立陶宛黑客撒播KMSAuto恶意软件被捕

首页 > 清静研究 > 清静转达 > 清静简讯

立陶宛黑客撒播KMSAuto恶意软件被捕

宣布时间 2025-12-31

1. 立陶宛黑客撒播KMSAuto恶意软件被捕

12月29日，一名29岁立陶宛籍公民因涉嫌开发并撒播熏染280万台系统的剪贴板恶意软件，经国际刑警组织协调从格鲁吉亚引渡至韩国受审。该案件涉及伪装成KMSAuto工具的恶意软件，其外貌功效为不法激活Windows和Office软件，实则潜在加密钱币挟制�？�。据韩国国家警员厅转达，2020年4月至2023年1月间，嫌疑人通过KMSAuto工具向全球用户分发280万份恶意程序。该软件运行时会自动扫描用户剪贴板中的加密钱币地点，并将其替换为攻击者控制的地点，导致受害者在转账时误将资产转入黑客钱包。视察显示，该恶意软件乐成窃取3100个虚拟资产地点用户的约17亿韩元（约120万美元）资产，涉及8400笔生意，并至少攻击了六家加密钱币生意所。案件视察始于2020年8月，韩国警方接获加密挟制案件报告后，发明KMSAuto工具保存恶意代码植入。通过追踪被盗资金流向，团结国际刑警组织锁定嫌疑人身份。2024年12月，韩方在立陶宛实验突袭行动，缴获条记本电脑、手机等22件电子装备，从中提取到要害犯法证据。最终，嫌疑人在2025年4月自主陶宛前往格鲁吉亚途中被捕。

https://www.bleepingcomputer.com/news/security/hacker-arrested-for-kmsauto-malware-campaign-with-28-million-downloads/

2. 黑客使用遗留误差提倡超250万次恶意请求

12月29日，圣诞节时代，一场由简单威胁攻击者提倡的大规模协同攻击席卷全球。该攻击者依托日本境内的基础设施，针对Adobe ColdFusion服务器及其他47种手艺平台提倡超250万次恶意请求，目的涵盖近20年间的遗留误差及2023-2024年披露的10余个高危CVE误差。圣诞节当日攻击流量峰值占比高达68%，攻击者显然有意使用节沐日企业清静团队人手缺乏、防护能力下降的监控空档期。此次攻击波及全球20个国家的ColdFusion服务器，相关恶意请求约5940次，其中美国地区攻击会话占比达68%。攻击流量主要源自CTG服务器有限公司托管的两个焦点IP地点。在手艺细节上，攻击者借助ProjectDiscovery Interactsh带外测试平台，安排近1万个自力域名吸收攻击回调信息，并通过WDDX反序列化误差触发JNDI/LDAP注入，最终攻击com.sun.rowset.JdbcRowSetImpl组件实现远程代码执行。值得注重的是，针对ColdFusion的攻击仅占整体行动的0.2%。

https://cybersecuritynews.com/coldfusion-servers-under-attack/

3. 罗马尼亚最大能源供应商遭勒索软件攻击

12月29日，圣诞节越日，罗马尼亚最大煤炭能源生产商奥尔特尼亚能源综合体遭遇勒索软件攻击，导致其IT基础设施严重瘫痪。ERP系统、文档治理应用、企业邮件服务及官网等要害系统暂时无法使用，部分运营受影响，但国家能源系统整体运行未受威胁。攻击爆发后，该公司连忙启动应急响应，使用现有备份在新基础设施上重修受影响系统，同时与国家网络清静局、能源部及攻击有组织犯法和恐怖主义局（DIICOT）相助，周全评估事务影响并剖析攻击者是否在加密数据前窃取了敏感信息。现在，该公司已向DIICOT提起刑事诉讼，相关视察正在举行中。此次攻击由Gentlemen勒索软件团伙实验，该组织在其Tor数据泄露网站已新增近50名受害者，但奥尔特尼亚能源综合体尚未被列入，可能仍处于赎金谈判阶段。

https://www.bleepingcomputer.com/news/security/romanian-energy-provider-hit-by-gentlemen-ransomware-attack/

4. CISA要求美政府机构修复MongoBleed高危误差

12月30日，美国网络清静和基础设施清静局（CISA）已强制要求联邦民事行政部分（FCEB）机构在2026年1月19日前修复MongoDB高危误差CVE-2025-14847（命名“MongoBleed”），该误差自2025年12月19日修复后仍被起劲使用。MongoBleed源于MongoDB服务器使用zlib库处置惩罚网络数据包的方法缺陷，允许未经身份验证的攻击者通过低重漂后、无需用户交互的远程攻击窃取敏感数据，包括API/云密钥、会话令牌、内部日志及小我私家身份信息（PII）。Elastic清静研究员Joe Desimone宣布的看法验证（PoC）程序已证实可泄露未打补丁主机的内存数据。据Shadowserver监测，全球超7.4万个袒露在互联网的MongoDB实例可能保存该误差；Censys追踪到超8.7万个IP地点的指纹信息显示其运行未打补丁版本。云清静平台Wiz的遥测数据显示，云情形中42%的可见系统至少有一个保存误差的MongoDB实例，且该误差已被标记为“已被使用”。

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-mongobleed-flaw-actively-exploited-in-attacks/

5. 法国两所大学遭网络攻击致大规模学生数据泄露

12月30日，节日时代，法国里尔大学和格勒诺布尔高等商学院相继遭遇网络攻击，导致数千名学生小我私家数据泄露。据黑客论坛披露，12月29日两校名字泛起在着名犯法论坛，攻击者CZX声称11月入侵格勒诺布尔高等商学院系统，窃取1.35GB敏感数据，涵盖姓名、邮箱、电话、地点、学术配景、IP地点等，影响超40万人，数据疑似源自CRM或营销系统邮件列表，包括学生及外部订阅者信息。同期，LAPSUS$ Group宣称入侵里尔大学，该大学拥有超8万学生，窃取内部标识符、出生日期、行政数据等，影响近2000名学生。该团伙曾与ScatteredSpider、ShinyHunters合并为Scattered LAPSUS$ Hunters，今年被指加入针对Palo Alto Networks、Cloudflare等企业的Salesforce攻击，并声称导致戴尔、Verizon等多家机构数据泄露。

https://cybernews.com/security/french-universities-student-data-hacked/

6. ErrTraffic借“虚伪故障”自动化实验ClickFix攻击

12月30日，一种名为ErrTraffic的新型网络犯法平台在俄语黑客论坛兴起，通过在被入侵网站天生“虚伪故障”自动化执行ClickFix社会工程攻击，转化率高达60%。该工具由假名LenAI的开发者以800美元一次性价钱出售，接纳自托管流量分发系统（TDS）架构，提供用户友好面板、设置选项及实时运动数据监控功效。ClickFix手艺通过伪造可信场景（如系统修复、身份验证）诱骗用户执行危险下令，有用绕过标准清静控制，近年已被网络犯法分子及国家支持行动者普遍接纳。ErrTraffic要求攻击者预先控制或向正当网站注入恶意代码，通过HTML代码行集成。对不切合定位条件的通俗访客，网站行为坚持正常；当访客地理位置、操作系统指纹切合预设条件时，页面DOM会被修改，显示文本损坏、字体符号替换、Chrome虚伪更新提醒或系统字体缺失过失等“视觉故障”，制造页面“损坏”假象。受害者若按“解决计划”操作如装置浏览器更新、下载系统字体、粘贴下令提醒符内容，将触发JavaScript代码向剪贴板写入PowerShell下令，执行后下载恶意有用载荷。

https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究