ViciousTrap黑客组织使用误差构建类蜜罐网络

首页 > 清静研究 > 清静转达 > 清静简讯

ViciousTrap黑客组织使用误差构建类蜜罐网络

宣布时间 2025-05-26

1. ViciousTrap黑客组织使用误差构建类蜜罐网络

5月23日，，，，，，网络清静研究职员披露，，，，，，代号ViciousTrap的黑客组织已入侵全球84个国家近5300台网络边沿装备，，，，，，将其刷新成类蜜罐网络。。。。。。该组织使用思科小型企业路由器多款型号的要害误差CVE-2023-20118实验大规模入侵，，，，，，其中850台受控装备位于澳门。。。。。。清静公司Sekoia在剖析报告中指出，，，，，，熏染链涉及执行名为NetGhost的shell剧本，，，，，，该剧本能将被入侵路由器的流量重定向至攻击者控制的类蜜罐设施，，，，，，实现网络流量挟制。。。。。。此前，，，，，，法国网络清静公司曾将该误差使用归因于PolarEdge僵尸网络，，，，，，不过现在尚无证据批注二者有关联。。。。。。ViciousTrap背后的组织正通过入侵大宗袒露于互联网的装备构建蜜罐基础设施，，，，，，涉及50余个厂商的SOHO路由器、SSL VPN等多种装备。。。。。。这种架构使攻击者能视察多情形渗透实验，，，，，，可能网络未果真或零日误差使用计划，，，，，，并挟制其他威胁组织的入侵效果。。。。。。攻击链先通过误差使用下载bash剧本，，，，，，进而执行第二阶段的NetGhost剧本，，，，，，该剧本具备流量重定向功效，，，，，，可实验中心人攻击，，，，，，还具备自删除能力以镌汰取证痕迹。。。。。。所有攻击实验均源自简单IP地点，，，，，，最早活动可追溯至2025年3月，，，，，，次月该组织还将PolarEdge僵尸网络曾使用的未果真WebShell工具改作己用。。。。。。本月最新攻击活动转向华硕路由器，，，，，，使用另一IP地点，，，，，，但未安排蜜罐，，，，，，所有活跃IP均位于马来西亚，，，，，，归属托管效劳商Shinjiru运营的自治系统。。。。。。

https://thehackernews.com/2025/05/vicioustrap-uses-cisco-flaw-to-build.html

2. NPM上的数十个恶意软件包网络主机和网络数据

5月23日，，，，，，Socket威胁研究团队在NPM索引中发明了两起恶意软件包活动。。。。。。第一起涉及60个恶意软件包，，，，，，它们自5月12日起从三个宣布者账户上传至NPM存储库。。。。。。这些软件包包括装置后剧本，，，，，，在“npm install”时代自动执行，，，，，，网络包括主机名、内部IP地点、用户主目录等敏感信息，，，，，，并发送到威胁行为者控制的Discord webhook。。。。。。该剧本还具备情形检测功效，，，，，，以确定是否在剖析情形中运行。。。。。。只管现在未视察到第二阶段有用载荷的投递、权限提升或长期机制，，，，，，但思量到所网络数据的敏感性，，，，，，此类攻击的危险性相当高。。。。。。这些恶意软件包曾累计下载3000次，，，，，，不过在报告宣布时已从NPM存储库中消逝。。。。。。为诱骗开发职员，，，，，，威胁行为者使用了与正当软件包相似的名称，，，，，，可能针对CI/CD管道。。。。。。另一起恶意活动涉及八个软件包，，，，，，它们通过域名抢注模拟React、Vue.js、Vite、Node.js和Quill生态系统的正当工具，，，，，，但具备数据擦除功效，，，，，，可删除文件、损坏数据和关闭系统。。。。。。这些软件包已往两年一直保存于NPM上，，，，，，下载量达6200次。。。。。。其逃避检测的部分缘故原由是有用载荷凭证硬编码的系统日期激活，，，，，，且其结构会逐步破损系统。。。。。。此次活动背后的威胁行为者以“xuxingfeng”名义宣布这些文件，，，，，，并列出了几个正当软件包以建设信任。。。。。。只管凭证硬编码日期，，，，，，危险已已往，，，，，，但鉴于作者可能引入更新重新触发擦除功效，，，，，，删除这些软件包至关主要。。。。。。

https://www.bleepingcomputer.com/news/security/dozens-of-malicious-packages-on-npm-collect-host-and-network-data/

