玛莎百货确认社会工程学引发大规模勒索软件攻击

首页 > 清静研究 > 清静转达 > 清静简讯

玛莎百货确认社会工程学引发大规模勒索软件攻击

宣布时间 2025-07-09

1. 玛莎百货确认社会工程学引发大规模勒索软件攻击

7月8日，克日，英国零售巨头玛莎百货（M&S）遭遇一起由重大社会工程攻击引发的网络清静事务，最终演变为DragonForce勒索软件攻击。该公司董事长阿奇·诺曼在英国议会听证会上披露，攻击者通过精准冒充与玛莎百货相助的第三方实体员工，诱骗IT外包服务商塔塔咨询服务公司重置员工密码，乐成侵入其网络。此次社会工程手段被诺曼称为"极其重大的冒充行为"，攻击者不但伪造身份信息，还使用第三方服务作为跳板，凸显供应链清静危害。视察显示，威胁行为者侵入网络后安排了源自亚洲的DragonForce勒索软件。只管部分媒体误将该团伙与马来西亚亲巴勒斯坦黑客组织"DragonForce Malaysia"关联，但据清静机构追踪，此次攻击现实由与Scattered Spider相关的威胁行为者实验，接纳双重勒索战略。面临勒索威胁，玛莎百货接纳"不直接接触攻击者"的战略，委托专业谈判团队处置惩罚。诺曼在听证会上强调，企业已与英国国家犯法局（NCA）等执法机构充分相助，但拒绝透露是否支付赎金，仅体现"果真细节不切合公众利益"。值得注重的是，只管保存数据泄露，DragonForce勒索网站尚未宣布玛莎百货相关数据，体现可能通过谈判告竣解决计划。

https://www.bleepingcomputer.com/news/security/mands-confirms-social-engineering-led-to-massive-ransomware-attack/

2. Chrome与Edge市肆惊现百万级恶意扩展

7月8日，谷歌Chrome网上应用店及微软Edge官方市肆克日曝出大规模恶意扩展程序事务，涉及近30款伪装成适用工具的恶意软件，总熏染用户凌驾230万。据清静公司Koi Security披露，这些扩展程序以颜色选择器、VPN、心情符号键盘、音量增强器等一样平常功效为幌子，在Chrome市肆累计下载量达170万次，Edge市肆相关扩展下载量亦突破60万次。研究职员发明，大都恶意扩展最初以正当面目上架，通过数百条正面评价和显著展示位置误导用户。其恶意功效通事后续更新悄然植入，谷歌的自动更新机制会在用户无感知情形下安排最新版本，无需任何授权。恶意代码使用Chrome扩展API在后台运行监听程序，当用户会见新网页时，自动捕获URL并连同唯一跟踪ID发送至境外服务器，保存挟制浏览运动、重定向至垂纶网站或恶意链接的危害。只管测试中未现实触发重定向，但数据泄露危害已引发清静警报。

https://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-with-17m-installs-found-on-web-store/

3. 新型RondoDox僵尸网络使用物联网误差构建隐形攻击网络

7月8日，网络清静研究职员近期发明一种名为RondoDox的新型僵尸网络，正通过针对TBK数字视频录像机（DVR）和Four-Faith路由器的清静误差，将大宗物联网装备转化为隐藏攻击节点。该恶意软件运动聚焦于两个已被果真披露的下令注入误差：CVE-2024-3721和CVE-2024-12856，这些装备因恒久安排在零售店、客栈等无人监控情形，且常通过过时固件或过失设置袒露于互联网，成为理想攻击目的。手艺剖析显示，RondoDox通过多架构植入器扩大熏染规模，初始阶段针对ARM/MIPS架构的Linux系统，随后通过shell剧本下载程序扩展至Intel 80386、PowerPC、AArch64等更多架构。恶意软件启动后，会忽略系统终止信号、扫除下令执行历史，并建设长期化机制，确珍重启后自动运行。RondoDox接纳多重反检测手艺：通过模拟Valve、Minecraft、Roblox等游戏平台及Discord、OpenVPN等工具的流量特征融入正常网络运动；使用XOR加密设置数据和定制库规避古板入侵检测系统（IDS）；同时终止wget、curl等网络工具及Wireshark中剖析历程，确保操作隐秘性。最终，恶意软件会联系外部服务器，通过HTTP/UDP/TCP协议提倡DDoS攻击。

