•美国网络安全机构发布联合咨文，防范Ghost勒索软件攻击

•虚假认证网络安全合规，这家公司被罚1125万美元

•警惕Vgod勒索软件加密系统文件并将勒索信息设为壁纸

•警惕!Lumma恶意软件伪装PDF文档，窃取教育机构数据

•网络犯罪分子武器化 AI 生成视频，实施"自我诈骗"攻击新战术

•Signal 、Line 和Gmail 被伪造成攻击工具，攻击中文用户

•警惕！Snake键盘记录器新变种大规模窃取用户敏感数据

•Apache Ignite反序列化漏洞被曝光，攻击者可远程控制系统

近日，美国网络安全机构CISA与FBI和多州信息共享与分析中心(MS-ISAC)近日联合发布了一份网络安全咨文，防范Ghost(Cring)勒索软件攻击。该咨文为网络防御人员提供了与Ghost勒索软件活动相关的危害指示器(IOC)、战术、技术和程序(TTP)以及检测方法。

Ghost黑客组织针对使用过时软件和固件版本的互联网服务，对多个组织实施了广泛攻击。这些恶意勒索软件团伙通常利用公开的代码，利用未打补丁的常见漏洞和风险(CVE)获取对互联网服务器的访问权限。已知的CVE包括CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。

CISA建议网络防御人员审查此咨文并采取建议的缓解措施，获取有关勒索软件防护、检测和响应的指导。

原文链接：

https://www.sdxcentral.com/alerts/advisory/cisa-fbi-issue-advisory-on-ghost-ransomware-threats/2025/02/

近日，美国健康网联邦服务公司（HNFS)及其母公司Centene Corporation同意支付1125.34万美元，以解决其在与美国国防部签订的合同中关于虚假认证网络安全合规性的指控。

HNFS和Centene Corporation被指控在为国防健康管理局(DHA)的TRICARE健康福利计划提供管理服务时，未能满足所需的网络安全标准。TRICARE为美国军人及其家属提供医疗福利，因此网络安全合规对该合同至关重要。

根据美国司法部(DOJ)的指控，HNFS在2015年至2018年期间，在向DHA提交的年度报告中虚假认证其网络安全合规性。美国政府指控，HNFS未能按照其系统安全计划的要求，在规定时间内扫描已知漏洞并解决安全缺陷。2016年收购HNFS母公司后，Centene Corporation承担了HNFS的责任，因此也成为和解的一方。

这起和解凸显了政府对承包商网络安全合规性的审查日益加强。随着网络威胁日趋复杂，美国DOJ和国防部等机构正在执行严格措施，确保被委托处理敏感政府数据的公司遵守网络安全最佳实践。

原文链接：

https://thecyberexpress.com/hnfs-settles-cybersecurity-case/

近日，新型勒索软件Vgod正成为网络安全领域的一个重大威胁。这种勒索软件采用了先进的加密技术和心理压力策略，不仅加密受害者的整个系统文件，还将勒索信息设置为桌面壁纸，让受害者无法忽视攻击。

Vgod勒索软件于2025年2月5日被CYFIRMA研究人员首次发现。这种针对Windows系统的恶意软件结合了文件加密和双重勒索手段，威胁受害者如果不支付赎金就泄露数据。

Vgod勒索软件采用混合加密方法，利用AES-256进行文件加密，利用RSA-4096进行密钥保护。感染后，它会在加密文件名后添加".Vgod"扩展名，使文件无法访问。该恶意软件还在文件名中嵌入了独特的受害者标识符和联系信息。加密过程之前，Vgod会采取一些规避防御的技术，包括:利用进程注入执行恶意PowerShell命令，利用DLL劫持绕过应用程序白名单；利用注册表修改禁用安全工具。该勒索软件采用多种持久化机制，如利用"Bootkit安装"在系统重启后存活、利用"计划任务"定期执行，以及利用被入侵的RDP凭证实现"网络传播"。

CYFIRMA建议组织立即实施应用程序白名单，阻止未经授权的可执行文件；对所有远程访问点强制实施多因素身份验证(MFA)；并维护定期的脱机数据备份，以保护数据。

原文链接：

https://cybersecuritynews.com/vgod-ransomware-encrypt-your-entire-system/

近日，信息窃取恶意软件Lumma利用武器化的PDF文档，针对教育机构发起了精心策划的攻击活动。这种复杂的攻击利用伪装成合法PDF的恶意LNK(快捷方式)文件，启动多阶段感染过程，从而窃取敏感数据。

攻击始于用户不经意间下载伪装成学术或技术文档的LNK文件。这些文件一旦执行，就会触发PowerShell命令连接远程服务器，启动感染链条。PowerShell脚本使用AES加密并进行混淆，确保在执行期间隐蔽行踪。

一旦解密，PowerShell脚本就会从远程服务器下载并执行Lumma Stealer二进制文件。然后，恶意软件会扫描受感染系统，寻找包含wallet.txt或passwords.pdf等关键词的文件，窃取敏感信息。为逃避检测，Lumma Stealer会加密窃取的数据，并采用事件控制的写入操作。它还通过创建注册表项和计划任务来实现持久化。

