首頁 > 安全研究 > 安全通報 > 安全簡訊

Rare Werewolf組織網絡攻擊:手法多樣威脅俄及CIS國家

發布時間 2025-06-11

1. Rare Werewolf組織網絡攻擊:手法多樣威脅俄及CIS國家


6月10日,Rare Werewolf(前稱 Rare Wolf)黑客組織,也被稱為 Librarian Ghouls 和 Rezet,被認定為高級持續性威脅(APT)組織,與一系列針對俄羅斯和獨立國家聯合體(CIS)國家的網絡攻擊有關,自 2019 年以來一直活躍。該組織攻擊意圖是在受感染主機上建立遠程訪問、竊取憑證并部署加密貨幣礦工,影響數百名俄羅斯用戶,涉及工業企業和工程院校,白俄羅斯和哈薩克斯坦也有少量感染。其攻擊顯著特征是傾向于使用合法第三方軟件,惡意功能通過命令文件和 PowerShell 腳本實現。該威脅行為者通過釣魚郵件獲取初始訪問權限,利用立足點竊取數據并投放多種工具,用于交互、收集密碼和禁用防病毒軟件??ò退够涗浀淖钚鹿麸@示,以包含可執行文件的受密碼保護壓縮包為起點,壓縮包中有安裝程序,用于部署合法工具及其他載荷,包括誘餌 PDF 文檔。中間載荷從遠程服務器獲取其他文件,還使用 AnyDesk 遠程桌面軟件和 Windows 批處理腳本促進數據竊取和礦工部署,批處理腳本能自動喚醒受害者系統并允許攻擊者遠程訪問。利用第三方合法軟件進行惡意目的是常見技術,增加了 APT 活動檢測和歸因難度。


https://thehackernews.com/2025/06/rare-werewolf-apt-uses-legitimate.html


2. DanaBot惡意軟件漏洞“DanaBleed”暴露致其被查


6月10日,2022年6月更新中,DanaBot惡意軟件操作引入的名為“DanaBleed”的漏洞,導致其在后續執法行動中被識別、起訴并拆除。DanaBot是一個活躍于2018年至2025年的惡意軟件即服務(MaaS)平臺,常用于銀行欺詐、憑證盜竊、遠程訪問和DDoS攻擊。Zscaler ThreatLabz研究人員發現該漏洞,內存泄漏使他們得以深入了解惡意軟件內部操作及其背后人員。利用此漏洞,國際執法部門開展“終局行動”,使DanaBot基礎設施下線,并起訴該威脅組織16名成員。DanaBleed漏洞隨DataBot版本2380引入,該版本新增C2協議,但新協議邏輯存在弱點,未為隨機生成的填充字節初始化新分配內存,導致C2響應包含服務器內存中剩余數據片段,類似2014年HeartBleed問題。此漏洞使大量私人數據暴露給研究人員,包括威脅行為者詳細信息、后端基礎設施、受害者數據、惡意軟件更新日志、私人加密密鑰、SQL查詢和調試日志以及C2儀表板的HTML和Web界面片段等。三年多來,DanaBot一直處于受損模式,開發人員或客戶未察覺已暴露。當收集到足夠數據后,執法部門采取行動,雖核心團隊僅被起訴未被逮捕,但關鍵C2服務器、650個域名和近400萬美元加密貨幣被查封,暫時消除了威脅。未來威脅行為者重返網絡犯罪活動的可能性不大,且黑客社區信任度降低將成為其一大障礙。


https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/


3. FIN6黑客組織冒充求職者傳播惡意軟件“More Eggs”


6月10日,與典型招聘相關社會工程攻擊不同,FIN6黑客組織冒充求職者,利用社會工程手段傳播惡意軟件。FIN6又名“骷髏蜘蛛”,最初以金融欺詐聞名,如入侵銷售點系統竊取信用卡信息,2019年起攻擊范圍擴大至勒索軟件,并加入Ryuk和Lockergoga等行動。近期,該組織利用社會工程活動傳播“More Eggs”,這是一種惡意軟件即服務的JavaScript后門,用于憑證盜竊、系統訪問和勒索軟件部署。攻擊過程中,FIN6偽裝成虛假求職者,通過LinkedIn和Indeed與招聘人員和人力資源部門聯系,建立關系后發送釣魚郵件。郵件含指向“簡歷網站”的不可點擊URL,迫使收件人手動輸入,這些域名通過GoDaddy匿名注冊并托管在AWS上。FIN6還增加環境指紋和行為檢查,確保只有目標能打開登陸頁面,阻止VPN或云連接及Linux或macOS訪問嘗試。符合條件的受害者會收到假的CAPTCHA步驟,并被提示下載包含偽裝Windows快捷方式文件(LNK)的ZIP檔案,該文件執行腳本下載“More Eggs”后門。該后門由“Venom Spider”創建,是模塊化后門,能執行命令、竊取憑證、傳遞額外有效載荷及執行PowerShell。FIN6的攻擊雖簡單但有效,依賴社會工程學和高級逃避技術。因此,招聘人員和人力資源員工應謹慎對待審查簡歷和作品集的邀請,公司和招聘機構也應獨立確認人員身份。


https://www.bleepingcomputer.com/news/security/fin6-hackers-pose-as-job-seekers-to-backdoor-recruiters-devices/


