“黄金工厂”网络犯罪团伙针对东南亚发起攻击
发布时间 2025-12-081. “黄金工厂”网络犯罪团伙针对东南亚发起攻击
12月4日,以牟利为目的的“黄金工厂”网络犯罪团伙近期以伪装政府服务机构的方式,向印度尼西亚、泰国和越南的移动用户发起新一轮攻击。该团伙自2024年10月起,通过传播植入安卓恶意软件的篡改版银行应用实施攻击,最早在泰国被发现,后蔓延至越南和印尼。据新加坡IB集团技术报告,仅印尼就造成近2200起设备感染,总感染案例超1.1万起,其中63%的篡改应用针对印尼市场。攻击流程伪装成政府机构或知名品牌,通过电话诈骗诱导用户点击Zalo等通讯软件中的链接,安装恶意软件。恶意程序通过注入恶意代码到正规银行应用,保留正常功能以绕过安全防护,核心目的是远程操控设备。研究人员发现三类劫持器组件——“弗瑞劫持器”“天空劫持器”“派恩劫持器”,可实现隐藏应用、规避检测、伪造签名、窃取余额信息等功能。该团伙还开发了“巨型花”测试版恶意软件,支持实时传输设备画面、键盘记录、弹出虚假界面窃取信息,并正在开发二维码扫描功能以提取越南身份证信息。
https://thehackernews.com/2025/12/goldfactory-hits-southeast-asia-with.html
2. 印度企业遭伪装税务部门钓鱼攻击
12月4日,近期,一场针对印度企业的大规模钓鱼攻击悄然展开。攻击者伪装成印度所得税部门,通过高度仿真的政府公文模板及印地语与英语双语通信,引用《所得税法》条款制造合法性与紧迫感,谎称收件人存在税务违规行为,要求72小时内提交文件,诱骗用户打开恶意附件。此次攻击采用两阶段恶意软件链:初期以密码保护的ZIP文件搭载shellcode加载器,后续变体利用谷歌文档链接交付二级载荷,最终投放AsyncRAT远程控制木马,实现屏幕共享、文件传输及远程命令执行。攻击目标锁定证券公司、金融机构及非银行金融公司,因这些机构需定期与政府部门交换监管文件,成为重点目标。Raven安全团队通过识别攻击架构中的多层矛盾点,成功发现并阻止了这一零日攻击,避免目标机构大规模感染。邮件源自合法免费邮箱账号,通过SPF、DKIM及DMARC认证,绕过传统邮件过滤器。密码保护附件避免传输中被杀毒软件扫描,解压后出现的“NeededDocuments”可执行文件内置shellcode,shellcode与AsyncRAT控制服务器建立通信。
https://cybersecuritynews.com/new-phishing-attack-mimic-as-income-tax-department/
3. React2Shell漏洞大规模利用,超7.7万IP受影响
12月6日,React2Shell远程代码执行漏洞(CVE-2025-55182)引发全球安全危机。该漏洞源于React服务器组件对客户端控制数据的不安全反序列化机制,攻击者可通过单个HTTP请求触发未经身份验证的任意命令执行,影响所有实现React服务器组件的框架如Next.js。Shadowserver报告显示,超77,000个暴露在互联网的IP地址易受攻击,其中约23,700个位于美国,涉及多个行业。漏洞披露后,安全研究员Maple3142发布概念验证,推动自动化扫描工具迅速扩散。GreyNoise监测到,过去24小时内有181个不同IP尝试利用该漏洞,流量主要来自荷兰、中国、美国、香港等地区,攻击者多使用PowerShell命令如“40138*41979”测试漏洞,确认后通过base64编码下载第二阶段脚本,部署Cobalt Strike信标或Snowlight、Vshell恶意软件,实现远程访问、横向移动及敏感信息窃取。
https://www.bleepingcomputer.com/news/security/react2shell-flaw-exploited-to-breach-30-orgs-77k-ip-addresses-vulnerable/
4. Barts Health NHS Trust遭Clop勒索软件攻击
