印度税务垂钓攻击部署多阶段间谍框架

首页 > 安全钻研 > 安全传递 > 安全简讯

印度税务垂钓攻击部署多阶段间谍框架

颁布功夫 2026-01-28

1. 印度税务垂钓攻击部署多阶段间谍框架

1月26日，网络安全钻研人员发现一路针对印杜酌户的网络间谍攻击活动，该活动通过假意印度所得税部门的垂钓邮件传布多阶段恶意法式。据eSentire威胁响应部门分析，攻击者利用伪造的税务�？钔ㄖ址⒑挡匚募腪IP压缩包，其中蕴含一个可执行文件及恶意DLL文件。该可执行文件通过DLL侧载技术加载恶意�？�，在运行时检测调试器延长并联系表部服务器获取后续载荷。攻击链中，下载的Shellcode利用COM技术绕过用户账户节造（UAC）提醒获取治理员权限，同时批改进程环境块（PEB）假装成合法Windows过程“explorer.exe”以逃避检测。随后，恶意软件下载一个32位Inno Setup装置法式，该法式会凭据指标主机是否运行Avast防病毒软件动态调整行为。最终，攻击者部署了Blackmoon银行木马变种及SyncFuture TSM企业工具。后者作为合法的终端安全治理工具被沉新利用为间谍框架，提供远程监控、数据窃取及用户活动纪录职能。

https://thehackernews.com/2026/01/indian-users-targeted-in-tax-phishing.html

2. WinRAR高危缝隙CVE-2025-8088遭多类攻击者滥用

1月27日，网络安全公司ESET与谷歌威胁谍报幼组（GTIG）近期披露，WinRAR软件中的CVE-2025-8088高危蹊径遍历缝隙正被国度支持型间谍组织及经济利益驱动的犯罪团伙大规模利用，进行初始接见并部署恶意载荷。该缝隙通过备用数据流（ADS）将恶意文件写入肆意地位，攻击者曾利用其在Windows启动文件夹植入悠久化恶意软件，实现沉启后持续运行。GTIG汇报指出，攻击活动自2025年7月18日起持续至今，涉及俄罗斯结盟的RomCom组织（UNC4895）、伊朗APT44（FROZENBARENTS）、朝鲜TEMP.Armageddon及中国关联攻击者等国度支持实体，以及分发XWorm、AsyncRAT等远程接见工具的经济犯罪分子。攻击链通常将恶意载荷暗藏在归档文件钓饵（如PDF）的ADS中，用户打开WinRAR时，缝隙会提取ADS有效载荷，天生LNK、HTA、BAT等可执行文件，在用户登录时自动运行。值妥贴心的是，所有攻击者均从“zeroplayer”等供给商处获取缝隙利用法式。该供给商去年7月曾兜销此缝隙，并销售其他高价零日缝隙。

https://www.bleepingcomputer.com/news/security/winrar-path-traversal-flaw-still-exploited-by-numerous-hackers/

3. 耐克调查勒索团伙文件泄露事务

1月27日，近日，活动服装巨头耐克公司证实在调查一路“潜在的网络安全事务”。此前，World Leaks勒索软件团伙在暗网数据泄露网站宣称窃取了耐克1.4TB文件，蕴含近19万份企业数据，涉及业务运营信息。耐克在申明中强调“始终器沉消费者隐衷和数据安全”，并暗示正积极评估情况。值妥贴心的是，World Leaks随后从泄露列表中删除了耐克条款，引发交涉或赎金支付猜测，但耐克未证实数据被盗，第三方也无法验证文件真实性。经查，World Leaks实为Hunters International勒索软件的改名版本。该组织于2023岁暮出现，因代码类似性被视为Hive勒索软件的可能变体，曾宣称对280余起攻击掌管。2025年1月，Hunters International颁发烧毁文件加密战术，转向数据窃取和勒索模式，理由是传统勒索软件操风格险过高且利润降落。

https://www.bleepingcomputer.com/news/security/nike-investigates-data-breach-after-extortion-gang-leaks-files/

