Warlock勒索软件组织:新兴威胁的攻击特征与安全警示
发布时间 2025-09-241. Warlock勒索软件组织:新兴威胁的攻击特征与安全警示
9月21日,Sophos研究团队揭示,名为Warlock的勒索软件组织(微软称Storm 2603,Sophos追踪为GOLD SALEM)正以高超技术手段加剧全球网络攻击。该组织自2025年3月起活跃,9月已在其"Warlock客户数据泄露秀"暗网站点公布60名受害者,目标涵盖北美、欧洲、南美的小型商业实体、政府机构及大型跨国公司。其攻击特征包括利用SharePoint零日漏洞、部署自定义ToolShell链、投放Web Shell及基于Golang的WebSocket服务器进行持久化,并滥用Velociraptor等合法工具实施隐蔽隧道攻击,同时结合Mimikatz凭证盗窃、PsExec横向移动及GPO推送勒索负载等传统手法。该组织泄密模式独特,省略发布日期与视觉样本,仅随机披露被盗数据量,并通过注释标注数据状态(发布/出售/未支付赎金),甚至提供实际数据链接。其FAQ声明谴责"不负责任的公司",称未联系的大客户数据将免费公开,但"高度敏感数据"的大型企业客户信息不会完全披露。Sophos指出,Warlock直至6月才在俄语论坛Ramp公开活跃,曾征集Veeam、ESXi、SharePoint漏洞利用及EDR中断工具。
https://cybernews.com/security/warlock-ransomware-group-attacks-surge-september/
2. 骗子滥用人工智能原生平台托管虚假验证码页面
9月22日,网络安全公司趋势科技最新报告揭示,人工智能开发平台正被网络犯罪分子利用,成为托管虚假验证码(CAPTCHA)页面的新载体,从而逃避安全检测并诱导用户进入钓鱼网站。作为验证真实用户的关键工具,CAPTCHA本应抵御机器人攻击,如今却被反向利用,成为网络钓鱼的"帮凶"。研究发现,自2025年1月起,利用Lovable、Netlify、Vercel等AI原生开发平台托管虚假验证码页面的网络钓鱼活动激增。这些平台宣称"零代码即可构建应用",降低了技术门槛,使犯罪分子能快速创建看似正规的验证码挑战页面。攻击流程通常始于伪装成"密码重置""USPS地址变更"等紧急邮件的钓鱼链接,用户点击后首先看到虚假CAPTCHA页面,因其"官方验证"外观,受害者易放松警惕,而自动扫描工具因仅检测到验证码而非底层凭证收集表单,难以识别恶意页面。完成验证后,用户会被重定向至真正的钓鱼页面,导致凭证、敏感数据泄露。更严峻的是,构建此类页面仅需基础技术能力,配合AI编码助手即可完成。
https://cybernews.com/security/ai-platforms-captcha-phishing/
3. 德国DCS充电站数据泄露,客户服务商违规访问致用户信息风险
9月23日,德国数字充电解决方案公司(DCS)近日向用户通报一起数据安全事件,其客户服务提供商在处理数据时发生违规行为,导致部分客户信息面临泄露风险。DCS作为欧洲主要电动汽车充电服务商,管理着30多个国家超100万用户及98万座充电站,并为宝马、起亚等品牌提供计费服务。事件起源于DCS发现其合作的服务商在无合理理由情况下访问了客户数据。DCS立即启动全面调查,确认违规行为涉及个位数病例,受影响数据仅限于姓名和电子邮件地址,而完整支付信息因未存储在受影响数据库中得以保全。目前,DCS已与服务商管理层合作查明原因,实施额外安全措施,并通报执法及数据保护部门。DCS在9月19日设立的专项页面中强调,充电服务及计费系统仍安全运行,用户无需采取额外操作,但需警惕潜在钓鱼攻击。公司重申,尽管当前仅确认少数案例,但无法完全排除其他客户数据被非授权查看的可能性,调查仍在进行中。
https://www.theregister.com/2025/09/23/dcs_data_breach/
4. 纽约联合国大会前夕摧毁大型电信网络
