复杂恶意邮件活动分发Remcos RAT恶意软件 Trustwave SpiderLabs发现RemcosRAT活动利用伪装SWIFT支付通知的钓鱼邮件诱导用户下载恶意PDF，通过多阶段脚本最终部署隐藏于图片中的恶意软件，并提供C2服务器和IoCs。... 2025-5-3 13:57:47 | 阅读: 6 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com malicious stage spiderlabs remcosrat powershell

也门男子被控利用Black Kingdom勒索软件进行网络攻击 一名也门男子被指控利用Black Kingdom勒索软件攻击全球约1500个计算机系统, 利用微软Exchange漏洞加密文件并索要赎金; 该软件以Python编写, 部分受害者已支付赎金; 他面临最高15年监禁。... 2025-5-3 13:13:52 | 阅读: 6 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com ransomware kingdom encrypting coded python

MintsLoader 新型恶意软件加载器及其GhostWeaver后门分析 一种名为“MintsLoader”的新型恶意软件加载器被发现用于传播未公开的“GhostWeaver”后门程序。该恶意软件通过钓鱼邮件和“ClickFix”技术针对金融机构及医疗组织发起攻击。“ClickFix”利用社会工程学诱导用户点击虚假系统提示以绕过安全意识培训。一旦感染，“GhostWeaver”可窃取敏感数据并长期潜伏于系统中。安全专家建议加强应用白名单、禁用Office宏及提升员工安全意识以应对威胁。... 2025-5-2 16:17:56 | 阅读: 6 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com mintsloader security clickfix seemingly begins

针对中东关键基础设施的复杂网络入侵 中东关键基础设施遭伊朗支持的网络攻击，持续两年多。攻击者利用被盗VPN凭证进入系统，部署多类恶意软件并绕过网络分段。Fortinet发现其使用自定义后门如NeoExpressRAT，并多次尝试突破防御。... 2025-5-2 15:45:13 | 阅读: 10 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com attackers userprofile hiddenpath windows

StealC V2 权限盗窃与载荷投递机制的技术分析 StealC V2于2025年3月发布，改进了通信协议和加密技术，并新增MSI和PowerShell脚本作为载荷交付方式。该版本还引入了多屏截图、文件抓取和暴力破解功能，并通过JSON协议优化C2通信。... 2025-5-2 13:37:53 | 阅读: 9 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com stealc powershell payload hwid retry

Go生态供应链攻击：隐蔽模块传播磁盘擦除恶意软件的深度分析 Go生态系统遭受供应链攻击，恶意模块伪装成合法包植入破坏性擦除磁盘代码。攻击利用Go包管理开放性和命名空间混淆问题，通过混淆技术隐藏恶意目的，在Linux系统中触发数据不可恢复的灾难性后果。... 2025-5-2 12:37:47 | 阅读: 12 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com dmm malicious github attackers devastating

利用虚假验证码植入NodeJS后门的高级恶意软件活动 文章描述了一种新型恶意软件活动，攻击者利用伪装的CAPTCHA页面和NodeJS后门感染用户系统。通过社会工程学手段诱导用户访问被黑网站，注入恶意代码并执行PowerShell命令安装后门。该后门具备系统侦察、命令执行和数据外泄功能，并通过加密通信和注册表修改维持持久性。研究人员指出此类攻击手法日益复杂且成功率高，需警惕类似威胁。... 2025-5-2 12:2:29 | 阅读: 13 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com captcha btoa nodejs malicious security

macOS 沙盒逃逸漏洞：利用安全性范围书签绕过保护 macOS被发现存在安全漏洞（CVE-2025-31191），允许攻击者通过操控安全范围书签绕过App Sandbox保护机制。该漏洞利用关键链项的删除与替换功能，伪造签名密钥并注入恶意书签，从而实现沙盒逃逸和敏感文件访问。此漏洞影响macOS Ventura、Sonoma等系统版本，已通过更新修复。... 2025-5-2 10:48:28 | 阅读: 24 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com security bookmarks keychain sandboxed malicious

微软RDP协议漏洞：旧密码仍可远程登录，设计缺陷引发安全担忧 微软确认其远程桌面协议（RDP）允许用户使用已更改或撤销的密码登录Windows设备。尽管独立安全研究员报告称此行为破坏了用户对密码更改的信任，微软将其视为有意设计而非漏洞，并无计划更改。此问题使攻击者可利用旧密码绕过云验证和多因素认证。专家建议组织审查RDP配置以降低风险。... 2025-5-2 09:18:35 | 阅读: 15 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com microsoft security passwords windows

none 文章描述了一起针对Python Package Index (PyPI)仓库的复杂供应链攻击事件，七款恶意软件包通过伪装合法软件传播，利用Google SMTP服务建立隐蔽通信通道，实现远程控制和数据窃取。这些恶意软件累计下载超5.5万次，在被移除前已构成严重威胁。... 2025-5-2 08:38:24 | 阅读: 10 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com coffin malicious security pypi dashboards

恶意命令协议（MCP）：新型网络攻击技术 一种新型恶意软件攻击技术MCP利用未被发现的漏洞，通过钓鱼邮件和PowerShell脚本传播，在内存中运行并隐藏恶意流量。该技术主要针对金融机构和关键基础设施，已导致数据泄露和重大经济损失。安全专家正在开发基于MCP技术的检测系统以应对类似威胁。... 2025-5-2 07:59:41 | 阅读: 13 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com mcp security tenable

Nebulous Mantis группировка和RomCom远程访问木马的高级网络间谍活动 Nebulous Mantis组织利用RomCom远程木马通过鱼叉式钓鱼攻击全球机构。该恶意软件采用多阶段感染、IPFS隐藏C2服务器，并收集系统信息、扫描网络及建立反向隧道。... 2025-5-2 07:39:43 | 阅读: 17 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com romcom network stage download employs

LummaStealer恶意软件结合欺骗性验证码诱捕敏感数据 网络犯罪分子利用LummaStealer恶意软件和虚假CAPTCHA提示进行数据窃取攻击。该方法结合社会工程学与轻量级有效载荷，绕过传统安全措施。受害者被诱骗执行恶意代码，导致浏览器凭证、加密货币钱包等敏感信息泄露。... 2025-5-2 07:8:16 | 阅读: 13 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com powershell lummac2 deceptive windows

氮气勒索软件攻击机制与技术分析 Nitrogen 勒索软件集团于 2024 年 9 月首次出现,最初针对美国和加拿大组织,后扩展至非洲和欧洲,已知 21 名受害者,实际数量或更多。该集团利用恶意广告伪装成合法软件,通过 DLL 侧载技术感染系统,并部署 Cobalt Strike 信标,清除关键日志以隐藏行踪,其工具曾被 Black Basta 等团伙使用。... 2025-5-1 16:48:45 | 阅读: 23 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com malicious winscp ransomware cobalt windows

利用远程桌面协议缓存泄露敏感信息的新技术 攻击者利用远程桌面协议（RDP）的位图缓存功能，在会话结束后提取并重建敏感信息，包括密码和活动记录。尽管传统日志被禁用或删除，该技术仍可泄露关键数据。安全专家建议加强监控、定期清理缓存并采用工具检测异常访问以防范此类威胁。... 2025-5-1 16:47:25 | 阅读: 8 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com tiles security remote attackers

伪装成WordPress安全插件的复杂恶意软件 一种伪装成WordPress安全插件的复杂恶意软件被发现，能够通过隐藏自身、远程代码执行和管理员权限获取等功能为攻击者提供持久访问。该恶意软件与位于塞浦路斯的C&C服务器通信，并能通过修改wp-cron.php文件实现自我重新安装。研究人员已开发检测签名并逐步发布防护措施。... 2025-5-1 12:45:43 | 阅读: 1 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com wp malicious attackers wordpress emergency

构建供应链网络安全：首席信息安全官的战略与挑战 现代供应链已演变为复杂的数字生态系统，连接多方参与者。然而，这种互联性也带来了显著的网络安全风险。攻击者常通过供应链中的薄弱环节入侵目标组织。CISO需采取多层策略管理风险，包括供应商评估、合同安全要求、持续监控及联合响应计划等，并推动组织文化向透明、共享责任转变。... 2025-5-1 11:45:0 | 阅读: 11 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com security cisos

利用设备代码身份验证流和主刷新令牌绕过微软防网络钓鱼的多因素身份验证 网络安全研究人员发现了一种绕过微软反钓鱼多因素认证的方法，通过利用设备代码认证流和Primary Refresh Tokens（PRTs），攻击者可在严格MFA环境下创建持久后门，并注册Windows Hello for Business密钥。该技术结合设备代码钓鱼与中间人方法，在用户不知情的情况下获取授权码并注册恶意密钥。尽管有防御策略，但检测仍具挑战性。... 2025-5-1 11:43:38 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com phishing microsoft resistant entra

Netgear EX6200 路由器漏洞分析：远程攻击威胁 Netgear EX6200路由器被发现存在三个关键漏洞（CVE-2025-4148/4149/4150），源于固件中的缓冲区溢出问题。这些漏洞允许攻击者远程控制设备、执行恶意代码并窃取敏感数据。目前Netgear尚未发布补丁，用户应密切关注更新并采取安全措施以降低风险。... 2025-5-1 10:17:44 | 阅读: 14 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com firmware netgear attackers routers

Node.js 持续集成基础设施中的关键漏洞及其影响 Node.js的CI基础设施被发现存在严重漏洞，攻击者可利用伪造Git时间戳绕过安全检查，在Jenkins代理上执行恶意代码，可能引发供应链攻击。该漏洞源于TOCTOU问题，影响数百万依赖Node.js的应用用户。Node.js团队迅速修复并加强安全措施。... 2025-5-1 05:43:50 | 阅读: 11 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com security jenkins pipelines malicious attackers