洞·见 | 20250922 - 新鲜讯息

- AI 导读 -

上周全球网络安全态势：伊朗MuddyWater组织加大对欧洲攻击力度，俄罗斯克拉斯航空遭网络攻击致服务中断，美国得州学校因勒索攻击停课4天。全球威胁中，FileFix攻击活动采用隐写术规避检测，Yurei勒索组织滥用开源代码，CountLoader恶意加载器与俄勒索团伙关联。数据安全方面，ShinyHunters声称窃取760家公司超15亿条Salesforce记录，奢侈品牌Kering客户数据泄露。高级威胁动态显示，APT28传播恶意Office文档，RevengeHotels利用LLM生成恶意代码。

本周特别关注：ShinyHunters组织通过Salesforce漏洞窃取海量企业数据，或引发全球性供应链信息泄露风险。

导读由DeepSeek-V3总结生成

国家安全事件

【欧洲】研究人员发现MuddyWater组织进行的攻击活动

【俄国】俄罗斯克拉斯航空公司遭受网络攻击

【美国】美国地方学校遭遇勒索攻击，5000名学生被迫停课4天

全球网络安全新动态

研究人员发现一起FileFix攻击活动

Yurei勒索组织使用更改的开源勒索软件进行攻击

研究人员发现新型恶意加载器CountLoader

数据安全事件

【数据泄露】Kering证实一起数据泄露事件

【数据泄露】费尔蒙特联邦信用合作社证实一起数据泄露事件

【数据泄露】ShinyHunters组织声称窃取760家公司超15亿条Salesforce记录

高级威胁动态

APT28组织传播恶意Office文档进行攻击活动

RevengeHotels组织利用LLM和VenomRAT进行攻击

国家安全事件

【欧洲】研究人员发现MuddyWater组织进行的攻击活动

日期：2025.9.19

自2025年初以来，研究人员发现MuddyWater组织针对中东和欧洲的攻击活动仍然活跃，尤其是在欧洲地区的活动显著增加，该组织是一个被认为由伊朗国家支持的高级持续性威胁（APT）组织。该APT组织已在攻击活动中大幅减少使用远程监控和管理（RMM）工具，转而采用更具针对性的方法。该组织越来越依赖于使用自定义开发的后门，如Phoenix和StealthCache，以及基于PowerShell的后门。最近的攻击活动显示，该组织仍然通过网络钓鱼传播带有恶意宏的恶意文档，从而感染受害者的主机。

资料来源：

https://www.group-ib.com/blog/muddywater-infrastructure-malware/

【俄国】俄罗斯克拉斯航空公司遭受网络攻击

日期：2025.9.21

俄罗斯克拉斯航空公司（KrasAvia）证实，一起复杂的网络攻击已导致其主要在线服务无法运行。此次攻击针对该航空公司的门户网站及相关后端系统，包括旅客服务系统（PSS）和航班计划应用程序。乘客目前无法完成电子机票购买或在线办理登机手续，这使得KrasAvia不得不恢复到人工流程进行航班分配、机组排班和地勤操作。KrasAvia尚未回应是否有数据遭到泄露，但证实正在与俄罗斯联邦通信监管局和国家计算机事件响应团队协调进行内部审计。

资料来源：

https://cybersecuritynews.com/russian-airline-suffered-cyberattack/

【巴基斯坦】美国地方学校遭遇勒索攻击，5000名学生被迫停课4天

日期：2025.9.17

一次勒索软件攻击迫使美国得克萨斯州尤瓦尔迪县公立学区本周大部分时间停课，相关官员正全力恢复系统。

尤瓦尔迪联合独立学区服务约5000名学生，覆盖尤瓦尔迪县，以及札瓦拉县和雷亚尔县的部分地区。

目前，全美数十个城市、县和州正努力从近期类似事件中恢复。在过去一周内，美国北卡罗来纳州和俄亥俄州的多个城市报告遭遇严重网络攻击，影响了政府服务和公共事业缴费等。与此同时，内华达州、明尼苏达州、马里兰州、俄亥俄州和德克萨斯州政府也确认在过去一个月内发生过勒索软件攻击或其他网络事件，导致公民数据泄露并破坏了关键州级职能。

资料来源：

https://therecord.media/uvalde-texas-school-district-temporarily-closing-ransomware

全球网络安全新动态

// 研究人员发现一起FileFix攻击活动 //

日期：2025.9.18

研究人员近期发现了一个罕见的FileFix实际攻击案例，这是ClickFix攻击的一个新变种。攻击者在此次攻击中使用了多种技术手段，以最大限度地进行规避，包括使用一个包含反分析机制（如函数重命名和代码混淆）的网络钓鱼网站，以及多语言诱饵。此外，攻击者还使用了一个定制的PowerShell有效载荷，该载荷通过隐写术从JPG图像中检索第二阶段脚本和一个可执行文件，并利用变量来进行混淆。

资料来源：

https://www.acronis.com/en/tru/posts/filefix-in-the-wild-new-filefix-campaign-goes-beyond-poc-and-leverages-steganography/

// Yurei勒索组织使用更改的开源勒索软件进行攻击 //

日期：2025.9.18

Yurei是一个新出现的勒索组织，于2025年9月5日首次被发现。该勒索组织首个攻击的对象是一家斯里兰卡食品制造公司。该组织遵循双重勒索模式：他们加密受害者的文件，窃取敏感数据并索要赎金。研究人员确定，Yurei勒索组织使用的勒索软件是对Prince-Ransomware（一个用Go语言编写的开源勒索软件家族）进行少量修改后形成的。Yurei勒索软件存在一个缺陷，可能允许通过卷影副本进行部分恢复。

