每周安全速递³⁷⁴ | Osiris勒索软件利用BYOVD技术禁用安全工具
发布时间:2026-02-02
阅读次数: 77 次
1、Osiris勒索软件利用BYOVD技术禁用安全工具
研究人员发现一种新型Osiris勒索软件,其在2025年11月针对东南亚某大型餐饮连锁运营商的攻击中被启用,攻击者借助自带易受攻击驱动(BYOVD)技术,滥用POORTRY驱动来禁用目标设备上的安全工具,为后续攻击铺路。这款勒索软件具备完整的攻击功能,可终止各类服务与进程、精准筛选文件及文件夹进行加密、投放勒索信,采用混合加密算法保障加密强度,给加密文件添加专属.Osiris后缀,同时删除系统快照并终止数据库、备份等关键进程,切断受害者的数据恢复路径。目前Osiris勒索软件的开发者身份及是否以勒索即服务(RaaS)模式运营尚未明确,但研究人员发现其与INC勒索软件团伙存在潜在关联,攻击中工具复用、数据窃取及伪装手法均与该团伙过往操作高度相似。
https://securityaffairs.com/187279/security/osiris-ransomware-emerges-leveraging-byovd-technique-to-kill-security-tools.html
研究人员发现一款名为sympy-dev的恶意PyPI包,该包仿冒热门Python符号数学库SymPy,后者月下载量达8500万次,攻击者复制了SymPy的项目描述及品牌元素,以此诱导用户误安装。该恶意包于2026年1月17日发布4个版本(1.2.3至1.2.6),均含恶意代码,维护者标注为Nanit,上线首日下载量即突破1000次,虽下载量不等同于感染量,但已快速渗透至开发者及持续集成(CI)环境。包内恶意代码注入下载器及内存执行程序到SymPy多项式代码路径,调用后会获取远程JSON配置、下载攻击者控制的ELF负载,通过Linux内存文件描述符技术执行,减少磁盘痕迹,实测下载的负载为XMRig加密挖矿程序,通过TLS连接矿池端点,配置及负载均来自两个指定控制服务器。
https://socket.dev/blog/pypi-package-impersonates-sympy-to-deliver-cryptomining-malware
3、攻击者利用Defendnot绕过防御投放勒索软件
安全研究人员披露,一场针对俄罗斯用户的多阶段恶意攻击活动正在活跃传播,该行动通过社会工程手段结合滥用GitHub和Dropbox等合法云服务,实现对系统的隐蔽入侵和勒索软件投放。FortiGuard Labs分析指出,攻击链始于伪装成正常商务文件的诱饵文档,用户打开后会看到虚假任务或提示信息,而真实的恶意脚本在后台悄然执行并建立持久控制。该攻击最显著的特征在于利用名为Defendnot的工具,该工具原本用于安全研究,旨在演示Windows安全中心信任机制的缺陷。攻击者将其武器化,用于直接关闭Microsoft Defender防护功能,从而在不依赖漏洞利用的情况下“合法”解除系统安全防线,为后续恶意负载铺平道路。
参考链接:
https://securityonline.info/github-dropbox-weaponized-defendnot-tool-used-to-disable-windows-defender/
4、ShinyHunters团伙泄露数百万条用户及企业数据
黑客团伙ShinyHunters再度活跃,于2026年1月22日通过Telegram发布暗网链接,公开泄露SoundCloud、Crunchbase及Betterment三家平台的数百万条用户及企业数据,此次泄露源于对三家公司的勒索未遂。该团伙搭建专属暗网泄露站点,宣称“要么付款要么泄露”,并放话后续将发起更多数据泄露攻击。泄露数据含Betterment超2000万条个人身份信息、Crunchbase超200万条企业数据及SoundCloud超3000万条用户记录。值得注意的是,SoundCloud去年12月曾确认数据泄露,影响约3500至3600万用户,与该团伙宣称的泄露规模高度吻合。
参考链接:
https://hackread.com/shinyhunters-leak-soundcloud-crunchbase-betterment-data/
俄罗斯公民伊亚尼斯·亚历山德罗维奇·安特罗彭科(Ianis Aleksandrovich Antropenko)近日在美国得克萨斯州北区联邦地区法院认罪,承认在2018年至2022年的四年间领导勒索软件阴谋,攻击至少50名受害者。他被控合谋洗钱、合谋计算机欺诈与滥用,面临最高25年监禁、75万美元罚款,同时需向受害者支付赔偿金并没收非法所得财产,此案因嫌犯在美境内实施多数犯罪行为而显得尤为特殊。安特罗彭科移居美国前后均参与勒索软件攻击,在佛罗里达和加州居住期间犯下多起罪行,2024年被捕后罕见获准保释,却在去年四个月内三次违反审前释放条件,含两次因吸毒酗酒引发危险行为被捕。
https://cyberscoop.com/ianis-antropenko-russian-ransomware-leader-guilty/
浙公网安备 33010502006954号 
