来源:
Cisco Blogs-US
本文观点不代表网安动态立场,不承担法律责任,文章及观点也不构成任何投资意见。
加拿大西林肯纪念医院通过思科网络与EKO数字框架构建智慧医疗新蓝图
会员特权已解锁价值xx元的xx会员特权
著作权归作者所有,转载或内容合作请联系作者
拥有70多年历史的加拿大西林肯纪念医院(WLMH)为满足社区日益增长的医疗需求,启动了其历史上最重要的转型之一:一次旨在扩大容量并加强医院数字骨干网的全面重建。此次数字转型的成功依赖于强有力的协作。Computacenter主导了新的思科网络基础设施实施,并深度集成了新网络,使其既融入更大型医院集团的互联网络,也与EllisDon创新的数字框架EKO集成。EKO框架旨在统一医院系统、医疗设备和工作流程,以改善协调和患者护理。 思科的融合网络基础设施与EKO并行,解决了临床和行政系统(包括传统医疗设备)的连接需求。网络分段、自动化访问控制和实时监控有助于保护敏感的患者数据并满足监管要求。这一基础使WLMH能够充分利用EKO,将来自不同系统的数据转化为可操作的见解,从而提升患者护理和员工效率。在紧急情况下,例如“蓝色警报”被触发时,EKO能协调一系列响应,包括通知医护人员和指挥中心、启动引导灯、增强自动化访问控制以及准备房间照明和设备。思科网络使这些系统能够实时通信,形成闭环通信。此外,EKO还通过实时定位服务协助日常任务,如资产跟踪、资源调配和员工协调。WLMH的重建项目为医疗保健的未来提供了一个蓝图,展示了在网络和集成数字框架上进行战略投资如何重新定义患者护理的可能性。
上一篇: 新型恶意软件ZionSiphon瞄准以色列水务设施,多款隐蔽后门同期曝光
-
网络安全早报研究揭示“黑暗三联征”人格特质与职业选择关联,技术领域更吸引冷酷低同理心者
一项发表于《人格与个体差异》期刊的研究表明,具有“黑暗三联征”(即心理变态、马基雅维利主义和自恋)人格特质的人群,其职业兴趣选择存在可辨识的规律,且不同特质的影响路径各异。研究团队对600名美国大学生进行了调查,旨在分别探究这三种特质而非将其混为一谈,如何关联不同的职业偏好。 研究发现,无论男女,黑暗三联征特质普遍与对权力、影响力和说服力至关重要的职业兴趣相关。通过细分特质,研究揭示了更具体的关联:心理变态特质中的“勇敢”维度与医疗及相关领域兴趣相关;“冷酷”、低同理心及高敌意则显著关联技术与实际机械类工作选择;“冲动”维度则与创造性活动兴趣相关。具有明显马基雅维利主义特质的个体更倾向于选择能控制他人、利用影响力谋私的管理角色,但其中侧重策略而非支配的个体则可能选择创造性职业、自然或动物相关工作,并回避人际接触。自恋特质则与渴望影响他人并获得自我表达空间的职业动机紧密相连。 研究者指出,该研究聚焦于职业偏好本身,而非其对团队的影响,为企业和职业顾问识别潜在的“毒性领导”倾向及引导个体进入更健康的职业环境提供了线索。但研究样本仅限于学生,结论尚不能直接推广至整个劳动力市场,需在真实职业环境中进一步验证。
2026-04-28 14:08:24
0 0 0 -
网络安全早报美国科学家提出革命性构想:桌面级“中微子激光器”有望改变基础物理研究
美国麻省理工学院(MIT)等机构的科学家提出了一项近乎科幻的构想——制造一种不发射光,而是发射中微子的“激光器”。该概念目前仅停留在理论阶段,但已引发科学界对研究这种宇宙中最神秘粒子的新方法的密切关注。传统产生中微子的方法依赖笨重的反应堆和粒子加速器,资源消耗巨大且难以控制粒子流。新方案则设想一种理论上可置于实验桌上的紧凑装置。 中微子被称为“幽灵粒子”,每秒有数万亿个穿过人体,但其与物质的相互作用极弱,难以探测,其基本参数(包括质量)至今仍是争论焦点。新构想基于激光工作原理,但用中微子替代光子。科学家计划将放射性原子(如铷-83)云冷却至低于星际空间的温度,使其进入玻色-爱因斯坦凝聚态,此时原子表现为一个整体。