Storm-0249通过EDR与Windows工具执行荫蔽攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

Storm-0249通过EDR与Windows工具执行荫蔽攻击

颁布功夫 2025-12-11

1. Storm-0249通过EDR与Windows工具执行荫蔽攻击

12月9日，网络安全公司ReliaQuest近日披露，名为Storm-0249的初始接见代理正通过滥用端点检测与响应（EDR）解决规划及受信赖的Microsoft Windows实用法式，执行高度荫蔽的恶意软件加载与悠久化操作，为后续勒索软件攻击铺路。该组织已摒弃传统大规模网络垂钓，转而选取更先进的技术伎俩，即便防御方具体纪录其行为，仍难以有效应对。攻击始于ClickFix社会工程攻击：诱骗用户在Windows运行对话框中粘贴并执行curl号令，下载具备SYSTEM权限的恶意MSI包。随后，从伪造Microsoft域获取的恶意PowerShell剧本直接注入系统内存，全程不落磁盘以躲避防病毒检测。MSI文件开释的恶意DLL（如SentinelAgentCore.dll）被战术性搁置在合法SentinelOne EDR组件的SentinelAgentWorker.exe旁，通过DLL侧加载技术在受信赖的特权EDR过程中执行，实现操作系统更新后仍可维持的荫蔽悠久性。入侵后，攻击者利用SentinelOne组件结合reg.exe、findstr.exe等合法Windows工具网络系统标识符，并通过加密HTTPS C2流量成立通讯。

https://www.bleepingcomputer.com/news/security/ransomware-iab-abuses-edr-for-stealthy-malware-execution/

2. “蜘蛛侠”网络垂钓工具包席卷欧洲金融界

12月9日，网络威胁分析公司Varonis近日披露，一款名为“蜘蛛侠”的全栈式网络垂钓工具包在暗网宽泛传布，使非技术攻击者也能对欧洲重要银行及加密钱币平台提议大规模精准攻击。该工具包被钻研人员称为“年度最危险”威胁之一，因其无需编程知识即可急剧天生像素级克隆的金融机构登录页面，覆盖德国、比利时等五国数十家机构，蕴含德意志银杏注荷兰国际集团（ING）、CaixaBank等主流银行及加密钱包服务商，指标用户群体重大。攻击流程极简化：攻击者仅需选择指标银行，启动克隆法式，发送与官方齐全一致的钓饵信息即可执行垂钓。工具包内置加密助记词窃取�？�，标志取诳骗伎俩向混合型发展。其最危险个性在于实时信息拦截能力——受害者输入登录信息后，攻击者可当即获取数据，并触发二次界面网络信誉卡号、OTP或PhotoTAN码等敏感信息。单次会话即可窃取全名、诞生日期、信誉卡详情等齐全身份信息，足以齐全收受账户并执行身份偷窃。为躲避安全检测，该工具包选取地理关闭技术限度非指标国度接见，并屏蔽已知安全公司网络流量，有效躲避自动扫描和人为分析。

https://hackread.com/spiderman-phishing-kit-european-banks-credential-theft/

3. 印度曼迪公共门店250万客户信息泄露挂售

12月9日，近日，网络犯罪论坛曝光一路针对印度喜马偕尔国曼迪公共汽车门店的疑似数据泄露事务。攻击者宣称于今年入侵该公司客户关系治理系统后盾，窃取了蕴含姓名、家庭住址、邮政编码、电话号码、电子邮箱等在内的250万条经销商及客户幼我信息，并公开挂牌售卖。截至目前，涉事公司尚未颁布官方申明确认事务真实性。数据样本仅蕴含8条信息，真实性暂无法核实。据调查，该攻击者于今年4月参与该论坛，此前曾屡次销售企业数据并附带样本，这次事务若属实，被盗数据可能被用于构建用户身份画像，为后续社会工程学攻击（如垂钓诳骗、身份冒用）提供精准信息，显著提升受害者被二次攻击的风险。值妥贴心的是，公共汽车及其经销商已非初次成为网络犯罪指标。今年10月，公共集团法国分公司被麒麟勒索软件团伙列入泄密网站；6月，公共集团还呈此刻Stormous勒索软件卡塔尔的暗网泄密网站。

