Aggregator

While 47% of organizations claim to have implemented shift left security strategies, many still struggle with execution gaps and security inefficiencies, according to Pynt. Of those who haven’t implemented shift left, half of them have no plans to do so at all. Shift left security gains momentum Since shift left security was introduced, companies have been trying to live up to its promise: identifying and addressing security issues earlier in the software development lifecycle, ideally … More →

The post Shift left strategy creates heavy burden for developers appeared first on Help Net Security.

Here’s a look at the most interesting products from the past week, featuring releases from Anchore, Cyble, Outpost24, and ThreatMark. Outpost24 simplifies threat analysis with AI-enhanced summaries Outpost24 announced the addition of AI-enhanced summaries to the Digital Risk Protection (DRP) modules within its External Attack Surface Management (EASM) platform. With Outpost24’s DRP modules, organizations are able to identify, monitor, and protect against threats before they can be exploited. Cyble Titan strengthens endpoint security Cyble announced … More →

The post New infosec products of the week: May 23, 2025 appeared first on Help Net Security.

本月早些时候，针对Lumma恶意软件即服务（MaaS）信息窃取行动的协同破坏行动在全球范围内冻结了数千个域名及其基础设施的一部分。

这一行动涉及多家科技公司和执法机构，导致微软在2025年5月13日对恶意软件采取法律行动后，查封了大约2300个域名。

与此同时，美国司法部（DOJ）通过查封Lumma的控制面板，破坏了向网络犯罪分子出租恶意软件的市场，而欧洲刑警组织（Europol）的欧洲网络犯罪中心（EC3）和日本网络犯罪控制中心（JC3）则帮助查封了Lumma在欧洲和日本的基础设施。

在2025年3月16日至5月16日期间，微软在全球范围内发现了超过39.4万台Windows电脑感染了Lumma恶意软件。与执法部门和行业合作伙伴合作，切断了恶意工具和受害者之间的联系。

Lumma Stealer的破坏行为使Lumma运营商无法访问其控制面板、被盗数据市场以及用于促进数据收集和管理的互联网基础设施。这些措施给Lumma运营商及其客户带来了运营和财务成本，迫使他们在替代基础设施上重建服务。

其他参与针对Lumma基础设施联合行动的公司包括ESET、CleanDNS、Bitsight、Lumen、GMO Registry和全球律师事务所Orrick。

域名查封横幅

Cloudflare表示，Lumma Stealer滥用他们的服务来隐藏服务器的原始IP地址，这些服务器是威胁者用来收集被盗凭据和数据的。

即使在暂停了该操作使用的域名后，恶意软件也绕过了Cloudflare的间隙警告页面，导致该公司采取额外措施阻止数据泄露。

Cloudflare的信任和安全团队反复标记犯罪分子使用的域名，并暂停了他们的账户。

在2025年2月，Lumma的恶意软件被观察到绕过了Cloudflare的间隙警告页面，这是Cloudflare用来破坏恶意行为者的一种对策。作为回应，Cloudflare将Turnstile服务添加到插页警告页面中，因此恶意软件无法绕过它。

什么是Lumma恶意软件

Lumma（也被称为LummaC2）是一款恶意软件即服务信息窃取软件，目标是Windows和macOS系统，网络犯罪分子可以以250美元到1000美元的价格租用该软件。

该恶意软件具有高级逃避和数据窃取功能，通常通过各种渠道传播，包括GitHub评论、deepfake裸体生成器网站和恶意广告来感染受害者。

在入侵系统后，Lumma可以从web浏览器和应用程序中窃取数据，包括加密货币钱包和cookie、凭证、密码、信用卡和b谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium浏览器的浏览历史记录。

然后，这些被盗数据被收集到一个档案中，并发送回攻击者控制的服务器，攻击者将在网络犯罪市场上出售这些信息，或将其用于其他攻击。

该软件于2022年12月首次在网络犯罪论坛上出售，KELA报告称，仅仅几个月后，该软件就在网络犯罪分子中流行起来。

正如IBM X-Force的《2025年威胁情报报告》所指出的那样，去年在暗网上出售的信息伪造者凭证增加了12%，而通过网络钓鱼提供的信息伪造者数量大幅增加了84%，其中Lumma是最普遍的。

Lumma已被用于大规模恶意广告活动，影响了数十万台pc，并被许多臭名昭著的威胁组织和恶意分子使用，包括 Scattered Spider 网络犯罪集团。

最近，利用窃取信息的恶意软件窃取的数据已经成为PowerSchool、HotTopic、CircleCI和Snowflake的高影响漏洞的幕后黑手。

除了被用来破坏公司网络之外，infostealer恶意软件窃取的凭证也被用来通过破坏网络路由信息来造成混乱，正如威胁者劫持Orange Spain RIPE帐户来错误配置BGP路由和RPKI配置所示。

本周，FBI和CISA还发布了一份联合咨询报告，详细介绍了与部署Luma恶意软件的威胁者相关的入侵指标（ioc）和已知战术、技术和程序（TTPs）。

一个新发现的网络钓鱼活动通过伪装成Zoom紧急会议邀请来瞄准用户。这种欺骗策略利用对工作场所通信相关的熟悉和信任来诱骗受害者进入旨在窃取其登录凭证的陷阱当中。

网络安全研究人员对这种攻击进行了标记。在一个假的会议页面，上面有一段所谓“参与者”的视频，恶意分子以此来制造一种虚假的合法性。邮件主题和内容中隐含的紧迫性会迫使收件人不假思索地点击恶意链接。

— SpiderLabs (@SpiderLabs) 

精心设计的诈骗邮件仿冒

这些网络钓鱼邮件制作精良，模仿了 Zoom 正式通知的品牌标识和格式，以降低用户的警惕性。

一旦用户点击嵌入的链接，他们就会被重定向到一个假冒的会议页面，该页面会提示他们输入 Zoom 凭证或其他敏感信息。

此页面托管在乍一看合法但实际上经过细微篡改以逃避粗略审查的域名上。

在幕后，被盗的数据很可能会通过被攻破的应用程序编程接口（API）或消息服务被传送给攻击者，从而实现凭证的迅速外泄，以便进一步加以利用。

专家警告称，此类攻击往往会导致更广泛的网络入侵，因为被盗的凭证可被用于访问企业系统，从而形成一个不断被攻破的恶性循环。

攻击机制的技术剖析

网址中使用个性化参数，例如目标 ID 和用户名，表明攻击者可能利用了先前泄露的数据或侦察信息来定制其网络钓鱼尝试，从而使其更具说服力。

这种高度定制化的程度表明与普通的网络钓鱼活动相比，它更加复杂，因为它利用了特定的用户信息来提高电子邮件的可信度。

安全研究人员强烈建议用户应避免点击可疑链接，并通过已知的通信渠道直接联系发件人或手动导航到Zoom平台来验证任何意外的会议邀请的真伪。

攻击者的策略也依赖于心理操纵，利用人们害怕错过重要会议或未及时回复同事时的不安。这种社会工程学手段在快节奏的工作环境中特别有效，因为员工可能没有时间仔细检查每封电子邮件。

此外，网络安全意识培训仍然是一个重要的防御措施，实施像MailMarshal这样的电子邮件过滤解决方案也是如此，以在威胁到达收件箱之前检测和阻止这些威胁。

鼓励各组织在所有平台上采用多因素身份验证（MFA），以增加额外的安全层，即使凭证被泄露也应该及时采取此类措施。