洞·见 | 20251110 - 新鲜讯息

- AI 导读 -

上周网络安全威胁持续演变：俄罗斯“骑兵狼人”组织攻击国家机构，Sandworm对乌克兰粮食行业部署数据擦除器；新兴网络犯罪联盟SLH形成，凸显勒索即服务新趋势；数据泄露事件频发，安永4TB SQL备份暴露，日经新闻Slack平台遭入侵。高级威胁活动中，APT组织持续针对东亚地区进行鱼叉钓鱼，伊朗新兴间谍组织浮出水面。

本周特别关注：国家级黑客组织的破坏性攻击与网络犯罪联盟化的新动向。

导读由DeepSeek-V3总结生成

国家安全事件

【俄国】"骑兵狼人"黑客组织攻击俄罗斯国家机构

【俄乌】沙虫组织使用擦除器攻击乌克兰粮食行业

【中东】间谍软件LandFall利用三星漏洞攻击安卓设备

全球网络安全新动态

无人机部队遭SSH-Tor后门钓鱼攻击

新型BOF工具利用漏洞窃取用户数据

研究人员剖析新兴网络犯罪联盟SLH

数据安全事件

【数据泄露】安永云服务中发现4TB SQL备份泄露

【数据泄露】日经新闻Slack平台遭入侵致数据泄露

【数据泄露】恶意软件PureRAT攻击酒店预订系统

高级威胁动态

APT-C-60新变体钓鱼攻击活动分析

伊朗最新间谍组织攻击活动分析

国家安全事件

【俄国】"骑兵狼人"黑客组织攻击俄罗斯国家机构

日期：2025.11.8

俄罗斯联邦某政府机构遭"骑兵狼人"黑客组织定向攻击。攻击者冒充官方身份发送钓鱼邮件，诱骗受害者运行BackDoor.ShellNET.1后门程序，进而窃取机密文件与网络配置数据。安全人员发现，该组织广泛利用开源工具构建攻击链，除传统木马外，还通过篡改WinRAR、VS Code等常用软件植入恶意代码，并借助Telegram机器人远程控制受感染系统。其攻击手法包括使用Bitsadmin下载窃密木马、创建SOCKS5隧道及修改注册表实现持久化。

资料来源：

https://news.drweb.com/show/?i=15078&lng=en

【俄乌】沙虫组织使用擦除器攻击乌克兰粮食行业

日期：2025.11.8

俄罗斯国家支持的黑客组织Sandworm于2025年6月和9月针对乌克兰政府机构、能源、物流及粮食行业部署多个数据擦除恶意软件变种，其中粮食行业成为新兴攻击目标。考虑到粮食出口是乌克兰主要收入来源，此举意在削弱其战时经济。该组织延续了自2022年以来针对乌克兰的破坏性行动，使用数据擦除器彻底销毁数字信息，而非勒索软件模式。部分攻击由UAC-0099威胁行为体获取初始访问权限后转交Sandworm执行。

资料来源：

https://www.bleepingcomputer.com/news/security/sandworm-hackers-use-data-wipers-to-disrupt-ukraines-grain-sector/

【中东】间谍软件LandFall利用三星漏洞攻击安卓设备

日期：2025.11.9

研究人员发布了一项重要发现，揭示了一种名为“LANDFALL”的新型安卓间谍软件家族。该间谍软件针对中东地区的三星Galaxy设备，利用了三星图像处理库中的一个零日漏洞（CVE-2025-21042）进行传播，嵌入在恶意的DNG图像文件中。LANDFALL具备强大的监控能力，包括麦克风录音、位置追踪以及敏感数据的收集。尽管该漏洞已于2025年4月被修复，研究显示该间谍软件在2024年中便已活跃，并利用多个零日漏洞进行攻击。

资料来源：

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

全球网络安全新动态

// 无人机部队遭SSH-Tor后门钓鱼攻击 //

日期：2025.11.4

研究人员发现疑似Sandworm（APT44）新行动：攻击者利用伪装成军事文件的恶意软件向白俄罗斯军方的特种作战单位发起了攻击。这种恶意软件通过一个名为“ТЛГ на убытие на переподготовку.pdf”的武器化ZIP文件进行传播，采用了多种高级规避技术，如双重扩展名和混淆的PowerShell执行，以隐藏其真实意图并维持持久的后门访问。研究人员表示，这一攻击不仅针对无人机操作人员，还利用了OpenSSH和Tor隐蔽服务，使攻击者能够在匿名状态下进行远程访问。尽管尚未观察到进一步的渗透，但通过SSH连接确认了后门的存在。

资料来源：

https://cyble.com/blog/weaponized-military-documents-deliver-backdoor/

// 新型BOF工具利用漏洞窃取用户数据 //

日期：2025.11.5

网络安全研究人员发布了一款新型的信标对象文件（BOF）工具，名为teams-cookies-bof，旨在利用Microsoft Teams中存在的cookie加密漏洞，允许攻击者窃取用户的聊天记录及其他敏感信息。该工具通过在ms-teams.exe进程上下文中运行，利用DLL或COM劫持技术，成功规避了Teams应用程序在运行时锁定cookie文件的限制。研究人员强调，窃取的令牌不仅可以用于读取现有消息，还可能允许攻击者冒充受害者发送新消息，并扩展到其他Microsoft 365资源。

