第341期

本周热点事件威胁情报

勒索组织BianLian与RansomExx利用SAP NetWeaver漏洞部署PipeMagic木马

研究人员发现，多个网络犯罪组织正利用SAP NetWeaver Visual Composer框架存在的未授权文件上传漏洞（CVE-2025-31324）发起攻击。其中，勒索组织BianLian和RansomExx通过该漏洞部署了PipeMagic木马，并试图借助Windows CLFS提权漏洞（CVE-2025-29824）进一步扩大攻击范围。

参考链接：

https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html

摩尔多瓦执法机关逮捕涉嫌DoppelPaymer勒索软件攻击的嫌疑人

摩尔多瓦执法机关逮捕了一名45岁的外国男子，怀疑其参与了2021年针对荷兰公司的勒索软件攻击事件。警方查获了超过84,000欧元的现金、电子钱包、两台笔记本电脑、一部手机、一台平板电脑、六张银行卡、两个数据存储设备以及六张内存卡。据调查，该嫌疑人涉嫌与多起网络犯罪活动有关，其中包括针对荷兰公司的勒索软件攻击、勒索及洗钱等行为。其中一起攻击事件针对荷兰科学研究组织（NWO），造成了约450万欧元的损失。该攻击发生在2021年2月，在荷兰科学研究组织拒绝支付赎金后，攻击者泄露了其内部文件。经调查，此次攻击被归因于DoppelPaymer勒索软件组织。DoppelPaymer勒索软件被认为是在BitPaymer勒索软件的基础上发展而来的，因为两者在源代码、勒索信息以及支付门户等方面存在相似之处。

2023年3月，德国和乌克兰的执法机关针对涉嫌使用DoppelPaymer进行大规模攻击的网络犯罪集团核心成员采取了行动。此外，德国还对三名涉嫌操作DoppelPaymer勒索软件的人员发出了逮捕令。

参考链接：

https://thehackernews.com/2025/05/moldovan-police-arrest-suspect-in-45m.html

新型Mamona勒索软件利用Ping命令攻击Windows机器

安全研究人员发现了一种名为“Mamona”的新型勒索软件变种。该勒索软件的特点是完全离线运行，并利用Windows的ping命令作为攻击辅助手段。Mamona勒索软件的所有活动均在本地进行，研究人员未观察到其建立命令和控制渠道，也未发现数据外泄的情况。该勒索软件将ping命令用作一种简单的计时机制，在达到预设时间后立即执行自删除命令，以此限制取证分析。感染目标系统后，Mamona使用自制的加密程序对文件进行加密，而非采用标准加密库，并且将所有加密逻辑通过内存操作和算术运算来实现。加密后的文件会被添加“.HAes”扩展名，同时，该勒索软件会在多个目录中投放名为“README.HAes.txt”的勒索信息文件。

参考链接：

https://cybersecuritynews.com/mamona-ransomware-attack-windows-machines/

DOGE Big Balls勒索软件使用开源工具和自定义脚本感染受害者系统

近期，一种基于Fog勒索软件修改而成的新型勒索软件“DOGE Big Balls”现身。该勒索软件采用自定义开发的PowerShell脚本以及开源工具，对受害者系统展开破坏行动。该勒索软件的载荷文件和勒索信息中包含政治声明、公众人物相关引用以及YouTube视频链接。这些特殊内容暗示着攻击背后或许存在意识形态动机。一旦攻击者成功渗透进入受害者内网，该勒索软件便会迅速启动复杂的攻击链，逐步建立持久性，接着窃取重要凭证，为进一步行动获取关键权限，随后进行横向移动，扩大攻击范围，最终对受害者数据进行加密，以此达到勒索钱财的目的。

参考链接：

https://cybersecuritynews.com/new-doge-big-balls-ransomware-using-open-source-tools-custom-scripts/