BianLian勒索软件利用SVG钓鱼攻击委内瑞拉企业
发布时间 2026-03-311. BianLian勒索软件利用SVG钓鱼攻击委内瑞拉企业
3月27日,WatchGuard研究人员近日披露,BianLian勒索软件组织正针对委内瑞拉企业发起新型网络钓鱼攻击,通过恶意SVG图像文件和巧妙重定向技术绕过传统安全防护,实施高速AES加密勒索。此次攻击高度集中在委内瑞拉,攻击链始于伪装成发票或预算的钓鱼邮件,附件为使用西班牙语命名的SVG文件,看似普通图片实则嵌入XML代码。用户打开文件后,会秘密连接外部URL,下载由Go语言编写的隐蔽Windows程序作为有效载荷。攻击者采用16位令牌系统传递恶意程序,该程序具备反监控能力,会检测Wine工具以判断是否处于安全分析环境,并在系统“挂起”时持续监视,利用防御空隙执行攻击。其核心武器是高速AES加密模块,可快速锁定文件实施勒索。技术细节显示,该攻击通过缩短链接服务ja.cat进行流量重定向,最终指向被入侵的巴西域名,形成多层跳板规避追踪。WatchGuard研究指出,这些策略与BianLian组织自2022年以来的作案手法高度吻合。
https://hackread.com/bianlian-ransomware-fake-invoice-svg-images-attacks/
2. 西班牙维戈港遭勒索软件攻击
3月26日,西班牙维戈港近日遭遇勒索软件攻击,导致其数字系统严重受损。攻击于周二清晨被发现,影响加利西亚地区港口用于货物运输管理及其他数字服务的计算机服务器。部分设备被锁定,攻击者要求支付赎金以恢复系统访问权限。为遏制攻击扩散,港务局技术团队迅速将受影响系统与外部网络隔离,并启动手动作业模式。港口总裁卡洛斯·博塔纳强调,在安全团队确认系统绝对安全前,不会重新连接任何数字系统,目前尚无恢复数字运营的时间表。尽管船舶航行和货物装卸等实体运营仍在继续,但依赖数字平台的物流协调工作受到显著影响,部分操作人员已转为人工操作并依赖纸质文件完成工作。调查正在进行中,以确定攻击者如何入侵网络以及是否存在敏感数据泄露。博塔纳将此次事件定性为经济动机的网络攻击,旨在勒索赎金。截至目前,尚无任何网络犯罪组织宣称对此次攻击负责。
https://therecord.media/port-of-vigo-ransomware
3. FortiClient EMS高危SQL注入漏洞遭活跃利用
3月30日,威胁情报公司Defused近日披露,攻击者正积极利用Fortinet FortiClient EMS平台的CVE-2026-21643严重SQL注入漏洞。该漏洞允许未经身份验证的威胁行为者通过构造恶意HTTP请求,在未修补的FortiClient EMS 7.4.4版本Web界面执行任意代码或命令,攻击复杂度低且无需特殊权限。Defused强调,尽管CISA及其他已知利用漏洞(KEV)目录仍标记该漏洞为“未被利用”,但其内部数据已证实四天前出现首次利用案例。漏洞由Fortinet安全团队内部发现,影响7.4.4版本,用户可通过升级至7.4.5或更高版本修复。然而,Fortinet尚未更新安全公告或确认漏洞已被实际利用。据Shodan扫描,近1000个FortiClient EMS实例已公开暴露;Shadowserver追踪到超2000个暴露实例,其中1400个IP地址位于美国和欧洲,多数集中在美国。
https://www.bleepingcomputer.com/news/security/critical-fortinet-forticlient-ems-flaw-now-exploited-in-attacks/
4. 俄TA446利用DarkSword漏洞对iOS设备发起钓鱼攻击
3月30日,与俄罗斯关联的高级持续威胁组织TA446(别名SEABORGIUM、ColdRiver等)正利用DarkSword漏洞利用工具包,针对iOS设备发起定向鱼叉式网络钓鱼攻击。该组织自2017年起持续活跃,主要针对北约国家及东欧地区(含乌克兰),目标涵盖国防/情报公司、非政府组织、政府间组织、智库、高校,以及前情报官员、俄罗斯事务专家和海外俄公民,通过窃取凭证与情报实现入侵和数据窃取。此次攻击中,TA446通过伪造大西洋理事会邮件发送链接,链接指向看似无害的PDF诱饵文件,利用服务器端过滤机制将用户重定向至DarkSword漏洞利用工具包,实施定向投放策略。该工具包包含远程代码执行(RCE)、PAC绕过等组件,虽未发现沙箱逃逸,但已证实通过加载器MD5关联TA446第二阶段域名,显示其实际使用。
https://securityaffairs.com/190139/apt/russia-linked-apt-ta446-uses-darksword-exploit-to-target-iphone-users-in-phishing-wave.html
5. 医疗科技公司CareCloud称黑客窃取了患者数据
3月30日,医疗信息技术公司CareCloud近日披露一起严重数据泄露事件,引发行业关注。该公司总部位于美国新泽西州,作为公开上市的医疗保健IT服务商,主要提供SaaS软件、收入周期管理、电子健康记录(EHR)等解决方案。据CareCloud向美国证券交易委员会提交的文件显示,2026年3月16日,其旗下CareCloud Health部门遭遇网络中断,导致六个电子健康记录环境之一的功能和数据访问受阻,持续约8小时后完全恢复。经调查确认,黑客在入侵期间访问了该公司IT基础设施,并造成存储客户患者健康记录的特定环境数据泄露。尽管公司强调未经授权的数据访问范围有限,但具体受影响人数及数据类型仍待进一步调查确认。事件发生后,CareCloud迅速启动应急响应机制。公司强调此次事件未波及其他平台、部门或系统,攻击者已无法继续访问其数据库,所有受影响系统均已完全恢复。
https://www.bleepingcomputer.com/news/security/healthcare-tech-firm-carecloud-says-hackers-stole-patient-data/
6. RoadK1ll:WebSocket反向隧道实现隐蔽渗透
3月30日,近日,托管检测和响应(MDR)提供商Blackpoint在事件响应中发现了名为RoadK1ll的新型Node.js恶意植入程序,该程序通过自定义WebSocket协议实现攻击者与受感染主机的持续通信,具备高度隐蔽性和扩展性。RoadK1ll被定义为轻量级反向隧道植入物,其核心功能是将受损主机转化为可控中继点。通过建立到攻击者控制基础设施的出站WebSocket连接,该程序可按需转发TCP流量,使威胁行为者无需依赖传统入站监听器即可访问内部网络资源。这种设计使攻击者能绕过边界控制,由于连接源自被入侵机器,可继承其网络信任和位置,有效访问原本无法从外部直接访问的内部系统、服务及网络段。该恶意软件支持多并发连接能力,允许同时与多个目标通信。其命令集包含连接、数据转发、连接确认、连接终止及错误反馈等基础指令,其中CONNECT命令可触发向指定主机和端口的出站TCP连接,实现攻击范围的横向扩展。若通信中断,程序会自动启动重连机制恢复隧道,确保攻击持续性且减少手动干预产生的噪音。
https://www.bleepingcomputer.com/news/security/new-roadk1ll-websocket-implant-used-to-pivot-on-breached-networks/
京公网安备11010802024551号