腾讯云安全威胁情报中心
摘要概览
每周一篇
情报追踪
2025年10月
10.13-10.19
【家族团伙事件】
Mysterious-Elephant采用定制鱼叉钓鱼渗透,引发数据泄露事件
Play利用系统漏洞加密企业关键业务,阻断运营索要赎金
Qilin通过防护主机基础设施实施非法业务扩散及勒索
Akira利用SonicWall漏洞与配置缺陷,多阶段实施攻击并开展双重勒索
LordNemesis通过Elasticsearch服务器配置缺陷,引发超6亿条数据泄露
【热点攻击手段】
仿造微软元素诱骗用户:引发敏感信息泄露及系统远程控制危机
假冒司法通知邮件并附恶意 SVG,诱使用户进入伪装网页实现窃取数据与远程操控
冒充Robinhood的钓鱼短信,以虚假安全提示为饵,窃取用户关键信息
依托远控木马及多样化定制webshell,结合系统培训测试,成功渗透超300家机构
仿冒EES系统钓鱼域名,借误导性图形与本地JS验证窃取敏感信息
【重点漏洞情报】
Elastic Cloud Enterprise 远程代码执行漏洞(CVE-2025-37729)
Apache ActiveMQ NMS AMQP Client 远程代码执行漏洞(CVE-2025-54539)
Samba 命令注入漏洞(CVE-2025-10230)
01
家族团伙事件
01
Mysterious-Elephant采用定制鱼叉钓鱼渗透,引发数据泄露事件
-
家族团伙别名:
APT-K-47, 神秘象
-
家族团伙主要影响行业:
政法
-
参考链接:
https://www.darkreading.com/cyberattacks-data-breaches/mysterious-elephant-recycled-malware
Mysterious-Elephant 组织早期一般借用其他黑客组织恶意软件代码实施攻击,但近年已变化为采用自研工具的成熟威胁团体。Kaspersky报告指出,其早期代码特征与多个攻击团伙重叠,或存在共享基础设施与技术合作的迹象。今年初,该组织攻击通过精心制作的鱼叉式钓鱼邮件,附带伪造诱饵文档实施初步渗透,触发感染链后,利用相关脚本和合法工具与远程C2服务器连接。之后部署反向Shell工具BabShell,收集系统信息并控制受感染系统。BabShell还下载反分析加载器,创建隐藏环境并下载远程接入工具,同时安装后门。获得控制权限后,攻击者用专门模块窃取多种敏感信息。此外,该组织采用通配符DNS技术规避追踪,此次攻击导致多类型数据泄露,严重威胁信息安全,可能引发更大范围风险。
02
Play利用系统漏洞加密企业关键业务,阻断运营索要赎金
-
家族团伙主要影响行业:
建筑与不动产,交通,物流,金融,农林牧渔,能源
-
参考链接:
https://www.hendryadrian.com/ransom-legacy-manufacturing/
近期,知名制造企业受到来自勒索攻击组织Play的精准打击,攻击者以加密手段锁定企业核心信息系统,导致关键生产与业务系统瘫痪,企业无法正常运行。攻击不仅加密企业数据,给生产调度信息、关键业务数据带来风险,还迫使企业紧急寻求专业技术支持以恢复系统。攻击者通过公布攻击细节、提出赎金要求向企业施压,虽未公开详细技术细节,但推测其可能使用先进加密算法与多阶段渗透技术,攻击流程明确。企业监测到异常网络流量后,确认数据文件大范围加密,短时间内全面瘫痪。此次事件暴露制造业网络安全短板,警示相关企业需重视网络防御,落实定期备份、漏洞修复等措施,同时也反映出攻击者策划执行高效,给制造行业网络安全形势敲响警钟,可能增加企业经济损失与复工难度。
03
Qilin通过防护主机基础设施实施非法业务扩散及勒索
家族团伙别名:
Water Galura, Agenda Ransomware Group
家族团伙主要影响行业:
金融, 建筑与不动产, 互联网技术服务, 汽车, 交通, 政法, 农林牧渔, 物流, 医疗, 电信运营商, 教育
参考链接:
