微软团结Cloudflare摧毁RaccoonO365网络垂纶基础设施

首页 > 清静研究 > 清静转达 > 清静简讯

微软团结Cloudflare摧毁RaccoonO365网络垂纶基础设施

宣布时间 2025-09-18

1. 微软团结Cloudflare摧毁RaccoonO365网络垂纶基础设施

9月17日，微软数字犯法部分与Cloudflare相助，于2025年9月查封了RaccoonO365使用的338个域名，彻底破损了这一经济驱动型威胁组织的手艺基础设施。该组织自2024年7月起通过“网络垂纶即服务（PhaaS）”工具包，从94个国家窃取超5000个Microsoft 365凭证，其订阅模式（30天355美元、90天999美元）使低手艺门槛犯法者能大规模提倡攻击。RaccoonO365（微软追踪为Storm-2246）的攻击常伪装成Microsoft、DocuSign等可信品牌，通过诓骗邮件诱导受害者输入凭证，常作为恶意软件和勒索软件的先兆。其防御规避战略包括使用正当工具Cloudflare Turnstile作为CAPTCHA，以及通过Cloudflare Workers剧本实验机械人检测，确保仅目的用户可会见垂纶页面。2024年9月以来，该工具已针对超2300个美国组织提倡攻击，单日可输入9000个目的邮箱，并宣称能绕过多因素认证。幕后主谋为尼日利亚人Joshua Ogundipe，其通过850人Telegram频道推广工具，获超10万美元加密钱币收入。

https://thehackernews.com/2025/09/raccoono365-phishing-network-shut-down.html

2. 勒索组织使用受损OAuth令牌窃取超15亿条Salesforce数据

9月17日，以ShinyHunters、Scattered Spider和Lapsus为焦点的“Scattered Lapsus$ Hunters”勒索组织，通过受损的Salesloft Drift OAuth令牌，从760家公司窃取了凌驾15亿条Salesforce纪录，涉及客户、联系人、商机、用户及案例等焦点工具表。其中，案例表包括科技公司客户提交的支持票敏感信息，为攻击者提供了进一步横向渗透的“神秘”（如AWS会见密钥、Snowflake令牌等）。攻击路径始于今年3月：威胁行为者入侵Salesloft的GitHub存储库获取私有源代码，使用TruffleHog工具扫描发明Drift平台OAuth令牌，进而通过第三方平台毗连Salesforce实例，实现大规模数据窃取。被盗数据被用于勒索，迫使企业支付赎金以阻止果真泄露。Google威胁情报（Mandiant）将此运动追踪为UNC6040和UNC6395，并指出攻击者会剖析案例数据挖掘隐藏凭证，以入侵其他情形。FBI已宣布相关IOC忠言，但Salesloft尚未回应数据量及公司总数问题，仅新闻人士证实数字准确。为提防此类攻击，Salesforce建议客户启用多因素认证（MFA）、执行最小特权原则，并严酷治理第三方应用毗连。

https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/

3. 新型恶意软件Raven Stealer通过Telegram实时窃取数据

9月17日，Point Wild的Lat61威胁情报团队发明名为Raven Stealer的新型恶意软件，该恶意软件通过地下论坛及盗版软件捆绑撒播，接纳Delphi与C++编写，以小巧快速为特点。其焦点攻击手段为“历程挖空”（process hollowing）手艺，完全在内存中运行而不写入硬盘，伪装成正常浏览器程序以规避古板杀毒软件检测。Raven Stealer针对Chrome、Edge等主流浏览器，窃取密码、Cookie、支付信息及生涯的敏感数据。更危险的是，它通过Telegram机械人将数据实时传输至攻击者，形成“即盗即传”的威胁链条。攻击者使用浅易构建工具天生唯一命名的加密攻击文件，入侵后网络屏幕截图与数据至ZIP文件实验发送，只管测试中因机械人令牌问题传输失败，但数据泄露危害依然保存。为提防此类威胁，专家建议：使用具备实时防护的最新版防病毒软件；阻止下载盗版软件；审慎点击可疑链接或附件。

