本文深入探讨了近期网络安全领域的重大进展与挑战，涵盖EDR绕过、新型恶意软件、勒索软件攻击、AI安全应用等多个方面。文章揭示了攻击技术的最新动向，如利用自带安装程序绕过EDR、复杂恶意软件加载器MintsLoader的出现，以及新型勒索软件FOG的攻击手段。同时，文章也关注了防御技术的创新，例如Google的Unified Security平台、OpenSSL的量子安全升级、Snyk的AI驱动应用安全测试工具等，旨在帮助读者把握安全技术变革的脉搏。

🛡️新型攻击手段层出不穷：攻击者利用“自带安装程序”绕过EDR，部署勒索软件；Chimera恶意软件具备自我学习能力，难以被传统检测方式发现；LUMMAC.V2恶意软件通过伪装链接窃取用户敏感信息；RustoBot恶意软件利用路由器漏洞发动大规模UDP泛洪攻击；FOG勒索软件伪装成政府机构，进行钓鱼攻击；MintsLoader结合钓鱼邮件和ClickFix技术进行攻击；Phorpiex僵尸网络自动部署LockBit勒索软件；Vidar Stealer利用欺骗技术窃取浏览器Cookie和存储凭证。

💡AI在安全领域的应用：纽约大学推出Orion创新框架，使AI模型可直接处理加密数据，保护用户隐私；Google推出结合Agentic AI技术的Unified Security平台，实现更智能的主动式安全防护；Snyk发布新版白盒测试工具，为AI驱动的应用开发提供安全保障。

🔑新兴技术重塑身份安全：生物识别认证、行为生物识别、区块链密码存储、零知识证明技术、密码短语、通行密钥和安全密钥等七种新兴技术，有望取代传统密码验证，提升身份安全水平。

🚀安全技术持续创新：OpenSSL 3.5.0版本引入后量子密码学支持，迈向量子安全时代；Cloudflare推出Workers VPC和Workers VPC Private Link，简化混合云应用构建安全连接的难题。

2025-05-07 17:38 北京

洞穿攻击迷雾，把握防御先机，探索安全技术变革之路！

动态速览

•自带安装程序，一种新型EDR绕过技术成勒索攻击跳板

•新型 “Chimera” 恶意软件来袭，可突破多层安全防线

•LUMMAC恶意软件V2版变种出现，攻击能力显著增强

•新型RustoBot恶意软件利用路由器漏洞发动大规模UDP 泛洪攻击

•新型FOG 勒索软件借 “DOGE” 之名疯狂作案，超百家企业受害

•“ClickFix” 助力恶意攻击，一种复杂新型恶意软件加载器肆虐

•检测难度更大！新型勒索软件攻击借助僵尸网络部署LockBit软件

•Vidar窃密软件升级，利用新型欺骗技术窃取浏览器Cookie和存储凭证

•纽约大学推出Orion创新框架，AI模型可直接处理加密数据

•新一代Google Unified Security 平台发布，强调更深入利用“agentic AI”

•OpenSSL 3.5.0版本发布，向量子安全落地迈出重要一步

•Snyk 发布新版白盒测试工具，可为AI驱动的应用开发提供安全保障

•Cloudflare 推出多项新功能，简化混合云应用构建安全连接的难题

•取代传统密码验证，七种新兴技术或将重塑身份安全模式

 

攻击技术态势观察

自带安装程序！一种新型 EDR 绕过技术可成勒索攻击跳板

近日，Aon公司的网络攻击事件响应团队发现，攻击者正在利用一种“自带安装程序” 的新型EDR 绕过技术，成功突破了SentinelOne EDR设备的篡改保护功能，进而部署 Babuk 勒索软件。

该技术并未依赖第三方工具或驱动程序，而是利用了 SentinelOne EDR代理升级流程漏洞。当运行 SentinelOne 安装程序替换代理文件时，程序会先终止相关 Windows 进程，威胁者便在此间隙强制终止安装过程，使 EDR 代理失效，设备失去保护。

日志显示，攻击者会先获取管理访问权限，再借此技术禁用 SentinelOne EDR代理，为勒索软件入侵铺路。SentinelOne 建议客户立即启用默认关闭的 “在线授权”（即本地升级授权）功能，并已将相关技术信息分享给其他主流 EDR 供应商。

原文链接：
https://www.bleepingcomputer.com/news/security/new-bring-your-own-installer-edr-bypass-used-in-ransomware-attack/

