瑞典Outpost24公司高管遭Kratos钓鱼攻击
发布时间 2026-03-181. 瑞典Outpost24公司高管遭Kratos钓鱼攻击
3月16日,瑞典暴露管理与身份安全公司Outpost24的子公司Specops Software近日披露,该公司一名C级高管成为复杂钓鱼攻击的目标。此次攻击可能使用了名为Kratos的钓鱼即服务工具包,采用七步攻击链,利用分层基础设施和合法服务规避检测。攻击者冒充金融服务提供商JP Morgan,将钓鱼邮件伪装成现有邮件线程的一部分,邀请收件人查看并签署文件。攻击者使用两个DomainKeys Identified Mail(DKIM) 签名确保邮件通过DMARC验证,增加可信度。邮件中包含指向Cisco合法域名secure-web.cisco.com的"查看文件"链接,该域名通常用于Cisco验证后重写邮件URL。攻击链下一步涉及重定向至合法邮件API平台Nylas,确保钓鱼链接通过Cisco Secure Web基础设施重定向。随后目标被重定向至一家印度开发公司网站的子域名,再跳转至一个最初由中国实体于2017年注册的域名。用户最终被重定向至部署在Cloudflare后方的钓鱼基础设施,隐藏源服务器。最后受害者被呈现一个逼真的钓鱼页面,用于窃取Microsoft 365凭证。
https://www.securityweek.com/security-firm-executive-targeted-in-sophisticated-phishing-attack/
2. 俄罗斯彼尔姆市停车支付系统遭DDoS攻击瘫痪
3月17日,俄罗斯彼尔姆市(Perm)停车支付系统近日遭受大规模分布式拒绝服务(DDoS)攻击后恢复运营。该市当局周一确认,系统现已完全恢复正常运行,所有支付方式均可正常使用。当地官员表示,此次中断由大规模DDoS攻击引起,攻击压垮了该市自动停车支付基础设施。攻击导致全市停车支付暂停,驾驶员无法通过官方应用程序和网站支付停车费。3月10日至3月13日系统瘫痪期间,官员表示驾驶员不会因未支付停车费而面临处罚。彼尔姆市的付费停车区通常在周末免费。这是近年来俄罗斯城市停车系统至少第三次遭受此类攻击。去年1月,克拉斯诺达尔(Krasnodar)市驾驶员因电信运营商遭受DDoS攻击而无法支付停车费,相关服务受到干扰。2024年10月,特维尔市(Tver)停车支付也因破坏性网络攻击当地政府网络而中断。目前尚不清楚彼尔姆事件是否与先前攻击有关联,暂无黑客组织宣称对此负责。
https://therecord.media/cyberattack-russia-parking-system
3. 英国公司注册局WebFiling服务曝关键漏洞
3月17日,英国公司注册局(CompaniesHouse)近日确认其WebFiling网络filing服务存在关键安全漏洞,该漏洞可能使攻击者访问500万家注册公司的非公开信息。漏洞于2025年10月引入系统,2026年3月12日由GhostMail研究人员JohnHewitt发现并报告,随后于当周周末完成修复。该漏洞允许任何已登录用户访问其他公司在CompaniesHouse平台上的账户。攻击者无需特殊技术技能,只需选择"为另一家公司filing"选项,输入目标公司的唯一编号,在提示输入验证码时按几次返回键,即可自动登录目标公司账户。成功利用该漏洞的攻击者可能获取董事出生日期、家庭住址和电子邮箱等敏感信息,还可修改公司详细信息并提交未经授权的filing文件。CompaniesHouse在周一发布的声明中确认了该安全漏洞,表示该问题仅影响其WebFiling服务。机构强调,漏洞只能由经过身份验证的攻击者利用,普通公众无法访问。漏洞未暴露密码及身份验证过程中收集的信息(如护照等)。此外,攻击者无法对现有filing文件进行修改。
https://www.securityweek.com/uk-companies-house-exposed-details-of-millions-of-firms/
4. RondoDox僵尸网络升级攻击策略
