BoryptGrab通过GitHub客栈伪装撒播

首页 > 清静研究 > 清静转达 > 清静简讯

BoryptGrab通过GitHub客栈伪装撒播

宣布时间 2026-03-09

1. BoryptGrab通过GitHub客栈伪装撒播

3月8日，，，，，，趋势科技克日披露一起通过100余个GitHub代码库大规模分发BoryptGrab信息窃取程序的攻击活动。。。。。该恶意软件以C/C++编写，，，，，，焦点功效是窃取浏览器、加密钱币钱包数据、系统详情及常用文件，，，，，，并通过压缩文件上传至攻击者效劳器。。。。。部分变种会安排TunnesshClient PyInstaller后门，，，，，，建设反向SSH隧道实现远程控制。。。。。攻击者接纳多层伪装战略：将恶意代码嵌入伪装成软件工具、游戏作弊器的ZIP压缩包，，，，，，链接至GitHub存储库。。。。。通过在README中填充SEO要害词，，，，，，使恶意客栈在搜索引擎中排名靠前，，，，，，例如模拟Voicemod Pro下载页面，，，，，，使用含"github-io"的ZIP文件名诱导用户下载。。。。。熏染链包括多种启动方法。。。。。BoryptGrab具备反剖析机制：通过注册表盘问和虚拟机文件检测虚拟情形，，，，，，比对运行历程列表，，，，，，并实验提升权限。。。。。若未指定输出路径，，，，，，将按目今时间、公网IP和国家代码天生涯储目录。。。。。其"文件抓取器"�？？？榭赏缣囟ɡ┱姑某Ｓ媚柯嘉募�，，，，，新变种还增添了Discord代币窃取功效。。。。。

https://securityaffairs.com/189110/malware/massive-github-malware-operation-spreads-boryptgrab-stealer.html

2. Velvet Tempest使用ClickFix手艺安排恶意软件

3月7日，，，，，，被追踪为"Velvet Tempest"（又名DEV-0504）的勒索软件威胁行为者，，，，，，正通过ClickFix手艺和正当Windows适用程序安排DonutLoader恶意软件及CastleRAT后门。。。。。该组织作为勒索软件攻击的隶属组织已活跃至少五年，，，，，，曾加入安排Ryuk、REvil、Conti、BlackMatter、BlackCat/ALPHV、LockBit和RansomHub等多款破损性勒索软件。。。。。网络诱骗威胁情报公司MalBeacon在模拟非营利组织情形中视察到该组织12天的攻击行为。。。。。攻击初始阶段通过恶意广告活动实验，，，，，，使用ClickFix与CAPTCHA混淆诱骗，，，，，，诱导受害者将混淆下令粘贴至Windows运行对话框，，，，，，触发嵌套cmd.exe链并挪用finger.exe获取首个伪装成PDF压缩文件的恶意软件加载器。。。。�；；；；；袢』峒ㄏ藓螅�，，，，，攻击者执行键盘操作举行Active Directory侦探、主机发明及情形剖析，，，，，，并使用托管于关联Termite勒索软件工具安排情形的PowerShell剧本，，，，，，提取Chrome存储的凭证。。。。。后续阶段通过PowerShell下载执行下令，，，，，，最终安排DonutLoader并获取与CastleLoader关联的CastleRAT远程会见木马。。。。。

https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/

3. 伊朗MuddyWater APT组织对美机构发动混淆攻击

3月6日，，，，，，博通赛门铁克团队克日披露，，，，，，与伊朗情报和清静部（MOIS）关联的MuddyWater（又名SeedWorm、TEMP.Zagros等）APT组织正对美国多家机构发动一连攻击。。。。。该活动自2026年2月启动，，，，，，至今仍在活跃，，，，，，目的涵盖美国银行、机场、非营利组织及一家以色列国防航空航天软件供应商。。。。。此次攻击中，，，，，，MuddyWater安排了新型后门Dindoor，，，，，，其依赖Deno运行时执行JavaScript/TypeScript代码，，，，，，并使用“Amy Cherne”证书署名。。。。。同时，，，，，，研究职员发明攻击者试图通过Rclone工具将目的软件公司数据窃取至Wasabi云存储桶，，，，，，但传输效果未明。。。。。美国机场和非营利组织网络中还泛起了自力的Python后门Fakeset，，，，，，该恶意软件使用与Seedworm关联的证书署名，，，，，，托管于Backblaze效劳器，，，，，，进一步印证伊朗配景。。。。。

https://securityaffairs.com/189060/apt/iran-linked-muddywater-deploys-dindoor-malware-against-u-s-organizations.html