在此条件下,放射性衰变可能同步发生,产生短暂而强大的中微子爆发,而非通常持续数周的缓慢过程,其关键在于粒子集体发射信号并相互增强的“超辐射”效应。 若得以实现,物理学将获得高精度测量新工具,有助于深入研究暗物质本质,并理解宇宙中物质为何多于反物质。潜在应用场景包括:穿透地球的信号传输、与水下物体的通信,以及制造用于医疗诊断的放射性同位素。目前项目面临重大挑战,例如尚未掌握用放射性原子形成玻色-爱因斯坦凝聚态的技术,且维持所需条件要求极高的精度。尽管如此,研究团队仍计划开展首批实验室实验。这一构想本身已为科学研究开辟了意想不到的新方向。
2026-04-28 14:08:24
0 0 0 -
网络安全早报美国伯克利实验室实现紧凑型自由电子激光器稳定运行超8小时
研究人员首次展示了一种缩小化的系统能够连续支持自由电子激光器运行超过八小时,这一成果解决了该领域长期存在的主要难题。自由电子激光器是现代科学中最强大的工具之一,但其传统设施通常长达数公里,尺寸和成本限制了其普及。来自伯克利实验室BELLA中心的研究团队通过采用激光等离子体加速器技术,并引入多重主动稳定系统,显著提升了100太瓦级激光系统的稳定性。该系统实时监控并校正每个脉冲的聚焦点、能量和持续时间,并利用一个被称为“幽灵光束”的低功率副本作为敏感探针来检测微小波动。通过这些措施,装置能够快速修正微小偏差,产生能量为100兆电子伏的稳定电子束团。由此构建的自由电子激光器连续运行超过八小时,生成了波长为420纳米(可见光范围)的光。此外,基于激光等离子体加速器的电子源以高稳定性输出100兆电子伏电子束超过十小时,整个装置在无人干预下运行超过八小时。当前系统能量相对适中并产生可见光,而非更具价值的X射线。团队的下一个目标是将能量提升至500兆电子伏,以产生波长20-30纳米的光,接近紫外与X射线边界,满足关键科学应用需求。这项进展表明,实现电子束长期稳定运行这一基础问题有望解决,未来或能使自由电子激光器走出大型国家中心,进入更多实验室。
2026-04-28 14:08:24
0 0 0 -
网络安全早报蓝色起源火箭成功回收但卫星入轨失败,AST SpaceMobile卫星将脱轨报废
蓝色起源(Blue Origin)的新格伦(New Glenn)火箭于协调世界时4月19日11时25分从佛罗里达州卡纳维拉尔角太空军基地的LC-36发射场发射升空。此次任务是该火箭的第三次发射,也是该公司首次尝试回收并重复使用一级火箭。火箭一级成功降落在蓝色起源的Jacklyn浮动平台上,回收成功。然而,火箭未能将有效载荷——AST SpaceMobile公司的Bluebird 7卫星——送入预定轨道。 蓝色起源随后通过其社交媒体渠道承认,卫星确实与二级火箭分离并已通电,但处于一个“非预定”轨道。AST SpaceMobile公司证实,卫星轨道低于计划,其自身推进器无法将其调整至可用位置,因此决定让卫星脱轨。该公司表示,卫星成本预计将通过其保险政策获得赔付。 此次失败对蓝色起源的后续发射计划可能产生影响,其计划中的发射任务包括为亚马逊的Leo星座(星链的竞争对手)、另一项AST SpaceMobile任务以及一个名为“蓝月”(Blue Moon)的机器人月球货运着陆器演示任务。蓝月着陆器是未来无人登月任务的关键一步,目前尚不清楚此次失败会对其演示计划造成何种影响。 尽管成功回收了轨道级火箭的一级,但有效载荷的损失使这一成就黯然失色。Bluebird 7是AST SpaceMobile部署的第八颗近地轨道航天器,原计划用于其天基蜂窝宽带网络。该公司表示,Bluebird 8至10号卫星预计将在大约30天内准备就绪并发货。
2026-04-28 14:08:24
0 0 0 -
网络安全早报科罗拉多大学博尔德分校研发新型可逆自组装材料,灵感源于订书钉与植物