3. Cetus Protocol遭黑客窃取2.23亿加密钱币

5月23日，，，，，，去中心化生意所Cetus Protocol克日宣布遭遇黑客攻击，，，，，，价值2.23亿美元的加密钱币被盗。。。。。。事务爆发后，，，，，，该项目连忙暂停智能合约睁开视察，，，，，，并确认“1.62亿美元的受损资金已乐成暂停”。。。。。。Cetus Protocol随后指出，，，，，，黑客使用了一个易受攻击的软件包实验攻击，，，，，，但未披露详细细节。。。。。。该项目体现已找到误差基础缘故原由，，，，，，修复了相关软件包，，，，，，并通知了生态系统建设者以避免其他团队受影响。。。。。。别的，，，，，，Cetus Protocol识别出攻击者的以太坊钱包地点和账户，，，，，，正与第三方相助追踪和冻结资金，，，，，，并已通知执法部分。。。。。。为促使黑客送还资金，，，，，，Cetus Protocol提出“有时限的白帽息争协议”，，，，，，允许若资金退还将不再接纳执法行动。。。。。。同时，，，，，，该项目宣布将提供500万美元赏金，，，，，，奖励提供线索、资助识别和拘捕黑客的信息提供者。。。。。。在验证者紧迫投票后，，，，，，Sui区块链上1.62亿美元的资金被暂停。。。。。。区块链剖析公司Elliptic宣布报告指出，，，，，，自动做市商（AMM）逻辑保存缺陷，，，，，，可能涉及池价钱使用，，，，，，从而引发闪电贷式攻击。。。。。。Elliptic还概述了攻击者的资金转移实验，，，，，，并体现正在起劲追踪从Sui初始误差到攻击者在以太坊上钱包的生意。。。。。。现在，，，，，，黑客的地点已在所有主要生意所和虚拟资产效劳提供商上标记，，，，，，以避免洗钱或资金转移妄想。。。。。。

https://www.bleepingcomputer.com/news/security/hacker-steals-223-million-in-cetus-protocol-cryptocurrency-heist/

4. FBI忠言Silent Ransom Group针对美律所提倡勒索攻击

5月23日，，，，，，美国联邦视察局克日发出忠言，，，，，，指出一个名为Silent Ransom Group（SRG）的勒索团伙在已往两年里一连针对美国状师事务所发动回拨网络垂纶和社会工程攻击。。。。。。该团伙又名Luna Moth、Chatty Spider和UNC3753，，，，，，自2022年起便一直活跃，，，，，，是BazarCall活动的幕后主使，，，，，，为Ryuk和Conti勒索软件攻击提供了初始网络会见权限。。。。。。在Conti关闭后，，，，，，该威胁行为者脱离原网络犯法集团，，，，，，组建了SRG。。。。。。在最近的攻击中，，，，，，SRG通过电子邮件、虚伪网站和电话冒充目的IT支持职员，，，，，，使用社会工程学手段获取网络会见权限。。。。。。与一样平常勒索组织差别，，，，，，SRG并不加密受害者系统，，，，，，而是以索要赎金避免敏感信息泄露而著名。。。。。。他们通过远程会见会话进入受害者装备，，，，，，举行最低限度的权限提升，，，，，，并迅速转向数据泄露，，，，，，使用“WinSCP”或隐藏/重命名的“Rclone”版本窃取数据。。。。。。窃取数据后，，，，，，SRG通过勒索邮件和电话威胁出售或果真信息，，，，，，迫使受害者举行赎金谈判。。。。。。只管他们有专门的网站泄露受害者数据，，，，，，但FBI指出，，，，，，这些勒索团伙并不总会兑现数据泄露威胁。。。。。。为防御此类攻击，，，，，，FBI建议使用强密码、启用双因素身份验证、按期备份数据，，，，，，并对员工举行网络垂纶实验检测培训。。。。。。

