五一网络安全预警：银狐木马病毒攻击再度来袭

   近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过国家计算机病毒协同分析平台捕获一系列针对我国网络用户的木马病毒，特别是针对财务和税务工作人员。这些木马病毒以"税务稽查"、"所得税汇算清缴"、"放假安排"等诱饵主题命名，均为"银狐"（又名"游蛇"、"谷堕大盗"）家族木马变种，针对Windows平台用户，主要通过社交媒体中转发的钓鱼链接传播。

    这些木马病毒具有明显特征：钓鱼主题高度贴合季节性事件，如"企业所得税"、"第一季度"、"税务稽查"等；文件格式多为RAR、ZIP压缩包，解压后释放同名或相仿的EXE或DLL文件；技术上采用大体积文件、多层加载、反调试等逃避检测技术，复杂度较高。

    一旦用户运行这些恶意程序，攻击者可实施远程控制、窃密、挖矿等恶意操作，甚至将受害主机作为实施电信网络诈骗的"跳板"。特别值得注意的是，攻击者还会根据受害主机配置，针对性投送恶意"挖矿"病毒，盗用高性能计算机的算力挖掘加密货币。

    临近五一假期，国家计算机病毒应急处理中心建议用户：不轻信社交媒体传播的所谓政府通知；将可疑文件上传至国家计算机病毒协同分析平台检测；保持防病毒软件和系统更新；遇到系统异常应立即断网并备份重要数据。

    根据Backslash Security最新研究，使用大语言模型(LLM)基于自然语言提示生成代码的"氛围编程"(Vibe coding)趋势，可能导致生成的代码存在高达9种常见弱点枚举(CWE)排名前10的安全漏洞。

    研究人员对OpenAI GPT系列、Anthropic Claude系列和Google Gemini-2.5-pro进行了测试，使用三种不同类型的提示：基础功能提示、简单安全提示和专业安全提示。结果显示，在基础功能提示下，所有模型至少产生4种漏洞，其中OpenAI的GPT-4.1、GPT-4.5和GPT-4o在10种测试场景中有9种生成了存在漏洞的代码。Backslash Security表示，这些漏洞在最坏情况下可能被利用实现远程代码执行(RCE)，"从安装后门到数据窃取、运行加密挖矿程序或进一步的网络遍历"。

    值得注意的是，添加简单的安全指令"确保编写安全代码"可显著改善结果，使Claude模型的安全代码生成率提升至100%，Gemini避免了70%的代码弱点。更具体的提示"确保遵循OWASP安全编码最佳实践"对大多数模型效果更佳，使Gemini-2.5-pro防止了90%的弱点。Backslash Security声称其Model Context Protocol服务器可防止所有测试模型中100%的CWE前10名漏洞。

    俄罗斯移动反病毒公司Doctor Web的研究人员近日发现，一款新型Android恶意软件被植入木马化的Alpine Quest地图应用中。据报道，该应用被俄罗斯士兵用于战区作战规划。

    攻击者将这款被植入恶意代码的应用伪装成Alpine Quest Pro的免费破解版，通过Telegram频道和俄罗斯应用目录进行分发。Alpine Quest是一款合法的Android GPS和地形测绘应用，因其离线功能和精确性而受到冒险家、运动员、搜救队和军事人员的青睐。

这款间谍软件隐藏在功能完整的Alpine Quest应用中，降低了用户的怀疑，创造了难得的数据窃取机会。一旦启动，它会尝试窃取设备上的通信数据和敏感文档，可能泄露军队行动细节。具体而言，该恶意软件会：向攻击者发送用户的电话号码、联系人、地理位置、文件信息和应用版本；实时监控位置变化并将更新发送给Telegram机器人；下载额外模块以窃取机密文件，特别是通过Telegram和WhatsApp发送的文件；寻找Alpine Quest的'locLog'文件，其中包含位置历史记录。

    Doctor Web将这款此前未记录的间谍软件标记为"Android.Spy.1292.origin"。Google发言人表示，Google Play Protect可以自动保护Android用户免受此类已知恶意软件的侵害，即使这些应用来自Play商店以外的来源。