https://securityaffairs.com/183447/security/qilin-ransomware-announced-new-victims.html
Resecurity最新报告揭露了Qilin勒索软件即服务组织依靠全球弹道防护主机基础设施开展勒索与敲诈活动。该组织利用复杂文件共享平台和私密司法环境规避追踪,在多地发动攻击、扩散非法业务。其利用全球网络为攻击提供隐蔽支持,获取传播被盗数据,曾攻击某知名酿酒企业致其运营制造流程瘫痪近两周,索要千万美元赎金。新受害名单涵盖多国多家组织,还利用非法访问权限扩大对汽车等行业及地方机构的攻击。该组织依赖弹道防护服务混淆视听,攻击使受害者业务中断、生产线瘫痪,面临数据泄露与高额赎金威胁,引发经济损失和名誉受损等后果,也暴露出跨国网络犯罪的巨大挑战。
04
Akira利用SonicWall漏洞与配置缺陷,多阶段实施攻击并开展双重勒索
家族团伙别名:
GOLD SAHARA, PUNK SPIDER, G1024, Storm-1567
家族团伙主要影响行业:
互联网技术服务, 汽车
-
参考链接:
https://securityonline.info/akira-ransomware-revives-sonicwall-flaw-cve-2024-40766-uses-unpac-the-hash-to-breach-networks/
2025 年 7 月至 8 月,全球针对 SonicWall SSL VPN 设备的攻击事件激增,攻击者利用 CVE-2024-40766 漏洞发起攻击。该漏洞主要涉及不当的访问控制和设备配置问题,尽管2024年8月该漏洞已的修复补丁已发布,但一部分组织尚未及时修补或存在配置错误,仍存在相关风险。攻击者首先利用未打补丁或配置错误的漏洞获得初始访问权限,接着通过侦查工具(如Advanced IP Scanner和SoftPerfect)扫描网络,确定可利用的目标,获得初步访问后,攻击者使用WinRM和RDP协议进行横向渗透,针对域控制器和VMware ESXi主机,凭证窃取阶段,攻击者利用“UnPAC the Hash”技术,从Active Directory证书中提取NTLM哈希,获取管理凭证,攻击者还将约2GB的数据通过SSH传输到外部服务器。尽管部分设备已打补丁,错误的配置和凭证复用使得攻击者能够继续渗透。此次攻击导致数据泄露,并严重威胁多个行业的网络安全,特别是制造、教育和医疗领域。管理凭证被窃取后,整个网络防御遭受重创,可能引发更大范围的业务中断和后续攻击风险。
05
LordNemesis通过Elasticsearch服务器配置缺陷,引发超6亿条数据泄露
家族团伙别名:
DEV-0270, Nemesis Kitten, Storm-0270
家族团伙主要影响行业:
金融
-
参考链接:
https://hackread.com/elasticsearch-leak-6-billion-record-scraping-breaches/
此次事件因Elasticsearch服务器配置错误引发数据泄露,该服务器存有约1.12TB、超61.9亿条记录,数据来自历史泄露、网站爬取等渠道。此前2024年12月,曾发现配置错误的AWS S3存储桶,据信此事与LordNemesis组织有关。此次攻击中,一台部署不当的Elasticsearch服务器未设安全认证或密码保护,导致数据公开暴露,其中一组截图暴露了部分银行用户数据,包括全名、电话号码等。网络安全研究人员还发现相关暗网讨论帖,有匿名用户发布数据库清单。事件暴露网络环境配置管理不足,虽未确认是否有恶意第三方利用漏洞攻击,但可能导致敏感信息流传,此事件使大量个人身份、银行账户等信息外泄,可能引发身份盗用、金融诈骗等风险,对相关方声誉造成冲击。
02
热点攻击手段
01
仿造微软元素诱骗用户:引发敏感信息泄露及系统远程控制危机
攻击方式关键词:
暴力破解(T1110)、外部远程服务(T1133)、用户执行(T1204)、恶意复制粘贴(T1204.004)、入侵账户(T1586)
-
参考链接:
