SonicWall忠言：NetExtender木马病毒窃取VPN凭证

首页 > 清静研究 > 清静转达 > 清静简讯

SonicWall忠言：NetExtender木马病毒窃取VPN凭证

宣布时间 2025-06-25

1. SonicWall忠言：NetExtender木马病毒窃取VPN凭证

6月24日，，，，SonicWall克日发出忠言，，，，威胁行为者正在分发其NetExtender SSL VPN客户端的木马版本，，，，意图窃取用户VPN凭证。。。。。。这款冒充软件由SonicWall和Microsoft Threat Intelligence (MSTIC)的研究职员配合发明，，，，它模拟了正当的NetExtender v10.3.2.27版本，，，，并托管于一个看似真实的诱骗性网站上，，，，以诱骗用户下载。。。。。。只管该恶意装置程序文件未经SonicWall数字署名，，，，但因由“CITYLIGHT MEDIA PRIVATE LIMITED”署名，，，，故可绕过基本防御。。。。。。该木马应用程序旨在窃取VPN设置和帐户凭证，，，，并将其泄露给攻击者。。。。。。SonicWall NetExtender是一个远程会见VPN客户端，，，，专为与SonicWall SSL VPN装备和防火墙配合使用而设计，，，，常被中小型企业的远程员工、IT治理员和承包商使用。。。。。。SonicWall和Microsoft发明，，，，恶意诱骗网站分发了该产品的两个修改后的二进制文件，，，，其中NeService.exe的验证逻辑被修补以绕过数字证书检查，，，，NetExtender.exe文件则被修改以窃取数据。。。。。。恶意代码会在用户输入VPN设置并点击“毗连”按钮后执行自身验证，，，，并将窃取的信息（包括用户名、密码、域名等）通过端口8080发送到远程效劳器。。。。。。SonicWall建议用户仅从官方门户网站下载软件，，，，以阻止下载到恶意版本。。。。。。

https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-trojanized-netextender-stealing-vpn-logins/

2. 黑客入侵政府雇员装备，，，，巴拉圭近700万公民数据遭窃

6月25日，，，，据清静公司新闻，，，，黑客使用信息窃取恶意软件熏染巴拉圭政府雇员装备，，，，窃取近700万巴拉圭公民大宗数据。。。。。。上月暗网帖子称，，，，多个政府机构遭入侵后，，，，740万巴拉圭人小我私家信息被出售。。。。。。这些数据由Resecurity研究职员发明，，，，黑客Brigada Cyber PMC曾以740万美元出售，，，，巴拉圭拒绝支付赎金后数据被宣布。。。。。。Resecurity推测，，，，政府IT员工熏染恶意软件使威胁行为者得以窃取数据，，，，数据至少来自国家交通和蹊径清静局及公共卫生和社会福利部两个差别泉源。。。。。。哈德逊岩公司专家称，，，，受熏染员工凭证早在2023年4月就被Redline Infostealer窃取，，，，黑客借此未经授权会见要害系统窃取数据。。。。。。Redline信息窃取恶意软件曾被普遍使用，，，，可窃取多种敏感数据。。。。。。信息窃取者常通过网络垂纶等方法撒播，，，，巴拉圭因快速数字化和地缘政治主要性成主要目的。。。。。。Resecurity体现，，，，泄露信息涉及近700万“天下生齿”信息，，，，数据集或有重复、已殒命职员纪录及非公民信息，，，，且至少来自两次差别入侵事务。。。。。。巴拉圭官员称数据可能在几年前就被盗并再次撒播。。。。。。Resecurity向巴拉圭盘算机应急响应小组转达情形，，，，并推测数据低价可能是外国情报机构掩饰特工活动的手段，，，，此次事务或具地缘政治念头。。。。。。

https://therecord.media/data-leak-paraguayan-millions-infostealer

3. Androxgh0st僵尸网络扩大影响规模，，，，攻击学术机构

6月24日，，，，CloudSEK最新视察显示，，，，Androxgh0st僵尸网络正一直演变，，，，其运作方法爆发重大转变，，，，入侵系统能力急剧提升。。。。。。该僵尸网络于2023年头首次被发明，，，，现在正使用更普遍的初始会见要领，，，，包括使用学术机构设置过失的效劳器来入侵系统，，，，加州大学圣地亚哥分校就受到了攻击。。。。。。美国网络清静和基础设施清静局（CISA）在2024年1月也宣布了相关清静忠言。。。。。。CloudSEK视察批注，，，，自2024年早期报告以来，，，，该僵尸网络攻击向量库扩约莫50%，，，，其将下令与控制（C2）纪录器面板托管在加州大学圣地亚哥分校子域名上，，，，使用正当但易受攻击的公共域名来隐藏恶意基础设施，，，，此前还曾将纪录器托管在牙买加的事务聚合平台上。。。。。。Androxgh0st僵尸网络使用Apache Shiro和Spring Framework等盛行软件框架的已知误差，，，，以及WordPress插件和Lantronix物联网装备的问题，，，，能运行未经授权的代码、窃取敏感信息，，，，甚至在受熏染系统上举行加密钱币挖矿。。。。。。

