微软结合Cloudflare粉碎RaccoonO365网络垂钓基础设施

首页 > 安全钻研 > 安全传递 > 安全简讯

微软结合Cloudflare粉碎RaccoonO365网络垂钓基础设施

颁布功夫 2025-09-18

1. 微软结合Cloudflare粉碎RaccoonO365网络垂钓基础设施

9月17日，微软数字犯罪部门与Cloudflare合作，于2025年9月查封了RaccoonO365使用的338个域名，彻底粉碎了这已经济驱动型威胁组织的技术基础设施。该组织自2024年7月起通过“网络垂钓即服务（PhaaS）”工具包，从94个国度窃取超5000个Microsoft 365凭证，其订阅模式（30天355美元、90天999美元）使低技术门槛犯罪者能大规模提议攻击。RaccoonO365（微软追踪为Storm-2246）的攻击常假装成Microsoft、DocuSign等可信品牌，通过诓骗邮件诱导受害者输入凭证，常作为恶意软件和勒索软件的预兆。其防御躲避战术蕴含使用合法工具Cloudflare Turnstile作为CAPTCHA，以及通过Cloudflare Workers剧本执行机械人检测，确保仅指标用户可接见垂钓页面。2024年9月以来，该工具已针对超2300个美国组织提议攻击，单日可输入9000个指标邮箱，并宣称能绕过多成分认证。幕后主谋为尼日利亚人Joshua Ogundipe，其通过850人Telegram频路推广工具，获超10万美元加密钱币收入。

https://thehackernews.com/2025/09/raccoono365-phishing-network-shut-down.html

2. 勒索组织利用受损OAuth令牌窃取超15亿条Salesforce数据

9月17日，以ShinyHunters、Scattered Spider和Lapsus为主题的“Scattered Lapsus$ Hunters”勒索组织，通过受损的Salesloft Drift OAuth令牌，从760家公司窃取了超过15亿条Salesforce纪录，涉及客户、联系人、商机、用户及案例等主题对象表。其中，案例表蕴含科技公司客户提交的支吃毂敏感信息，为攻击者提供了进一步横向渗入的“奥秘”（如AWS接见密钥、Snowflake令牌等）。攻击蹊径始于今年3月：威胁行为者入侵Salesloft的GitHub存储库获取私有源代码，利用TruffleHog工具扫描发现Drift平台OAuth令牌，进而通过第三方平台衔接Salesforce事俘，实现大规模数据窃取。被盗数据被用于勒索，迫使企业支付赎金以预防公开泄露。Google威胁谍报（Mandiant）将此活动追踪为UNC6040和UNC6395，并指出攻击者会分析案例数据挖掘暗藏凭证，以入窃熹他环境。FBI已颁布有关IOC忠告，但Salesloft尚未回应数据量及公司总数问题，仅新闻人士证实数字正确。为防备此类攻击，Salesforce建议客户启用多成分认证（MFA）、执行最幼特权准则，并严格治理第三方利用衔接。

https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/

3. 新型恶意软件Raven Stealer通过Telegram实时窃取数据

9月17日，Point Wild的Lat61威胁谍报团队发现名为Raven Stealer的新型恶意软件，该恶意软件通过地下论坛及盗版软件绑缚传布，选取Delphi与C++编写，以幼巧急剧为特点。其主题攻击伎俩为“过程挖空”（process hollowing）技术，齐全在内存中运行而不写入硬盘，假装成正常浏览器法式以躲避传统杀毒软件检测。Raven Stealer针对Chrome、Edge等主流浏览器，窃取密码、Cookie、支付信息及保留的敏感数据。更危险的是，它通过Telegram机械人将数据实时传输至攻击者，形成“即盗即传”的威胁链条。攻击者使用简易构建工具天生唯一定名的加密攻击文件，入侵后网络屏幕截图与数据至ZIP文件尝试发送，只管测试中因机械人令牌问题传输失败，但数据泄露风险依然存在。为防备此类威胁，专家建议：利用具备实时防护的最新版防病毒软件；预防下载盗版软件；审慎点击可疑链接或附件。

