文章总结: 一项名为KhmerShadow的间谍活动针对柬埔寨政府机构,攻击者滥用VMware签名二进制文件通过DLL侧载植入NIGHTFORGE加载器。该加载器使用NTDLL解钩和HellsGate技术绕过安全监控,注入HavocDemon后门实现远程控制。攻击采用政府主题诱饵文件,通过Cloudflare反向代理隐藏C2服务器。建议实施DLL加载路径控制和应用程序允许列表防护。 综合评分: 82 文章分类: 恶意软件,威胁情报,APT事件,漏洞分析,红队
黑客利用VMware签名的二进制文件侧载NIGHTFORGE加载器进行间谍攻击
爱拍照的老李 爱拍照的老李
爱拍照的老李
2026年6月12日 09:00 湖北
在小说阅读器读本章
去阅读
导读
一项新发现的间谍活动一直在悄悄针对柬埔寨政府机构,攻击者滥用一个合法的、经过数字签名的VMware二进制文件,将名为NIGHTFORGE的自定义恶意加载器植入受害者系统。
这种DLL侧载使攻击者能够躲在可信应用背后,避免通过大多数安全工具触发警报。这场名为“Khmer Shadow(高棉影子)”的活动针对柬埔寨国防相关机构和公共基础设施机构,表明目标是区域战略情报而非经济利益。
该活动表明,这是一个资源充足、精通规避战术且对东南亚地缘政治事务有明确兴趣的威胁组织。
Acronis威胁研究单位(TRU)的分析师识别了该行动,并将其视为两个密切相关但截然不同的间谍行动的一部分,使用了几乎相同的工具和基础设施。
Acronis TRU在一份报告中表示,该活动具有间谍活动动机,且很可能与东南亚地区情报收集利益相关联。
这两个黑客活动共用相同的加载器、相同的最终有效载荷,甚至相同的指挥控制基础设施,强烈指向Acronis追踪的Amber Saolao是一个单一的威胁集群。
两者都利用政府主题的诱饵文件诱使接收者启动感染链。两场竞选活动中工具和基础设施的持续重复使用表明该组织已低调运作一段时间。
特别引人注目的是,他们使用了合法的VMware二进制文件VmwareSampling.exe来加载恶意代码。由于可执行文件由VMware签名,大多数安全产品不会在看到时就拦截或标记它。
黑客滥用VMware签名的二进制文件
最初的入侵始于通过网络钓鱼传输的压缩档案。
在邮件中,受害者发现一份政府主题的文件,设计成合法外交通信,同时还附有签署的VMware可执行文件和一个被放置在同一目录中的恶意DLL。
当受害者运行可执行文件时,它会自动加载被毒的DLL,作为NIGHTFORGE加载器。
NIGHTFORGE 并非简单的掉入器,它通过 NT DLL 解钩,剥离安全工具在 Windows 系统调用上设置的监控钩子。
随后,它使用一种称为 HellsGate 的技术在运行时解析系统调用号,完全绕过安全产品监控的通常 API 路径。
规避完成后,加载器解密并直接注入Havoc Demon有效载荷到内存,磁盘上不留下加密文件痕迹。
Havoc Demon 是一个开源的后利用框架,常用于红队行动,但在实际攻击中被滥用的次数越来越多。
它赋予操作员对感染机器的完全远程控制,包括命令执行、文件访问和凭证采集。
植入体通过443端口与其命令控制服务器通信,融入普通网络流量以绕过网络监控工具。
持久性与C2基础设施
一旦植入物激活,NIGHTFORGE 通过创建一个名为 VmwareSampling 的计划任务来建立持久性,并有意镜像它随附的合法 VMware 二进制文件。
这种命名方式有助于恶意任务融入管理员可能忽略的VMware相关条目中,减少人工检测的风险。
两个战役的C2基础设施几乎相同。saornfila[.]loU 作为主要的命令和控制地址,流量通过基于 Cloudflare 的反向代理路由,以隐藏真实的起始服务器。
分析中确认的实际后端托管在乌克兰,同时还发现了另一台此前未知的美国服务器,服务于一个连接的域名。
Acronis的研究人员建议组织对DLL加载路径实施严格控制,并应用允许列表以阻止未授权的可执行文件。
技术报告:
《高棉阴影背后:针对柬埔寨政府机构的定向间谍活动》
https://www.acronis.com/en/tru/posts/behind-khmer-shadow-targeted-espionage-against-cambodian-government-entities/
新闻链接:
Hackers Abuse VMware-Signed Binary to Sideload NIGHTFORGE Loader in Espionage Attacks
今日安全资讯速递
APT事件
Advanced Persistent Threat
- 黑客利用VMware签名的二进制文件侧载NIGHTFORGE加载器进行间谍攻击
一项新发现的间谍活动一直在悄悄针对柬埔寨政府机构,攻击者滥用一个合法的、经过数字签名的VMware二进制文件,将名为NIGHTFORGE的自定义恶意加载器植入受害者系统。
🔗https://cybersecuritynews.com/hackers-abuse-vmware-signed-binary-to-sideload-nightforge-loader/
