腾讯云安全威胁情报中心
摘要概览
每周一篇
情报追踪
2025年12月
12.8-12.14
【家族团伙事件】
Qilin通过加密企业数据索要赎金并造成运营危机
Safepay采用双重勒索手段,逼使企业支付高额赎金
Luna - Moth团伙网络入侵加密数据发起勒索攻击
NoName057利用拒绝服务攻击扰乱目标系统并篡改设置对网站实施破坏
INCRansom通过勒索软件发起攻击非法访问并窃取200GB敏感数据
【热点攻击手段】
利用RDP暴露和弱口令为入口渗透受害网络并提权维持持续入侵
通过BYOVD技术禁用EDR防护并利用杀毒软件漏洞终止关键服务加密数据
利用漏洞部署新型EtherRAT恶意软件,并借助Ethereum智能合约确保持续远程访问和控制
公开漏洞与现成工具结合,暴力破解入侵企业并横向渗透加密系统
利用受损邮箱账户发送恶意PDF附件进行认证欺诈窃取用户凭证
【重点漏洞情报】
Vite Plugin RSC 远程代码执行漏洞(CVE-2025-67489)
Langflow 远程代码执行漏洞(CVE-2025-34291)
Windows Cloud Files Mini Filter Driver 本地权限提升漏洞(CVE-2025-62221)
01
家族团伙事件
01
Qilin通过加密企业数据索要赎金并造成运营危机
-
家族团伙别名:
Water Galura, Agenda Ransomware Group
-
家族团伙主要影响行业:
互联网技术服务, 物流, 教育, 电信运营商, 医疗, 交通, 农林牧渔, 政法, 汽车, 金融, 建筑与不动产
-
参考链接:
https://www.hendryadrian.com/ransom-hexacon-construction/
2025 年 12 月 9 日,Hexacon Construction遭遇勒索软件攻击,攻击由Qilin威胁组织发起。攻击者通过加密企业多个数据文件,限制其数据访问权限,并提出赎金要求,导致企业正常运营严重受影响,面临明显业务中断与潜在经济损失。目前公开信息仅明确攻击性质,未披露具体入侵路径、技术手段及勒索软件相关细节,攻击者也未留下指向攻击细节的线索,对企业持续运营构成较大威胁。
02
Safepay采用双重勒索手段,逼使企业支付高额赎金
-
家族团伙主要影响行业:
互联网技术服务, 教育, 农林牧渔, 汽车, 金融, 建筑与不动产
-
参考链接:
https://www.hendryadrian.com/safepay-ransomware-group-breaches-us-engineering-firm-chemstress/
Safepay 勒索软件组织对一家工程与施工企业发起网络攻击,采用双重勒索策略:先通过疑似系统漏洞或弱口令渗透企业网络,窃取涉及相关项目的敏感数据,再加密关键文件干扰正常业务。随后,该组织将部分窃取数据公布于勒索门户,设定截止期限并威胁逾期公开全部数据,迫使企业支付赎金。此次攻击暴露了目标企业信息安全防护漏洞,也反映出相关行业网络安全挑战的升级态势。攻击可能导致企业面临重大经济损失、声誉受损、业务中断,敏感数据外泄还可能引发法律合规问题及后续安全隐患,对项目管理和客户信任造成持续影响。
03
Luna - Moth团伙网络入侵加密数据发起勒索攻击
家族团伙别名:
TG2729, Silent Ransom Group
家族团伙主要影响行业:
医疗, 金融
参考链接:
https://www.hendryadrian.com/ransom-mintzer-sarowitz-zeris-ledva-meyers/
Luna - Moth团伙 对一民事辩护法律服务机构发起勒索软件攻击,该机构设有多个办公地点。攻击者疑似通过网络钓鱼、弱口令或已知漏洞快速突破防线,对多地办公室网络集中实施入侵并加密内部数据,展现出较高的技术能力和组织协调性。此次攻击带有明显勒索特征,通过破坏数据访问权限干扰机构正常业务运营,使其面临业务中断、潜在财务损失等风险。事件揭示了相关机构网络防御体系在应对高强度定向攻击时的不足,也提示漏洞管理强化与员工安全意识提升,是防范此类攻击的关键。
04
NoName057利用拒绝服务攻击扰乱目标系统并篡改设置对网站实施破坏
家族团伙别名:
NoName05716, NoName057(16), 05716nnm, Nnm05716
家族团伙主要影响行业:
政法, 电信运营商
-
参考链接:
https://cyberscoop.com/us-charges-russian-backed-hacker-critical-infrastructure-attacks-carr-noname05716/
