俄罗斯Coldriver黑客组织部署新型NoRobot恶意软件

首页 > 安全钻研 > 安全传递 > 安全简讯

俄罗斯Coldriver黑客组织部署新型NoRobot恶意软件

颁布功夫 2025-10-23

1. 俄罗斯Coldriver黑客组织部署新型NoRobot恶意软件

10月21日，谷歌威胁谍报团队（GTIG）颁布汇报，告发与俄罗斯联国安全局（FSB）关联的黑客组织Coldriver（别号Star Blizzard、Callisto等）部署了一套新型恶意软件，取代其2025年5月被披露的主力工具LostKeys。该组织自2017年起活跃，以针对非当局组织、前谍报军事人员及北约当局的“凭证垂钓”间谍活动闻名，曾被英国国度网络安全中心指控过问英国政治。新型恶意软件由NoRobot、YesRobot和MaybeRobot三个家族组成，攻击链以“ClickFix风格”垂钓钓饵启动，伪造验证码页面诱导用户通过Windows合法工具rundll32.exe下载NoRobot DLL，其导出函数假装为“humanCheck”以躲避基于剧本的安全监控。NoRobot早期版本选取“分钥加密”机造，部门密钥暗藏在注册表蹊径中，增长解密难度；随后从恶意域名获取Python剧本，解密并启动第一阶段后门YesRobot，但因其需装置Python环境留下痕迹，仅使用两周即被弃用。2025年6月起，Coldriver转向更荫蔽的MaybeRobot，基于PowerShell的后门法式，且无需依赖Python剧本。同期，该组织在“简化版”与“复杂版”习染链间频仍切换。

https://www.infosecurity-magazine.com/news/russian-coldriver-hackers-new/

2. 新加坡官员身份遭仿冒，复杂投资诳骗案曝光

10月21日，网络安全公司Group-IB近日颁布汇报，告发一路针对新加坡居民的大规模诳骗案件。诳骗团伙通过仿冒新加坡总理黄循财、国度安全两全局长尚穆根等高级官员身份，利用经过验证的谷歌告白、虚伪新闻网站及深度伪造视频，诱导受害者进入在毛里求斯注册的表汇投资平台执行诳骗。该诳骗活动选取“本地化定向投放”战术，仅对新加坡IP地址展示谷歌告白，点击后用户会被疏导至52个中央域名，最终跳转至仿冒主流媒体的虚伪页面。这些页面颁布深度伪造视频，如“黄循财总理”为“即不断代”项目站台，或“尚穆根部长”为投资平台背书，以加强可信度。Group-IB调查发现，诳骗背后涉及28个经谷歌验证的告白账户，注册者多来自保加利亚、罗马尼亚等国，共关联119个恶意域名。为躲避监管，诳骗分子选取IP过滤、开发者工具检测及URL参数拦截等技术，确保仅真实新加坡用户可见诳骗内容。受害者提供联系方式后，会被施压投资；提现时则以“行政流程”为由迟延或回绝。据统计，上月共有3808名新加坡人点击恶意告白，其中685人被疏导至诳骗网站。

https://www.infosecurity-magazine.com/news/singapore-officials-investment-scam/

3. 围栏和宠物公司Jewett-Cameron遭勒索软件攻击

10月22日，总部位于俄勒冈州的围栏及宠物解决规划提供商Jewett-Cameron Company近日遭逢网络攻击，导致业务中断与敏感信息被盗。该公司主营狗窝、狗笼、围栏、特种木材及园艺产品，于10月15日检测到IT环境入侵，黑客在其系统中部署了加密和监控软件，造成部门业务利用无法接见，运营碰壁。调查显示，攻击事务涉及双沉勒索软件战术，既加密文件又窃取数据。黑客获取了蕴含IT信息、财政数据及视频会议、电脑屏幕图像的敏感内容，但目前无证据批注员工、客户或供给商的幼我信息遭泄露。公司强调入侵已得到节造，正全力复原受影响系统，并预计11月中旬颁布截至今年8月31日的年度汇报，有关数据网络与分析工作已持续数周。Jewett-Cameron暗示，事务响应成本将由网络安全保险覆盖，但认可中断可能对运营产生沉大影响。

https://www.securityweek.com/fencing-and-pet-company-jewett-cameron-hit-by-ransomware/