4. Heroku突發大面積中斷超六小時,致開發受阻服務受影響


6月10日,Heroku作為Salesforce旗下的平臺即服務(PaaS),允許開發人員將應用程序部署到云端而無需管理基礎設施,但近日遭遇了持續六個多小時的大面積中斷。此次宕機始于周二凌晨,用戶報告稱Heroku應用無法運行,且開發人員無法登錄Heroku儀表板并使用CLI工具。Heroku在其狀態頁面上承認了這一事件,并表示正在調查。中斷影響了眾多公司和站點的服務,例如SolarWinds因無法從Heroku獲取日志而受到波及。使用Heroku應用程序實現各種功能的網站也受到影響,部分功能無法正常運行。Heroku尚未提供有關中斷根本原因的詳細信息或何時恢復服務,不過在2025年6月10日,Salesforce表示沒有證據表明此次服務中斷存在惡意活動,并提供了客戶跟蹤更新的鏈接。截至UTC時間21:48:25,Heroku狀態頁面顯示已解決dashboard.heroku.com的問題,客戶可訪問該網站,同時為仍受影響的客戶提供了通過Heroku命令行界面運行的命令作為解決方法,并強調應一次重啟一臺測功機以避免服務中斷。Heroku表示其工作重點仍是內部測試和驗證,并將繼續關注其他產品的改進,同時承諾盡快提供解決方案時間表,并對由此造成的持續困擾深表歉意。


https://www.bleepingcomputer.com/news/technology/massive-heroku-outage-impacts-web-platforms-worldwide/


5. DuplexSpy RAT新型木馬現身,可完全控制Windows系統


6月9日,網絡安全研究人員近日發現一款名為DuplexSpy RAT的新型高級遠程訪問木馬,該木馬可讓攻擊者全面監控與控制Windows系統。這款惡意軟件采用C#語言開發,具備簡潔的圖形界面和可配置選項,顯著降低了網絡犯罪分子入侵目標設備的技術門檻。其采用AES-256-CBC和RSA-4096雙重加密算法,保護受感染主機與命令控制服務器間的通信,有效規避網絡檢測。該RAT最初由開發者以“教育用途”發布在GitHub上,但其多功能性和易定制性吸引了威脅行為者。DuplexSpy RAT功能全面,不僅包含鍵盤記錄、實時屏幕捕獲等傳統遠程訪問功能,還具備攝像頭/麥克風監控及交互式命令終端等高級監控能力。在持久化與隱蔽性方面,該木馬采用多層策略,以“Windows Update.exe”為偽裝名稱復制到用戶啟動文件夾,并創建對應注冊表項,確保系統重啟和清理嘗試中仍能存活。同時,它還具備高級反分析能力,每100毫秒監控系統進程,針對安全工具和分析應用,一旦檢測到安全軟件,便會終止相關進程并顯示虛假錯誤信息誤導用戶。此外,該RAT采用無文件執行技術,直接將自身加載到內存后刪除磁盤原始可執行文件,極大減少了取證痕跡。


https://cybersecuritynews.com/new-duplexspy-rat-let-attackers-gain-complete-control/


6. S5 Agency World遭Bert勒索攻擊致數據被盜


6月10日,大型港口代理機構S5 Agency World近日遭到勒索軟件團伙攻擊,攻擊者宣稱竊取了近140GB數據,并將該公司名字公布在暗網泄密網站上,以此迫使S5支付贖金,避免數據泄露給公眾帶來不良影響。S5作為一家海上運輸公司,業務覆蓋全球360多個港口,在航運公司船舶??繒r充當當地代表,其運營對海上運輸至關重要。攻擊者發布了幾張據稱被盜信息的截圖,經研究團隊調查,這些數據樣本似乎是合法的,包括檢查報告、員工新冠疫苗接種情況、部分護照復印件等,但數據樣本有限,實際獲取的文件總量可能更大。對于海上運輸公司而言,網絡攻擊導致的停機不可接受,因為運輸延誤會造成供應鏈瓶頸,對客戶造成負面影響。值得注意的是,Bert勒索軟件是該領域的新成員,于2025年4月首次被發現,且在短短時間內已成功攻擊了十幾個組織。研究人員指出,Bert勒索軟件團伙通過合法軟件供應鏈傳播惡意軟件,通常以醫療保健和科技行業為目標,且似乎非常適應當前的網絡犯罪形勢,未來可能演變成更大的威脅。


https://cybernews.com/security/port-agency-ransomware-data-breach/

上一篇 下一篇