Rare Werewolf组织网络攻击:手法多样威胁俄及CIS国家
发布时间 2025-06-111. Rare Werewolf组织网络攻击:手法多样威胁俄及CIS国家
6月10日,Rare Werewolf(前称 Rare Wolf)黑客组织,也被称为 Librarian Ghouls 和 Rezet,被认定为高级持续性威胁(APT)组织,与一系列针对俄罗斯和独立国家联合体(CIS)国家的网络攻击有关,自 2019 年以来一直活跃。该组织攻击意图是在受感染主机上建立远程访问、窃取凭证并部署加密货币矿工,影响数百名俄罗斯用户,涉及工业企业和工程院校,白俄罗斯和哈萨克斯坦也有少量感染。其攻击显著特征是倾向于使用合法第三方软件,恶意功能通过命令文件和 PowerShell 脚本实现。该威胁行为者通过钓鱼邮件获取初始访问权限,利用立足点窃取数据并投放多种工具,用于交互、收集密码和禁用防病毒软件。卡巴斯基记录的最新攻击显示,以包含可执行文件的受密码保护压缩包为起点,压缩包中有安装程序,用于部署合法工具及其他载荷,包括诱饵 PDF 文档。中间载荷从远程服务器获取其他文件,还使用 AnyDesk 远程桌面软件和 Windows 批处理脚本促进数据窃取和矿工部署,批处理脚本能自动唤醒受害者系统并允许攻击者远程访问。利用第三方合法软件进行恶意目的是常见技术,增加了 APT 活动检测和归因难度。
https://thehackernews.com/2025/06/rare-werewolf-apt-uses-legitimate.html
2. DanaBot恶意软件漏洞“DanaBleed”暴露致其被查
6月10日,2022年6月更新中,DanaBot恶意软件操作引入的名为“DanaBleed”的漏洞,导致其在后续执法行动中被识别、起诉并拆除。DanaBot是一个活跃于2018年至2025年的恶意软件即服务(MaaS)平台,常用于银行欺诈、凭证盗窃、远程访问和DDoS攻击。Zscaler ThreatLabz研究人员发现该漏洞,内存泄漏使他们得以深入了解恶意软件内部操作及其背后人员。利用此漏洞,国际执法部门开展“终局行动”,使DanaBot基础设施下线,并起诉该威胁组织16名成员。DanaBleed漏洞随DataBot版本2380引入,该版本新增C2协议,但新协议逻辑存在弱点,未为随机生成的填充字节初始化新分配内存,导致C2响应包含服务器内存中剩余数据片段,类似2014年HeartBleed问题。此漏洞使大量私人数据暴露给研究人员,包括威胁行为者详细信息、后端基础设施、受害者数据、恶意软件更新日志、私人加密密钥、SQL查询和调试日志以及C2仪表板的HTML和Web界面片段等。三年多来,DanaBot一直处于受损模式,开发人员或客户未察觉已暴露。当收集到足够数据后,执法部门采取行动,虽核心团队仅被起诉未被逮捕,但关键C2服务器、650个域名和近400万美元加密货币被查封,暂时消除了威胁。未来威胁行为者重返网络犯罪活动的可能性不大,且黑客社区信任度降低将成为其一大障碍。
https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/
3. FIN6黑客组织冒充求职者传播恶意软件“More Eggs”
6月10日,与典型招聘相关社会工程攻击不同,FIN6黑客组织冒充求职者,利用社会工程手段传播恶意软件。FIN6又名“骷髅蜘蛛”,最初以金融欺诈闻名,如入侵销售点系统窃取信用卡信息,2019年起攻击范围扩大至勒索软件,并加入Ryuk和Lockergoga等行动。近期,该组织利用社会工程活动传播“More Eggs”,这是一种恶意软件即服务的JavaScript后门,用于凭证盗窃、系统访问和勒索软件部署。攻击过程中,FIN6伪装成虚假求职者,通过LinkedIn和Indeed与招聘人员和人力资源部门联系,建立关系后发送钓鱼邮件。邮件含指向“简历网站”的不可点击URL,迫使收件人手动输入,这些域名通过GoDaddy匿名注册并托管在AWS上。FIN6还增加环境指纹和行为检查,确保只有目标能打开登陆页面,阻止VPN或云连接及Linux或macOS访问尝试。符合条件的受害者会收到假的CAPTCHA步骤,并被提示下载包含伪装Windows快捷方式文件(LNK)的ZIP档案,该文件执行脚本下载“More Eggs”后门。该后门由“Venom Spider”创建,是模块化后门,能执行命令、窃取凭证、传递额外有效载荷及执行PowerShell。FIN6的攻击虽简单但有效,依赖社会工程学和高级逃避技术。因此,招聘人员和人力资源员工应谨慎对待审查简历和作品集的邀请,公司和招聘机构也应独立确认人员身份。
