ViciousTrap黑客组织利用缝隙构建类蜜罐网络

首页 > 安全钻研 > 安全传递 > 安全简讯

ViciousTrap黑客组织利用缝隙构建类蜜罐网络

颁布功夫 2025-05-26

1. ViciousTrap黑客组织利用缝隙构建类蜜罐网络

5月23日，，网络安全钻研人员披露，，代号ViciousTrap的黑客组织已入侵全球84个国度近5300台网络边缘设备，，将其刷新成类蜜罐网络。该组织利用思科小型企业路由器多款型号的关键缝隙CVE-2023-20118执行大规模入侵，，其中850台受控设备位于澳门。安全公司Sekoia在分析汇报中指出，，习染链涉及执行名为NetGhost的shell剧本，，该剧本能将被入侵路由器的流量重定向至攻击者节制的类蜜罐设施，，实现网络流量劫持。此前，，法国网络安全公司曾将该缝隙利用归因于PolarEdge僵尸网络，，不外目前尚无证据批注二者有关联。ViciousTrap背后的组织正通过入侵大量露出于互联网的设备构建蜜罐基础设施，，涉及50余个厂商的SOHO路由器、、SSL VPN等多种设备。这种架构使攻击者能观察多环境渗入尝试，，可能网络未公开或零日缝隙利用规划，，并劫持其他威胁组织的入侵成就。攻击链先通过缝隙利用下载bash剧本，，进而执行第二阶段的NetGhost剧本，，该剧本具备流量重定向职能，，可执行中央人攻击，，还具备自删除能力以削减取证痕迹。所有攻击尝试均源自单一IP地址，，最早活动可追忆至2025年3月，，次月该组织还将PolarEdge僵尸网络曾使用的未公开WebShell工具改作己用。本月最新攻击活动转向华硕路由器，，使用另一IP地址，，但未部署蜜罐，，所有活跃IP均位于马来西亚，，归属托管服务商Shinjiru运营的自治系统。

https://thehackernews.com/2025/05/vicioustrap-uses-cisco-flaw-to-build.html

2. NPM上的数十个恶意软件包网络主机和网络数据

5月23日，，Socket威胁钻研团队在NPM索引中发现了两起恶意软件包活动。第一路涉及60个恶意软件包，，它们自5月12日起从三个颁布者账户上传至NPM存储库。这些软件包蕴含装置后剧本，，在“npm install”期间自动执行，，网络蕴含主机名、、内部IP地址、、用户主目录等敏感信息，，并发送到威胁行为者节制的Discord webhook。该剧本还具备环境检测职能，，以确定是否在分析环境中运行。只管目前未观察到第二阶段有效载荷的投递、、权限提升或悠久机制，，但思考到所网络数据的敏感性，，此类攻击的危险性相当高。这些恶意软件包曾累计下载3000次，，不外在汇报颁布时已从NPM存储库中隐没。为诱骗开发人员，，威胁行为者使用了与合法软件包类似的名称，，可能针对CI/CD管道。另一路恶意活动涉及八个软件包，，它们通过域名抢注仿照React、、Vue.js、、Vite、、Node.js和Quill生态系统的合法工具，，但具备数据擦除职能，，可删除文件、、败坏数据和关闭系统。这些软件包从前两年一向存在于NPM上，，下载量达6200次。其逃避检测的部门原因是有效载荷凭据硬编码的系统日期激活，，且其结构会逐步粉碎系统。这次活动背后的威胁行为者以“xuxingfeng”名义颁布这些文件，，并列出了几个合法软件包以成立信赖。只管凭据硬编码日期，，危险已从前，，但鉴于作者可能引入更新重新触发擦除职能，，删除这些软件包至关重要。

https://www.bleepingcomputer.com/news/security/dozens-of-malicious-packages-on-npm-collect-host-and-network-data/

3. Cetus Protocol遭黑客窃取2.23亿加密钱币

5月23日，，去中心化买卖所Cetus Protocol近日颁发遭逢黑客攻击，，价值2.23亿美元的加密钱币被盗。事务产生后，，该项目立即暂停智能合约发展调查，，并确认“1.62亿美元的受损资金已成功暂停�！�。Cetus Protocol随后指出，，黑客利用了一个易受攻击的软件包执行攻击，，但未披露具体细节。该项目暗示已找到缝隙底子原因，，修复了有关软件包，，并通知了生态系统建设者以预防其他团队受影响。此外，，Cetus Protocol鉴别出攻击者的以太坊钱包地址和账户，，正与第三方合作追踪和冻结资金，，并已通知法律部门。为促使黑客送还资金，，Cetus Protocol提出“有时限的白帽和解和谈”，，承诺若资金退还将不再采取司法行动。同时，，该项目颁发将提供500万美元赏金，，嘉奖提供线索、、援手鉴别和扣留黑客的信息提供者。在验证者垂危投票后，，Sui区块链上1.62亿美元的资金被暂停。区块链分析公司Elliptic颁布汇报指出，，自动做市商（AMM）逻辑存在缺点，，可能涉及池价值把持，，从而引发闪电贷式攻击。Elliptic还概述了攻击者的资金转移尝试，，并暗示正在积极追踪从Sui初始缝隙到攻击者在以太坊上钱包的买卖。目前，，黑客的地址已在所有重要买卖所和虚构资产服务提供商上象征，，以预防洗钱或资金转移贪图。

https://www.bleepingcomputer.com/news/security/hacker-steals-223-million-in-cetus-protocol-cryptocurrency-heist/