https://thehackernews.com/2025/07/rondodox-botnet-exploits-flaws-in-tbk.html

4. APT36组织提倡针对印度Linux系统的重大网络特工运动

7月8日，网络清静公司Cyfirma克日披露，疑似由巴基斯坦APT36（又称“透明部落”）提倡的网络特工运动正将矛头瞄准印度国防相关机构，首次接纳专门针对Linux情形的恶意软件，标记着该组织攻击能力的显著升级。此次攻击聚焦于运行BOSS Linux的系统，这一基于Debian的印度国产Linux刊行版被普遍用于政府机构，凸显攻击者对要害基础设施的精准定位。攻击者通过全心设计的网络垂纶邮件撒播恶意载荷，邮件附件为伪装成“Cyber-Security-Advisory.zip”的压缩文件，内含一个名为“.desktop”的Linux快捷方法文件。当用户翻开该文件时，系统会同时执行两项操作：前台自动下载并展示一个看似正常的PowerPoint文件以疏散注重力，后台则神秘运行名为“BOSS.elf”的ELF二进制恶意软件。该恶意程序使用Go语言编写，是攻击的焦点载荷，旨在入侵主机并建设长期化会见。手艺剖析显示，BOSS.elf会实验毗连IP地点101.99.92.182的12520端口，并与域名sorlastore.com通讯，该域名已被确以为APT36针对印度国防部分的恶意基础设施。

https://hackread.com/pakistan-transparent-tribe-indian-defence-linux-malware/

5. 新型Batavia特工软件借垂纶邮件入侵俄罗斯工业企业

7月7日，自2024年7月起，一场针对俄罗斯工业企业的定向网络特工运动一连升级，其焦点载体为新型Batavia特工软件�？ò退够笛槭易纷俜⒚�，该攻击自2025年3月进入活跃期，通过伪装成条约文件的垂纶邮件撒播恶意.vbe文件链接，已导致俄罗斯数十家机构凌驾100名用户受影响。攻击始于伪装成条约或附件的恶意.vbe文件链接，点击链接下载VBE剧本，其网络系统信息并检索恶意软件文件，检查操作系统版本执行有用载荷并发送数据到C2服务器，且使用定制参数治理熏染阶段规避检测。在攻击链第二阶段，WebView.exe恶意软件下载并显示虚伪条约，监视系统，网络系统日志等并按期截图发送到新C2服务器，下载新恶意软件阶段并设置启动快捷方法。最后阶段，javav.exe扩展攻击规模，针对更多文件类型传输到C2服务器，可更改C2地点、实现UAC绕过来下载/执行新有用载荷，通讯加密且通过文件哈希阻止重复上传。

https://securityaffairs.com/179699/malware/new-batavia-spyware-targets-russian-industrial-enterprises.html

6. 伊朗关联组织BladedFeline瞄准伊拉克政府系统

7月7日，网络清静机构ESET披露，与伊朗保存亲近关联的APT组织BladedFeline正对伊拉克中央政府及库尔德自治区政府（KRG）实验恒久网络特工运动。研究证实，BladedFeline自2017年首次渗透库尔德外交系统以来，一连开发新型攻击工具。最新运动中，该组织安排了�？榛褚馊砑准�，焦点组件包括：通过受损微软Exchange邮箱账户收发指令的"Whisper"后门，以及具有革命性隐藏机制的"PrimeCache"恶意IIS�？�，攻击工具链还包括Laret与Pinar两款反向隧道工具，以及多阶段渗透组件。该套件付与攻击者四项焦点能力：恒久维持高价值目的系统会见权限、通过加密通讯逃避监测、使用正当Webmail账户远程执行指令、将恶意运动嵌入可信服务器历程实现深度隐匿。手艺溯源显示，BladedFeline与伊朗国家级黑客组织OilRig保存强关联性，其恶意软件功效设计与OilRig标记性后门RDAT高度相似，攻击基础设施保存重叠，战术目的均聚焦中东地缘政治情报网络。ESET评估以为，该组织极可能为OilRig的战术子单位。

https://www.infosecurity-magazine.com/news/iran-hacking-group-targets-middle/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究