新.NET多阶段加载器攻击Windows系统以部署恶意负载 一种复杂的.NET多阶段恶意软件加载器自2022年初起活跃于Windows系统，采用三阶段部署机制分发信息窃取器和远程访问木马等危险负载。该加载器通过加密组件和位图资源隐藏恶意代码，并不断进化以规避检测。研究人员通过代码复用分析追踪到约2万份样本，揭示其稳定第三阶段代码结构及其对常见恶意软件的传播作用。... 2025-5-15 17:5:39 | 阅读: 1 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com mainform loader stage loops stages

利用浏览器漏洞绕过Windows Defender应用程序控制 研究人员发现一种利用Electron应用中V8引擎漏洞绕过Windows Defender Application Control的方法。该技术通过参数走私和JIT优化，在严格的安全策略下执行恶意代码，对依赖WDAC的组织构成威胁。... 2025-5-15 16:14:25 | 阅读: 1 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com wdac bypass payload security

美国官员调查太阳能逆变器中的非法通信设备 美国发现中国生产的太阳能逆变器中嵌入了未披露的通信设备，可能被用于绕过安全措施并威胁关键基础设施。专家认为这是故意行为，可能导致外国干预电网。美国正加速减少对中国制造组件的依赖。... 2025-5-15 15:28:31 | 阅读: 4 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com security inverters grids remote

TransferLoader 恶意软件使攻击者能够在受感染系统上执行任意命令 一种名为TransferLoader的新型恶意软件加载器被发现，能够执行任意命令并传播Morphues勒索软件。该恶意软件采用模块化设计和去中心化基础设施以规避安全措施，并通过IPFS作为备用C2通道增强持久性。其反分析技术包括代码注入、动态API解析和多层加密。最近针对一家美国律师事务所的攻击凸显了其威胁性。建议监控IPFS流量并加强API策略以应对威胁。... 2025-5-15 14:38:5 | 阅读: 2 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com zscaler c2 decrypted ipfs

新型DarkCloud Stealer利用AutoIt规避检测并窃取登录凭证 DarkCloud Stealer v4利用AutoIt脚本语言窃取敏感信息，针对亚洲和欧洲的金融机构、医疗组织和电商平台发起攻击。其通过混淆技术和进程注入绕过传统安全检测手段，已导致超过12万账户泄露。... 2025-5-15 14:15:51 | 阅读: 1 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com autoit darkcloud palo alto security

BitLocker加密被Bitpixie漏洞几分钟内绕过 微软BitLocker存在严重漏洞Bitpixie（CVE-2023-21563），允许攻击者在五分钟内通过软件攻击绕过全盘加密。该漏洞源于Windows引导加载程序处理PXE软重启时未清除VMK，导致其留在内存中被提取。攻击者可利用两种方法（Linux和Windows PE）获取VMK并解密磁盘。建议启用预启动认证以防止此类攻击。... 2025-5-15 06:30:26 | 阅读: 17 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com bitpixie windows vmk bitlocker

新的武器化PyPI包攻击开发人员以窃取源代码 A malicious Python package, solana-token, was discovered on PyPI,伪装成Solana区块链项目的工具,窃取开发者的源代码和敏感信息。该包被下载600多次后被移除,研究人员指出其利用社会工程学手段,通过扫描系统中的Python文件并发送数据到远程服务器,对开发者和加密货币项目构成威胁。... 2025-5-15 06:16:8 | 阅读: 15 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com solana python developers pypi

恶意软件中最常用的5个WMIC命令 文章探讨了恶意软件利用Windows内置工具WMIC进行攻击的多种方式，包括系统信息收集、绕过杀毒软件、删除备份和终止进程等。通过分析实际案例和ANY.RUN沙盒工具的实时检测功能，揭示了WMIC在恶意活动中的隐蔽性和威胁性，并强调了及时监控的重要性。... 2025-5-14 16:32:9 | 阅读: 8 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com attackers windows defender analysis software

Windows 远程桌面网关漏洞导致拒绝服务攻击 微软发布安全更新修复Windows远程桌面网关服务中的两个关键漏洞：CVE-2025-26677可能导致拒绝服务攻击，CVE-2025-29831可能被用于远程代码执行。多个Windows Server版本受影响，建议立即应用补丁以减少风险。... 2025-5-14 12:48:37 | 阅读: 17 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com remote security microsoft windows network

Google 威胁情报推出针对恶意 .desktop 文件的可执行策略 Google Threat Intelligence发布博客系列，介绍如何检测Linux系统中滥用.desktop文件的恶意行为。这些文件通过嵌入大量垃圾代码隐藏真实目的，并利用Google Drive托管诱饵PDF分阶段下载恶意软件。文章还提供了基于行为和内容分析的威胁狩猎策略。... 2025-5-14 09:12:17 | 阅读: 4 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com malicious xfce processes xdg exo