https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/

4. SonicWall忠告客户因防火墙配置备份泄露需沉置痛处

9月17日，网络安全公司SonicWall近日颁布垂危通知，要求客户沉置有关痛处，因其MySonicWall账户中的防火墙配置备份文件在安全缝隙中遭露出，可能使威胁行为者利用备份信息接见设备敏感服务。事务产生后，SonicWall当即堵截攻击者系统接见权限，并结合网络安全机构及法律部门发展调查。据SonicWall披露，泄露的备份文件蕴含加密密码及可能辅助攻击者利用防火墙的信息。只管文件已加密，但攻击者仍可能通过暴力破解获取云备份API服务权限，进而接见设备配置。这次事务影响领域有限，仅波及不到5%的SonicWall防火墙设备，这些设备在云端存储了备份首选项文件，而攻击者正是通过暴力攻击针对这些文件的API服务执行入侵。为降低风险，SonicWall颁布具体指南，建议治理员采取结构化措施：首先禁用或限度WAN接见服务，随后沉置用户、VPN账户及服务使用的所有痛处、API密钥和身份验证令牌，并更新其他关联系统中的共享密钥和加密密钥。

https://www.bleepingcomputer.com/news/security/sonicwall-warns-customers-to-reset-credentials-after-MySonicWall-breach/

5. TA558利用AI天生网络垂钓攻击酒店业

9月17日，俄罗斯卡巴斯基尝试室追踪发现，威胁行为者TA558（关联RevengeHotels集群）自2025年夏季起针对巴西及西班牙语市场酒店提议新型攻击，通过AI天生的网络垂钓邮件传布Venom RAT等远程接见木马，窃取客人及在线观光社（如Booking.com）的信誉卡数据。攻击链以发票、酒店预约或求职申请为钓饵的葡萄牙语/西班牙语垂钓邮件启动，内含AI天生的JavaScript加载器及PowerShell下载器。剧本注解丰硕、体式规范，切合大型说话模型（LLM）天生特点，可加载后续剧本实现多阶段习染。最终载荷蕴含基于开源Quasar RAT刷新的Venom RAT贸易工具，具备数据窃取、反向代理、防终止�；ぜ坝凭没澳�。该恶意软件通过批改进程自主接见节造列表（DACL）褫夺安全过程权限，并每50毫秒循环扫描过程列表，终止安全分析师常用的监控工具。若以治理员权限运行，可设置SeDebugPrivilege令牌象征为系统关键过程，强造屏幕常亮防睡眠，并通过USB驱动器传布、禁用Microsoft Defender及篡改注册表维持存在。

https://thehackernews.com/2025/09/ta558-uses-ai-generated-scripts-to.html

6. 蒂芙尼遭数据泄露，超2500名客户礼物卡信息被盗

9月17日，美国奢侈珠宝巨头蒂芙尼公司于2025年5月初遭逢数据泄露事务，攻击者入窃熹系统导致超2500名客户身份及礼物卡信息被窃取。凭据蒂芙尼向缅因州总检察长办公室提交的信息及数据泄露通知，泄露内容蕴含客户姓名、地址、电子邮件、电话号码、销售数据、客户参考编号及蒂芙尼礼物卡号与PIN码。这些信息可能被用于盗刷礼物卡采办珠宝，或成为网络垂钓攻击的钓饵，诱骗客户泄露更多敏感数据。蒂芙尼在发现未经授权接见后，已启动由表部网络安全公司主导的调查，并强调“无证据批注数据被进一步滥用”。然而，这并非该公司初次面对数据安全问题，5月底，其韩国分公司曾因供给商数据泄露导致客户信息表流。值妥贴心的是，蒂芙尼母公司LVMH旗下另一品牌迪奥此前也遭逢类似事务，而开云集团近期更被曝出740万份客户数据泄露，凸显奢侈品格业成为网络犯罪沉灾区。

https://cybernews.com/security/tiffany-data-breach-gift-cards-exposed/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研