麒麟勒索软件借“致电律师”及多工具强化赎金施压
发布时间 2025-06-231. 麒麟勒索软件借“致电律师”及多工具强化赎金施压
6月20日,麒麟勒索软件犯罪分子近期推出新营销策略,为关联公司提供精锐律师团队以加大赎金谈判压力。Cybereason研究人员发现,地下网络犯罪论坛版主发布帖子,声称在附属面板添加“致电律师”按钮,单击即可召唤法律专家进入赎金谈判聊天窗口,就数据法律评估、受害者违法违规情况及不支付赎金的潜在清理成本等问题提供专业建议,律师甚至可直接介入谈判并告知受害者不支付赎金将面临的“最大损失”。此外,麒麟网还声称拥有内部记者团队,可与法律部门合作撰写博客文章进一步施压。然而,专家对此表示怀疑,Tripwire网络犯罪研究员Graham Cluely认为这不过是营销噱头,旨在吸引更多联盟者、提高勒索软件攻击成功率并让受害者相信其老练程度。据Cybereason称,麒麟还为联盟面板添加了1PB存储空间、电子邮件和电话垃圾邮件功能、网络传播及发起DDoS攻击的选项等新工具。随着老牌勒索软件组织如LockBit、ALPHV等因各种原因倒下,麒麟正逐渐成为最主要的勒索软件即服务(RaaS)组织之一。该组织自2022年起就已存在,并通过高调攻击逐渐建立声誉。
https://www.theregister.com/2025/06/20/qilin_ransomware_top_dogs_treat/
2. CoinMarketCap遭供应链攻击:恶意脚本窃取加密货币
6月22日,加密货币价格跟踪网站CoinMarketCap遭遇网站供应链攻击,致使访问者面临加密货币被盗风险。1月20日晚,网站访客看到要求连接钱包的Web3弹窗,连接后恶意脚本窃取其加密货币。该公司后续证实,威胁行为者利用网站主页“涂鸦”图像漏洞注入恶意JavaScript。安全团队发现,该涂鸦图像包含的链接通过API调用触发恶意代码,导致用户访问主页时出现意外弹出窗口。发现问题后,CoinMarketCap立即采取行动,删除问题内容、找出根本原因并采取措施隔离和缓解问题,目前所有系统已全面运行,网站对用户安全可靠。网络安全公司c/side解释,攻击者修改了网站用于检索涂鸦图片并在主页显示的API,篡改的JSON负载包含恶意脚本标签,从外部网站向CoinMarketCap注入钱包消耗脚本,页面访问时脚本执行,弹出伪造的钱包连接弹窗,实际为钱包消耗器,旨在窃取已连接钱包资产。此次为供应链攻击,利用了平台的可信元素,难以被发现。威胁行为者Rey透露,攻击者在Telegram频道分享耗水器面板截图,此次攻击导致110名受害者被盗取43,266美元。
https://www.bleepingcomputer.com/news/security/coinmarketcap-briefly-hacked-to-drain-crypto-wallets-via-fake-web3-popup/
3. 牛津市议会遭遇数据泄露,泄露了二十年的数据
6月22日,牛津市议会近日发出警告,称遭遇数据泄露事件,攻击者从旧系统中获取了个人身份信息。此次事件还导致ICT服务中断,尽管大部分受影响系统已恢复,但剩余积压工作可能仍会造成延误。牛津市议会作为英国牛津负责管理住房、规划、垃圾收集等重要公共服务的地方政府机构,服务于约155,000名居民,且因牛津大学、旅游业和研究机构的国际知名度,其影响力进一步扩大。据该机构网站声明,攻击者未经授权访问了存储个人信息的系统和数据库,初步调查显示,受影响的系统包含2001年至2022年期间前任和现任理事会官员的信息。声明中提到,攻击者能够访问遗留系统上的一些历史数据,可能涉及在牛津市议会管理选举中工作的人员,包括投票站工作人员和计票员的个人信息。不过,声明也指出,没有证据表明泄露的数据已被进一步传播,且未提及公民数据遭到泄露。牛津市议会表示,对该事件的调查仍在进行中,尚未发现大规模数据提取的迹象。同时,该机构已开始单独通知确认受到影响的人,提供事件详情、支持资源,并承诺加强安全措施以防止未来违规行为。此外,相关政府部门和执法机构也已收到相应通知。
https://www.bleepingcomputer.com/news/security/oxford-city-council-suffers-breach-exposing-two-decades-of-data/
4. WordPress Motors漏洞遭利用,导致管理员账户被劫持