3月17日,RondoDox僵尸网络近日升级攻击活动,针对174个漏洞发起每日高达15,000次的利用尝试,采取更加集中和战略化的攻击策略。网络安全公司Bitsight发布的报告显示,该僵尸网络自2025年5月25日至2026年2月16日期间持续扩大攻击范围。该僵尸网络最早由TrendMicro于2025年6月15日发现,当时正在利用CVE-2023-1389漏洞攻击TP-LinkArcherAX21路由器。此后,RondoDox持续扩展攻击目标,涵盖DVR、NVR、闭路电视系统和Web服务器等30多种设备类型。2025年12月,CloudSEK研究人员警告该僵尸网络正在利用关键React2Shell漏洞(CVE-2025-55182)在易受攻击的Next.js服务器上投放恶意软件和加密矿工。Bitsight研究人员分析发现,攻击者持续轮换利用的漏洞,在174个漏洞中映射出148个CVE,其中15个有公开概念验证但无CVE编号,另有11个未找到公开概念验证。攻击活动呈现波浪式特征:广泛测试阶段后跟随选定漏洞的长期使用期。2025年10月漏洞利用数量达到单日49个的峰值,随后稳定在40个左右,2026年初急剧下降至仅2个漏洞,表明攻击策略转向更少但更有效的漏洞利用。
https://securityaffairs.com/189569/malware/rondodox-botnet-expands-arsenal-targeting-174-flaws-and-hits-15000-daily-exploit-attempts.html
5. LeakNet勒索软件采用新型BYOR攻击技术
3月17日,LeakNet勒索软件团伙近日采用ClickFix社会工程攻击技术获取企业环境初始访问权限,并部署基于开源Deno运行时的恶意软件加载器。该团伙自2024年底以来活跃,平均每月攻击约3个受害者,随着新技术的采用,其攻击规模可能进一步扩大。安全公司ReliaQuest将这种战术称为"自带运行时"(BYOR)攻击。Deno是合法的JavaScript/TypeScript运行时,允许在系统上执行浏览器外的JS/TS代码。由于Deno经过数字签名且合法,可绕过未知二进制执行的阻止列表和过滤器。攻击者通过安装合法的Deno可执行文件来运行恶意代码,而非部署更容易被标记的自定义恶意软件加载器。执行后,代码会指纹识别主机、生成唯一受害者ID,并连接命令控制服务器获取第二阶段载荷。同时运行持久轮询循环以接收来自命令控制服务器的新命令。在后利用阶段,LeakNet使用DLL侧加载、命令控制信标、通过klist枚举进行凭据发现、通过PsExec进行横向移动,以及通过滥用AmazonS3存储桶进行载荷staged和数据外泄。
https://www.bleepingcomputer.com/news/security/leaknet-ransomware-uses-clickfix-and-deno-runtime-for-stealthy-attacks/
6. GlassWorm供应链攻击卷土重来波及433个组件
3月17日,GlassWorm供应链攻击活动近日卷土重来,针对GitHub、npm和VSCode/OpenVSX平台上的数百个软件包、仓库和扩展发起协调攻击。Aikido、Socket、StepSecurity和OpenSourceMalware社区的研究人员本月共识别出433个被攻陷的组件。最新一轮GlassWorm攻击规模更为庞大,波及200个GitHubPython仓库、151个GitHubJS/TS仓库、72个VSCode/OpenVSX扩展和10个npm软件包。攻击者首先攻陷GitHub账户强制推送恶意提交,然后在npm和VSCode/OpenVSX上发布包含混淆代码的恶意软件包和扩展以逃避检测。在所有平台上,恶意代码每5秒查询一次Solana区块链获取新指令。2025年11月27日至2026年3月13日期间,共发现50笔新交易,主要用于更新载荷URL。指令嵌入交易备忘录中,引导下载Node.js运行时并执行基于JavaScript的信息窃取程序。该恶意软件针对加密货币钱包数据、凭据和访问令牌、SSH密钥以及开发者环境数据。代码注释分析表明GlassWorm由俄语威胁行为者策划,恶意软件在检测到系统为俄语环境时会跳过执行。
https://www.bleepingcomputer.com/news/security/glassworm-malware-hits-400-plus-code-repos-on-github-npm-vscode-openvsx/
京公网安备11010802024551号