STAC6565攻击加拿大,部署QWCrypt勒索软件
发布时间 2025-12-121. STAC6565攻击加拿大,部署QWCrypt勒索软件
12月9日,网络安全公司Sophos调查发现,2024年2月至2025年8月期间,加拿大组织成为STAC6565威胁集群策划的针对性网络攻击核心目标,近80%的攻击指向该国实体。该组织与Gold Blade(别名Earth Kapre、RedCurl、Red Wolf)高度关联,自2018年底起从俄罗斯实体扩展至加拿大、美国、德国等多国目标,形成"黑客雇佣兵"运作模式,以商业间谍活动为基础,融合数据盗窃与选择性勒索软件部署。攻击链始于针对人力资源部门的鱼叉式网络钓鱼,利用Indeed、JazzHR等求职平台上传伪装成简历的恶意文档。2025年7月新变种采用ZIP存档+快捷方式文件,通过rundll32.exe从Cloudflare Workers域名后的WebDAV服务器获取恶意组件,最终加载RedLoader DLL执行多阶段攻击。该工具链依赖微软程序兼容性助手执行有效载荷,收集Active Directory环境信息,并利用Zemana AntiMalware驱动绕过防病毒软件。威胁行为者武器库包含定制恶意软件QWCrypt、开源反向代理工具RPivot及Chisel SOCKS5。攻击者通过SMB共享分发重命名组件,在受害者网络中横向移动,最终部署勒索软件。
https://thehackernews.com/2025/12/stac6565-targets-canada-in-80-of.html
2. 苏丹巴德尔航空遭黑客入侵致敏感数据泄露
12月10日,近日,一名黑客在网络犯罪论坛宣称已入侵苏丹巴德尔航空公司,泄露其2.21GB内部敏感数据,包括2025年6月至7月期间的飞行调度手册、安全计划手册、安全管理体系手册、最低设备清单、地面操作手册及卢旺达基加利站点人员信息等。这些文件详细涵盖波音737技术规程、安全架构、机队数据及员工联系方式,攻击者正以加密货币兜售数据,并附上航班调度手册截图佐证。若数据属实,Cybernews团队警告可能引发社会工程攻击激增及操作规程泄露风险,为后续勒索创造条件。巴德尔航空作为苏丹为数不多的民用航空运营商之一,成立于2004年,总部位于喀土穆,提供国内/区域客运、货运及VIP包机服务,年收入达5600万美元。尽管苏丹因战乱导致民航基础设施几近崩溃,该公司仍维持运营并承担人道主义援助任务。目前,该公司尚未回应数据泄露置评请求。
https://cybernews.com/security/badr-airlines-data-breach-sudan/
3. Cybernews揭露43亿条记录泄露事件
12月10日,Cybernews研究团队11月发现一个未设防护的MongoDB数据库实例,其中存储16.14太字节、近43亿份文档,包含来自领英的职业及企业情报数据,如全名、邮箱、电话、职位、教育背景、社交媒体账号等个人身份信息(PII),以及企业关联关系、职业经历等。该数据库由网络安全研究员鲍勃·迪亚琴科于11月23日发现,两天后所有者完成安全加固,但暴露时长未知,攻击者可能早已利用。数据库包含9个数据集合,其中“profiles”“unique_profiles”“people”三个集合含近20亿条PII记录,含领英网址、个人主页账号、地理位置、技能等字段,部分记录包含个人照片及邮箱可信度评分。数据结构显示信息源于自动化爬取,可能整合自销售情报工具Apollo.io,但所有者尚未确认。研究指出,此类大规模、高时效性数据集是恶意攻击者的“宝藏”,可被用于定向钓鱼攻击、企业情报侦察、自动化攻击及信息补全,结合其他泄露数据可构建包含密码、设备标识的完整个人信息库,降低社会工程学攻击门槛。
https://cybernews.com/security/database-exposes-billions-records-linkedin-data/
4. 皮尔斯县图书馆数据泄露事件影响34万人
