APT36使用DeskRAT恶意软件攻击印度政府

首页 > 清静研究 > 清静转达 > 清静简讯

APT36使用DeskRAT恶意软件攻击印度政府

宣布时间 2025-10-27

1. APT36使用DeskRAT恶意软件攻击印度政府

10月24日，克日，巴基斯坦国家支持的黑客组织Transparent Tribe（APT36）针对印度政府实体提倡鱼叉式网络垂纶攻击，撒播基于Golang的DeskRAT恶意软件。该攻击链通过含ZIP附件或Google Drive链接的垂纶邮件实验，使用Mozilla Firefox显示诱饵PDF文件的同时执行主载荷。DeskRAT通过WebSocket建设C2毗连，支持ping、heartbeat等五种下令，并接纳systemd服务、cron作业等四种长期性要领。其C2服务器接纳隐形设计，未泛起在果真NS纪录中。此次运动延续了CYFIRMA此前披露的攻击模式，并关联到跨平台后门StealthServer。该后门保存Windows三版本及Linux两变种：Windows-V3版本接纳WebSocket通讯，与DeskRAT功效一致；Linux变种则通过HTTP通讯，具备文件浏览、上传及执行能力，可从根目录递归搜索特定扩展名文件并加密传输。

https://thehackernews.com/2025/10/apt36-targets-indian-government-with.html

2. Windows Server WSUS高危误差遭野外使用

10月24日，克日，网络清静领域聚焦于编号为CVE-2025-59287的高危远程代码执行误差，该误差影响启用了Windows Server更新服务（WSUS）服务器角色的Windows Server系统，尤其是作为组织内其他WSUS服务器更新源的服务器。攻击者可无需特权或用户交互，远程使用此误差以SYSTEM权限执行恶意代码，并可能在WSUS服务器间横向撒播。微软已针对所有受影响版本宣布带外清静更新，并强烈建议IT治理员尽快安排。关于无法连忙更新的系统，微软提供了暂时解决计划，如禁用WSUS服务器角色。误差果真后，HawkTrace Security宣布了不允许执行恣意下令的看法验证（PoC）代码，但Eye Security和Huntress Labs随即视察到野外使用实验。Eye Security报告至少一名客户系统遭攻击，且攻击手法与HawkTrace的PoC差别；Huntress则发明自10月23日起，针对袒露8530/8531端口的WSUS实例的攻击，攻击者通过PowerShell下令侦探内部Windows域并将数据发送至webhook。Huntress指出，约25台主机易受攻击，但预计使用率较低，因WSUS通常不袒露于公网。

https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-windows-server-wsus-flaw-in-attacks/

3. AT&T招聘平台遭Everest勒索软件组织攻击

10月24日，Everest勒索软件组织在其暗网数据泄露网站宣布针对AT&T Careers平台的勒索信息，声称掌握576,686条与该电信巨头招聘平台相关的小我私家纪录，并设置四天效果真数据的倒计时。该条目被密码�；�，要求AT&T代表在时限内“按指示操作”，不然数据将被果真。Everest以宣布被盗数据库及勒索要求著名，其泄密网站虽今年遭破损但仍活跃，受害者名简单连更新。AT&T尚未证实此次事务，但该公司历史数据泄露频发：2021年8月ShinyHunters黑客组织窃取7000万客户数据并出售，AT&T直至2024年4月才认可；2025年6月，8600万条含解密社会清静号码（SSN）的纪录被泄露，AT&T为此支付1.77亿美元息争金。目今，受影响者（申请人、员工、视察员）需接纳防护步伐：更改AT&T账户密码并阻止重复使用；启用多因素认证；监控财务、信用及通讯异常；小心“AT&T职业”相关垂纶攻击；仅通过官方渠道获取通知，勿点击未履历证链接。