https://www.hendryadrian.com/weaponized-trust-microsofts-logo-as-a-gateway-to-tech-support-scams/
该攻击活动通过仿冒微软品牌和支付诱饵邮件实施技术支持诈骗。攻击者伪装成来自“Syria Rent a Car”的付款补偿通知,诱导受害者点击邮件中的链接,进入一系列伪造的网站页面。利用用户对微软品牌的信任,攻击者打造了虚假的技术支持情境,骗取敏感信息。攻击过程从伪装成支付邮件的钓鱼邮件开始,受害者点击后被重定向至一个假验证码页面,要求用户完成验证码验证,绕过自动检测机制。验证后,受害者进入一个微软品牌风格的着陆页面,页面展示多个微软主题弹窗,并模拟浏览器被锁定,造成紧张气氛。受害者误以为系统遭遇勒索攻击,随即拨打页面上的假微软支持电话号码。接通电话后,攻击者以技术支持人员身份通过社会工程学手段诱导受害者提供账户凭据或要求下载远程桌面控制工具,从而实现对受害系统的控制。整个攻击利用支付诱饵、伪造验证码、UI欺骗和电话社会工程等手段,极大地降低了受害者警觉性,可能导致敏感信息泄露、系统控制、财务损失和进一步的网络安全风险。
防护建议:
加强邮件安全防护,部署多层次钓鱼防御方案,提升用户对伪造技术支持来电的警惕性,并通过安全意识培训和钓鱼模拟演练提高防范能力。
02
假冒司法通知邮件并附恶意 SVG,诱使用户进入伪装网页实现窃取数据与远程操控
攻击方式关键词:
查询注册表(T1012)、混淆文件或信息(T1027)、通过命令与控制通道进行数据窃取(T1041)、计划任务(T1053.005)、进程注入(T1055)、进程发现(T1057)、PowerShell(T1059.001)、Visual Basic(T1059.005)、指标移除(T1070)、应用层协议(T1071)
-
参考链接:
https://www.seqrite.com/blog/judicial-notification-phish-colombia-svg-asyncrat/
这是一起司法通知钓鱼攻击。攻击者伪造邮件,借用“Juzgado 17 Civil Municipal del Circuito de Bogotá”等官方机构名称,诱使用户点击并下载附件。邮件内容伪装成正式法律文书,增加了钓鱼邮件的可信度。附件为看似无害的SVG文件,内含JavaScript代码,诱使用户点击并触发恶意下载。用户点击后,SVG文件生成伪造的进度条页面,诱导用户下载恶意HTA文件。该HTA文件通过Powershell脚本下载并解码恶意文本文件,最终还原为DLL文件。DLL文件加载并通过内存注入技术将AsyncRAT远控木马注入MSBuild.exe进程。攻击过程中采用反虚拟化、反分析措施和持久化机制,确保恶意软件持续存在。此攻击可能导致敏感信息泄露、远程控制及数据窃取,对用户隐私构成严重威胁。
防护建议:
加强邮件附件安全检测,部署针对SVG、HTA等文件格式的安全解析工具,及时更新安全防护系统,监控内存注入与持久化异常。
03
冒充Robinhood的钓鱼短信,以虚假安全提示为饵,窃取用户关键信息
攻击方式关键词:
间接命令执行(T1202)、用户执行(T1204)、账户访问移除(T1531)、钓鱼信息收集(T1598)
-
参考链接:
https://www.hendryadrian.com/scammers-are-still-sending-us-their-fake-robinhood-security-alerts/
此次攻击利用短信钓鱼方式,攻击者伪装成知名在线金融服务Robinhood,通过发送紧急安全警报短信诱使用户点击伪造的链接。短信中声称账户存在异常活动,并要求用户立即进行安全验证,带有强烈的紧迫感。攻击者通过短信中的链接引导用户访问仿冒的Robinhood登录页面,页面设计和logo模仿正品,旨在窃取用户的登录凭证。短信还提示,若链接无法点击,用户可以回复“Y”获取其他链接或手动复制链接访问。攻击者使用了伪装的域名(如www-robinhood.cweegpsnko.net和www-robinhood.fflroyalty.com),外观看似合法,容易误导缺乏安全意识的用户。此外,短信的发送号码与Robinhood总部不符,进一步暴露了攻击的非法性质。此次攻击通过社会工程学手段和钓鱼页面窃取用户敏感信息,可能导致财务损失、身份盗用和相关欺诈风险。