科罗拉多大学博尔德分校(University of Colorado Boulder)的研究人员受普通订书钉相互钩挂现象的启发,正在开发一种基于几何形状而非化学粘合的新型材料。在François Barthelat的领导下,团队通过计算机建模发现,类似订书钉的双“腿”状简单粒子能产生最可靠的效果。这种具有弯曲形状的粒子能够像鸟巢中的树枝或苍耳刺一样相互钩挂和缠绕,形成无需粘合剂即可紧密结合的坚固结构,同时兼具良好的抗拉伸性和抗损伤性。 该材料最不寻常的特性在于其对振动的响应,使其能在“开启”和“关闭”状态间切换。轻微振动会使粒子更紧密地结合,形成固体结构;而更强的振动则会使它们迅速解开缠绕,恢复为松散状态,从而呈现出介于固体和松散介质之间的特性。这种可逆性为应用开辟了新途径,例如大型桥梁等结构未来或可被拆卸而非摧毁,以便重复利用。在机器人技术领域,小型机器也可能通过此技术组合成单一工具,之后再分离以通过狭窄空间。研究人员甚至将其与电影《终结者2:审判日》中的液态金属进行了类比。目前,团队正尝试从具有强附着力的植物中汲取灵感,设计更复杂的粒子形状,以期实现更牢固的结合。
2026-04-28 14:08:24
0 0 0 -
网络安全早报YouTube博主利用氚气瓶与计算器太阳能板自制“纳瓦级核电池”
YouTube博主兼电气工程爱好者Double M Innovations近期发布视频,展示如何利用家庭废弃物制作一个氚核电池。该装置被其称为“纳瓦级核电厂”,但实际产生的能量微乎其微。制作材料包括几个旧太阳能计算器、一些氚气瓶和锡纸。其原理是利用氚β衰变激发磷光涂层发出的光,由太阳能电池板产生微小电流,但效率远低于自然光。氚气瓶可在线低价购得或从钥匙链中取出。将气瓶夹在从计算器中取出的两块太阳能电池板之间,用锡纸包裹以隔绝光线,即可制成一个非常小且低效的核电池,其理论寿命约为氚的半衰期12年。实际测试中,该装置仅产生约0.5伏电压,初始无电流;将两块电池板并联后,电流升至纳安级。连接电容器充电一天后,电压可达2.8伏,但测量时电压会快速下降。Double M称其仅为概念验证,产生的能量极小,仅能偶尔闪烁LED灯。此类β衰变电池主要用于对超长寿命要求高于输出功率的特定低功耗场景,如远程传感器、植入式医疗设备和太空研究。相比之下,更高功率的核电池概念通常依赖α发射同位素或衰变热。DARPA近期已委托私营部门开发使用α粒子的高功率核电池,用于太空等偏远环境。
2026-04-28 14:08:24
0 0 0 -
网络安全早报Telegram创始人杜罗夫谈经典策略游戏对其管理理念的影响
Telegram创始人帕维尔·杜罗夫(Pavel Durov)在社交媒体平台X上回应了Coinbase联合创始人布莱恩·阿姆斯特朗(Brian Armstrong)关于电子游戏对人生影响的讨论。阿姆斯特朗表示,年轻时玩《星际争霸》(StarCraft)和《文明》(Civilization)等策略游戏,后来发现商业和创业是“完美的游戏”,因其涉及资源、建设和扩张,并能带来造福人类的更大满足感。 杜罗夫回应称,他玩遍了90年代所有的策略经典游戏,包括《魔兽争霸II》(WC2)、《命令与征服》(C&C)、《运输大亨》(Transport Tycoon)、《资本主义》(Capitalism)、《帝国时代》(AoE)、《文明》(Civ)、《英雄无敌》(HoMM)、《模拟城市》(SimCity)、《X-Com》、《银河霸主》(MoO)、《横扫千军》(TA)、《神话》(Myth)、《王权》(Majesty)、《凯撒》(Caesar)和《KKnD》。他表示,这些游戏教会了他规划、时机把握、资源分配和风险管理,他甚至曾在当地的《星际争霸》比赛中赢过钱。 杜罗夫后来单独补充提及了《哥萨克人》(Cossacks),并澄清该游戏与《王权》一样是在2000年而非90年代发布。他特别指出,《王权》这款游戏启发他推出了漏洞赏金计划,并启动了设计和编程竞赛。 该社交网络在俄罗斯联邦境内被禁止。
2026-04-28 14:08:24
0 0 0 -
