Acronis解析多阶段恶意软件传布链

首页 > 安全钻研 > 安全传递 > 安全简讯

Acronis解析多阶段恶意软件传布链

颁布功夫 2025-04-02

1. Acronis解析多阶段恶意软件传布链

4月1日，Acronis威胁钻研部门(TRU)近期解析了一路复杂的多阶段恶意软件传布链，揭示了攻击者若何利用混合技术和多剧本说话绕过安全防御。攻击始于假装成"账户扣押传票"的西班牙语垂钓邮件，附件为RAR压缩包，内含高度混合的Visual Basic剧本(VBS)。执行后，VBS天生批处置文件(BAT)，后者构建并执行Base64编码的PowerShell剧本。该剧本解码有效载荷——选取RunPE技术加载的.NET可执行文件，其资源中蕴含双沉加密数据块，需通过特定密钥解密。最终载荷为DCRat或Rhadamanthys等信息窃取法式，可致数据泄露和系统入侵。分析发现，攻击链的多层混合显著增长了检测难度，但亦引入更多故障点，为防御提供了突破口。Acronis指出，多层安全规划至关沉要：初始阶段需拦截恶意邮件及附件，高级启发式分析可鉴别可疑剧本行为，而内存�；ぜ际跄茏瓒媳嗦朐睾芍葱�。值得一提的是，攻击者在PowerShell剧本中植入尼采哲学语录，试图混合视线，凸显露代恶意软件的创意与复杂性。

https://www.bleepingcomputer.com/news/security/we-smell-a-dcrat-revealing-a-sophisticated-malware-delivery-chain/

2. 无文件加密挖矿攻击导致1500余台PostgreSQL服务器遭攻击

4月1日，近期，针对露出的PostgreSQL数据库的攻击活动引发安全界关注。云安全公司Wiz披露，该攻击活动与Aqua Security于2024年8月象征的入侵集存在关联，攻击者被追踪为JINX-0126，其利用名为PG_MEM的恶意软件执行攻击。钻研人员指出，攻击者持续进化攻击手法，通过为每个指标部署拥有唯一哈希值的二进造文件并选取无文件技术执行挖矿负载，有效躲避了依赖文件哈希检测的云安全解决规划。据Wiz评估，该活动已导致超过1,500名受害者，凸显了弱密码或默认配置的PostgreSQL事俘作为攻击指标的普遍性。攻击者利用弱配置的PostgreSQL服务进行初步渗入，投放Base64编码的shell剧本，该剧本不仅断根竞争矿工，还部署名为PG_CORE的二进造文件。进一步，服务器下载假装成合法PostgreSQL过程的Golang二进造文件，其通过创建高权限用户、设置cron悠久化工作，终从GitHub下载最新版XMRig挖矿法式，利用Linux无文件技术启动挖矿过程。值妥贴心的是，攻击者为每个受害者分配独立钱包地址，Wiz已鉴别三个关联钱包，每个钱包关联约550个挖矿节点，总计超过1,500台设备被习染。

https://thehackernews.com/2025/04/over-1500-postgresql-servers.html

3. Palo Alto Global Protect扫描海潮中涉及近24,000个IP

4月1日，针对Palo Alto Networks GlobalProtect登录门户的网络扫描活动近期显著升级，引发安全钻研人员对潜在攻击的预警。威胁谍报公司GreyNoise监测数据显示，该扫描活动涉及超过24,000个唯一源IP地址，于2025年3月17日达到逐日20,000个唯一IP的峰值，并持续至3月26日。IP地址中，23,800个被象征为"可疑"，154个被确以为"恶意"，凸显活动异常性。扫描起源重要集中在北美，指标系统虽以美国为主，但出现全球化特点。GreyNoise指出，此类扫描激增常与缝隙利用前的窥伺行动有关，汗青模式显示，扫描顶峰后2-4周可能出现新缝隙披露或攻击事务。值妥贴心的是，这次活动与另一项涉及PAN-OS爬虫的扫描存在功夫关联性，后者在3月26日同步达到2,580个IP的扫描峰值。当前，攻击者的具体指标和动机尚不明确，但针对露出在互联网的Palo Alto Networks系统，治理员需提高警惕。GreyNoise建议当即审查3月中旬以来的系统日志，排查入侵迹象，强化登录门户安全防护，并关闭已知恶意IP。

https://www.bleepingcomputer.com/news/security/nearly-24-000-ips-behind-wave-of-palo-alto-global-protect-scans/