- BLUERABBIT后门加密文件并擦除Windows系统
一种名为BLUERABBIT的新型基于Golang的后门被发现对Windows主机实施数据窃取、文件加密和破坏性磁盘擦除的组合攻击。该后门首次出现于2026年3月中下旬,疑似针对以色列实体,实施了全方位入侵框架:远程访问、系统分析、数据窃取、附加.candy扩展名的文件加密,以及两种独立的磁盘擦除程序。
🔗https://gbhackers.com/bluerabbit-backdoor-encrypts-files/
- JDY僵尸网络利用1500多台SOHO和IoT设备进行快速漏洞利用
一个由受感染路由器和智能设备组建的僵尸网络已发展成为与威胁组织相关的最强大侦察工具之一。研究人员发现名为JDY的僵尸网络控制着超过1500台小型办公和家庭办公(SOHO)以及物联网(IoT)设备。
🔗https://cybersecuritynews.com/china-linked-jdy-botnet-uses-1500-soho-and-iot-devices/
一般威胁事件
General Threat Incidents
- GitHub将默认禁用npm安装脚本以阻止供应链攻击
GitHub宣布npm 12版本将迎来“突破性变更”,其中一项是默认关闭安装脚本,以应对软件供应链威胁。
🔗https://thehackernews.com/2026/06/github-to-disable-npm-install-scripts.html
- The Gentlemen ransomware已造成478名受害者,可像蠕虫一样传播
对“The Gentlemen”行动的新分析显示,这个以经济利益为动机的威胁组织最初作为附属机构运作,负责实施双重勒索攻击,同时利用来自多个勒索软件即服务(RaaS)方案的资源,如LockBit(又名Tenacious Mantis)、Qilin(又名Pestilent Mantis)和Medusa(又名Venomous Mantis)。
🔗https://thehackernews.com/2026/06/the-gentlemen-ransomware-claims-478.html
- 新型攻击诱骗OpenClaw AI代理执行代码并泄露机密
两个安全团队在本周发布的独立研究中表明,流行的自托管AI代理OpenClaw可以通过看似普通的输入被诱导运行攻击者控制的代码或交出敏感数据。
🔗https://thehackernews.com/2026/06/new-attacks-trick-openclaw-ai-agent.html
- 诺丁汉大学在黑客泄露数据后确认发生数据泄露
ShinyHunters黑客组织已承认对此次攻击负责,泄露了超过45万个电子邮件地址和其他信息。英国诺丁汉大学已确认,ShinyHunters黑客团体泄露了从该校系统中被盗的文件,导致该校发生数据泄露。
🔗https://www.securityweek.com/university-of-nottingham-confirms-breach-after-hackers-leak-data/
- ShinyHunters利用Oracle PeopleSoft零日漏洞(CVE-2026-35273)入侵大学
ShinyHunters勒索团伙利用Oracle PeopleSoft中一个未修补的漏洞入侵企业系统,窃取数据并索要赎金以保证数据不被公开。该活动对大学的打击最为严重。
🔗https://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html
- 黑客利用伪造的Claude代码指南和AI PDF传播AsyncRAT恶意软件
黑客正使用伪造的Claude Code指南和AI PDF文件,通过Windows攻击传播AsyncRAT恶意软件,该攻击利用PowerShell和Defender排除项。
🔗https://hackread.com/hackers-fake-claude-code-guide-ai-pdfs-asyncrat/
- 网络罪犯利用中文担保市场销售被盗凭证
托管在Telegram上的中文“担保”市场已成为买卖和洗钱被盗凭证及各种犯罪服务的核心渠道。这些平台模仿支付宝担保交易(dānbǎo jiāoyì)作为第三方担保人。这些市场支撑着东南亚诈骗产业、洗钱团伙和跨国欺诈行动。
🔗https://gbhackers.com/chinese-guarantee-markets-exploited/
- 黑客利用AWS CloudTrail和Google Cloud Logging隐藏攻击并窃取日志
威胁组织越来越多地滥用Amazon Web Services(AWS)CloudTrail和Google Cloud Logging来逃避检测、污染或窃取日志,在某些情况下还能长期监视受害者环境。这些技术概念简单,效果强大,能逃避许多认为日志本身神圣不可侵犯的组织。