网络安全早报NASA为旅行者号深空探测器制定“大爆炸”计划以延长任务寿命
美国国家航空航天局(NASA)正在为旅行者1号和旅行者2号探测器制定一项名为“大爆炸”(The Big Bang)的计划,旨在延长其运行时间。该计划是在旅行者1号于2月27日执行计划内机动时发生电源故障后提出的。当时,电源水平意外下降,工程师们意识到新的功率下降可能触发欠压保护系统,导致探测器为自我保护而自动关闭部分组件,恢复工作将需要漫长且充满风险。 为避免此情况,专家们决定关闭用于研究低能带电粒子的LECP仪器。NASA于4月17日宣布了这一决定,预计此举可为旅行者1号提供约一年的额外电力储备。旅行者任务负责人、喷气推进实验室(JPL)的卡里姆·巴达鲁丁(Karim Badaruddin)表示,关闭科学仪器并非理想选择,但在现有方案中是最佳路径。团队并未完全关闭LECP,而是保留了其一个消耗0.5瓦功率的小型电机,以便未来若有额外电力,该仪器仍有最佳恢复工作的可能。 旅行者1号目前距离地球超过250亿公里,旅行者2号同样无法进行物理维护。其放射性同位素热电发电机功率随时间递减,两个探测器正逐渐接近其能力极限。为节省能源,工程师们为两个探测器制定了一个更宏大的方案,即“大爆炸”计划。该计划涉及同时更换一组运行中的设备、关闭部分系统并转向能耗更低的替代方案,以维持足够的热量并继续收集科学数据。 NASA计划于5月和6月在旅行者2号上测试新方案。若测试成功,将于不早于7月在旅行者1号上尝试类似操作。NASA表示,若结果成功,团队可能有机会重新启动旅行者1号上的LECP仪器。
2026-04-28 14:08:24
0 0 0 -
网络安全早报NASA启动“大爆炸”升级计划,为旅行者号探测器延寿
美国国家航空航天局(NASA)正在制定一项名为“大爆炸”的计划,旨在延长旅行者号探测器的运行寿命。这一计划源于旅行者1号在2月27日执行一次计划中的滚动机动时,其电力水平意外下降。任务工程师担心任何额外的电力下降都可能触发航天器的欠压故障保护系统,导致其自动关闭组件以保护探测器,而恢复过程漫长且存在风险。为避免这种情况,旅行者号团队决定关闭该航天器的低能带电粒子实验仪器。喷气推进实验室旅行者号任务经理卡里姆·巴达鲁丁表示,虽然关闭科学仪器并非首选,但这是目前的最佳选择。NASA将该仪器置于无法工作的状态,但未关闭一个仅消耗0.5瓦的小型电机,以便未来若能找到额外电力,仍有重新启动该仪器的可能。旅行者1号距离地球超过250亿公里,已无法维修,其放射性同位素热电发电机终将无法提供足够能量。旅行者2号面临同样问题。工程师们希望通过“大爆炸”计划,通过一次性关闭一组设备并用低功耗替代方案来保持航天器温度,从而为两台旅行者号探测器找到更积极的节能方案,以延长其科学数据收集任务。该计划已取得足够进展,NASA计划于5月和6月在旅行者2号上进行测试。若成功,最早将于7月在旅行者1号上尝试。NASA表示,如果计划奏效,旅行者1号的低能带电粒子实验仪器甚至有可能被重新启动。
2026-04-28 14:08:24
0 0 0 -
网络安全早报中东及EMEA金融业遭APT攻击,黑客滥用英特尔签名工具与.NET机制植入隐形后门
研究人员发现一场名为“Operation PhantomCLR”的攻击活动,正滥用一款受信任的英特尔(Intel)实用程序,通过劫持.NET的AppDomain机制,悄无声息地加载高级恶意软件。攻击者利用经过Authenticode签名的合法英特尔存储实用程序IAStorHelp.exe作为主要加载器,启动一个多阶段的漏洞利用后框架。由于该二进制文件被广泛信任,安全工具更可能允许其执行,从而使攻击者能够通过一个已知的良好进程代理所有恶意活动。 攻击的核心技巧是滥用.NET的AppDomainManager功能。