网络安全中的善、恶与丑——第24周
善 | “安全行动"在多国打击中摧毁全球信息窃取器基础设施
本周,一项代号为"安全行动"的国际执法行动对信息窃取器恶意软件基础设施造成了重大打击。该行动由国际刑警组织领导,于2025年1月至4月期间在26个国家展开,导致32名嫌疑人被捕,41台服务器被查封,超过20,000个恶意IP地址和域名被关闭。当局还查获了100 GB的被盗数据,并向超过216,000名相关受害者发出了警报。
行动中最显著的发现之一是在香港的117个命令与控制(C2)服务器网络,这些服务器被用于支持网络钓鱼、社交媒体诈骗和各种数字欺诈活动。在越南,当地警方逮捕了18人,其中包括一名涉嫌出售受感染企业账户访问权限的网络犯罪团伙头目。
信息窃取器恶意软件负责收集敏感数据,如登录凭证、浏览器cookie和加密货币钱包信息。这些被盗数据通常在地下论坛出售,或用于后续针对个人和组织的攻击。
“安全行动"利用了与Lumma、RisePro和MetaStealer家族相关的基础设施情报,并涉及追踪操作者在Telegram和暗网上的存在。这是Lumma Stealer今年第二次重大打击,继上个月由美国领导的行动之后。MetaStealer在2024年执行的"马格努斯行动"中也遭遇了挫折。
“安全行动"展示了跨境合作和公私合作伙伴关系如何成功摧毁网络犯罪基础设施并大规模保护受害者——这是打击信息窃取器威胁的重要一步。
恶 | Fog勒索软件在网络间谍攻击中使用非常规工具
虽然许多勒索软件行为者使用常见漏洞和现成工具追求低悬果实,但一些组织采用非常规技术和工具集来复杂化检测和响应。研究人员最近发现了一个涉及Fog勒索软件组织的案例,该组织混合使用合法的员工监控软件和开源渗透测试工具。
自2024年5月开始活跃以来,Fog最初使用受损的VPN凭证访问受害者网络,随后使用哈希传递技术提升权限、禁用Windows Defender并加密文件。其最新工具集是在亚洲一家金融机构的事件响应中发现的。
其中最不寻常的工具是Syteca,一个合法的员工监控解决方案,记录屏幕活动和击键。Fog行为者通过Stowaway(一个用于通信和私人文件传输的开源代理工具)秘密交付Syteca。在通过Impacket框架的SMBExec执行后,Syteca允许Fog获取凭证和敏感数据。
该组织还使用了GC2,一个利用Google Sheets或Microsoft SharePoint进行C2和数据渗漏的开源后利用后门。这是一个在勒索软件攻击中很少见的工具,但之前与中国相关的威胁组织APT41有关联。Fog武器库中的其他工具包括Adapt2x C2(Cobalt Strike的替代品)、Process Watchdog、PsExec和用于横向移动的Impacket SMB。为了渗漏数据,该组织使用了7-Zip、MegaSync和FreeFileSync。
该工具集中罕见元素的异常混合表明,这是通过非典型方法规避标准防御的故意尝试。这在Fog如何在数据加密后建立持久性方面最为明显——这是勒索软件操作中不常见的策略。这些因素增加了勒索软件作为间谍活动烟幕弹的可能性,使其成为组织应密切监控的双重用途攻击。
丑 | 零点击AI漏洞"EchoLeak"暴露Microsoft 365 Copilot中的敏感数据
被认为是第一个针对AI代理的零点击攻击链,“EchoLeak"是一个安全漏洞,允许从Microsoft 365 Copilot中渗漏数据,无需任何用户操作、交互或意识。这一新发现暴露了Copilot中的一个关键级别缺陷,使攻击者能够在没有用户交互的情况下渗漏敏感组织数据。该漏洞被追踪为CVE-2025-32711,CVSS评分为9.3,已被Microsoft修补,没有活跃利用的迹象。
安全研究人员将EchoLeak归类为AI命令注入问题,由所谓的"大型语言模型(LLM)范围违规"引起。当嵌入在不可信源(如外部来源的markdown电子邮件)中的恶意提示被LLM处理时,会诱骗其访问和泄漏内部信息。
在这个攻击链中,攻击者向员工发送特制电子邮件。当员工后来用常规业务问题与Copilot交互时,系统的检索增强生成(RAG)引擎无意中将攻击者的输入与内部数据混合。结果:Copilot通过Microsoft Teams或SharePoint链接将敏感内容泄漏回攻击者。
EchoLeak特别危险之处在于它不需要用户点击或显式交互。它利用Copilot默认结合Outlook和SharePoint数据而不强制执行信任边界的行为,将本应有助于工作流程自动化的功能转变为潜在的攻击向量。
研究人员指出,EchoLeak可用于隐蔽数据渗漏或勒索,并可能影响单轮和多轮AI交互。该漏洞突显了生成式AI设计中的更广泛风险,其中功能强大的语言模型如果未正确隔离,可能被操纵泄漏其自身的特权上下文。