腾讯云安全威胁情报中心
摘要概览
每周一篇
情报追踪
2025年7月
7.28-8.3
【攻击团伙事件】
银狐家族武器库更新,加装RootKit实现多重隐身
GanbRun 组织传播 Linux 变种勒索软件,采用新加密方法抑制系统恢复以获取经济利益
Akira组织利用勒索软件对Druni实施了网络攻击,窃取超40GB的敏感数据
ScatteredSpider组织利用社交工程手法针对保险行业进行渗透,非法获取敏感数据
BlackByte 组织部署勒索软件加密系统,致企业运营中断,并可能泄露敏感数据
【热点攻击手段】
TraderTraito通过伪造软件、鱼叉式钓鱼等多种攻击手段,实施加密货币盗窃与间谍活动,并持续渗透
ToxicPanda新型恶意软件通过高级overlay技术伪造银行界面,成功感染4500多台移动设备
通过鱼叉式钓鱼邮件发送含伪装支付凭证恶意附件的攻击方式
通过全新语音社交手段冒充内部人员,骗取系统访问权限实施钓鱼攻击
利用合法平台隐藏载荷,结合钓鱼邮件发送恶意附件,植入渗透工具实现远程控制
【重点漏洞情报】
SonicWall SMA100 文件上传漏洞(CVE-2025-40599)
Google Chrome Media Stream Use After Free 漏洞(CVE-2025-8292)
01
攻击团伙事件
01
银狐家族武器库更新,加装RootKit实现多重隐身
攻击组织别名:SilverFox、Silver Fox group
-
参考链接:
https://mp.weixin.qq.com/s/w3Q5MwiP_6kk_9eOG474Gw
腾讯云安全威胁情报团队,在近期跟踪银狐家族时发现,其进行了一次重要的技战术升级,已进化出"多重隐身"能力:区别于银狐过往常利用BYOVD(合法软件存在漏洞的驱动)对抗安全软件,新银狐不仅利用白加黑注入进行自身恶意代码隐藏,其核心模块还首次通过RootKit技术实现内核层隐蔽驻留安全对抗+使用Buke_km驱动键盘/鼠标执行控制过程。由于其在内核层与安全软件展开厮杀的特性,会导致即使用户安装常规安全软件,也难以察觉其存在。一旦木马外联C2成功,该木马将逐步窃取用户隐私数据、远程控制设备,甚至作为跳板攻击企业内其它人群,形成从个人终端到企业内关键职能角色的全链条威胁。
跳转原文,查看深度分析:
银狐情报共享第2期|银狐武器库更新,加装RootKit实现多重隐身
02
GanbRun 组织传播 Linux 变种勒索软件,采用新加密方法抑制系统恢复以获取经济利益
攻击组织别名:Ganb黑产组织, APT-TX-1973
-
参考链接:
https://www.darkreading.com/threat-intelligence/nimble-gunra-ransomware-linux-variant
GanbRun组织最初于四月以针对Windows系统的攻击亮相,其技术受已停运的Conti组织启发,并通过泄露40TB数据的事件获得广泛关注,该 Linux 平台变种采用全新加密技术,可通过配置指定 1-100 个加密线程并行执行,大幅提升加密速度,与依赖受害机处理器核心数的方式不同。加密范围由文件路径和扩展名参数决定,参数为 “all” 时加密所有文件,否则仅处理指定扩展名文件。程序安装后每 10 毫秒检查线程状态,完成任务后自动终止,且将 RSA 密钥存于独立文件,操作更灵活。与 Windows 版本相比,它不生成赎金信,而是专注于快速加密,增加数据恢复难度。此次事件已造成一家医院40TB 数据泄露,该组织对多行业的攻击扩散能力,可能引发更大范围业务中断和信息安全风险。
03
Akira组织利用勒索软件对Druni实施了网络攻击,窃取超40GB的敏感数据
攻击组织别名:Akira Group, GOLD SAHARA, PUNK SPIDER, G1024, Storm-1567
-
参考链接: https://www.hendryadrian.com/ransom-druni/
