每周网安资讯 （4.1-4.7）|Head Mare组织利用PhantomPyramid后门程序发动攻击

1、Konni组织假冒韩国政府机构发动鱼叉式网络钓鱼攻击

2025年1月起，Konni APT组织通过冒充韩国国家人权委员会及警察厅进行网络攻击。攻击者利用虚假电子邮件，以人权侵犯及黑客攻击事件等内容刺激收件人的不安心理，采用诱导回复的鱼叉式网络钓鱼技术，诱导收件人安装恶意文件。攻击中使用了多种恶意软件，如LNK快捷方式类型的恶意文件、AutoIT脚本等，并通过多个C2服务器进行控制。

2、Gamaredon钓鱼攻击活动使用LNK文件分发Remcos后门

自2024年11月以来，Cisco Talos正在追踪一个针对乌克兰用户的攻击活动。Gamaredon组织使用恶意LNK文件，运行PowerShell下载器，文件名使用与乌克兰军队调动相关的俄语单词作为诱饵。PowerShell下载器与位于俄罗斯和德国的地理围栏服务器进行连接，下载包含Remcos后门的第二阶段Zip文件。该攻击活动中使用了DLL侧加载来执行Remcos有效负载，还使用了一些伪装文件来掩盖攻击。

3、Head Mare组织利用PhantomPyramid后门程序发动攻击

2025年3月，卡巴斯基实验室发现针对俄罗斯工业企业的大规模定向邮件攻击。攻击者以某秘书处名义向潜在受害者发送包含恶意文件的邮件，附件采用polyglot技术，看似普通ZIP压缩文件，实则为包含恶意代码的二进制可执行文件。用户打开其中的快捷方式后，会启动powershell.exe执行一系列操作，包括查找并启动含后门的文件，提取部分文件内容并保存为另一个文件后执行。

4、HollowQuill行动：通过诱饵PDF将恶意软件植入俄罗斯研发网络

2025年初，SEQRITE Labs研究团队发现了一个名为Operation HollowQuill的攻击活动，攻击者以伪装成官方研究邀请的武器化诱饵文档为手段，针对俄罗斯的波罗的海国立技术大学等学术、政府和国防相关网络进行攻击。

5、黑客滥用WordPress MU插件隐藏恶意代码

近期，Sucuri的安全研究人员发现攻击者利用mu-plugins目录隐藏恶意代码，攻击WordPress网站。攻击者使用了多种恶意软件，如伪装成合法功能的假更新重定向恶意软件、可执行任意代码的Webshell以及用于注入垃圾内容的spam injector。