微软警告AD CS漏洞可让攻击者在网络中实施拒绝服务攻击 微软警告Active Directory Certificate Services存在输入验证漏洞（CVE-2025-29968），可能导致拒绝服务攻击。该漏洞影响多个Windows Server版本，CVSS评分为6.5/5.7。攻击者利用此漏洞可使AD CS服务不可用，需低权限无需用户交互。微软已发布补丁修复问题。... 2025-5-14 08:38:7 | 阅读: 13 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com windows security microsoft exploited improper

超过82,000个WordPress网站暴露在远程代码执行攻击风险中 TheGem WordPress主题发现两个严重漏洞（CVE-2025-4317和CVE-2025-4339），允许低权限用户上传恶意文件并修改主题设置，可能导致远程代码执行和网站被完全控制。开发团队已修复并发布新版本（5.10.3.1），建议用户立即更新并加强安全措施。... 2025-5-14 07:40:23 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com thegem malicious attackers security

Microsoft 脚本引擎零日漏洞允许远程代码执行 微软Scripting Engine存在内存破坏漏洞（CVE-2025-30397），允许攻击者通过恶意URL远程执行代码。该漏洞由类型混淆引起，在Microsoft Edge的Internet Explorer Mode下可被利用。微软已发布补丁修复，并建议禁用IE模式以降低风险。... 2025-5-13 18:36:31 | 阅读: 19 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com microsoft 30397 windows security

天鹅矢量APT黑客利用恶意LNK和DLL植入攻击组织 “Swan Vector” 是针对东亚地区（尤其是台湾和日本）的网络间谍活动，利用恶意LNK文件和DLL植入物进行多阶段攻击。攻击伪装成业务文档或简历，通过四阶段感染链最终实现系统控制，并采用高级反分析技术隐藏行为。研究人员推测该活动可能与已知APT组织有关联。... 2025-5-13 15:0:2 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com malicious stage seqrite analysis disguised

黑客利用KeePass密码管理器传播恶意软件并窃取密码 sophisticated cyberattack targets KeePass password manager via tampered download links and malicious software, stealing sensitive credentials and compromising user trust in security tools.... 2025-5-13 14:0:41 | 阅读: 14 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com keepass malicious security withsecure

华硕一键漏洞让攻击者远程执行恶意代码 ASUS DriverHub存在严重漏洞（CVE-2025-3462/3463），CVSS评分分别为8.4和9.4。攻击者可利用恶意网站通过单击执行任意代码并获取管理员权限。该工具默认安装于部分华硕主板，在背景运行并监听53000端口以更新驱动程序。漏洞源于不当来源验证，已修复并建议用户立即更新或禁用该工具以防止系统被完全控制。... 2025-5-13 12:56:43 | 阅读: 5 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com driverhub asus malicious asussetup security

朝鲜黑客利用学术论坛邀请和Dropbox传递恶意软件 2025年3月，朝鲜支持的APT37组织通过伪造学术论坛邀请邮件对关注朝鲜事务的活动人士发起鱼叉式网络钓鱼攻击。邮件包含Dropbox链接，下载后执行无文件恶意软件，利用云服务作为C2基础设施。该活动被命名为“Operation: ToyBox Story”，恶意软件窃取数据并保持系统访问。... 2025-5-13 11:53:54 | 阅读: 1 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com korean security genians dropbox north

供应链漏洞反复出现使UEFI固件面临预启动威胁 固件供应链安全问题频发，导致数百万设备面临预操作系统威胁。关键安全事件涉及加密密钥泄露和证书管理失误，使攻击者可绕过UEFI Secure Boot等保护机制。这些问题系统性存在，影响严重且持续存在。... 2025-5-13 09:21:0 | 阅读: 9 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com firmware binarly security pkfail ami

氮气勒索软件利用反rootkit驱动文件禁用AV和EDR工具 Nitrogen 勒索软件针对金融、建筑等行业的组织发起攻击，通过恶意广告重定向至钓鱼网站传播。其利用合法驱动绕过安全系统，并加密文件附加“.NBA”扩展名。受害者包括SRP联邦信用社，影响19.5万客户。该勒索软件采用双重勒索策略，并与LukaLocker有相似特征。... 2025-5-12 17:4:18 | 阅读: 11 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com security ransomware nitrogen encryption attackers

勒玛窃密者演进：新 PowerShell 工具与高级技术 Lumma Stealer是一种自2022年中期活跃的信息窃取恶意软件，近期其战术和交付方式显著升级。该恶意软件通过假冒CAPTCHA挑战和社会工程学手段诱导用户执行恶意命令，并利用PowerShell隐藏执行复杂攻击流程。Sophos研究人员发现其在2024-25年冬季频繁活动，并强调其技术对防御者构成重大挑战。该恶意软件主要窃取用户密码、会话令牌、加密钱包和个人信息，并采用AES加密和复杂混淆技术规避检测。专家建议加强端点保护和用户教育以应对威胁。... 2025-5-12 15:27:30 | 阅读: 7 | 收藏 | 玄武实验室每日安全 - cybersecuritynews.com lumma stealer sophos security captcha