近期,一起网络攻击案件始于分布式拒绝服务攻击,后升级为针对工业控制系统的破坏性入侵。攻击者先通过大规模分布式拒绝服务攻击扰乱目标系统,再以侵入手段精细化入侵工业控制系统并篡改设置,导致部分供水系统失控、大量水资源外泄,某加工厂发生物资变质及泄漏事故,人员被迫紧急疏散。攻击还波及多个相关领域基础设施,展现出多领域组合使用技术手段进行破坏的战略布局。此次攻击造成了实质性破坏,引发环境安全隐患、经济损失和公众健康风险,同时对相关领域形成潜在威胁。
05
INCRansom通过勒索软件发起攻击非法访问并窃取200GB敏感数据
家族团伙别名:
G1032, INCRRansom group
家族团伙主要影响行业:
政法, 交通, 建筑与不动产, 教育, 医疗
-
参考链接:
https://www.hendryadrian.com/ransom-rainbowtel-net/
根据公开的勒索声明,INCRansom 组织对一知名企业发起勒索软件攻击,攻击者先通过网络漏洞获取系统访问权限,再在内部横向移动,窃取约 200GB 敏感数据,包括会计记录、人力资源数据及客户信息。该组织通过公开的特定链接发布攻击声明,披露侵入与数据窃取相关信息。此次攻击显示攻击者对目标企业网络结构进行了详细侦查,精心策划了入侵、提权和数据窃取步骤,暴露了企业网络防护的严重漏洞,也引发了业界对相关基础设施安全性的广泛关注。攻击造成严重数据泄露风险,对企业业务运营和客户信任构成重大威胁,还可能引发法律责任及后续经济损失。
02
热点攻击手段
01
利用RDP暴露和弱口令为入口渗透受害网络并提权维持持续入侵
攻击方式关键词:
操作系统凭证转储(T1003)、远程服务(T1021)、网络服务发现(T1046)、权限提升漏洞利用(T1068)、入口工具传输(T1105)、暴力破解(T1110)、外部远程服务(T1133)、禁用或修改工具(T1562.001)
-
参考链接:
https://www.hendryadrian.com/makop-ransomware-guloader-and-privilege-escalation-in-attacks-against-indian-businesses/
Makop 勒索软件通过暴露的 RDP 服务及弱口令获取初始访问权限,借助暴力破解或字典攻击渗透受害网络。攻击者利用 NetScan 等网络扫描工具探查内部环境,利用 CVE-2017-0213 等已知本地权限提升漏洞实现深度渗透,还部署定制化安全产品卸载工具、滥用存在漏洞的签名驱动程序绕过防护,最新策略通过 GuLoader 加载器分发第二阶段恶意载荷,增强攻击隐蔽性。获得足够权限后,攻击者部署加密模块加密目标数据实施勒索。此次攻击导致受影响系统数据加密、业务中断、数据丢失及潜在财务损失,严重干扰企业运营。
防护建议:
加强 RDP 服务安全防护,关闭不必要公开端口、启用复杂密码与多因素认证;及时更新系统补丁修补漏洞,部署多层次安全检测防御措施,做好数据备份与应急响应预案,降低业务风险。
02
通过BYOVD技术禁用EDR防护并利用杀毒软件漏洞终止关键服务加密数据
攻击方式关键词:
远程系统发现(T1018)、远程桌面协议(T1021.001)、系统所有者 / 用户发现(T1033)、网络服务发现(T1046)、域组(T1069.002)、有效账户(T1078)、Web 服务(T1102)、修改注册表(T1112)、防御规避型漏洞利用(T1211)、系统二进制代理执行(T1218)、MMC(T1218.014)、远程桌面软件(T1219.002)、抑制系统恢复(T1490)、绕过用户账户控制(T1548.002)、禁用或修改工具(T1562.001)、禁用或修改系统防火墙(T1562.004)、服务执行(T1569.002)
-
参考链接:
https://blog.talosintelligence.com/byovd-loader-deadlock-ransomware/
攻击者利用杀毒软件驱动漏洞(CVE-2024-51324),通过 BYOVD 技术及未知加载器(EDRGay.exe)对 Windows 系统发起攻击。攻击前借助合法账号渗透,修改注册表开启远程桌面服务,为后续入侵铺垫;通过伪装驱动程序建立用户态与内核态通信,终止安全软件进程,再以 PowerShell 脚本绕过 UAC 提升权限,禁用 Windows Defender、备份及数据库服务,删除影子复制数据阻断恢复。攻击者还修改系统配置、安装 AnyDesk 实现持久远程访问,最终通过 DeadLock 勒索软件的定制流密码加密算法,对文件进行多线程高效加密并发布勒索提示。此次攻击导致系统核心安全服务失效、业务中断,数据恢复与取证难度增加。
