APT36利用DeskRAT恶意软件攻击印度政府
发布时间 2025-10-271. APT36利用DeskRAT恶意软件攻击印度政府
10月24日,近日,巴基斯坦国家支持的黑客组织Transparent Tribe(APT36)针对印度政府实体发起鱼叉式网络钓鱼攻击,传播基于Golang的DeskRAT恶意软件。该攻击链通过含ZIP附件或Google Drive链接的钓鱼邮件实施,利用Mozilla Firefox显示诱饵PDF文件的同时执行主载荷。DeskRAT通过WebSocket建立C2连接,支持ping、heartbeat等五种命令,并采用systemd服务、cron作业等四种持久性方法。其C2服务器采用隐形设计,未出现在公开NS记录中。此次活动延续了CYFIRMA此前披露的攻击模式,并关联到跨平台后门StealthServer。该后门存在Windows三版本及Linux两变种:Windows-V3版本采用WebSocket通信,与DeskRAT功能一致;Linux变种则通过HTTP通信,具备文件浏览、上传及执行能力,可从根目录递归搜索特定扩展名文件并加密传输。
https://thehackernews.com/2025/10/apt36-targets-indian-government-with.html
2. Windows Server WSUS高危漏洞遭野外利用
10月24日,近日,网络安全领域聚焦于编号为CVE-2025-59287的高危远程代码执行漏洞,该漏洞影响启用了Windows Server更新服务(WSUS)服务器角色的Windows Server系统,尤其是作为组织内其他WSUS服务器更新源的服务器。攻击者可无需特权或用户交互,远程利用此漏洞以SYSTEM权限执行恶意代码,并可能在WSUS服务器间横向传播。微软已针对所有受影响版本发布带外安全更新,并强烈建议IT管理员尽快部署。对于无法立即更新的系统,微软提供了临时解决方案,如禁用WSUS服务器角色。漏洞公开后,HawkTrace Security发布了不允许执行任意命令的概念验证(PoC)代码,但Eye Security和Huntress Labs随即观察到野外利用尝试。Eye Security报告至少一名客户系统遭攻击,且攻击手法与HawkTrace的PoC不同;Huntress则发现自10月23日起,针对暴露8530/8531端口的WSUS实例的攻击,攻击者通过PowerShell命令侦察内部Windows域并将数据发送至webhook。Huntress指出,约25台主机易受攻击,但预计利用率较低,因WSUS通常不暴露于公网。
https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-windows-server-wsus-flaw-in-attacks/
3. AT&T招聘平台遭Everest勒索软件组织攻击
10月24日,Everest勒索软件组织在其暗网数据泄露网站发布针对AT&T Careers平台的勒索信息,声称掌握576,686条与该电信巨头招聘平台相关的个人记录,并设置四天后公开数据的倒计时。该条目被密码保护,要求AT&T代表在时限内“按指示操作”,否则数据将被公开。Everest以发布被盗数据库及勒索要求闻名,其泄密网站虽今年遭破坏但仍活跃,受害者名单持续更新。AT&T尚未证实此次事件,但该公司历史数据泄露频发:2021年8月ShinyHunters黑客组织窃取7000万客户数据并出售,AT&T直至2024年4月才承认;2025年6月,8600万条含解密社会安全号码(SSN)的记录被泄露,AT&T为此支付1.77亿美元和解金。当前,受影响者(申请人、员工、观察员)需采取防护措施:更改AT&T账户密码并避免重复使用;启用多因素认证;监控财务、信用及通信异常;警惕“AT&T职业”相关钓鱼攻击;仅通过官方渠道获取通知,勿点击未经验证链接。
https://hackread.com/everest-ransomware-att-careers-breach/
4. WordPress插件高危漏洞引发大规模RCE攻击
10月24日,近日,一场针对WordPress网站的大规模攻击活动爆发,攻击者利用GutenKit和Hunk Companion插件的严重旧安全漏洞实现远程代码执行(RCE)。Wordfence安全公司披露,仅10月8日至9日两天内,其就阻止了针对客户的870万次攻击尝试。此次攻击涉及三个高危漏洞:CVE-2024-9234、CVE-2024-9707和CVE-2024-11972。这些漏洞均被评定为CVSS 9.8分,允许未经认证的攻击者安装任意插件,进而引入其他恶意插件实现RCE。尽管GutenKit 2.1.1和Hunk Companion 1.9.0已修复漏洞,但许多网站仍在使用易受攻击的旧版本。攻击者通过GitHub托管名为“up”的恶意ZIP存档,内含混淆脚本,可执行文件上传/下载/删除、权限修改等操作,并伪装成All in One SEO插件组件自动以管理员身份登录,以维持持久性、窃取或删除数据、嗅探私人信息。若无法直接获取管理后门,攻击者还会安装易受攻击的“wp-query-console”插件进行未经认证的RCE。
https://www.bleepingcomputer.com/news/security/hackers-launch-mass-attacks-exploiting-outdated-wordpress-plugins/
5. 新型CoPhish攻击通过Copilot Studio代理窃取OAuth令牌
10月25日,Datadog安全实验室研究人员发现一种名为“CoPhish”的新型网络钓鱼技术,其利用微软Copilot Studio代理通过合法Microsoft域发送欺诈性OAuth同意请求。该技术依赖社会工程学,但微软已证实将通过未来产品更新修复根本原因,并评估额外保障措施强化治理与同意体验。CoPhilot Studio代理是可自定义的聊天机器人,支持“演示网站”功能在微软域名共享,合法URL特性易诱导用户信任。攻击者可创建恶意多租户应用,配置登录主题指向身份验证提供程序,通过Burp Collaborator URL捕获会话令牌。当用户点击恶意登录按钮时,重定向可指向任意恶意URL,而OAuth同意工作流URL仅为攻击路径之一。微软建议客户通过限制管理权限、减少应用权限及实施治理政策防御CoPhish。Datadog补充安全建议,包括禁用用户应用创建默认值、通过Entra ID与Copilot代理事件监控应用同意、实施强应用同意策略弥补微软默认配置漏洞。
https://www.bleepingcomputer.com/news/security/new-cophish-attack-steals-oauth-tokens-via-copilot-studio-agents/
6. 俄罗斯联邦兽医和植物检疫监督局遭DDoS攻击
10月25日,俄罗斯联邦兽医和植物检疫监督局(Rosselkhoznadzor)于22日遭遇大规模定向DDoS攻击,导致其农产品及化学品跟踪系统VetIS和Saturn下线,全国食品运输链陷入混乱。该机构隶属于俄罗斯农业部,负责监管食品、农产品及化学品的流通安全。攻击直接冲击了Mercury平台(VetIS核心组成部分),致使肉类、牛奶等动物产品运输所需的强制性电子兽医证书无法签发,大型乳制品及婴儿食品生产商报告运输延误数小时。供应商被迫与零售连锁店协商无电子单据货物的接收问题,全渠道零售企业协会(AKORT)主席斯坦尼斯拉夫·博格达诺夫表示,多家零售连锁店受系统故障影响,正紧急调整Mercury系统以维持运营和产品注册。Rosselkhoznadzor在Telegram声明中强调,攻击未威胁数据完整性与机密性,但系统可能因地理位置或连接方式出现暂时不可用。该机构否认持续中断报道,称当日成功处理超1450万份电子兽医文件,并强调若发生更严重中断,此类操作将无法进行。
https://securityaffairs.com/183845/security/russian-rosselkhoznadzor-hit-by-ddos-attack-food-shipments-delayed.html
京公网安备11010802024551号