TikTok视频成恶意软件传播新载体
发布时间 2025-10-211. TikTok视频成恶意软件传播新载体
10月19日,网络犯罪分子正利用伪装成Windows、Spotify、Netflix等流行软件免费激活指南的TikTok视频传播窃取信息恶意软件。ISC Handler Xavier Mertens发现,该活动与Trend Micro今年5月观察到的攻击模式高度相似,通过"ClickFix"社会工程技术实施攻击,视频中展示简短命令,诱导用户以管理员身份在PowerShell执行。当用户执行命令后,PowerShell会连接远程站点,下载并执行另一个脚本。该脚本从Cloudflare页面获取两个可执行文件:第一个是updater.exe,实为Aura Stealer信息窃取软件的变种,专门收集浏览器保存的凭据、身份验证cookie、加密货币钱包信息等敏感数据,并回传至攻击者服务器;第二个是source.exe,会通过.NET内置的C#编译器自编译代码并注入内存运行,具体功能仍在调查中。此次攻击影响范围广泛,涉及Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro、Discord Nitro等合法软件及Netflix、Spotify Premium等虚构服务的"激活教程"。安全专家强调,执行此类命令的用户应立即重置所有账户密码,因凭据可能已泄露。
https://www.bleepingcomputer.com/news/security/tiktok-videos-continue-to-push-infostealers-in-clickfix-attacks/
2. 大众法国公司遭麒麟勒索团伙攻击
10月16日,德国大众汽车集团旗下法国子公司大众汽车集团法国公司于10月14日遭麒麟网络犯罪团伙勒索攻击。麒麟宣称窃取约2000份文件及150GB数据,包含客户、员工及业务敏感信息,并公布六份样本文件佐证,泄露内容涉及车主姓名、地址、邮箱、车型、VIN码及车牌号等个人信息。大众法国公司成立于1960年,总部位于维莱科特雷,负责奥迪、西雅特、CUPRA、斯柯达及大众商用车在法营销分销。麒麟已成为2025年最活跃勒索团伙,过去12个月攻击约585名受害者。其采用勒索软件即服务(RaaS)模式,实施双重勒索:先要求解密赎金,再威胁泄露数据。该组织活跃于俄语黑客论坛,避免攻击独联体国家,暗示与克里姆林宫关联。
https://cybernews.com/news/volkswagen-france-ransomware-attack-qilin-group-claims/
3. 美国和加拿大多个机场公共广播系统遭黑客攻击
10月17日,黑客针对加拿大与美国的四个支线机场发起协同攻击,通过入侵公共广播系统、航班信息显示屏等设施,播放赞扬哈马斯及批评美国前总统特朗普的敏感信息,造成局部运营混乱。涉事机场包括加拿大不列颠哥伦比亚省的基洛纳国际机场、维多利亚国际机场、安大略省温莎国际机场,以及美国宾夕法尼亚州哈里斯堡国际机场。据加拿大皇家骑警通报,基洛纳机场的“广告流媒体服务”曾短暂被植入未经授权内容;维多利亚机场则通过第三方软件漏洞遭入侵,黑客播放外语信息及音乐,机场随后切换至内部系统恢复控制。温莎机场航班信息显示屏与广播系统同样被侵入,显示“未经授权的图像和公告”,其基于云的软件提供商成为攻击目标,系统在短时间内恢复正常。美国交通部长肖恩·达菲证实,哈里斯堡机场广播系统亦被黑客控制,美国联邦航空管理局(FAA)正联合机场方展开调查。
https://cybernews.com/security/us-canada-airport-hacked/
4. 俄罗斯Lynx入侵英国国防承包商致敏感军事文件泄露
10月20日,俄罗斯网络犯罪集团Lynx对英国国防部承包商多德集团(Dodd Group)发起大规模网络攻击,窃取并泄露了英国皇家空军及皇家海军八个基地的数百份敏感文件,该事件发生在9月23日,被《每日邮报》称为“灾难性”事件。此次泄露的数据涵盖员工姓名、电子邮件、承包商联系方式、车辆信息及标记为“受控”或“官方敏感”的国防部员工通讯录,涉及英国关键军事设施的详细信息。多德集团作为英国领先的私营工程与设施管理公司,拥有超1100名员工,长期承接国防、教育、医疗等领域的重大项目,包括为英国国防部提供维护与建设工程。勒索软件团伙将其列入Tor数据泄露网站,声称窃取约4TB数据,并在谈判破裂后逐步公开文件。泄露内容聚焦于三个战略要地:萨福克郡莱肯希思皇家空军基地(驻扎美国F-35隐形战机并疑似存储核弹)、波特里斯基地(北约防空网络绝密雷达站)及普雷丹纳克基地(英国国家无人机中心)。具体文件包括超1000份访客日志、内部邮件、安全指南及施工记录,揭露了基地的操作细节与安全漏洞。
https://securityaffairs.com/183640/data-breach/russian-lynk-group-leaks-sensitive-uk-mod-files-including-info-on-eight-military-bases.html
5. 无印良品因供应商遭勒索软件攻击致日本门店物流中断
10月20日,日本零售巨头无印良品因配送合作伙伴Askul遭受勒索软件攻击,导致其日本地区物流系统瘫痪,被迫关闭门店并暂停多项在线服务。事件始于日本时区周日晚间,无印良品发布声明称,此次攻击导致所有零售服务受阻,包括网上商店浏览、购物、订单历史查询及部分网页内容显示异常。尽管公司未明确系统恢复时间表,但周一下午更新显示,在线购物和包月服务仍受影响。无印良品作为全球简约家居用品、服装及家具零售商,在日本、中国、新加坡、欧洲、澳大利亚和北美拥有超千家门店,年收入约40亿美元,全球员工超24,500名。此次中断仅影响日本地区,因Askul负责其日本本土物流业务。Askul为雅虎日本旗下大型B2B/B2C办公用品及物流电商企业,其公告显示,勒索软件感染导致系统故障,已暂停订单处理、发货、产品退货、收据邮寄及目录运送等服务,客户服务台亦无法通过电话或网站联系。公司正调查数据泄露范围,包括个人信息和客户数据,并承诺及时通报进展。
https://www.bleepingcomputer.com/news/security/retail-giant-muji-halts-online-sales-after-ransomware-attack-on-supplier/
6. CISA警告Windows SMB权限提升漏洞正被活跃利用
10月20日,美国网络安全与基础设施安全局(CISA)近日发布紧急预警,指出威胁行为者正积极利用高严重性的Windows SMB权限提升漏洞CVE-2025-33073。该漏洞影响所有Windows Server版本、Windows 10及最高至Windows 11 24H2的Windows 11系统,允许攻击者在未修补的系统上获取SYSTEM权限,构成重大安全威胁。微软在2025年6月补丁星期二期间已修复此漏洞,并披露其根源在于不当的访问控制弱点,使授权攻击者可通过网络提升权限。具体攻击路径为:攻击者诱使受害者连接至恶意控制的SMB服务器,执行特制脚本强制受害者计算机重新连接并验证身份,最终实现权限提升。CISA已将CVE-2025-33073列入“已知被利用漏洞目录”,并依据具有约束力的运营指令BOD 22-01,要求联邦民事行政部门(FCEB)机构在2025年11月10日前完成系统修补。
https://www.bleepingcomputer.com/news/security/cisa-high-severity-windows-smb-flaw-now-exploited-in-attacks/
京公网安备11010802024551号