新型 “Chimera” 恶意软件来袭，可突破多层安全防线

研究人员在4月下旬发现，一款极具威胁的 “Chimera” 恶意软件悄然现身，给网络安全领域带来新危机。“Chimera” 目前的主要攻击目标是中小型电商组织，它借助看似平常的库存管理系统软件更新潜入公司网络，可在数小时内便让公司数字基础设施陷入瘫痪，员工无法登录账户、网站被迫关闭，之后就会索要数万美元的加密货币赎金。

研究发现，“Chimera” 的攻击手段十分复杂。它通常通过伪装的软件更新或精心设计的钓鱼邮件渗透进系统，之后能在组织的内部网络环境中快速传播。它拥有强大的自我学习能力，能动态改写代码，避开传统基于特征码的检测方式，还具有利用人工智能及时来动态增强攻击和躲避追踪的能力，模仿正常用户行为以长期隐藏自己。在 Windows 系统中，它会利用打印后台处理程序服务的零日漏洞，执行恶意代码，并在 Windows Defender 中创建排除项，下载伪装成系统文件的恶意负载，检测难度极高。

原文链接：

https://cybersecuritynews.com/new-chimera-malware-that-outsmarts-antivirus/

LUMMAC恶意软件V2版变种出现，攻击能力显著增强

近期，网络安全研究人员监测到 LUMMAC 凭证窃取恶意软件已升级为新变种 LUMMAC.V2版，其编写语言从之前的C 语言转换为 C++语言，攻击能力显著增强。

升级后的LUMMAC.V2 攻击目标更加广泛，涵盖浏览器、加密货币钱包、密码管理器等众多应用。它的主要危害是窃取用户的敏感信息，包括登录凭证、个人资料、系统数据等，并压缩通过 HTTP 传输，导致用户隐私和财产安全面临严重威胁。

LUMMAC.V2 传播方式极具欺骗性，借助社会工程学手段，将恶意链接暗藏在与破解软件、热门影视音乐相关的搜索结果中。用户一旦点击，便会被引导至假的安全验证页面，遭遇虚假的 CAPTCHA 挑战，此时ClickFix 技术便开始发挥作用，诱骗用户执行一系列操作。不仅如此，它还会在注册表创建自启项，保证每次系统启动时都能自动运行，持续危害系统安全。

由于该恶意软件利用的是用户心理和行为习惯，而非技术漏洞，传统安全防护手段难以对其进行有效预防。专家提醒广大用户，务必提高警惕，谨慎点击不明链接。

原文链接：

https://cybersecuritynews.com/new-lummac-v2-stealer-using-clickfix-technique/

新型RustoBot恶意软件利用路由器漏洞发动大规模UDP 泛洪攻击

一款用 Rust 语言编写的名为 “RustoBot” 的新型僵尸网络恶意软件近日在全球范围内频繁攻击路由器设备，主要瞄准 TOTOLINK 和 DrayTek 等品牌的路由器。TOTOLINK 的 N600R、A830R 等多款型号，因 cstecgi.cgi 文件存在命令注入漏洞，被攻击者利用下载并执行恶意软件。而 DrayTek 的 Vigor2960 和 Vigor300B 路由器则受 CVE - 2024 - 12987 漏洞影响，在多个接口处存在操作系统命令注入风险。

成功入侵后，RustoBot 会通过四个下载器脚本部署针对 arm5、arm6 等多种架构的变体，以实现广泛兼容。它还会运用复杂攻击技术，从全局偏移表（GOT）获取系统 API 函数，用 XOR 加密配置数据，并通过复杂指令序列计算解码器密钥偏移。

UDP 泛洪攻击是RustoBot常用的攻击手段，会向指定目标发送超过1400 字节有效载荷的 UDP 数据包，使受害者网络瘫痪。该软件的出现凸显了物联网和网络设备安全防护的薄弱，也表明僵尸网络恶意软件借助现代编程语言，在稳定性和跨平台兼容性上不断进化。

原文链接：

https://cybersecuritynews.com/new-rust-botnet-hijacking-routers/

新型FOG 勒索软件借 “DOGE” 之名疯狂作案，超百家企业受害

网络安全研究人员发现一种新型勒索软件攻击手段，攻击者借助 FOG 勒索软件发动攻击，并伪装成与美国政府效率部（DOGE）有关，以此迷惑受害者。

该勒索软件通过钓鱼邮件传播，邮件中的 “Pay Adjustment.zip” 压缩包内含伪装成 PDF 文件的恶意 LNK 文件。用户一旦点击，就会触发复杂的感染流程。先是执行 PowerShell 命令，从远程服务器下载并运行 “stage1.ps1” 脚本，这个脚本会进一步获取包括勒索软件加载器（cwiper.exe）和权限提升工具（ktool.exe）等恶意组件。

