腾讯云安全威胁情报中心
摘要概览
每周一篇
情报追踪
2025年8月
8.18-8.24
【家族团伙事件】
Blackcat近期对医疗机构设备进行入侵,并获取患者数据进行勒索
ScalyWolf针对一家工程公司通过钓鱼邮件和恶意文件诱导进行定向攻击
SilentLynx通过钓鱼邮件、恶意软件、远程访问工具等多种手段对一家电子设备服务进行渗并进行勒索
Sandworm针对北欧一水坝的操作系统实施远程控制攻击
Worok基于SharePoint漏洞向欧洲一电信运营商发起攻击
【热点攻击手段】
仿造SendGrid的钓鱼攻击方式以实现凭证收集
基于AI网站的钓鱼攻击方式
仿冒官方开具罚单和取暖补贴短信的钓鱼攻击方式
基于低成本、匿名的专用服务器(VPS)进行SaaS劫持
利用伪造的紧急数字签名更新通知邮件进行的攻击
【重点漏洞情报】
Google Chrome V8 越界写入漏洞(CVE-2025-9132)
PostgreSQL 远程代码执行漏洞(CVE-2025-8714)
Apache Tika XML 外部实体注入(XXE)漏洞(CVE-2025-54988)
Docker Desktop 权限提升漏洞(CVE-2025-9074)
Vite vite-plugin-static-copy 任意文件读取漏洞(CVE-2025-57753)
01
家族团伙事件
01
Blackcat近期对医疗机构设备进行入侵,并获取患者数据进行勒索
攻击组织别名:
黑猫
攻击组织主要影响行业:
医疗,政法,汽车,教育
-
参考链接:
https://www.cysecurity.news/2025/08/over-million-healthcare-devices-hit-by.html
近年来,全球医疗领域频繁遭受网络攻击,攻击者手段不断升级,从单一的加密勒索发展到双重敲诈。近期一次大规模事件中,黑猫黑产团伙利用高级勒索软件对医疗机构Change Healthcare发起攻击,迫使其关联机构Optum支付高额赎金,此事件暴露出当地医疗设备防护、患者数据保护存在严重漏洞和监管不足问题。在此次攻击中,黑猫黑产团伙通过精心策划的勒索软件攻击了Change Healthcare的系统。攻击者首先侵入医疗机构网络,通过扫描和利用配置错误,使得包括医学影像设备(如X光机、成像扫描仪等)、DICOM浏览器和医院管理系统在内的多种设备暴露在互联网之上。攻击过程中,团伙不仅实施了数据加密,还采取了窃取敏感信息的双重敲诈策略。最初,部分感染仅影响了约500名患者的数据,但随着攻击范围不断扩大,数据泄露规模最终攀升至涉及近两亿个患者记录。赎金支付环节上,Change Healthcare的关联机构Optum据称支付了2200万美元赎金,不料黑猫黑产团伙在收到款项后突然中断服务,并将窃取的数据转交给RansomHub勒索组织,试图再次敲诈。最终,由于未达成第二次赎金,攻击影响持续扩大,给医疗服务的连续性、安全性及患者隐私造成了极大风险与破坏。
02
ScalyWolf针对一家工程公司通过钓鱼邮件和恶意文件诱导进行定向攻击
攻击主要目的:
窃密
-
参考链接:
https://gbhackers.com/scaly-wolf-unleashing-attacks/
ScalyWolf组织长期专注于窃取企业机密,其目标在于通过高级持续性攻击获取关键的商业信息。此前在2023年就有类似针对企业的定向渗透事件被披露,此次针对俄罗斯工程公司实施的攻击进一步表明了其获取隐秘数据意图的持续性。此轮攻击始于2025年初,一直持续至年5-6月份仍在持续。攻击者利用假冒财务文件的钓鱼邮件向目标投递带有欺骗性的PDF诱饵,邮件中附带的密码保护ZIP文件中藏有伪装成PDF的可执行文件,文件名采用类似“Акт Сверки.pdf.exe”的双扩展名混淆格式。受害者在误点后,恶意文件即刻部署Trojan.Updatar.1下载器,并进一步下载Trojan.Updatar.2和Trojan.Updatar.3等模块化后门组件。该后门不仅支持数据外泄、系统侦察,还具备持久化访问能力,采用RockYou Obfuscation技术,通过随机XOR编码和RockYou.txt密码字典的混淆手段提高躲避静态分析的能力。攻击链首先在由于缺乏Dr.Web防病毒防护的初始主机上展开,通过BITS服务任务植入Meterpreter模块,从Metasploit框架中获取shell权限;随后利用FileManager.exe进行文件窃取,并通过Tool.HandleKatz对LSASS进程执行凭证转储,借助RDP Wrapper工具实现远程访问。同时,攻击者使用Tool.Chisel和Tool.Frp等流量隧道工具隐蔽其网络活动。威胁分析发现,攻击中涉及多个C2域名,如用于下载的roscosmosmeet.online以及用于Trojan.Updatar.3通信的updating-services[.]com,所有这些细节均表明攻击者倾向于使用定制工具与开源安全工具相结合的策略。
03
SilentLynx通过钓鱼邮件、恶意软件、远程访问工具等多种手段对一家电子设备服务进行渗并进行勒索
攻击组织主要影响行业:
金融,政法
-
参考链接:
https://www.hendryadrian.com/ransom-bizcom-electronics/
事件中,攻击者通过公开的暗网链接声称对Bizcom Electronics的内部网络实施了渗透攻击。攻击过程可能包括利用系统漏洞进行未经授权的访问、部署勒索软件对关键数据进行加密,从而迫使受害者支付赎金以恢复业务。具体而言,攻击者利用已知或未知的弱点入侵系统,对目标网络进行横向移动,并通过加密关键业务数据可能造成服务中断。披露的时间显示,初步的异常发现出现在2025年8月20日13:25左右,而相关勒索信息随后在同日部分渠道上得到传播。攻击者通过暗网平台展示部分窃取的信息,并试图以此作为向受害者施加压力的手段。攻击过程中虽然未公开所有技术细节,但从信息中可以推测,攻击者可能使用了钓鱼邮件、恶意软件、远程访问工具等多种手段进行渗透,并借助暗网作为发布攻击成果的渠道。此外,还不排除攻击者通过多重混淆和绕过检测技术,增加了追踪和响应难度,显示出其在技术上具有较高的专业水平和隐蔽性,给目标企业带来了较大威胁。