https://www.bleepingcomputer.com/news/security/fin6-hackers-pose-as-job-seekers-to-backdoor-recruiters-devices/
4. Heroku突发大面积中断超六小时,致开发受阻服务受影响
6月10日,Heroku作为Salesforce旗下的平台即服务(PaaS),允许开发人员将应用程序部署到云端而无需管理基础设施,但近日遭遇了持续六个多小时的大面积中断。此次宕机始于周二凌晨,用户报告称Heroku应用无法运行,且开发人员无法登录Heroku仪表板并使用CLI工具。Heroku在其状态页面上承认了这一事件,并表示正在调查。中断影响了众多公司和站点的服务,例如SolarWinds因无法从Heroku获取日志而受到波及。使用Heroku应用程序实现各种功能的网站也受到影响,部分功能无法正常运行。Heroku尚未提供有关中断根本原因的详细信息或何时恢复服务,不过在2025年6月10日,Salesforce表示没有证据表明此次服务中断存在恶意活动,并提供了客户跟踪更新的链接。截至UTC时间21:48:25,Heroku状态页面显示已解决dashboard.heroku.com的问题,客户可访问该网站,同时为仍受影响的客户提供了通过Heroku命令行界面运行的命令作为解决方法,并强调应一次重启一台测功机以避免服务中断。Heroku表示其工作重点仍是内部测试和验证,并将继续关注其他产品的改进,同时承诺尽快提供解决方案时间表,并对由此造成的持续困扰深表歉意。
https://www.bleepingcomputer.com/news/technology/massive-heroku-outage-impacts-web-platforms-worldwide/
5. DuplexSpy RAT新型木马现身,可完全控制Windows系统
6月9日,网络安全研究人员近日发现一款名为DuplexSpy RAT的新型高级远程访问木马,该木马可让攻击者全面监控与控制Windows系统。这款恶意软件采用C#语言开发,具备简洁的图形界面和可配置选项,显著降低了网络犯罪分子入侵目标设备的技术门槛。其采用AES-256-CBC和RSA-4096双重加密算法,保护受感染主机与命令控制服务器间的通信,有效规避网络检测。该RAT最初由开发者以“教育用途”发布在GitHub上,但其多功能性和易定制性吸引了威胁行为者。DuplexSpy RAT功能全面,不仅包含键盘记录、实时屏幕捕获等传统远程访问功能,还具备摄像头/麦克风监控及交互式命令终端等高级监控能力。在持久化与隐蔽性方面,该木马采用多层策略,以“Windows Update.exe”为伪装名称复制到用户启动文件夹,并创建对应注册表项,确保系统重启和清理尝试中仍能存活。同时,它还具备高级反分析能力,每100毫秒监控系统进程,针对安全工具和分析应用,一旦检测到安全软件,便会终止相关进程并显示虚假错误信息误导用户。此外,该RAT采用无文件执行技术,直接将自身加载到内存后删除磁盘原始可执行文件,极大减少了取证痕迹。
https://cybersecuritynews.com/new-duplexspy-rat-let-attackers-gain-complete-control/
6. S5 Agency World遭Bert勒索攻击致数据被盗
6月10日,大型港口代理机构S5 Agency World近日遭到勒索软件团伙攻击,攻击者宣称窃取了近140GB数据,并将该公司名字公布在暗网泄密网站上,以此迫使S5支付赎金,避免数据泄露给公众带来不良影响。S5作为一家海上运输公司,业务覆盖全球360多个港口,在航运公司船舶停靠时充当当地代表,其运营对海上运输至关重要。攻击者发布了几张据称被盗信息的截图,经研究团队调查,这些数据样本似乎是合法的,包括检查报告、员工新冠疫苗接种情况、部分护照复印件等,但数据样本有限,实际获取的文件总量可能更大。对于海上运输公司而言,网络攻击导致的停机不可接受,因为运输延误会造成供应链瓶颈,对客户造成负面影响。值得注意的是,Bert勒索软件是该领域的新成员,于2025年4月首次被发现,且在短短时间内已成功攻击了十几个组织。研究人员指出,Bert勒索软件团伙通过合法软件供应链传播恶意软件,通常以医疗保健和科技行业为目标,且似乎非常适应当前的网络犯罪形势,未来可能演变成更大的威胁。
https://cybernews.com/security/port-agency-ransomware-data-breach/
京公网安备11010802024551号