玛莎百货确认社会工程学引发大规模勒索软件攻击
发布时间 2025-07-091. 玛莎百货确认社会工程学引发大规模勒索软件攻击
7月8日,近日,英国零售巨头玛莎百货(M&S)遭遇一起由复杂社会工程攻击引发的网络安全事件,最终演变为DragonForce勒索软件攻击。该公司董事长阿奇·诺曼在英国议会听证会上披露,攻击者通过精准冒充与玛莎百货合作的第三方实体员工,诱骗IT外包服务商塔塔咨询服务公司重置员工密码,成功侵入其网络。此次社会工程手段被诺曼称为"极其复杂的冒充行为",攻击者不仅伪造身份信息,还利用第三方服务作为跳板,凸显供应链安全风险。调查显示,威胁行为者侵入网络后部署了源自亚洲的DragonForce勒索软件。尽管部分媒体误将该团伙与马来西亚亲巴勒斯坦黑客组织"DragonForce Malaysia"关联,但据安全机构追踪,此次攻击实际由与Scattered Spider相关的威胁行为者实施,采用双重勒索策略。面对勒索威胁,玛莎百货采取"不直接接触攻击者"的策略,委托专业谈判团队处理。诺曼在听证会上强调,企业已与英国国家犯罪局(NCA)等执法机构充分合作,但拒绝透露是否支付赎金,仅表示"公开细节不符合公众利益"。值得注意的是,尽管存在数据泄露,DragonForce勒索网站尚未发布玛莎百货相关数据,暗示可能通过谈判达成解决方案。
https://www.bleepingcomputer.com/news/security/mands-confirms-social-engineering-led-to-massive-ransomware-attack/
2. Chrome与Edge商店惊现百万级恶意扩展
7月8日,谷歌Chrome网上应用店及微软Edge官方商店近日曝出大规模恶意扩展程序事件,涉及近30款伪装成实用工具的恶意软件,总感染用户超过230万。据安全公司Koi Security披露,这些扩展程序以颜色选择器、VPN、表情符号键盘、音量增强器等日常功能为幌子,在Chrome商店累计下载量达170万次,Edge商店相关扩展下载量亦突破60万次。研究人员发现,多数恶意扩展最初以合法面目上架,通过数百条正面评价和显著展示位置误导用户。其恶意功能通过后续更新悄然植入,谷歌的自动更新机制会在用户无感知情况下部署最新版本,无需任何授权。恶意代码利用Chrome扩展API在后台运行监听程序,当用户访问新网页时,自动捕获URL并连同唯一跟踪ID发送至境外服务器,存在劫持浏览活动、重定向至钓鱼网站或恶意链接的风险。尽管测试中未实际触发重定向,但数据泄露风险已引发安全警报。
https://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-with-17m-installs-found-on-web-store/
3. 新型RondoDox僵尸网络利用物联网漏洞构建隐形攻击网络
7月8日,网络安全研究人员近期发现一种名为RondoDox的新型僵尸网络,正通过针对TBK数字视频录像机(DVR)和Four-Faith路由器的安全漏洞,将大量物联网设备转化为隐蔽攻击节点。该恶意软件活动聚焦于两个已被公开披露的命令注入漏洞:CVE-2024-3721和CVE-2024-12856,这些设备因长期部署在零售店、仓库等无人监控环境,且常通过过时固件或错误配置暴露于互联网,成为理想攻击目标。技术分析显示,RondoDox通过多架构植入器扩大感染范围,初始阶段针对ARM/MIPS架构的Linux系统,随后通过shell脚本下载程序扩展至Intel 80386、PowerPC、AArch64等更多架构。恶意软件启动后,会忽略系统终止信号、清除命令执行历史,并建立持久化机制,确保重启后自动运行。RondoDox采用多重反检测技术:通过模拟Valve、Minecraft、Roblox等游戏平台及Discord、OpenVPN等工具的流量特征融入正常网络活动;使用XOR加密配置数据和定制库规避传统入侵检测系统(IDS);同时终止wget、curl等网络工具及Wireshark等分析进程,确保操作隐秘性。最终,恶意软件会联系外部服务器,通过HTTP/UDP/TCP协议发起DDoS攻击。