https://hackread.com/everest-ransomware-att-careers-breach/

4. WordPress插件高危误差引发大规模RCE攻击

10月24日，克日，一场针对WordPress网站的大规模攻击运动爆发，攻击者使用GutenKit和Hunk Companion插件的严重旧清静误差实现远程代码执行（RCE）。Wordfence清静公司披露，仅10月8日至9日两天内，其就阻止了针对客户的870万次攻击实验。此次攻击涉及三个高危误差：CVE-2024-9234、CVE-2024-9707和CVE-2024-11972。这些误差均被评定为CVSS 9.8分，允许未经认证的攻击者装置恣意插件，进而引入其他恶意插件实现RCE。只管GutenKit 2.1.1和Hunk Companion 1.9.0已修复误差，但许多网站仍在使用易受攻击的旧版本。攻击者通过GitHub托管名为“up”的恶意ZIP存档，内含混淆剧本，可执行文件上传/下载/删除、权限修改等操作，并伪装成All in One SEO插件组件自动以治理员身份登录，以维持长期性、窃取或删除数据、嗅探私人信息。若无法直接获取治理后门，攻击者还会装置易受攻击的“wp-query-console”插件举行未经认证的RCE。

https://www.bleepingcomputer.com/news/security/hackers-launch-mass-attacks-exploiting-outdated-wordpress-plugins/

5. 新型CoPhish攻击通过Copilot Studio署理窃取OAuth令牌

10月25日，Datadog清静实验室研究职员发明一种名为“CoPhish”的新型网络垂纶手艺，其使用微软Copilot Studio署理通过正当Microsoft域发送诓骗性OAuth赞成请求。该手艺依赖社会工程学，但微软已证实将通过未来产品更新修复基础缘故原由，并评估特殊包管步伐强化治理与赞成体验。CoPhilot Studio署理是可自界说的谈天机械人，支持“演示网站”功效在微软域名共享，正当URL特征易诱导用户信托。攻击者可建设恶意多租户应用，设置登录主题指向身份验证提供程序，通过Burp Collaborator URL捕获会话令牌。当用户点击恶意登录按钮时，重定向可指向恣意恶意URL，而OAuth赞成事情流URL仅为攻击路径之一。微软建议客户通过限制治理权限、镌汰应用权限及实验治理政策防御CoPhish。Datadog增补清静建议，包括禁用用户应用建设默认值、通过Entra ID与Copilot署理事务监控应用赞成、实验强应用赞成战略填补微软默认设置误差。

https://www.bleepingcomputer.com/news/security/new-cophish-attack-steals-oauth-tokens-via-copilot-studio-agents/

6. 俄罗斯联邦兽医和植物检疫监视局遭DDoS攻击

10月25日，俄罗斯联邦兽医和植物检疫监视局（Rosselkhoznadzor）于22日遭遇大规模定向DDoS攻击，导致其农产品及化学品跟踪系统VetIS和Saturn下线，天下食物运输链陷入杂乱。该机构隶属于俄罗斯农业部，认真羁系食物、农产品及化学品的流通清静。攻击直接攻击了Mercury平台（VetIS焦点组成部分），致使肉类、牛奶等动物产品运输所需的强制性电子兽医证书无法签发，大型乳制品及婴儿食物生产商报告运输延误数小时。供应商被迫与零售连锁店协商无电子票据货物的吸收问题，全渠道零售企业协会（AKORT）主席斯坦尼斯拉夫·博格达诺夫体现，多家零售连锁店受系统故障影响，正紧迫调解Mercury系统以维持运营和产品注册。Rosselkhoznadzor在Telegram声明中强调，攻击未威胁数据完整性与神秘性，但系统可能因地理位置或毗连方法泛起暂时不可用。该机构否定一连中止报道，称当日乐成处置惩罚超1450万份电子兽医文件，并强调若爆发更严重中止，此类操作将无法举行。

https://securityaffairs.com/183845/security/russian-rosselkhoznadzor-hit-by-ddos-attack-food-shipments-delayed.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究