12月11日,美国华盛顿州皮尔斯县图书馆系统(PCLS)于2025年4月15日至21日期间遭遇网络攻击,导致超过34万人的个人信息泄露。PCLS在发现异常后立即启动调查,确认此次事件为外部不法分子入侵其网络系统所致。根据官方通报,此次数据泄露波及范围广泛,不仅包括图书馆读者,还涉及现任及前任员工及其家属。具体来看,读者群体泄露的信息主要为姓名和出生日期;而员工及其家庭成员的信息泄露则更为严重,涵盖姓名、出生日期、社会保障号码、驾驶执照号码、护照号码、财务信息、信用卡详细信息,以及健康保险和医疗信息等敏感内容。PCLS向缅因州总检察长办公室报告称,此次事件共影响340,101人,并将向所有受影响者发送书面通知。为减轻潜在风险,PCLS为受影响人员提供为期12个月的免费信用监控和身份保护服务。然而,截至目前,PCLS尚未公布此次网络攻击的幕后黑手信息,也未发现任何已知勒索软件组织宣称对此事件负责。
https://www.securityweek.com/pierce-county-library-data-breach-impacts-340000/
5. Gogs零日漏洞致半数暴露服务器被入侵
12月11日,Gogs作为自托管Git服务,以轻量级、易部署特性被广泛使用,支持版本控制、问题跟踪等功能,用户可完全掌控数据与基础设施。然而,未修复的零日漏洞CVE-2025-8110被威胁行为者利用,通过远程代码执行入侵约700台互联网暴露的服务器。该漏洞源于PutContents API的路径遍历缺陷:尽管Gogs修复CVE-2024-55947后加强路径名验证,却未检查符号链接目标位置。攻击者可创建含敏感文件符号链接的存储库,利用PutContents覆盖外部文件,触发任意命令执行。Wiz Research在调查客户恶意软件感染时发现此漏洞,扫描显示超1400台Gogs服务器暴露于互联网,其中超50%的实例约700台已被入侵。所有被入侵实例呈现明显模式:7月10日同一时段创建的随机八字符存储库,表明攻击由自动化工具驱动的单一行为者或团体实施。恶意软件通过开源C2框架Supershell建立反向SSH shell,与C2服务器通信。漏洞披露后,Gogs维护者于10月30日承认缺陷,但至今未修复,11月1日已出现第二波攻击。
https://securityaffairs.com/185593/hacking/critical-gogs-zero-day-under-attack-700-servers-hacked.html
6. VSCode供应链攻击:19个恶意扩展植入木马
12月11日,自2月以来,一场针对VSCode Marketplace的隐蔽供应链攻击持续进行,攻击者通过19个恶意扩展将恶意软件隐藏在依赖项文件夹中,目标锁定开发者群体。此次攻击由ReversingLabs安全团队发现,攻击者利用伪装成.PNG图像的恶意文件如banner.png,在扩展的node_modules文件夹中预置修改后的依赖项如path-is-absolute或@actions/io,并在index.js中添加额外类,实现VSCode启动时自动执行恶意代码。具体攻击流程显示,恶意扩展通过捆绑node_modules文件夹阻止VSCode从npm注册表获取依赖项,依赖项中的lock文件包含混淆的JavaScript投放器,而伪装成PNG的压缩文件则包含cmstp.exe和Rust木马程序。尽管木马具体功能仍在分析中,但此次攻击已对开发者系统构成严重威胁。涉及的19个恶意扩展均采用“主题”类名称变体,如“马尔科姆主题”“PandaExpress主题”,版本统一为1.0.0,目前已由ReversingLabs报告微软并全部移除。然而,安装过这些扩展的用户仍需扫描系统以排查安全漏洞。
https://www.bleepingcomputer.com/news/security/malicious-vscode-marketplace-extensions-hid-trojan-in-fake-png-file/
京公网安备11010802024551号