LUMMAC恶意软件V2版变种出现,攻击能力显著增强

admin 2025年5月8日17:17:22评论7 views字数 4418阅读14分43秒阅读模式
LUMMAC恶意软件V2版变种出现,攻击能力显著增强

58日,星期四,您好!中科汇能与您分享信息安全快讯:

LUMMAC恶意软件V2版变种出现,攻击能力显著增强

01

Cloudflare 推出多项新功能,简化混合云应用构建安全连接的难题

Cloudflare公司日前宣布,推出了 Workers VPC 和 Workers VPC Private Link 两项新功能,能够为开发人员简化跨公共云与本地系统的连接应用程序流程。

传统云环境长期存在诸多阻碍,而这两项新功能能够实现安全且不受地域限制的计算工作负载,同时让开发人员继续使用现有基础设施。Workers VPC 允许开发人员将 Cloudflare 资源整合到隔离环境中,有助于更严格地控制数据流动和保障安全性。Workers VPC Private Link 则在此基础上更进一步,实现了 Workers VPC 与外部 VPC 之间的安全通信,打造出跨环境的统一网络体验。

Cloudflare 首席执行官马修・普林斯强调,给予开发人员使用偏好工具的自由、摆脱过时基础设施模型的束缚至关重要。这两项功能预计于今年晚些时候推出,它们以 Cloudflare 的专用网络基础为依托,是其推动应用程序开发和应用程序安全现代化的重要举措,能满足企业在混合和多云架构下的合规性及运营需求。这一创新之举有望为开发人员提供更便捷、高效和安全的开发环境,助力企业在复杂的云计算环境中更好地发展。

02

新型FOG 勒索软件借 “DOGE” 之名疯狂作案,超百家企业受害

网络安全研究人员发现一种新型勒索软件攻击手段,攻击者借助 FOG 勒索软件发动攻击,并伪装成与美国政府效率部(DOGE)有关,以此迷惑受害者。

该勒索软件通过钓鱼邮件传播,邮件中的 “Pay Adjustment.zip” 压缩包内含伪装成 PDF 文件的恶意 LNK 文件。用户一旦点击,就会触发复杂的感染流程。先是执行 PowerShell 命令,从远程服务器下载并运行 “stage1.ps1” 脚本,这个脚本会进一步获取包括勒索软件加载器(cwiper.exe)和权限提升工具(ktool.exe)等恶意组件。

值得注意的是,脚本中还包含政治评论,会打开政治主题的 YouTube 视频。在执行加密操作前,勒索软件会进行多项反沙箱检测,若判定处于沙箱环境就终止运行。确认安全后,它会用特定密钥解密嵌入的二进制文件,然后将文件加密并添加 “.flocked” 扩展名。同时,还会生成记录加密事件的 dbgLog.sys 文件和带有嘲讽 DOGE 内容的 readme.txt 勒索赎金说明。截至4月底,FOG 勒索软件已攻击了超100 家受害企业,涉及科技、教育、制造等多个行业。

03

检测难度更大!新型勒索软件攻击借助僵尸网络部署LockBit软件

日前,研究人员发现了一种新型勒索软件攻击手段,利用名为Phorpiex的僵尸网络自动部署 LockBit 勒索软件,这一方式改变了传统的勒索攻击模式。

以往,LockBit 攻击多依赖人工手动操作来扩大在网络中的影响范围。但此次,攻击者借助钓鱼邮件,将带有恶意的 ZIP 附件发送给目标。这些附件里,有的包含用于下载 LockBit的SCR 文件,有的则是 Phorpiex TWIZT 变体的 LNK 文件。当用户点击这些附件,就会触发感染流程,LockBit 下载器会尝试连接已知的命令与控制(C2)服务器,虽然在分析时没有成功连接,但种种迹象表明其行为与 LockBit 的攻击手段相符。

