微软联合Cloudflare摧毁RaccoonO365网络钓鱼基础设施
发布时间 2025-09-181. 微软联合Cloudflare摧毁RaccoonO365网络钓鱼基础设施
9月17日,微软数字犯罪部门与Cloudflare合作,于2025年9月查封了RaccoonO365使用的338个域名,彻底破坏了这一经济驱动型威胁组织的技术基础设施。该组织自2024年7月起通过“网络钓鱼即服务(PhaaS)”工具包,从94个国家窃取超5000个Microsoft 365凭证,其订阅模式(30天355美元、90天999美元)使低技术门槛犯罪者能大规模发起攻击。RaccoonO365(微软追踪为Storm-2246)的攻击常伪装成Microsoft、DocuSign等可信品牌,通过欺诈邮件诱导受害者输入凭证,常作为恶意软件和勒索软件的前兆。其防御规避策略包括使用合法工具Cloudflare Turnstile作为CAPTCHA,以及通过Cloudflare Workers脚本实施机器人检测,确保仅目标用户可访问钓鱼页面。2024年9月以来,该工具已针对超2300个美国组织发起攻击,单日可输入9000个目标邮箱,并宣称能绕过多因素认证。幕后主谋为尼日利亚人Joshua Ogundipe,其通过850人Telegram频道推广工具,获超10万美元加密货币收入。
https://thehackernews.com/2025/09/raccoono365-phishing-network-shut-down.html
2. 勒索组织利用受损OAuth令牌窃取超15亿条Salesforce数据
9月17日,以ShinyHunters、Scattered Spider和Lapsus为核心的“Scattered Lapsus$ Hunters”勒索组织,通过受损的Salesloft Drift OAuth令牌,从760家公司窃取了超过15亿条Salesforce记录,涉及客户、联系人、商机、用户及案例等核心对象表。其中,案例表包含科技公司客户提交的支持票敏感信息,为攻击者提供了进一步横向渗透的“秘密”(如AWS访问密钥、Snowflake令牌等)。攻击路径始于今年3月:威胁行为者入侵Salesloft的GitHub存储库获取私有源代码,利用TruffleHog工具扫描发现Drift平台OAuth令牌,进而通过第三方平台连接Salesforce实例,实现大规模数据窃取。被盗数据被用于勒索,迫使企业支付赎金以避免公开泄露。Google威胁情报(Mandiant)将此活动追踪为UNC6040和UNC6395,并指出攻击者会分析案例数据挖掘隐藏凭证,以入侵其他环境。FBI已发布相关IOC警告,但Salesloft尚未回应数据量及公司总数问题,仅消息人士证实数字准确。为防范此类攻击,Salesforce建议客户启用多因素认证(MFA)、执行最小特权原则,并严格管理第三方应用连接。
https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/
3. 新型恶意软件Raven Stealer通过Telegram实时窃取数据
9月17日,Point Wild的Lat61威胁情报团队发现名为Raven Stealer的新型恶意软件,该恶意软件通过地下论坛及盗版软件捆绑传播,采用Delphi与C++编写,以小巧快速为特点。其核心攻击手段为“进程挖空”(process hollowing)技术,完全在内存中运行而不写入硬盘,伪装成正常浏览器程序以规避传统杀毒软件检测。Raven Stealer针对Chrome、Edge等主流浏览器,窃取密码、Cookie、支付信息及保存的敏感数据。更危险的是,它通过Telegram机器人将数据实时传输至攻击者,形成“即盗即传”的威胁链条。攻击者使用简易构建工具生成唯一命名的加密攻击文件,入侵后收集屏幕截图与数据至ZIP文件尝试发送,尽管测试中因机器人令牌问题传输失败,但数据泄露风险依然存在。为防范此类威胁,专家建议:使用具备实时防护的最新版防病毒软件;避免下载盗版软件;谨慎点击可疑链接或附件。
