腾讯云安全威胁情报中心
摘要概览
每周一篇
情报追踪
2025年11月
11.17-11.23
【家族团伙事件】
NoName057发动DDoS攻击致目标网站服务中断,引发社会广泛关注
AvosLocker利用双重敲诈手段威胁目标在限定期限内泄露更多敏感数据
Lazarus利用名为ScoringMathTea的新型远程访问木马,窃取生产知识及知识产权
APT-C-51借TAMECAT后门,持续对国防领域发动窃控攻击
FIN11通过第三方软件零日漏洞实现数据外传
【热点攻击手段】
借公开web服务漏洞,展开内网侦查、采集信息并窃取凭证
利用合法凭证横向渗透部署勒索软件,造成业务中断
新型勒索攻击通过数据泄露与文件加密施压受害者,威胁公开敏感信息
以虚假派对邀请诱导受害者点击,导致关键数据泄露与业务中断
伪装验证码诱导用户点击,引发数据泄露与业务中断
【重点漏洞情报】
Google Chrome V8 类型混淆漏洞(CVE-2025-13223)
Grafana Enterprise SCIM 权限提升漏洞(CVE-2025-41115)
Fortinet Fortiweb 命令注入漏洞(CVE-2025-58034)
01
家族团伙事件
01
NoName057发动DDoS攻击致目标网站服务中断,引发社会广泛关注
-
家族团伙别名:
NoName05716, NoName057(16), 05716nnm, Nnm05716
-
家族团伙主要影响行业:
政法, 电信运营商
-
参考链接:
https://www.hendryadrian.com/pro-russian-group-claims-hits-on-danish-party-websites-as-voters-head-to-polls/
近期,黑客组织NoName057对部分相关门户网站发动大规模 DDoS 攻击。攻击者通过发送海量数据包淹没目标服务器,意图使其无法正常响应访问请求,借此制造信息混乱、扰乱公共沟通。此次攻击与多地发生的网络攻击存在共性,反映出该类团体实施系统性破坏存在持续且相似的技战术。与此同时,目标方配备了全面的 DDoS 防护措施及相关保障机制,所以攻击者意图破坏的业务进程未受干扰,仅网站出现短暂访问中断。相关执法机构迅速介入调查,查封涉案服务器并拘捕部分嫌疑人。此次攻击虽未直接影响线下核心进程,但加剧了相关活动期间的信息安全风险,也引发了公众对网络安全的关注。
02
AvosLocker利用双重敲诈手段威胁目标在限定期限内泄露更多敏感数据
-
家族团伙主要影响行业:
教育, 医疗,汽车
-
参考链接:
https://www.hendryadrian.com/bangkok-eagle-wings-co-ltd-targeted-in-ransomware-data-breach/
AvosLocker 组织入侵一家汽车供应链的重要厂商企业网络系统,获取大量敏感数据,涵盖财务报表、生产记录、客户信息、内部物流数据,还包括与多家知名企业相关的业务数据,进一步扩大了事件影响范围。该组织采用双重勒索策略,既要求支付赎金,又威胁在指定期限内公开窃取的资料,向目标企业施加更大压力。此次攻击以数据泄露为敲诈手段,迫使受害者满足其经济要求,同时暴露了目标企业安全防护的薄弱环节。数据泄露可能导致商业机密外泄,影响企业声誉与运营,还会对相关合作伙伴构成安全风险。
03
Lazarus利用名为ScoringMathTea的新型远程访问木马,窃取生产知识及知识产权
家族团伙别名:
APT 38; APT-C-26; ATK117; ATK3;Andariel; Appleworm; BeagleBoyz; Bureau 121; COPERNICIUM; COVELLITE; Citrine Sleet; DEV-0139;DEV-1222
家族团伙主要影响行业:
金融, 互联网技术服务, 社交娱乐, 政法
参考链接:
https://cybersecuritynews.com/lazarus-apt-group-new-scoringmathtea-rat/
在Operation DreamJob行动中,Lazarus组织利用名为ScoringMathTea的远程访问木马,窃取关键生产知识数据和知识产权。该木马通过两条独立的攻击链进行分发,赋予攻击者对受感染系统的全面控制。ScoringMathTea支持远程命令执行、内存插件加载及多种持久化技术,确保攻击者能够长期潜伏在目标网络中。木马通过自定义多字母替换密码算法和动态解析技术,使得传统安全软件难以检测。其通信通过HTTP或HTTPS与指挥控制服务器连接,使用加密算法和Base64编码确保数据的隐蔽传输。此外,木马伪装成Microsoft Edge浏览器的User Agent,以混淆网络流量,并通过内存直接加载插件,避免在磁盘上留下痕迹。这些技术手段使得ScoringMathTea成为一种高效且危险的攻击工具,能够窃取企业的敏感数据并进行长期渗透,给目标企业带来巨大的安全风险。
