首頁 > 安全研究 > 安全通報 > 安全簡訊

Horabot惡意軟件針對拉美多國Windows用戶發起新釣魚攻擊

發布時間 2025-05-15

1. Horabot惡意軟件針對拉美多國Windows用戶發起新釣魚攻擊


5月14日,網絡安全研究人員發現了一場針對拉丁美洲國家Windows用戶的新釣魚攻擊活動。此次活動主要針對墨西哥、危地馬拉、哥倫比亞、秘魯、智利和阿根廷等國,利用名為Horabot的惡意軟件展開攻擊。該活動于2025年4月被觀測到,主要針對西班牙語用戶。以發票為誘餌,通過釣魚郵件誘使用戶打開包含PDF文檔的ZIP壓縮包,實則內含惡意HTML文件,用于連接遠程服務器下載第二階段惡意載荷。第二階段載荷為包含HTML應用程序(HTA)文件的ZIP壓縮包,該文件加載遠程服務器托管的腳本,腳本注入外部VBScript代碼執行一系列檢測,若系統安裝Avast殺毒軟件或處于虛擬環境則終止攻擊。之后,VBScript會收集基礎系統信息并外傳至遠程服務器,同時獲取額外載荷,包括釋放銀行木馬的AutoIt腳本和傳播釣魚郵件的PowerShell腳本。此外,Horabot還能從多種瀏覽器竊取相關數據,除數據竊取外,還監控受害者行為,注入偽造彈窗以竊取敏感登錄憑證。


https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html


2. 谷歌警告“分散蜘蛛”黑客轉攻美國零售商


5月14日,谷歌今日警告,使用“分散蜘蛛”(Scattered Spider,也稱UNC3944等)策略攻擊英國零售連鎖店的黑客,已將目標轉向美國零售商。谷歌威脅情報集團首席分析師約翰·赫爾奎斯特表示,美國零售業正成為勒索軟件和敲詐勒索行動的目標,懷疑與“分散蜘蛛”有關。該組織長期沉寂后轉向英國零售業,預計短期內仍會以此為目標。英國零售巨頭瑪莎百貨曾遭勒索軟件攻擊,攻擊者使用DragonForce加密器加密VMware ESXi主機上的虛擬機,此次攻擊被歸咎于“分散蜘蛛”。此外,合作社和哈羅德百貨公司也分別遭遇網絡攻擊,前者數據被竊,后者被迫限制網站互聯網訪問。DragonForce勒索軟件組織宣布對這三起攻擊負責,策劃者使用了與“分散蜘蛛”相同的社會工程學策略?!胺稚⒅┲搿笔且蝗毫鲃拥耐{行為者,以復雜的社會工程攻擊入侵全球知名組織而聞名,攻擊方式涉及網絡釣魚、SIM卡交換、MFA轟炸等。部分“分散蜘蛛”威脅行為者被認為是“Com”的一部分,這是一個松散聯系的社區,參與網絡攻擊等行為。這些網絡犯罪分子多為英語使用者,常在Telegram頻道、Discord服務器和黑客論壇策劃實施攻擊。


https://www.bleepingcomputer.com/news/security/google-scattered-spider-switches-targets-to-us-retail-chains/


3. BianLian和RansomExx利用SAP NetWeaver漏洞


5月14日,近日,網絡安全領域曝出多個威脅行為者利用SAP NetWeaver安全漏洞進行攻擊的事件。據網絡安全公司ReliaQuest最新消息,至少有兩個不同的網絡犯罪集團BianLian和RansomExx參與了利用該漏洞的攻擊活動。ReliaQuest發現了BianLian數據勒索團隊和RansomExx勒索軟件家族(微軟追蹤名稱為Storm-2460)參與攻擊的證據。其中,BianLian被評估為至少涉及一起事件,因其基礎設施鏈接與先前確定的該電子犯罪集團的IP地址相關。ReliaQuest還觀察到,一種名為PipeMagic的基于插件的木馬被部署在攻擊中,該木馬與Windows通用日志文件系統(CLFS)中的權限提升漏洞(CVE-2025-29824)的零日漏洞利用有關,并在針對多國實體的有限攻擊中被利用。攻擊者通過利用SAP NetWeaver漏洞投放Web Shell來傳送PipeMagic,盡管初次嘗試失敗,但后續攻擊成功部署了Brute Ratel C2框架。SAP安全公司Onapsis則透露,自2025年3月以來,威脅行為者一直在利用該漏洞及同一組件中的反序列化漏洞(CVE-2025-42999)進行攻擊。盡管CVE-2025-42999需要更高權限,但CVE-2025-31324能提供完全系統訪問權限,因此兩個漏洞的補救建議相同,即只要CVE-2025-31324漏洞存在,就需立即修補以防范潛在攻擊。