值得注意的是，脚本中还包含政治评论，会打开政治主题的 YouTube 视频。在执行加密操作前，勒索软件会进行多项反沙箱检测，若判定处于沙箱环境就终止运行。确认安全后，它会用特定密钥解密嵌入的二进制文件，然后将文件加密并添加 “.flocked” 扩展名。同时，还会生成记录加密事件的 dbgLog.sys 文件和带有嘲讽 DOGE 内容的 readme.txt 勒索赎金说明。截至4月底，FOG 勒索软件已攻击了超100 家受害企业，涉及科技、教育、制造等多个行业。

原文链接：

https://cybersecuritynews.com/new-fog-ransomware-attack-mimic-as-doge-attacking-organization/

“ClickFix” 助力恶意攻击，一种复杂新型恶意软件加载器肆虐

近期，研究人员发现一种名为 “MintsLoader” 的新型恶意软件加载器，它会释放名为 “GhostWeaver” 的未知后门程序。过去三周，多家金融机构和医疗组织成为其攻击目标，并且攻击数量还在显著增加。

MintsLoader 采用了将钓鱼邮件和 “ClickFix” 技术相结合的双重攻击方式。攻击者精心制作看似正规的钓鱼邮件，内含恶意的微软 Office 文档或 PDF 文件，内容多涉及金融交易、医疗记录等。用户打开文件后，会被诱导启用宏或点击通知对话框，触发攻击。

“ClickFix” 利用人类心理，通过弹出虚假错误信息，要求用户按特定点击模式操作来绕过安全意识培训。MintsLoader 的感染过程分多个阶段，Office 文档中的 VBA 宏执行后，会下载带有混淆代码的 PowerShell 脚本，该脚本连接到利用域名生成算法躲避黑名单的服务器，下载并执行 GhostWeaver 有效载荷。

而GhostWeaver 会通过计划任务和修改注册表来实现持久化访问，还能检测并禁用终端保护产品。它能在系统中潜伏数周不被发现，窃取敏感数据，如凭证、财务记录和知识产权等。

原文链接：

https://cybersecuritynews.com/new-mintsloader-drops-ghostweaver/

检测难度更大！新型勒索软件攻击借助僵尸网络部署LockBit软件

日前，研究人员发现了一种新型勒索软件攻击手段，利用名为Phorpiex的僵尸网络自动部署 LockBit 勒索软件，这一方式改变了传统的勒索攻击模式。

以往，LockBit 攻击多依赖人工手动操作来扩大在网络中的影响范围。但此次，攻击者借助钓鱼邮件，将带有恶意的 ZIP 附件发送给目标。这些附件里，有的包含用于下载 LockBit的SCR 文件，有的则是 Phorpiex TWIZT 变体的 LNK 文件。当用户点击这些附件，就会触发感染流程，LockBit 下载器会尝试连接已知的命令与控制（C2）服务器，虽然在分析时没有成功连接，但种种迹象表明其行为与 LockBit 的攻击手段相符。

Phorpiex 僵尸网络自 2021 年源代码出售后，在不同变体中保持着相似的运作模式。从钓鱼邮件感染开始，在 Windows 标准目录下释放并执行文件，下载并运行 LockBit 等恶意负载，删除感染痕迹，还会通过修改 Windows 注册表来维持在系统中的存在。

尽管在 2024 年受到全球执法部门的严厉打击， LockBit组织仍在不断利用新策略继续作恶。这种自动化、借助僵尸网络的攻击方式，不仅降低了手动入侵模式下的部署难度和时间，也让检测防护工作变得更加困难。

原文链接：

https://www.infosecurity-magazine.com/news/phorpiex-botnet-delivers-lockbit/

Vidar窃密软件升级，利用新型欺骗技术窃取浏览器Cookie和存储凭证

研究人员发现信息窃取恶意软件Vidar Stealer近期采用了一种新型欺骗技术，专门针对网络安全专业人员和系统管理员。安全研究人员于4月初发现了一个不寻常的Vidar Stealer样本，该样本在VirusTotal上仅显示五次检测记录，表明可能存在混淆或新变种出现。

最令人担忧的是，该恶意软件会伪装成合法的Microsoft Sysinternals工具BGInfo.exe，这是一种广泛信任的系统管理工具，用于在桌面背景上显示系统信息。