🔗https://gbhackers.com/aws-cloudtrail-and-google-cloud-exploited/
- 法国Tchap数据泄露:65万条消息、7.3万个账户遭曝光
一名攻击者声称通过一个被劫持的账户泄露了65万条消息和7.3万个账户后,法国官员正在调查Tchap的安全漏洞。
🔗https://www.techrepublic.com/article/news-tchap-breach-emea-france/
漏洞事件
Vulnerability Incidents
- 攻击者利用Langflow严重漏洞实施远程代码执行
攻击者已开始积极利用Langflow中的一个高严重性漏洞,编号为CVE-2026-5027,该漏洞通过平台文件上传功能的路径穿越漏洞实现了远程代码执行。该漏洞的CVSS v3评分为8.8。
🔗https://gbhackers.com/attackers-exploit-critical-langflow-flaw/
- CVE-2026-10520被利用:Ivanti Sentry网关在补丁发布后不久遭攻陷
攻击者正在利用 Ivanti Sentry 中关键的 CVE-2026-10520 漏洞,在补丁发布后不久就攻破了许多暴露在互联网中的网关。
🔗https://securityaffairs.com/193530/uncategorized/cve-2026-10520-exploited-ivanti-sentry-gateways-compromised-shortly-after-patch-release.html
- Ivanti Endpoint Manager Mobile漏洞允许远程代码执行攻击
Ivanti Endpoint Manager Mobile (EPMM) 中的一个高严重性漏洞 CVE-2026-6973 可能允许经过认证的攻击者通过注入恶意 Apache 配置指令实现远程代码执行。该漏洞 CVSS 评分 7.2,被归类为配置控制漏洞(CWE-15),影响多个版本的 Ivanti EPMM。
🔗https://cybersecuritynews.com/ivanti-endpoint-manager-mobile-vulnerability/
- “GreatXML”0day漏洞利用绕过BitLocker
安全研究员Nightmare Eclipse发布新的Windows BitLocker绕过程序,仅在发布针对Microsoft Defender漏洞攻击的第二天。该PoC利用Microsoft Defender的离线扫描功能,在Recovery Mode(恢复模式)重启时生成SYSTEM权限的shell。
🔗https://www.securityweek.com/greatxml-zero-day-exploit-bypasses-bitlocker/
- Oracle紧急安全更新修复严重RCE漏洞
Oracle已发布紧急安全警报,以解决影响PeopleSoft Enterprise PeopleTools的关键远程代码执行漏洞(CVE-2026-35273)。该漏洞的CVSS v3.1评分为9.8,凸显了其严重性及企业环境中迫切需要修复的必要性。该缺陷存在于PeopleSoft的Updates Environment Management组件中…
🔗https://cybersecuritynews.com/oracle-security-update/
- 针对来宾到主机逃逸的Linux内核漏洞的PoC利用代码已发布
针对Linux内核关键漏洞CVE-2026-46316的概念验证(PoC)exploit已发布,该漏洞可在arm64系统的KVM环境中实现guest-to-host escape。这个名为“ITScape”的缺陷允许攻击者突破虚拟机,并在主机上以完整内核级权限执行任意命令。
🔗https://cybersecuritynews.com/poc-exploit-released-linux-kernel-vulnerability/
- CISA警告Check Point安全网关漏洞在ransomware攻击中被主动利用
CISA已将Check Point Security Gateway中的一个关键漏洞添加到其已知被利用漏洞(KEV)目录中,警告威胁行为者正积极在勒索软件活动中利用该漏洞。该漏洞编号为CVE-2026-50751,允许未认证的远程攻击者绕过用户认证并建立未授权的VPN连接,对……构成严重风险。
🔗https://cybersecuritynews.com/cisa-check-point-security-gateway-vulnerability/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:爱拍照的老李 爱拍照的老李 爱拍照的老李《黑客利用VMware签名的二进制文件侧载NIGHTFORGE加载器进行间谍攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论