防护建议:
尽快修补相关漏洞,更新系统及安全软件,强化权限与账户管理,部署入侵检测系统,采用分层备份防护,限制远程访问工具安装,实施关键组件白名单管理。
03
利用漏洞部署新型EtherRAT恶意软件,并借助Ethereum智能合约确保持续远程访问和控制
攻击方式关键词:
社交工程(T1598)、漏洞利用(T1190)、用户执行(T1204)、恶意软件部署(T1204.002)、远程控制(T1219)、命令与控制(T1071)、供应链攻击(T1195)、持久化(T1098)、数据窃取(T1081)
-
参考链接:
https://www.hendryadrian.com/north-korea-linked-actors-exploit-react2shell-to-deploy-new-etherrat-malware/
近期,Lazarus针对 Web3 开发者发起攻击,利用未修补的 React Server Components 漏洞(CVE-2025-55182),结合社交工程学手法发布虚假招聘信息和编码任务,诱骗目标安装含后门的恶意软件。攻击者通过 EtherRAT 恶意软件实现远程访问控制,借助以太坊智能合约进行隐蔽 C2 通信,还利用 npm 生态、Vercel 托管服务及 Visual Studio Code 仓库传播恶意代码,并设置多重持久化机制长期控制目标系统。此次攻击可能导致敏感信息泄露、开发环境及源代码安全受胁,给相关企业带来技术风险与信誉损失,对 Web3 开发领域产生长远负面影响。
防护建议:
及时修补相关漏洞、更新 npm 依赖,强化社交工程攻击防范,部署多因素认证、入侵检测系统及安全审计,优化源代码管理平台与开发工具安全配置,提升员工安全意识,建立供应链攻击威胁检测与响应机制。
04
公开漏洞与现成工具结合,暴力破解入侵企业并横向渗透加密系统
攻击方式关键词:
暴力破解(T1110.003)、漏洞利用(T1190)、权限提升(T1068)、防御逃避(T1562)、恶意软件部署(T1204.002)、命令与控制(T1071)、数据加密(T1486)、横向移动(T1021)、凭证滥用(T1550)
-
情报来源:
https://cybersecuritynews.com/makop-ransomware-exploits-rdp-systems/
Makop 勒索软件作为 Phobos 恶意软件家族变种,2020 年被发现后攻击手法持续演化,对全球企业构成重大威胁。其以 RDP 为入口,通过 NLBrute 等工具暴力破解弱密码或重复认证信息获取初步访问权限,随后部署 NetScan 等网络扫描工具探查内部架构与高价值目标。攻击者利用多款已知本地权限提升漏洞及存在漏洞的合法驱动程序,通过 BYOVD 技术获取内核级权限,禁用或绕过安全软件,还借助 GuLoader 交付恶意载荷,用迷惑性文件名在非标准目录执行以规避检测。该攻击链系统化、多阶段,最终实现网络控制与数据加密以实施勒索,可能导致企业数据加密、敏感信息泄露及业务中断,安全措施不足时损失将加剧。
防护建议:
加强 RDP 访问管理与密码策略,关闭不必要远程端口,及时修补漏洞,部署入侵检测与行为监控系统,实施网络分段隔离,严格管控合法工具与驱动程序使用。
05
利用受损邮箱账户发送恶意PDF附件进行认证欺诈窃取用户凭证
攻击方式关键词:
有效账户(T1078)、恶意链接(T1204.001)、恶意文件(T1204.002)、鱼叉式钓鱼附件(T1566.001)、通过第三方服务的鱼叉式钓鱼(T1566.003)、收集受害者身份信息(T1589)
-
情报来源:
https://www.hendryadrian.com/ongoing-malicious-campaign-abuses-public-administration-accounts-via-pdf-attachments-and-figma-access/
2025 年 12 月 8 日起,部分公共行政机关邮箱账户被攻陷,攻击者利用这些受损邮箱对同类用户发起大规模钓鱼攻击。邮件通过密件抄送隐藏收件人,附恶意 PDF 附件,用户点击附件内 “REVIEW DOCUMENTS” 按钮后,会被重定向至真实 Figma 页面,要求通过邮箱或 Google 账号登录认证,此举可能用于收集用户信息或为后续攻击铺垫。攻击借助合法平台增强可信度,隐蔽性较强。响应机构已证实至少两家机构受影响,通过相关渠道上报恶意链接并共享 IoC 信息协助防御。此次攻击可能导致用户凭证被盗、敏感信息泄露,引发后续针对性攻击,削弱对合法服务的信任。
防护建议:
受影响机构检查邮箱安全,加强邮件及附件检测,启用多因素认证,关注 IoC 信息并开展用户安全教育,防范社交工程攻击。
