乌克兰遭多组威胁行为者网络攻击
发布时间 2025-08-081. 乌克兰遭多组威胁行为者网络攻击
8月6日,乌克兰计算机应急响应小组(CERT-UA)近日发布警报,指出该国政府机构、国防部队及国防工业企业正遭受多个威胁行为者的持续网络攻击。其中,UAC-0099组织与Gamaredon团体尤为活跃,二者均通过精密设计的网络钓鱼手段渗透目标系统,窃取敏感数据并建立持久化访问。UAC-0099组织自2023年6月首次被公开记录以来,多次以乌克兰实体为间谍活动目标。其最新攻击利用法院传票主题的钓鱼邮件,通过Cuttly等URL缩短服务发送链接,诱导受害者下载包含HTML应用程序(HTA)的双存档文件。执行后,混淆的Visual Basic脚本会创建计划任务实现持久化,并加载MATCHBOIL恶意软件,最终投放MATCHWOK后门及DRAGSTARE数据窃取程序。与此同时,安全厂商ESET的报告揭示,俄罗斯背景的Gamaredon团体在2024年下半年显著加强了对乌克兰的“无情”鱼叉式网络钓鱼攻击。该组织采用六种新型工具,包括用于诊断数据收集的PteroDespair、横向移动的PteroTickle武器化工具,以及通过Telegraph API建立加密通道的PteroGraphin持久化工具。
https://thehackernews.com/2025/08/cert-ua-warns-of-hta-delivered-c.html
2. 趋势科技Apex One平台现活跃利用的远程代码执行漏洞
8月6日,网络安全厂商趋势科技近日向客户发出紧急警告,称其Apex One端点安全平台正遭受针对两个严重远程代码执行漏洞(CVE-2025-54948、CVE-2025-54987)的活跃利用,敦促用户立即采取防护措施。此次漏洞源于Apex One管理控制台(本地版)的命令注入缺陷,允许预先通过身份验证的攻击者在未修补的系统上远程执行任意代码。尽管漏洞需攻击者具备控制台访问权限,但趋势科技明确表示已观测到至少一起野外利用案例,日本CERT也同步发布预警,强调其现实威胁性。为应对紧急情况,趋势科技称2025年8月中旬发布补丁,并提供短期缓解工具。该工具通过禁用管理员从Apex One控制台远程部署代理的功能,可完全阻断已知漏洞利用路径,但会导致暂时失去远程管理能力。公司建议用户优先部署此工具,即使需牺牲部分便利性以确保端点安全。进一步防护建议包括:若控制台IP地址暴露于外部网络,应立即实施源IP限制等访问控制措施。
https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-endpoint-protection-zero-day-exploited-in-attacks/
3. 新的“幽灵电话”战术利用Zoom和Microsoft Teams进行C2操作
8月6日,在BlackHat USA 2025大会上,Praetorian安全研究员Adam Crosser揭示了一种名为"幽灵呼叫"(Ghost Calls)的新型后利用命令与控制(C2)规避技术。该技术通过滥用Zoom、Microsoft Teams等会议应用程序使用的TURN协议服务器,将恶意C2流量伪装成正常视频会议通信,从而绕过传统网络安全防御。TURN协议本是用于帮助NAT防火墙后设备建立视频通话、VoIP等实时通信的辅助协议。当用户加入Zoom或Teams会议时,客户端会获取临时TURN凭据以建立中继连接。"幽灵呼叫"通过劫持这些合法凭据,在攻击者与受害者设备间构建基于WebRTC的加密隧道,将C2指令伪装成常规视频会议流量。由于流量经企业常用域名路由,且使用端口443的UDP/TCP自适应传输,可绕过防火墙、代理及TLS检查,实现高度隐蔽的命令控制。Crosser指出,与传统C2机制相比,该方法具备三大优势:其一,无需依赖软件漏洞,仅通过滥用合法基础设施即可实现;其二,支持实时交互,满足VNC远程控制等需要低延迟的操作需求;其三,攻击者无需暴露自有域名或基础设施,极大降低追踪风险。
