SonicWall忠告：NetExtender木马病毒窃取VPN痛处

首页 > 安全钻研 > 安全传递 > 安全简讯

SonicWall忠告：NetExtender木马病毒窃取VPN痛处

颁布功夫 2025-06-25

1. SonicWall忠告：NetExtender木马病毒窃取VPN痛处

6月24日，SonicWall近日发出忠告，威胁行为者在分发其NetExtender SSL VPN客户端的木马版本，意图窃取用户VPN痛处。这款假冒软件由SonicWall和Microsoft Threat Intelligence (MSTIC)的钻研人员共同发现，它仿照了合法的NetExtender v10.3.2.27版本，并托管于一个看似真实的糊弄性网站上，以诱骗用户下载。只管该恶意装置法式文件未经SonicWall数字署名，但理由“CITYLIGHT MEDIA PRIVATE LIMITED”署名，故可绕过根基防御。该木马利用法式旨在窃取VPN配置和帐户痛处，并将其泄露给攻击者。SonicWall NetExtender是一个远程接见VPN客户端，专为与SonicWall SSL VPN设备和防火墙共同使用而设计，常被中幼型企业的远程员工、IT治理员和承包商使用。SonicWall和Microsoft发现，恶意糊弄网站分发了该产品的两个批改后的二进造文件，其中NeService.exe的验证逻辑被建补以绕过数字证书查抄，NetExtender.exe文件则被批改以窃取数据。恶意代码会在用户输入VPN配置并点击“衔接”按钮后执行自身验证，并将窃取的信息（蕴含用户名、密码、域名等）通过端口8080发送到远程服务器。SonicWall建议用户仅从官方门户网站下载软件，以预防下载到恶意版本。

https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-trojanized-netextender-stealing-vpn-logins/

2. 黑客入侵当局雇员设备，巴拉圭近700万公民数据遭窃

6月25日，据安全公司新闻，黑客利用信息窃取恶意软件习染巴拉圭当局雇员设备，窃取近700万巴拉圭公民大量数据。上月暗网帖子称，多个当局机构遭入侵后，740万巴拉圭人幼我信息被销售。这些数据由Resecurity钻研人员发现，黑客Brigada Cyber PMC曾以740万美元销售，巴拉圭回绝支付赎金后数据被颁布。Resecurity揣摩，当局IT员工习染恶意软件使威胁行为者得以窃取数据，数据至少来自国度交通和路路安全局及公共卫生和社会福利部两个分歧起源。哈德逊岩公司专家称，受习染员工凭证早在2023年4月就被Redline Infostealer窃取，黑客借此未经授权接见关键系统窃取数据。Redline信息窃取恶意软件曾被宽泛使用，可窃取多种敏感数据。信息窃取者常通过网络垂钓等方式传布，巴拉圭因急剧数字化和地缘政治沉要性成重要指标。Resecurity暗示，泄露信息涉及近700万“全国人丁”信息，数据集或有沉复、已殒命人员纪录及非公民信息，且至少来自两次分歧入侵事务。巴拉圭官员称数据可能在几年前就被盗并再次流传。Resecurity向巴拉圭推算机应急响应幼组传递情况，并揣摩数据廉价可能是表国谍报机构覆盖间谍活动的伎俩，这次事务或具地缘政治动机。

https://therecord.media/data-leak-paraguayan-millions-infostealer

3. Androxgh0st僵尸网络扩大影响领域，攻击学术机构

6月24日，CloudSEK最新调查显示，Androxgh0st僵尸网络正不休演变，其运作方式产生沉大变动，入侵系统能力急剧提升。该僵尸网络于2023岁首初次被发现，如今正利用更宽泛的初始接见步骤，蕴含利用学术机构配置谬误的服务器来入侵系统，加州大学圣地亚哥分校就受到了攻击。美国网络安全和基础设施安全局（CISA）在2024年1月也颁布了有关安全忠告。CloudSEK调查批注，自2024年早期汇报以来，该僵尸网络攻击向量库扩约莫50%，其将号令与节造（C2）纪录器面板托管在加州大学圣地亚哥分校子域名上，利用合法但易受攻击的公共域名来暗藏恶意基础设施，此前还曾将纪录器托管在牙买加的事务聚合平台上。Androxgh0st僵尸网络利用Apache Shiro和Spring Framework等盛行软件框架的已知缝隙，以及WordPress插件和Lantronix物联网设备的问题，能运行未经授权的代码、窃取敏感信息，甚至在受习染系统上进行加密钱币挖矿。