03
重点漏洞情报
01
Vite Plugin RSC 远程代码执行漏洞
(CVE-2025-67489)
风险等级:严重
-
参考链接:
https://github.com/vitejs/vite-plugin-react/security/advisories/GHSA-j76j-5p5g-9wfr
Vite Plugin RSC 是 Vite 构建工具的一个官方插件,专门用于在 Vite 项目中支持 React Server Components (RSC) 开发。 据官方描述,在 Vite Plugin RSC 插件 0.5.5 及之前的版本中,由于其开发服务器处理 RSC 服务端函数 API(如 loadServerAction、decodeReply、decodeAction)时,内部依赖的动态导入(import())未对传入的模块标识符(id)进行安全检查,允许加载如 data:text/javascript,... 这样的数据 URL,导致当 Vite 开发服务器通过 --host 或配置 server.host 选项暴露于网络时,远程攻击者可通过向服务端函数端点发送包含恶意模块标识符的特制请求,在服务器上以 Node.js 权限执行任意 JavaScript 代码,从而可能读取/修改文件、窃取敏感环境变量与凭证,并进一步攻击内部服务等。
02
Langflow 远程代码执行漏洞
(CVE-2025-34291)
风险等级:中危
-
参考链接:
https://www.obsidiansecurity.com/blog/cve-2025-34291-critical-account-takeover-and-rce-vulnerability-in-the-langflow-ai-agent-workflow-platform
https://docs.langflow.org/api-keys-and-authentication#cors-configuration-for-authentication
https://nvd.nist.gov/vuln/detail/CVE-2025-34291
Langflow 被披露其存在远程代码执行漏洞,漏洞编号CVE-2025-34291。可导致远程攻击者执行任意代码等危害。LangFlow 是一个基于 Python 开发,并且不依赖于任何模型、API 或数据库的低代码应用程序构建工具,是 LangChain 的 GUI,为用户提供更方便的构建方式,可直接通过拖放组件和聊天框来实验和原型化流程。 据描述,在 Langflow 中,由于后端服务器启用了过度宽松的 CORS 策略(allow_origins='*' 且 allow_credentials=True),并且如果关键的身份验证令牌—— Cookie(refresh_token_lf)被设置为 SameSite=None,则导致攻击者可构造恶意网页并诱导受害者发起包含该 Cookie 凭证的跨源请求,成功调用受攻击的 /api/v1/refresh 端点,从而获取新的 access_token 与 refresh_token 令牌对,实现完全会话劫持。并且攻击者可利用窃取的 access_token,调用已认证的内置代码执行(如 /api/v1/validate/code)等端点,最终在受害者会话中实现远程代码执行,从而彻底控制系统。 目前该漏洞的漏洞细节、POC已公开。
03
Windows Cloud Files Mini Filter Driver 本地权限提升漏洞
(CVE-2025-62221)
风险等级:高危
-
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-62221
微软官方发布12月例行安全更新公告,共涉及57个漏洞的安全更新发布,其中披露了其 Windows Cloud Files Mini Filter Driver 存在本地权限提升漏洞,漏洞编号CVE-2025-62221。Windows Cloud Files Mini Filter Driver 主要用于管理和促进云存储文件的操作。它允许 Windows 与云存储服务同步,使用户能够直接从本地系统访问、修改和管理其云存储文件。这使得用户可以更轻松地处理存储在云端的文件,而无需频繁地下载和上传文件。 据官方描述, 在 Windows Cloud Files Minifilter 驱动程序 (cldflt.sys) 中存在 Use After Free 漏洞,经过身份验证的本地攻击者可利用该漏洞提升权限至 SYSTEM 权限。 目前该漏洞已存在在野利用。