易受攻击的驱动程序来提升挖矿性能。
顶级CISO如何在不增加人员的情况下解决团队倦怠并加速响应时间
SOC团队在投入大量安全工具后仍面临倦怠和SLA违规问题。常规分类工作堆积,高级专家被拖入基础验证,MTTR攀升。顶级CISO意识到解决方案不是招聘更多人员或增加工具,而是从一开始就为团队提供更快、更清晰的行为证据。通过沙箱优先的工作流程和自动化分类,实现MTTR减少50%,SOC产出提升3倍,一级到二级升级减少30%。
ClawHub平台发现341个恶意技能窃取用户数据
Koi Security对ClawHub平台2857个技能进行安全审计,发现341个恶意技能通过多个攻击活动窃取OpenClaw用户数据。其中335个技能利用虚假前置条件安装Atomic Stealer窃密软件,伪装成加密货币工具、YouTube实用程序等合法应用。问题源于ClawHub允许任何人上传技能的开放机制,攻击者利用OpenClaw的持久化内存特性实施延迟执行攻击,使恶意载荷可在特定条件下触发,对开源生态系统构成重大供应链安全风险。
eScan杀毒软件更新服务器遭入侵传播多阶段恶意软件
印度网络安全公司MicroWorld Technologies开发的eScan杀毒软件更新基础设施遭到未知攻击者入侵,向企业和个人系统传播持久化下载器。攻击者通过合法更新渠道分发恶意更新,影响全球终端设备。该公司已检测到未授权访问并隔离受影响服务器,发布修复补丁撤销恶意更新。攻击发生在2026年1月20日约两小时内,主要影响印度、孟加拉国、斯里兰卡和菲律宾地区数百台机器。
StealC恶意软件控制面板安全漏洞暴露威胁行为者操作
网络安全研究人员在StealC信息窃取器的网络控制面板中发现跨站脚本(XSS)漏洞,成功收集到威胁行为者的系统指纹和活跃会话信息。StealC是2023年1月出现的恶意软件即服务(MaaS)模式窃取器,主要通过YouTube平台传播。研究人员利用该漏洞追踪到名为YouTubeTA的客户,其窃取了39万个密码和3000万个cookie,并确定该威胁行为者使用苹果M3处理器设备,位于乌克兰地区。
CISA发布SharePoint服务器攻击恶意软件分析报告
CISA发布了针对"ToolShell"攻击的恶意软件分析报告,该攻击利用CVE-2025-49704和CVE-2025-49706漏洞链攻击特定版本的Microsoft SharePoint服务器。报告分析了6个恶意文件,包括DLL文件、加密密钥窃取器和Web Shell。攻击者可利用这些恶意软件窃取加密密钥并执行PowerShell命令进行系统指纹识别和数据窃取,已有400多个组织受影响。
Microsoft 组建联合力量打击危险的 Lumma 恶意软件
微软数字犯罪部门联合美国、欧洲和日本执法机关,根据美国法院命令捣毁了 Lumma 恶意软件的核心基础设施,关闭约2300个恶意域名,清除近40万台受感染的 Windows 电脑,有效切断了网络敲诈和非法盈利链路。
京公网安备 11010802021500号