https://hackread.com/androxgh0st-botnet-expand-exploit-us-university-servers/

4. 恶意软件利用恶意WordPress插件窃守信誉卡信息

6月24日，网络安全钻研人员近日发现了一项高度复杂的新恶意软件活动，该活动涉及信誉卡盗刷、凭证偷窃及用户分析等多种恶意行为。据Wordfence威胁谍报团队2025年5月16日披露，此恶意软件被假装成恶意WordPress插件，并选取了新鲜的反检测技术，如托管在受习染网站上的实时后端系统，这种手法在针对WordPress的攻击中前所未见。该活动自2023年9月起便已活跃，Wordfence分析的20多个恶意软件样本显示，所有变体均具备混合、反分析、开发人员工具检测及针对性执行等共同特点。例如，恶意软件会避开治理页面，仅在结帐时激活，并会查抄之前是否习染过以预防沉复攻击统一用户。最新版本甚至参与了自界说HTML覆盖、虚伪支付表格及仿照Cloudflare页面的本地化人为验证挑战，以加强荫蔽性。被盗数据多通过假装成图像URL的Base64编码字符串泄露。此表，钻研人员还发现了另表三种拥有分歧指标的变体，别离用于把持Google Ads投放诓骗性告白、窃取WordPress凭证及通过代替链接传布其他恶意软件。

https://www.infosecurity-magazine.com/news/rogue-wordpress-plugin-skim-credit/

5. Palo Alto Networks称Prometei恶意软件新版宽泛传布

6月24日，Palo Alto Networks颁布汇报指出，Prometei恶意软件的更新版本在宽泛传布，且与僵尸网络有关的活动在从前几个月中显著激增。Prometei作为一个�？榛┦�，最初于2020年7月被发现，其习染指标涵盖Windows和Linux系统，重要用于加密钱币挖掘和凭证泄露。然而，最新版本的Prometei恶意软件职能更为复杂，不仅集成了用于其他恶意活动的后门，还具备自我更新职能，并依赖域天生算法（DGA）进行号令和节造（C&C）服务器衔接。该恶意软件通过多种�？槭迪直┝ζ平庵卫碓泵苈搿⒗梅煜丁⒑嵯蛞贫⑶匀∈芎φ呤荨⒊闪&C通讯以及挖掘加密钱币（出格是门罗币）等职能。2025年2月对近期恶意软件样本的分析显示，Prometei通过创建服务和打算的cron作业实现了悠久性，不足硬编码的挖掘池，并可能处置来自操作员的其他号令。Palo Alto Networks在2025年3月发现了该威胁的最新版本，该版本使用Ultimate Packer for eXecutables（UPX）进行打包，使得恶意软件体积更幼，且在运行时能在内存中解压缩自身并执行最终的有效载荷，以便僵尸网络起头运行。该恶意软件还宽泛网络系统信息，并通过HTTP GET要求将这些数据发送到C&C服务器。

https://www.securityweek.com/prometei-botnet-activity-spikes/

6. 美国多议院因安全问题不容员工使用WhatsApp

6月24日，美国多议院近日颁发，不容在国会工作人员确当局发放设备上装置和使用WhatsApp，此举重要源于对该利用法式加密和�；な莘绞降挠怯�。禁令领域宽泛，不仅覆盖手机，还蕴含笔记本电脑、台式电脑以及这些设备上使用的任何网络浏览器。只管国会工作人员在幼我设备上仍可自由使用WhatsApp，但在机密简报会或安全设施等敏感领域，该利用的使用早已受到限度。这一禁令新闻最初由Axios凭据多议院首席行政官（CAO）发给国会工作人员的一封泄露内部电子邮件报路，邮件中将WhatsApp归类为“高风险”通讯平台。只管美国当局尚未颁发官方申明，但首席行政官Catherine Szpindor已通过向The Verge颁发的申明证实了初步报路。她强调，�；ざ嘁樵杭捌涫菔鞘滓ぷ�，因而必要定期审查和更新已核准的利用法式列表，以应对潜在的网络安全风险。WhatsApp方面对此暗示强烈否决，称其新闻默认选取端到端加密，安全级别高于CAO核准列表中的大无数利用法式。然而，WhatsApp最近颁发在“更新”选项卡中引入告白和促销内容，这一变动引发了人们对数据隐衷的忧郁。

https://www.bleepingcomputer.com/news/security/us-house-bans-whatsapp-on-staff-devices-over-security-concerns/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研