近日,Akira 组织对主营线上美妆销售的 Druni 公司发起勒索软件攻击,声称窃取 40GB 以上关键数据,涵盖员工文件(含 DNI 信息)、财务记录、项目文件、客户数据,以及与知名国际品牌的合同文档。攻击于 2025 年 7 月 29 日 15:09 左右被监测到,攻击者公开威胁要求支付赎金,否则将公开窃取的数据。虽未披露具体技术手段和攻击载体,但从攻击规模与数据种类来看,这是一场精心策划的行动,体现出攻击者在信息渗透和数据横向移动方面的实力。此次攻击使 Druni 面临敏感商业信息泄露、运营受威胁的风险,可能损害企业声誉与财务健康,还可能引发法律和监管风险,也提醒企业需加强网络防护、更新安全补丁并监控数据流动。
04
ScatteredSpider组织利用社交工程手法针对保险行业进行渗透,非法获取敏感数据
攻击组织别名:ScatteredSpider group, ScatteredSpider, Storm-0875, Storm-0971, G1015, Roasted 0ktapus, Starfraud, UNC3944, DEV-0971, Scatter Swine
参考链接:
https://thecyberexpress.com/allianz-life-insurance-data-breach-confirmed/
近期保险行业数据泄露事件频发,利用第三方云平台及社交工程的攻击增多,暴露了保险机构的外部服务存在安全缺陷,引发监管的关注。部分观点将攻击来源指向 ScatteredSpider 组织。7 月 16 日,Allianz Life Insurance 遭攻击,攻击者以社交工程伪装身份获取第三方云平台权限,窃取大量客户、金融专业人士及内部员工信息,但目前尚未波及内部系统。其他机构亦现类似情况,显示攻击者利用第三方漏洞和社交工程的连续性与针对性。ScatteredSpider 组织过往针对零售业,现扩展至保险和金融领域,常冒充可信代表获取认证信息,受攻击机构已采取应急措施。事件导致超 140 万客户信息暴露,威胁其身份与财务安全,损害机构信誉,加剧监管对金融领域网络安全的关注,引发大规模金融诈骗和身份盗用风险。
05
BlackByte 组织部署勒索软件加密系统,致企业运营中断,并可能泄露敏感数据
攻击组织别名:Black-Byte, Black Byte
-
参考链接:
https://www.hendryadrian.com/ransom-towne-mortgage/
具有超40 余年房贷业务经验、深耕社区服务与非营利合作的 Towne Mortgage Family of Companies,于 2025 年 7 月 30 日遭 BlackByte 组织勒索软件攻击。公司当日早间发现异常,攻击者通过部署勒索软件加密系统,导致业务运营严重中断,敏感客户数据面临泄露风险。目前,虽然文章未详细披露具体的攻击路径、漏洞利用手段或恶意软件的内部机制,但仅从影响情况来看,攻击已使公司正常运营受到严重阻碍,具体实施过程与后门机制待进一步调查。此次事件使企业面临支付赎金与业务连续性中断的双重压力,暴露了企业在新型勒索软件防御及敏感数据保护上的不足,也为相关企业敲响了网络安全警钟,其业务中断及潜在数据泄露可能对企业形象与市场信心造成长期负面影响。
02
热点攻击手段
01
TraderTraito通过伪造软件、鱼叉式钓鱼等多种攻击手段,实施加密货币盗窃与间谍活动,并持续渗透
攻击方式关键词:攻击软件依赖和开发工具 (T1195.001),攻击软件供应链(T1195.002),恶意文件(T1204.002)
-
参考链接:
https://gbhackers.com/lazarus-subgroup-tradertraitor-targets-cloud-platforms/
近期,某攻击组织针对云平台和供应链展开持续渗透,通过伪造合法软件、鱼叉式网络钓鱼和供应链攻击等多种手段,实施加密货币盗窃和间谍活动,该组织以财务获利为主要动机。自 2020 年起,该组织发展多种高技术手段:伪造带恶意代码的加密货币应用,伪装成交易工具并以虚假证书规避检测;在社交平台发布虚假招聘,诱骗技术人员下载恶意程序,进而建立控制通道、窃取信息。其还冒充 GitHub 开发者,注入恶意软件包打击区块链企业。2023-2024 年,该组织实施多起典型攻击,包括供应链攻击、诱骗开发者部署恶意软件(致超 4500 枚比特币被盗)等,展现完整攻击流程与技术组合能力。事件导致大规模数字资产失窃,供应链和云平台防护被突破,威胁企业数据安全,或影响国际金融秩序及国家安全。
防护建议:企业强化安全意识,落实最小权限原则,加强监控与多维度防护,定期更新安全策略。
02
ToxicPanda新型恶意软件通过高级overlay技术伪造银行界面,成功感染4500多台移动设备
攻击方式关键词:初始访问(T1553),权限获取(T1078),持久化(T1542),命令与控制(T1071),数据窃取(T1003)
-
参考链接:
https://cybersecuritynews.com/toxicpanda-android-banking-malware/
ToxicPanda 是 2022 年被发现的银行木马,最初针对东南亚市场,2024 年扩展至欧洲,目前重点攻击南欧地区。该木马利用 Android 系统 Accessibility Services 漏洞,通过诱导用户安装伪装成合法应用的恶意 APK(如假冒 “Google Chrome”)实施攻击,会请求 58 项权限以全面控制设备。安装后,通过动态注册广播接收器监控系统事件,确保持续运行并抵制卸载;采用 AES 密钥 “0623U25KTT3YO8P9”、DES 加密 “jp202411” 及 DGA 生成新域名增强通信安全性与抗封堵能力,还通过多重机制反分析。攻击者可借此截获双因素认证短信和即时通知,从而发动未授权的资金转移,造成用户金融信息的严重泄露。该攻击导致用户敏感银行信息泄露,可引发未授权的金融转账和资金损失,对用户财产安全构成直接威胁。
防护建议:用户及时使用ADB命令进行彻底清除,并强化对Android权限管理和Accessibility Services的安全防护,并部署监控方案检测恶意行为,加强对恶意覆盖界面和非正常权限申请的检测与防御。
03
通过鱼叉式钓鱼邮件发送含伪装支付凭证恶意附件的攻击方式
攻击方式关键词:混淆文件或信息(T1027),可执行文件注入(T1055.002),输入捕获(T1056),Python(T1059.006),Web协议(T1071.001),屏幕截图(T1113),恶意文件(T1204.002),收集受害主机信息(T1592),内容注入(T1659)
-
情报来源:
https://www.hendryadrian.com/spear-phishing-campaign-delivers-vip-keylogger-via-email-attachment/
攻击者通过发送伪造的spear-phishing邮件,诱导目标打开含恶意可执行文件的 ZIP 压缩包。该文件命名成 “payment receipt_USD 86,780.00 pdf.exe”进行伪装,执行后其内嵌 AutoIt 脚本会用自定义 XOR 算法解密内置密文,恢复恶意负载,随后在系统临时目录写入加密文件 “leucoryx” 和 “aveness” 并解密,再通过 process hollowing 技术将载荷注入 RegSvcs.exe 进程隐蔽执行。为维持持续性,攻击者在用户启动文件夹放置 VBScript,用户登录时从 AppDataLocal 目录启动载荷,最终通过 VIP 钥匙记录器捕获按键信息、窃取主流浏览器凭据及监控剪贴板,潜在窃取更多敏感数据。攻击包含特定 MD5 哈希值、恶意文件名及控制服务器(如 hxxp://51.38.247.67:8081)等威胁指标。事件可能导致敏感信息泄露,增加入侵风险。
防护建议:加强邮件安全与恶意附件检测,更新安全系统规则,强化用户对钓鱼邮件及附件的识别培训。
04
通过全新语音社交手段冒充内部人员,骗取系统访问权限实施钓鱼攻击
攻击方式关键词:鱼叉式钓鱼(T1566.004)
-
情报来源:https://cybersecuritynews.com/muddled-libra-actors-attacking-organizations/
2025年网络威胁态势发生显著变化,原本以传统钓鱼攻击为主的攻击方式,迅速转向基于语音的社交工程手段,如此前常用的Oktapus钓鱼工具正在逐渐减少使用。攻击者利用语音电话联系组织内的帮助台,伪装成员工以多因素认证设备丢失为由请求账户重置,或冒充内部 IT 支持人员要求安装远程管理软件,诱使对方绕过认证流程,短时间获取系统访问权限。研究表明,攻击者平均 1 天 8 小时 43 分钟完成入侵,并在约40分钟内获取域管理员权限。其中,超 70% 来电使用 Google Voice作为VoIP服务。他们重点侦查 Microsoft 365 和 SharePoint 环境,两天内外传超 100GB 数据,最终通过与DragonForce勒索软件的合作部署实施敲诈。这类攻击行为,造成企业或机构 IT 管理体系被破坏,大规模数据泄露及勒索软件感染,多个行业遭严重损失。
防护建议:加强相关人员安全培训,严格身份验证,审查加固 IT 流程,增强云端监控审计,严格配置相关软件系统,借助工具提升检测响应能力。
05
利用合法平台隐藏载荷,结合钓鱼邮件发送恶意附件,植入渗透工具实现远程控制
攻击方式关键词:钓鱼攻击(T1566),DLL 劫持(T1574.001),动态 API 解析(T1027.007),劫持执行流程(T1574),反射加载(T1620),创建专用账户(T1585.001)
-
情报来源:
https://gbhackers.com/hackers-deploy-cobalt-strike-beacon/
黑客利用 GitHub、Microsoft Learn Challenge 等平台隐藏恶意载荷,借用户生成内容绕过检测,攻击活动主要针对IT行业且主要目标为大中型企业,活动时间跨越2024年11月至2025年4月,并在短暂停顿后以微调型恶意变种复苏。攻击通过伪装成国家大型油气企业发出的钓鱼邮件展开,邮件附件含恶意 LNK 文件、伪装 PDF 及隐藏可执行文件。LNK 文件将文件复制至特定目录,生成伪装成 BugSplat 工具的 nau.exe 及恶意 DLL,利用 DLL 劫持技术加载伪造 DLL。恶意 DLL 通过动态 API 解析等手段劫持函数,从加密 URL 提取数据获取 GitHub 下载链接,注入 Cobalt Strike Beacon 并与控制服务器通信,并通过创建账户、利用合法帖子评论隐藏痕迹。攻击导致系统远程控制风险,引发信息泄露、业务中断,此攻击波及多国,加剧全球网络安全不稳定。
防护建议:加强监控,部署邮件防御系统,开展安全培训,采用端点检测响应措施,严格检测异常文件及平台活动。
03
重点漏洞情报
01
SonicWall SMA100 文件上传漏洞(CVE-2025-40599)
风险等级:严重
-
情报来源:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0014
SonicWall 官方发布安全通告,披露了其 SMA100 系列设备存在文件上传漏洞,漏洞编号CVE-2025-40599。可导致经过身份验证的具有管理员权限的远程攻击者上传恶意文件执行任意代码等危害。SonicWall Secure Mobile Access(SMA)是一种统一的安全访问网关,为组织提供安全的远程访问和应用程序访问控制,主要面向具有数千名员工的大型分布式企业。 据官方描述,在 SonicWall 的 SMA100 系列设备的 Web 管理界面中存在文件上传漏洞,经过身份验证的具有管理员权限的远程攻击者可通过构造特制请求上传恶意文件,从而在目标服务器上执行任意代码等。 注:该漏洞不会影响 SonicWall SSL VPN SMA1000 系列产品,也不会影响运行在 SonicWall 防火墙上的 SSL-VPN 功能。
02
Google Chrome Media Stream Use After Free 漏洞
(CVE-2025-8292)
风险等级:高危
-
参考链接:
https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_29.html
https://issues.chromium.org/issues/426054987
Google 官方发布安全通告,披露了其 Chrome 浏览器的 Media Stream 组件存在 Use After Free 漏洞,漏洞编号CVE-2025-8292。可导致远程攻击者执行任意代码等危害。Google Chrome 是由 Google 开发的网页浏览器。而 Media Stream 是 Chrome 浏览器中处理多媒体流数据的组件。 据官方描述,在 Google Chrome 浏览器的 Media Stream 组件中存在 Use After Free 漏洞,远程攻击者可通过诱导用户打开精心构造的 HTML 页面触发堆损坏,从而可能导致远程任意代码的执行等。 注:该漏洞影响 Windows/Mac/Linux/Android 系统,并且无法实现沙盒逃逸。