Acronis剖析多阶段恶意软件撒播链

首页 > 清静研究 > 清静转达 > 清静简讯

Acronis剖析多阶段恶意软件撒播链

宣布时间 2025-04-02

1. Acronis剖析多阶段恶意软件撒播链

4月1日，，Acronis威胁研究部分(TRU)近期剖析了一起重大的多阶段恶意软件撒播链，，展现了攻击者怎样使用混淆手艺和多剧本语言绕过清静防御。。攻击始于伪装成"账户扣押传票"的西班牙语垂纶邮件，，附件为RAR压缩包，，内含高度混淆的Visual Basic剧本(VBS)。。执行后，，VBS天生批处置惩罚文件(BAT)，，后者构建并执行Base64编码的PowerShell剧本。。该剧本解码有用载荷——接纳RunPE手艺加载的.NET可执行文件，，其资源中包括双重加密数据块，，需通过特定密钥解密。。最终载荷为DCRat或Rhadamanthys等信息窃取程序，，可致数据泄露和系统入侵。。剖析发明，，攻击链的多层混淆显著增添了检测难度，，但亦引入更多故障点，，为防御提供了突破口。。Acronis指出，，多层清静计划至关主要：初始阶段需阻挡恶意邮件及附件，，高级启发式剖析可识别可疑剧本行为，，而内存�；；；；；な忠漳茏瓒媳嗦朐睾芍葱�。。值得一提的是，，攻击者在PowerShell剧本中植入尼采哲学语录，，试图混淆视线，，凸展现代恶意软件的创意与重大性。。

https://www.bleepingcomputer.com/news/security/we-smell-a-dcrat-revealing-a-sophisticated-malware-delivery-chain/

2. 无文件加密挖矿攻击导致1500余台PostgreSQL效劳器遭攻击

4月1日，，近期，，针对袒露的PostgreSQL数据库的攻击活动引发清静界关注。。云清静公司Wiz披露，，该攻击活动与Aqua Security于2024年8月标记的入侵集保存关联，，攻击者被追踪为JINX-0126，，其使用名为PG_MEM的恶意软件实验攻击。。研究职员指出，，攻击者一连进化攻击手法，，通过为每个目的安排具有唯一哈希值的二进制文件并接纳无文件手艺执行挖矿负载，，有用规避了依赖文件哈希检测的云清静解决计划。。据Wiz评估，，该活动已导致凌驾1,500名受害者，，凸显了弱密码或默认设置的PostgreSQL实例作为攻击目的的普遍性。。攻击者使用弱设置的PostgreSQL效劳举行起源渗透，，投放Base64编码的shell剧本，，该剧本不但扫除竞争矿工，，还安排名为PG_CORE的二进制文件。。进一步，，效劳器下载伪装成正当PostgreSQL历程的Golang二进制文件，，其通过建设高权限用户、设置cron长期化使命，，终从GitHub下载最新版XMRig挖矿程序，，使用Linux无文件手艺启动挖矿历程。。值得注重的是，，攻击者为每个受害者分派自力钱包地点，，Wiz已识别三个关联钱包，，每个钱包关联约550个挖矿节点，，总计凌驾1,500台装备被熏染。。

https://thehackernews.com/2025/04/over-1500-postgresql-servers.html

3. Palo Alto Global Protect扫描浪潮中涉及近24,000个IP

4月1日，，针对Palo Alto Networks GlobalProtect登录门户的网络扫描活动近期显著升级，，引发清静研究职员对潜在攻击的预警。。威胁情报公司GreyNoise监测数据显示，，该扫描活动涉及凌驾24,000个唯一源IP地点，，于2025年3月17日抵达逐日20,000个唯一IP的峰值，，并一连至3月26日。。IP地点中，，23,800个被标记为"可疑"，，154个被确以为"恶意"，，凸显活动异常性。。扫描泉源主要集中在北美，，目的系统虽以美国为主，，但泛起全球化特征。。GreyNoise指出，，此类扫描激增常与误差使用前的侦探行动相关，，历史模式显示，，扫描岑岭后2-4周可能泛起新误差披露或攻击事务。。值得注重的是，，此次活动与另一项涉及PAN-OS爬虫的扫描保存时间关联性，，后者在3月26日同步抵达2,580个IP的扫描峰值。。目今，，攻击者的详细目的和念头尚不明确，，但针对袒露在互联网的Palo Alto Networks系统，，治理员需提高小心。。GreyNoise建议连忙审查3月中旬以来的系统日志，，排查入侵迹象，，强化登录门户清静防护，，并封闭已知恶意IP。。

https://www.bleepingcomputer.com/news/security/nearly-24-000-ips-behind-wave-of-palo-alto-global-protect-scans/