这种欺骗技术展现了对细节的高度关注。恶意文件伪装成2025年2月更新的合法BGInfo工具，甚至包含过期的Microsoft数字签名。不过合法的BGInfo.exe大小约为2.1 MB，但恶意变种因隐藏的恶意代码而显著增大至10.2 MB。

执行后，恶意软件修改BGInfo.exe的初始化例程，特别是改变未来内存分配的进程堆处理，并将执行重定向到其恶意功能。这种巧妙的操作确保文件运行恶意代码而非预期的BGInfo功能。技术分析显示，恶意软件使用VirtualAlloc为下一阶段执行创建虚拟内存空间。

原文链接：

https://cybersecuritynews.com/vidar-stealer-with-new-deception-technique/

防护技术态势观察

纽约大学推出Orion创新框架，AI模型可直接处理加密数据

纽约大学坦登工程学院的研究团队近日推出了一个名为Orion的创新框架，将全同态加密（FHE）技术应用于深度学习领域。这一突破性成果使AI模型能够直接对加密数据进行高效处理，无需事先解密，从而为保护用户隐私提供了新的可能。

Orion框架通过自动将PyTorch编写的深度学习模型转换为高效的FHE程序，解决了FHE在深度学习中应用的技术难题。该框架优化了加密数据的结构，显著降低了计算开销，并简化了加密相关流程，使深度学习计算更加高效。

研究团队在ResNet-20基准模型上实现了比现有最先进方法快2.38倍的性能。更令人瞩目的是，Orion首次实现了使用YOLO-v1（一个拥有1.39亿参数的深度学习模型）进行高分辨率FHE目标检测，展示了其处理实际AI工作负载的能力。Orion的开发为FHE和实用深度学习应用之间架起了桥梁，有望在医疗、金融和网络安全等对隐私敏感的行业中得到广泛应用。

原文链接：

https://www.homelandsecuritynewswire.com/dr20250409-encryption-breakthrough-lays-groundwork-for-privacypreserving-ai-models

新一代Google Unified Security 平台发布，强调更深入利用“agentic AI”

为强化智能化时代的网络安全防护能力，Google公司日前推出了结合 Agentic AI 技术的 Google Unified Security 平台，用以应对零日漏洞利用、企业面临的威胁以及基于凭证的攻击。

据介绍，Google Unified Security 新平台整合了 Mandiant 的威胁情报、安全运营、云安全以及安全企业浏览功能，并全面借助 Gemini AI 技术，实现更智能的主动式安全防护。Google Security Operations 还依据 M-Trends 2025 报告结果，提供 “Curated Detections” 和 “Applied Threat Intelligence Rule Packs” 功能，帮助检测恶意软件和云安全漏洞等恶意活动。

此外，Google 着力发展安全运营中的 “agentic AI”，利用智能 AI 代理实现警报分类、调查、响应、威胁研究和检测工程等日常任务的自动化。这些 AI 代理能够自主学习和行动，让安全团队专注于处理更复杂的威胁。Google 目前已推出如警报分类代理和恶意软件分析代理等 AI 功能，并计划在 “SecOps Labs” 进一步开发。同时，Google 还推广开放标准，促进不同安全工具和供应商之间的互操作性。

原文链接：

https://hackread.com/google-agentic-ai-combat-cybersecurity-threats/

OpenSSL 3.5.0版本发布，向量子安全落地迈出重要一步

广泛使用的开源密码库OpenSSL项目在4月份发布了最新3.5.0版本，并在GitHub上提供下载。在此次更新中引入了多项面向未来的加密技术，标志着其向量子安全时代的重要转变。

新版本最显著的特性是引入了后量子密码学（PQC）支持，包括ML-KEM、ML-DSA和SLH-DSA等NIST后量子标准化进程中的算法。此外，OpenSSL 3.5.0还完整支持服务器端QUIC协议（RFC 9000），这一下一代传输协议旨在替代TCP，提供更快速、更安全的互联网通信。

在默认行为方面，OpenSSL进行了多项调整：req、cms和smime命令行工具的默认加密算法从老旧的des-ede3-cbc升级为更强大的aes-256-cbc；TLS支持的加密组优先级调整，现在优先考虑混合后量子密钥封装机制（KEMs），这为抵抗量子计算攻击提供了基础。

其他值得关注的新功能包括：支持第三方QUIC堆栈和0-RTT（零往返时间）功能；新增no-tls-deprecated-ec配置选项；enable-fips-jitter选项允许FIPS提供程序使用JITTER熵源；支持证书管理协议（CMP）中的中央密钥生成；引入EVP_SKEY新型不透明对称密钥对象；以及扩展了密码算法中的流水线API支持。

