TeamPCP针对伊朗系统部署擦除恶意软件
发布时间 2026-03-251. TeamPCP针对伊朗系统部署擦除恶意软件
3月23日,应用安全公司Aikido近日发现TeamPCP黑客组织针对Kubernetes集群发动攻击,使用恶意脚本在检测到伊朗配置系统时擦除所有机器。恶意软件设计用于摧毁匹配伊朗时区和语言环境的任何机器,无论是否存在Kubernetes。如果两个条件都满足,脚本会在kube-system中部署名为Host-provisioner-iran的DaemonSet,使用特权容器并将主机根文件系统挂载到/mnt/host。每个pod运行名为kamikaze的Alpine容器,删除主机文件系统上的所有顶级目录,然后强制主机重启。如果存在Kubernetes但系统被识别为非伊朗系统,恶意软件会部署名为host-provisioner-std的DaemonSet,使用特权容器挂载主机文件系统。每个pod将Python后门写入主机文件系统并安装为systemd服务以在每个节点上持久化。在没有Kubernetes的伊朗系统上,恶意软件删除机器上的所有文件,包括系统数据。
https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/
2. Tycoon2FA 钓鱼平台被捣毁后迅速恢复运营
3月23日,欧洲刑警组织和合作伙伴于3月4日捣毁的Tycoon2FA钓鱼即服务(PhaaS)平台已恢复至此前观察到的活动水平。微软领导了此次技术捣毁行动,缴获了330个属于Tycoon2FA骨干基础设施的域名,包括用于攻击的控制面板和钓鱼页面。欧洲刑警组织和合作伙伴于3月4日捣毁的Tycoon2FA钓鱼即服务(PhaaS)平台已恢复至此前观察到的活动水平。微软领导了此次技术捣毁行动,缴获了330个属于Tycoon2FA骨干基础设施的域名,包括用于攻击的控制面板和钓鱼页面。Tycoon2FA由Sekoia约两年前首次记录,作为专门针对Microsoft365和Gmail账户的PhaaS平台上线,具有中间人攻击机制,可绕过双因素身份验证(2FA)保护。一个月后,Trustwave报告Tycoon2FA运营者积极改进平台,添加新的高级功能,吸引更多网络罪犯购买访问权限。Tycoon2FA是钓鱼领域的重要参与者,微软报告其每月生成3000万封钓鱼邮件,占该科技公司拦截的所有邮件的62%。
https://www.bleepingcomputer.com/news/security/tycoon2fa-phishing-platform-returns-after-recent-police-disruption/
3. 马自达遭网络攻击692条员工和合作伙伴数据泄露
3月23日,日本汽车制造商马自达公司近日宣布,在去年12月发现的一起安全事件中,其员工和业务合作伙伴的信息被暴露。马自达是日本最大的汽车制造商之一,年产量120万辆汽车,收入近240亿美元。公司表示攻击者利用了与泰国采购零件仓库管理系统相关的漏洞。该系统不包含任何客户数据。泄露仅限于692条记录。马自达在公告中表示:"马自达公司已识别到与泰国采购零件仓库运营相关的管理系统存在未经授权外部访问的痕迹。发现后,公司立即向个人信息保护委员会(日本内阁府外部机构)报告,并与外部专业组织合作实施适当安全措施并进行调查。"调查显示,可能暴露的信息包括用户ID、全名、电子邮件地址、公司名称和业务合作伙伴ID。尽管马自达表示未检测到该信息的滥用,但公司建议受影响个人保持警惕,因为针对他们的钓鱼攻击和诈骗风险显著。除通知当局外,马自达还对其IT系统实施了额外安全措施,包括减少互联网暴露、应用安全补丁、增加对可疑活动的监控以及引入更严格的访问策略。截至目前,尚无勒索软件组织公开声称对此次攻击负责。
https://www.bleepingcomputer.com/news/security/mazda-discloses-security-breach-exposing-employee-and-partner-data/
4. 朝鲜Team 8利用VSCode传播StoatWaffle恶意软件
3月24日,NTT Security近日发现,与朝鲜相关的威胁行为者Team 8在"Contagious Interview"活动中通过恶意Microsoft Visual Studio Code项目传播StoatWaffle恶意软件。在此活动中,Team 8主要使用OtterCookie。从2025年12月左右开始,Team 8开始使用新恶意软件,我们将其命名为StoatWaffle。Team 8利用与区块链相关的项目作为诱饵。该恶意仓库包含.vscode目录,其中包含tasks.json文件。如果用户使用VSCode打开并信任此恶意仓库,它会读取此tasks.json文件。"该任务从Vercel下载有效载荷并通过cmd.exe运行,从简单下载器开始。然后安装Node.js并获取额外文件,实现跨操作系统的进一步恶意软件执行。StoatWaffle恶意软件使用多阶段感染链。从Node.js加载器开始,反复连接命令控制(C2)服务器并执行接收到的任何代码。然后部署第二个下载器,继续此通信并快速传递额外恶意软件模块。
https://securityaffairs.com/189880/security/north-korea-linked-threat-actors-abuse-vs-code-auto-run-to-spread-stoatwaffle-malware.html
5. QualDerm Partners数据泄露影响310万患者信息
3月24日,医疗保健管理服务提供商QualDerm Partners近日通知超过310万人,其个人、医疗和健康保险信息在2025年12月的数据泄露中被窃取。该公司表示,事件于12月24日发现,涉及攻击者未经授权访问其网络两天。在此期间,攻击者从被攻陷的"有限数量系统"中外泄了某些信息。被盗信息包括姓名、地址、出生日期、电子邮件地址、病历号、医生姓名、治疗和诊断信息、健康保险信息、死亡日期,以及在某些情况下的政府签发身份证件信息。QualDerm表示对数据泄露的调查仍在继续,已决定通知迄今已识别的患者。作为对攻击的响应,公司立即激活响应计划,采取措施控制未经授权的活动,评估系统安全性,并通知执法部门和监管机构。QualDerm向美国卫生与公众服务部报告,3,117,874人受攻击影响。该事件于上月报告,但本周才被添加到HHS的泄露门户。公司正向受影响个人提供12个月的免费身份盗窃和信用监控服务。
https://www.securityweek.com/3-1-million-impacted-by-qualderm-data-breach/
6. Infinite Campus遭ShinyHunters攻击威胁泄露数据
3月24日,广泛使用的K-12学生信息系统Infinite Campus近日警告客户,在威胁行为者勒索企图后发生数据泄露。在发送给客户的通知中,Infinite Campus表示黑客访问了员工的Salesforce账户,暴露了大部分可公开获取的信息。该公司未发布官方声明,但客户在各种公开平台报告了事件。通知发布前不久,数据勒索组织ShinyHunters声称发动了攻击,并在其暗网网站发布"最后警告",威胁泄露据称从Infinite Campus窃取的所有数据。黑客给予公司截至3月25日的时间联系并协商赎金以防止数据泄露,但Infinite Campus表示不会与攻击者接触。Infinite Campus表示,根据调查,客户数据库未被访问。暴露数据包括学校员工的姓名和联系详情,以及通常可公开获取的信息。作为响应,公司已对无IP地址限制的用户禁用某些面向客户的服务,以最大限度降低敏感数据潜在暴露风险。同时正在扫描所有可能受损的Salesforce数据,并联系可能受影响的学区提供指导。
https://www.bleepingcomputer.com/news/security/infinite-campus-warns-of-breach-after-shinyhunters-claims-data-theft/
京公网安备11010802024551号