资料来源：

https://research.checkpoint.com/2025/yurei-the-ghost-of-open-source-ransomware/

// 研究人员发现新型恶意加载器CountLoader //

日期：2025.9.21

研究人员发现一种名为 “CountLoader” 的新型恶意软件加载器，该加载器与俄罗斯的勒索组织存在密切关联。该恶意加载器存在.NET、PowerShell和JScript三种版本，并且最近被用于一个冒充乌克兰警方的网络钓鱼活动中，该活动的目标是乌克兰公民。研究人员认为CountLoader被用作初始访问代理（IAB）工具集的一部分，或者被与LockBit、BlackBasta和Qilin勒索组织存在联系的攻击者所使用。

资料来源：

https://www.silentpush.com/blog/countloader/

数据安全事件

【数据泄露】Kering证实一起数据泄露事件

日期：2025.9.17

网络犯罪分子在一次攻击中窃取了可能影响数百万Balenciaga、Gucci和Alexander McQueen客户的私密信息。被盗的数据包括姓名、电子邮件地址、电话号码、住址以及客户在世界各地奢侈品商店的总消费金额。奢侈品牌母公司Kering已确认此次泄露事件，并表示已将此事告知相关数据保护机构。该公司表示，没有金融信息（如银行卡详情）被盗。该公司还表示已向受影响的客户发送了电子邮件，但未透露具体人数，也未就此次事件发表公开声明。此次攻击的幕后黑手是自称为“Shiny Hunters”的组织。

资料来源：

https://www.bbc.com/news/articles/crl5j8ld615o

【数据泄露】费尔蒙特联邦信用合作社证实一起数据泄露事件

日期：2025.9.17

费尔蒙特联邦信用合作社（Fairmont Federal Credit Union）正在通知超过18.7万名个人，他们的个人和财务信息在一次事件中遭到泄露。该组织于2024年1月23日发现了该网络安全事件，并立即展开了调查。调查于2025年8月17日得出结论，攻击者从其网络中窃取的文件中包含个人信息。FFCU正在通知其客户，攻击者窃取的文件中包含他们的姓名、出生日期、社保号、驾照号码、政府ID号码、财务信息、医疗和健康保险信息以及其他个人数据。此外，泄露的信息中包含了完整的信用卡/借记卡详细信息，包括卡号、安全码/PIN码和有效期。

资料来源：

https://www.securityweek.com/west-virginia-credit-union-notifying-187000-people-impacted-by-2023-data-breach/

【数据泄露】ShinyHunters组织声称窃取760家公司超15亿条Salesforce记录

日期：2025.9.19

ShinyHunters勒索组织声称，他们利用泄露的Salesloft Drift OAuth令牌，从Salesforce的“Account”（账户）、“Contact”（联系人）、“Case”（案例）、“Opportunity”（商机）和“User”（用户）对象表中，窃取了约760家公司的15亿条数据记录。在这些记录中，约有2.5亿条来自“Account”表，5.79亿条来自“Contact”表，1.71亿条来自“Opportunity”表，6000万条来自“User”表，以及约4.59亿条来自“Case”表。“Case”表用于存储这些公司客户提交的支持工单中的信息和文本，对于科技公司来说，其中可能包含敏感数据。该组织提供了一个文本文件以作为证据，其中列出了被入侵的Salesloft GitHub存储库中的源代码文件夹。

资料来源：

https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/

高级威胁动态

// APT28组织传播恶意Office文档进行攻击活动 //

日期：2025.9.18

2025年初，研究人员发现两个以前未见过的恶意软件样本。当时，这些样本与任何公开记录都不匹配。2025年6月21日，CERT-UA发布了一份关于BeardShell和Covenant框架的报告，并将其归因于APT28。通过分析，研究人员确定此前发现的样本与CERT-UA所描述的样本完全相同。攻击活动始于通过私密的Signal聊天发送的Office文档，该恶意文档中嵌入了多个恶意宏，用于实现一个用户级别的COM劫持，以加载一个恶意DLL。一旦加载，这个DLL会从PNG文件windows.png中提取一个shellcode，该shellcode会加载一个.NET可执行程序。这个新的可执行程序对应Covenant框架的GruntHTTPStager组件，其主要功能是建立通信并等待接收额外的有效载荷。

资料来源：

https://blog.sekoia.io/apt28-operation-phantom-net-voxel/

// RevengeHotels组织利用LLM和VenomRAT进行攻击 //

日期：2025.9.18

RevengeHotels，又名TA558，是一个自2015年以来一直活跃的攻击组织，主要通过窃取酒店住客和旅客的信用卡数据来牟利。2025年夏天，研究人员发现该组织的新攻击活动，在这些活动中攻击者使用的恶意程序和工具越来越复杂。攻击者继续使用带有发票主题的网络钓鱼电子邮件，通过JavaScript加载器和PowerShell下载器来投递VenomRAT。这次攻击活动中，初始感染程序和下载器代码的很大一部分似乎是由大型语言模型（LLM）生成的，这表明攻击者现在正借助人工智能来提升其能力。

资料来源：

https://securelist.com/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/117493/