Punishing Owl对俄发起技术复杂网络攻击
发布时间 2026-02-041. Punishing Owl对俄发起技术复杂网络攻击
2月2日,黑客组织Punishing Owl于2025年12月12日首次公开活动,对俄罗斯政府安全机构发起技术复杂的网络攻击。该组织通过入侵目标网络窃取内部文件,并将其发布至数据泄露平台,同时在Mega.nz存储仓库备份文件,以最大化曝光度。为拖延受害者响应并扩大影响,攻击者特意选择周五晚6点37分这一非工作时段宣布入侵事件。攻击过程中,Punishing Owl控制了受害机构的DNS配置,创建子域名并将流量劫持至位于巴西的服务器。该服务器不仅托管了窃取的文件,还附带了一份阐述攻击动机的政治声明。随后,该组织进一步对受害机构的合作伙伴与承包商发起商业电子邮件欺诈(BEC)攻击,使用伪造的发件地址发送钓鱼邮件,谎称是网络入侵事件的核实通知,并催促收件人查看附件文档。技术层面,Punishing Owl展现出高水准的攻击能力。其配置了伪造的TLS证书,搭建了用于邮件收发的IMAP和SMTP服务,并部署了名为ZipWhisper的PowerShell窃密木马,用于盗取受感染系统的浏览器凭证。
https://cybersecuritynews.com/new-punishing-owl-hacker-group-targeting-networks/
2. DynoWiper恶意软件攻击波兰能源企业
2月2日,一款名为DynoWiper的新型高危数据擦除恶意软件首次被发现,正对波兰能源企业发起破坏性攻击,其核心目标并非勒索钱财,而是永久清除关键数据并导致系统瘫痪。与常规勒索软件不同,DynoWiper通过三阶段摧毁流程实现破坏:第一阶段递归搜索所有固定及可移动驱动器上的文件,避开关键系统目录以维持基本运行;第二阶段使用16字节随机数据缓冲区覆写文件内容,小于16字节的文件被完全覆盖,大于16字节的则部分破坏,以此提升摧毁效率;第三阶段通过系统重启或直接终止进程使受感染设备无法启动。该恶意软件存在多个变种,均于2025年12月29日投放。攻击者在首次执行失败后多次修改代码以绕过安全防护,但企业部署的终端检测与响应工具成功拦截了其执行,大幅降低损失。Welivesecurity分析师指出,DynoWiper与针对乌克兰的已知擦除恶意软件ZOV存在显著相似性,其归因于与俄罗斯关联的Sandworm组织。
https://cybersecuritynews.com/dynowiper-data-wiping-malware/
3. Coinbase证实内部人员数据泄露
2月3日,美国加密货币交易所Coinbase近日确认发生一起内部人员数据泄露事件。据公司发言人披露,2025年12月,一名承包商不当访问约30名客户的敏感信息,包括电子邮件、姓名、出生日期、电话号码、KYC数据、加密货币钱包余额及交易记录。该承包商已被终止合作,受影响用户已获身份盗窃保护服务及指导,事件同步上报监管机构。威胁行为者“Shiny Lapsus Hunters”曾短暂在Telegram发布Coinbase内部支持界面截图后删除,截图显示可访问客户敏感数据。尽管无法确认该组织是否直接关联内部人员入侵,但类似手法在其他攻击中频现,如威胁行为者曾贿赂CrowdStrike内部人员获取截图,或通过社交工程冒充员工骗取BPO支持人员授权访问权限。BPO公司因承接客户支持、身份验证、IT服务等运营任务,其员工常接触企业核心系统与客户数据,成为攻击者高价值目标。
https://www.bleepingcomputer.com/news/security/coinbase-confirms-insider-breach-linked-to-leaked-support-tool-screenshots/
4. Step Finance遭黑客攻击致4000万美元资产损失
2月3日,美国加密货币平台Step Finance于2025年1月31日检测到安全漏洞,经调查确认因高管设备遭黑客入侵,导致价值约4000万美元的数字资产被盗。该平台是基于Solana区块链的去中心化金融(DeFi)平台及分析工具,支持用户资产可视化、交易、质押等操作,并拥有原生代币$STEP,但交易量相对较小。攻击发生后,Step Finance迅速聘请网络安全专家协助追回资产。区块链分析公司CertiK初步报告显示,被盗资产包括261,854 SOL(约2890万美元),但平台最终核实总损失约4000万美元。通过Token22保护措施及合作伙伴协调,目前已追回约370万美元Remora资产及100万美元其他头寸,合计470万美元。为加强安全防护,平台已暂停部分业务运营,并强调其旗下Remora Markets未受影响,所有rToken仍保持1:1完全储备。Step Finance建议用户在调查结束前暂停使用STEP代币,并承诺将对攻击前状态进行快照,制定针对持有者的解决方案。
https://www.bleepingcomputer.com/news/security/step-finance-says-compromised-execs-devices-led-to-40m-crypto-theft/
5. Citrix NetScaler遭6.3万IP协同侦察
2月3日,威胁监控平台GreyNoise观测到针对Citrix NetScaler基础设施的协同侦察行动,该行动利用超6.3万个独立IP地址发起111,834个会话,其中79%流量指向Citrix Gateway蜜罐,64%来自伪装成合法消费者ISP地址的住宅代理,剩余36%源自同一Azure IP地址。GreyNoise指出,此次活动并非随机互联网扫描,而是有组织的基础设施测绘,旨在入侵前识别暴露的Citrix登录面板及产品版本。攻击者通过两个核心指标暴露恶意意图:其一,63,189个IP生成109,942个会话,集中扫描“/logon/LogonPoint/index.html”身份验证界面,大规模识别暴露的登录面板;其二,2月1日10个IP在6小时内启动1,892个会话,聚焦URL路径“/epa/scripts/win/nsepa_setup.exe”,通过EPA工件枚举Citrix版本。攻击者使用2016年初发布的Chrome 50用户代理,针对EPA安装文件路径的特定攻击表明其正开发特定版本漏洞利用程序或验证已知Citrix ADC漏洞。
https://www.bleepingcomputer.com/news/security/wave-of-citrix-netscaler-scans-use-thousands-of-residential-proxies/
6. CISA紧急通报SolarWinds服务台漏洞
2月3日,美国网络安全与基础设施安全局(CISA)近日将SolarWinds Web Help Desk的严重漏洞CVE-2025-40551标记为"正在遭受攻击",并依据2021年发布的具有约束力的操作指令(BOD 22-01),要求联邦民事行政部门(FCEB)机构在三天内完成系统修补。该漏洞由安全研究员Jimi Sebree发现,源于不受信任的数据反序列化弱点,可被未经身份验证的攻击者利用实现远程代码执行,在未打补丁的设备上运行恶意命令。SolarWinds于1月28日发布Web Help Desk 2026.1版本修复此漏洞,同时一并修复了Sebree发现的硬编码凭证高危漏洞(CVE-2025-40537)及watchTowr的Piotr Bazydlo报告的两个身份验证绕过漏洞(CVE-2025-40552、CVE-2025-40554),所有漏洞均支持远程利用。CISA强调,尽管BOD 22-01仅针对联邦机构,但私营部门也应尽快修补以抵御持续攻击。
https://www.bleepingcomputer.com/news/security/cisa-flags-critical-solarwinds-rce-flaw-as-actively-exploited/
京公网安备11010802024551号