关键词
网络钓鱼
一场精心策划的网络钓鱼攻击正在瞄准求职者,黑客通过伪造 Google 招聘机会,利用社交工程技巧窃取 Gmail 登录凭据和个人信息。
这一恶意操作利用了 Google 品牌的信任,伪造了令人信服的招聘邮件,诱导受害者进入虚假的登录页面,从而捕获其身份验证信息。
该攻击的主要手段是通过邮件社交工程,黑客伪装成 Google 人力资源代表,提供高薪职位机会。
这些欺诈邮件包含精心编写的职位描述和申请流程,看起来非常合法,带有官方的品牌标识和专业的沟通风格,仿佛是 Google 正式的招聘信函。
网络安全研究员 g0njxa 在调查针对大型科技公司的凭证盗窃活动时发现了这一钓鱼攻击。
证书滥用与规避技术
这次恶意软件攻击展示了通过滥用扩展验证(EV)证书来实现高度规避的能力。
攻击者已获得合法的 Apple Developer ID 证书,使用如“THOMAS BOULAY DUVAL”和“Alina Balaban”这样的名字,使其恶意应用能够绕过初步的安全审查机制。
这些签名的 DMG 文件在 VirusTotal 上完全未被检测到,成功实现了对安全厂商的完全规避。
分析恶意启动程序时,发现攻击者故意将签名者的名字嵌入标识符字符串中,采用类似“thomas.parfums”的模式,对应于“Thomas Boulay Duval”。
Mach-O 二进制文件包含连接到远程 AppleScript 载荷的嵌入式引用,利用 Odyssey Stealer 框架进行凭证收集操作。
恶意基础设施
该攻击活动的基础设施包括被攻陷的域名,如 franceparfumes[.]org,用于托管恶意脚本,命令和控制服务器位于 IP 地址 185.93.89.62。
这些证书对网络犯罪分子而言具有重要财务意义,因为 Apple 的开发者认证过程涉及大量的时间和资金成本,一旦被撤销,将对持续的恶意操作产生重大影响。
关键词
安全漏洞
美国网络安全和基础设施安全局(CISA)本周一将一个影响 Linux 和类 Unix 系统的关键 Sudo 漏洞加入其“已知被利用漏洞(KEV)”目录,理由是已发现该漏洞正在被实际攻击利用。
这一漏洞编号为 CVE-2025-32463(CVSS 评分 9.3),影响 1.9.17p1 之前版本的 Sudo。漏洞由 Stratascale 研究员 Rich Mirch 于 2025年7月公开。
CISA 表示:“Sudo 存在功能从不可信控制域引入的漏洞,本地攻击者可以利用 -R (–chroot) 选项以 root 身份执行任意命令,即便其不在 sudoers 文件中。”
目前尚不清楚该漏洞在现实攻击中的具体利用方式及背后攻击者身份。
除了该漏洞,CISA 还将以下四个已被利用的漏洞列入 KEV:
-
CVE-2021-21311:Adminer 存在 SSRF 漏洞,被 UNC2903 利用针对 AWS IMDS。
-
CVE-2025-20352:Cisco IOS/IOS XE SNMP 子系统栈溢出,可导致 DoS 或远程代码执行。
-
CVE-2025-10035:Fortra GoAnywhere MFT 存在反序列化漏洞,可导致命令注入。
-
CVE-2025-59689:Libraesva 邮件安全网关(ESG)命令注入漏洞,可通过压缩附件触发。
文章来源 :安全圈
暂无评论内容