12月5日,英国Barts Health NHS Trust近日宣布,其Oracle E-business Suite软件存在漏洞(CVE-2025-61882),被Clop勒索软件团伙利用,导致数据库中跨越数年的发票文件被盗。泄露数据涉及在巴茨健康医院接受治疗或服务人员的全名、地址,部分前雇员及已公开数据的供应商信息,以及自2024年4月起该信托向Barking、Havering和Redbridge大学医院NHS信托提供的会计服务相关文件。Clop已将窃取信息上传至暗网泄露门户,但Barts强调,目前仅限加密暗网用户可访问压缩文件,未发现数据在公开互联网传播。此次攻击发生于2025年8月,直至11月文件被发布至暗网后才确认数据风险。Barts已向国家网络安全中心、伦敦警察厅及信息专员办公室(ICO)通报事件,并申请高等法院命令禁止数据使用、发布或分享,但此类禁令实际效力有限。该机构运营伦敦五家医院,包括皇家伦敦医院、圣巴塞洛缪医院等,其电子病历及临床系统未受影响,核心IT基础设施安全性仍获肯定。
https://www.bleepingcomputer.com/news/security/barts-health-nhs-discloses-data-breach-after-oracle-zero-day-hack/
5. Inotiv遭麒麟勒索软件攻击致9500余人数据泄露
12月5日,美国制药公司Inotiv近日披露,2025年8月5日至8日期间,其部分网络和系统遭勒索软件攻击,导致数据库及内部应用程序瘫痪,业务运营受严重影响。该公司随后向美国证券交易委员会(SEC)提交文件确认,已恢复受影响系统访问权限,并正向8月事件中数据被盗的9,542名个人发送通知,涉及现任/前任员工、家属及与收购公司有过互动的其他人员。此次攻击由麒麟勒索软件组织宣称负责。该组织在暗网泄露网站声称,窃取了Inotiv超16.2万个文件,总计176GB,但Inotiv未明确具体泄露数据类型,也未确认麒麟声明的真实性。Inotiv总部位于印第安纳州,是一家年收入超5亿美元的合同研究机构,专注药物开发、安全性评估及活体动物研究模型构建,拥有约2000名员工。尽管此次攻击未波及核心临床系统,但数据泄露风险仍引发监管关注。
https://www.bleepingcomputer.com/news/security/pharma-firm-inotiv-discloses-data-breach-after-ransomware-attack/
6. 多阶段攻击活动瞄准Palo Alto与SonicWall安全设备
12月6日,威胁行为者12月2日起利用德国托管服务提供商3xK GmbH运营的BGP网络(AS200373)下7000余个IP地址,发起针对Palo Alto GlobalProtect VPN门户及SonicWall SonicOS API端点的多阶段攻击。GreyNoise报告显示,攻击者首先通过暴力破解尝试登录Palo Alto防火墙的远程访问组件GlobalProtect,随后转向扫描SonicOS API端点——该操作系统控制SonicWall防火墙的配置与监控功能。此次活动与11月中旬记录的230万次GlobalProtect扫描存在关联:62%的攻击IP位于德国,均使用相同TCP/JA4t指纹,且源自此前无恶意记录的四个ASN。历史扫描活动曾生成超900万次不可伪造的HTTP会话,目标直指GlobalProtect。12月3日,针对SonicOS API的扫描中再次出现相同三个客户指纹,GreyNoise据此判定两阶段攻击同源。Palo Alto Networks回应称,检测到的扫描活动属于“凭证攻击而非漏洞利用”,其内部遥测及Cortex XSIAM防护系统确认未对产品服务造成损害,建议客户启用多因素认证(MFA)防范凭证滥用。SonicWall方面尚未公开置评。
https://www.bleepingcomputer.com/news/security/new-wave-of-vpn-login-attempts-targets-palo-alto-globalprotect-portals/
京公网安备11010802024551号