防护建议:
用户应避免回复未经请求的短信或点击其中的链接,并通过官方渠道确认安全警报。此外,启用实时防恶意软件和网页防护,定期更换密码,并提高对钓鱼攻击的警惕,以保护个人敏感信息。
04
依托远控木马及多样化定制webshell,结合系统培训测试,成功渗透超300家机构
攻击方式关键词:
数据混淆(T1001)、从本地系统获取数据(T1005)、系统网络配置发现(T1016)、自动化数据窃取(T1020)、远程服务(T1021)、混淆文件或信息(T1027)、数据传输大小限制(T1030)、伪装(T1036)、通过命令与控制通道进行数据窃取(T1041)、系统网络连接发现(T1049)
-
情报来源:
https://www.hendryadrian.com/an-insider-look-at-the-irgc-linked-apt35-operations-ep3-malware-arsenal-tooling/
近年来,APT-C-51组织在中东地区进行长时间定向攻击。该组织拥有成熟的恶意软件开发流水线,针对不同目标构建专用工具及测试环境。攻击使用了两大远控木马——Saqeb System和RAT-2AC2。Saqeb System是一款基于C++开发的原生Windows远控工具,具备五个模块,开发时注重隐蔽性,使用反虚拟化和反调试技术规避安全检测;RAT-2AC2使用C# .NET开发,服务器端基于Flask框架,支持VNC远程访问。此外,APT-C-51还开发了一种定制化的webshell家族(m0s.asp变种),利用Accept-Language请求头中的替换密码作为隐蔽指令通道,执行远程命令。攻击过程中,攻击者利用多跳TOR中转和明确的操作剧本进行持久化,窃取账号凭证,并进行文件枚举与数据外传。攻击还展示了键盘钩子、屏幕截屏和自动化文件传输等功能。为了避开安全检测,攻击者使用伪装服务名称、隐蔽的DLL加载以及HEX编码和XOR解密等技术手段。此次攻击导致敏感信息泄露、远程控制风险增加,并可能引发勒索和数据破坏。
防护建议:
加强网络安全防护,提高恶意软件与webshell的检测能力,定期进行安全自查和日志审计,更新防病毒软件,并强化员工对社交工程攻击的防范意识。
05
仿冒EES系统钓鱼域名,借误导性图形与本地JS验证窃取敏感信息
攻击方式关键词:
用户执行(T1204)、搜索开网站 / 域名(T1593)、钓鱼信息收集(T1598)、部署能力(T1608)
-
情报来源:
https://www.hendryadrian.com/phishing-on-residence-permit-verification-targets-foreign-citizens-in-italy/
CERT-AGID发现一个仿冒Entry/Exit System (EES)的钓鱼域名,该页面注册于2025年10月13日并迅速被检测到。攻击者复制了EES官方界面元素,诱导非欧盟和非申根国家旅客输入个人信息,如姓氏和证件号码。该页面使用JavaScript在客户端进行本地验证,验证过程将用户输入与预定义数值进行比较,但数据并未发送至远程服务器。虽然页面结构不完整,攻击者可能利用收集到的信息进行进一步诈骗,如伪装成相关机关发送虚假通知,甚至通过勒索要求支付费用加速行政程序。此次攻击展示了社会工程学技巧和钓鱼手段,降低了用户防范意识,可能导致敏感身份信息泄露,并引发诈骗、伪造官方通知或勒索,带来经济损失和信用风险。
防护建议:
加强对仿冒网站的监控和检测,及时采取域名下架等措施,加强公众教育,提升对网络钓鱼攻击的识别能力,定期进行安全检测和更新,确保用户数据安全。推广安全上网习惯和多重认证措施,也能降低潜在风险。
03
重点漏洞情报
01
Elastic Cloud Enterprise 远程代码执行漏洞(CVE-2025-37729)