https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/
4. SonicWall警告客户因防火墙配置备份泄露需重置凭据
9月17日,网络安全公司SonicWall近日发布紧急通知,要求客户重置相关凭据,因其MySonicWall账户中的防火墙配置备份文件在安全漏洞中遭暴露,可能使威胁行为者利用备份信息访问设备敏感服务。事件发生后,SonicWall立即切断攻击者系统访问权限,并联合网络安全机构及执法部门展开调查。据SonicWall披露,泄露的备份文件包含加密密码及可能辅助攻击者利用防火墙的信息。尽管文件已加密,但攻击者仍可能通过暴力破解获取云备份API服务权限,进而访问设备配置。此次事件影响范围有限,仅波及不到5%的SonicWall防火墙设备,这些设备在云端存储了备份首选项文件,而攻击者正是通过暴力攻击针对这些文件的API服务实施入侵。为降低风险,SonicWall发布详细指南,建议管理员采取结构化措施:首先禁用或限制WAN访问服务,随后重置用户、VPN账户及服务使用的所有凭据、API密钥和身份验证令牌,并更新其他关联系统中的共享密钥和加密密钥。
https://www.bleepingcomputer.com/news/security/sonicwall-warns-customers-to-reset-credentials-after-MySonicWall-breach/
5. TA558利用AI生成网络钓鱼攻击酒店业
9月17日,俄罗斯卡巴斯基实验室追踪发现,威胁行为者TA558(关联RevengeHotels集群)自2025年夏季起针对巴西及西班牙语市场酒店发起新型攻击,通过AI生成的网络钓鱼邮件传播Venom RAT等远程访问木马,窃取客人及在线旅行社(如Booking.com)的信用卡数据。攻击链以发票、酒店预订或求职申请为诱饵的葡萄牙语/西班牙语钓鱼邮件启动,内含AI生成的JavaScript加载器及PowerShell下载器。脚本注释丰富、格式规范,符合大型语言模型(LLM)生成特征,可加载后续脚本实现多阶段感染。最终载荷包括基于开源Quasar RAT改造的Venom RAT商业工具,具备数据窃取、反向代理、防终止保护及持久化功能。该恶意软件通过修改进程自主访问控制列表(DACL)剥夺安全进程权限,并每50毫秒循环扫描进程列表,终止安全分析师常用的监控工具。若以管理员权限运行,可设置SeDebugPrivilege令牌标记为系统关键进程,强制屏幕常亮防睡眠,并通过USB驱动器传播、禁用Microsoft Defender及篡改注册表维持存在。
https://thehackernews.com/2025/09/ta558-uses-ai-generated-scripts-to.html
6. 蒂芙尼遭数据泄露,超2500名客户礼品卡信息被盗
9月17日,美国奢侈珠宝巨头蒂芙尼公司于2025年5月初遭遇数据泄露事件,攻击者入侵其系统导致超2500名客户身份及礼品卡信息被窃取。根据蒂芙尼向缅因州总检察长办公室提交的信息及数据泄露通知,泄露内容包含客户姓名、地址、电子邮件、电话号码、销售数据、客户参考编号及蒂芙尼礼品卡号与PIN码。这些信息可能被用于盗刷礼品卡购买珠宝,或成为网络钓鱼攻击的诱饵,诱骗客户泄露更多敏感数据。蒂芙尼在发现未经授权访问后,已启动由外部网络安全公司主导的调查,并强调“无证据表明数据被进一步滥用”。然而,这并非该公司首次面临数据安全问题,5月底,其韩国分公司曾因供应商数据泄露导致客户信息外流。值得注意的是,蒂芙尼母公司LVMH旗下另一品牌迪奥此前也遭遇类似事件,而开云集团近期更被曝出740万份客户数据泄露,凸显奢侈品行业成为网络犯罪重灾区。
https://cybernews.com/security/tiffany-data-breach-gift-cards-exposed/
京公网安备11010802024551号