Matanbuchus 3.0恶意软件加载器升级

首页 > 安全钻研 > 安全传递 > 安全简讯

Matanbuchus 3.0恶意软件加载器升级

颁布功夫 2025-07-17

1. Matanbuchus 3.0恶意软件加载器升级

7月16日，网络安全领域近期聚焦于Matanbuchus恶意软件加载器新变种（3.0版）的涌现。作为一款自2021年起在俄语网络犯罪论坛以“恶意软件即服务”（MaaS）模式运营的攻击工具，其初始版本以2500美元月租价被用于传布Cobalt Strike信标和勒索软件，曾通过“ClickFix”式诱导攻击执行渗入。而最新3.0版本在技术层面实现沉大升级，荫蔽性与攻击效能显著提升，引刊行业高度警惕。新版Matanbuchus的主题威胁在于其传布战术与职能强化。分歧于传统依缆番圾邮件或缝隙利用的扩散方式，该加载器更依赖“直接交互式社会工程学”伎俩，攻击者通过假装身份诱骗用户执行远程协助工具，进而部署PowerShell剧本触发恶意载荷下载。这种“精准定位+人为诱导”的模式，使其成为初始接见经纪人（IAB）向勒索团伙销售企业网络入口的高效工具，威胁性远超通常贸易化加载器。技术层面，Matanbuchus 3.0的升级聚焦于三风雅向：通讯和谈优化、内存操作强化、混合技术升级。其职能扩大蕴含支持CMD/PowerShell反向Shell、可运行DLL/EXE/Shellcode等多类型后续载荷，并具备通过COM组件交互注入Shellcode实现复杂工作调度的能力。

https://thehackernews.com/2025/07/hackers-leverage-microsoft-teams-to.html

2. 英国Co-op零售商遭网络攻击，650万会员数据泄露

7月16日，英国驰名零售商合作社集团（Co-op）近日证实，今年4月遭逢的大规模网络攻击导致其系统瘫痪、杂货店食品欠缺，并造成650万会员的幼我数据被盗。攻击产生于4月22日，威胁行为者通过社会工程伎俩沉置一名员工密码，成功侵入Co-op网络。随后，攻击者迅快横向渗入至其他设备，并窃取了Windows Active Directory服务的主题数据库文件NTDS.dit。该文件蕴含用户密码哈希值，攻击者可通过离线破解进一步扩大网络接见权限。最终，攻击者试图部署DragonForce勒索软件加密器，导致Co-op被迫关关多个IT系统以遏造威胁扩散。只管财政及买卖信息未被泄露，但会员的联系信息等敏感数据遭窃，首席执行官Shirine Khoury-Haq在采访中暗示，这次事务“如同人身攻击”，她对会员和员工受到的中伤深感愧疚。调查显示，这次攻击与名为“Scattered Spider”的黑客组织有关。攻击产生后，DragonForce勒索软件运营商宣称对Co-op事务掌管，并向BBC提供了被盗数据样本。

https://www.bleepingcomputer.com/news/security/co-op-confirms-data-of-65-million-members-stolen-in-cyberattack/

3. BADBOX 2.0已预装在全球百万Android设备上

7月16日，美国联国调查局（FBI）近日将一款名为BADBOX 2.0的安卓恶意软件列为全球性网络威胁。据安全团队分析，该恶意软件已入侵222个国度和地域的超100万台设备，其主题在于通过预装固件的方式，将低成本安卓设备转化为僵尸网络节点，甚至在用户采办设备前便已埋伏其中。BADBOX 2.0的危险性源于其怪异的传布模式：分歧于传统恶意软件通过恶意下载或虚伪利用传布，它直接嵌入设备固件，在造作阶段即被预装。这意味着用户拆封新设备、初次启动时便已露出在威胁中。钻研显示，受习染设备多来自未经严格安全审查的供给链，尤其是一些无品牌或超廉价产品，部门甚至通过亚马逊等主流平台销售。一旦激活，恶意软件会通过原生后门库libanl.so（深嵌固件）在后盾静默运行，即便复原出厂设置仍无法断根。该恶意软件的主题职能是将设备变为“住宅代理网络”节点，销售给犯罪集团用于暗藏点击诓骗、凭证填充等网络攻击的踪影。其组件蕴含触发恶意�？榈膌ibanl.so、掌管悠久化的Java�？閜.jar和q.jar，以及系统级利用com.hs.app，通过加密通讯与C2域名交互。受害者可能觉察设备异常：闲置时CPU占用率高、发热严沉、机能降落或网络流量异常，但往往难以追忆源头。

