毕马威荷兰分部遭Nova勒索软件攻击
发布时间 2026-01-291. 毕马威荷兰分部遭Nova勒索软件攻击
1月26日,近日,荷兰毕马威会计师事务所荷兰分部遭遇活跃勒索软件组织Nova的供应链攻击,成为该组织最新目标。据勒索软件活动跟踪平台披露,攻击发生时间与发现日期相近,攻击者宣称已窃取大量敏感数据,并发出为期10天的最后通牒,要求受害方联系谈判赎金支付。毕马威作为全球领先的专业服务机构,荷兰分部掌握着涵盖金融服务、合规审计及企业运营的敏感客户数据,此次攻击符合Nova一贯的作案模式——专注于专业服务与金融行业的知名企业。事件发生后,网络安全团队建议立即封锁已识别的相关域名基础设施,并密切监控网络内是否存在与勒索软件部署相关的横向移动活动。一旦发现与Nova相关的入侵痕迹或攻击指标,必须立即启动应急预案。截至目前,毕马威官方尚未就此事件公开发表声明,客户及相关方需密切关注其官方渠道后续通报,以获取事件影响评估及修复进展时间表。
https://cybersecuritynews.com/nova-ransomware-breach-kpmg-netherlands/
2. TA584利用Tsundere Bot与XWorm木马实施勒索攻击链
1月28日,自2020年起,Proofpoint持续追踪的TA584初始访问代理近期活动激增,其通过Tsundere Bot与XWorm远程访问木马构建复杂攻击链,显著提升绕过静态检测能力,可能引发勒索软件攻击。该组织2025年末活动量较同年第一季度增长三倍,攻击范围从传统目标区(北美、英爱)扩展至德国、欧洲多国及澳大利亚。Tsundere Bot由卡巴斯基2023年记录,关联俄语操作员及123 Stealer恶意软件,具备后门、加载器功能,需Node.js环境运行。其通过EtherHiding技术从以太坊区块链获取C2地址,并内置硬编码备用地址,通过WebSocket与C2服务器通信,同时检测系统语言,若为独联体语言(如俄语)则中止执行。该恶意软件可收集系统信息、执行任意JS代码、充当SOCKS代理,并内置市场用于僵尸程序交易。攻击链始于被入侵老旧账户发送的钓鱼邮件,邮件包含目标唯一URL、地理围栏、IP过滤及重定向链。用户经CAPTCHA验证后进入ClickFix页面,被诱导执行PowerShell命令,加载混淆脚本将XWorm或Tsundere Bot注入内存,最终浏览器被重定向至无害网站以掩盖攻击。
https://www.bleepingcomputer.com/news/security/initial-access-hackers-switch-to-tsundere-bot-for-ransomware-attacks/
3. 波兰电网遭受网络攻击,约30个设施受到影响
1月28日,波兰电网12月下旬遭受协同攻击,目标直指全国多个分布式能源资源(DER)站点,包括热电联产(CHP)设施、风能及太阳能调度系统。此次攻击虽未中断电力供应,但导致关键运营技术(OT)系统受损,损坏“无法修复的关键设备”,总损失达1.2吉瓦,占波兰能源供应的5%。据关键工业基础设施安全公司Dragos披露,受影响地点实际约30个,远超公开报道的12个。Dragos以中等信心将此次攻击归因于俄罗斯威胁行为体Electrum。该组织虽与Sandworm(APT44)存在重叠,但被视为独立活动集群。此前,ESET曾报告APT44使用DynoWiper恶意软件对波兰电网发起失败攻击,而Electrum的攻击目标更聚焦于分布式能源站点的调度系统、远程终端单元(RTU)、网络边缘设备、监控系统及基于Windows的机器等暴露且易受攻击的系统。事件响应证据显示,攻击者对设备部署和操作方式有深刻理解,反复入侵多个站点的类似RTU和边缘设备配置。他们成功使多站点通信设备失效,导致远程监控和控制功能丧失,但发电功能未中断。部分OT/ICS设备配置损坏至无法恢复,站点Windows系统被擦除。