风险等级:严重
-
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2025-37729
https://discuss.elastic.co/t/elastic-cloud-enterprise-ece-3-8-2-and-4-0-2-security-update-esa-2025-21/382641
Elastic 官方发布安全通告,披露了其 Elastic Cloud Enterprise 存在远程代码执行漏洞,漏洞编号CVE-2025-37729。可导致经过身份验证的远程攻击者执行任意代码等危害。Elastic Cloud Enterprise(ECE)可以提供一种从中心位置配置、管理和扩展 Elasticsearch 部署队列的简单方法。它允许扩展 Elastic Stack 部署,而不会增加管理开销。 据官方描述,在 Elastic Cloud Enterprise 中,由于模板引擎对 Jinjava 变量处理时未正确过滤特殊元素,导致拥有管理控制台访问权限的远程攻击者可通过提交包含恶意负载的部署计划,在启用 Logging+Metrics 功能的部署中注入并执行代码,最终通过日志回传窃取敏感信息或执行系统命令。 注:只有拥有 Elastic Cloud Enterprise 管理控制台访问权限并启用了 Logging+Metrics 功能部署的用户受该漏洞影响。
02
Apache ActiveMQ NMS AMQP Client 远程代码执行漏洞(CVE-2025-54539)
风险等级:严重
-
参考链接:
https://www.openwall.com/lists/oss-security/2025/10/15/3
Apache 官方发布安全通告,披露了其 Apache ActiveMQ NMS AMQP Client 存在远程代码执行漏洞,漏洞编号CVE-2025-54539。可导致远程攻击者执行任意代码等危害。Apache ActiveMQ NMS AMQP Client 是一个开源的 .NET 库,它让 .NET 应用程序能够通过 AMQP 1.0 协议连接到消息代理(如 ActiveMQ),实现跨语言、可靠的消息传递。 据官方描述,在 Apache ActiveMQ NMS AMQP Client 2.3.0 及之前的版本中,由于客户端在与 AMQP 服务器建立连接时,存在不受信任数据反序列化漏洞,且 2.1.0 版本引入的允许/拒绝列表限制机制存在可被绕过的条件,导致恶意 AMQP 服务器可通过构造特制响应报文,在客户端系统上触发任意代码执行,从而完全控制客户端环境。
03
Samba 命令注入漏洞(CVE-2025-10230)
风险等级:严重
-
参考链接:
https://www.samba.org/samba/security/CVE-2025-10230.html
Samba 官方发布安全通告,披露了其存在命令注入漏洞,漏洞编号CVE-2025-10230。可导致未经身份验证的远程攻击者执行任意命令等危害。Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个免费软件,由服务器及客户端程序构成。 据官方描述,在 Samba Active Directory 域控制器 4.0 及以后的版本中,由于 WINS 服务器在处理名称变更时,未对传递给 'wins hook' 脚本的参数进行安全验证,直接将包含客户端可控 NetBIOS 名的字符串传入 Shell 执行,导致未经身份验证的远程攻击者可通过注册包含 Shell 元字符的恶意 WINS 名称,在 Samba 域控制器上实现任意命令执行,从而完全控制该主机。 注:该漏洞仅影响启用了 WINS 支持且 “wins hook” 参数非空的域控制器。其他 Samba 服务器(例如成员服务器或独立主机)不受影响。 当 Samba 不是域控制器时,它使用的 WINS 服务器不受该漏洞影响。