Warlock勒索软件组织：新兴威胁的攻击特征与清静警示

首页 > 清静研究 > 清静转达 > 清静简讯

Warlock勒索软件组织：新兴威胁的攻击特征与清静警示

宣布时间 2025-09-24

1. Warlock勒索软件组织：新兴威胁的攻击特征与清静警示

9月21日，Sophos研究团队展现，名为Warlock的勒索软件组织（微软称Storm 2603，Sophos追踪为GOLD SALEM）正以高明手艺手段加剧全球网络攻击。该组织自2025年3月起活跃，9月已在其"Warlock客户数据泄露秀"暗网站点宣布60名受害者，目的涵盖北美、欧洲、南美的小型商业实体、政府机构及大型跨国公司。其攻击特征包括使用SharePoint零日误差、安排自界说ToolShell链、投放Web Shell及基于Golang的WebSocket服务器举行长期化，并滥用Velociraptor等正当工具实验隐藏隧道攻击，同时团结Mimikatz凭证偷窃、PsExec横向移动及GPO推送勒索负载等古板手法。该组织泄密模式奇异，省略宣布日期与视觉样本，仅随机披露被盗数据量，并通过注释标注数据状态（宣布/出售/未支付赎金），甚至提供现实数据链接。其FAQ声明训斥"不认真任的公司"，称未联系的大客户数据将免费果真，但"高度敏感数据"的大型企业客户信息不会完全披露。Sophos指出，Warlock直至6月才在俄语论坛Ramp果真活跃，曾征集Veeam、ESXi、SharePoint误差使用及EDR中止工具。

https://cybernews.com/security/warlock-ransomware-group-attacks-surge-september/

2. 骗子滥用人工智能原生平台托管虚伪验证码页面

9月22日，网络清静公司趋势科技最新报告展现，人工智能开发平台正被网络犯法分子使用，成为托管虚伪验证码（CAPTCHA）页面的新载体，从而逃避清静检测并诱导用户进入垂纶网站。作为验证真适用户的要害工具，CAPTCHA本应抵御机械人攻击，现在却被反向使用，成为网络垂纶的"爪牙"。研究发明，自2025年1月起，使用Lovable、Netlify、Vercel等AI原生开发平台托管虚伪验证码页面的网络垂纶运动激增。这些平台宣称"零代码即可构建应用"，降低了手艺门槛，使犯法分子能快速建设看似正规的验证码挑战页面。攻击流程通常始于伪装成"密码重置""USPS地点变换"等紧迫邮件的垂纶链接，用户点击后首先看到虚伪CAPTCHA页面，因其"官方验证"外观，受害者易松开小心，而自动扫描工具因仅检测到验证码而非底层凭证网络表单，难以识别恶意页面。完成验证后，用户会被重定向至真正的垂纶页面，导致凭证、敏感数据泄露。更严肃的是，构建此类页面仅需基础手艺能力，配合AI编码助手即可完成。

https://cybernews.com/security/ai-platforms-captcha-phishing/

3. 德国DCS充电站数据泄露，客户服务商违规会见致用户信息危害

9月23日，德国数字充电解决计划公司（DCS）克日向用户转达一起数据清静事务，其客户服务提供商在处置惩罚数据时爆发违规行为，导致部分客户信息面临泄露危害。DCS作为欧洲主要电动汽车充电服务商，治理着30多个国家超100万用户及98万座充电站，并为宝马、起亚等品牌提供计费服务。事务起源于DCS发明其相助的服务商在无合理理由情形下会见了客户数据。DCS连忙启动周全视察，确认违规行为涉及个位数病例，受影响数据仅限于姓名和电子邮件地点，而完整支付信息因未存储在受影响数据库中得以保全。现在，DCS已与服务商治理层相助查明缘故原由，实验特殊清静步伐，并转达执法及数据�；げ糠�。DCS在9月19日设立的专项页面中强调，充电服务及计费系统仍清静运行，用户无需接纳特殊操作，但需小心潜在垂纶攻击。公司重申，只管目今仅确认少数案例，但无法完全扫除其他客户数据被非授权审查的可能性，视察仍在举行中。

