01

家族团伙事件

• 家族团伙别名：

  Gold Evergreen, Gold Tahoe, Evil Corp, Chimborazo, SectorJ04, ATK103

• 家族团伙主要影响行业：

  金融

• 参考链接：
  https://thehackernews.com/2025/09/comicform-and-sectorj149-hackers-deploy.html

自2025年4月以来，TA505针对多国公司和机构发起钓鱼攻击。攻击者发送主题如“Waiting for the signed document”等具欺骗性的邮件，诱导收件人下载解压RAR格式压缩包，压缩包内看似PDF文件的Windows可执行文件，实为混淆处理的.NET加载器，会启动“MechMatrix Pro.dll”恶意组件，再调用“Montero.dll”投递Formbook恶意软件，还会创建定时任务、配置安全软件排除项规避检测。恶意文件中嵌入的 Tumblr 链接指向无害 GIF，用以迷惑分析人员，部分受害者点击邮件链接后，会进入伪造的登录页面，页面模拟文档管理系统，通过 JavaScript 代码提取邮箱信息，并通过第三方接口用域名截图作背景隐蔽钓鱼。此次攻击技术复杂，涵盖邮件渗透、恶意载荷分发及凭证窃取，可能导致受害组织账号泄露、财务损失，还会绕过安全防护，增加后续恶意软件植入风险。

• 家族团伙主要影响行业：

  教育、政法

• 参考链接：

  https://www.anquanke.com/post/id/312300

BlackLock 勒索软件于 2024 年 3 月出现，在2024年6月通过启动专用泄露站点（DLS）首次公开活动，最初以“El Dorado”之名进行攻击，随后于2024年9月左右更名为现用名BlackLock。BlackLock勒索软件采用跨平台编程语言Go开发，面向Windows、Linux以及VMware ESXi环境进行攻击，通过 - path（指定路径）、-perc（加密百分比）、-sort（优先加密重要文件夹）等命令行参数控制加密。另外其还采用 XChaCha20 加密、ECDH 密钥交换，密钥附文件尾加密，还在受感染系统的目录中生成勒索信，威胁受害者未支付赎金将破坏业务或泄敏感数据，还通过 WMI 删卷影副本增加恢复难度，对企业服务器和虚拟化环境构成威胁，已对多个行业形成潜在威胁。

• 家族团伙主要影响行业：

  政法

• 参考链接：
  https://www.cysecurity.news/2025/09/devops-data-breaches-expose-microsoft.html

近期，作为各数字企业核心的DevOps环境源代码和相关敏感信息受到攻击威胁。文章指出，在共享责任模型下，虽 GitHub、Atlassian 等平台提供安全保障，但用户需对凭证安全负责，疏忽易引发大规模数据泄露，成为网络犯罪突破口，致企业经济与声誉损失。过程中，攻击者通过被盗 Atlassian Jira 登录信息渗透多家企业网络，其中Schneider Electric的事件中，约40GB数据被窃取，涉及用户记录、邮件地址和敏感项目信息，还被索高额赎金；在另一攻击场景中，因员工误将 GitHub token 公开，使 API 密钥等面临暴露风险。此外，攻击者用恶意代码、篡改的 npm 依赖包，从 GitHub 窃取凭证与密钥，甚至通过暴露的 Confluence 登录信息获取开发资源，实现横向渗透，对企业合作伙伴及供应链构成连锁威胁，还可能引发企业运作中断、法律处罚等问题。

02

热点攻击手段

• 攻击方式关键词：

  命令与脚本解释器（T1059）、应用层协议（T1071）、通过可移动媒介复制（T1091）、入口工具传输（T1105）、修改注册表（T1112）、用户执行（T1204）、系统二进制代理执行（T1218）、抑制系统恢复（T1490）、创建或修改系统进程（T1543）、引导或登录自启动执行（T1547）

• 参考链接：
  https://www.hendryadrian.com/revengehotels_venomrat_attacks_latin-america_hospitality/

事件中，攻击者先通过发送带有发票或职位申请主题的钓鱼邮件，针对酒店预订系统和前台邮箱进行诱导，邮件中包含指向恶意网站的链接，受害者点击后跳转至恶意页面，该页面通过 WScript JS 加载器下载执行 PowerShell 脚本，此脚本会反复运行，解码后保存成用于下载主攻击组件的下载器，下载的载荷含混淆加载器文件、内存执行的 VenomRAT 植入程序及哈希验证信息，加载器和下载器中的代码显示出 LLM 生成迹象。VenomRAT 具备多重反检测与持久化机制，攻击还包含禁用安全软件、调整防火墙、建立远程访问隧道、通过 USB 传播、清除日志等操作，网络通讯经序列化、压缩及加密处理以混淆流量，此次攻击可能导致数据泄露、系统长期感染、运营中断，进而影响酒店业的财务与客户信任，增加安全维护成本。

防护建议：

相关行业提升员工钓鱼邮件辨识力，优化邮件安全配置，加强流量监控与多层防御，及时打补丁、扫描日志，按方案隔离响应以防范扩散。

• 攻击方式关键词：

  混淆文件或信息（T1027）、软件打包（T1027.002）、进程注入（T1055）、命令与脚本解释器（T1059）、Web 协议（T1071.001）、入口工具传输（T1105）、解混淆 / 解码文件或信息（T1140）、浏览器会话劫持（T1185）、恶意链接（T1204.001）、恶意文件（T1204.002）