攻击者通过一个恶意的IAStorHelp.exe.config配置文件,将AppDomainManager重定向到其恶意的IAStorHelpMosquitoproof.dll和一个名为“stylohyoideus”的自定义类,确保其代码在进程初始化时首先运行。这使得未签名的、经过混淆的DLL能够静默继承已签名的英特尔宿主程序的信任。入侵通常始于鱼叉式网络钓鱼邮件,其中包含一个ZIP压缩包,内有签名的IAStorHelp.exe、恶意配置文件、混淆的.NET加载器DLL、加密载荷以及一个具有欺骗性的“.pdf.lnk”快捷方式和诱饵PDF文档。 该活动主要针对中东及更广泛EMEA(欧洲、中东和非洲)地区的金融等组织。恶意软件采用高度规避技术,例如使用60秒的CPU密集型质数计算循环来延迟恶意行为,并通过892,007次迭代的AES密钥派生循环来解密大型加密载荷。在内存执行方面,它使用即时编译(JIT)“蹦床”技术,强制.NET生成可执行代码,然后用shellcode覆盖该内存区域并通过函数指针调用,以减少传统遥测数据。其命令与控制(C2)通信使用HTTPS协议,并利用亚马逊CloudFront作为域前置层,背后是托管在AWS Elastic Load Balancing上的攻击者基础设施。 安全团队应监控与已签名二进制文件放在一起的异常.exe.config文件,特别是其中AppDomainManager设置引用未知或未签名.NET程序集的情况。建议搜寻从用户可写目录执行的IAStorHelp.exe、可疑的.pdf.lnk快捷方式,以及英特尔进程向CloudFront或其他CDN发起的出站HTTPS连接。防御者可通过加强应用程序允许列表、检查.NET配置更改以及采用针对JIT滥用、异常AppDomain活动和反射式内存加载的行为检测来增强防护。
2026-04-28 14:08:24
0 0 0 -
网络安全早报新型恶意软件ZionSiphon瞄准以色列水务设施,多款隐蔽后门同期曝光
网络安全研究人员发现一款名为ZionSiphon的新型恶意软件,其设计专门针对以色列的水处理和海水淡化系统。该恶意软件由Darktrace命名,具备建立持久性、篡改本地配置文件以及在本地子网扫描与操作技术(OT)相关服务的能力。根据VirusTotal的详细信息,该样本首次在野外被检测到的时间是2025年6月29日,恰逢6月13日至24日伊朗与以色列之间“十二日战争”结束之后。ZionSiphon目前处于未完成状态,其特点是专注于以色列目标,针对一组位于以色列境内的特定IPv4地址范围。恶意软件内嵌了与伊朗、巴勒斯坦和也门相关的政治支持信息,并包含与以色列水务基础设施相关的字符串。其有效载荷仅在满足地理位置和特定水处理/海水淡化环境条件时才会激活。一旦启动,它会探测本地子网设备,尝试使用Modbus、DNP3和S7comm协议进行通信,并篡改与氯剂量和压力相关的参数。该恶意软件还能通过可移动介质传播感染,在不满足条件的系统上会启动自毁程序。研究人员指出,尽管包含破坏、扫描和传播功能,但当前样本似乎无法完全满足其自身的国家检查功能,表明其可能处于故意禁用、配置错误或未完成状态。同期披露的还有一款名为RoadK1ll的基于Node.js的植入程序,旨在通过建立出站WebSocket连接来维持对受感染网络的可靠访问。此外,Gen Digital还揭露了一个名为AngrySpark的虚拟机混淆后门,该后门曾在2022年5月至2023年6月期间在英国的一台机器上运行,其基础设施过期后便消失无踪。AngrySpark作为一个三阶段系统运行,能够建立隐蔽的持久性并设置隐蔽的命令与控制(C2)通道。
2026-04-28 14:08:29
0 0 0 -
网络安全早报黑客滥用QEMU虚拟机模拟器部署勒索软件与后门