   网络安全公司Qrator Labs近日披露，2025年3月26日，一场创纪录的分布式拒绝服务(DDoS)攻击瞄准了一家未具名的博彩平台。这次攻击由迄今为止规模最大的僵尸网络发起，涉及133万台被入侵设备，比2024年记录的最大僵尸网络(22.7万设备)大近六倍。

    此次攻击持续约2.5小时，主要由位于巴西(51.1%)的设备发起，其他主要贡献国包括阿根廷(6.1%)、俄罗斯(4.6%)、伊拉克(3.2%)和墨西哥(2.4%)。尽管攻击源地理分布集中，但专家警告简单的地理封锁无效，因为"僵尸网络运营商能够迅速通过其他地区的IP重新路由攻击"。

    Qrator Labs的数据显示，2025年第一季度DDoS攻击同比增长110%，延续了2024年50%的增长趋势。在网络层(L3)和传输层(L4)，最常被攻击的行业包括IT和电信(26.8%)、金融科技(22.3%)和电子商务(21.5%)。而在应用层(L7)，金融科技单独承受了54%的攻击。专家指出，僵尸网络规模扩大主要归因于发展中国家大量过时且不受保护的设备，特别是预装恶意软件且缺乏基本安全功能的低成本Android设备。

    近日，国内医疗、传媒等关键行业的十余家公司因遭受勒索病毒攻击紧急求助360数字安全集团。360安全服务中心在第一时间排查确认后发现，多起攻击事件皆是由Weaxor勒索家族入侵引发，该家族利用AI技术生成加密模块，直接导致企业核心数据被锁定，造成多个重要系统的瘫痪。360勒索病毒防护解决方案已经实现对该类勒索病毒的全面查杀&解密。

    Weaxor家族最早出现于2024年11月，是Mallox家族的变种版本，是最具威胁的勒索软件之一。自2025年起，Weaxor家族不仅传播量继续稳居行业首位，同时其高频变种与隐蔽攻击手法对国内企业也构成重大威胁。该团伙重点针对国内用友NC、亿赛通、蓝凌、明源、智邦、灵当、致远OA、SQLServer等Web应用和数据库，通过投递CobaltStrike进行远程控制，或者直接投递勒索病毒进行攻击，赎金范围从8000到1.5万元之间。

    此次在多起攻击事件中，攻击团伙通过利用OA系统漏洞，成功获取服务器控制权限。随后，攻击者通过执行加密器程序，对服务器数据进行加密，并清除操作日志以掩盖入侵痕迹。该家族在进行攻击代码编写时，疑似引入AI技术辅助开发，显著增强其代码的效率及完善度，驱动实现攻击链路智能生成、加密算法动态变异，大幅提升攻击效率与隐蔽性。

    黑客组织Lazarus最近发起了一场代号为"Operation SyncHole"的网络间谍活动，成功入侵了韩国软件、IT、金融、半导体制造和电信行业的至少六家企业。卡巴斯基研究人员确认，该攻击活动发生在2024年11月至2025年2月期间。

攻击者采用水坑攻击策略，首先入侵韩国合法媒体门户网站，植入服务器端脚本用于识别访问者并将目标重定向至恶意域名。这些恶意网站伪装成软件供应商，特别是Cross EX（韩国公民在线银行和政府网站交互必备工具）的分销商网站。攻击者利用Cross EX软件中的漏洞部署恶意软件。攻击成功后，会启动合法的"SyncHost.exe"进程并注入shellcode，加载"ThreatNeedle"后门，该后门可在被感染主机上执行37种命令。在后续阶段，攻击者部署了多种工具，包括用于系统分析的"LPEClient"、恶意软件下载器"wAgent"或"Agamemnon"，以及用于横向移动的"Innorix Abuser"。某些情况下，攻击者还使用"SIGNBT"植入物部署"Copperhedge"后门进行内部侦察。

    卡巴斯基已将发现通报给韩国互联网安全局(KrCERT/CC)，并确认相关软件漏洞已修复。

    全球支付平台Adyen确认于2025年4月21日遭遇分布式拒绝服务(DDoS)攻击，导致欧洲多个客户的服务中断。攻击始于中欧夏令时18:51 ，当时Adyen内部监控系统发现欧洲数据中心的支付服务出现异常错误和响应缓慢。