4. PhantomCaptcha ClickFix攻击乌克兰战争接济组织

10月22日，近日，一场针对乌克兰处所当拘陌战争接济关键组织（如红十字国际委员会、结合国儿童基金会）的鱼叉式网络垂钓攻击"PhantomCaptcha"发作。该行动持续仅一天，却展示了高度精密的技术链条：攻击者假意乌克兰总统办公室发送含恶意PDF的邮件，诱导点击假装成Zoom平台的垂钓链接，最终通过伪造的"我不是机械人"CAPTCHA验证执行ClickFix攻击。攻击流程分为三阶段：首先，受害者点击虚伪Zoom会议链接后，浏览器会天生客户端标识符并通过WebSocket衔接至攻击者服务器。若标识符匹配，用户将被沉定向至合法Zoom会议进行实时社会工程攻击；若不匹配，则需实现乌克兰语的伪造CAPTCHA验证，通过复造粘贴"令牌"执行PowerShell号令，下载并运行恶意剧本"cptch"。该剧本会网络系统信息并回传至C2服务器，最终部署轻量级WebSocket远程接见木马（RAT），实现远程号令执行与数据泄露。技术溯源指向俄系威胁组织：WebSocket RAT托管于俄罗斯基础设施，成人主题攻击工具与俄/白俄罗斯开发存在关联。

https://www.bleepingcomputer.com/news/security/phantomcaptcha-clickfix-attack-targets-ukraine-war-relief-orgs/

5. Adobe Commerce SessionReaper缝隙遭大规模攻击

10月22日，Adobe于9月8日针对旗下Commerce平台（原Magento）颁布垂危安全忠告，指出存在一个被定名为SessionReaper（CVE-2025-54236）的严沉不当输入验证缝隙。该缝隙影响2.4.9-alpha2、2.4.8-p2等多个版本及更早版本，攻击者无需用户交互即可通过Commerce REST API收受客户账户，实现齐全节造会话权限。电子商务安全公司Sansec随后证实，该缝隙已被视为Adobe Commerce汗青上最严沉的安全缝隙之一，并在垂危补丁颁布约六周后进入活跃利用阶段。Sansec监测数据显示，自补丁颁布以来，已纪录数百次针对未建复商店的攻击尝试。仅在最近一次观测中，Sansec Shield系统就拦截了来自五个IP地址的250余次攻击，攻击伎俩蕴含植入PHP webshell或执行phpinfo探测以网络系统配相信息。值妥贴心的是，62%的Magento在线商店尚未装置Adobe的安全更新，五分之三的商店仍露出在风险中。Sansec钻研人员指出，缝隙利用的活跃杜纂Searchlight Cyber颁布的技术分析汇报存在关联，该汇报可能进一步刺激了攻击尝试的增长。

https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-sessionreaper-flaw-in-adobe-magento/

6. 伊朗MuddyWater部署Phoenix v4后门窃取敌灾数据

10月22日，伊朗当局支持的MuddyWater黑客组织（别号Static Kitten、Mercury、Seedworm）近期针对中东及北非地域100余个敌灾实体提议攻击，指标蕴含大使馆、表交使团、领事馆等主题思构。这次攻击自2025年8月19日起，通过NordVPN接见受习染账户执行网络垂钓，向指标发送含恶意Word文档的邮件，诱骗用户启用宏代码以解码并写入FakeUpdate恶意软件加载法式至磁盘。Group-IB汇报指出，8月24日攻击者关关服务器及C2组件，可能进入新阶段，依赖其他工具网络信息。这次部署的Phoenix后家世4版（v4）选取AES加密，通过批改Windows注册表成立悠久性，并新增基于COM的悠久机造。该后门支持65-85号号令集，涵盖睡眠、文件上传/下载、启动shell及调整轮询距离等职能，可网络系统信息并通过WinHTTP衔接C2服务器。此表，攻击中使用了自界说信息窃取法式，针对浏览器数据库提取痛处及主密钥。Group-IB还发现MuddyWater在C2基础设施中部署了PDQ软件部署工具及Action1 RMM远程治理工具，这些工具此前曾在伊朗黑客攻击中被使用。

https://www.bleepingcomputer.com/news/security/iranian-hackers-targeted-over-100-govt-orgs-with-phoenix-backdoor/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研