Phorpiex 僵尸网络自 2021 年源代码出售后,在不同变体中保持着相似的运作模式。从钓鱼邮件感染开始,在 Windows 标准目录下释放并执行文件,下载并运行 LockBit 等恶意负载,删除感染痕迹,还会通过修改 Windows 注册表来维持在系统中的存在。

04

国自带安装程序!一种新型 EDR 绕过技术可成勒索攻击跳板

近日,Aon公司的网络攻击事件响应团队发现,攻击者正在利用一种“自带安装程序” 的新型EDR 绕过技术,成功突破了SentinelOne EDR设备的篡改保护功能,进而部署 Babuk 勒索软件。

该技术并未依赖第三方工具或驱动程序,而是利用了 SentinelOne EDR代理升级流程漏洞。当运行 SentinelOne 安装程序替换代理文件时,程序会先终止相关 Windows 进程,威胁者便在此间隙强制终止安装过程,使 EDR 代理失效,设备失去保护。

日志显示,攻击者会先获取管理访问权限,再借此技术禁用 SentinelOne EDR代理,为勒索软件入侵铺路。SentinelOne 建议客户立即启用默认关闭的 “在线授权”(即本地升级授权)功能,并已将相关技术信息分享给其他主流 EDR 供应商。

05

“ClickFix” 助力恶意攻击,一种复杂新型恶意软件加载器肆虐

近期,研究人员发现一种名为 “MintsLoader” 的新型恶意软件加载器,它会释放名为 “GhostWeaver” 的未知后门程序。过去三周,多家金融机构和医疗组织成为其攻击目标,并且攻击数量还在显著增加。

MintsLoader 采用了将钓鱼邮件和 “ClickFix” 技术相结合的双重攻击方式。攻击者精心制作看似正规的钓鱼邮件,内含恶意的微软 Office 文档或 PDF 文件,内容多涉及金融交易、医疗记录等。用户打开文件后,会被诱导启用宏或点击通知对话框,触发攻击。

“ClickFix” 利用人类心理,通过弹出虚假错误信息,要求用户按特定点击模式操作来绕过安全意识培训。MintsLoader 的感染过程分多个阶段,Office 文档中的 VBA 宏执行后,会下载带有混淆代码的 PowerShell 脚本,该脚本连接到利用域名生成算法躲避黑名单的服务器,下载并执行 GhostWeaver 有效载荷。

06

Vidar窃密软件升级,利用新型欺骗技术窃取浏览器Cookie和存储凭证

研究人员发现信息窃取恶意软件Vidar Stealer近期采用了一种新型欺骗技术,专门针对网络安全专业人员和系统管理员。安全研究人员于4月初发现了一个不寻常的Vidar Stealer样本,该样本在VirusTotal上仅显示五次检测记录,表明可能存在混淆或新变种出现。

最令人担忧的是,该恶意软件会伪装成合法的Microsoft Sysinternals工具BGInfo.exe,这是一种广泛信任的系统管理工具,用于在桌面背景上显示系统信息。

这种欺骗技术展现了对细节的高度关注。恶意文件伪装成2025年2月更新的合法BGInfo工具,甚至包含过期的Microsoft数字签名。不过合法的BGInfo.exe大小约为2.1 MB,但恶意变种因隐藏的恶意代码而显著增大至10.2 MB。

执行后,恶意软件修改BGInfo.exe的初始化例程,特别是改变未来内存分配的进程堆处理,并将执行重定向到其恶意功能。这种巧妙的操作确保文件运行恶意代码而非预期的BGInfo功能。

07

新型RustoBot恶意软件利用路由器漏洞发动大规模UDP 泛洪攻击

一款用 Rust 语言编写的名为 “RustoBot” 的新型僵尸网络恶意软件近日在全球范围内频繁攻击路由器设备,主要瞄准 TOTOLINK 和 DrayTek 等品牌的路由器。TOTOLINK 的 N600R、A830R 等多款型号,因 cstecgi.cgi 文件存在命令注入漏洞,被攻击者利用下载并执行恶意软件。而 DrayTek 的 Vigor2960 和 Vigor300B 路由器则受 CVE - 2024 - 12987 漏洞影响,在多个接口处存在操作系统命令注入风险。

