首页 > 安全研究 > 安全通报 > 安全简讯

Space Bears勒索组织借Quasar漏洞窃取Comcast数据

发布时间 2025-12-10

1. Space Bears勒索组织借Quasar漏洞窃取Comcast数据


12月8日,Space Bears勒索软件组织近日在暗网泄密网站宣称,通过佐治亚州电信工程承包商Quasar Inc.的漏洞获取了Comcast内部资料,并同步将Quasar列为独立受害者,暗示两起关联事件。该组织2024年4月出现,被分析为数据窃取型勒索团体,常通过删除敏感文件并索要赎金阻止发布,与Phobos勒索软件即服务(RaaS)程序存在关联,其泄密网站被视为相关活动共享发布点。针对Comcast的指控中,Space Bears声称Quasar为Comcast及Genesis项目制作技术文档,从而获取包含多地城市设计文档和公用设施规划图的信息,并设定6天倒计时,逾期将公开数据,期间提供数据售卖服务。然而,该组织未提供文件样本,独立验证暂不可行。Quasar Inc.于2025年12月4日被单独列为受害者,Space Bears宣称获取其网络项目、城市规划图、通信布局等内部文档,并开启四天倒计时售卖数据。


https://hackread.com/space-bears-ransomware-comcast-quasar-breach/


2. WordPress插件高危漏洞遭大规模利用


12月8日,Wordfence监测显示,WordPress平台的Sneeit Framework插件存在高危远程代码执行漏洞CVE-2025-6389(CVSS评分9.8),影响8.3及以下版本,已通过2025年8月5日发布的8.4版本修复。该插件活跃安装量超1700个,漏洞源于函数未验证用户输入直接执行代码,攻击者可借此创建恶意管理员账户、植入后门,或重定向访客至钓鱼/恶意站点。自11月24日漏洞公开后,Wordfence已拦截超13.1万次攻击,24小时内即记录15381次。攻击者通过“/wp-admin/admin-ajax.php”端点发送特制请求,创建“arudikadis”等恶意账户,上传“tijtewmg.php”等具备目录扫描、文件操作功能的恶意文件,并从外部服务器下载“.htaccess”文件绕过访问限制。同时,VulnCheck监测到攻击者利用ICTBroadcast漏洞CVE-2025-2611(CVSS评分9.3),通过下载Shell脚本加载器传播Frost DDoS僵尸网络。


https://thehackernews.com/2025/12/sneeit-wordpress-rce-exploited-in-wild.html


3. 钓鱼工具包GhostFrame向全球数百万用户发起攻击


12月8日,Barracuda安全研究员于2025年9月首次发现名为GhostFrame的新型高复杂度钓鱼工具包,该工具已发起超100万次攻击,标志着钓鱼即服务(PaaS)技术的危险升级。其核心威胁在于将恶意操作隐匿于隐形iframe框架中,通过生成看似无害的HTML文件,在页面底层加载来自动态子域名的真实钓鱼内容,使安全工具难以检测。攻击流程分为两阶段:首先通过伪装成“保密合同”“密码重置”等主题的钓鱼邮件诱导用户点击;随后用户进入看似安全的网页,底层iframe从实时变更的子域名加载攻击内容。为规避检测,攻击者为每个目标单独创建专属子域名,并内置反分析功能,如禁用右键菜单、屏蔽快捷键及关闭开发者工具,阻碍安全核查。GhostFrame搭载多项高隐蔽特性:钓鱼表单隐藏在大文件图像流中绕过传统扫描;子域名动态轮换配合备用iframe框架,应对JavaScript拦截;支持多目标灵活适配,无需修改主页面即可替换钓鱼内容;通过修改页面标题和图标仿冒合法服务,增强伪装真实性。


https://cybersecuritynews.com/new-ghostframe-super-stealthy-phishing-kit-attacks-millions-of-users-worldwide/


4. 黑客利用React2Shell漏洞发起EtherRAT恶意软件攻击


12月9日,云安全公司Sysdig披露了一种名为EtherRAT的新型恶意软件,其通过利用React/Next.js框架中的高危漏洞CVE-2025-55182(React2Shell)实施攻击。该漏洞源于React Server Components的“Flight”协议反序列化缺陷,允许攻击者通过恶意HTTP请求执行远程代码,影响大量云环境。Sysdig研究人员指出,EtherRAT与朝鲜“传染性访谈”活动使用的工具存在关联性,但具备独特技术特征。EtherRAT采用多阶段攻击链:首先通过React2Shell漏洞在目标系统执行Base64编码的shell命令,下载并运行恶意脚本s.sh。该脚本会创建隐藏目录,部署合法Node.js运行时及加密有效载荷,最终解密出EtherRAT植入程序。其核心创新在于基于以太坊智能合约的C2通信机制,通过查询9个公共以太坊RPC节点并采用多数响应策略抵御单点故障,实现灵活且抗干扰的指令传输。


https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/


5. 新型Mirai变种利用海事DVR漏洞实施复杂攻击


12月9日,Cydome研究人员发现名为Broadside的新型Mirai僵尸网络变种,该变种针对海事物流行业,利用船舶及设备使用的TBK DVR设备中的命令注入漏洞CVE-2024-3721发起攻击。该漏洞于2024年4月披露并附带PoC代码,至2025年中已被多个DDoS僵尸网络广泛利用。Mirai僵尸网络源代码在近十年前公开后,持续被网络犯罪分子修改重用以驱动大规模攻击。研究人员强调,TBK DVR漏洞同样影响以CeNova、Night Owl、QSee等品牌重新包装的型号,对航运公司构成严重威胁。入侵设备可能使攻击者访问驾驶室、货舱或机舱的CCTV画面,干扰卫星通信,或横向移动至船舶关键运营技术系统。报告指出,Broadside不仅限于DDoS攻击,其主动窃取系统凭证文件的行为表明,攻击者意图将受感染设备从简单僵尸网络节点转变为战略立足点。


https://securityaffairs.com/185491/malware/broadside-botnet-hits-tbk-dvrs-raising-alarms-for-maritime-logistics.html


6. Vitas Healthcare遭网络攻击致超30万人信息泄露


12月9日,美国卫生与公众服务部(HHS)医疗保健数据泄露追踪器显示,美国最大营利性临终关怀连锁机构Vitas Healthcare近期发生重大网络安全事件,影响人数达319,177人。该机构隶属于Chemed集团,旗下Vitas Hospice Services于10月24日发现系统入侵,调查显示攻击者通过被盗用的供应商账户,在9月21日至10月27日期间持续访问其系统,并下载了大量患者及近亲的敏感信息。此次泄露的数据范围广泛,包括患者及前患者的姓名、地址、电话号码、出生日期、驾驶执照号码、社会保障号码、医疗记录、保险信息以及亲属联系方式等核心个人身份信息。尽管目前尚未明确此次事件是否涉及勒索软件攻击,且无已知勒索软件组织宣称对此负责,但事件的严重性已引发行业关注。目前,Vitas已通过专门数据泄露通知网站向公众披露事件详情,但具体技术细节及后续补救措施尚未完全公开。


https://www.securityweek.com/over-300000-individuals-impacted-by-vitas-hospice-data-breach/

上一篇 下一篇