ToddyCat攻击技术升级,精准窃取企业邮件
发布时间 2025-11-271. ToddyCat攻击技术升级,精准窃取企业邮件
11月25日,网络安全研究显示,知名威胁行为者ToddyCat团伙正通过新型攻击手段定向窃取企业邮件数据。该团伙自2020年起持续活跃,主要针对欧洲及亚洲多国组织发起攻击,其技术手段不断迭代升级。核心攻击链中,团伙采用定制化工具TCSectorCopy,通过C++开发实现绕过Outlook运行时访问限制,以只读模式挂载磁盘并按扇区顺序复制OST离线存储文件,结合开源工具XstReader提取邮件内容。针对云服务场景,攻击者利用开源C#工具SharpTokenFinder从内存中抓取Microsoft 365明文JWT令牌,遇安全软件拦截时则改用Sysinternals的ProcDump工具强制dump Outlook进程内存。在横向渗透阶段,TomBerBil工具通过计划任务执行PowerShell命令,利用SMB协议搜索远程主机浏览器历史记录、Cookie及凭据。尽管敏感文件受DPAPI加密,但新版TomBerBil可复制用户加密密钥文件,结合SID及密码在本地完成解密。
https://thehackernews.com/2025/11/toddycats-new-hacking-tools-steal.html
2. 西班牙Travel Club平台遭Everest勒索软件攻击
11月25日,运营西班牙知名联盟忠诚度平台Travel Club的西班牙航空里程公司(Air Miles España)遭遇Everest勒索软件团伙攻击。黑客在暗网泄露门户发布包含完整用户姓名、邮箱及忠诚度计划数据的CSV文档截图,虽公司尚未公开证实,但根据该团伙“完成数据窃取后公开受害机构”的历史规律,声明可信度较高。Cybernews已联系平台寻求置评,将跟进后续回应。Travel Club在西班牙拥有超600万用户,用户可通过零售、航空、燃油及在线商家合作伙伴累积积分,合作方涵盖雷普索尔能源、Eroski零售集团、伊比利亚航空等大型品牌,在西班牙广告及忠诚度奖励生态中占据核心地位。此次数据泄露影响远超普通消费者层面,可能波及所有依赖该平台分析数据与交叉推广的营销合作伙伴、零售连锁及广告商,形成“用户-企业-生态”三级风险链。
https://cybernews.com/security/travel-club-spain-everest-ransomware/
3. Money Mart遭Everest勒索软件攻击
11月26日,Everest勒索软件组织对北美“当日”金融服务巨头Money Mart发起攻击,泄露包括客户交易记录、信用卡详细信息及员工个人信息在内的敏感数据。该团伙在暗网泄露网站发布样本,声称从“国家货币市场公司数据库”窃取超8万份内部文件,并设定11月30日为联系期限,逾期将公开数据至黑客论坛。Money Mart作为加拿大Momentum Financial Services Group子公司,拥有美加约400家分店,提供发薪日贷款、支票兑现等服务,年收入达2400万美元。泄露数据类型多样,涉及个人身份信息、财务数据、系统配置文件、员工名单等。例如,财务数据包含信用卡16位账号中的10位及信用额度;交易数据涉及支票兑现日期、金额及授权码;员工信息则包含工作邮箱、就业历史等。此类数据泄露不仅威胁用户隐私,更可能引发社会工程学攻击激增、企业面临监管审查与声誉损失。
https://cybernews.com/news/money-mart-breach-everest-ransomware-attack-consumer-financial-data-stolen/
4. 意大利艺术品印刷服务商Pixtura遭数据泄露
11月25日,意大利艺术品印刷服务商Pixtura遭黑客入侵,黑客在数据泄露论坛声称窃取数千银行账号及身份证件。Cybernews团队分析样本后确认,泄露数据包含用户电子邮件、哈希密码、全名、电话号码、IBAN及身份证号码,但单条记录未必包含全部信息。例如,电子邮件地址数量远多于IBAN号码,但团队认为泄露的ID具有较高真实性。技术分析显示,部分密码采用不安全的MD5哈希算法,易被破解;部分使用SHA-256,虽较MD5安全但仍易受暴力破解;另有部分采用安全的Bcrypt算法。IBAN泄露用户面临更高风险,攻击者可冒充其接管金融账户或实施金融诈骗,尽管此类操作需额外信息及努力。团队未发现支付卡信息,推测攻击者入侵了客户信息数据库。值得注意的是,此次事件发生在“黑色星期五”前夕。最新数据显示,11月1日以“黑五”为主题的钓鱼攻击激增20倍,占观测邮件总量的8%。
https://cybernews.com/security/fine-art-printing-breach-expose-users/
5. RomCom恶意软件借SocGholish攻击美企
11月26日,网络安全公司Arctic Wolf Labs披露,名为RomCom的恶意软件家族通过SocGholish JavaScript加载器对美国一家土木工程公司发起攻击,旨在分发Mythic Agent恶意软件。这是首次观察到RomCom有效载荷通过SocGholish进行分发。该攻击被中高置信度归因于俄罗斯联邦武装力量总参谋部总局(GRU)下属的29155部队。值得注意的是,受攻击实体过去曾为与乌克兰联系密切的城市提供服务。SocGholish作为初始访问中介,允许其他威胁行为者分发各类有效载荷。其攻击链通常通过入侵合法网站推送虚假浏览器更新提示,诱骗用户下载恶意JavaScript脚本,进而安装加载器并获取更多恶意软件。此次攻击中,虚假更新有效载荷使威胁行为者能够建立反向shell,在受感染主机上执行侦察活动及部署定制Python后门VIPERTUNNEL。同时,攻击者还分发了与RomCom相关的DLL加载器,用于启动跨平台后渗透框架核心组件Mythic Agent,该组件支持命令执行、文件操作等功能。
https://thehackernews.com/2025/11/romcom-uses-socgholish-fake-update.html
6. 伦敦多个市政委员会的IT系统因网络攻击而中断
11月26日,近日,伦敦肯辛顿和切尔西皇家自治市(RBKC)、威斯敏斯特市议会(WCC)及伦敦哈默史密斯和富勒姆区(LBHF)因共享部分IT基础设施,同时遭遇网络安全攻击导致服务中断。安全专家凯文·博蒙特推测此为勒索软件攻击,但截至发稿无组织公开认责。攻击波及多个系统,包括电话线路、在线服务及联络中心,三家机构已启动应急预案,关闭部分计算机系统以阻断进一步损害,并采取“加强措施”隔离保护网络。WCC作为英国主要地方政府,辖区内有威斯敏斯特宫、白金汉宫等重要地标;RBKC虽为伦敦面积和人口最小的行政区之一,却拥有英国最高人均GDP;LBHF则服务18万居民。RBKC昨日公告称居民无法通过在线服务或联络中心联系,WCC亦证实受同一网络安全问题影响。三家机构在网络安全专家及国家网络安全中心协助下,正重点保护系统和数据、恢复系统及维护关键服务。调查仍在进行中,机构正核查是否存在数据泄露,并已按程序通知英国信息专员办公室(ICO)。
https://www.bleepingcomputer.com/news/security/multiple-london-councils-it-systems-disrupted-by-cyberattack/
京公网安备11010802024551号