原文链接：

https://www.helpnetsecurity.com/2025/04/09/openssl-3-5-0-released/

Snyk 发布新版白盒测试工具，可为AI驱动的应用开发提供安全保障

Snyk 公司日前宣布推出一款全新的动态应用安全测试（DAST）解决方案 ——Snyk API & Web，该方案专为人工智能驱动的软件开发而设计。无论 API 和 Web 应用的代码是由开发者编写还是由 AI 生成，这款工具都能对其安全性进行测试，并针对发现的问题提供详细的修复建议。据介绍，该工具检测漏洞能力非常强大，能识别超 30,000 种漏洞，而误报率仅 0.1%。

新工具还具备多项实用功能，支持自定义扫描配置、定时扫描、部分扫描、防火墙后的扫描，以及设置扫描禁止时间段等。Snyk API & Web 与多种开发工具兼容性良好，可与 CI/CD 工具、问题追踪器和消息应用集成，已与 AWS、GitHub、Jenkins、Slack 等实现开箱即用的集成，开发者也能自行创建与其他工具的集成。

此外，该工具能帮助团队满足各类安全测试合规要求，如 PCI DSS、SOC 2、HIPAA、ISO 27001、GDPR 等。IDC 分析师凯蒂・诺顿表示，生成式 AI 应用的迅速发展给应用安全带来新挑战，尤其是在 API 安全方面，Snyk 本次发布的新工具，有助于满足生成式 AI 应用的安全需求，保障开发者在构建智能系统时的API应用安全。

原文链接：

https://sdtimes.com/security/snyk-announces-new-dast-solution-for-securing-apis-and-web-apps/

Cloudflare 推出多项新功能，简化混合云应用构建安全连接的难题

Cloudflare公司日前宣布，推出了 Workers VPC 和 Workers VPC Private Link 两项新功能，能够为开发人员简化跨公共云与本地系统的连接应用程序流程。

传统云环境长期存在诸多阻碍，而这两项新功能能够实现安全且不受地域限制的计算工作负载，同时让开发人员继续使用现有基础设施。Workers VPC 允许开发人员将 Cloudflare 资源整合到隔离环境中，有助于更严格地控制数据流动和保障安全性。Workers VPC Private Link 则在此基础上更进一步，实现了 Workers VPC 与外部 VPC 之间的安全通信，打造出跨环境的统一网络体验。

Cloudflare 首席执行官马修・普林斯强调，给予开发人员使用偏好工具的自由、摆脱过时基础设施模型的束缚至关重要。这两项功能预计于今年晚些时候推出，它们以 Cloudflare 的专用网络基础为依托，是其推动应用程序开发和应用程序安全现代化的重要举措，能满足企业在混合和多云架构下的合规性及运营需求。这一创新之举有望为开发人员提供更便捷、高效和安全的开发环境，助力企业在复杂的云计算环境中更好地发展。

原文链接：

https://www.scmagazine.com/brief/cloudflare-launches-workers-vpc-for-hybrid-apps

取代传统密码验证，七种新兴技术或将重塑身份安全模式

根据Specops最新的泄露密码报告显示，在10亿被盗凭证中，有近四分之一（2.3亿）满足了标准复杂性要求，包括8个以上字符、大写字母、特殊字符和数字，但仍被黑客攻破。而被盗凭证是导致数据泄露的首要因素，占比高达44.7%。

面对这些挑战，研究人员认为多种替代身份验证方法正在兴起。主要技术趋势包括：

生物识别认证：利用指纹、面部识别或虹膜扫描等独特生物特征进行身份验证。优点是使用简便且难以复制，但面临生物特征欺骗和数据不可重置的风险。

行为生物识别：分析用户与应用程序交互的独特方式，如鼠标移动或键盘输入模式。这种方法不需要额外操作，但可能存在隐私问题。

区块链密码存储：提供高度安全的分散式数据存储方法，但成本问题仍待解决。

零知识证明技术(ZKP)：允许用户证明他们知道密码而无需传输实际凭证，但可能需要较高处理能力。

密码短语：由多个单词组成的长字符串，如"PurpleBananaSunsetDancer!"，比传统密码更易记忆且更安全。

通行密钥(Passkeys)：基于FIDO2标准的防钓鱼替代方案，使用公钥加密技术，私钥安全存储在用户设备上。

安全密钥：物理设备（通常为USB、NFC或蓝牙），主要用于多因素认证或无密码登录。

原文链接：

https://www.bleepingcomputer.com/news/security/the-7-technology-trends-that-could-replace-passwords/

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com

阅读原文

跳转微信打开