https://hackread.com/androxgh0st-botnet-expand-exploit-us-university-servers/

4. 恶意软件使用恶意WordPress插件窃守信用卡信息

6月24日，，，，网络清静研究职员克日发明了一项高度重大的新恶意软件活动，，，，该活动涉及信用卡盗刷、凭证偷窃及用户剖析等多种恶意行为。。。。。。据Wordfence威胁情报团队2025年5月16日披露，，，，此恶意软件被伪装成恶意WordPress插件，，，，并接纳了新颖的反检测手艺，，，，如托管在受熏染网站上的实时后端系统，，，，这种手法在针对WordPress的攻击中前所未见。。。。。。该活动自2023年9月起便已活跃，，，，Wordfence剖析的20多个恶意软件样本显示，，，，所有变体均具备混淆、反剖析、开发职员工具检测及针对性执行等配合特征。。。。。。例如，，，，恶意软件会避开治理页面，，，，仅在结帐时激活，，，，并会检查之前是否熏染过以阻止重复攻击统一用户。。。。。。最新版本甚至加入了自界说HTML笼罩、虚伪支付表格及模拟Cloudflare页面的外地化人工验证挑战，，，，以增强隐藏性。。。。。。被盗数据多通过伪装成图像URL的Base64编码字符串泄露。。。。。。别的，，，，研究职员还发明了另外三种具有差别目的的变体，，，，划分用于使用Google Ads投放诓骗性广告、窃取WordPress凭证及通过替换链接撒播其他恶意软件。。。。。。

https://www.infosecurity-magazine.com/news/rogue-wordpress-plugin-skim-credit/

5. Palo Alto Networks称Prometei恶意软件新版普遍撒播

6月24日，，，，Palo Alto Networks宣布报告指出，，，，Prometei恶意软件的更新版本正在普遍撒播，，，，且与僵尸网络相关的活动在已往几个月中显著激增。。。。。。Prometei作为一个�？？？？榛┦�，，，，最初于2020年7月被发明，，，，其熏染目的涵盖Windows和Linux系统，，，，主要用于加密钱币挖掘和凭证泄露。。。。。。然而，，，，最新版本的Prometei恶意软件功效更为重大，，，，不但集成了用于其他恶意活动的后门，，，，还具备自我更新功效，，，，并依赖域天生算法（DGA）举行下令和控制（C&C）效劳器毗连。。。。。。该恶意软件通过多种�？？？？槭迪直┝ζ平庵卫碓泵苈搿⑹褂梦蟛睢⒑嵯蛞贫⑶匀∈芎φ呤荨⒔ㄉ鐲&C通讯以及挖掘加密钱币（特殊是门罗币）等功效。。。。。。2025年2月对近期恶意软件样本的剖析显示，，，，Prometei通过建设效劳和妄想的cron作业实现了长期性，，，，缺乏硬编码的挖掘池，，，，并能够处置惩罚来自操作员的其他下令。。。。。。Palo Alto Networks在2025年3月发明了该威胁的最新版本，，，，该版本使用Ultimate Packer for eXecutables（UPX）举行打包，，，，使得恶意软件体积更小，，，，且在运行时能在内存中解压缩自身并执行最终的有用载荷，，，，以便僵尸网络最先运行。。。。。。该恶意软件还普遍网络系统信息，，，，并通过HTTP GET请求将这些数据发送到C&C效劳器。。。。。。

https://www.securityweek.com/prometei-botnet-activity-spikes/

6. 美国众议院因清静问题榨取员工使用WhatsApp

6月24日，，，，美国众议院克日宣布，，，，榨取在国会事情职员的政府发放装备上装置和使用WhatsApp，，，，此举主要源于对该应用程序加密和�；；；；；な莘椒ǖ牡Ｐ�。。。。。。禁令规模普遍，，，，不但笼罩手机，，，，还包括条记本电脑、台式电脑以及这些装备上使用的任何网络浏览器。。。。。。只管国会事情职员在小我私家装备上仍可自由使用WhatsApp，，，，但在神秘简报会或清静设施等敏感领域，，，，该应用的使用早已受到限制。。。。。。这一禁令新闻最初由Axios凭证众议院首席行政官（CAO）发给国会事情职员的一封泄露内部电子邮件报道，，，，邮件中将WhatsApp归类为“高危害”通讯平台。。。。。。只管美国政府尚未揭晓官方声明，，，，但首席行政官Catherine Szpindor已通过向The Verge揭晓的声明证实了起源报道。。。。。。她强调，，，，�；；；；；ぶ谝樵杭捌涫菔侵饕姑�，，，，因此需要按期审查和更新已批准的应用程序列表，，，，以应对潜在的网络清静危害。。。。。。WhatsApp方面临此体现强烈阻挡，，，，称其新闻默认接纳端到端加密，，，，清静级别高于CAO批准列表中的大大都应用程序。。。。。。然而，，，，WhatsApp最近宣布在“更新”选项卡中引入广告和促销内容，，，，这一转变引发了人们对数据隐私的担心。。。。。。

https://www.bleepingcomputer.com/news/security/us-house-bans-whatsapp-on-staff-devices-over-security-concerns/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究