https://hackread.com/badbox-2-0-preinstalled-android-iot-devices-worldwide/

4. 欧洲刑警组织捣毁亲俄的NoName057(16) DDoS黑客组织

7月16日，一场代号为“伊斯特伍德性动”的国际法律行动针对亲俄黑客组织NoName057(16)发展精准进攻。该行动由欧洲刑警组织和欧洲司法组织牵头，结合12个国度的法律力量，指标直指这个自2022年乌克兰战争发作后活跃的亲俄黑客集体。NoName057(16)以Telegram频路和“DDoSia”多包项目为工具，通过自愿者推算机提议散布式回绝服务（DDoS）攻击，持久针对欧洲、以色列和乌克兰的支持乌克兰机构，蕴含北约站点、当局机构、银杏注能源供给商及媒体组织。据欧洲刑警组织披露，该组织的攻击活动曾侵扰德国、波兰、立陶宛等国的关键服务。这次行动中，法律机构在7国发展搜查，粉碎或下线100余台服务器，扣留2人，并发出7份欧洲扣留令，指标直指隐匿于俄罗斯的主题成员。此表，当局向1100名参加者及17名治理员发送Telegram忠告，明确其司法责任。只管行动对NoName057(16)造成沉猛进攻，但因其主题成员位于俄罗斯，基础设施可能急剧沉建。

https://www.bleepingcomputer.com/news/security/europol-disrupts-pro-russian-noname05716-ddos-hacktivist-group/

5. UNC6148利用Overstep恶意软件攻击过期SonicWall设备

7月16日，谷歌威胁谍报幼组（GTIG）近日忠告，一个被追踪为UNC6148的威胁行为者正针对已实现支持但仍在使用中的SonicWall Secure Mobile Access（SMA）100系列设备提议新型攻击。该组织自2024年10月起活跃，通过部署未知恶意软件OVERSTEP，实现数据窃取、凭证盗用及潜在勒索软件部署，其活动可能关联World Leaks数据泄露平台。攻击指标为已齐全建补但寿命终止（EoL）的SMA设备，这类设备因不足厂商安全更新，成为缝隙利用的温床。UNC6148通过多个已知缝隙（如CVE-2025-32819、CVE-2024-38475等）窃取本地治理员痛处，随后利用SSL-VPN会话成立反向Shell，只管SonicWall设备设计上不容Shell接见，但攻击者可能利用未知零日缝隙实现突破。一旦获得权限，威胁行为者手动断根系统日志以覆盖踪影，并部署OVERSTEP恶意软件。OVERSTEP作为用户模式Rootkit，通过批改设备启动流程实现悠久化，具备荫蔽窃取痛处、会话令牌及一次性密码（OTP）种子的能力。只管未明确确认经济动机，但受害设备数据被颁布至World Leaks网站，暗示潜在勒索意图。

https://www.securityweek.com/sonicwall-sma-appliances-targeted-with-new-overstep-malware/

6. Century Support Services遭数据泄露，16万人敏感信息被窃

7月15日，宾夕法尼亚州债务清偿公司Next Level Finance Partners（以Century Support Services名义运营）近日披露一路沉大数据泄露事务，影响逾16万名用户。该公司于2024年11月检测到系统遭黑客入侵，经5月下旬实现的调查确认，攻击者可能接见或窃取了存储用户幼我信息的文件。这次事务成为又一路涉及高敏感数据泄露的安全变乱。泄露信息涵盖多个关键领域，蕴含用户姓名、社会安全号码、诞生日期、驾照/州身份证/护照号码等身份标识，以及医疗健全保险信息、金融账户数据及数字署名。这些信息若被滥用，可能导致身份盗用、金融诳骗或医疗信息泄露等严沉风险。凭据Century Support Services向缅因州总检察长办公室提交的汇报，其累计服务客户近30万，这次泄露规模占其客户群的半数以上。事务曝光后，该公司颁发为受影响用户提供12个月的免费身份盗用�；ぜ靶庞嗫胤�，以缓解潜在风险。截至目前，尚未有任何已知勒索软件组织宣称对这次攻击掌管，攻击动机仍不明确。

https://www.securityweek.com/data-breach-at-debt-settlement-firm-impacts-160000-people/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研