https://thehackernews.com/2025/07/rondodox-botnet-exploits-flaws-in-tbk.html
4. APT36组织发起针对印度Linux系统的复杂网络间谍活动
7月8日,网络安全公司Cyfirma近日披露,疑似由巴基斯坦APT36(又称“透明部落”)发起的网络间谍活动正将矛头对准印度国防相关机构,首次采用专门针对Linux环境的恶意软件,标志着该组织攻击能力的显著升级。此次攻击聚焦于运行BOSS Linux的系统,这一基于Debian的印度国产Linux发行版被广泛用于政府机构,凸显攻击者对关键基础设施的精准定位。攻击者通过精心设计的网络钓鱼邮件传播恶意载荷,邮件附件为伪装成“Cyber-Security-Advisory.zip”的压缩文件,内含一个名为“.desktop”的Linux快捷方式文件。当用户打开该文件时,系统会同时执行两项操作:前台自动下载并展示一个看似正常的PowerPoint文件以分散注意力,后台则秘密运行名为“BOSS.elf”的ELF二进制恶意软件。该恶意程序使用Go语言编写,是攻击的核心载荷,旨在入侵主机并建立持久化访问。技术分析显示,BOSS.elf会尝试连接IP地址101.99.92.182的12520端口,并与域名sorlastore.com通信,该域名已被确认为APT36针对印度国防部门的恶意基础设施。
https://hackread.com/pakistan-transparent-tribe-indian-defence-linux-malware/
5. 新型Batavia间谍软件借钓鱼邮件入侵俄罗斯工业企业
7月7日,自2024年7月起,一场针对俄罗斯工业企业的定向网络间谍活动持续升级,其核心载体为新型Batavia间谍软件。卡巴斯基实验室追踪发现,该攻击自2025年3月进入活跃期,通过伪装成合同文件的钓鱼邮件传播恶意.vbe文件链接,已导致俄罗斯数十家机构超过100名用户受影响。攻击始于伪装成合同或附件的恶意.vbe文件链接,点击链接下载VBE脚本,其收集系统信息并检索恶意软件文件,检查操作系统版本执行有效载荷并发送数据到C2服务器,且使用定制参数管理感染阶段规避检测。在攻击链第二阶段,WebView.exe恶意软件下载并显示虚假合同,监视系统,收集系统日志等并定期截图发送到新C2服务器,下载新恶意软件阶段并设置启动快捷方式。最后阶段,javav.exe扩展攻击范围,针对更多文件类型传输到C2服务器,可更改C2地址、实现UAC绕过来下载/执行新有效载荷,通信加密且通过文件哈希避免重复上传。
https://securityaffairs.com/179699/malware/new-batavia-spyware-targets-russian-industrial-enterprises.html
6. 伊朗关联组织BladedFeline瞄准伊拉克政府系统
7月7日,网络安全机构ESET披露,与伊朗存在密切关联的APT组织BladedFeline正对伊拉克中央政府及库尔德自治区政府(KRG)实施长期网络间谍活动。研究证实,BladedFeline自2017年首次渗透库尔德外交系统以来,持续开发新型攻击工具。最新活动中,该组织部署了模块化恶意软件套件,核心组件包括:通过受损微软Exchange邮箱账户收发指令的"Whisper"后门,以及具有革命性隐蔽机制的"PrimeCache"恶意IIS模块,攻击工具链还包含Laret与Pinar两款反向隧道工具,以及多阶段渗透组件。该套件赋予攻击者四项核心能力:长期维持高价值目标系统访问权限、通过加密通信躲避监测、利用合法Webmail账户远程执行指令、将恶意活动嵌入可信服务器进程实现深度隐匿。技术溯源显示,BladedFeline与伊朗国家级黑客组织OilRig存在强关联性,其恶意软件功能设计与OilRig标志性后门RDAT高度相似,攻击基础设施存在重叠,战术目标均聚焦中东地缘政治情报收集。ESET评估认为,该组织极可能为OilRig的战术子单元。
https://www.infosecurity-magazine.com/news/iran-hacking-group-targets-middle/
京公网安备11010802024551号