洞·见 | 20250902 - 新鲜讯息

- AI 导读 -

上周全球网络安全态势持续紧张：APT36针对印度政府发动钓鱼攻击，MixShell恶意软件利用供应链表单渗透美国企业，ShadowSilk组织活跃于中亚与亚太地区。数据泄露事件涉及法国欧尚、瑞典市政系统及TransUnion，影响数百万人。高级威胁方面，盲眼鹰组织持续攻击哥伦比亚，Storm-0501转向云端勒索战术。

本周特别关注：澳大利亚暗网数据交易猖獗，Mac平台Shamos窃密程序及安卓伪装杀毒软件需高度警惕。

导读由DeepSeek-V3总结生成

国家安全事件

【印度】APT36利用鱼叉式钓鱼攻击印度政府

【美国】MixShell恶意软件瞄准美供应链制造商

【中亚】ShadowSilk组织攻击中亚与亚太

全球网络安全新动态

新型安卓恶意软件伪装杀毒软件攻击俄罗斯高管

虚假Mac修复程序诱骗用户安装Shamos信息窃取程序

澳大利亚暗网交易活跃致企业数据频遭贩卖

数据安全事件

【数据泄露】法国零售巨头欧尚数十万客户信息泄露

【数据泄露】瑞典200个市政因IT供应商遭袭受影响

【数据泄露】TransUnion数据泄露影响440万人

高级威胁动态

盲眼鹰组织多集群攻击哥伦比亚

Storm-0501转向云端勒索攻击

国家安全事件

【印度】APT36利用鱼叉式钓鱼攻击印度政府

日期：2025.8.26

安全公司披露，巴基斯坦背景的APT组织Transparent Tribe（APT36）近期针对印度政府部门发动新一轮攻击。该组织通过鱼叉式钓鱼邮件投递伪装成PDF文件的恶意桌面快捷方式，分别针对Windows与印度自主研发的BOSS Linux系统。受害者一旦点击文件，将触发脚本下载恶意ELF二进制并连接至攻击者控制的C2服务器，以执行指令、窃取凭证和外泄数据。攻击链同时加载诱饵文档以降低怀疑，并通过计划任务维持持久性。研究显示，该行动最终部署Poseidon后门，用于长期监控和横向移动。APT36近年来频繁针对印度政府与防务机构，甚至通过伪造域名窃取Kavach双因素认证凭证，显示其持续演进与高度针对性。

资料来源：

https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/

【美国】MixShell恶意软件瞄准美供应链制造商

日期：2025.8.28

安全研究人员披露，一场名为“ZipLine”的社会工程攻击行动正在针对美国关键供应链制造企业投放内存型恶意软件MixShell。攻击者并非通过常见的钓鱼邮件，而是利用企业官网的“联系我们”表单发起交流，经过数周专业化沟通并伪造保密协议（NDA），最终递送含有武器化ZIP文件的恶意载荷。目标涵盖机械、金属加工、半导体、消费品、生物技术及制药等领域，并波及新加坡、日本和瑞士。MixShell通过LNK与PowerShell加载，具备DNS隧道通信、远程命令执行、持久化及隐匿渗透能力，部分样本托管于Heroku合法平台。该行动被怀疑与UNK_GreenSec相关，可能导致知识产权窃取、勒索攻击及供应链中断，显示威胁者正借助合法业务流程绕过传统防护，显著提升风险。

资料来源：

https://research.checkpoint.com/2025/zipline-phishing-campaign/

【中亚】ShadowSilk组织攻击中亚与亚太

日期：2025.8.29

安全公司Group-IB披露，威胁组织“ShadowSilk”近期针对中亚及亚太地区35家机构发动网络攻击，主要目标为政府部门，亦涉及能源、制造、零售与交通等行业。该组织与YoroTrooper、Silent Lynx等威胁活动存在工具与基础设施重叠。攻击者通过鱼叉式钓鱼邮件投递加密压缩包，利用自定义加载器并借助Telegram机器人隐藏C2通信，随后部署远控木马与后渗透工具，窃取凭据与敏感数据。攻击还结合Drupal与WordPress漏洞，以及Cobalt Strike、Metasploit等渗透工具，具备跨语言多子组织特征，展现出跨区域、隐蔽性强的威胁能力。