https://cybernews.com/security/volkswagen-dealership-data-breach-india/

4. DroidLock恶意软件会锁定安卓设备并索要赎金

12月10日，一种名为DroidLock的新型安卓恶意软件近期被发现，其通过多沉攻击伎俩对西班牙语用户执行勒索与数据窃取。该恶意软件通过恶意网站推广假冒合法软件包的虚伪利用，习染过程始于诱骗用户装置蕴含现实恶意软件的二级有效载荷。装置后，恶意法式会要求设备治理员和辅助职能权限，从而执行蕴含屏幕锁定、数据擦除、PIN码/密码/生物鉴别数据批改等15项号令，甚至可远程通过VNC齐全节造设备。DroidLock的主题威胁在于其勒索机造与数据窃取能力。勒索�？橥ü齏ebView显示赎金要求，批示受害者通过Proton邮箱联系攻击者，并威胁24幼时内未支付赎金将永远销毁文件。只管该软件不直接加密文件，但通过销毁文件的威胁达到与勒索软件一样的成效。同时，其通过屏幕覆盖层窃取用户解锁图案，结合VNC远程接见实现设备节造。此表，该软件还能接见短信、通话纪录、联系人，甚至执行灌音和删除数据等操作。

https://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/

5. Docker Hub镜像被发现泄露痛处和身份验证密钥

12月10日，威胁谍报公司Flare近期扫描发现，Docker Hub平台超10,000个容器镜像存在敏感信息泄露问题，涉及出产系统凭证、CI/CD数据库密钥及AI模型令牌等，影响100余家组织，蕴含财富500强企业、国度银行及10余家金融机构。作为全球最大容器注册表，Docker Hub本应保险开发者安全共享即用型镜像，但本次事务露出其安全缝隙的严沉性。钻研显示，11月上传的镜像中，10,456个存在密钥泄露，其中42%的镜像至少露出5个敏感数值。最常泄露的是OpenAI、HuggingFace等AI模型的接见令牌，总量达4,000个。这些密钥可被用于齐全接见云环境、Git仓库、CI/CD系统及支付集成等主题基础设施，组成沉大安全风险。泄露组织多散布于软件开发、市场、工业及AI领域。值妥贴心的是，超四成泄露源自"影子IT"账户，这些账户往往不足企业级安全监控。

https://www.bleepingcomputer.com/news/security/over-10-000-docker-hub-images-found-leaking-credentials-auth-keys/

6. WinRAR高危蹊径遍历缝隙遭多国APT组织利用

12月10日，美国网络安全和基础设施安全局（CISA）于2025年12月将WinRAR的CVE-2025-6218缝隙列入已知利用缝隙目录，该缝隙已证实被多个高级持续性威胁（APT）组织积极利用。该缝隙为蹊径遍历类型，CVSS评分7.8，允许攻击者在用户打开恶意文件或接见恶意页面时执行肆意代码，仅影响Windows系统版本。RARLAB已在2025年6月颁布的WinRAR 7.12中建复此缝隙，但此前已遭宽泛利用。据安全厂商分析，俄罗斯GOFFEE组织（别号Paper Werewolf）曾结合CVE-2025-6218与CVE-2025-8088（评分8.8）提议网络垂钓攻击；南亚Bitter APT组织则通过恶意RAR压缩包植入Normal.dotm全局模板，绕过Word宏限度实现悠久化后门；俄罗斯Gamaredon组织则针对乌克兰军事、当局机构提议鱼叉式网络垂钓，利用该缝隙部署Pteranodon恶意软件，甚至在2025年11月初次执行粉碎性行动，投放GamaWiper擦除器。

https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研