6月21日,黑客正利用WordPress主题“Motors”中编号为CVE-2025-4322的严重权限提升漏洞劫持管理员帐户并控制目标网站。此漏洞由Wordfence发现并于上月警告其严重性,敦促用户升级。“Motors”由StylemixThemes开发,在汽车相关网站中广受欢迎,销量达22,460份且拥有活跃用户社区。该漏洞于2025年5月2日被发现,5月19日由Wordfence首次报告,影响5.6.67之前的所有版本,其根源在于密码更新期间不正确的用户身份验证,致使未经身份验证的攻击者可随意更改管理员密码。StylemixThemes于5月14日发布5.6.68版本以解决该漏洞,但许多用户未及时应用更新,面临更高被利用风险。Wordfence证实攻击始于5月20日,截至6月7日已观察到大规模攻击,并阻止了23,100次针对其客户的攻击尝试。该漏洞存在于“登录注册”小部件的密码恢复功能中,攻击者通过探测特定路径找到放置小部件的URL,利用特制POST请求中的无效UTF-8字符导致哈希比较错误成功,进而重置用户密码。攻击者设置的密码多样,一旦获得访问权限,便会以管理员身份登录并创建新管理员帐户以实现持久性。此类账户突然出现以及现有管理员被锁定是受到攻击的迹象,Wordfence还列出了发起这些攻击的IP地址,建议WordPress网站所有者将这些地址列入阻止列表。
https://www.bleepingcomputer.com/news/security/wordpress-motors-theme-flaw-mass-exploited-to-hijack-admin-accounts/
5. Anubis勒索团伙将巴黎迪士尼乐园列为新受害者
6月20日,臭名昭著的Anubis勒索软件团伙将巴黎迪士尼乐园列为最新受害者,Hackread.com证实该组织在其暗网泄密网站发布了此次攻击详情,称被盗数据档案总计64GB。Anubis组织称其为“迪士尼乐园历史上最大的数据泄露事件”,称39000份与乐园建设和翻新活动相关的文件被盗,这些数据是在涉及迪士尼乐园一家合作公司的数据泄露事件中获取的。为佐证说法,运营商宣布将在未来五小时内公布部分数据,目前其网站已上传图片和视频,据称展示公园内各景点详细图纸,档案包括《冰雪奇缘》等多部主题项目的计划,还有其他图片展示现场工程相关工作。该组织指出迪士尼乐园通常与员工签署保密协议,禁止公开分享内部资料,以强调此次数据泄露的严重性。不过,该帖子未具体说明文件中是否包含顾客或访客信息,也未提及是否已向巴黎迪士尼乐园发出赎金要求,该组织曾在官方推特(现为X)账户上吹嘘这起事件。
https://hackread.com/anubis-ransomware-lists-disneyland-paris-new-victim/
6. Cloudflare缓解了2025年5月创纪录的7.3Tbps DDoS攻击
6月20日,Cloudflare表示,其在2025年5月成功缓解了一起针对托管服务提供商的创纪录分布式拒绝服务(DDoS)攻击,该攻击峰值高达7.3 Tbps,较之前记录增加12%,在45秒内传输了37.4 TB数据,相当于约7500小时高清流媒体或1250万张jpeg照片。Cloudflare作为专注于DDoS缓解的网络基础设施和网络安全巨头,其目标客户使用了“Magic Transit”网络层保护服务。此次攻击源自161个国家的122145个源IP地址,主要位于巴西、越南、台湾、中国、印度尼西亚和乌克兰。攻击通过多个目标端口传送“垃圾”数据包,平均每秒21925个端口,峰值达每秒34517个端口,分散流量的策略旨在压垮防火墙或入侵检测系统。然而,Cloudflare利用任播网络将攻击流量分散到293个地点的477个数据中心,通过实时指纹识别和数据中心内部通信等技术实现实时情报共享和自动规则编译,最终在无需人工干预的情况下缓解了攻击。尽管攻击主要来自UDP洪水攻击,占总流量的99.996%,但还涉及QOTD反思、回声反射、NTP扩增、Mirai僵尸网络UDP洪水攻击、端口映射洪水、RIPv1扩增等多个载体,每个攻击向量都利用了遗留或配置不当的服务。Cloudflare已将此次攻击中有价值的IoC纳入其DDoS僵尸网络威胁源中。
https://www.bleepingcomputer.com/news/security/cloudflare-blocks-record-73-tbps-ddos-attack-against-hosting-provider/
京公网安备11010802024551号