https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/

4. SonicWall忠言客户因防火墙设置备份泄露需重置凭证

9月17日，网络清静公司SonicWall克日宣布紧迫通知，要求客户重置相关凭证，因其MySonicWall账户中的防火墙设置备份文件在清静误差中遭袒露，可能使威胁行为者使用备份信息会见装备敏感服务。事务爆发后，SonicWall连忙切断攻击者系统会见权限，并团结网络清静机构及执法部分睁开视察。据SonicWall披露，泄露的备份文件包括加密密码及可能辅助攻击者使用防火墙的信息。只管文件已加密，但攻击者仍可能通过暴力破解获取云备份API服务权限，进而会见装备设置。此次事务影响规模有限，仅波及不到5%的SonicWall防火墙装备，这些装备在云端存储了备份首选项文件，而攻击者正是通过暴力攻击针对这些文件的API服务实验入侵。为降低危害，SonicWall宣布详细指南，建议治理员接纳结构化步伐：首先禁用或限制WAN会见服务，随后重置用户、VPN账户及服务使用的所有凭证、API密钥和身份验证令牌，并更新其他关联系统中的共享密钥和加密密钥。

https://www.bleepingcomputer.com/news/security/sonicwall-warns-customers-to-reset-credentials-after-MySonicWall-breach/

5. TA558使用AI天生网络垂纶攻击旅馆业

9月17日，俄罗斯卡巴斯基实验室追踪发明，威胁行为者TA558（关联RevengeHotels集群）自2025年夏日起针对巴西及西班牙语市场旅馆提倡新型攻击，通过AI天生的网络垂纶邮件撒播Venom RAT等远程会见木马，窃取客人及在线旅行社（如Booking.com）的信用卡数据。攻击链以发票、旅馆预订或求职申请为诱饵的葡萄牙语/西班牙语垂纶邮件启动，内含AI天生的JavaScript加载器及PowerShell下载器。剧本注释富厚、名堂规范，切合大型语言模子（LLM）天生特征，可加载后续剧本实现多阶段熏染。最终载荷包括基于开源Quasar RAT刷新的Venom RAT商业工具，具备数据窃取、反向署理、防终止�；ぜ俺て诨π�。该恶意软件通过修刷新程自主会见控制列表（DACL）剥夺清静历程权限，并每50毫秒循环扫描历程列表，终止清静剖析师常用的监控工具。若以治理员权限运行，可设置SeDebugPrivilege令牌标记为系统要害历程，强制屏幕常亮防睡眠，并通过USB驱动器撒播、禁用Microsoft Defender及改动注册表维持保存。

https://thehackernews.com/2025/09/ta558-uses-ai-generated-scripts-to.html

6. 蒂芙尼遭数据泄露，超2500名客户礼物卡信息被盗

9月17日，美国奢侈珠宝巨头蒂芙尼公司于2025年5月初遭遇数据泄露事务，攻击者入侵其系统导致超2500名客户身份及礼物卡信息被窃取。凭证蒂芙尼向缅因州总审查长办公室提交的信息及数据泄露通知，泄露内容包括客户姓名、地点、电子邮件、电话号码、销售数据、客户参考编号及蒂芙尼礼物卡号与PIN码。这些信息可能被用于盗刷礼物卡购置珠宝，或成为网络垂纶攻击的诱饵，诱骗客户泄露更多敏感数据。蒂芙尼在发明未经授权会见后，已启动由外部网络清静公司主导的视察，并强调“无证据批注数据被进一步滥用”。然而，这并非该公司首次面临数据清静问题，5月尾，其韩国分公司曾因供应商数据泄露导致客户信息外流。值得注重的是，蒂芙尼母公司LVMH旗下另一品牌迪奥此前也遭遇类似事务，而开云集团近期更被曝出740万份客户数据泄露，凸显奢侈品行业成为网络犯法重灾区。

https://cybernews.com/security/tiffany-data-breach-gift-cards-exposed/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究