• 参考链接：
  https://www.hendryadrian.com/new-file-fix-campaign/

该事件首例在野外观察到的FileFix攻击活动，区别于早期POC版本，攻击过程中，最初以一个零散的PowerShell命令开始，该命令通过工具下载嵌入隐藏负载的 JPG 图片，图片含明文的第二阶段 PowerShell 脚本与加密可执行载荷，该脚本使用RC4算法进行解密，并通过gzip对数据进行解压缩，继而提取出多个恶意文件。随后激活 Go 语言编写的加载器，加载器先检测 VM 及沙盒，再解密加载内存中的 shellcode，进而解包启动 StealC 信息窃取模块，StealC 在目标系统搜索浏览器缓存、加密货币钱包等信息，还利用代码托管平台托管恶意图片和日志，以 XOR 加密 URL、变量命令分段技术规避检测，还利用文件上传窗口地址栏诱导用户执行恶意命令渗透本地系统。此次攻击或致大量敏感信息被窃，且手法易绕过常规防护。

防护建议：

加强用户安全培训，监控限制相关系统进程，隔离可疑文件，审查拦截加密 URL 与托管平台流量。

• 攻击方式关键词：

  暴力破解（T1110）、用户执行（T1204）、钓鱼（T1566）、获取基础设施（T1583）、获取能力（T1588）

• 参考链接：
  https://www.hendryadrian.com/fighting-telecom-cyberattacks-investigating-a-campaign-against-uk-companies/

2025 年 5 月至 7 月，针对电信和媒体公司的钓鱼攻击明显增多。攻击者会通过伪造电信品牌标识和官方沟通风格，大规模发送含恶意 PDF 附件的钓鱼邮件，邮件嵌入 “Review and Sign” 诱导按钮，点击后被引导至一个伪装成Microsoft登录页面的钓鱼网站，该页面由Tycoon2FA钓鱼工具搭建，并通过类似DGA生成的域名托管，ANY.RUN的交互沙盒捕获了从恶意附件的执行到重定向、再到凭据窃取的全链路攻击过程，同时，YARA 规则检测与发送者地址模式，揭示攻击的批量化、自动化特征；网络层面，Suricata检测到与上述行为相关的流量，并结合MITRE技术提供依据，并结合威胁情报查询进一步验证。此次攻击可能致企业凭据泄露、未授权访问及数据窃取，威胁日常运营并增加二次攻击风险。

防护建议：

企业加强钓鱼防护与品牌防伪，强化多因素认证，用相关工具监控检测，整合情报平台主动防御，更新安全策略。

• 攻击方式关键词：

  软件打包（T1027.002）、从工具中移除指标（T1027.005）、软件发现（T1518）、引导包（T1542.003）、文件中的凭据（T1552.001）、Web 浏览器凭证（T1555.003）、隐藏文件和目录（T1564.001）、DLL 侧加载（T1574.002）

• 情报来源：
  https://theravenfile.com/2025/09/23/gunra-ransomware-what-you-dont-know/

Gunra 勒索软件 最早于 2025 年 4 月 23 日出现，通过钓鱼邮件诱骗目标，在数据泄露站点公布受害者信息，采用双重勒索策略，且不断迭代更新工具、数据泄露站点（DLS）和谈判平台。攻击时，主要通过伪造微软账户安全邮件，以 EXE（针对 Windows）和 ELF 格式（针对 Linux）传播恶意载荷，利用 Salsa20 或 ChaCha20 流密码算法快速加密最多 9TB 数据，并在文件名后追加.ENCRT 扩展名，还会通过清除阴影复制、用 WMIC 命令删除系统卷影副本来隐藏痕迹。其 DLS 在 TOR 网络和公开网络均有部署，配备搜索和客户端登录功能，且通过 Client ID 保护。该组织还利用 Slack 等第三方平台作为中转，部署基于 WhatsApp 主题的谈判面板，频繁更换更新域名；部分代码与 Conti、Akira 等勒索软件有关联，新版本含 Donot Loader 等创新模块，且在多环节采用混淆技术抗检测。此次攻击使目标企业面临数据加密威胁、敏感信息泄露风险，还可能引发业务中断和信任危机。

防护建议：

加强邮件过滤、安全监控与多因素认证，建立完善数据备份方案，监测网络异常与 TOR 域活动，加强员工安全培训。

• 攻击方式关键词：

  滥用系统功能（T1218）、暴力破解（T1110.001）、凭据获取（T1110）、混淆文件或信息（T1027）、加密通道（T1572）、远程服务（T1021.001）、权限提升（T1068）

• 情报来源：
  https://gbhackers.com/oracle-database-scheduler/

事件中，攻击者利用 Oracle Database Scheduler 的 External Jobs 特性实施渗透，通过滥用extjobo.exe工具在企业数据库服务器上执行任意命令，借此获得初步入侵和权限升级的能力实现对关键数据库资源的控制。过程中，先针对暴露的 Oracle 数据库实例，反复尝试以 SYS 用户登录，通过 28009 错误确认有效 SYSDBA 凭据。随后利用 External Jobs 功能执行编码的 PowerShell 脚本，采集系统信息、调用远程命令并下载负载文件。攻击者还启动加密隧道，配置文件暴露 RDP 端口以实现内网渗透，创建本地管理员账户并借工具提升至域管理员权限，最终部署勒索软件，设定计划任务执行，生成加密日志与勒索通知，同时通过多种方式清理痕迹、修改注册表，增加取证难度。此次攻击导致企业数据库环境遭入侵、系统被控制、关键数据被加密，严重威胁运营与数据安全。

防护建议：

禁用未用 External Jobs 功能，限制端口访问、实施多因素认证，部署检测系统监控异常，严控隧道软件，定期备份日志。