https://www.bleepingcomputer.com/news/security/fbi-warns-of-luna-moth-extortion-attacks-targeting-law-firms/

5. Marlboro-Chesterfield Pathology数据泄露影响23.5万人

5月22日，，，，，，美国北卡罗来纳州全效劳剖解病理实验室Marlboro-Chesterfield Pathology（MCP）近期遭遇勒索软件攻击，，，，，，致使大宗小我私家信息纪录失贼。。。。。。该机构在官网宣布的数据泄露通知批注，，，，，，2025年1月16日其内部IT系统泛起未经授权活动，，，，，，经视察确认攻击者窃取了部分文件。。。。。。此次泄露的数据涵盖姓名、住址、出生日期、医疗治疗信息及康健包管信息等敏感内容，，，，，，详细泄露字段因个体差别而有所差别。。。。。。MCP本周向美国卫生与公众效劳部（HHS）转达，，，，，，此次事务影响规模涉及235,911人。。。。。。勒索软件组织SafePay于一月下旬宣称对此次攻击认真，，，，，，该团伙近期还对商业效劳提供商Conduent提倡攻击。。。。。。值得注重的是，，，，，，阻止发稿时，，，，，，MCP已从SafePay的泄密网站下架，，，，，，这体现受害方可能已支付赎金。。。。。。

https://www.securityweek.com/marlboro-chesterfield-pathology-data-breach-impacts-235000-people/

6. 黑客使用虚伪VPN及浏览器NSIS装置包撒播Winos 4.0恶意软件

5月26日，，，，，，网络清静研究职员披露恶意软件活动，，，，，，攻击者通过伪装成LetsVPN、QQ浏览器等盛行工具的虚伪装置程序，，，，，，最终投递Winos 4.0框架。。。。。。此攻击行动由Rapid7于2025年2月首次监测到，，，，，，使用了名为Catena的多阶段驻内存加载器，，，，，，将有用载荷完全驻留内存以规避杀毒软件检测。。。。。。植入后，，，，，，Catena会静默毗连攻击者控制的效劳器，，，，，，大都位于香港，，，，，，以吸收后续指令或特殊恶意程序。。。。。。该攻击似乎专门针对中文情形，，，，，，幕后保存具备高度能力的威胁组织。。。。。。Winos 4.0是基于着名远程木马Gh0st RAT代码基础编写的先进恶意框架，，，，，，具有数据窃取、远程Shell会见及发动DDoS攻击等功效。。。。。。2025年发明的基于QQ浏览器的熏染流程显示，，，，，，所有相关攻击载体均依赖NSIS装置程序，，，，，，这些装置包捆绑了经由署名的诱饵应用，，，，，，通过反射式DLL注入手艺实现隐藏驻留。。。。。。在2025年4月发明的LetsVPN装置包攻击案例中，，，，，，恶意程序通过建设妄想使命实现长期化，，，，，，且包括检测系统中文语言设置的显性校验，，，，，，但纵然未发明中文情形仍会继续执行。。。。。。别的，，，，，，攻击者还举行了“战术调解”，，，，，，修改了Catena执行链的某些组件，，，，，，新增反杀毒检测规避功效，，，，，，如为所有驱动器添加Microsoft Defender扫除项，，，，，，并使用逾期证书署名的恶意载荷反射式加载DLL文件以毗连C2效劳器下载执行Winos 4.0。。。。。。

https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

918博天堂

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系918博天堂

清静研究