4. CrushFTP CVE-2025-2825缝隙在被利用进行攻击

4月1日，近期，攻击者正积极利用公开的概想验证代码（PoC）对CrushFTP文件传输软件中的一个高危身份验证绕过缝隙（CVE-2025-2825）执行攻击。该缝隙由Outpost24汇报，允许远程攻击者无需认证即可接见未建补的CrushFTP v10或v11设备。CrushFTP在3月21日垂危颁布补丁时强调，露出的HTTP(S)端口可能直接导致未授权接见，并建议用户当即升级至10.8.4或11.3.1以上版本。作为一时防护措施，治理员可启用DMZ表围网络选项加强防护。一周后，Shadowserver监测数据显示，其蜜罐系统已检测到数十次针对露出在互联网的CrushFTP服务器的攻击尝试，其时仍有超过1,500个未建补事俘处于风险中。这次缝隙的公开PoC由ProjectDiscovery于缝隙披露前数日颁布，加快了攻击者的利用过程。值妥贴心的是，CrushFTP持久位列勒索软件团伙（如Clop）的高价值指标名单，此前曾遭逢屡次零日缝隙攻击，蕴含2024年4月建补的CVE-2024-4040缝隙，该缝隙允许攻击者逃逸虚构文件系统并窃取系统文件。

https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/

5. Vitenas整形表科患者数据遭黑客入侵并泄露

4月1日，美国休斯顿驰名整形表科机构Vitenas整形表科遭逢沉大网络攻击，导致大量敏感患者数据泄露。该机构由表科医师学会院士Paul Vitenas, Jr.缔造，旗下蕴含Mirror Mirror Beauty Boutique及德克萨斯州休斯顿表科中心。3月5日，威胁组织Kairos在其暗网泄密站点公开宣称已入侵Vitenas博士官网，并展示未经编纂的1.34GB泄露文件。泄露数据蕴含未加密的受�；そ∪畔ⅲ≒HI），涉及患者裸照、姓名、诞生日期、联系方式、社保号、驾照照片等敏感信息，同时蕴含员工信息及诊所运营文件。攻击者通过俄语论坛兜销数据，试图寻找买家。Kairos组织宣称通过暴力攻击于2月成功入侵系统，且诊所IT部门已觉察攻击但未能阻止数据泄露。攻击者暗示已与Vitenas博士进行约一个月的交涉，威胁若无法尽快找到数据买家，将公开最敏感信息。

https://databreaches.net/2025/04/01/vitenas-cosmetic-surgery-patient-data-hacked-and-leaked/

6. 欧洲服务平台Yoojo泄露千万敏感文件

4月1日，欧洲服务市场平台Yoojo因云存储桶配置谬误，导致超1450万份敏感文件露出，涵盖用户护照、通讯纪录、电话号码等主题隐衷数据。作为衔接幼我与服务提供商的盛行平台，Yoojo（前身为Youpijobs）在英法西荷等多国运营，其利用下载量超50万次，服务领域覆盖家政、宠物护理等多领域。这次泄露的存储桶至少公开接见达10天，固然暂无滥用迹象，但钻研人员忠告潜在风险显著：攻击者可利用泄露的身份证件执行身份偷窃，通过真实电话号码构建虚伪服务收费场景，甚至提议精准网络垂钓攻击。幼我信息露出还显著增长用户被跟踪勒索的风险。在网络安全团队传递后，Yoojo已建复配置缝隙并实现数据�；�。为预防类似事务，专家建议采取多沉安全措施，蕴含强化接见节造、启用加密传输与存储、部署密钥治理服务、执行SSL/TLS和谈，并加强安全审计与员工培训。值妥贴心的是，这次泄露涉及大量当局签发证件及用户通讯内容，其敏感水平远超通常数据泄露事务。

https://cybernews.com/security/yoojo-data-leak-exposed-passports/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研