FIN7集团与Anubis Python后门：Windows系统的远程操控

1. Google Cloud Platform Cloud Run存在权限滥用漏洞，ImageRunner被披露

Google Cloud Platform（GCP）的Cloud Run服务存在一个已修补的特权提升漏洞，名为ImageRunner，攻击者可能借此获取私有Google Artifact Registry和Container Registry的图像权限，甚至注入恶意代码。经过负责任的披露，Google在2025年1月28日修复了这个问题。该漏洞源于某些身份虽无容器注册权限，但有编辑Cloud Run修订权限的情况。修复措施要求创建或更新资源的用户或服务账户需明确访问容器图像的权限。

【标签】#Vulnerability #GCP #Privilege Escalation #ImageRunner #Cloud Run #Security Patch

【来源】https://thehackernews.com/2025/04/google-fixed-cloud-run-vulnerability.html

2. nist网络安全框架服务提供商指南

随着网络安全环境的演变，服务提供商在保护敏感数据和遵守行业规定中扮演着关键角色。本文介绍NIST提供的框架，帮助服务提供商理解并实施NIST合规，以提升安全性，赢得信任并保持竞争力。

【标签】#服务提供商 #网络安全 #合规 #自动化工具 #nist框架

【来源】https://thehackernews.com/2025/04/helping-your-clients-achieve-nist.html

3. Outlaw（Dota）Linux恶意软件分析：自动传播的加密货币矿工

网络安全专家发现了一种名为Outlaw（Dota）的Linux恶意软件，它通过SSH弱密码攻击进行自动传播，进行加密货币挖掘，并具有自我复制能力。这种威胁被怀疑来自罗马尼亚，是Outlaw（Dota）黑客团队，已活跃至少自2018年底。他们通过brute-force SSH服务器进行渗透，同时利用SSH授权密钥文件添加自己的密钥以维持持久控制。恶意软件包含多阶段感染过程，使用tddwrt7s.sh下载dota3.tar.gz进行解压和矿工运行，并有清除痕迹和竞争清理的机制。Outlaw还利用了IRC进行远程控制，并可能利用Linux和Unix系统的漏洞进行攻击。

【标签】#Linux Malware #Outlaw #SSH attacks #Elastic Security Labs #Cryptojacking

【来源】https://thehackernews.com/2025/04/outlaw-group-uses-ssh-brute-force-to.html

4. SSL配置错误：网络安全中的攻击面风险及应对策略

SSL(安全套接字层)配置错误是网络安全中的一个重要环节，因其广泛使用、配置复杂且对攻击者和用户可见，很容易被利用。文章强调了正确SSL配置的重要性，指出大部分网站存在不足的安全，且弱SSL/TLS配置是最常见的应用漏洞。错误的配置可能导致MITM攻击、数据泄露、用户信任度降低等问题。文章接着阐述了识别这些问题的挑战，以及EASM(外部攻击表面管理)平台如何帮助解决。最后，推荐了Outpost24的EASM平台作为管理SSL配置的解决方案。

【标签】#Outpost24 #EASM #attack surface #SSL #misconfigurations

【来源】https://thehackernews.com/2025/04/how-ssl-misconfigurations-impact-your.html

5. FIN7集团与Anubis Python后门：Windows系统的远程操控

FIN7，一个与俄罗斯有关的财务犯罪团伙，被发现使用名为Anubis的Python后门，能远程控制遭感染的Windows系统。这种名为Anubis的恶意软件能执行远程shell命令，实现对目标机器的全面控制。该后门通过伪装的SharePoint站点的恶意邮件传播，以ZIP文件形式进入，通过Base64编码的通信与远程服务器建立连接，执行各种操作，包括文件传输、目录更改、环境变量修改等。

【标签】#Python #Anubis #Remote Access #Windows Malware #FIN7

【来源】https://thehackernews.com/2025/04/fin7-deploys-anubis-backdoor-to-hijack.html

6. 最新Hijack Loader变种升级，采用新策略躲避检测和增强持久性

网络安全专家发现一款名为Hijack Loader的恶意软件加载器更新了其功能，通过实现call stack spoofing和检测虚拟机/沙箱来躲避追踪，同时增加了对抗分析环境的模块。

【标签】#virtual machine detection #Hijack Loader #call stack spoofing #malware evasion #persistence

【来源】https://thehackernews.com/2025/04/new-malware-loaders-use-call-stack.html

7. PostgreSQL实例成为加密货币挖掘目标，Wiz曝1500受害者

云安全公司Wiz报告，有一系列针对暴露的PostgreSQL实例的活动，目的是未经授权访问并部署加密货币矿工。该活动是JINX-0126威胁集团的变体，使用PG_MEM恶意软件。受害者超过1500，表明存在弱或可预测的凭证的公开PostgreSQL实例成为攻击目标。攻击者通过COPY ... FROM PROGRAM SQL命令执行恶意shell命令，随后下载并运行恶意的Golang二进制文件和XMRig矿工。

【标签】#defense evasion #threat actor #PostgreSQL #crypto mining #Wiz #intrusion

【来源】https://thehackernews.com/2025/04/over-1500-postgresql-servers.html

关注我们

        欢迎来到我们的公众号！我们专注于全球网络安全和精选资讯，为您带来最新的资讯和深入的分析。在这里，您可以了解世界各地的网络安全事件，同时通过我们的新闻，获取更多的行业知识。感谢您选择关注我们，我们将继续努力，为您带来有价值的内容。

原文始发于微信公众号（知机安全）：FIN7集团与Anubis Python后门：Windows系统的远程操控