APT36利用DeskRAT恶意软件攻击印度当局

首页 > 安全钻研 > 安全传递 > 安全简讯

APT36利用DeskRAT恶意软件攻击印度当局

颁布功夫 2025-10-27

1. APT36利用DeskRAT恶意软件攻击印度当局

10月24日，近日，巴基斯坦国度支持的黑客组织Transparent Tribe（APT36）针对印度敌灾实体提议鱼叉式网络垂钓攻击，传布基于Golang的DeskRAT恶意软件。该攻击链通过含ZIP附件或Google Drive链接的垂钓邮件执行，利用Mozilla Firefox显示钓饵PDF文件的同时执行主载荷。DeskRAT通过WebSocket成立C2衔接，支持ping、heartbeat等五种号令，并选取systemd服务、cron作业等四种悠久性步骤。其C2服务器选取隐形设计，未呈此刻公开NS纪录中。这次活动一连了CYFIRMA此前披露的攻击模式，并关联到跨平台后门StealthServer。该后门存在Windows三版本及Linux两变种：Windows-V3版本选取WebSocket通讯，与DeskRAT职能一致；Linux变种则通过HTTP通讯，具备文件浏览、上传及执行能力，可从根目录递归搜索特定扩大名文件并加密传输。

https://thehackernews.com/2025/10/apt36-targets-indian-government-with.html

2. Windows Server WSUS高危缝隙遭野表利用

10月24日，近日，网络安全领域聚焦于编号为CVE-2025-59287的高危远程代码执行缝隙，该缝隙影响启用了Windows Server更新服务（WSUS）服务器角色的Windows Server系统，尤其是作为组织内其他WSUS服务器更新源的服务器。攻击者可无需特权或用户交互，远程利用此缝隙以SYSTEM权限执行恶意代码，并可能在WSUS服务器间横向传布。微软已针对所有受影响版本颁布带表安全更新，并强烈建议IT治理员尽快部署。对于无法当即更新的系统，微软提供了一时解决规划，如禁用WSUS服务器角色。缝隙公开后，HawkTrace Security颁布了不允许执行肆意号令的概想验证（PoC）代码，但Eye Security和Huntress Labs随即观察到野表利用尝试。Eye Security汇报至少一名客户系统遭攻击，且攻击手法与HawkTrace的PoC分歧；Huntress则发现自10月23日起，针对露出8530/8531端口的WSUS事俘的攻击，攻击者通过PowerShell号令窥伺内部Windows域并将数据发送至webhook。Huntress指出，约25台主机易受攻击，但预计利用率较低，因WSUS通常不露出于公网。

https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-windows-server-wsus-flaw-in-attacks/

3. AT&T招聘平台遭Everest勒索软件组织攻击

10月24日，Everest勒索软件组织在其暗网数据泄露网站颁布针对AT&T Careers平台的勒索信息，宣称把握576,686条与该电信巨头招聘平台有关的幼我纪录，并设置四天后公开数据的倒计时。该条款被密码�；�，要求AT&T代表在时限内“按批示操作”，不然数据将被公开。Everest以颁布被盗数据库及勒索要求闻名，其泄密网站虽今年遭粉碎但仍活跃，受害者名单持续更新。AT&T尚未证实这次事务，但该公司汗青数据泄露频发：2021年8月ShinyHunters黑客组织窃取7000万客户数据并销售，AT&T直至2024年4月才认可；2025年6月，8600万条含解密社会安全号码（SSN）的纪录被泄露，AT&T为此支付1.77亿美元和解金。当前，受影响者（申请人、员工、观察员）需采取防护措施：更改AT&T账户密码并预防沉复使用；启用多成分认证；监控财政、信誉及通讯异常；警惕“AT&T职业”有关垂钓攻击；仅通过官方渠路获取通知，勿点击未经验证链接。