4. SmarterMail服务器高危缝隙威胁全球

1月27日，非投机安全组织Shadowserver近日颁布汇报，指出全球超过6000台SmarterMail服务器因露出在互联网上，可能遭逢编号为CVE-2026-23760的严沉身份验证绕过缝隙攻击。该缝隙由网络安全公司watchTowr于2026年1月8日初次披露，涉及SmarterTools旗下SmarterMail 9511版本之前的密码沉置API职能。据安全布告显示，其"force-reset-password"端点存在设计缺点，允许匿名要求且未验证现有密码或沉置令牌，攻击者仅需提供指标治理员用户名和新密码即可沉置账户，从而齐全获取系统治理权限。watchTowr钻研人员已颁布概想验证缝隙利用法式，证实未经身份验证的攻击者可利用此缝隙劫持治理怨厮户，进而实现远程代码执行，导致对受影响服务器的齐全节造。Shadowserver通过版本检测发现，美国（4100台）、马来西亚（449台）、印度（188台）、加拿大（166台）和英国（146台）是受影响最严沉的国度，且现实攻击尝试已被观测到。

https://securityaffairs.com/187394/hacking/shadowserver-finds-6000-likely-vulnerable-smartermail-servers-exposed-online.html

5. 俄罗斯Delta公司遭网络攻击致多系统瘫痪

1月27日，俄罗斯报警与安整系统供给商Delta公司近日遭逢“大规模、协调且组织缜密”的网络攻击，导致其家庭、企业及车辆安整系统服务大面积中断，引发客户宽泛投诉。该公司市场总监瓦列里·乌什科夫在视频申明中指出，攻击源自“敌对表国”，并坦言其架构“无法招架国表精心策动的攻击”。截至周二，Delta网站及电话线路仍无法使用，公司被迫通过社交媒体VKontakte与数万名客户沟通，并承诺技术团队正全力复原系统，预计很快全面复原。这次攻击造成多沉现实影响：用户汇报汽车防盗警报无法关关、车辆无法解锁、远程启动系统故障、车门意表锁关甚至行驶中发起机熄火；住宅及贸易构筑警报系统则自动切换至垂危模式且无法关关。俄语媒体Baza在Telegram上披露，事务产生后用户迅快反馈上述问题，而《生意人报》亦证实存在大领域故障。只管Delta坚称无客户数据泄露，但一个自称攻击者的Telegram频路颁布了据称蕴含被盗数据的存档文件，其真实性及攻击者身份尚未获独立核实。

https://therecord.media/russia-delta-security-alarm-company-cyberattack

6. SoundCloud遭ShinyHunters攻击致2980万用户数据泄露

1月27日，音频流媒体平台SoundCloud 2025年12月遭逢大规模数据泄露事务，影响超过2980万用户账户，涉及电子邮件地址、地理地位、姓名、用户名、头像、粉丝数、关注者数及部门国度信息等公开资料。SoundCloud成立于2007年，作为艺术家中心平台，现占有全球4000万艺术家上传的超4亿首歌曲。事务起因于黑客入窃熹辅助服务仪表板，触发未经授权接见。SoundCloud在检测到异常后启动事务响应法式，经调查确认无敏感数据泄露，仅涉及公开幼我资料信息。然而，勒索团伙ShinyHunters宣称对这次攻击掌管，并向SoundCloud提出勒索要求，同时通过电子邮件对用户、员工及合作同伴发送骚扰信息。1月15日，SoundCloud证实攻击者存在勒索行为，且数据已被公开。这次泄露影响约20%的SoundCloud用户，此前用户曾汇报无法接见平台及使用VPN时出现403谬误。数据泄露通知服务Have I Been Pwned披露，攻击者成功将公开资料与用户电子邮件地址关联，涉及3000万唯一电子邮件地址。

https://www.bleepingcomputer.com/news/security/have-i-been-pwned-soundcloud-data-breach-impacts-298-million-accounts/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研