俄罗斯Coldriver黑客组织安排新型NoRobot恶意软件

首页 > 清静研究 > 清静转达 > 清静简讯

俄罗斯Coldriver黑客组织安排新型NoRobot恶意软件

宣布时间 2025-10-23

1. 俄罗斯Coldriver黑客组织安排新型NoRobot恶意软件

10月21日，谷歌威胁情报团队（GTIG）宣布报告，揭破与俄罗斯联邦清静局（FSB）关联的黑客组织Coldriver（又名Star Blizzard、Callisto等）安排了一套新型恶意软件，取代其2025年5月被披露的主力工具LostKeys。该组织自2017年起活跃，以针对非政府组织、前情报军事职员及北约政府的“凭证垂纶”特工运动著名，曾被英国国家网络清静中心指控干预英国政治。新型恶意软件由NoRobot、YesRobot和MaybeRobot三个家族组成，攻击链以“ClickFix气概”垂纶诱饵启动，伪造验证码页面诱导用户通过Windows正当工具rundll32.exe下载NoRobot DLL，其导出函数伪装为“humanCheck”以规避基于剧本的清静监控。NoRobot早期版本接纳“分钥加密”机制，部分密钥隐藏在注册表路径中，增添解密难度；随后从恶意域名获取Python剧本，解密并启动第一阶段后门YesRobot，但因其需装置Python情形留下痕迹，仅使用两周即被弃用。2025年6月起，Coldriver转向更隐藏的MaybeRobot，基于PowerShell的后门程序，且无需依赖Python剧本。同期，该组织在“简化版”与“重大版”熏染链间频仍切换。

https://www.infosecurity-magazine.com/news/russian-coldriver-hackers-new/

2. 新加坡官员身份遭仿冒，重大投资诈骗案曝光

10月21日，网络清静公司Group-IB克日宣布报告，揭破一起针对新加坡住民的大规模诈骗案件。诈骗团伙通过仿冒新加坡总理黄循财、国家清静统筹部长尚穆根等高级官员身份，使用经由验证的谷歌广告、虚伪新闻网站及深度伪造视频，诱导受害者进入在毛里求斯注册的外汇投资平台实验诈骗。该诈骗运动接纳“外地化定向投放”战略，仅对新加坡IP地点展示谷歌广告，点击后用户会被指导至52其中心域名，最终跳转至仿冒主流媒体的虚伪页面。这些页面宣布深度伪造视频，如“黄循财总理”为“即时时代”项目站台，或“尚穆根部长”为投资平台背书，以增强可信度。Group-IB视察发明，诈骗背后涉及28个经谷歌验证的广告账户，注册者多来自保加利亚、罗马尼亚等国，共关联119个恶意域名。为规避羁系，诈骗分子接纳IP过滤、开发者工具检测及URL参数阻挡等手艺，确保仅真实新加坡用户可见诈骗内容。受害者提供联系方法后，会被施压投资；提现时则以“行政流程”为由拖延或拒绝。据统计，上月共有3808名新加坡人点击恶意广告，其中685人被指导至诈骗网站。

https://www.infosecurity-magazine.com/news/singapore-officials-investment-scam/

3. 围栏和宠物公司Jewett-Cameron遭勒索软件攻击

10月22日，总部位于俄勒冈州的围栏及宠物解决计划提供商Jewett-Cameron Company克日遭遇网络攻击，导致营业中止与敏感信息被盗。该公司主营狗窝、狗笼、围栏、特种木料及园艺产品，于10月15日检测到IT情形入侵，黑客在其系统中安排了加密和监控软件，造成部分营业应用无法会见，运营受阻。视察显示，攻击事务涉及双重勒索软件战略，既加密文件又窃取数据。黑客获取了包括IT信息、财务数据及视频聚会、电脑屏幕图像的敏感内容，但现在无证据批注员工、客户或供应商的小我私家信息遭泄露。公司强调入侵已获得控制，正全力恢复受影响系统，并预计11月中旬宣布阻止今年8月31日的年度报告，相关数据网络与剖析事情已一连数周。Jewett-Cameron体现，事务响应本钱将由网络清静包管笼罩，但认可中止可能对运营爆发重大影响。

https://www.securityweek.com/fencing-and-pet-company-jewett-cameron-hit-by-ransomware/

4. PhantomCaptcha ClickFix攻击乌克兰战争救援组织

10月22日，克日，一场针对乌克兰地方政府及战争救援要害组织（如红十字国际委员会、团结国儿童基金会）的鱼叉式网络垂纶攻击"PhantomCaptcha"爆发。该行动一连仅一天，却展现了高度细密的手艺链条：攻击者冒充乌克兰总统办公室发送含恶意PDF的邮件，诱导点击伪装成Zoom平台的垂纶链接，最终通过伪造的"我不是机械人"CAPTCHA验证实验ClickFix攻击。攻击流程分为三阶段：首先，受害者点击虚伪Zoom聚会链接后，浏览器会天生客户端标识符并通过WebSocket毗连至攻击者服务器。若标识符匹配，用户将被重定向至正当Zoom聚会举行实时社会工程攻击；若不匹配，则需完成乌克兰语的伪造CAPTCHA验证，通过复制粘贴"令牌"执行PowerShell下令，下载并运行恶意剧本"cptch"。该剧本会网络系统信息并回传至C2服务器，最终安排轻量级WebSocket远程会见木马（RAT），实现远程下令执行与数据泄露。手艺溯源指向俄系威胁组织：WebSocket RAT托管于俄罗斯基础设施，成人主题攻击工具与俄/白俄罗斯开发保存关联。

https://www.bleepingcomputer.com/news/security/phantomcaptcha-clickfix-attack-targets-ukraine-war-relief-orgs/

5. Adobe Commerce SessionReaper误差遭大规模攻击

10月22日，Adobe于9月8日针对旗下Commerce平台（原Magento）宣布紧迫清静忠言，指出保存一个被命名为SessionReaper（CVE-2025-54236）的严重不当输入验证误差。该误差影响2.4.9-alpha2、2.4.8-p2等多个版本及更早版本，攻击者无需用户交互即可通过Commerce REST API接受客户账户，实现完全控制会话权限。电子商务清静公司Sansec随后证实，该误差已被视为Adobe Commerce历史上最严重的清静误差之一，并在紧迫补丁宣布约六周后进入活跃使用阶段。Sansec监测数据显示，自补丁宣布以来，已纪录数百次针对未修复市肆的攻击实验。仅在最近一次视察中，Sansec Shield系统就阻挡了来自五个IP地点的250余次攻击，攻击手段包括植入PHP webshell或执行phpinfo探测以网络系统设置信息。值得注重的是，62%的Magento在线市肆尚未装置Adobe的清静更新，五分之三的市肆仍袒露在危害中。Sansec研究职员指出，误差使用的活跃度与Searchlight Cyber宣布的手艺剖析报告保存关联，该报告可能进一步刺激了攻击实验的增添。

https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-sessionreaper-flaw-in-adobe-magento/

6. 伊朗MuddyWater安排Phoenix v4后门窃取政府数据

10月22日，伊朗政府支持的MuddyWater黑客组织（又名Static Kitten、Mercury、Seedworm）近期针对中东及北非地区100余个政府实体提倡攻击，目的包括大使馆、外交使团、领事馆等焦点机构。此次攻击自2025年8月19日起，通过NordVPN会见受熏染账户实验网络垂纶，向目的发送含恶意Word文档的邮件，诱骗用户启用宏代码以解码并写入FakeUpdate恶意软件加载程序至磁盘。Group-IB报告指出，8月24日攻击者关闭服务器及C2组件，可能进入新阶段，依赖其他工具网络信息。此次安排的Phoenix后门第4版（v4）接纳AES加密，通过修改Windows注册表建设长期性，并新增基于COM的长期机制。该后门支持65-85号下令集，涵盖睡眠、文件上传/下载、启动shell及调解轮询距离等功效，可网络系统信息并通过WinHTTP毗连C2服务器。别的，攻击中使用了自界说信息窃取程序，针对浏览器数据库提取凭证及主密钥。Group-IB还发明MuddyWater在C2基础设施中安排了PDQ软件安排工具及Action1 RMM远程治理工具，这些工具此前曾在伊朗黑客攻击中被使用。

https://www.bleepingcomputer.com/news/security/iranian-hackers-targeted-over-100-govt-orgs-with-phoenix-backdoor/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究