沙特工业巨头Rezayat遭遇Everest勒索软件攻击
发布时间 2025-07-151. 沙特工业巨头Rezayat遭遇Everest勒索软件攻击
7月14日,沙特工业服务巨头Rezayat集团近日遭遇Everest勒索软件团伙的网络攻击,成为中东地区又一重大网络安全事件。这家拥有25家子公司、业务覆盖13个国家、员工超两万人的跨国企业,被攻击者宣称窃取数GB敏感数据,相关样本已在暗网泄露站点曝光。安全研究团队分析发现,泄露内容包含客户合同、技术报告及工业设备图纸等核心商业文件,若数据真实性得到证实,不仅将严重损害Rezayat的商业信誉,更可能被用于针对其合作伙伴的供应链攻击,引发行业连锁风险。实施此次攻击的Everest团伙自2021年首次被追踪以来,已形成成熟的犯罪模式。该组织擅长通过入侵企业账户及利用远程桌面协议(RDP)进行网络渗透,过去12个月内已将超过百家企业列入暗网"受害者名单"。值得注意的是,该团伙曾宣称在2022年成功侵入电信运营商AT&T的企业网络,展现出极强的技术攻击能力。此次针对Rezayat的行动中,攻击者虽声称窃取10GB数据,但通过分批释放数据样本施压受害企业支付赎金的策略,符合其惯用操作手法。
https://cybernews.com/security/rezayat-group-ransomware-data-breach/
2. 奢侈品巨头LVMH英国分部遭遇数据泄露事件
7月14日,全球奢侈品巨头LVMH集团旗下英国分部近日卷入重大数据泄露事件,成为继玛莎百货、哈罗德百货等之后又一家遭遇网络攻击的英国零售商。根据公司向客户发送的通知,7月2日发现的泄露事件可能暴露了客户的姓名、性别、国籍、电话、邮箱、地址、出生日期及购买偏好等敏感个人信息(PII)。尽管目前无证据显示数据被滥用,但路易威登英国警告称,泄露信息可能被用于钓鱼攻击、欺诈或身份盗用,并建议客户警惕可疑通信。此次事件距LVMH韩国业务遭黑客攻击仅一周,而今年以来其旗下克里斯汀·迪奥高级时装与蒂芙尼品牌也因客户数据泄露接受政府调查,凸显集团多地机构接连面临安全挑战。安全专家托马斯·理查兹指出,尽管LVMH此次未泄露财务数据,风险仍不容小觑:攻击者可能通过冒充客户套取更多信息,或发送伪装成品牌的恶意邮件诱导登录/财务信息。他强调,LVMH多地机构接连遭类似手段入侵,暗示其可能存在系统性漏洞,或是技术系统存在共性缺陷,或是泄露控制措施不足。对此,理查兹建议LVMH立即开展全集团安全评估,追溯攻击根源并实施整改,避免漏洞持续被利用。
https://www.infosecurity-magazine.com/news/louis-vuitton-uk-retailer-data/
3. Interlock勒索软件采用FileFix方法传播恶意软件
7月14日,近期,Interlock勒索软件团伙在攻击手段上实现重大升级,首次公开采用名为"FileFix"的新型社会工程技术,结合远程访问木马(RAT)实施更隐蔽的网络攻击。该技术由安全研究员mr.d0x开发,是ClickFix攻击的进化版本。过去一年间,ClickFix已成为最主流的有效载荷分发方法之一,而FileFix通过进一步利用用户对Windows系统元素的信任,实现了更高效的恶意代码执行。攻击流程中,威胁行为者通过受感染网站部署KongTuke网络注入器,诱导访问者完成虚假CAPTCHA验证后,自动将伪装成文件路径的PowerShell命令复制到剪贴板。用户被引导将字符串粘贴至文件资源管理器地址栏时,实际执行的是从"trycloudflare.com"下载基于PHP或Node.js的Interlock RAT变种。这一过程利用Windows UI元素规避安全警告,用户仅需简单操作即可触发恶意代码下载。感染后,RAT通过PowerShell命令收集系统与网络信息,并以结构化JSON格式泄露数据至C2服务器。攻击者还可通过C2发送shell命令、植入新载荷、添加注册表持久项或利用RDP横向移动,形成完整攻击链。
https://www.bleepingcomputer.com/news/security/interlock-ransomware-adopts-filefix-method-to-deliver-malware/
4. 技嘉主板UEFI固件漏洞曝光:百万设备面临恶意软件威胁
7月14日,全球固件安全公司Binarly近期披露,技嘉科技旗下超过240款主板型号的UEFI固件存在四个高危漏洞(CVE-2025-7026至CVE-2025-7029),严重性评分达8.2。这些漏洞允许攻击者在系统管理模式(SMM)环境下执行任意代码,植入可绕过传统安全防御的bootkit恶意软件,即使重装操作系统仍可持久存在。研究发现,漏洞源于固件供应商American Megatrends Inc.(AMI)的参考代码缺陷,导致技嘉等OEM厂商未能及时修复,部分设备因达到使用寿命终止(EOL)状态可能永久暴露风险。攻击者可利用SMM的高权限特性,通过远程访问木马(RAT)在启动阶段加载恶意代码。例如,CVE-2025-7028允许对系统管理RAM(SMRAM)进行读/写访问,可能直接安装恶意软件;CVE-2025-7027则可通过修改SMRAM内容篡改固件。Binarly指出,漏洞影响范围广泛,技嘉有651款产品受波及,Supermicro、戴尔等品牌亦在其中,全球受影响设备数量超百万台。尽管AMI已发布修复补丁,但技嘉等厂商的固件更新滞后,且未公开安全公告。
https://www.bleepingcomputer.com/news/security/gigabyte-motherboards-vulnerable-to-uefi-malware-bypassing-secure-boot/
5. Cursor IDE中的恶意扩展导致价值50万美元的加密货币被盗
7月14日,全球安全机构卡巴斯基近日披露一起针对加密货币开发者的重大网络攻击事件:俄罗斯开发者因安装Cursor AI IDE平台上的虚假Solidity语言扩展,导致价值50万美元的加密货币被盗。攻击者利用Open VSX注册表中冒充语法高亮工具的恶意扩展,通过多阶段载荷投递实现了对设备的持久控制。事件始于受害者从Open VSX下载名为"Solidity Language"的扩展程序,该程序表面提供以太坊智能合约开发支持,实则通过执行远程PowerShell脚本植入ScreenConnect远程管理工具。攻击链显示,恶意代码首先检查并安装ScreenConnect,使威胁者获得完全远程访问权限,随后通过VBScript下载包含Quasar RAT和PureLogs窃取程序的恶意可执行文件。前者可执行任意系统命令,后者则专门窃取浏览器凭证、加密钱包数据及身份验证cookie。卡巴斯基分析发现,该扩展在Open VSX的下载量被人为虚增至54,000次,并通过算法操纵使恶意程序在搜索结果中排名高于合法工具。更值得注意的是,攻击者次日以"solidity"名义发布几乎相同版本的扩展,将安装量伪造至近200万次,显著增加用户误装风险。
https://www.bleepingcomputer.com/news/security/malicious-vscode-extension-in-cursor-ide-led-to-500k-crypto-theft/
6. FBI查封任天堂Switch、PS4游戏盗版网站
7月15日,美国联邦调查局(FBI)亚特兰大分局近日宣布,成功捣毁以nsw2u.com为首的跨国盗版游戏平台网络,查封包括nswdl.com、ps4pkg.com等在内的7个域名,并在页面展示执法通告宣称"已同步摧毁技术设施"。此次行动得到荷兰执法部门协助,标志着全球版权保护进入新阶段。调查显示,涉案平台在过去四年间形成完整盗版产业链:在《塞尔达传说:王国之泪》等热门游戏正式发售前数周即提供破解资源,通过任天堂Switch破解主机兼容PC游戏的特性快速扩散。2025年2月28日至5月28日期间,主要下载渠道非法下载量达320万次,按单机均价50美元估算,造成版权方约1.7亿美元直接损失。其中nsw2u平台因支持破解设备运行盗版游戏,2025年5月全球访问量达230万次,尽管被欧盟列入假冒与盗版监控名单且遭英国、西班牙等六国封锁,仍通过技术手段持续运营。技术层面,盗版平台通过虚拟主机和加密通信规避监管,此次FBI成功定位其位于荷兰的服务器集群,切断资金流与内容分发渠道。
https://therecord.media/piracy-sites-for-nintendo-switch-ps4-games-taken-down
京公网安备11010802024551号