https://www.bleepingcomputer.com/news/security/new-ghost-calls-tactic-abuses-zoom-and-microsoft-teams-for-c2-operations/
4. 德国电信MagentaTV平台因广告平台漏洞泄露用户数据
8月6日,德国电信(Deutsche Telekom)旗下流媒体平台MagentaTV因第三方广告平台漏洞遭遇用户数据泄露,泄露时长达数月。研究团队于2025年6月中旬发现,由广告技术公司Equativ旗下的Serverside.ai托管的Elasticsearch数据库未设保护,导致MagentaTV用户日志被公开暴露。尽管德国电信在团队通报后已下线该实例,但暴露期间(至少自2025年2月起)累积的超3.24亿条日志总量达729GB已面临潜在滥用风险。此次泄露的数据主要源于用户与MagentaTV平台的交互请求,包含HTTP标头中的非敏感信息(如用户代理)及部分敏感标识符,包括唯一设备标识(MAC地址)、网络连接标识(IP地址)、账户关联ID(客户ID及会话ID)。尽管单条数据价值有限,但攻击者可通过交叉引用多源泄露数据(如历史泄露的IP与用户信息匹配)实现用户身份追踪或设备定位。
https://cybernews.com/security/deutsche-telekom-magentatv-data-leak/
5. 谷歌在持续的Salesforce数据盗窃攻击中遭遇数据泄露
8月6日,科技巨头Google近日确认成为勒索组织ShinyHunters的最新攻击目标,其企业Salesforce客户关系管理(CRM)系统遭入侵,导致部分客户数据泄露。此次事件与该组织近期针对全球企业的大规模数据窃取行动相关,涉及语音钓鱼(Vishing)社会工程攻击及Salesforce平台漏洞利用。据Google披露,6月期间,其一个用于存储中小企业联系信息及相关备注的Salesforce实例,因遭遇被追踪为“UNC6040”或“UNC6240”的威胁行为者攻击而失陷。攻击者通过社会工程手段侵入系统,在短暂访问窗口内窃取了基础商业信息,包括企业名称、联系方式等大部分为公开或非敏感数据。Google强调已迅速切断入侵路径并完成影响分析,但未明确具体受影响客户数量。值得注意的是,此次攻击幕后黑手实为臭名昭著的ShinyHunters勒索集团。此次行动中,ShinyHunters通过入侵企业Salesforce实例窃取数据,并以公开泄露或出售数据为威胁进行勒索。
https://www.bleepingcomputer.com/news/security/google-suffers-data-breach-in-ongoing-salesforce-data-theft-attacks/
6. 法国布伊格电信遭遇大规模数据泄露,640万客户信息受影响
8月7日,法国主要电信运营商布伊格电信(Bouygues Telecom)披露了一起重大网络安全事件,约640万客户的个人数据在针对性网络攻击中遭到泄露。作为法国第三大移动服务提供商,该公司拥有1450万移动用户及9000名员工,2024年营收达568亿欧元。据官方声明,攻击由"已知网络犯罪集团"实施,通过侵入特定内部资源获取了客户联系方式、合同信息、婚姻状况、企业客户资料及国际银行账号(IBAN)等敏感数据。值得庆幸的是,信用卡号、账户密码等核心财务信息未被窃取。事件发生后,布伊格电信技术团队迅速阻断攻击者访问路径,并协同法国国家网络安全局(ANSSI)和数据保护机构CNIL展开调查,同时强化网络监控与安全防护体系。泄露事件对客户构成潜在风险,尽管IBAN单独不足以完成转账操作,但受影响用户仍被建议定期核查银行交易记录,并警惕以客户姓名和账号实施的网络钓鱼诈骗。公司已通过短信和邮件直接通知受害者,并明确警告切勿向声称掌握其个人信息的来电者透露登录凭证等敏感资料。
https://www.bleepingcomputer.com/news/security/bouygues-telecom-confirms-data-breach-impacting-64-million-customers/
京公网安备11010802024551号