根据Sophos报告,威胁行为体正滥用跨平台开源机器模拟器QEMU,用于部署勒索软件和远程访问工具。自2025年底以来,此类滥用活动有所增加。在2025年11月首次观测到、追踪为STAC4713的活动中,攻击者利用QEMU作为隐蔽的反向SSH后门,用于投递有效载荷和窃取凭证。攻击最初针对未启用多因素认证(MFA)的暴露SonicWall VPN,后转向利用SolarWinds Web Help Desk中的远程代码执行(RCE)漏洞CVE-2025-26399。攻击者创建计划任务以启动具有System权限的QEMU虚拟机并建立持久性,通过虚拟硬盘镜像建立反向SSH隧道。Sophos将此次攻击归因于运营PayoutsKing勒索软件的封闭黑客组织Gold Encounter。2026年2月,Sophos观测到第二起滥用QEMU的活动(追踪为STAC3725),其利用CVE-2025-5777(CitrixBleed2漏洞)获取初始访问权限,并使用恶意ScreenConnect客户端实现持久化。攻击者在虚拟机内手动执行攻击,部署了约十几个工具和库,进行凭证窃取、Kerberos用户名枚举、Active Directory侦察、载荷暂存和数据外泄。Sophos建议组织排查未经授权的QEMU安装、可疑计划任务、异常端口转发规则,并监控出站SSH隧道。
2026-04-28 14:08:28
0 0 0 -
网络安全早报恶意软件捆绑Gh0st RAT与CloverPlus广告软件,实现持久控制与流量变现
Splunk威胁研究团队(STRT)分析发现一场新的恶意软件活动,其通过混淆的加载器同时投递Gh0st RAT远程访问木马和CloverPlus广告软件,兼具持久控制与流量变现能力。加载器将两个加密载荷隐藏在资源区,首先执行AdWare.Win32.CloverPlus广告软件以安装广告组件、篡改浏览器并触发弹窗。同时,加载器解密第二个载荷——Gh0st RAT客户端DLL。为规避检测,加载器会检查自身是否从%temp%目录运行,否则先自我复制。解密后的DLL被写入C盘根目录的随机文件夹,并通过rundll32.exe执行。 该Gh0st RAT变种具备多种规避与持久化技术。它通过访问令牌操纵启用SeDebugPrivilege以读取其他进程内存,执行用户和网络发现,并尝试识别并替换端口53的DNS进程以劫持流量。为检测虚拟机,它查询VMware相关注册表键,若发现则通过访问新浪博客页面解析HTML标题来解码C2地址。它还使用基于ping的休眠技术,并滥用应用层DNS通信来拦截包含“Alyac”、“Ahnlab”等安全厂商子串的域名访问,随后刷新DNS缓存。 此外,该RAT通过Netbios调用和IOCTL请求收集MAC地址和磁盘序列号等硬件标识。持久化通过写入Windows自启动注册表键、滥用Windows远程访问服务配置以及注册恶意Windows服务实现。它还通过监控mstsc.exe并调用GetKeyState()等函数捕获击键,专门窃取RDP会话中的高价值凭证。STRT已将相关行为映射至MITRE ATT&CK框架,并发布检测规则,包括监控非常规扩展名的rundll32.exe执行、基于ping的休眠命令、持久化注册表键、从%temp%执行进程以及对RemoteAccess RouterManagers\Ip注册表项的修改,以帮助防御者进行主动威胁狩猎。
2026-04-28 14:08:28
0 0 0 -
网络安全早报MiningDropper安卓恶意软件框架滥用开源手电筒应用,传播银行木马与RAT
黑客正滥用一个名为MiningDropper的模块化安卓框架,在受感染设备上挖掘加密货币并静默安装信息窃取程序、远程访问木马(RAT)和银行恶意软件。该框架采用多层架构,包括XOR混淆的原生代码、AES加密的载荷、动态DEX加载和反模拟器检查,旨在规避杀毒引擎并延迟研究人员分析。Cyble Research and Intelligence Labs (CRIL) 监测到其使用量激增,野外已发现超过1500个样本,其中超半数杀毒软件检出率极低。 感染链始于受害者安装被篡改的开源Lumolight手电筒应用。