俄罗斯Coldriver黑客组织部署新型NoRobot恶意软件
发布时间 2025-10-231. 俄罗斯Coldriver黑客组织部署新型NoRobot恶意软件
10月21日,谷歌威胁情报团队(GTIG)发布报告,揭露与俄罗斯联邦安全局(FSB)关联的黑客组织Coldriver(别名Star Blizzard、Callisto等)部署了一套新型恶意软件,取代其2025年5月被披露的主力工具LostKeys。该组织自2017年起活跃,以针对非政府组织、前情报军事人员及北约政府的“凭证钓鱼”间谍活动闻名,曾被英国国家网络安全中心指控干预英国政治。新型恶意软件由NoRobot、YesRobot和MaybeRobot三个家族组成,攻击链以“ClickFix风格”钓鱼诱饵启动,伪造验证码页面诱导用户通过Windows合法工具rundll32.exe下载NoRobot DLL,其导出函数伪装为“humanCheck”以规避基于脚本的安全监控。NoRobot早期版本采用“分钥加密”机制,部分密钥隐藏在注册表路径中,增加解密难度;随后从恶意域名获取Python脚本,解密并启动第一阶段后门YesRobot,但因其需安装Python环境留下痕迹,仅使用两周即被弃用。2025年6月起,Coldriver转向更隐蔽的MaybeRobot,基于PowerShell的后门程序,且无需依赖Python脚本。同期,该组织在“简化版”与“复杂版”感染链间频繁切换。
https://www.infosecurity-magazine.com/news/russian-coldriver-hackers-new/
2. 新加坡官员身份遭仿冒,复杂投资诈骗案曝光
10月21日,网络安全公司Group-IB近日发布报告,揭露一起针对新加坡居民的大规模诈骗案件。诈骗团伙通过仿冒新加坡总理黄循财、国家安全统筹部长尚穆根等高级官员身份,利用经过验证的谷歌广告、虚假新闻网站及深度伪造视频,诱导受害者进入在毛里求斯注册的外汇投资平台实施诈骗。该诈骗活动采用“本地化定向投放”策略,仅对新加坡IP地址展示谷歌广告,点击后用户会被引导至52个中间域名,最终跳转至仿冒主流媒体的虚假页面。这些页面发布深度伪造视频,如“黄循财总理”为“即时时代”项目站台,或“尚穆根部长”为投资平台背书,以增强可信度。Group-IB调查发现,诈骗背后涉及28个经谷歌验证的广告账户,注册者多来自保加利亚、罗马尼亚等国,共关联119个恶意域名。为规避监管,诈骗分子采用IP过滤、开发者工具检测及URL参数拦截等技术,确保仅真实新加坡用户可见诈骗内容。受害者提供联系方式后,会被施压投资;提现时则以“行政流程”为由拖延或拒绝。据统计,上月共有3808名新加坡人点击恶意广告,其中685人被引导至诈骗网站。
https://www.infosecurity-magazine.com/news/singapore-officials-investment-scam/
3. 围栏和宠物公司Jewett-Cameron遭勒索软件攻击
10月22日,总部位于俄勒冈州的围栏及宠物解决方案提供商Jewett-Cameron Company近日遭遇网络攻击,导致业务中断与敏感信息被盗。该公司主营狗窝、狗笼、围栏、特种木材及园艺产品,于10月15日检测到IT环境入侵,黑客在其系统中部署了加密和监控软件,造成部分业务应用无法访问,运营受阻。调查显示,攻击事件涉及双重勒索软件策略,既加密文件又窃取数据。黑客获取了包含IT信息、财务数据及视频会议、电脑屏幕图像的敏感内容,但目前无证据表明员工、客户或供应商的个人信息遭泄露。公司强调入侵已得到控制,正全力恢复受影响系统,并预计11月中旬发布截至今年8月31日的年度报告,相关数据收集与分析工作已持续数周。Jewett-Cameron表示,事件响应成本将由网络安全保险覆盖,但承认中断可能对运营产生重大影响。
https://www.securityweek.com/fencing-and-pet-company-jewett-cameron-hit-by-ransomware/
4. PhantomCaptcha ClickFix攻击乌克兰战争救援组织