4. TriZetto医疗数据泄露事务影响超340万人

3月6日，，，，，，医疗保健IT公司TriZetto Provider Solutions遭遇重大数据泄露，，，，，，导致超340万人的敏感信息袒露。。。。。事务始于2024年11月19日，，，，，，威胁行为者未经授权会见包管资格验证生意纪录，，，，，，这是医疗效劳提供方治疗前确认患者包管规模的要害流程。。。。。直至2025年10月2日，，，，，，该公司才在门户网站检测到可疑活动并启动视察，，，，，，视察显示会见行为一连近一年。。。。。泄露数据因人各异，，，，，，可能包括全名、现实地点、出生日期、社会清静号码、康健包管会员编号、医疗包管受益人标识符、提供商及包管公司名称，，，，，，以及生齿统计、康健和包管信息。。。。。但支付卡、银行账户或其他财务信息未被泄露，，，，，，且现在未发明信息被滥用的案例。。。。。受影响效劳提供商于2025年12月9日获通知，，，，，，客户通知事情则从2026年2月初启动。。。。。凭证缅因州总审查长提交的文件，，，，，，受影响人数达3,433,965人。。。。。TriZetto已接纳步伐增强系统清静，，，，，，并转达执法部分，，，，，，同时为受影响者提供Kroll的12个月免费信用监控和身份�；；；；；ばЮ�。。。。。

https://www.bleepingcomputer.com/news/security/cognizant-trizetto-breach-exposes-health-data-of-34-million-patients/

5. CISA紧迫要求联邦机构修复iOS高危误差

3月6日，，，，，，美国网络清静和基础设施清静局（CISA）克日宣布强制性指令，，，，，，要求联邦机构在2026年3月26日前修复三个被Coruna误差使用工具包攻击的iOS清静误差。。。。。这些误差已被纳入CISA已知使用误差目录，，，，，，属于约束性操作指令（BOD）22-01的管控规模。。。。。谷歌威胁情报小组（GTIG）研究显示，，，，，，Coruna工具包通过23个iOS误差链实验攻击，，，，，，其中大都为零日误差。。。。。该工具包具备指针认证码（PAC）绕过、沙箱逃逸和页面�；；；；；げ悖≒PL）绕过能力，，，，，，可实现WebKit远程代码执行并提升至内核权限。。。。。然而，，，，，，最新版iOS系统、隐私浏览模式或苹果锁定模式可有用阻断此类攻击。。。。。Coruna攻击链已被多个威胁行为者使用：包括监控供应商客户、疑似俄罗斯国家支持的黑客组织UNC6353，，，，，，以及经济驱动的中国威胁行为者UNC6691。。。。。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-apple-flaws-exploited-in-spyware-crypto-theft-attacks/

6. 伊朗Dust Specter借AI攻击伊拉克政府

3月6日，，，，，，Zscaler ThreatLabz克日揭破，，，，，，与伊朗关联的黑客组织Dust Specter针对伊拉克政府官员提倡细密网络攻击，，，，，，通过冒充伊拉克外交部的垂纶邮件撒播新型恶意软件，，，，，，包括SPLITDROP、TWINTASK、TWINTALK及GHOSTFORM。。。。。此次行动被中高置信度归因于Dust Specter，，，，，，其TTP特征与伊朗历史网络特工活动高度吻合。。。。。攻击链1以密码�；；；；；さ腞AR文件为载体，，，，，，内含伪装成WinRAR的SPLITDROP投放器。。。。。执行后，，，，，，该二进制文件解密并安排TWINTASK与TWINTALK。。。。。恶意软件通过注册表项建设长期性，，，，，，使用VLC、WingetUI等正当软件举行DLL侧加载。。。。。TWINTALK接纳随机延迟、自界说URI路径及JWT令牌与C2效劳器通讯，，，，，，支持下令执行、文件上传及有用载荷下载。。。。。攻击链2整合功效至简单二进制文件GHOSTFORM，，，，，，直接在内存中执行下令以镌汰文件系统痕迹。。。。。该恶意软件伪装成伊拉克外交部视察的Google表单诱骗受害者，，，，，，并接纳隐形窗体延迟执行、互斥锁检查阻止多实例。。。。。代码剖析发明异常元素：嵌入心情符号、Unicode文本及占位符值，，，，，，这些特征与天生式AI天生的代码模式相符。。。。。

https://securityaffairs.com/189033/apt/iran-nexus-apt-dust-specter-targets-iraq-officials-with-new-malware.html

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究