印度税务钓鱼攻击部署多阶段间谍框架
发布时间 2026-01-281. 印度税务钓鱼攻击部署多阶段间谍框架
1月26日,网络安全研究人员发现一起针对印度用户的网络间谍攻击活动,该活动通过冒充印度所得税部门的钓鱼邮件传播多阶段恶意程序。据eSentire威胁响应部门分析,攻击者利用伪造的税务罚款通知分发含隐藏文件的ZIP压缩包,其中包含一个可执行文件及恶意DLL文件。该可执行文件通过DLL侧载技术加载恶意模块,在运行时检测调试器延迟并联系外部服务器获取后续载荷。攻击链中,下载的Shellcode利用COM技术绕过用户账户控制(UAC)提示获取管理员权限,同时修改进程环境块(PEB)伪装成合法Windows进程“explorer.exe”以逃避检测。随后,恶意软件下载一个32位Inno Setup安装程序,该程序会根据目标主机是否运行Avast防病毒软件动态调整行为。最终,攻击者部署了Blackmoon银行木马变种及SyncFuture TSM企业工具。后者作为合法的终端安全管理工具被重新利用为间谍框架,提供远程监控、数据窃取及用户活动记录功能。
https://thehackernews.com/2026/01/indian-users-targeted-in-tax-phishing.html
2. WinRAR高危漏洞CVE-2025-8088遭多类攻击者滥用
1月27日,网络安全公司ESET与谷歌威胁情报小组(GTIG)近期披露,WinRAR软件中的CVE-2025-8088高危路径遍历漏洞正被国家支持型间谍组织及经济利益驱动的犯罪团伙大规模利用,进行初始访问并部署恶意载荷。该漏洞通过备用数据流(ADS)将恶意文件写入任意位置,攻击者曾利用其在Windows启动文件夹植入持久化恶意软件,实现重启后持续运行。GTIG报告指出,攻击活动自2025年7月18日起持续至今,涉及俄罗斯结盟的RomCom组织(UNC4895)、伊朗APT44(FROZENBARENTS)、朝鲜TEMP.Armageddon及中国关联攻击者等国家支持实体,以及分发XWorm、AsyncRAT等远程访问工具的经济犯罪分子。攻击链通常将恶意载荷隐藏在归档文件诱饵(如PDF)的ADS中,用户打开WinRAR时,漏洞会提取ADS有效载荷,生成LNK、HTA、BAT等可执行文件,在用户登录时自动运行。值得注意的是,所有攻击者均从“zeroplayer”等供应商处获取漏洞利用程序。该供应商去年7月曾兜售此漏洞,并销售其他高价零日漏洞。
https://www.bleepingcomputer.com/news/security/winrar-path-traversal-flaw-still-exploited-by-numerous-hackers/
3. 耐克调查勒索团伙文件泄露事件
1月27日,近日,运动服装巨头耐克公司证实正在调查一起“潜在的网络安全事件”。此前,World Leaks勒索软件团伙在暗网数据泄露网站宣称窃取了耐克1.4TB文件,包含近19万份企业数据,涉及业务运营信息。耐克在声明中强调“始终重视消费者隐私和数据安全”,并表示正积极评估情况。值得注意的是,World Leaks随后从泄露列表中删除了耐克条目,引发谈判或赎金支付猜测,但耐克未证实数据被盗,第三方也无法验证文件真实性。经查,World Leaks实为Hunters International勒索软件的更名版本。该组织于2023年末出现,因代码相似性被视为Hive勒索软件的可能变体,曾宣称对280余起攻击负责。2025年1月,Hunters International宣布放弃文件加密策略,转向数据窃取和勒索模式,理由是传统勒索软件操作风险过高且利润下降。
https://www.bleepingcomputer.com/news/security/nike-investigates-data-breach-after-extortion-gang-leaks-files/
4. SmarterMail服务器高危漏洞威胁全球
1月27日,非营利安全组织Shadowserver近日发布报告,指出全球超过6000台SmarterMail服务器因暴露在互联网上,可能遭受编号为CVE-2026-23760的严重身份验证绕过漏洞攻击。该漏洞由网络安全公司watchTowr于2026年1月8日首次披露,涉及SmarterTools旗下SmarterMail 9511版本之前的密码重置API功能。据安全公告显示,其"force-reset-password"端点存在设计缺陷,允许匿名请求且未验证现有密码或重置令牌,攻击者仅需提供目标管理员用户名和新密码即可重置账户,从而完全获取系统管理权限。watchTowr研究人员已发布概念验证漏洞利用程序,证实未经身份验证的攻击者可利用此漏洞劫持管理员账户,进而实现远程代码执行,导致对受影响服务器的完全控制。Shadowserver通过版本检测发现,美国(4100台)、马来西亚(449台)、印度(188台)、加拿大(166台)和英国(146台)是受影响最严重的国家,且实际攻击尝试已被观测到。
https://securityaffairs.com/187394/hacking/shadowserver-finds-6000-likely-vulnerable-smartermail-servers-exposed-online.html
5. 俄罗斯Delta公司遭网络攻击致多系统瘫痪
1月27日,俄罗斯报警与安全系统供应商Delta公司近日遭遇“大规模、协调且组织严密”的网络攻击,导致其家庭、企业及车辆安全系统服务大面积中断,引发客户广泛投诉。该公司市场总监瓦列里·乌什科夫在视频声明中指出,攻击源自“敌对外国”,并坦言其架构“无法抵御国外精心策划的攻击”。截至周二,Delta网站及电话线路仍无法使用,公司被迫通过社交媒体VKontakte与数万名客户沟通,并承诺技术团队正全力恢复系统,预计很快全面恢复。此次攻击造成多重实际影响:用户报告汽车防盗警报无法关闭、车辆无法解锁、远程启动系统故障、车门意外锁闭甚至行驶中发动机熄火;住宅及商业建筑警报系统则自动切换至紧急模式且无法关闭。俄语媒体Baza在Telegram上披露,事件发生后用户迅速反馈上述问题,而《生意人报》亦证实存在大范围故障。尽管Delta坚称无客户数据泄露,但一个自称攻击者的Telegram频道发布了据称包含被盗数据的存档文件,其真实性及攻击者身份尚未获独立核实。
https://therecord.media/russia-delta-security-alarm-company-cyberattack
6. SoundCloud遭ShinyHunters攻击致2980万用户数据泄露
1月27日,音频流媒体平台SoundCloud 2025年12月遭遇大规模数据泄露事件,影响超过2980万用户账户,涉及电子邮件地址、地理位置、姓名、用户名、头像、粉丝数、关注者数及部分国家信息等公开资料。SoundCloud成立于2007年,作为艺术家中心平台,现拥有全球4000万艺术家上传的超4亿首歌曲。事件起因于黑客入侵其辅助服务仪表板,触发未经授权访问。SoundCloud在检测到异常后启动事件响应程序,经调查确认无敏感数据泄露,仅涉及公开个人资料信息。然而,勒索团伙ShinyHunters声称对此次攻击负责,并向SoundCloud提出勒索要求,同时通过电子邮件对用户、员工及合作伙伴发送骚扰信息。1月15日,SoundCloud证实攻击者存在勒索行为,且数据已被公开。此次泄露影响约20%的SoundCloud用户,此前用户曾报告无法访问平台及使用VPN时出现403错误。数据泄露通知服务Have I Been Pwned披露,攻击者成功将公开资料与用户电子邮件地址关联,涉及3000万唯一电子邮件地址。
https://www.bleepingcomputer.com/news/security/have-i-been-pwned-soundcloud-data-breach-impacts-298-million-accounts/
京公网安备11010802024551号