Storm-0249通过EDR与Windows工具实验隐藏攻击

首页 > 清静研究 > 清静转达 > 清静简讯

Storm-0249通过EDR与Windows工具实验隐藏攻击

宣布时间 2025-12-11

1. Storm-0249通过EDR与Windows工具实验隐藏攻击

12月9日，网络清静公司ReliaQuest克日披露，名为Storm-0249的初始会见署理正通过滥用端点检测与响应（EDR）解决计划及受信托的Microsoft Windows适用程序，实验高度隐藏的恶意软件加载与长期化操作，为后续勒索软件攻击铺路。该组织已摒弃古板大规模网络垂纶，转而接纳更先进的手艺手段，即便防御方详细纪录其行为，仍难以有用应对。攻击始于ClickFix社会工程攻击：诱骗用户在Windows运行对话框中粘贴并执行curl下令，下载具备SYSTEM权限的恶意MSI包。随后，从伪造Microsoft域获取的恶意PowerShell剧本直接注入系统内存，全程不落磁盘以规避防病毒检测。MSI文件释放的恶意DLL（如SentinelAgentCore.dll）被战略性安排在正当SentinelOne EDR组件的SentinelAgentWorker.exe旁，通过DLL侧加载手艺在受信托的特权EDR历程中执行，实现操作系统更新后仍可维持的隐藏长期性。入侵后，攻击者使用SentinelOne组件团结reg.exe、findstr.exe等正当Windows工具网络系统标识符，并通过加密HTTPS C2流量建设通讯。

https://www.bleepingcomputer.com/news/security/ransomware-iab-abuses-edr-for-stealthy-malware-execution/

2. “蜘蛛侠”网络垂纶工具包席卷欧洲金融界

12月9日，网络威胁剖析公司Varonis克日披露，一款名为“蜘蛛侠”的全栈式网络垂纶工具包正在暗网普遍撒播，使非手艺攻击者也能对欧洲主要银行及加密钱币平台提倡大规模精准攻击。该工具包被研究职员称为“年度最危险”威胁之一，因其无需编程知识即可快速天生像素级克隆的金融机构登录页面，笼罩德国、比利时等五国数十家机构，包括德意志银行、荷兰国际集团（ING）、CaixaBank等主流银行及加密钱包服务商，目的用户群体重大。攻击流程极简化：攻击者仅需选择目的银行，启动克隆程序，发送与官方完全一致的诱饵信息即可实验垂纶。工具包内置加密助记词窃取�？椋昙亲耪┢侄蜗蚧煜蜕�。其最危险特征在于实时信息阻挡能力——受害者输入登录信息后，攻击者可连忙获取数据，并触发二次界面网络信用卡号、OTP或PhotoTAN码等敏感信息。单次会话即可窃取全名、出生日期、信用卡详情等完整身份信息，足以完全接受账户并实验身份偷窃。为规避清静检测，该工具包接纳地理封闭手艺限制非目的国家会见，并屏障已知清静公司网络流量，有用逃避自动扫描和人工剖析。

https://hackread.com/spiderman-phishing-kit-european-banks-credential-theft/

3. 印度曼迪公共门店250万客户信息泄露挂售

12月9日，克日，网络犯法论坛曝光一起针对印度喜马偕尔邦曼迪公共汽车门店的疑似数据泄露事务。攻击者宣称于今年入侵该公司客户关系治理系统后台，窃取了包括姓名、家庭住址、邮政编码、电话号码、电子邮箱等在内的250万条经销商及客户小我私家信息，并果真挂牌售卖。阻止现在，涉事公司尚未宣布官方声明确认事务真实性。数据样本仅包括8条信息，真实性暂无法核实。据视察，该攻击者于今年4月加入该论坛，此前曾多次出售企业数据并附带样本，此次事务若属实，被盗数据可能被用于构建用户身份画像，为后续社会工程学攻击（如垂纶诈骗、身份冒用）提供精准信息，显著提升受害者被二次攻击的危害。值得注重的是，公共汽车及其经销商已非首次成为网络犯法目的。今年10月，公共集团法国分公司被麒麟勒索软件团伙列入泄密网站；6月，公共集团还泛起在Stormous勒索软件卡塔尔的暗网泄密网站。

