Matanbuchus 3.0恶意软件加载器升级

首页 > 清静研究 > 清静转达 > 清静简讯

Matanbuchus 3.0恶意软件加载器升级

宣布时间 2025-07-17

1. Matanbuchus 3.0恶意软件加载器升级

7月16日，网络清静领域近期聚焦于Matanbuchus恶意软件加载器新变种（3.0版）的涌现。作为一款自2021年起在俄语网络犯法论坛以“恶意软件即服务”（MaaS）模式运营的攻击工具，其初始版本以2500美元月租价被用于撒播Cobalt Strike信标和勒索软件，曾通过“ClickFix”式诱导攻击实验渗透。而最新3.0版本在手艺层面实现重大升级，隐藏性与攻击效率显著提升，引刊行业高度小心。新版Matanbuchus的焦点威胁在于其撒播战略与功效强化。差别于古板依赖垃圾邮件或误差使用的扩散方法，该加载器更依赖“直接交互式社会工程学”手段，攻击者通过伪装身份诱骗用户执行远程协助工具，进而安排PowerShell剧本触发恶意载荷下载。这种“精准定位+人工诱导”的模式，使其成为初始会见经纪人（IAB）向勒索团伙出售企业网络入口的高效工具，威胁性远超通俗商业化加载器。手艺层面，Matanbuchus 3.0的升级聚焦于三大偏向：通讯协议优化、内存操作强化、混淆手艺升级。其功效扩展包括支持CMD/PowerShell反向Shell、可运行DLL/EXE/Shellcode等多类型后续载荷，并具备通过COM组件交互注入Shellcode实现重大使命调理的能力。

https://thehackernews.com/2025/07/hackers-leverage-microsoft-teams-to.html

2. 英国Co-op零售商遭网络攻击，650万会员数据泄露

7月16日，英国着名零售商相助社集团（Co-op）克日证实，今年4月遭遇的大规模网络攻击导致其系统瘫痪、杂货店食物欠缺，并造成650万会员的小我私家数据被盗。攻击爆发于4月22日，威胁行为者通过社会工程手段重置一名员工密码，乐成侵入Co-op网络。随后，攻击者迅速横向渗透至其他装备，并窃取了Windows Active Directory服务的焦点数据库文件NTDS.dit。该文件包括用户密码哈希值，攻击者可通过离线破解进一步扩大网络会见权限。最终，攻击者试图安排DragonForce勒索软件加密器，导致Co-op被迫关闭多个IT系统以阻止威胁扩散。只管财务及生意信息未被泄露，但会员的联系信息等敏感数据遭窃，首席执行官Shirine Khoury-Haq在采访中体现，此次事务“犹如人身攻击”，她对会员和员工受到的危险深感愧疚。视察显示，此次攻击与名为“Scattered Spider”的黑客组织有关。攻击爆发后，DragonForce勒索软件运营商声称对Co-op事务认真，并向BBC提供了被盗数据样本。

https://www.bleepingcomputer.com/news/security/co-op-confirms-data-of-65-million-members-stolen-in-cyberattack/

3. BADBOX 2.0已预装在全球百万Android装备上

7月16日，美国联邦视察局（FBI）克日将一款名为BADBOX 2.0的安卓恶意软件列为全球性网络威胁。据清静团队剖析，该恶意软件已入侵222个国家和地区的超100万台装备，其焦点在于通过预装固件的方法，将低本钱安卓装备转化为僵尸网络节点，甚至在用户购置装备前便已潜在其中。BADBOX 2.0的危险性源于其奇异的撒播模式：差别于古板恶意软件通过恶意下载或虚伪应用撒播，它直接嵌入装备固件，在制造阶段即被预装。这意味着用户拆封新装备、首次启动时便已袒露在威胁中。研究显示，受熏染装备多来自未经严酷清静审查的供应链，尤其是一些无品牌或超低价产品，部分甚至通过亚马逊等主流平台销售。一旦激活，恶意软件会通过原生后门库libanl.so（深嵌固件）在后台静默运行，纵然恢复出厂设置仍无法扫除。该恶意软件的焦点功效是将装备变为“住宅署理网络”节点，出售给犯法集团用于隐藏点击诓骗、凭证填充等网络攻击的踪迹。其组件包括触发恶意模块的libanl.so、认真长期化的Java模块p.jar和q.jar，以及系统级应用com.hs.app，通过加密通讯与C2域名交互。受害者可能察觉装备异常：闲置时CPU占用率高、发热严重、性能下降或网络流量异常，但往往难以追溯源头。

https://hackread.com/badbox-2-0-preinstalled-android-iot-devices-worldwide/

4. 欧洲刑警组织捣毁亲俄的NoName057(16) DDoS黑客组织

7月16日，一场代号为“伊斯特伍品行动”的国际执法行动针对亲俄黑客组织NoName057(16)睁开精准攻击。该行动由欧洲刑警组织和欧洲司法组织牵头，团结12个国家的执法实力，目的直指这个自2022年乌克兰战争爆发后活跃的亲俄黑客整体。NoName057(16)以Telegram频道和“DDoSia”众包项目为工具，通过自愿者盘算机提倡漫衍式拒绝服务（DDoS）攻击，恒久针对欧洲、以色列和乌克兰的支持乌克兰机构，包括北约站点、政府机构、银行、能源供应商及媒体组织。据欧洲刑警组织披露，该组织的攻击运动曾扰乱德国、波兰、立陶宛等国的要害服务。此次行动中，执法机构在7国睁开搜查，摧毁或下线100余台服务器，拘捕2人，并发出7份欧洲拘捕令，目的直指隐藏于俄罗斯的焦点成员。别的，政府向1100名加入者及17名治理员发送Telegram忠言，明确其执法责任。只管行动对NoName057(16)造成重大攻击，但因其焦点成员位于俄罗斯，基础设施可能快速重修。

https://www.bleepingcomputer.com/news/security/europol-disrupts-pro-russian-noname05716-ddos-hacktivist-group/

5. UNC6148使用Overstep恶意软件攻击过时SonicWall装备

7月16日，谷歌威胁情报小组（GTIG）克日忠言，一个被追踪为UNC6148的威胁行为者正针对已竣事支持但仍在使用中的SonicWall Secure Mobile Access（SMA）100系列装备提倡新型攻击。该组织自2024年10月起活跃，通过安排未知恶意软件OVERSTEP，实现数据窃取、凭证盗用及潜在勒索软件安排，其运动可能关联World Leaks数据泄露平台。攻击目的为已完全修补但寿命终止（EoL）的SMA装备，这类装备因缺乏厂商清静更新，成为误差使用的温床。UNC6148通过多个已知误差（如CVE-2025-32819、CVE-2024-38475等）窃取外地治理员凭证，随后使用SSL-VPN会话建设反向Shell，只管SonicWall装备设计上榨取Shell会见，但攻击者可能使用未知零日误差实现突破。一旦获得权限，威胁行为者手动扫除系统日志以掩饰踪迹，并安排OVERSTEP恶意软件。OVERSTEP作为用户模式Rootkit，通过修改装备启动流程实现长期化，具备隐藏窃取凭证、会话令牌及一次性密码（OTP）种子的能力。只管未明确确认经济念头，但受害装备数据被宣布至World Leaks网站，体现潜在勒索意图。

https://www.securityweek.com/sonicwall-sma-appliances-targeted-with-new-overstep-malware/

6. Century Support Services遭数据泄露，16万人敏感信息被窃

7月15日，宾夕法尼亚州债务清偿公司Next Level Finance Partners（以Century Support Services名义运营）克日披露一起重大数据泄露事务，影响逾16万名用户。该公司于2024年11月检测到系统遭黑客入侵，经5月下旬完成的视察确认，攻击者可能会见或窃取了存储用户小我私家信息的文件。此次事务成为又一起涉及高敏感数据泄露的清静事故。泄露信息涵盖多个要害领域，包括用户姓名、社会清静号码、出生日期、驾照/州身份证/护照号码等身份标识，以及医疗康健包管信息、金融账户数据及数字署名。这些信息若被滥用，可能导致身份盗用、金融诈骗或医疗信息泄露等严重危害。凭证Century Support Services向缅因州总审查长办公室提交的报告，其累计服务客户近30万，此次泄露规模占其客户群的半数以上。事务曝光后，该公司宣布为受影响用户提供12个月的免费身份盗用�；ぜ靶庞眉嗫胤瘢曰航馇痹谖：�。阻止现在，尚未有任何已知勒索软件组织宣称对此次攻击认真，攻击念头仍不明确。

https://www.securityweek.com/data-breach-at-debt-settlement-firm-impacts-160000-people/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究