https://www.theregister.com/2025/09/23/dcs_data_breach/

4. 纽约团结国大会前夕摧毁大型电信网络

9月23日，在团结国大会于曼哈顿召开前夕，联邦视察职员摧毁了一个隐藏在纽约地区的大型电信网络。该网络包括凌驾10万张SIM卡和300台服务器，可能对纽约市通讯系统造成灾难性破损。特勤局指出，此网络可滋扰紧迫响应服务、关闭蜂窝网络并发送加密信息，恰逢150余位国际向导人齐聚纽约时代。视察显示，该网络装备漫衍于团结国总部35英里半径规模内，规模与装备类型体现其可能为民族国家监控行动。通太过析SIM卡数据，特勤局发明其与至少一个外国政府及贩毒集团保存关联。只管团结国大会是否为目的尚不明确，但特勤局特工马特·麦克库尔强调，该系统具备摧毁手机信号塔、阻断应急通讯的能力，在重大国际运动配景下可能引发都会级通讯瘫痪。该网络于今年8月被特勤局在视察针春联邦官员的“电话威胁”事务时发明。麦克库尔体现，剖析网络传输的通讯内容需时日，但系统威力禁止小觑�Ｋ剂康阶氨讣壑凳偻蛎涝�，幕后组织资金雄厚，可能保存类似网络遍布美国其他都会。

https://securityboulevard.com/2025/09/secret-service-shuts-down-sprawling-hidden-telecom-network-in-ny/

5. CISA称黑客使用GeoServer误差入侵联邦机构

9月23日，美国网络清静与基础设施清静局（CISA）披露，2024年7月，攻击者使用未修补的GeoServer实例（涉及CVE-2024-36401远程代码执行误差）侵入了一家美国联邦民事行政部分（FCEB）机构网络。该误差于2024年6月18日被修复，但一个月后，因清静研究职员在线分享看法验证（PoC）演示代码，CISA将其加入“已知被使用误差目录”。威胁监控组织Shadowserver于7月9日起检测到针对该误差的攻击，OSINT搜索引擎ZoomEye追踪到超16,000台袒露在网的GeoServer服务器。攻击者入侵联邦机构GeoServer服务器后，在约两周内横向移动攻陷Web服务器和SQL服务器，上传China Chopper等Web Shell及用于远程会见、长期化、下令执行和权限提升的剧本，并通过暴力破解手艺（T1110）获取密码以进一步横向移动。攻击者潜在三周未被发明，直至7月31日联邦机构的端点检测与响应（EDR）工具将SQL服务器上的可疑文件标记为恶意软件并触发警报，清静运营中心（SOC）随后隔离服务器并团结CISA视察。

https://www.bleepingcomputer.com/news/security/cisa-says-hackers-breached-federal-agency-using-geoserver-exploit/

6. Circle K香港营业因网络中止瘫痪

9月23日，克日，便当店连锁品牌Circle K香港营业因“网络中止”事务导致全港近400家门店电子支付、会员服务及电子邮件系统瘫痪数日，仅现金及八达通支付功效维持运作。该公司于周末首次转达事务后，周一在Facebook声明中体现，因无法扫除网络攻击可能性，已启动数据�；げ椒ゲ⒂胫捶ú糠旨暗谌阶ḿ蚁嘀硬煸倒试伞⒐婺＜坝跋焖�。阻止周二，用户仍通过社交媒体反响服务中止问题，如积分和优惠券逾期，呼吁延伸使用限期。Circle K香港由加拿至公司Alimentation Couche-Tard所有，该公司在北美及其他地区谋划Circle K市肆。Circle K香港的前母公司亚洲便当零售有限公司 (CRA) 周一也报告了网络中止。CRA于20世纪80年月获得了Circle K的授权，并于2020年将其售回给Alimentation Couche-Tard。CRA体现，其内部系统受到影响，并已通知执法部分，但现在尚不清晰两起事务是否有关联。

https://therecord.media/circle-k-hong-kong-suspected-cyberattack-convience-stores

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究