https://cybernews.com/security/volkswagen-dealership-data-breach-india/

4. DroidLock恶意软件会锁定安卓装备并索要赎金

12月10日，一种名为DroidLock的新型安卓恶意软件近期被发明，其通过多重攻击手段对西班牙语用户实验勒索与数据窃取。该恶意软件通过恶意网站推广冒充正当软件包的虚伪应用，熏染历程始于诱骗用户装置包括现实恶意软件的二级有用载荷。装置后，恶意程序会请求装备治理员和辅助功效权限，从而执行包括屏幕锁定、数据擦除、PIN码/密码/生物识别数据修改等15项下令，甚至可远程通过VNC完全控制装备。DroidLock的焦点威胁在于其勒索机制与数据窃取能力。勒索�？橥ü齏ebView显示赎金要求，指示受害者通过Proton邮箱联系攻击者，并威胁24小时内未支付赎金将永世销毁文件。只管该软件不直接加密文件，但通过销毁文件的威胁抵达与勒索软件相同的效果。同时，其通过屏幕笼罩层窃取用户解锁图案，团结VNC远程会见实现装备控制。别的，该软件还能会见短信、通话纪录、联系人，甚至执行录音和删除数据等操作。

https://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/

5. Docker Hub镜像被发明泄露凭证和身份验证密钥

12月10日，威胁情报公司Flare近期扫描发明，Docker Hub平台超10,000个容器镜像保存敏感信息泄露问题，涉及生产系统凭证、CI/CD数据库密钥及AI模子令牌等，影响100余家组织，包括财产500强企业、国家银行及10余家金融机构。作为全球最大容器注册表，Docker Hub本应包管开发者清静共享即用型镜像，但本次事务袒露其清静误差的严重性。研究显示，11月上传的镜像中，10,456个保存密钥泄露，其中42%的镜像至少袒露5个敏感数值。最常泄露的是OpenAI、HuggingFace等AI模子的会见令牌，总量达4,000个。这些密钥可被用于完全会见云情形、Git客栈、CI/CD系统及支付集成等焦点基础设施，组成重大清静危害。泄露组织多漫衍于软件开发、市场、工业及AI领域。值得注重的是，超四成泄露源自"影子IT"账户，这些账户往往缺乏企业级清静监控。

https://www.bleepingcomputer.com/news/security/over-10-000-docker-hub-images-found-leaking-credentials-auth-keys/

6. WinRAR高危路径遍历误差遭多国APT组织使用

12月10日，美国网络清静和基础设施清静局（CISA）于2025年12月将WinRAR的CVE-2025-6218误差列入已知使用误差目录，该误差已证实被多个高级一连性威胁（APT）组织起劲使用。该误差为路径遍历类型，CVSS评分7.8，允许攻击者在用户翻开恶意文件或会见恶意页面时执行恣意代码，仅影响Windows系统版本。RARLAB已在2025年6月宣布的WinRAR 7.12中修复此误差，但此前已遭普遍使用。据清静厂商剖析，俄罗斯GOFFEE组织（又名Paper Werewolf）曾团结CVE-2025-6218与CVE-2025-8088（评分8.8）提倡网络垂纶攻击；南亚Bitter APT组织则通过恶意RAR压缩包植入Normal.dotm全局模板，绕过Word宏限制实现长期化后门；俄罗斯Gamaredon组织则针对乌克兰军事、政府机构提倡鱼叉式网络垂纶，使用该误差安排Pteranodon恶意软件，甚至在2025年11月首次实验破损性行动，投放GamaWiper擦除器。

https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究