资料来源：

https://tierzerosecurity.co.nz/2025/11/03/teams-cookies-bof.html

// 研究人员剖析新兴网络犯罪联盟SLH //

日期：2025.11.6

研究人员发现三个知名网络犯罪组织——Scattered Spider、ShinyHunters和LAPSUS$——合并形成一个ScatteredLAPSUS Hunters（SLH）“联邦联盟”，专注于勒索即服务（EaaS）。该联盟于8月在Telegram上首次亮相，利用公共加密通信服务展开活动，以制造恐慌并提高经济回报。该组织成员开发利用针对CRM和SaaS平台的零日漏洞，展现出成熟的技术能力和战略重组意图。整体而言，SLH不仅是一个网络犯罪组织，更是当前网络犯罪生态系统中的一个重要新兴联盟，其运作模式和策略可能将影响未来的数据勒索活动。

资料来源：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/scattered-lapsuss-hunters-anatomy-of-a-federated-cybercriminal-brand/

数据安全事件

【数据泄露】安永云服务中发现4TB SQL备份泄露

日期：2025.11.4

研究人员在例行扫描中发现，通过HEAD请求意外确认了安永会计师事务所的云存储中存在一个高达4TB的SQL Server备份文件，该文件公开可访问并且未加密。这意味着其中包含的所有敏感信息，包括API密钥和用户凭据，都可能被恶意攻击者轻易获取。研究人员经15次联络才接通安永CSIRT，后者一周内完成修复并声明无客户数据外泄。

资料来源：

https://www.neosecurity.nl/blog/ey-data-leak-4tb-sql-server-backup

【数据泄露】日经新闻Slack平台遭入侵致数据泄露

日期：2025.11.6

日本最大媒体集团日经新闻披露，其内部Slack平台因员工电脑感染木马导致凭据被盗，攻击者借此读取17,368名雇员及合作伙伴的姓名、邮箱与聊天记录。事件9月被发现后，集团已强制重置密码并主动向个人信息保护委员会呈报，强调未波及机密信源与采访资料。

资料来源：

https://www.bleepingcomputer.com/news/security/media-giant-nikkei-reports-data-breach-impacting-17-000-people/

【数据泄露】恶意软件PureRAT攻击酒店预订系统

日期：2025.11.9

研究人员揭示了一项名为“我付了两次钱”的网络诈骗行动，该行动通过恶意软件PureRAT入侵酒店系统，影响了包括Booking.com和Expedia在内的多个在线预订平台。该骗局自2025年4月开始，攻击者通过伪装成客户请求的电子邮件向酒店员工发送恶意链接，利用ClickFix技术安装PureRAT恶意软件，从而获得对酒店账户的远程控制权。获取真实的Booking.com账户后，攻击者利用窃取的信息，通过WhatsApp或电子邮件声称顾客的支付存在安全问题，诱导受害者访问虚假网站以窃取其银行信息。

资料来源：

https://hackread.com/i-paid-twice-scam-booking-com-purerat-clickfix/

高级威胁动态

// APT-C-60新变体钓鱼攻击活动分析 //

日期：2025.11.6

研究人员发现APT-C-60组织在2025年6月至8月间继续在日本及东亚地区展开针对性攻击。这些攻击形式主要为定向鱼叉式网络钓鱼邮件，攻击者伪装成求职者向招聘人员发送邮件，诱导目标下载恶意的VHDX文件。与以往不同的是，近期的攻击中，恶意文件被直接作为邮件附件，受害者在点击后会执行隐藏的恶意脚本。攻击者还使用伪造的简历作为诱饵，进一步利用GitHub分发恶意软件。

资料来源：

https://blogs.jpcert.or.jp/en/2025/11/APT-C-60_update.html

// 伊朗最新间谍组织攻击活动分析 //

日期：2025.11.7

威胁研究团队发布了一份关于新出现的威胁行为体UNK_SmudgedSerpent的报告，该组织在2025年6月至8月期间主要针对学者和外交政策专家展开网络间谍活动。通过伪装成布鲁金斯学会的成员，UNK_SmudgedSerpent利用伊朗国内政治动荡作为诱饵，发送看似无害的电子邮件，诱导目标点击包含恶意链接的文档。这些链接伪装成健康主题的文件，实际则指向伪造的Microsoft 365登录页面，以窃取受害者的凭证。尽管该组织的战术与其他伊朗国家支持的威胁团体存在重叠，但由于缺乏高置信度的证据，Proofpoint尚未能够将其确定归属于任何特定团体。

资料来源：

https://www.proofpoint.com/us/blog/threat-insight/crossed-wires-case-study-iranian-espionage-and-attribution