新型BERT勒索软件肆虐:多线程攻击同时针对Windows、Linux及ESXi系统

原创 于 2025-07-08 09:56:38 发布 · 330 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#bert #人工智能 #深度学习

勒索软件攻击示意图

趋势科技安全分析师发现,一个代号为BERT(内部追踪名Water Pombero)的新型勒索软件组织正在亚洲、欧洲和美国展开多线程攻击。该组织主要针对医疗保健、科技和会展服务行业,其活动范围显示其正成为勒索软件生态中的新兴威胁力量。

攻击技术分析

在Windows系统中,BERT通过PowerShell加载器(start.ps1)实施攻击,该脚本会执行以下操作:

  1. 禁用Windows Defender防火墙和用户账户控制(UAC)等防护机制
  2. 提权后从俄罗斯ASN 39134网络基础设施提供的开放目录下载有效载荷(payload.exe)
  3. 终止与Web服务器和数据库相关的服务
  4. 使用AES算法加密文件,添加.encryptedbybert扩展名并投放勒索信

安全人员在PowerShell脚本中发现俄语注释,暗示攻击者可能具有俄语背景。

跨平台攻击特性

该勒索软件的Linux变种(发现于5月)表现出更强攻击性:

  • 可启动50个并发线程快速加密目标目录
  • 强制关闭ESXi虚拟机以确保最大破坏效果
  • 采用模块化设计,二进制文件中嵌入了JSON格式的配置信息(包含密钥、扩展名和勒索信模板)

ESXi命令执行日志


ESXi命令执行及文件加密日志(图片来源:趋势科技)

技术演进与关联分析

研究发现BERT存在两个版本迭代:

  • 旧版采用两阶段加密(先收集文件路径后加密)
  • 新版通过ConcurrentQueue实现即时加密,每发现一个驱动器就生成DiskWorker线程

代码比对显示,BERT的Linux变种与2021年公开泄露的REvil勒索软件存在相似性,表明攻击者可能基于历史高调攻击中使用的框架进行开发。

FreeBuf-
关注
博客
OpenAI推出“修补地球“项目,以AI维护开源供应链安全
06-24 48
今天,OpenAI发布Daybreak(破晓)网络安全计划,一口气甩出三张牌:满血版GPT-5.5-Cyber、更新版Codex Security、以及一个听起来就很燃的项目——Patch the Planet(修补地球)。Patch the Planet要解决的问题,不是"怎么发现漏洞"——这件事AI已经做得足够快了。它要解决的是:发现漏洞之后,怎么让修复真正落地。
博客
新型iPhone BootROM漏洞永久性破坏信任链,A12/A13芯片无法修复
06-23 347
苹果设备曝出不可修复的BootROM漏洞usbliter8,影响A12/A13/S4/S5芯片。该漏洞利用Synopsys DWC2 USB控制器硬件缺陷与固件配置漏洞,通过DMA缓冲区下溢实现任意代码执行。漏洞允许完全控制启动链,支持无签名启动iBoot等特权操作。由于存在于不可更改的BootROM中,唯一解决方案是升级至A14及以上设备。研究团队已公开PoC并完成漏洞披露流程。
博客
Chrome扩展程序存在严重漏洞,攻击者可轻松入侵数百万浏览器
06-23 195
Chrome扩展程序SiderAI和MaxAI被曝存在严重安全漏洞(Spyder和MaXSS),影响超1000万用户。漏洞源于扩展程序未严格验证网页输入,允许攻击者通过恶意网站完全控制浏览器会话,窃取Gmail、Google日历等敏感数据,甚至操作本地文件。研究人员发现攻击无需用户交互即可触发,目前已通报开发商和Google但未获回应。安全专家建议用户立即卸载相关扩展,该事件揭示了AI类浏览器扩展的安全风险正在升级。
博客
黑客滥用Claude和Codex自动化攻击,窃取数据并伪装红队测试
06-22 219
近期发现黑客滥用Claude和Codex等AI工具实现全流程自动化网络攻击。攻击者通过伪装红队演练,利用AI完成漏洞利用、数据窃取等操作,大幅降低攻击门槛。典型案例显示,攻击者部署AI模型自动编写漏洞利用代码(如CitrixBleed等),窃取数据库并生成详细攻击报告。AI还能协助破解加密钱包、绘制内网图谱,并通过身份伪装绕过安全限制。该事件暴露AI作为"键盘手"帮凶的风险,建议加强AI日志取证、API保护及建立针对性检测机制。
博客
上班蹲机房,下班回家继续:Steam上架了一款IT牛马模拟器
06-22 226
Steam平台小众游戏《DataCenter》近期意外爆红,这款售价8.99美元的数据中心模拟器让IT从业者直呼"上班搬砖下班游戏加班"。游戏精准复刻了从机架搭建到网络布线的全过程,玩家需要手动连接每一根网线、平衡服务器负载,甚至处理设备老化问题。游戏走红后,开发团队持续更新VLAN、命令中心等专业功能,使其逐渐成为兼具娱乐性和教学价值的运维模拟工具。当前Steam收获700余条"多半好评",成为科技爱好者们的新型"电子榨菜"。
博客
Anthropic新发模型Claude Fable 5快速被越狱
06-12 450
Anthropic 于 2026 年 6 月 9 日发布了 Claude Fable 5,作为其新 Mythos 系列中首个公开可用的模型,也是该公司迄今为止最强大的人工智能,在软件工程、知识工作和视觉基准测试方面表现出色。
博客
美国NSA被曝用Claude Mythos展开网络攻击
06-08 258
Anthropic公司已向美国国家安全局(NSA)派驻约六名"前线部署"工程师,协助该情报机构运用其最先进的网络AI模型Mythos开展进攻性网络行动。两名知情人士透露,该技术对渗透中国、伊朗等国的网络具有重要价值,但尚不清楚这些工程师是否直接参与实战行动,或仅负责系统定制与部署。
博客
Anthropic扩大Project Glasswing项目范围 向150家新机构开放Claude Mythos预览版
06-05 457
Anthropic公司扩大网络安全计划Project Glasswing,新增约150家机构获得Claude Mythos预览版访问权限。该项目已帮助早期合作伙伴发现超1万个高危漏洞,新成员涵盖关键基础设施和开源组织。Claude Mythos功能扩展至补丁编写、渗透测试等防御任务。Anthropic预警未来6-12个月可能出现类似模型滥用风险,正在开发公共版安全工具的同时强调需先完善防滥用机制。长期目标是将AI应用于网络安全全周期,为防御方建立持久优势。
博客
每周下载量超2.7万次的Codex UI工具暗中窃取OpenAI刷新令牌
06-02 246
2026年5月,AikidoSecurity披露热门npm包codexui-android实为供应链攻击工具。这款OpenAI Codex的网页界面每周下载2.7万次,其发布的npm包中隐藏恶意代码,窃取包括永久有效的refresh_token在内的身份凭证,并通过伪装成Sentry流量外泄数据。攻击者还通过Google Play上伪装成合法应用的Android程序传播恶意包。研究发现攻击者精心构建实用工具建立信任,恶意行为仅存在于编译后代码中。尽管开发者否认,恶意包仍在流通,凸显AI开发工具成为新型攻击目
博客
黑客用AI Agent仅两分钟便攻破数据库,传统防御失效
06-01 480
Sysdig公司发现首个由AI驱动的网络攻击案例,攻击者利用LLM Agent实时生成攻击指令,通过暴露的marimo notebook服务器漏洞(CVE-2026-39987)在22分钟内完成入侵,窃取内部数据库。攻击采用分布式IP策略绕过检测,展现出动态适应性和机器优化特征。防御需升级至marimo 0.23.0+,启用行为检测,并轮换凭证。此次事件标志攻击方式从静态脚本转向AI驱动的实时自适应攻击。
博客
洛杉矶地铁遇袭事件:披着黑客活动外衣的国家级网络攻击行动
05-29 250
伊朗黑客组织AbabilofMinab声称入侵洛杉矶运输局(LAMetro)等机构,但安全公司GambitSecurity分析发现其实际为伊朗情报部门关联组织BlackShadow的伪装。攻击采用精心策划的双重破坏模式,同时利用ChatGPT优化攻击脚本。调查显示该组织选择性公开破坏性攻击,同时秘密窃取以色列、土耳其等多国机构数据。技术溯源发现攻击工具开发路径及加密漏洞,最终揭露这场刻意模糊身份的国家级网络行动本质。
博客
GitHub证实被入侵,4000个私有仓库被窃取
05-28 92
GitHub证实被TeamPCP入侵,4000个私有仓库被盗并以5万美元兜售。官方称客户数据或未受影响,但攻击者系惯犯,通过窃取CI/CD凭据渗透。
博客
Anthropic将开放Claude Mythos,企业版已发现超1万高危漏洞!
05-27 347
Anthropic公司即将商用其最强AI模型ClaudeMythos,命名为Mythos1(claude-mythos-1-preview),将整合至ClaudeCode开发环境和ClaudeSecurity安全仪表盘。该模型自2026年3月意外泄露后,通过"玻璃翼计划"已为40余家机构检测出1万多个高危漏洞。最新迹象显示公司正放宽限制,准备分阶段向公众开放。
博客
Claude Mythos Preview 实现自动化漏洞研究突破,可构建PoC漏洞利用链
05-20 315
研究结果表明,AI模型已能填补"发现漏洞"与"构建有效利用链"之间的技术鸿沟。
博客
智能攻防元年:渗透测试Agent迎来大考,AI如何从“能打”走向“可控”
04-30 548
第二届腾讯云黑客松智能渗透挑战赛决赛在北京落幕,以"铸刃止戈·以智御危"为主题,吸引610支战队参赛。绿盟科技“ai小分队”夺冠,赛事验证了AI在安全攻防中的潜力,也暴露出AI对现实安全场景理解的不足。比赛设置主赛场和零界平行赛场,考察AI智能体的渗透能力和自主决策能力。专家指出,AI攻防的痛点在于对真实世界的理解,而非算力或架构。圆桌讨论聚焦可信可控的AI安全体建设,强调需在AI能力与安全约束间找到平衡。赛事为AI安全领域的发展提供了重要参考。
博客
朝鲜黑客通过伪装Excel文件向制药公司投放恶意软件
04-30 388
朝鲜黑客伪装Excel攻击药企,窃取机密数据。
博客
基于Claude Opus 4.6的AI编程Agent在9秒内删除了生产数据库
04-30 452
AI代理违规删库致30小时瘫痪,暴露多层安全架构失效。
博客
Windows版Nessus Agent漏洞可导致SYSTEM权限任意代码执行
04-29 142
Windows版Nessus Agent漏洞可致SYSTEM权限任意代码执行,企业需紧急修复。
博客
Mythos 改写了漏洞发现的游戏规则,但多数团队尚未做好修复准备
04-29 410
AI漏洞发现速度远超修复能力,企业安全体系面临崩溃风险。
博客
ClickFix攻击新变种:利用cmdkey与远程regsvr32替代PowerShell实施载荷投递
04-29 407
ClickFix新变种利用cmdkey+regsvr32无文件攻击,规避传统检测手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值