DragonForce勒索软件借SimpleHelp误差攻破MSP

首页 > 清静研究 > 清静转达 > 清静简讯

DragonForce勒索软件借SimpleHelp误差攻破MSP

宣布时间 2025-05-28

1. DragonForce勒索软件借SimpleHelp误差攻破MSP

5月27日，DragonForce勒索软件团伙乐成攻破一家托管服务提供商，并使用其SimpleHelp远程监控和治理（RMM）平台实验了一系列恶意运动。Sophos公司受命视察此次攻击，发明威胁行为者使用了SimpleHelp的较旧误差，包括CVE-2024-57727、CVE-2024-57728和CVE-2024-57726，来破损系统。SimpleHelp作为一种商业远程支持和会见工具，常被MSP用于治理系统和安排软件，此次却成为攻击者的使用工具。攻击者首先使用SimpleHelp对客户系统举行侦探，网络装备名称、设置、用户和网络毗连等信息。随后，他们试图窃取数据并在客户网络上安排加密器，部分网络因使用Sophos端点�；ざ璧蚕嗍睹芷�，但其他客户则不幸中招，装备被加密，数据被窃取，并用于双重勒索攻击。Sophos已分享与此次攻击相关的IOC，以资助组织增强网络防护。恒久以来，托管服务提供商一直是勒索软件团伙的重点攻击目的，因一次入侵可能导致多家公司受损。一些勒索软件同盟专门研究MSP常用工具，如SimpleHelp，这导致了如REvil对Kaseya的大规模勒索软件攻击等杀绝性事务。

https://www.bleepingcomputer.com/news/security/dragonforce-ransomware-abuses-simplehelp-in-msp-supply-chain-attack/

2. 俄罗斯网络特工组织“洗衣熊”涉嫌入侵荷兰警方

5月27日，一个此前不为人知的俄罗斯支持的网络特工组织“洗衣熊”（Laundry Bear）被追踪到与2024年9月荷兰警方清静误差事务有关。荷兰国家警员局去年透露，攻击者窃取了多名警官的事情联系信息，荷兰情报和清静总局（AIVD）与荷兰国防情报和清静局（MIVD）在周二的团结忠言中，将“洗衣熊”与此次入侵事务联系起来，并忠言称该组织很可能也入侵了其他荷兰组织。视察显示，“洗衣熊”于2024年9月会见了一名荷兰警员雇员的账户，并通过全球地点列表窃取了与事情相关的联系信息，攻击者可能使用了“转达 Cookie”攻击，使用窃取的Cookie冒充所有者，无需用户名或密码即可会见信息。MIVD主管彼得·里斯克体现，该黑客组织乐成获取了全球大宗组织和公司的敏感信息，对欧盟和北约国家特殊感兴趣。“洗衣熊”也被微软称为Void Blizzard，至少自2024年4月以来一直活跃，专注于针对乌克兰和北约成员国发动与俄罗斯战略目的一致的攻击，其战略包括使用窃取的凭证和鱼叉式网络垂纶电子邮件来突破目的防御，并从受害者的受熏染系统中网络和窃取文件和电子邮件。

https://www.bleepingcomputer.com/news/security/russian-void-blizzard-cyberspies-linked-to-dutch-police-breach/

3. 黑客伪造杀毒网站以撒播Venom RAT并窃取加密钱包

5月27日，网络清静研究职员克日披露了两起新型恶意运动。其一，攻击者仿冒Bitdefender杀毒软件下载网站“bitdefender-download[.]com”，诱导用户下载含VenomRAT远程会见木马的恶意程序。用户点击该仿冒网站“Download for Windows”按钮后，会触发文件下载流程，但现在相关Bitbucket账户已被封禁。下载的ZIP压缩包中包括整合了VenomRAT木马设置、开源后期使用框架SilentTrinity及StormKitty信息窃取器的可执行文件。VenomRAT作为Quasar RAT变种，具有数据网络与长期化远程控制能力。DomainTools情报团队指出，该垂纶网站基础设施与多个仿冒加拿大皇家银行、微软服务的恶意域名有关联，这些域名此前已被用于窃取登录凭证的垂纶运动。攻击手艺链显示，VenomRAT、StormKitty与SilentTrinity各司其职，配合完成攻击。研究职员强调，此次运动接纳�？榛醋榧菇ǘ褚馊砑低�，提升了攻击效率与隐藏性。同期，另一起ClickFix式攻击运动也被曝光。攻击者伪造谷歌Meet页面，使用虚伪过失提醒诱导用户执行特定PowerShell下令，安排混淆批处置惩罚剧本实现远程控制。别的，针对Meta的大规模垂纶运动借助谷歌AppSheet无代码开发平台，绕过邮件清静协议，通过动态天生唯一案例ID规避古板检测系统，伪装成Facebook支持团队诱骗用户点击链接，窃取双因素认证代码。

