ThreatsDay:游戏外挂间谍软件、24小时勒索软件、Chrome 同步追踪 + 12 更多故事
导语:本周 ThreatsDay 汇总覆盖 14 起安全事件:恶意 NuGet 游戏外挂包、俄语攻击者 UAT-11795 分发 Starland RAT、Spirals 勒索软件在 24 小时内完成部署、CISA 新增 KEV 漏洞、欧美多国联合发布 CVD 指南、荷兰与西班牙警方打击重大投资欺诈,以及 Bitdefender 披露 Windows 绑定链接 EDR 绕过技术等。
网络安全研究人员披露了 11 个恶意 NuGet 包,这些包伪装成 .NET 命令行工具,自称为游戏实用程序、机器人和"面板",每个都充当第一阶段下载器,负责从 GitHub Releases 和 Hugging Face 路径(用户名为 "pepegit666")获取并执行名为 "pepesoft.exe" 的第二阶段 Python 负载,并内置一个休眠的 BitTorrent 后备机制。Socket 表示:"已恢复的负载使用下载器提供的 AWS 风格密钥材料来检索远程配置、对 Google Sheets 进行身份验证、将激活绑定到硬件,并遵守远程 HWID/UUID 封禁列表。在三个直接字节码负载中,较大的游戏自动化应用程序还暴露了 Telegram 机器人命令,可以将屏幕截图发送回配置的聊天。"
自至少 2025 年 6 月以来,一个复杂、讲俄语、经济利益驱动的攻击者 UAT-11795 一直针对美国和欧洲用户进行恶意活动。该活动使用针对开发者工具、IT 管理实用程序、企业协作平台和消费级游戏应用程序(如 MobaXterm、WebEx、Zoom、DBeaver 和 FaceIT)的特洛伊木马化安装程序作为诱饵,分发名为 Starland RAT 的基于 Python 的远程访问工具(RAT)以及名为 WLDR agent 的命令与控制(C2)内存植入物。Cisco Talos 表示:"WLDR agent 是一个复杂的基于 PowerShell 的 C2 内存植入物,具有加密信标、任务队列和用于执行其他负载的 Runspace 执行引擎。"另外,UAT-11795 还与部署 CastleStealer 和 Remcos RAT 有关。该恶意软件旨在窃取受害者的凭据和加密钱包资产,收集 Active Directory 信息,并与 C2 服务器建立到受害者机器的持久连接,可能旨在交付和执行进一步负载。大多数感染发生在美国,德国、罗马尼亚和委内瑞拉的潜在影响较少。攻击链利用 ClickFix 诱饵分发 HTA 脚本,然后下载并运行特洛伊木马化的安装程序以交付 Starland RAT,后者随后使用 "curl.exe" 执行 PowerShell stager 以解密和运行 WLDR agent。最近几周,ClickFix 还充当了模块化恶意软件 TELEPUZ 以及针对欧洲、北美和 MEA 用户的 macOS 重点信息和加密钱包窃取程序 ClickLock Stealer 的传递渠道。Group-IB 表示:"ClickLock Stealer 针对来自 8 个浏览器、31 个加密钱包浏览器扩展、7 个密码管理器扩展、8 个桌面钱包应用程序的数据,跨 6 条区块链提取区块链地址、macOS 钥匙串、shell 历史记录和 FTP 凭据。"
2026 年 6 月,南亚一家 IT 服务公司成为此前未被记录的名为 Spirals 的勒索软件家族的受害者。Broadcom 的 Symantec 和 Carbon Black Threat Hunter Team 表示:"这个基于 Rust 的负载要么是一种新的勒索软件威胁,要么是为这次攻击专门构建的。在初次入侵后不到 24 小时,勒索软件负载就被推送到网络上的机器上。"据悉,攻击者通过入侵面向互联网的 IIS Web 服务器并上传 ASP.NET Web shell 来获得初始访问权限。在接下来的三个小时内,他们建立了持久访问、进行了侦察、卸载了端点安全软件、转储了安全账户管理器(SAM)hive,并在使用 PsExec 在整个网络上部署负载之前设置了隐蔽的远程访问。赎金记录通过威胁在六天内发布被盗数据(如果未支付赎金)来施加压力,并指示受害者访问 Tor 门户进行谈判。攻击背后的行为者仍然未知。
