国外：一周网络安全态势回顾之第127期，2025年账户盗用欺诈损失2.62亿美元

涉嫌参与“散落蜘蛛”恐怖袭击的团伙成员对伦敦交通局袭击事件拒不不认罪。

今年早些时候在英国被捕的两名涉嫌“散落蜘蛛”（Scattered Spider）黑客组织成员塔尔哈·朱拜尔（Thalha Jubair）和欧文·弗劳尔斯（Owen Flowers）对指控他们发动针对伦敦交通局（TfL）的破坏性网络攻击的罪名拒不认罪。朱拜尔还在美国被起诉，罪名是入侵网络、窃取并加密受害者数据以及敲诈勒索。

HashJack攻击目标是人工智能浏览器。

Cato Networks 的研究人员披露了一种名为HashJack的新型间接提示注入攻击，该攻击针对人工智能浏览器助手。HashJack的攻击方式是将恶意提示隐藏在合法 URL 中的“符号之后。Comet、Edge 和 Chrome 等浏览器的人工智能助手在处理 URL 时会执行这些命令，这可能导致网络钓鱼、数据窃取、恶意软件传播和虚假信息传播。受影响的浏览器厂商已收到通知，除谷歌（将其列为低危问题）外，其他厂商均已发布补丁。

泄露事件揭示伊朗APT“迷人小猫”的内部运作

上个月，伊朗网络威胁组织“迷人小猫”（Charming Kitten，简称APT35）的内部文件在GitHub上泄露，揭露了该组织的内部运作。DomainTools的分析显示，该黑客组织以“纪律严明、以配额为导向的网络作战单位”的形式运作，其内部运作遵循一套官僚化的军事指挥体系。成员被分配到特定任务，主管每月提交绩效报告，内容包括钓鱼成功率、攻击指标、已完成任务和工作时长等信息。

Scattered Lapsus$ Hunters 成员 Rey 被确认为来自约旦的青少年

网络安全博主布莱恩·克雷布斯声称已揭露“雷伊”（Rey）的真实身份，此人是网络犯罪组织“散落的漏洞猎人”（Scattered Lapsus$ Hunters）的关键成员。克雷布斯表示，“雷伊”的真实身份是来自约旦安曼的16岁少年赛义夫·丁·哈德尔（Saif Al-Din Khader）。据报道，这名少年承认自己就是“雷伊”，并声称他正试图退出“散落的漏洞猎人”组织，同时也在与欧洲执法部门合作。但克雷布斯无法证实这些说法。

TP-Link起诉Netgear，指控其虚假宣称与中国有关联

TP-Link已在特拉华州对Netgear提起诉讼，指控其散布诽谤性言论，并声称TP-Link与中国政府存在关联。TP-Link强调其注册地和总部均位于加利福尼亚州，并声称Netgear的诽谤活动使其在市场上获得不公平优势，且这些虚假指控违反了联邦和州法律。

康卡斯特因供应商数据泄露事件同意支付150万美元罚款

电信运营商康卡斯特（Comcast）已同意支付150万美元罚款（PDF），以了结美国联邦通信委员会（FCC）对其一家第三方服务提供商数据泄露事件的调查。该事件发生在2024年2月，涉及债务催收机构金融商业与消费者解决方案公司（FBCS）。约有23.8万康卡斯特用户受到影响。

高危 Firefox 漏洞

Aisle 公布了CVE-2025-13016 的技术细节，这是一个 Firefox WebAssembly 引擎中的高危漏洞，可能导致远程代码执行。这段存在漏洞的代码于 2025 年 4 月被添加到浏览器中，并附带了回归测试，但直到 10 月才被发现。该漏洞已在 Firefox 145 版本中修复。Aisle 指出：“这段存在漏洞的代码通过了代码审查，包含一个专门设计的、用于测试相同代码路径的测试，并且包含在多个 Firefox 版本中。”

Gainsight表示，只有少数客户受到Salesforce攻击的影响

上周导致Gainsight-Salesforce集成中断的攻击事件仍在调查中，但 Gainsight 继续淡化此次事件的影响。该公司上周表示，只有三家机构受到数据泄露的影响，其首席执行官周二又表示，只有“少数客户”的数据遭到泄露。另一方面，谷歌则告诉媒体，大约有 200 个 Salesforce 实例可能受到影响。

ShadowV2 IoT 僵尸网络在 AWS 服务中断期间仍然活跃

基于 Mirai 的 ShadowV2 僵尸网络会感染易受攻击的物联网设备，主要是路由器。该僵尸网络在 10 月底AWS 大规模宕机期间被发现活跃，此次宕机影响了全球多个国家的组织机构。Fortinet 表示：“目前看来，该恶意软件似乎仅在 AWS 大规模宕机期间活跃。我们认为这很可能是为未来攻击做准备的一次测试。”9 月份，Darktrace 披露 ShadowV2 的目标是运行在可通过互联网访问的 AWS 云实例上的 Docker 守护进程。

血狼APT组织扩大在中亚地区的行动

据Group-IB 报道，Bloody Wolf APT 组织正在冒充政府机构，主要是司法部，对中亚更多国家的实体发起新一轮攻击。该黑客组织利用鱼叉式网络钓鱼，部署了 STRRAT 恶意软件和合法的远程管理工具 NetSupport。此前，该组织主要攻击哈萨克斯坦和俄罗斯的实体，但最近已将攻击范围扩大到吉尔吉斯斯坦和乌兹别克斯坦。

2025年账户盗用欺诈损失2.62亿美元

网络犯罪分子冒充金融机构，将目标对准了不同规模的个人、企业和组织。

据美国联邦调查局（FBI）最新报告显示，自2025年1月以来，网络犯罪分子通过账户盗用（ATO）类欺诈造成的损失已超过2.62亿美元。FBI 收到了5100多起相关投诉，受害对象涵盖不同规模的个人、企业和组织，攻击者多以冒充金融机构身份窃取资金或敏感信息。

FBI在最新警报中指出，ATO欺诈通常从冒充行为开始。威胁分子常假扮金融机构员工、支持人员或官方网站，诱使受害者主动提供账号访问权限。攻击方式包括电子邮件、语音电话、短信等社交工程手段，以及仿冒网站等。

具体方式上，一类攻击声称受害者账户内出现可疑交易，并提供钓鱼链接，诱导受害者“申诉”欺诈；另一类则宣称受害者账户被用于欺诈购物，随后将其引导至假冒执法人员的同伙那里，以进一步套取信息。

在多数案例中，受害者最终被诱骗泄露登录凭据，包括多因素身份验证（MFA）代码或一次性密码（OTP）。攻击者获取这些信息后，会立即登录受害者在金融机构的账户并重置密码，实现完全控制并将受害者锁定在外。

FBI强调，一旦攻击者成功接管账户，他们会迅速将资金转移至其他犯罪分子控制的账户，其中相当部分与加密货币钱包关联，使资金更难追踪与追回。

为减少损失，FBI建议受害者在发现异常后立即联系金融机构，请求撤销相关交易，并索取免责函或赔偿函。尽早发起撤回并获得相关文件，有助于降低或消除经济损失。此外，受害者还应通知被冒充的机构，并向FBI互联网犯罪投诉中心（IC3）提交报告。

—往期回顾 —

——等级保护