https://thehackernews.com/2025/05/cybercriminals-clone-antivirus-site-to_4.html

4. Everest Group勒索软件团伙入侵Mediclinic并要求赎金

5月26日，勒索软件团伙Everest Group声称入侵了价值50亿美元的医疗帝国Mediclinic，并威胁除非获得赎金，不然将泄露敏感数据。Mediclinic建设于1983年，在多国运营医院，年收入高达54亿美元。据暗网5月26日通告，该勒索软件团伙窃取了1000名公司员工小我私家数据及4GB内部神秘数据，并要求公司在五天内与其联系并告竣协议，不然将释放被盗数据。现在，涉嫌数据泄露的详细规模尚不清晰，但鉴于Mediclinic从事医疗营业，这些数据可能高度敏感，一旦证实，将危及受影响的小我私家及公司运营。研究职员指出，泄露内部神秘文件对员工尤为危险，攻击者可能使用窃取的数据举行身份偷窃、诓骗或网络垂纶攻击，甚至可能引发对基础设施的进一步攻击或执法行动。Everest Group勒索软件团队据称与俄罗斯的BlackByte集团有联系，自2021年中期以来一直在运动，本月还袭击了跨国软饮料生产商适口可乐，窃取了员工数据及神秘文件，并策划了2022年10月针对AT&T的攻击。

https://cybernews.com/security/mediclinic-everest-ransomware-attack/

5. Rhysida勒索团伙声称窃取巴西汽车经销商Carrera的数据

5月26日，克日，与俄罗斯有关联的Rhysida勒索软件团伙声称窃取了巴西着名汽车经销商Carrera的敏感数据，包括护照、条约等，并索要100万美元赎金以掩饰真相。该团伙在暗网宣布声明，以典范方法威胁该公司，要求在6月1日前支付巨额赎金，不然将果真数据。Carrera公司总部位于圣保罗，谋划多个汽车品牌销售及相关服务。此次勒索攻击可能给公司带来巨额损失，包括资源分派、执法见告、客户赔偿及�？畹�，�？罱鸲羁赡芨叽锝�300万美元。别的，护照复印件泄露可能导致身份偷窃和诓骗，受影响客户可能起诉公司要求赔偿。除经济处分外，公司还可能遭受声誉损害，影响营业绩效。Rhysida组织以双重勒索手段著名，已渗透到教育、医疗保健等多个领域，自2023年5月建设以来已造成凌驾202名受害者。不过，2024年韩国互联网清静局的研究小组已破解该团伙的加密代码，并在其网站上分享了免费的Rhysida解密工具和手册。

https://cybernews.com/security/carrera-chevloret-brazil-ransomware-attack/

6. 黑客声称AT&T重大泄密事务袒露了3100万条纪录

5月26日，攻击者克日声称数万万条AT&T纪录被泄露至网上，但研究职员以为缺乏足够证据支持。该事务详情宣布于一着名黑客论坛，攻击者称数据集含多达3100万条敏感用户纪录，包括客户全名、性别、出生日期、税号、装备ID、CookieID、IP地点、完整地点、电话号码及电子邮件地点等。研究团队视察发明，样本仅含单个用户详细信息，无法验证完整数据库是否真有3100万条纪录。不过，假设每个用户袒露信息量相同，则超300万AT&T用户小我私家信息可能已泄露。研究职员强调，若信息真有3100万行，将是严重用户隐私泄露。只管现在无法确认泄露事务，但攻击者5月非�；钤�，宣布了数十条含种种数据的帖子。若AT&T数据泄露被证实，将对受影响小我私家组成严重网络清静和隐私危害，这些数据足以引发金融诓骗、账户盗用和社会工程攻击。AT&T作为全球最大电信公司之一，年营收超1220亿美元，其重大规模使其成为黑客攻击目的，去年4月该公司就曾体现客户数据被从第三方云平台不法下载，险些所有客户都受影响。

https://cybernews.com/security/att-data-breach-millions-records-claimed/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究