安全专家提醒，组织必须实施主动防御措施，如终端检测系统和用户意识培训计划，以减轻欺骗性网络钓鱼和武器化文档带来的风险。

原文链接：

https://cybersecuritynews.com/weaponized-pdf-documents-deliver-lumma-infostealer/

当前，一股新型"自我诈骗"攻击浪潮正在利用AI生成的深度伪造视频和恶意脚本，针对加密货币爱好者和金融交易员。该攻击活动在2024年第三季度激增614%，结合了尖端深度伪造技术和经过心理学调整的诱饵，引发了人们对生成式AI在网络犯罪中被武器化的担忧。

攻击者利用被入侵的拥有11万订阅者的YouTube频道发布深度伪造视频，展示一个利用先进技术制作的合成人物。虽然频道看似合法，但其中一个教程视频却诱导观众激活一种虚构的"AI开发者模式"，声称可以97%准确预测加密货币市场。‘

核心攻击手段是引导受害者执行PowerShell命令，从Pastefy.com 或Obin.net等代码分享网站下载恶意脚本。该脚本连接命令控制服务器，部署木Lumma Stealer和NetSupport等远程访问工具，收集加密货币钱包、浏览器凭据，并获取系统控制权。攻击者还利用YouTube广告系统扩大影响范围。

与传统网络钓鱼不同，受害者主动参与了自身系统的危害，认为他们正在访问独家工具。随着网络犯罪分子现在可以自动创建人物和完善脚本，通过多个渠道验证数字指令已成为不可或缺的安全实践。

原文链接：

https://www.scmagazine.com/brief/severe-supply-chain-flaw-impacting-newly-acquired-firm-nets-over-50k-reward

一场针对中文用户的精心策划的网络攻击活动中，恶意分子武器化了Signal、Line和Gmail等热门应用程序的伪造版本。这些伪造的武器化应用程序通过欺骗性的下载页面传播，能够传播可改变系统防御、规避检测并窃取敏感数据的恶意软件。

攻击者利用搜索引擎操纵手段，推送伪造的网站，这些网站模仿了合法软件来源的界面，诱使无辜用户下载受感染的可执行文件。恶意文件通常隐藏在ZIP压缩包中，包含Windows可执行程序。一旦执行，恶意软件会遵循一致的模式:提取临时文件、注入进程、修改安全设置并建立网络通信。

Hunt.io的研究人员发现，伪造的Signal下载页面z1.xiaowu.pw传递了一个名为Sriguoei4.zip的文件。同样，冒充Gmail页面ggyxx.wenxinzhineng.top诱骗用户下载Goongeurut.zip，安装一个名为"Gmail Notifier Pro"的伪造应用程序。一旦执行，恶意软件采用高级技术操纵系统防御。一个显著的例子是使用PowerShell命令，通过将整个C:驱动器从扫描中排除，从而禁用Windows Defender，使系统极度容易受到进一步攻击。恶意软件还会在AppData文件夹的深层嵌套目录中释放第二个可执行文件，如svrnezcm.ex，生成额外的进程，并与托管在香港阿里云基础设施上的命令与控制(C2)服务器通信。

原文链接：

https://cybersecuritynews.com/weaponized-signal-line-and-gmail-apps-delivers-malware/#google_vignette

网络安全研究人员近日在Fortinet发现了Snake键盘记录器恶意软件的一个新型且高度复杂的变种。该变种在全球范围内造成了超过2.8亿次被阻止的感染尝试，旨在窃取用户的敏感数据，包括凭据、浏览器信息和剪贴板活动。

该恶意软件通过含有恶意链接或附件的网络钓鱼邮件进行分发；捕获按键并从流行浏览器如Chrome和Firefox中提取凭据；通过加密渠道如SMTP(电子邮件)和Telegram机器人将窃取的信息发送至命令与控制服务器。该恶意软件还采用了诸如进程空洞注入和持久化机制等高级技术来规避检测。一旦植入，它就可以在不被发现的情况下运行，记录敏感数据并将其渗透到远程服务器。

Snake键盘记录器利用AutoIt脚本等混淆工具绕过防病毒防御。该脚本语言允许攻击者将恶意载荷隐藏在看似无害的文件中，增加了分析和检测的难度。Snake键盘记录器还积极针对存储在浏览器中的凭据，利用钩子和API访问登录数据、自动填充详细信息，甚至包括信用卡信息。

安全专家建议用户避免打开不经请求的电子邮件附件或点击未知链接，使用具有行为检测能力的最新安全工具，并定期打补丁。

原文链接：

https://www.infosecurity-magazine.com/news/snake-keylogger-targets-windows/

近日，研究人员发现Apache Ignite分布式内存数据库平台存在一个严重的反序列化漏洞（CVE-2024-52577），评分高达9.8分，影响2.6.0至2.16.x版本。

该漏洞源于未能正确执行序列化过滤器，允许攻击者通过构造恶意载荷绕过安全检查，在服务器端点反序列化时执行任意代码，获取系统的完全控制权。成功利用该漏洞需要能访问Ignite端点，并有可利用序列化方法的gadget类存在于服务器类路径中。

目前，Apache已发布2.17.0版本全面修复该漏洞。安全专家提醒管理员立即升级，并限制对Ignite端点的网络访问，监控异常反序列化尝试。

原文链接：

https://cybersecuritynews.com/critical-apache-ignite-vulnerabilitycve-2024-52577/#google_vignette