https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html


4. 澳大利亞人權委員會網站現意外數據泄露


5月14日,澳大利亞人權委員會(AHRC)透露,2025年4月至5月期間,其網站發生了一起意外數據泄露事件,涉及600多份提交和提名的內容。4月10日,AHRC發現3月24日至4月10日期間上傳到投訴網絡表單的附件在4月3日至4月10日期間被公開發布并遭訪問。5月8日,該委員會又發現更多文件被曝光,這些文件是提交給網絡表單的附件,用于反饋“經驗之談”項目、2023年人權獎提名及國家反種族主義框架概念文件的意見,曝光時間為4月3日至5月5日。AHRC在5月13日的數據泄露通知中指出,大約670份文件可能因錯誤而被泄露,其中約100份文件已通過谷歌或必應等搜索引擎在線訪問,且許多文件包含個人信息。AHRC表示已采取行動解決泄露問題,并請求將這些文件從搜索引擎中刪除。此次信息泄露并非惡意或犯罪攻擊所致,AHRC將隨著調查深入提供最新信息。根據通知,特定時間段內使用網絡表格提交投訴、意見或提名的人可能受到影響??赡鼙恍孤兜臄祿ㄈ?、電子郵件地址、住宅地址、手機號碼等敏感信息。目前,AHRC正在確認受影響人數,并調查事件原因,同時已禁用所有網絡表單。該委員會已成立專門小組應對此次事件,并采取措施阻止進一步訪問受影響文件。


https://www.cyberdaily.au/security/12090-breaking-personal-information-exposed-by-australian-human-rights-commission-data-breach


5. 美國紐柯公司遭網絡攻擊,部分生產暫停


5月14日,美國最大鋼鐵生產商紐柯公司近日遭遇網絡安全事件,導致其部分網絡下線并實施了遏制措施。此次事件造成該公司多個地點生產暫停,但全面影響尚待評估。紐柯公司不僅是美國主要的鋼鐵生產商,也是北美重要的廢鋼回收商,其鋼筋產品廣泛應用于美國建筑、橋梁、道路和基礎設施領域。公司在美國、墨西哥和加拿大擁有眾多工廠,員工總數超過32,000人,今年第一季度收入高達78.3億美元。該公司在提交給美國證券交易委員會(SEC)的8-K文件中披露了這一事件,文件中指出,紐柯公司發現了一起網絡安全事件,涉及未經授權的第三方訪問其信息技術系統。事件發生后,公司迅速啟動了應急響應計劃,主動下線可能受影響的系統,并采取了其他遏制、補救和恢復措施。同時,紐柯公司已通知執法部門,并聘請外部網絡安全專家協助調查。盡管部分生產作業已暫停,但公司表示正在逐步重啟。然而,關于攻擊的具體日期和類型,公司并未提供詳細信息,因此無法確定該事件是否涉及數據盜竊或加密。截至目前,尚無勒索軟件組織宣稱對此次攻擊負責。


https://www.bleepingcomputer.com/news/security/steel-giant-nucor-corporation-facing-disruptions-after-cyberattack/


6. 法國迪奧披露網絡安全事件,客戶信息泄露


5月14日,法國奢侈時尚品牌迪奧披露了一起網絡安全事件,導致其時裝及配飾客戶信息泄露。公司發言人表示,發現未經授權的外部機構訪問了為迪奧時裝和配飾客戶保存的部分數據。迪奧立即采取措施控制事件,并在頂尖網絡安全專家的支持下持續調查應對。據迪奧澄清,此次事件并未泄露賬戶密碼或支付卡信息,因這些信息存儲在另一未受影響的數據庫中。迪奧表示正在努力根據適用法律通知相關監管機構和客戶,并對可能給客戶帶來的擔憂或不便深感抱歉。盡管迪奧未具體說明受影響的客戶數量和地區,但已確認韓國網站受到影響,且中國客戶也收到了資料泄露通知。網上流傳的通知截圖顯示,事件于5月7日被發現,涉及未經授權訪問,暴露了客戶姓名、性別、電話號碼、電子郵件、郵政地址及購買歷史記錄等信息。與此同時,迪奧在韓國因未向所有相關部門通報數據泄露事件而面臨法律審查。迪奧建議顧客對網絡釣魚行為保持警惕,并立即聯系舉報品牌冒充情況。目前,受影響客戶數量和國家的詳細信息尚未公開披露。


https://www.bleepingcomputer.com/news/security/fashion-giant-dior-discloses-cyberattack-warns-of-data-breach/

上一篇 下一篇