10月22日,近日,一场针对乌克兰地方政府及战争救援关键组织(如红十字国际委员会、联合国儿童基金会)的鱼叉式网络钓鱼攻击"PhantomCaptcha"爆发。该行动持续仅一天,却展现了高度精密的技术链条:攻击者冒充乌克兰总统办公室发送含恶意PDF的邮件,诱导点击伪装成Zoom平台的钓鱼链接,最终通过伪造的"我不是机器人"CAPTCHA验证实施ClickFix攻击。攻击流程分为三阶段:首先,受害者点击虚假Zoom会议链接后,浏览器会生成客户端标识符并通过WebSocket连接至攻击者服务器。若标识符匹配,用户将被重定向至合法Zoom会议进行实时社会工程攻击;若不匹配,则需完成乌克兰语的伪造CAPTCHA验证,通过复制粘贴"令牌"执行PowerShell命令,下载并运行恶意脚本"cptch"。该脚本会收集系统信息并回传至C2服务器,最终部署轻量级WebSocket远程访问木马(RAT),实现远程命令执行与数据泄露。技术溯源指向俄系威胁组织:WebSocket RAT托管于俄罗斯基础设施,成人主题攻击工具与俄/白俄罗斯开发存在关联。
https://www.bleepingcomputer.com/news/security/phantomcaptcha-clickfix-attack-targets-ukraine-war-relief-orgs/
5. Adobe Commerce SessionReaper漏洞遭大规模攻击
10月22日,Adobe于9月8日针对旗下Commerce平台(原Magento)发布紧急安全警告,指出存在一个被命名为SessionReaper(CVE-2025-54236)的严重不当输入验证漏洞。该漏洞影响2.4.9-alpha2、2.4.8-p2等多个版本及更早版本,攻击者无需用户交互即可通过Commerce REST API接管客户账户,实现完全控制会话权限。电子商务安全公司Sansec随后证实,该漏洞已被视为Adobe Commerce历史上最严重的安全漏洞之一,并在紧急补丁发布约六周后进入活跃利用阶段。Sansec监测数据显示,自补丁发布以来,已记录数百次针对未修复商店的攻击尝试。仅在最近一次观测中,Sansec Shield系统就拦截了来自五个IP地址的250余次攻击,攻击手段包括植入PHP webshell或执行phpinfo探测以收集系统配置信息。值得注意的是,62%的Magento在线商店尚未安装Adobe的安全更新,五分之三的商店仍暴露在风险中。Sansec研究人员指出,漏洞利用的活跃度与Searchlight Cyber发布的技术分析报告存在关联,该报告可能进一步刺激了攻击尝试的增加。
https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-sessionreaper-flaw-in-adobe-magento/
6. 伊朗MuddyWater部署Phoenix v4后门窃取政府数据
10月22日,伊朗政府支持的MuddyWater黑客组织(别名Static Kitten、Mercury、Seedworm)近期针对中东及北非地区100余个政府实体发起攻击,目标包括大使馆、外交使团、领事馆等核心机构。此次攻击自2025年8月19日起,通过NordVPN访问受感染账户实施网络钓鱼,向目标发送含恶意Word文档的邮件,诱骗用户启用宏代码以解码并写入FakeUpdate恶意软件加载程序至磁盘。Group-IB报告指出,8月24日攻击者关闭服务器及C2组件,可能进入新阶段,依赖其他工具收集信息。此次部署的Phoenix后门第4版(v4)采用AES加密,通过修改Windows注册表建立持久性,并新增基于COM的持久机制。该后门支持65-85号命令集,涵盖睡眠、文件上传/下载、启动shell及调整轮询间隔等功能,可收集系统信息并通过WinHTTP连接C2服务器。此外,攻击中使用了自定义信息窃取程序,针对浏览器数据库提取凭据及主密钥。Group-IB还发现MuddyWater在C2基础设施中部署了PDQ软件部署工具及Action1 RMM远程管理工具,这些工具此前曾在伊朗黑客攻击中被使用。
https://www.bleepingcomputer.com/news/security/iranian-hackers-targeted-over-100-govt-orgs-with-phoenix-backdoor/
京公网安备11010802024551号