https://www.bleepingcomputer.com/news/security/cyberattack-on-polish-energy-grid-impacted-around-30-facilities/
4. eScan更新服务器遭入侵致恶意更新分发
1月28日,eScan防病毒产品制造商MicroWorld Technologies 1月20日证实其区域更新服务器遭入侵,在两小时窗口期内向部分客户分发了恶意更新。该更新被分析为包含多阶段恶意软件,通过篡改eScan合法更新组件“Reload.exe”实现持久化后门部署,导致系统hosts文件修改、更新服务连接阻断及新安全定义接收失败。eScan表示,此次事件源于未经授权访问区域服务器配置,允许恶意文件被放置在更新分发路径中。公司强调该事件与产品本身漏洞无关,仅影响从特定区域集群下载更新的客户。事件发生后,eScan迅速隔离受影响基础设施、轮换身份验证凭证,并于1月21日发布安全公告,主动通知并直接联系受影响客户,提供包含系统恢复、更新功能重启用及验证的修复更新程序。
https://www.bleepingcomputer.com/news/security/escan-confirms-update-server-breached-to-push-malicious-update/
5. FBI查封勒索软件团伙使用的RAMP网络犯罪论坛
1月28日,FBI联合美国佛罗里达州南区检察官办公室及司法部计算机犯罪部门查封了臭名昭著的RAMP网络犯罪论坛。该论坛作为俄语地下网络中少数仍公开允许推广勒索软件行动的平台,其Tor网站及明网域名ramp4u.io现已显示查封通知,并嘲讽式引用自身口号“唯一允许勒索软件的地方!”及俄罗斯动画角色玛莎眨眼图案。此次行动使执法部门可获取论坛用户数据,包括邮件、IP地址、私信等潜在犯罪证据,可能对操作安全疏忽的威胁行为者实施身份识别与逮捕。RAMP论坛由化名Orange的Mikhail Matveev于2021年7月创立,旨在承接因DarkSide攻击Colonial Pipeline后俄语论坛禁止勒索软件推广的空白。Matveev此前为Babuk勒索软件管理员,该组织因攻击华盛顿特区警局后内部分裂,他利用Babuk原有Tor域名重建RAMP。论坛上线初期遭DDoS攻击,Orange曾指责Babuk前成员,但后者否认。Matveev在采访中透露,RAMP未实现盈利且持续受攻击,后逐渐退出管理。
https://www.bleepingcomputer.com/news/security/fbi-seizes-ramp-cybercrime-forum-used-by-ransomware-gangs/
6. PackageGate漏洞揭示JavaScript包管理器安全缺陷
1月28日,安全公司Koi近日披露名为"PackageGate"的系列零日漏洞,影响NPM、PNPM、VLT和Bun等主流JavaScript包管理器。这些漏洞可绕过供应链防护机制,允许攻击者在依赖项中植入隐藏恶意代码,即使启用禁用生命周期脚本(--ignore-scripts)和锁定文件保护措施仍可能被利用。研究显示,npm存在严重设计缺陷:恶意Git依赖项可通过伪造的.npmrc文件替换Git二进制文件,触发远程代码执行;pnpm虽默认禁用脚本,但会在Git拉取时运行准备脚本;vlt允许遍历tar包路径,攻击者可覆盖系统文件;Bun则因信任包名而非源代码,存在包名重用风险。更严峻的是,pnpm和vlt的锁定文件机制失效,它们接受无完整性哈希的远程tar包,使攻击者能在代码审查后修改内容。Koi报告指出,攻击者可通过深度依赖树植入恶意包,根据时间、IP等信号定向投放恶意代码,锁定文件无法提供防护。
https://securityaffairs.com/187416/hacking/packagegate-bugs-let-attackers-bypass-protections-in-npm-pnpm-vlt-and-bun.html
京公网安备11010802024551号