9月23日,在联合国大会于曼哈顿召开前夕,联邦调查人员摧毁了一个隐藏在纽约地区的大型电信网络。该网络包含超过10万张SIM卡和300台服务器,可能对纽约市通信系统造成灾难性破坏。特勤局指出,此网络可干扰紧急响应服务、关闭蜂窝网络并发送加密信息,恰逢150余位国际领导人齐聚纽约期间。调查显示,该网络设备分布于联合国总部35英里半径范围内,规模与设备类型暗示其可能为民族国家监控行动。通过分析SIM卡数据,特勤局发现其与至少一个外国政府及贩毒集团存在关联。尽管联合国大会是否为目标尚不明确,但特勤局特工马特·麦克库尔强调,该系统具备摧毁手机信号塔、阻断应急通信的能力,在重大国际活动背景下可能引发城市级通信瘫痪。该网络于今年8月被特勤局在调查针对联邦官员的“电话威胁”事件时发现。麦克库尔表示,解析网络传输的通信内容需时日,但系统威力不容小觑。考虑到设备价值数百万美元,幕后组织资金雄厚,可能存在类似网络遍布美国其他城市。
https://securityboulevard.com/2025/09/secret-service-shuts-down-sprawling-hidden-telecom-network-in-ny/
5. CISA称黑客利用GeoServer漏洞入侵联邦机构
9月23日,美国网络安全与基础设施安全局(CISA)披露,2024年7月,攻击者利用未修补的GeoServer实例(涉及CVE-2024-36401远程代码执行漏洞)侵入了一家美国联邦民事行政部门(FCEB)机构网络。该漏洞于2024年6月18日被修复,但一个月后,因安全研究人员在线分享概念验证(PoC)演示代码,CISA将其加入“已知被利用漏洞目录”。威胁监控组织Shadowserver于7月9日起检测到针对该漏洞的攻击,OSINT搜索引擎ZoomEye追踪到超16,000台暴露在网的GeoServer服务器。攻击者入侵联邦机构GeoServer服务器后,在约两周内横向移动攻陷Web服务器和SQL服务器,上传China Chopper等Web Shell及用于远程访问、持久化、命令执行和权限提升的脚本,并通过暴力破解技术(T1110)获取密码以进一步横向移动。攻击者潜伏三周未被发现,直至7月31日联邦机构的端点检测与响应(EDR)工具将SQL服务器上的可疑文件标记为恶意软件并触发警报,安全运营中心(SOC)随后隔离服务器并联合CISA调查。
https://www.bleepingcomputer.com/news/security/cisa-says-hackers-breached-federal-agency-using-geoserver-exploit/
6. Circle K香港业务因网络中断瘫痪
9月23日,近日,便利店连锁品牌Circle K香港业务因“网络中断”事件导致全港近400家门店电子支付、会员服务及电子邮件系统瘫痪数日,仅现金及八达通支付功能维持运作。该公司于周末首次通报事件后,周一在Facebook声明中表示,因无法排除网络攻击可能性,已启动数据保护措施并与执法部门及第三方专家合作调查原因、范围及影响程度。截至周二,用户仍通过社交媒体反馈服务中断问题,如积分和优惠券过期,呼吁延长使用期限。Circle K香港由加拿大公司Alimentation Couche-Tard所有,该公司在北美及其他地区经营Circle K商店。Circle K香港的前母公司亚洲便利零售有限公司 (CRA) 周一也报告了网络中断。CRA于20世纪80年代获得了Circle K的授权,并于2020年将其售回给Alimentation Couche-Tard。CRA表示,其内部系统受到影响,并已通知执法部门,但目前尚不清楚两起事件是否有关联。
https://therecord.media/circle-k-hong-kong-suspected-cyberattack-convience-stores
京公网安备11010802024551号