亲俄黑客假意官方机构执行网络垂钓攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

亲俄黑客假意官方机构执行网络垂钓攻击

颁布功夫 2026-04-02

1. 亲俄黑客假意官方机构执行网络垂钓攻击

3月31日，乌克兰推算机应急响应幼组（CERT-UA）颁布汇报，告发一个编号为UAC-0255的亲俄黑客组织假意该机构，针对当局机构、企业及其他组织发展网络垂钓攻击。攻击者通过伪造官方邮件，忠告收件人俄罗斯正打算对乌克兰关键基础设施发起“大规模网络攻击”，并诱导其从文件共享服务Files.fm下载密码�；さ难顾跷募�，装置所谓的“安全防护软件”。该文件现实蕴含名为AgeWheeze的远程治理工具，攻击者可借此远程节造受习染设备，执行号令、治理文件过程、传输屏幕内容、仿照鼠标键盘操作及接见剪贴板等操作。这次攻击指标涵盖当局机构、医疗中心、金融公司、安全公司、大学及软件开发商等多个行业。CERT-UA评估以为，这次垂钓活动整体功效有限，仅导致少量习染，重要集中于教育机构员工的幼我设备。调查显示，攻击行动可能与新兴网络威胁组织CyberSerp存在关联，该组织随后在Telegram频路宣称对这次攻击掌管，并宣称已向约一百万Ukr.net用户发送恶意邮件，入侵超20万台设备，但CERT-UA尚未证实这些数字。

https://therecord.media/pro-russian-hackers-posing-as-ukrainian-cyber-agency

2. WhatsApp发现虚伪利用习染200名用户

4月2日，WhatsApp颁发已通知约200名用户，他们的设备因装置带有间谍软件的假冒WhatsApp利用而遭到入侵。该虚伪利用由意大利间谍软件造作商SIO专门为iPhone设计，受影响的用户重要集中在意大利。WhatsApp暗示，这次攻击并非源于其自身缝隙，而是威胁行为者通过高度针对性的社会工程伎俩，诱使用户在官方利用商店之表下载恶意软件。WhatsApp的安全团队自动发现了这一虚伪利用，并将其归罪于SIO的子公司ASIGINT。目前，SIO和苹果公司均未对此事作出回应。WhatsApp已将受影响的200名用户登出，并提醒用户下载非官方客户端存在隐衷和安全风险，建议删除假冒利用并装置官方版本。SIO在其官网上自称是法律部门、当局机构以及警员和谍报机构的“合作同伴”，此前已有类似行为纪录。去年，TechCrunch曾报路SIO开发了多款植入间谍软件的安卓利用。

https://therecord.media/whatsapp-warns-users-of-fake-app-used-for-spyware

3. CrystalRAT恶意软件即服务上线Telegram

4月1日，一种名为CrystalRAT的新型恶意软件即服务（MaaS）在Telegram上推广，提供远程接见、数据窃取、键盘纪录和剪贴板劫持等职能。该恶意软件于1月出现，选取分级订阅模式，除了Telegram频路表，还通过专门的YouTube营销频路进行推广。CrystalRAT提供了一个用户敦睦的节造面板和自动化构建工具，支持地理关闭、可执行文件自界说和反分析职能。天生的有效载荷经过zlib压缩，并使用ChaCha20对称流密码进行加密。该恶意软件通过WebSocket衔接到号令与节造（C2）服务器，并发送主机信息用于习染跟踪。目前其信息窃取组件临时被禁用，在进行升级筹备，该组件可通过ChromeElevator工具以及Yandex、Opera等基于Chromium的浏览器进行攻击，同时从Steam、Discord和Telegram等桌面利用法式网络数据。远程接见�？橹С滞ü鼵MD执行号令、上传/下载文件、浏览文件系统，并通过内置VNC实季节造机械。此表，该恶意软件还能捕获麦克风的视频和音频，建设的键盘纪录器可将击键实时传输至C2服务器，剪贴板工具则使用正则表白式检测剪贴板中的钱包地址并代替为攻击者提供的地址。

https://www.bleepingcomputer.com/news/security/new-crystalrat-malware-adds-rat-stealer-and-prankware-features/

4. TrueChaos行动利用零日缝隙攻击TrueConf服务器

4月1日，黑客利用编号为CVE-2026-3502的零日缝隙攻击TrueConf会议服务器，从而在所有衔接的端点上执行肆意文件。该缝隙严沉水平评级为中等，源于软件更新机造中短缺齐全性查抄，攻击者可将合法更新代替为恶意变种。TrueConf是一个视频会议平台，可作为自托管服务器运行，通常为封关的离线环境设计。CheckPoint钻研人员追踪到一个名为TrueChaos的活动，自今年岁首以来，该活动利用CVE-2026-3502缝隙对东南亚敌灾实体提议零日攻击。攻击者若节造了本地TrueConf服务器，可将预期更新包代替为肆意可执行文件并假装成当前利用法式版本，分发给所有衔接的客户端。由于客户端未进行适当验证即信赖服务器提供的更新，恶意文件可假装成合法TrueConf更新而被传递和执行。该缝隙影响TrueConf版本8.1.0至8.5.2，建复法式于2026年3月在8.5.3版本中颁布。

https://www.bleepingcomputer.com/news/security/hackers-exploit-trueconf-zero-day-to-push-malicious-software-updates/

5. NoVoice安卓恶意软件藏身Google Play超50款利用

4月1日，一种名为NoVoice的新型安卓恶意软件在Google Play上被发现，暗藏在50多款累计下载量达230万次的利用法式中。这些利用蕴含算帐工具、图片库和游戏，表表上无需可疑权限且提供正常职能。据McAfee钻研人员分析，该恶意软件利用2016年至2021年间已建复的旧版安卓缝隙，试图获取设备root权限。启动受习染利用后，恶意软件将加密有效载荷暗藏在PNG图像文件中，提取加载后断根中央文件以解除痕迹。攻击者会预防习染北京、丽江等特定地域设备，并对仿照器、调试器和VPN执行15项查抄。恶意软件衔接号令与节造（C2）服务器网络设备信息，每60秒轮询一次并下载针对特定设备的缝隙利用组件。McAfee发现了22个缝隙，攻击者可借此获取root权限并禁用SELinux强造执行，减弱设备根基安全�；�。设备被root后，关键系统库被代替为hook包装器，拦截系统挪用并将执行沉定向至攻击代码。在后渗入阶段，攻击者将节造代码注入设备上启动的每个利用法式，重要部署两个组件：一个用于静默装置或卸载利用，另一个在职何能接见互联网的利用中运行，作为重要针对WhatsApp数据窃取机造。

https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/

6. 孩之宝遭网络攻击致业务中断

4月1日，玩具和游戏巨头孩之宝周三汇报称，该公司遭逢网络攻击，导致部门业务流程中断。凭据提交给美国证券买卖委员会的文件，孩之宝于3月28日检测到其网络遭到未经授权的接见，作为事务响应措施的一部门，部门系统已被离线。目前，公司正借助表部网络安全专家的力量发展调查，指标之一是确定这次事务的全数影响领域，蕴含是否有任何文件遭到泄露。孩之宝暗示，公司已执行并将持续执行业务陆续性打算，以确保在解决当前情况的同时可能持续接受订单、发货和发展其他关键业务。申明补充称，在情况齐全解决之前，可能必要持续数周功夫执行这些一时措施，这可能会导致一些延误。截至目前，尚无网络犯罪团伙宣称对这次攻击掌管。孩之宝暗示，公司在致力加强系统安全，并将凭据调查了局采取其他措施，蕴含颁布必要的通知。

https://www.securityweek.com/toy-giant-hasbro-hit-by-cyberattack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研