资料来源：

https://www.group-ib.com/blog/shadowsilk/

全球网络安全新动态

// 新型安卓恶意软件伪装杀毒软件攻击俄罗斯高管 //

日期：2025.8.26

俄罗斯安全公司Dr. Web披露，一款名为“Android.Backdoor.916.origin”的新型安卓恶意软件正在针对俄罗斯企业高管发动攻击。该恶意程序伪装成由俄罗斯联邦安全局（FSB）或央行开发的杀毒工具，界面仅支持俄语，显示出明显的定向特征。用户下载安装后，程序会请求大量高风险权限，包括位置、短信、摄像头与麦克风访问，以及后台常驻运行能力。攻击者利用假冒的杀毒扫描界面制造可信度，甚至随机生成“虚假病毒检测结果”以迷惑受害者。实则该软件具备窃听对话、键盘记录、截取通讯数据和实时摄像头监控等多种功能。自2025年1月首次发现以来，研究人员已捕获多个变种，显示该恶意软件仍在持续开发和演进。

资料来源：

https://news.drweb.ru/show/?i=15047&lng=ru

// 虚假Mac修复程序诱骗用户安装Shamos信息窃取程序 //

日期：2025.8.26

安全公司CrowdStrike发现，一款名为“Shamos”的新型信息窃取木马正在针对Mac用户展开攻击。该木马由网络犯罪组织COOKIE SPIDER开发，是AMOS（Atomic macOS Stealer）的变种，能窃取浏览器数据、Keychain凭证、Apple Notes及加密货币钱包信息。攻击者通过ClickFix攻击引诱受害者，利用恶意广告或伪造GitHub仓库发布“修复指南”，诱导用户在终端中执行命令。这些命令实则下载并运行恶意脚本，窃取系统密码并投放Shamos可执行文件，同时利用xattr和chmod命令绕过Gatekeeper安全机制。自2025年6月以来，已有超过300个环境遭遇攻击，显示该木马传播范围广且隐蔽性强，对Mac用户的数据安全构成严重威胁。

资料来源：

https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/

// 澳大利亚暗网交易活跃致企业数据频遭贩卖 //

日期：2025.8.26

Cyble最新报告显示，澳大利亚暗网已演变成庞大的黑色经济体，成为勒索攻击和数据交易的热点地区。2025年上半年，澳新地区勒索攻击同比翻倍，平均赎金达75万美元，医疗、专业服务和中小企业受害最深。多个团伙如Qilin、Akira、Kairos等被曝入侵澳企，窃取大规模敏感数据并在暗网兜售。身份证件、客户数据和企业访问权限均有明确标价，企业远程访问甚至可低价转售给勒索联盟。数据显示，2024年澳大利亚共通报1113起数据泄露，网络犯罪报告超8.7万起，相当于每六分钟一起。专家指出，澳企面临身份文件高度可信、供应链脆弱及监管压力加大的独特风险，建议实施零信任框架、强化多因子认证，并持续监测暗网泄露以降低威胁。

资料来源：

https://cyble.com/blog/australian-dark-web-cybercrime-threats-2025/

数据安全事件

【数据泄露】法国零售巨头欧尚数十万客户信息泄露

日期：2025.8.28

法国零售集团欧尚（Auchan）披露一起数据泄露事件，数十万名客户的会员账户相关信息遭未授权访问。受影响数据包括姓名、称谓与客户状态、住址、邮箱、电话号码及会员卡号，但银行数据、密码和PIN码未受影响。公司已向受害客户发出通知，并报告法国数据保护监管机构CNIL。欧尚提醒客户警惕利用泄露信息实施的网络钓鱼攻击，并强调绝不会通过邮件、短信或电话索取登录凭证或卡片PIN码。欧尚在欧洲及非洲13国拥有2100余家分支，雇员超过15万人，此次事件突显法国大型企业近期频繁遭遇数据泄露风险。