4. FBI忠告Silent Ransom Group针对美律所提议勒索攻击

5月23日，，美国联邦调查局近日发出忠告，，指出一个名为Silent Ransom Group（SRG）的勒索团伙在从前两年里持续针对美国律师事务所发起回拨网络垂钓和社会工程攻击。该团伙别名Luna Moth、、Chatty Spider和UNC3753，，自2022年起便一向活跃，，是BazarCall活动的幕后主使，，为Ryuk和Conti勒索软件攻击提供了初始网络接见权限。在Conti关闭后，，该威胁行为者脱离原网络犯罪集团，，组建了SRG。在最近的攻击中，，SRG通过电子邮件、、虚伪网站和电话假意指标IT支持人员，，利用社会工程学伎俩获取网络接见权限。与通常勒索组织分歧，，SRG并不加密受害者系统，，而是以索要赎金预防敏感信息泄露而闻名。他们通过远程接见会话进入受害者设备，，进行最低限度的权限提升，，并迅速转向数据泄露，，利用“WinSCP”或暗藏/重定名的“Rclone”版本窃取数据。窃取数据后，，SRG通过勒索邮件和电话威胁销售或公开信息，，迫使受害者进行赎金交涉。只管他们有专门的网站泄露受害者数据，，但FBI指出，，这些勒索团伙并不总会兑现数据泄露威胁。为防御此类攻击，，FBI建议使用强密码、、启用双成分身份验证、、定期备份数据，，并对员工进行网络垂钓尝试检测培训。

https://www.bleepingcomputer.com/news/security/fbi-warns-of-luna-moth-extortion-attacks-targeting-law-firms/

5. Marlboro-Chesterfield Pathology数据泄露影响23.5万人

5月22日，，美国北卡罗来纳州全服务解剖病理尝试室Marlboro-Chesterfield Pathology（MCP）近期遭逢勒索软件攻击，，以至大量小我信息纪录失窃。该机构在官网颁布的数据泄露通知批注，，2025年1月16日其内部IT系统出现未经授权活动，，经调查确认攻击者窃取了部门文件。这次泄露的数据涵盖姓名、、住址、、诞生日期、、医疗医治信息及健康保险信息等敏感内容，，具体泄露字段因个别差距而有所分歧。MCP本周向美国卫生与公家服务部（HHS）传递，，这次事务影响领域涉及235,911人。勒索软件组织SafePay于一月下旬宣称对这次攻击掌管，，该团伙近期还对贸易服务提供商Conduent提议攻击。值妥贴心的是，，截至发稿时，，MCP已从SafePay的泄密网站下架，，这暗示受害方可能已支付赎金。

https://www.securityweek.com/marlboro-chesterfield-pathology-data-breach-impacts-235000-people/

6. 黑客利用虚伪VPN及浏览器NSIS装置包传布Winos 4.0恶意软件

5月26日，，网络安全钻研人员披露恶意软件活动，，攻击者通过假装成LetsVPN、、QQ浏览器等盛行工具的虚伪装置法式，，最终投递Winos 4.0框架。此攻击行动由Rapid7于2025年2月初次监测到，，使用了名为Catena的多阶段驻内存加载器，，将有效载荷齐全驻留内存以躲避杀毒软件检测。植入后，，Catena会静默衔接攻击者节制的服务器，，无数位于香港，，以接管后续指令或额外恶意法式。该攻击似乎专门针对中文环境，，幕后存在具备高度能力的威胁组织。Winos 4.0是基于驰名远程木马Gh0st RAT代码基础编写的先进恶意框架，，具罕见据窃取、、远程Shell接见及发起DDoS攻击等职能。2025年发现的基于QQ浏览器的习染流程显示，，所有有关攻击载体均依赖NSIS装置法式，，这些装置包绑缚了经过署名的钓饵利用，，通过反射式DLL注入技术实现荫蔽驻留。在2025年4月发现的LetsVPN装置包攻击案例中，，恶意法式通过创建打算工作实现悠久化，，且蕴含检测系统中文说话设置的显性校验，，但即便未发现中文环境仍会持续执行。此外，，攻击者还进行了“战术调整”，，批改了Catena执行链的某些组件，，新增反杀毒检测躲避职能，，如为所有驱动器增长Microsoft Defender排除项，，并使用过期证书署名的恶意载荷反射式加载DLL文件以衔接C2服务器下载执行Winos 4.0。

https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研