DoNot Team利用LoptikMod恶意软件攻击欧洲外交部
发布时间 2025-07-101. DoNot Team利用LoptikMod恶意软件攻击欧洲外交部
7月9日,近期,网络安全机构Trellix高级研究中心披露一起针对欧洲外交机构的定向网络攻击事件,其背后疑似涉及印度背景的高级持续性威胁(APT)组织DoNot Team(别称APT-C-35等)。该组织自2016年起持续活跃,以定制化Windows恶意软件(如YTY、GEdit后门)结合鱼叉式钓鱼邮件为主要攻击手段,长期针对政府、外交、国防及非政府组织展开网络间谍活动,目标区域此前集中于南亚,此次首次确认其对欧洲外交领域的扩张性渗透。此次攻击链始于伪装成意大利驻孟加拉国国防武官访问行程的钓鱼邮件,攻击者通过Gmail账户发送UTF-8编码的HTML格式邮件,利用特殊字符(如法语"Attaché")增强可信度,诱导目标点击Google云端硬盘链接下载RAR压缩包。压缩包内含伪装为PDF文档的恶意可执行文件,受害者打开后将触发LoptikMod远程访问木马。该木马通过计划任务实现持久化驻留,具备窃取敏感数据、接收远程指令、下载附加模块等功能,并采用反虚拟机技术和ASCII混淆技术规避安全分析,同时通过单实例运行机制避免冲突。
https://thehackernews.com/2025/07/donot-apt-expands-operations-targets.html
2. 日本新日铁子公司遭零日攻击致数据泄露
7月9日,日本新日铁集团旗下子公司新日铁解决方案公司(Nippon Steel Solutions)近日披露一起重大数据泄露事件,攻击者利用未公开的零日漏洞侵入其内部网络,导致客户、合作伙伴及员工个人信息面临泄露风险。该公司专注于云服务与网络安全解决方案,此次事件因其技术背景而备受关注。2025年3月7日,新日铁解决方案公司监测到服务器异常活动,随即隔离受影响系统。经调查确认,攻击者通过针对网络设备的零日漏洞实施入侵,造成内部网络未经授权访问,部分敏感数据可能被窃取。值得庆幸的是,该公司强调其云服务平台未受波及,业务连续性未受直接影响。根据公告,泄露信息涵盖三类主体:客户数据包括姓名、公司名称、所属机构、职位、地址、邮箱及电话;合作伙伴信息涉及姓名及公司域名邮箱;员工数据则包含姓名、部门、职位及企业邮箱。尽管目前无证据表明这些信息已通过社交媒体或暗网扩散,但公司仍警示用户警惕可疑通讯,避免点击不明链接或回复陌生来电。目前,公司已完成内部网络安全恢复,并向警方及日本个人信息保护委员会提交报告,履行法定披露义务。
https://securityaffairs.com/179766/data-breach/nippon-steel-solutions-data-breach.html
3. 美国加密ATM巨头Bitcoin Depot遭遇数据泄露
7月9日,美国最大比特币ATM运营商Bitcoin Depot近日披露一起影响2.7万客户的数据泄露事件,该公司通过信件通知受影响用户,事件可追溯至2024年6月23日,其网络首次检测到可疑活动,但因联邦执法机构要求配合调查,直至7月18日内部调查完成后方能启动披露程序。根据公告,未经授权的攻击者获取了部分客户在KYC验证过程中提交的敏感信息,包括姓名、电话号码、驾驶执照号码、地址、出生日期及电子邮箱等。Bitcoin Depot在全美、加拿大及澳大利亚运营着8800台设备,此次事件波及范围广泛。由于加密货币交易的匿名性与资金快速流转特性,传统金融领域的身份监控与防盗服务在此场景中难以实施。Bitcoin Depot明确表示无法为受影响用户提供信用保护或身份监控服务,转而建议用户主动监控账户异常交易、冻结信用报告并警惕钓鱼攻击。
https://www.bleepingcomputer.com/news/security/bitcoin-depot-breach-exposes-data-of-nearly-27-000-crypto-users/
4. 美国税收抵免咨询公司Rockerbox泄露24.5万条敏感数据
7月9日,美国得克萨斯州税收抵免咨询公司Rockerbox近日因未设密码保护的数据库暴露,导致245,949条、总计286.9GB的敏感数据泄露,涵盖全名、出生日期、社会安全号码(SSN)、地址、驾驶执照及退伍军人DD214文件等高度隐私信息。此次事件由网络安全研究员Jeremiah Fowler发现并报告至vpnMentor。作为专注于雇主税收激励计划(如WOTC、ERTC等)的服务商,Rockerbox为餐饮、酒店、医疗等多个行业的企业提供税务优化支持,其泄露的客户数据涉及复杂的财务与个人信息。除直接存储的PII(个人身份信息)外,大量税收抵免申请文件、批准/拒绝函及密码保护PDF的文件名也遭暴露,部分文件名可能隐含密码线索,进一步加剧信息滥用风险。Fowler指出,此类数据可被用于精准网络钓鱼、身份盗窃及金融欺诈,对受影响个人构成重大威胁。事件暴露后,Fowler立即通知Rockerbox,但该公司未作出正式回应,数据库在数日后才被加密保护。
https://hackread.com/rockerbox-server-tax-firm-exposed-sensitive-records/
5. Anatsa移动恶意软件再次攻击北美银行客户
7月9日,网络安全研究人员确认,长期活跃的Android银行木马Anatsa近期针对北美金融机构发起新一轮攻击,荷兰ThreatFabric公司追踪显示,这已是其至少第三次将美国与加拿大移动银行用户列为目标。该恶意软件具备窃取银行凭证、记录键盘输入及通过远程控制直接实施欺诈交易的能力,其两阶段攻击模式引发行业关注。本次攻击中,攻击者首先在应用商店上架看似合法的工具类应用(如文件阅读器),初期功能正常以积累用户信任。待下载量达到数万次后,通过更新注入恶意代码,将Anatsa作为独立程序安装至设备。以本次案例为例,一款文件阅读器应用在6月24日至30日期间推送更新,下架前已在美国Play商店免费工具榜名列前茅,累计下载量超5万次。值得关注的是,Anatsa此次攻击目标清单显著扩展,覆盖了更广泛的美国移动银行应用。
https://therecord.media/anatsa-android-banking-malware-returns-north-america
6. FlirtAI约会助手因未受保护云存储泄露16万张私密截图
7月8日,德国柏林公司Buddy Network GmbH开发的iOS应用FlirtAI近日因云存储安全漏洞引发严重数据泄露,超16万张用户上传的私密聊天截图暴露于公共互联网。该应用主打AI辅助社交功能,用户需手动截取约会软件对话或个人资料界面并上传,以获取五条定制回复建议。然而,研究人员发现其谷歌云存储桶未设置访问权限控制,导致敏感数据长期裸露。数据显示青少年用户占比显著,其上传的截图包含同龄人私密对话,部分未成年人可能完全不知晓聊天内容被截图外泄。值得关注的是,尽管应用条款要求“上传前需获得对话方授权”,但实际操作中几乎无法执行。虽然苹果商店标注17+年龄限制,仍未能有效阻止未成年人使用。事件处置时间线显示,研究人员5月6日发现漏洞后,于5月19日向开发商通报,6月2日联系计算机应急响应小组(CERT),最终在6月16日修复存储桶权限。
https://cybernews.com/security/iphone-flirtai-app-leaks-chat-screenshots/
京公网安备11010802024551号