04
APT-C-51借TAMECAT后门,持续对国防领域发动窃控攻击
家族团伙别名:
COBALT MIRAGE, Magic Hound, G0059, Newscaster Team, TunnelVision, COBALT MIRAGE
家族团伙主要影响行业:
政法, 电信运营商
-
参考链接:
https://securityonline.info/iran-apt-spearspecter-uses-weeks-long-whatsapp-lures-and-fileless-tamecat-backdoor-to-hit-defense/
近期,一网络谍报行动采用长期社交工程与文件无痕感染链渗透目标系统,由相关组织操控,借助多渠道指挥控制架构开展持续攻击。攻击者在即时通讯平台伪装可信身份,经数周沟通建立信任后,发送托管在合法云存储的恶意链接,点击后通过多次隐藏重定向及系统协议,触发恶意 LNK 文件执行,从合法云服务下载脚本启动感染链。后续部署模块化后门程序,具备内存执行、动态加载模块及多渠道通信能力,可收集各类凭据、窃取敏感数据并截图,通过加密传输与可信系统文件降低痕迹。攻击还采用冗余持久化技术,保存混淆后的受害者标识,并利用多款合法云基础设施混淆流量,规避传统防御检测,可能导致目标敏感信息被窃取、遭远程控制,带来严重安全风险。
05
FIN11通过第三方软件零日漏洞实现数据外传
家族团伙别名:
UNC2546
家族团伙主要影响行业:
金融
-
参考链接:
https://www.hendryadrian.com/logitech-confirms-data-breach-following-designation-as-oracle-hack-victim/
近期,Logitech 披露一起数据泄露事件,与第三方软件平台的零日漏洞相关,该事件隶属于针对特定商业软件用户的大范围攻击,导致超 50 家机构受害。攻击者利用该零日漏洞绕过常规安全防护,实施未授权数据外传,渗透目标系统后窃取员工、消费者、客户及供应商相关信息,未涉及信用卡等敏感数据。此次攻击与相关勒索软件组织存在关联,或与另一攻击组织有关联,是针对该商业软件平台的针对性攻击一部分。Logitech 表示此次数据泄露预计不会对其运营或财务状况造成重大影响,但事件揭示了供应链安全漏洞风险,提醒其他企业加强第三方平台漏洞的关注与防御,而数据外泄也给受影响机构带来信息安全风险及长期内部数据安全隐患。
02
热点攻击手段
01
借公开web服务漏洞,展开内网侦查、采集信息并窃取凭证
攻击方式关键词:
安全账户管理器(T1003.002)、系统网络配置发现(T1016)、远程系统发现(T1018)、系统所有者 / 用户发现(T1033)、计划任务(T1053.005)、进程发现(T1057)、系统信息发现(T1082)、入口工具传输(T1105)、修改注册表(T1112)
-
参考链接:
https://www.hendryadrian.com/emulating-the-destructive-sandworm-adversary/
此次模拟攻击沿用 Sandworm 过往战术技术,攻击者先利用公网暴露的 web 服务漏洞获取初始访问权,部署定制化 LocalOlive webshell 强化控制。攻击中采用 living-off-the-land 技术规避检测,通过 schtasks 命令创建计划任务实现持久化,修改注册表调整 RDP 设置,借助 PowerShell 命令规避防御软件;还通过 rundll32.exe 与 comsvcs.dll 转储 LSASS 进程内存,用 reg save 命令转储注册表 Hive 窃取凭证,并调用多种命令收集系统运行状态与网络拓扑信息。演练提供了 system.exe、service.exe、nano.exe 三款恶意软件样本(对应特定 SHA256 哈希值),用于测试安全控制措施有效性。攻击导致敏感信息被采集,可能影响企业声誉与服务安全,埋下后续攻击隐患。
防护建议:
加固 web 服务、修补漏洞,加强计划任务、注册表修改及内置工具使用的监控审计,更新防御配置、启用多因素认证,全面排查持久化机制与恶意软件痕迹。
02
利用合法凭证横向渗透部署勒索软件,造成业务中断
攻击方式关键词:
查询注册表(T1012)、系统网络配置发现(T1016)、远程系统发现(T1018)、远程桌面协议(T1021.001)、网络服务发现(T1046)、PowerShell(T1059.001)、Windows 命令 Shell(T1059.003)、有效账户(T1078)、系统信息发现(T1082)、本地账户(T1087.001)、额外的本地或域组(T1098.007)
-
参考链接:
https://thedfirreport.com/2025/11/17/cats-got-your-files-lynx-ransomware/
在2025年初,一场历时九天的攻击始于攻击者利用合法凭证通过互联网暴露的 RDP 入口入侵目标系统,随后借助泄露的域管理员身份,十分钟内横向移动至域控制器,通过 Active Directory 工具创建 “administratr” 等伪装账户并加入高权限组,安装 AnyDesk 实现持久化控制。攻击者利用 SoftPerfect Network Scanner、NetExec 等工具,开展全网资产枚举、文件共享探查与端口扫描,还查询系统及注册表确定虚拟化与备份服务器部署情况。第六天,攻击者用 7-Zip 压缩敏感数据并通过 temp.sh 外传;第九天,通过 RDP 连接关键服务器,删除备份任务,部署执行 Lynx 勒索软件(w.exe)加密数据,导致数据无法恢复。此次攻击破坏备份系统、削弱恢复能力,可能引发业务中断与数据丢失。
防护建议:
更换关键凭证、启用多因素认证,限制并监控 RDP 访问,实施网络分段与安全审计,隔离备份系统、验证数据完整性,及时打补丁以强化威胁防护。
03
新型勒索攻击通过数据泄露与文件加密施压受害者,威胁公开敏感信息
攻击方式关键词:
勒索软件即服务(T1575.001)、数据加密(T1486)、横向移动(T1021)、防御逃避(T1562)、持久化(T1098)、日志清除(T1070)、关键系统破坏(T1490)、凭证获取(T1110)
-
参考链接:
https://cybersecuritynews.com/the-gentlemen-ransomware-group/
2025 年 7 月出现的 “The Gentlemen” 勒索软件,以 RaaS 模式运营,核心团队控制基础设施与谈判流程,关联方可发起攻击,9-10 月通过暗网泄露 48 个受害者信息。该软件采用双重勒索策略,用 XChaCha20 和 Curve25519 算法加密文件,具备自重启、随启动运行功能保障持久化,借助 WMI 和 PowerShell 技术横向传播,禁用 Windows Defender 实时保护以规避防护。它还攻击数据库引擎、备份工具、虚拟化平台等关键组件,删除多种日志数据阻碍取证。攻击导致文件不可恢复、敏感数据可能泄露,引发经济损失、信誉危机及业务中断,增加恢复成本。
防护建议:
立即切断受感染系统网络连接、离线备份关键数据,强化 WMI 和 PowerShell 安全设置,更新安全补丁,部署入侵检测系统与威胁情报平台应对风险。
04
以虚假派对邀请诱导受害者点击,导致关键数据泄露与业务中断
攻击方式关键词:
钓鱼(T1566)、用户执行(T1204)、远程服务(T1021)、凭证获取(T1110)、防御逃避(T1562)、持久化(T1098)、工具链部署(T1588)
-
情报来源:
https://www.hendryadrian.com/unwanted-gifts-major-campaign-lures-targets-with-fake-party-invites/
本次事件中,攻击者采用全新攻击策略,通过发送伪装成节日派对邀请、发票、税单、Zoom 邀请及待签署文件的钓鱼邮件,诱骗受害者点击恶意链接,下载签名 MSI/EXE 安装包。安装包感染系统后部署 ScreenConnect 等远程管理工具,既实现初步入侵,又作为后续工具下载平台。初始感染后,攻击者延时数天至数周,链式植入 SimpleHelp、PDQ 等多款 RMM 工具,即便部分工具被检测阻断,其余仍能维持控制。同时部署 HideMouse、WebBrowserPassView 等辅助工具,窃取凭证、提取浏览器密码并禁用 Windows Defender 等安全防护。该攻击凸显攻击者在持久化控制、隐蔽性维护及防御绕过上的能力,使受感染系统长期被控制,可能引发数据窃取、凭证泄露或勒索攻击,增加检测防御难度。
防护建议:
加强邮件安全过滤与用户培训,更新系统漏洞、监控远程工具异常,审查清理已安装 RMM 工具,结合威胁情报跟踪相关指标以应对风险。
05
伪装验证码诱导用户点击,引发数据泄露与业务中断
攻击方式关键词:
社交工程(T1598)、用户执行(T1204)、远程控制(T1219)、横向移动(T1021)、凭证获取(T1110)、数据窃取(T1081)、备份破坏(T1490)、勒索软件攻击(T1486)、防御逃避(T1562)