https://hackread.com/everest-ransomware-att-careers-breach/

4. WordPress插件高危缝隙引发大规模RCE攻击

10月24日，近日，一场针对WordPress网站的大规模攻击活动发作，攻击者利用GutenKit和Hunk Companion插件的严沉旧安全缝隙实现远程代码执行（RCE）。Wordfence安全公司披露，仅10月8日至9日两天内，其就阻止了针对客户的870万次攻击尝试。这次攻击涉及三个高危缝隙：CVE-2024-9234、CVE-2024-9707和CVE-2024-11972。这些缝隙均被评定为CVSS 9.8分，允许未经认证的攻击者装置肆意插件，进而引入其他恶意插件实现RCE。只管GutenKit 2.1.1和Hunk Companion 1.9.0已建复缝隙，但很多网站仍在使用易受攻击的旧版本。攻击者通过GitHub托管名为“up”的恶意ZIP存档，内费解淆剧本，可执行文件上传/下载/删除、权限批改等操作，并假装成All in One SEO插件组件自动以治理员身份登录，以维持悠久性、窃取或删除数据、嗅探个人信息。若无法直接获取治理后门，攻击者还会装置易受攻击的“wp-query-console”插件进行未经认证的RCE。

https://www.bleepingcomputer.com/news/security/hackers-launch-mass-attacks-exploiting-outdated-wordpress-plugins/

5. 新型CoPhish攻击通过Copilot Studio代理窃取OAuth令牌

10月25日，Datadog安全尝试室钻研人员发现一种名为“CoPhish”的新型网络垂钓技术，其利用微软Copilot Studio代理通过合法Microsoft域发送诓骗性OAuth赞成要求。该技术依赖社会工程学，但微软已证实将通过将来产品更新建复底子原因，并评估额表保险措施强化治理与赞成履历。CoPhilot Studio代理是可自界说的谈天机械人，支持“演示网站”职能在微软域名共享，合法URL个性易诱导用户信赖。攻击者可创建恶意多租户利用，配置登录主题指向身份验证提供法式，通过Burp Collaborator URL捕获会话令牌。当用户点击恶意登录按钮时，沉定向可指向肆意恶意URL，而OAuth赞成工作流URL仅为攻击蹊径之一。微软建议客户通过限度治理权限、削减利用权限及执行治理政策防御CoPhish。Datadog补充安全建议，蕴含禁用用户利用创建默认值、通过Entra ID与Copilot代理事务监控利用赞成、执行强利用赞成战术添补微软默认配置缝隙。

https://www.bleepingcomputer.com/news/security/new-cophish-attack-steals-oauth-tokens-via-copilot-studio-agents/

6. 俄罗斯联国兽医和植物检疫监督局遭DDoS攻击

10月25日，俄罗斯联国兽医和植物检疫监督局（Rosselkhoznadzor）于22日遭逢大规模定向DDoS攻击，导致其农产品及化学品跟踪系统VetIS和Saturn下线，全国食品运输链陷入混乱。该机构从属于俄罗斯农业部，掌管监管食品、农产品及化学品的流通安全。攻击直接冲击了Mercury平台（VetIS主题组成部门），以至肉类、牛奶等动物产品运输所需的强造性电子兽医证书无法签发，大型乳制品及婴儿食品出产商汇报运输延误数幼时。供给商被婆纂零售连锁店协商无电子单据货物的接管问题，全渠路零售企业协会（AKORT）主席斯坦尼斯拉夫·博格达诺夫暗示，多家零售连锁店受系统故障影响，正垂危调整Mercury系统以维持运营和产品注册。Rosselkhoznadzor在Telegram申明中强调，攻击未威胁数据齐全性与机密性，但系统可能因地理地位或衔接方式出现临时不成用。该机构否定持续中断报路，称当日成功处置超1450万份电子兽医文件，并强调若产生更严沉中断，此类操作将无法进行。

https://securityaffairs.com/183845/security/russian-rosselkhoznadzor-hit-by-ddos-attack-food-shipments-delayed.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研