随后,应用加载包含混淆字符串和设备检查的原生库,若环境正常,则解密资产并加载第一阶段DEX文件。该引导加载程序会解密并加载第二阶段DEX,显示虚假的Google Play风格更新界面以分散用户注意,同时解密更多配置和载荷。第三阶段载荷作为分体APK安装程序,根据配置文件从多个加密“分体”中重建最终的恶意软件包。配置值决定框架是优先激活挖矿模块还是直接加载如BTMOB RAT等“用户载荷”。 目前至少存在两个主要攻击集群:一个针对印度用户,利用地区运输办公室(RTO)服务、银行和电信提供商主题的诱饵进行传播;另一个则针对欧洲、拉丁美洲和亚洲用户,最终载荷为BTMOB RAT。BTMOB RAT是一种源自SpySolr的高级安卓木马,具备凭证窃取、键盘记录、滥用无障碍功能接管设备、实时屏幕流传输、文件操作、录音以及通过网页注入和基于WebSocket的C2控制进行金融欺诈的能力。这种将加载器与最终载荷分离、通过配置驱动行为的模式,使MiningDropper更像一个“恶意软件即框架”,允许威胁行为体快速更换新的RAT或银行木马。
2026-04-28 14:08:28
0 0 0 -
网络安全早报FakeWallet加密货币窃贼通过苹果官方商店传播,主要针对中国用户
2026年3月,卡巴斯基在苹果App Store中发现超过20款伪装成流行加密钱包的网络钓鱼应用。该活动被命名为FakeWallet,至少自2025年秋季以来一直处于活跃状态。攻击者利用许多官方加密钱包应用在中国地区受限的机会,通过错拼品牌名(typosquatting)等策略将恶意应用上架。这些应用启动后,会引导用户到浏览器页面,利用iOS provisioning profiles安装被植入木马的合法钱包版本,如MetaMask、Ledger、Trust Wallet等。 该恶意软件旨在窃取恢复短语和私钥。针对热钱包,它通过注入恶意库来挂钩(hook)合法方法,在用户创建或导入钱包时直接窃取助记词。针对冷钱包(如Ledger),它则在应用内显示高度仿真的钓鱼通知,以“安全检查”为名诱骗用户输入助记词,甚至支持助记词自动补全功能。窃取的数据经RSA加密和Base64编码后,被发送至攻击者的C2服务器。 该活动主要针对中国用户,但其恶意模块可根据应用语言显示不同语种的钓鱼通知,对全球用户构成威胁。研究表明,攻击者可能与SparkKitty木马的创建者有关。卡巴斯基已将相关发现报告给苹果公司,部分恶意应用已被下架。
2026-04-28 14:08:28
0 0 0 -
网络安全早报Arctic Wolf发布社区工具Decipio,利用防御优先AI主动检测凭证窃取
Arctic Wolf宣布推出Decipio,这是一款新的社区共享网络安全工具,旨在帮助防御者在攻击者试图从网络内部窃取凭证时将其抓获。凭证窃取是最常见的网络攻击起点之一,也是最难早期检测的。根据《2026 Arctic Wolf威胁报告》,钓鱼攻击和凭证滥用是绝大多数已确认的商业电邮入侵事件的根源。攻击者正越来越多地使用自动化和AI驱动的工具来更快、更一致、更大规模地运行窃取技术。 Decipio的工作原理是主动设置“绊网”。该工具会发送精心构造的、针对本不存在的虚假网络资源的请求。合法系统会忽略这些请求,但试图窃取凭证的攻击者工具会响应。一旦收到响应,Decipio就能确认可疑行为并捕获清晰证据,以易于理解的方式呈现给防御者。与大多数关注攻击后果(如横向移动)的安全工具不同,Decipio采取了一种主动预警的方法。 该工具目前作为有限的、受控的社区测试版发布。Arctic Wolf表示,完全开源此类工具可能会加速防御者试图检测的行为,特别是在AI系统大规模抓取和自动化重用的时代。受控访问允许其与经过验证的从业者共享防御能力,同时限制滥用。Decipio已在一小部分Arctic Wolf客户和社区从业者中使用。
2026-04-28 14:08:28
0 0 0