-
情报来源:
https://cybersecuritynews.com/destructive-akira-ransomware-attack/
攻击者 Howling Scorpius 通过社交工程手段,在已攻破的网站嵌入伪造验证码安全检查,诱使目标公司员工点击,触发基于.NET 的 SectopRAT 木马下载,获取网络初步控制权。随后 42 天内,攻击者借助 RDP、SSH、SMB 协议横向渗透,获取域管理员等高权限账户,控制域控制器,用 WinRAR 整合数据、通过 FileZillaPortable 外传近 1TB 数据,并在部署 Akira 勒索软件前删除备份存储容器。勒索软件大规模散播后,受害公司虚拟机下线、业务全面中断,攻击者提出赎金要求。尽管两套企业级 EDR 系统记录了异常活动,但警报机制不完善导致关键恶意行为未被及时发现,最终 Palo Alto Networks 安全团队重构攻击路径并降低约 68% 赎金。此次攻击暴露企业防护不足,造成业务中断与大量数据外泄。
防护建议:
加强员工安全培训、完善身份验证与 EDR 警报响应机制,强化特权账户管理及备份与灾难恢复策略。
03
重点漏洞情报
01
Google Chrome V8 类型混淆漏洞
(CVE-2025-13223)
风险等级:高危
-
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2025-13223
Google 官方发布安全通告,披露了其 Chrome 浏览器的 V8 引擎存在类型混淆漏洞,漏洞编号CVE-2025-13223。可导致程序崩溃或潜在的远程代码执行等危害。Google Chrome 是由 Google 开发的网页浏览器。 据官方描述,在 Google Chrome 浏览器的 V8 引擎中存在类型混淆漏洞,远程攻击者可通过诱导用户打开精心构造的 HTML 页面进行利用,从而可能导致程序崩溃或潜在的远程代码执行等。 目前该漏洞已存在在野利用。
02
Grafana Enterprise SCIM 权限提升漏洞
(CVE-2025-41115)
风险等级:严重
-
参考链接:
https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/
https://nvd.nist.gov/vuln/detail/CVE-2025-41115
Grafana 官方发布安全通告,披露了其 Grafana Enterprise 存在权限提升漏洞,漏洞编号CVE-2025-41115。可导致远程攻击者覆盖系统内置管理员账户来冒充用户或提升权限等危害。Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。 据官方描述,在 Grafana Enterprise 的 SCIM 用户配置功能中,由于系统将 SCIM 协议中的 externalId 字段直接映射到内部用户 ID(user.uid)而未进行类型安全校验,导致恶意的 SCIM 客户端可通过提交数字形式的 externalId(如"1")覆盖系统内置管理员账户身份,从而实现用户冒充和权限提升,并获得 Grafana 实例的最高控制权等。 注:攻击者要成功利用该漏洞,必须同时满足以下两个条件: (1) 启用了 SCIM 配置功能,即 enableSCIM 功能标志设置为 true。 (2) 启用了用户同步功能,即 [auth.scim] 配置块中的 user_sync_enabled 选项设置为 true。
03
Fortinet Fortiweb 命令注入漏洞(CVE-2025-58034)
风险等级:高危
-
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2025-58034
Fortinet 官方发布安全通告,披露了其 FortiWeb 存在命令注入漏洞,漏洞编号CVE-2025-58034。可导致经过身份验证的远程攻击者执行任意命令等危害。FortiWeb 是一款保护、负载均衡与加速 web 应用、数据库之间信息交换的 web 应用层防火墙。 据官方描述,在 FortiWeb 中,由于系统对 API 接口和 CLI 命令中的特殊元素过滤不充分,导致经过身份验证的远程攻击者可通过特制的 HTTP 请求或命令行指令,在底层操作系统上执行任意命令,从而完全控制系统等。 注:攻击者可结合 Fortinet FortiWeb 路径遍历漏洞(CVE-2025-64446)漏洞实现未经身份验证的命令执行。 目前该漏洞已存在在野利用。