此次攻击分三波进行，高峰期每分钟产生数百万请求，来源于全球分布且不断变化的IP地址，导致关键基础设施组件饱和。受影响的服务包括电子商务和实体支付交易处理、客户区域、托管入职和转账API等。部分结账服务（如会话集成、安全字段和支付链接）在整个事件期间持续受到影响。Adyen迅速启动了缓解协议，包括启用反DDoS保护、增加系统容量、分流受影响服务的流量，以及部署有针对性的过滤规则来阻止恶意流量。尽管如此，由于攻击不断演变，部分服务在数小时内仍表现不佳。事件最终于4月22日中欧夏令时03:20正式解决，历时近9小时。

    Adyen正在进行全面的事后审查，包括根本原因分析和防止类似事件的长期策略，并承诺与客户分享调查结果。

    网络安全研究人员发现，员工监控工具WorkComposer因未受保护的Amazon S3存储桶，将超过2100万张员工屏幕截图暴露在公开网络上。这款被全球超过20万人使用的监控软件，原本设计用于通过记录活动和定期截取员工屏幕来追踪工作效率。

    这些截图包含敏感信息，如电子邮件、内部聊天记录、机密业务文档、登录页面、凭证和API密钥等。这些信息可能被用于对全球企业发起攻击。泄露的实时性质更加剧了危险，使威胁行为者能够实时监控正在进行的业务操作。单张包含可见密码、API密钥或敏感对话的截图就可能导致凭证盗窃、钓鱼攻击，甚至企业间谍活动。除了直接的网络安全风险外，这一事件还涉及深层次的隐私侵犯。时间追踪工具本身就处于道德灰色地带，以提高生产力为名，捕捉工作者数字行为的分分秒秒。员工对这些截图中出现的内容都没有控制权，无论是个人邮件、医疗预约还是机密项目。

    当前该漏洞已被修复，但WorkComposer尚未发表官方评论。此类泄露可能使使用WorkComposer的公司面临GDPR或CCPA等法规违规处罚和其他法律问题。

开源代码安全领域的领军企业Chainguard宣布完成3.56亿美元D轮融资，公司估值攀升至35亿美元。

    Chainguard专注于提供强化版开源组件，通过创建软件物料清单(SBOM)识别潜在安全风险，并移除可能被用于网络攻击的非必要代码。公司旗舰产品Chainguard Containers目前已包含超过1,200个强化开源组件，较去年融资时增长71%。今年3月，Chainguard推出两款新产品：Chainguard VMs和Chainguard Libraries。前者提供优化的虚拟机，通过移除容器化工作负载不需要的组件，降低复杂度并简化安全补丁应用；后者则提供强化版Java库，帮助开发者安全高效地构建应用。

    Chainguard透露，其旗舰产品已拥有超过150家客户，2025财年年化经常性收入超4000万美元，预计2026财年末将达到1亿美元。新融资将用于加速市场拓展和产品开发。

代码和应用安全初创公司Endor Labs宣布完成9300万美元B轮融资，使其融资总额达1.63亿美元。

    随着开发生命周期日益紧凑，软件工程师需管理复杂庞大的代码库。根据Google Cloud 2024年DORA报告，75%的开发者现已使用GitHub Copilot和Cursor等AI编码助手。Endor Labs将这一趋势称为"氛围编码时代"，开发者对AI助手的信任度提高，但这也带来安全风险。AI编码工具存在"幻觉"问题，可能生成无效或存在漏洞的代码。安全公司Socket研究显示，开源模型平均幻觉率为21.7%，商业模型为5.2%。

    针对这一挑战，Endor Labs推出新平台架构，结合AI模型和代理探索AI生成代码，利用丰富的安全数据集识别风险、提出修复方案并自动应用修复。该平台将直接集成到GitHub Copilot和Cursor等开发者常用AI编码工具中，在代码合并前嵌入安全分析，从源头保障代码安全。通过深入理解公司代码库和AI感知推理能力，Endor Labs致力于解决AI生成代码带来的最大安全隐患。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除