每周网安资讯 （4.28-5.6）|DragonForce勒索团伙近期针对英国零售业发动大规模攻击

1、Mimic勒索软件变体通过Clipper窃取凭证重返医疗系统

2025年3月，Morphisec调查了一起针对医疗行业的勒索软件攻击事件，攻击者使用了Mimic 7.5版本，并自称为“ELENOR-corp”。此次攻击的初始入侵手段首次被公开，攻击者利用Clipper恶意软件窃取凭证，重新进入系统。在横向移动过程中，攻击者通过RDP协议入侵多台服务器，部署了Process Hacker等工具。

2、CLFS零日漏洞利用导致勒索软件活动

微软威胁情报中心（MSTIC）和安全响应中心（MSRC）近期发现，Windows通用日志文件系统CLFS存在一个零日提权漏洞，漏洞编号CVE-2025-29824。攻击者通过PipeMagic恶意软件部署勒索软件，攻击目标涵盖美国的IT和房地产行业、委内瑞拉的金融机构、西班牙的软件公司以及沙特阿拉伯的零售企业。攻击者利用该漏洞提升权限至SYSTEM级别，随后注入winlogon.exe进程，使用procdump工具转储LSASS进程以窃取凭据，并最终加密文件，留下勒索信。

3、DragonForce勒索团伙近期针对英国零售业发动大规模攻击

近期，DragonForce勒索软件团伙对英国多家零售企业发起协调攻击，导致支付、库存、薪资等关键系统中断，受害者包括Harrods、Marks & Spencer和Co-Op等知名品牌。该组织最初以亲巴勒斯坦黑客行动主义者身份出现，现已转向以财务勒索为主，采用多重勒索模式，威胁泄露数据并损害声誉。

4、本地SOCKS5代理后门利用ELF可执行文件在内存中加载恶意载荷

2025年4月22日，MalwareHunterTeam分享了一个具有两个硬编码IP地址的Linux ELF哈希值，此样本使用多种技术来隐藏自身并执行恶意操作。该恶意C语言后门伪装成内核线程运行，首次执行时，父进程fork出子进程，重设环境变量并绑定套接字。恶意软件对本地代理的请求通过硬编码的SOCKS5代理转发至攻击者基础设施，并在内存中直接执行该载荷，实现无痕远控。

5、美国报税季遭遇Stealerium恶意软件攻击

近日，Seqrite Labs发现网络犯罪分子利用税务主题的钓鱼邮件，诱导用户下载并执行名为Stealerium的恶意软件。攻击者通过伪装成税务文件的LNK快捷方式文件，诱使用户点击，触发Base64编码的PowerShell脚本，下载并执行恶意载荷。最终，用户设备上会运行通过PyInstaller打包的Python可执行文件，部署Stealerium信息窃取器。