立陶宛黑客传播KMSAuto恶意软件被捕
发布时间 2025-12-311. 立陶宛黑客传播KMSAuto恶意软件被捕
12月29日,一名29岁立陶宛籍公民因涉嫌开发并传播感染280万台系统的剪贴板恶意软件,经国际刑警组织协调从格鲁吉亚引渡至韩国受审。该案件涉及伪装成KMSAuto工具的恶意软件,其表面功能为非法激活Windows和Office软件,实则暗藏加密货币劫持模块。据韩国国家警察厅通报,2020年4月至2023年1月间,嫌疑人通过KMSAuto工具向全球用户分发280万份恶意程序。该软件运行时会自动扫描用户剪贴板中的加密货币地址,并将其替换为攻击者控制的地址,导致受害者在转账时误将资产转入黑客钱包。调查显示,该恶意软件成功窃取3100个虚拟资产地址用户的约17亿韩元(约120万美元)资产,涉及8400笔交易,并至少攻击了六家加密货币交易所。案件调查始于2020年8月,韩国警方接获加密劫持案件报告后,发现KMSAuto工具存在恶意代码植入。通过追踪被盗资金流向,联合国际刑警组织锁定嫌疑人身份。2024年12月,韩方在立陶宛实施突袭行动,缴获笔记本电脑、手机等22件电子设备,从中提取到关键犯罪证据。最终,嫌疑人在2025年4月自立陶宛前往格鲁吉亚途中被捕。
https://www.bleepingcomputer.com/news/security/hacker-arrested-for-kmsauto-malware-campaign-with-28-million-downloads/
2. 黑客利用遗留漏洞发起超250万次恶意请求
12月29日,圣诞节期间,一场由单一威胁攻击者发起的大规模协同攻击席卷全球。该攻击者依托日本境内的基础设施,针对Adobe ColdFusion服务器及其他47种技术平台发起超250万次恶意请求,目标涵盖近20年间的遗留漏洞及2023-2024年披露的10余个高危CVE漏洞。圣诞节当日攻击流量峰值占比高达68%,攻击者显然有意利用节假日企业安全团队人手不足、防护能力下降的监控空档期。此次攻击波及全球20个国家的ColdFusion服务器,相关恶意请求约5940次,其中美国地区攻击会话占比达68%。攻击流量主要源自CTG服务器有限公司托管的两个核心IP地址。在技术细节上,攻击者借助ProjectDiscovery Interactsh带外测试平台,部署近1万个独立域名接收攻击回调信息,并通过WDDX反序列化漏洞触发JNDI/LDAP注入,最终攻击com.sun.rowset.JdbcRowSetImpl组件实现远程代码执行。值得注意的是,针对ColdFusion的攻击仅占整体行动的0.2%。
https://cybersecuritynews.com/coldfusion-servers-under-attack/
3. 罗马尼亚最大能源供应商遭勒索软件攻击
12月29日,圣诞节次日,罗马尼亚最大煤炭能源生产商奥尔特尼亚能源综合体遭遇勒索软件攻击,导致其IT基础设施严重瘫痪。ERP系统、文档管理应用、企业邮件服务及官网等关键系统暂时无法使用,部分运营受影响,但国家能源系统整体运行未受威胁。攻击发生后,该公司立即启动应急响应,利用现有备份在新基础设施上重建受影响系统,同时与国家网络安全局、能源部及打击有组织犯罪和恐怖主义局(DIICOT)合作,全面评估事件影响并分析攻击者是否在加密数据前窃取了敏感信息。目前,该公司已向DIICOT提起刑事诉讼,相关调查正在进行中。此次攻击由Gentlemen勒索软件团伙实施,该组织在其Tor数据泄露网站已新增近50名受害者,但奥尔特尼亚能源综合体尚未被列入,可能仍处于赎金谈判阶段。
https://www.bleepingcomputer.com/news/security/romanian-energy-provider-hit-by-gentlemen-ransomware-attack/
4. CISA要求美政府机构修复MongoBleed高危漏洞
12月30日,美国网络安全和基础设施安全局(CISA)已强制要求联邦民事行政部门(FCEB)机构在2026年1月19日前修复MongoDB高危漏洞CVE-2025-14847(命名“MongoBleed”),该漏洞自2025年12月19日修复后仍被积极利用。MongoBleed源于MongoDB服务器使用zlib库处理网络数据包的方式缺陷,允许未经身份验证的攻击者通过低复杂度、无需用户交互的远程攻击窃取敏感数据,包括API/云密钥、会话令牌、内部日志及个人身份信息(PII)。Elastic安全研究员Joe Desimone发布的概念验证(PoC)程序已证实可泄露未打补丁主机的内存数据。据Shadowserver监测,全球超7.4万个暴露在互联网的MongoDB实例可能存在该漏洞;Censys追踪到超8.7万个IP地址的指纹信息显示其运行未打补丁版本。云安全平台Wiz的遥测数据显示,云环境中42%的可见系统至少有一个存在漏洞的MongoDB实例,且该漏洞已被标记为“已被利用”。
https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-mongobleed-flaw-actively-exploited-in-attacks/
5. 法国两所大学遭网络攻击致大规模学生数据泄露
12月30日,节日期间,法国里尔大学和格勒诺布尔高等商学院相继遭遇网络攻击,导致数千名学生个人数据泄露。据黑客论坛披露,12月29日两校名字出现在知名犯罪论坛,攻击者CZX声称11月入侵格勒诺布尔高等商学院系统,窃取1.35GB敏感数据,涵盖姓名、邮箱、电话、地址、学术背景、IP地址等,影响超40万人,数据疑似源自CRM或营销系统邮件列表,包含学生及外部订阅者信息。同期,LAPSUS$ Group宣称入侵里尔大学,该大学拥有超8万学生,窃取内部标识符、出生日期、行政数据等,影响近2000名学生。该团伙曾与ScatteredSpider、ShinyHunters合并为Scattered LAPSUS$ Hunters,今年被指参与针对Palo Alto Networks、Cloudflare等企业的Salesforce攻击,并声称导致戴尔、Verizon等多家机构数据泄露。
https://cybernews.com/security/french-universities-student-data-hacked/
6. ErrTraffic借“虚假故障”自动化实施ClickFix攻击
12月30日,一种名为ErrTraffic的新型网络犯罪平台在俄语黑客论坛兴起,通过在被入侵网站生成“虚假故障”自动化执行ClickFix社会工程攻击,转化率高达60%。该工具由化名LenAI的开发者以800美元一次性价格出售,采用自托管流量分发系统(TDS)架构,提供用户友好面板、配置选项及实时活动数据监控功能。ClickFix技术通过伪造可信场景(如系统修复、身份验证)诱骗用户执行危险命令,有效绕过标准安全控制,近年已被网络犯罪分子及国家支持行动者广泛采用。ErrTraffic要求攻击者预先控制或向合法网站注入恶意代码,通过HTML代码行集成。对不符合定位条件的普通访客,网站行为保持正常;当访客地理位置、操作系统指纹符合预设条件时,页面DOM会被修改,显示文本损坏、字体符号替换、Chrome虚假更新提示或系统字体缺失错误等“视觉故障”,制造页面“损坏”假象。受害者若按“解决方案”操作如安装浏览器更新、下载系统字体、粘贴命令提示符内容,将触发JavaScript代码向剪贴板写入PowerShell命令,执行后下载恶意有效载荷。
https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/
京公网安备11010802024551号