立陶宛黑客传布KMSAuto恶意软件被捕

首页 > 安全钻研 > 安全传递 > 安全简讯

立陶宛黑客传布KMSAuto恶意软件被捕

颁布功夫 2025-12-31

1. 立陶宛黑客传布KMSAuto恶意软件被捕

12月29日，一名29岁立陶宛籍公民因涉嫌开发并传布习染280万台系统的剪贴板恶意软件，经国际刑警组织协调从格鲁吉亚引渡至韩国受审。该案件涉及假装成KMSAuto工具的恶意软件，其表表职能为犯法激活Windows和Office软件，实则暗藏加密钱币劫持�？�。据韩国国度警员厅传递，2020年4月至2023年1月间，嫌疑人通过KMSAuto工具向全球用户分发280万份恶意法式。该软件运行时会自动扫描用户剪贴板中的加密钱币地址，并将其代替为攻击者节造的地址，导致受害者在转账时误将资产转入黑客钱包。调查显示，该恶意软件成功窃取3100个虚构资产地址用户的约17亿韩元（约120万美元）资产，涉及8400笔买卖，并至少攻击了六家加密钱币买卖所。案件调查始于2020年8月，韩国警方接获加密劫持案件汇报后，发现KMSAuto工具存在恶意代码植入。通过追踪被盗资金流向，结合国际刑警组织锁定嫌疑人身份。2024年12月，韩方在立陶宛执行突袭行动，缴获笔记本电脑、手机等22件电子设备，从中提取到关键犯罪证据。最终，嫌疑人在2025年4月自立陶宛前往格鲁吉亚途中被捕。

https://www.bleepingcomputer.com/news/security/hacker-arrested-for-kmsauto-malware-campaign-with-28-million-downloads/

2. 黑客利用遗留缝隙提议超250万次恶意要求

12月29日，圣诞节期间，一场由单一威胁攻击者提议的大规模协同攻击席卷全球。该攻击者依附日本境内的基础设施，针对Adobe ColdFusion服务器及其他47种技术平台提议超250万次恶意要求，指标涵盖近20年间的遗留缝隙及2023-2024年披露的10余个高危CVE缝隙。圣诞节当日攻击流量峰值占比高达68%，攻击者显然有意利用节假日企业安全团队人手不及、防护能力降落的监控空档期。这次攻击波及全球20个国度的ColdFusion服务器，有关恶意要求约5940次，其中美国地域攻击会话占比达68%。攻击流量重要源自CTG服务器有限公司托管的两个主题IP地址。在技术细节上，攻击者借助ProjectDiscovery Interactsh带表测试平台，部署近1万个独立域名接管攻击回调信息，并通过WDDX反序列化缝隙触发JNDI/LDAP注入，最终攻击com.sun.rowset.JdbcRowSetImpl组件实现远程代码执行。值妥贴心的是，针对ColdFusion的攻击仅占整体行动的0.2%。

https://cybersecuritynews.com/coldfusion-servers-under-attack/

3. 罗马尼亚最大能源供给商遭勒索软件攻击

12月29日，圣诞节次日，罗马尼亚最大煤炭能源出产商奥尔特尼亚能源综合体遭逢勒索软件攻击，导致其IT基础设施严沉瘫痪。ERP系统、文档治理当用、企业邮件服务及官网等关键系吐滟时无法使用，部门运营受影响，但国度能源系统整体运行未受威胁。攻击产生后，该公司当即启动应急响应，利用现有备份在新基础设施上沉建受影响系统，同时与国度网络安全局、能源部及进攻有组织犯罪和恐怖主义局（DIICOT）合作，全面评估事务影响并分析攻击者是否在加密数据前窃取了敏感信息。目前，该公司已向DIICOT提起刑事诉讼，有关调查在进行中。这次攻击由Gentlemen勒索软件团伙执行，该组织在其Tor数据泄露网站已新增近50名受害者，但奥尔特尼亚能源综合体尚未被列入，可能仍处于赎金交涉阶段。

https://www.bleepingcomputer.com/news/security/romanian-energy-provider-hit-by-gentlemen-ransomware-attack/

4. CISA要求美当局机构建复MongoBleed高危缝隙

12月30日，美国网络安全和基础设施安全局（CISA）已强造要求联国民事行政部门（FCEB）机构在2026年1月19日前建复MongoDB高危缝隙CVE-2025-14847（定名“MongoBleed”），该缝隙自2025年12月19日建复后仍被积极利用。MongoBleed源于MongoDB服务器使用zlib库处置网络数据包的方式缺点，允许未经身份验证的攻击者通过低复杂度、无需用户交互的远程攻击窃取敏感数据，蕴含API/云密钥、会话令牌、内部日志及幼我身份信息（PII）。Elastic安全钻研员Joe Desimone颁布的概想验证（PoC）法式已证实可泄露未打补丁主机的内存数据。据Shadowserver监测，全球超7.4万个露出在互联网的MongoDB事俘可能存在该缝隙；Censys追踪到超8.7万个IP地址的指纹信息显示其运行未打补丁版本。云安全平台Wiz的遥测数据显示，云环境中42%的可见系统至少有一个存在缝隙的MongoDB事俘，且该缝隙已被象征为“已被利用”。

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-mongobleed-flaw-actively-exploited-in-attacks/

5. 法国两所大学遭网络攻击致大规模学生数据泄露

12月30日，节日期间，法国里尔大学和格勒诺布尔高档商学院相继遭逢网络攻击，导致数千名学生幼我数据泄露。据黑客论坛披露，12月29日两校名字呈此刻驰名犯罪论坛，攻击者CZX宣称11月入侵格勒诺布尔高档商学院系统，窃取1.35GB敏感数据，涵盖姓名、邮箱、电话、地址、学术布景、IP地址等，影响超40万人，数据疑似源自CRM或营销系统邮件列表，蕴含学生及表部订阅者信息。同期，LAPSUS$ Group宣称入侵里尔大学，该大学占有超8万学生，窃取内部标识符、诞生日期、行政数据等，影响近2000名学生。该团伙曾与ScatteredSpider、ShinyHunters归并为Scattered LAPSUS$ Hunters，今年被指参加针对Palo Alto Networks、Cloudflare等企业的Salesforce攻击，并宣称导致戴尔、Verizon等多家机构数据泄露。

https://cybernews.com/security/french-universities-student-data-hacked/

6. ErrTraffic借“虚伪故障”自动化执行ClickFix攻击

12月30日，一种名为ErrTraffic的新型网络犯罪平台在俄语黑客论坛鼓起，通过在被入侵网站天生“虚伪故障”自动化执行ClickFix社会工程攻击，转化率高达60%。该工具由化名LenAI的开发者以800美元一次性价值销售，选取自托管流量分发系统（TDS）架构，提供用户敦睦面板、配置选项及实时活动数据监控职能。ClickFix技术通过伪造可信场景（如系统建复、身份验证）诱骗用户执行危险号令，有效绕过尺度安全节造，近年已被网络犯罪分子及国度支持行动者宽泛选取。ErrTraffic要求攻击者预先节造或向合法网站注入恶意代码，通过HTML代码行集成。对不切合定位前提的通常访客，网站行为维持正常；当访客地理地位、操作系统指纹切合预设前提时，页面DOM会被批改，显示文本败坏、字体符号代替、Chrome虚伪更新提醒或系统字体缺失谬误等“视觉故障”，造作页面“败坏”假象。受害者若按“解决规划”操作如装置浏览器更新、下载系统字体、粘贴号令提醒符内容，将触发JavaScript代码向剪贴板写入PowerShell号令，执行后下载恶意有效载荷。

https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研