Tomiris升级多语言武器库,精准打击俄外交机构
发布时间 2025-12-021. Tomiris升级多语言武器库,精准打击俄外交机构
12月1日,卡巴斯基最新报告揭示,名为Tomiris的威胁行为者正对俄罗斯外交部、政府间组织及中亚国家机构发起战略性网络攻击,其核心目标是通过鱼叉式钓鱼邮件部署多语言编写的恶意软件模块,获取远程访问权限并建立持久化控制。该组织2025年攻击链显示,超50%的诱饵文件采用俄语及中亚国家官方语言定制,攻击者通过加密RAR文件(解压密码直接嵌入邮件正文)分发伪装成Word文档的可执行文件,运行后释放C/C++反向Shell,连接C2服务器下载AdaptixC2框架,并通过修改Windows注册表实现恶意载荷持久化。Tomiris的战术演变尤为显著,其日益频繁地利用Telegram、Discord等公共服务作为C2服务器,将恶意流量与合法服务流量混合以规避检测。其恶意软件武器库涵盖C#、Rust、Go、Python等多语言编写的反向Shell、SOCKS代理及后门程序。多语言模块的灵活性、低可疑性特征及对开源框架的利用,使Tomiris能够实现隐蔽的长期持久化攻击。
https://thehackernews.com/2025/12/tomiris-shifts-to-public-service.html
2. 日历订阅安全盲点:BitSight曝347个恶意域名风险
11月28日,网络安全公司BitSight最新研究揭示,威胁行为者正通过操纵数字日历订阅基础设施实施大规模社会工程攻击。日历订阅功能本用于合法场景,如零售商推送促销日期、体育协会更新赛事日程,其允许第三方服务器直接向用户设备添加事件并发送通知的特性,却被恶意利用,攻击者搭建托管于过期或被劫持域名的虚假日历订阅服务,诱骗用户订阅后推送含恶意链接、附件的日历文件,触发钓鱼攻击、恶意软件分发、JavaScript代码执行甚至AI助手滥用等风险。研究始于一个被 “Sinkhole” 技术接管的域名,该域名原用于分发德国公共假期ICS文件,却每日接收1.1万个独立IP访问,引发研究团队关注。进一步调查发现347个可疑日历域名,涉及2018世界杯、伊斯兰Hijri日历等主题,每日累计接收约400万次美国为主的全美访问请求。沉洞数据显示,这些访问多为已订阅用户的后台同步请求,意味着接管过期域名的攻击者可直接向用户设备推送定制化恶意日历事件。
https://www.infosecurity-magazine.com/news/threat-actors-exploit-calendar-subs/
3. Play勒索软件攻击ADC Aerospace
11月29日,美国航空航天与国防领域工程部件制造商ADC Aerospace因服务诺斯罗普·格鲁曼、柯林斯航空航天、霍尼韦尔等知名企业,成为勒索软件攻击重点目标。此次攻击由全球最活跃勒索软件集团之一Play实施,该组织以泄露客户数据为要挟迫使受害者支付赎金,若拒绝则公布部分数据片段。黑客声称已获取客户文件、预算财务信息、薪资记录、身份证明等私密数据,但未提供样本,真实性待核查。若数据泄露属实,ADC将面临多重风险:暗网对国防承包商数据的高需求可能推动被盗信息交易;薪资记录中的个人信息可被用于身份盗窃;其他私密数据则可能成为社会工程攻击工具,攻击者冒充行业相关方实施更具破坏性的诈骗。Play集团去年跻身全球最活跃勒索软件前三,今年8月初刚入侵为美国海军、波音供货的Jamco Aerospace。
https://cybernews.com/security/adc-aerospace-breach-claims/
4. Coupang遭遇韩国史上最大规模客户数据泄露事件
11月30日,被誉为“韩国亚马逊”的韩国电商巨头Coupang于11月18日披露一起大规模数据泄露事件,影响近3400万个客户账户,创韩国单次数据泄露影响范围之最。经调查,攻击者自6月24日起通过海外服务器发起未经授权访问,逐步扩大攻击规模,最终导致超3300万韩国用户数据外泄。泄露信息包含姓名、电子邮箱、电话号码、收货地址及部分订单记录,但支付信息与登录凭证未被获取。Coupang在发现异常后立即向韩国个人信息保护委员会、警方及互联网安全局报告,并启动应急响应。公司最初误判仅约4500人受影响,后修正为超3300万人,凸显初期检测机制的不足。韩国政府对此高度重视,科学技术信息通信部部长裴京勋周日主持紧急会议,核查Coupang是否违反《个人信息保护法》安全规范。韩国互联网安全振兴院(KISA)已向受影响用户发布防钓鱼诈骗指南,建议定期修改密码、启用双因素认证。此次事件已引发用户集体诉讼风险,Coupang正面临法律追责与信誉重创的双重压力。
https://cybernews.com/news/coupang-confirms-massive-data-breach-exposing-33-7-million-accounts/
5. 警方查封了Cryptomixer加密货币混合服务
12月1日,瑞士与德国执法部门近日联合开展“奥林匹亚行动”,于11月24日至28日在苏黎世查封加密货币混合服务Cryptomixer。该平台自2016年运营以来,被指协助网络犯罪分子洗钱超13亿欧元比特币,成为勒索软件团伙、暗网市场及地下经济论坛混淆犯罪资金的核心渠道。行动中,执法机构在欧洲刑警组织与欧洲司法组织支持下,查获三台服务器、12TB数据、明网及Tor暗网域名,并扣押价值2400万欧元比特币。Cryptomixer通过混合用户加密货币至资金池并分发至新钱包地址,有效阻断区块链资金追踪,成为贩毒、武器走私、勒索攻击及支付卡欺诈等犯罪活动的洗钱首选工具。其运营模式还包含对洗钱资金收取佣金,再转移至客户指定钱包,最终通过银行或ATM将非法资产转换为法币或其他加密货币。此类服务虽存在合法用途,但主要被犯罪团伙用于逃避追查。
https://www.bleepingcomputer.com/news/security/police-takes-down-cryptomixer-cryptocurrency-mixing-service/
6. CISA将OpenPLC ScadaBR漏洞添加到KEV目录中
12月1日,美国网络安全和基础设施安全局(CISA)近日将编号为CVE-2021-26829的OpenPLC ScadaBR漏洞纳入已知利用漏洞(KEV)目录。该漏洞为跨站脚本(XSS)漏洞,通过system_settings.shtm文件影响Windows和Linux版本,具体涉及Windows端1.12.4及更早版本、Linux端0.9.1及更早版本,CVSS评分为5.4。2025年9月,亲俄黑客组织TwoNet针对网络安全公司Forescout运营的ICS/OT蜜罐系统发起攻击,误判其为水处理厂。攻击者利用默认凭证获取系统访问权限后,创建名为“BARLATI”的账户,并通过CVE-2021-26829漏洞篡改人机界面(HMI)登录页面,每次访问该页面时,会触发包含脏话的弹窗警告,同时禁用日志和警报功能。根据具有约束力的操作指令(BOD)22-01,联邦民用机构(FCEB)须在2025年12月19日前修复该漏洞,以降低重大风险。CISA同时建议私营机构审查KEV目录,及时修补自身基础设施中的同类漏洞,防止被利用。
https://securityaffairs.com/185185/security/u-s-cisa-adds-an-openplc-scadabr-flaw-to-its-known-exploited-vulnerabilities-catalog.html
京公网安备11010802024551号