4. CrushFTP CVE-2025-2825误差正在被使用举行攻击

4月1日，，近期，，攻击者正起劲使用果真的看法验证代码（PoC）对CrushFTP文件传输软件中的一个高危身份验证绕过误差（CVE-2025-2825）实验攻击。。该误差由Outpost24报告，，允许远程攻击者无需认证即可会见未修补的CrushFTP v10或v11装备。。CrushFTP在3月21日紧迫宣布补丁时强调，，袒露的HTTP(S)端口可能直接导致未授权会见，，并建议用户连忙升级至10.8.4或11.3.1以上版本。。作为暂时防护步伐，，治理员可启用DMZ外围网络选项增强防护。。一周后，，Shadowserver监测数据显示，，其蜜罐系统已检测到数十次针对袒露在互联网的CrushFTP效劳器的攻击实验，，其时仍有凌驾1,500个未修补实例处于危害中。。此次误差的果真PoC由ProjectDiscovery于误差披露前数日宣布，，加速了攻击者的使用历程。。值得注重的是，，CrushFTP恒久位列勒索软件团伙（如Clop）的高价值目的名单，，此前曾遭遇多次零日误差攻击，，包括2024年4月修补的CVE-2024-4040误差，，该误差允许攻击者逃逸虚拟文件系统并窃取系统文件。。

https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/

5. Vitenas整形外科患者数据遭黑客入侵并泄露

4月1日，，美国休斯顿着名整形外科机构Vitenas整形外科遭遇重大网络攻击，，导致大宗敏感患者数据泄露。。该机构由外科医师学会院士Paul Vitenas, Jr.建设，，旗下包括Mirror Mirror Beauty Boutique及德克萨斯州休斯顿外科中心。。3月5日，，威胁组织Kairos在其暗网泄密站点果真宣称已入侵Vitenas博士官网，，并展示未经编辑的1.34GB泄露文件。。泄露数据包括未加密的受�；；；；；た到⌒畔ⅲ≒HI），，涉及患者裸照、姓名、出生日期、联系方法、社保号、驾照照片等敏感信息，，同时包括员工信息及诊所运营文件。。攻击者通过俄语论坛兜售数据，，试图寻找买家。。Kairos组织声称通过暴力攻击于2月乐成入侵系统，，且诊所IT部分已察觉攻击但未能阻止数据泄露。。攻击者体现已与Vitenas博士举行约一个月的谈判，，威胁若无法尽快找到数据买家，，将果真最敏感信息。。

https://databreaches.net/2025/04/01/vitenas-cosmetic-surgery-patient-data-hacked-and-leaked/

6. 欧洲效劳平台Yoojo泄露万万敏感文件

4月1日，，欧洲效劳市场平台Yoojo因云存储桶设置过失，，导致超1450万份敏感文件袒露，，涵盖用户护照、通讯纪录、电话号码等焦点隐私数据。。作为毗连小我私家与效劳提供商的盛行平台，，Yoojo（前身为Youpijobs）在英法西荷等多国运营，，其应用下载量超50万次，，效劳规模笼罩家政、宠物看护等多领域。。此次泄露的存储桶至少果真会见达10天，，虽然暂无滥用迹象，，但研究职员忠言潜在危害显著：攻击者可使用泄露的身份证件实验身份偷窃，，通过真实电话号码构建虚伪效劳收费场景，，甚至提倡精准网络垂纶攻击。。小我私家信息袒露还显著增添用户被跟踪勒索的危害。。在网络清静团队转达后，，Yoojo已修复设置误差并完成数据�；；；；；�。。为阻止类似事务，，专家建议接纳多重清静步伐，，包括强化会见控制、启用加密传输与存储、安排密钥治理效劳、实验SSL/TLS协议，，并增强清静审计与员工培训。。值得注重的是，，此次泄露涉及大宗政府签发证件及用户通讯内容，，其敏感水平远超通俗数据泄露事务。。

https://cybernews.com/security/yoojo-data-leak-exposed-passports/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究