美国网络安全和基础设施安全局(CISA)已将 Oracle E-Business Suite 中的不当权限管理漏洞 CVE-2026-46817 以及 KNX Association KNX 协议连接授权选项 1 中过于严格的账户锁定机制漏洞 CVE-2023-4346 添加到其已知被利用漏洞(KEV)目录中,要求联邦机构分别在 2026 年 7 月 18 日和 29 日之前应用修复。关于 CVE-2026-46817 主动利用的报告于上月底出现。目前尚不清楚 KNX 协议漏洞是如何被利用以及被谁利用。

CISA 与国家安全局(NSA)、日本计算机应急响应团队协调中心(JPCERT/CC)、荷兰国家网络安全中心(NCSC-NL)以及英国国家网络安全中心(NCSC-UK)合作,发布了联合指南,"帮助软件制造商和在线服务提供商在一个结构化、透明的框架内与识别软件、网络和硬件弱点的安全研究人员进行有效协作"。该机构表示:"定义良好的协调漏洞披露(CVD)计划使软件制造商和在线服务提供商能够更好地评估潜在风险,改进其漏洞管理流程,并做出明智的决策,以提高客户的产品安全性。"
荷兰当局逮捕了一名拥有以色列和波兰国籍的 46 岁男子,据称他是一个拥有 700 多名员工的国际犯罪组织的幕后人物,这些员工受雇于约 20 个欺诈呼叫中心。这些人冒充金融顾问进行投资欺诈。荷兰警方表示:"通过保持定期联系——有时持续数月——这些骗子与受害者建立了信任关系。初始存款始终是一笔相对较小的金额,会产生即时利润。受害者可以查看其投资的在线平台与真实平台几乎无法区分,但事实上并没有进行任何实际投资。骗子使用友好的方式和狡猾的策略操纵受害者存入越来越大的金额。受害者认为自己在投资的资金——通常是加密货币——最终落入了骗子的口袋。"此次行动还逮捕了四名"金融顾问"。
西班牙国家警察已摧毁一个犯罪网络,该网络被指控通过虚假投资平台、CEO 欺诈、发票欺诈以及中间人攻击在欧洲范围内窃取和洗钱约 1.4 亿欧元。已有四人因该行动被捕:两人在葡萄牙,一人在西班牙,一人在巴拿马。警方表示:"嫌疑人建立并管理了一个由 800 多个银行账户组成的网络,以接收从众多受害者那里骗取的大量资金;这些资金立即被分散并隐藏在另一个账户网络中,创建了交易链,保护犯罪所得,并允许通过第三国的'钱骡'账户隐藏和清洗大量被骗资金。为了创建用于洗钱的复杂账户网络,该组织利用了一个广泛的钱骡网络——从其他国家抵达西班牙的欧洲公民——来设立公司,随后在西班牙境内开立银行账户。"
Bitdefender Labs 展示了三种攻击技术,其中 Windows 的绑定链接(bind links)可被滥用以逃避端点检测和响应(EDR)产品。Bitdefender 的 Martin Zugec 表示:"Windows 包含一个文件系统虚拟化功能,可以将一个本地路径重定向到另一个路径,而无需修改原始文件或留下持久化文件系统痕迹。它由 bindflt.sys(Bind Filter minifilter 驱动程序)实现,并由 Store 应用程序、Windows 沙盒和 Windows 容器合法使用。"这些技术可被作为本地管理员运行的攻击者利用,以绕过 EDR 传感器和内置 Windows 防御,如 AMSI 和 AppLocker。这些技术包括:文件绑定(File-Binding)、进程绑定(Process-Binding)和 Silo 绑定(Silo-Binding),每种分别影子化一个受信文件或 DLL 路径、一个受信可执行文件路径以及一个用户定义的 Windows silo。微软将这些发现的评估为低严重性,因为需要管理员访问权限。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/threatsday-game-cheat-spyware-24-hour.html
作者:info@thehackernews.com (The Hacker News)