成功入侵后,RustoBot 会通过四个下载器脚本部署针对 arm5、arm6 等多种架构的变体,以实现广泛兼容。它还会运用复杂攻击技术,从全局偏移表(GOT)获取系统 API 函数,用 XOR 加密配置数据,并通过复杂指令序列计算解码器密钥偏移。

08

LUMMAC恶意软件V2版变种出现,攻击能力显著增强

近期,网络安全研究人员监测到 LUMMAC 凭证窃取恶意软件已升级为新变种 LUMMAC.V2版,其编写语言从之前的C 语言转换为 C++语言,攻击能力显著增强。

升级后的LUMMAC.V2 攻击目标更加广泛,涵盖浏览器、加密货币钱包、密码管理器等众多应用。它的主要危害是窃取用户的敏感信息,包括登录凭证、个人资料、系统数据等,并压缩通过 HTTP 传输,导致用户隐私和财产安全面临严重威胁。

LUMMAC.V2 传播方式极具欺骗性,借助社会工程学手段,将恶意链接暗藏在与破解软件、热门影视音乐相关的搜索结果中。用户一旦点击,便会被引导至假的安全验证页面,遭遇虚假的 CAPTCHA 挑战,此时ClickFix 技术便开始发挥作用,诱骗用户执行一系列操作。不仅如此,它还会在注册表创建自启项,保证每次系统启动时都能自动运行,持续危害系统安全。

09

纽约大学推出Orion创新框架,AI模型可直接处理加密数据

纽约大学坦登工程学院的研究团队近日推出了一个名为Orion的创新框架,将全同态加密(FHE)技术应用于深度学习领域。这一突破性成果使AI模型能够直接对加密数据进行高效处理,无需事先解密,从而为保护用户隐私提供了新的可能。

Orion框架通过自动将PyTorch编写的深度学习模型转换为高效的FHE程序,解决了FHE在深度学习中应用的技术难题。该框架优化了加密数据的结构,显著降低了计算开销,并简化了加密相关流程,使深度学习计算更加高效。

研究团队在ResNet-20基准模型上实现了比现有最先进方法快2.38倍的性能。更令人瞩目的是,Orion首次实现了使用YOLO-v1(一个拥有1.39亿参数的深度学习模型)进行高分辨率FHE目标检测,展示了其处理实际AI工作负载的能力。

10

新型 “Chimera” 恶意软件来袭,可突破多层安全防线

研究人员在4月下旬发现,一款极具威胁的 “Chimera” 恶意软件悄然现身,给网络安全领域带来新危机。“Chimera” 目前的主要攻击目标是中小型电商组织,它借助看似平常的库存管理系统软件更新潜入公司网络,可在数小时内便让公司数字基础设施陷入瘫痪,员工无法登录账户、网站被迫关闭,之后就会索要数万美元的加密货币赎金。

研究发现,“Chimera” 的攻击手段十分复杂。它通常通过伪装的软件更新或精心设计的钓鱼邮件渗透进系统,之后能在组织的内部网络环境中快速传播。它拥有强大的自我学习能力,能动态改写代码,避开传统基于特征码的检测方式,还具有利用人工智能及时来动态增强攻击和躲避追踪的能力,模仿正常用户行为以长期隐藏自己。

LUMMAC恶意软件V2版变种出现,攻击能力显著增强

信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

LUMMAC恶意软件V2版变种出现,攻击能力显著增强

本文版权归原作者所有,如有侵权请联系我们及时删除

原文始发于微信公众号(汇能云安全):LUMMAC恶意软件V2版变种出现,攻击能力显著增强

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月8日17:17:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   LUMMAC恶意软件V2版变种出现,攻击能力显著增强http://cn-sec.com/archives/4041402.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息