资料来源：

https://www.zataz.com/nouveau-piratage-auchan-cartes-fidelite-exposees/

【数据泄露】瑞典200个市政因IT供应商遭袭受影响

日期：2025.8.30

瑞典IT系统供应商Miljödata近日遭遇网络攻击，导致全国超过200个市政系统出现访问中断。Miljödata为约八成瑞典市政提供工作环境与人力资源管理系统，广泛用于医疗证明、工伤与事件报告等关键业务。攻击者疑似窃取敏感数据，并向公司勒索约1.5枚比特币（约16.8万美元），否则将公开信息。多地政府已发布公告，警告可能存在个人数据泄露风险。瑞典民防部长表示，政府正联合CERT-SE和警方展开调查，具体影响范围尚未明确。目前Miljödata官网与邮件服务均已瘫痪，事件引发对关键公共服务供应链安全的担忧。

资料来源：

https://www.aftonbladet.se/nyheter/a/dRXkqO/befarad-cyberattack-mot-flera-kommun-och-regionsystem

【数据泄露】TransUnion数据泄露影响440万人

日期：2025.8.30

美国三大征信机构之一TransUnion确认遭遇数据泄露，约440万美国用户个人信息受影响。事件源于其Salesforce账户被黑，攻击者疑为ShinyHunters或UNC6395组织，实际窃取数据量或超1300万条。泄露信息包含姓名、住址、电话、邮箱、出生日期及完整社保号等高度敏感数据，还涉及客户申请信用报告等交易原因及客服工单内容。公司强调核心信用报告未受影响，并为受害者提供两年免费信用监控与身份盗窃保护服务。今年多家企业已因Salesforce相关攻击遭殃，显示该类供应链风险正快速蔓延。

资料来源：

https://www.bleepingcomputer.com/news/security/transunion-suffers-data-breach-impacting-over-44-million-people/

高级威胁动态

// 盲眼鹰组织多集群攻击哥伦比亚 //

日期：2025.8.29

网络安全研究人员披露，威胁组织“盲眼鹰”（Blind Eagle）在2024年5月至2025年7月间开展了五个独立攻击集群，主要针对哥伦比亚各级政府机构，并波及金融、能源、教育、医疗等多个行业。该组织使用钓鱼邮件冒充政府部门，结合URL缩短服务和被入侵邮箱投递恶意文档，植入多种远控木马（RAT），如Lime RAT、AsyncRAT和Remcos RAT。攻击基础设施依赖动态DNS、VPN、以及Discord、Dropbox、GitHub等合法互联网服务来隐藏恶意活动。研究指出，该组织自2018年以来在南美持续活动，具有间谍与金融动机，长期采用的传统技术手段在地区内仍具高成功率。

资料来源：

https://www.recordedfuture.com/research/tag-144s-persistent-grip-on-south-american-organizations

// Storm-0501转向云端勒索攻击 //

日期：2025.8.30

微软最新报告警告，长期活跃的黑客组织Storm-0501已调整战术，从传统终端加密型勒索转向完全基于云端的攻击。该组织利用窃取的目录同步账户及漏洞绕过多因素认证，获取Azure环境的全局管理权限，并通过新增恶意联合域实现持久控制。随后，攻击者会禁用防御、窃取敏感数据、删除快照与备份，甚至通过创建新密钥库强行加密云端数据，迫使受害者支付赎金。与传统勒索软件不同，这类云原生攻击无需植入恶意程序，而是依赖云平台原生功能实施数据破坏与勒索。微软警告，此类战术更隐蔽且难以防范，未来或成为勒索攻击新趋势。

资料来源：

https://www.microsoft.com/en-us/security/blog/2025/08/27/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware/