玛莎百货确认社会工程学引发大规模勒索软件攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

玛莎百货确认社会工程学引发大规模勒索软件攻击

颁布功夫 2025-07-09

1. 玛莎百货确认社会工程学引发大规模勒索软件攻击

7月8日，近日，英国零售巨头玛莎百货（M&S）遭逢一路由复杂社会工程攻击引发的网络安全事务，最终演变为DragonForce勒索软件攻击。该公司董事长阿奇·诺曼在英国议会听证会上披露，攻击者通过精准假意与玛莎百货合作的第三方实体员工，诱骗IT表包服务商塔塔征询服务公司沉置员工密码，成功侵入其网络。这次社会工程伎俩被诺曼称为"极其复杂的假意行为"，攻击者不仅伪造身份信息，还利用第三方服务作为跳板，凸显供给链安全风险。调查显示，威胁行为者侵入网络后部署了源自亚洲的DragonForce勒索软件。只管部门媒体误将该团伙与马来西亚亲巴勒斯坦黑客组织"DragonForce Malaysia"关联，但据安全机构追踪，这次攻击现实由与Scattered Spider有关的威胁行为者执行，选取双沉勒索战术。面对勒索威胁，玛莎百货采取"不直接接触攻击者"的战术，委托专业交涉团队处置。诺曼在听证会上强调，企业已与英国国度犯罪局（NCA）等法律机构充分合作，但回绝泄漏是否支付赎金，仅暗示"公开细节不切合公家利益"。值妥贴心的是，只管存在数据泄露，DragonForce勒索网站尚未颁布玛莎百货有关数据，暗示可能通过交涉达成解决规划。

https://www.bleepingcomputer.com/news/security/mands-confirms-social-engineering-led-to-massive-ransomware-attack/

2. Chrome与Edge商店惊现百万级恶意扩大

7月8日，谷歌Chrome网上利用店及微软Edge官方商店近日曝出大规模恶意扩大法式事务，涉及近30款假装成实用工具的恶意软件，总习染用户超过230万。据安全公司Koi Security披露，这些扩大法式以色彩选择器、VPN、表情符号键盘、音量加强器等日常职能为幌子，在Chrome商店累计下载量达170万次，Edge商店有关扩大下载量亦突破60万次。钻研人员发现，无数恶意扩大最初以合法面目上架，通过数百条正面评价和显著展示地位误导用户。其恶意职能通过后续更新悄然植入，谷歌的自动更新机造会在用户无感知情况下部署最新版本，无需任何授权。恶意代码利用Chrome扩大API在后盾运行监听法式，当用户接见新网页时，自动捕获URL并连同唯一跟踪ID发送至境表服务器，存在劫持浏览活动、沉定向至垂钓网站或恶意链接的风险。只管测试中未现实触发沉定向，但数据泄露风险已引发安全警报。

https://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-with-17m-installs-found-on-web-store/

3. 新型RondoDox僵尸网络利用物联网缝隙构建隐形攻击网络

7月8日，网络安全钻研人员近期发现一种名为RondoDox的新型僵尸网络，正通过针对TBK数字视频录像机（DVR）和Four-Faith路由器的安全缝隙，将大量物联网设备转化为荫蔽攻击节点。该恶意软件活动聚焦于两个已被公开披露的号令注入缝隙：CVE-2024-3721和CVE-2024-12856，这些设备因持久部署在零售店、仓库等无人监控环境，且常通过过期固件或谬误配置露出于互联网，成为梦想攻击指标。技术分析显示，RondoDox通过多架构植入器扩大习染领域，初始阶段针对ARM/MIPS架构的Linux系统，随后通过shell剧本下载法式扩大至Intel 80386、PowerPC、AArch64等更多架构。恶意软件启动后，会忽略系统终止信号、断根号令执行汗青，并成立悠久化机造，确保沉启后自动运行。RondoDox选取多沉反检测技术：通过仿照Valve、Minecraft、Roblox蹬孜戏平台及Discord、OpenVPN等工具的流量特点融入正常网络活动；使用XOR加密配置数据和定造库躲避传统入侵检测系统（IDS）；同时终止wget、curl等网络工具及Wireshark等分析过程，确保操作隐秘性。最终，恶意软件会联系表部服务器，通过HTTP/UDP/TCP和谈提议DDoS攻击。

https://thehackernews.com/2025/07/rondodox-botnet-exploits-flaws-in-tbk.html

4. APT36组织提议针对印度Linux系统的复杂网络间谍活动

7月8日，网络安全公司Cyfirma近日披露，疑似由巴基斯坦APT36（又称“通明部落”）提议的网络间谍活动正将锋芒对准印度国防有关机构，初次选取专门针对Linux环境的恶意软件，标志取该组织攻击能力的显著升级。这次攻击聚焦于运行BOSS Linux的系统，这一基于Debian的印度国产Linux刊行版被宽泛用于当局机构，凸显攻击者对关键基础设施的精准定位。攻击者通过精心设计的网络垂钓邮件传布恶意载荷，邮件附件为假装成“Cyber-Security-Advisory.zip”的压缩文件，内含一个名为“.desktop”的Linux快捷方式文件。当用户打开该文件时，系统会同时执行两项操作：前台自动下载并展示一个看似正常的PowerPoint文件以分散把稳力，后盾则奥秘运行名为“BOSS.elf”的ELF二进造恶意软件。该恶意法式使用Go说话编写，是攻击的主题载荷，旨在入侵主机并成立悠久化接见。技术分析显示，BOSS.elf会尝试衔接IP地址101.99.92.182的12520端口，并与域名sorlastore.com通讯，该域名已被确以为APT36针对印度国防部门的恶意基础设施。

https://hackread.com/pakistan-transparent-tribe-indian-defence-linux-malware/

5. 新型Batavia间谍软件借垂钓邮件入侵俄罗斯工业企业

7月7日，自2024年7月起，一场针对俄罗斯工业企业的定向网络间谍活动持续升级，其主题载体为新型Batavia间谍软件�？ò退够⑹允易纷俜⑾�，该攻击自2025年3月进入活跃期，通过假装成合同文件的垂钓邮件传布恶意.vbe文件链接，已导致俄罗斯数十家机构超过100名用户受影响。攻击始于假装成合同或附件的恶意.vbe文件链接，点击链接下载VBE剧本，其网络系统信息并检索恶意软件文件，查抄操作系统版本执行有效载荷并发送数据到C2服务器，且使用定造参数治理习染阶段躲避检测。在攻击链第二阶段，WebView.exe恶意软件下载并显示虚伪合同，监督系统，网络系统日志等并定期截图发送到新C2服务器，下载新恶意软件阶段并设置启动快捷方式。最后阶段，javav.exe扩大攻击领域，针对更多文件类型传输到C2服务器，可更改C2地址、实现UAC绕过来下载/执行新有效载荷，通讯加密且通过文件哈希预防沉复上传。

https://securityaffairs.com/179699/malware/new-batavia-spyware-targets-russian-industrial-enterprises.html

6. 伊朗关联组织BladedFeline对准伊拉克当局系统

7月7日，网络安全机构ESET披露，与伊朗存在亲昵关联的APT组织BladedFeline正对伊拉克中央当拘陌库尔德自治区当局（KRG）执行持久网络间谍活动。钻研证实，BladedFeline自2017年初次渗入库尔德表交系统以来，持续开发新型攻击工具。最新活动中，该组织部署了�？榛褚馊砑准�，主题组件蕴含：通过受损微软Exchange邮箱账户收发指令的"Whisper"后门，以及拥有革命性荫蔽机造的"PrimeCache"恶意IIS�？�，攻击工具链还蕴含Laret与Pinar两款反向隧路工具，以及多阶段渗入组件。该套件赋予攻击者四项主题能力：持久维持高价值指标系统接见权限、通过加密通讯躲避监测、利用合法Webmail账户远程执行指令、将恶意活动嵌入可折服务器过程实现深度隐匿。技术溯源显示，BladedFeline与伊朗国度级黑客组织OilRig存在强关联性，其恶意软件职能设计与OilRig标志性后门RDAT高度类似，攻击基础设施存在沉叠，战术指标均聚焦中东地缘政治谍报网络。ESET评估以为，该组织极可能为OilRig的战术子单元。

https://www.infosecurity-magazine.com/news/iran-hacking-group-targets-middle/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研