04
Sandworm针对北欧一水坝的操作系统实施远程控制攻击
攻击组织别名:
IRON VIKING、ELECTRUM、APT44、TEMP.Noble、TeleBots、Blue Echidna、Quedagh、FROZENBARENTS、海螺暴风
攻击组织主要影响行业:
电信运营商,能源,政法
参考链接:
https://www.hendryadrian.com/pro-russian-hackers-blamed-for-water-dam-sabotage-in-norway/
在此次事件中,黑客利用远程控制技术成功入侵北欧某水坝的操作系统,获得对水坝运作参数的直接控制权,从而实现了对水流量的调节。攻击者首先通过扫描和识别水坝系统的开放端口及漏洞,随后利用提取到的系统凭证进行深度渗透。通过入侵控制系统,黑客触发了水闸开启,使得水坝释放出超过720万公升的水流。但负责监控的操作员及时发现了异常并快速进行响应处置,成功逆转了系统控制,防止了进一步严重后果。事件发生后,参与攻击的黑客团队还公开发布了视频,以证明其远程入侵能力,此举既是对攻击技术的一次展示,也为未来其他类似行动提供了技术参考。攻击过程中,黑客采用了多重身份混淆、网络流量隐藏以及利用漏洞跨越安全防线的技术手段。尽管此次攻击主要被视为一次“演示性”行动,其所展示的入侵技巧和系统脆弱性已引起挪威及国际网络安全部门的高度关注。调查人员目前正在进一步分析入侵路径和可能涉及的其他基础设施,以评估风险和制定防范措施,同时也引发了对国家支持的网络攻击在未来可能升级为大规模混合战争工具的担忧。
05
Worok基于SharePoint漏洞向欧洲一电信运营商发起攻击
攻击组织主要影响行业:
政法、电信运营商
-
参考链接:
https://www.hendryadrian.com/colt-telecom-attack-claimed-by-warlock-ransomware-data-up-for-sale/
在本次攻击中,攻击者通过利用微软SharePoint的零日漏洞(CVE-2025-53770)成功突破了Colt Technology Services的网络防护。攻击者在发现系统未及时修补的漏洞后,迅速发起渗透,连续多日对目标网络进行扫描和数据窃取。攻击者通过非法获取系统权限,提取了大量包括财务数据、员工记录、客户档案及内部通讯内容的关键信息。在攻击进行过程中,攻击者还实施了干扰措施,导致Colt Online平台和Voice API服务被迫关闭,使得公司业务和客户服务陷入长期中断。整个过程不仅暴露了企业在网络安全防护措施上的不足,也反映了微软SharePoint系统在漏洞修复和风险防范方面亟待加强的问题。此次攻击事件凸显出企业在新型漏洞面前的脆弱性,同时也提醒其他行业加强关键业务系统的安全检测和漏洞修补工作。
腾讯云安全威胁情报团队针对此漏洞也提供了进一步分析,可跳转查看:
SharePoint 漏洞简报(CVE-2025-53770)
02
热点攻击手段
01
仿造SendGrid的钓鱼攻击方式以实现凭证收集
攻击方式关键词:
代理(T1090),恶意文件(T1204.002),文件和目录权限修改(T1222),SIP和信任提供商劫持(T1553.003),钓鱼(T1566)
-
参考链接:
https://www.hendryadrian.com/phishing-in-the-cloud-sendgrid-campaign-exploits-account-security/
此次攻击行动通过发送三种主题不同的钓鱼邮件,分别以“New Login Location”、“Activate Elite Tier Benefits”和“Phone Number Changed”为标题,旨在引起收件人的紧张或好奇心。攻击者使用了伪造的SendGrid发件人地址,并利用邮件别名修改技术让邮件看似源自SendGrid。邮件中的链接存在开放重定向漏洞,利用诸如url6849[.]destinpropertyexpert[.]com和url1390[.]hilllogistics[.]com的地址,将用户重定向至仿冒的SendGrid登录页面,如loginportalsg[.]com和sendgrid.aws-us5[.]com。该仿冒页面通过伪装成官方页面,从而诱骗用户输入登录凭证。攻击链中还利用了ct[.]sendgrid[.]net等域名和多个IP地址(包括185[.]208.156.46、104[.]21.85.103等),构成了一条复杂的重定向和托管链路,进一步掩盖攻击者的踪迹。
防护建议:
建议目标用户在接收此类邮件时务必仔细核查邮件链接,确认链接指向合法网站。同时,企业应加强电子邮件安全网关的防护能力,提供多因素认证,并定期开展网络安全培训,提升员工对网络钓鱼攻击的辨识能力。也应对异常链接进行即时封堵和监控,降低凭证被盗风险。
02
基于AI网站的钓鱼攻击方式
攻击方式关键词:
入口工具传输(T1105),利用面向公众的应用程序(T1190),Rundll32(T1218.011),终端拒绝服务(T1499),账户访问移除(T1531),域控制器身份验证(T1556.001)
-
参考链接:
https://www.hendryadrian.com/cybercriminals-abuse-ai-website-creation-app-for-phishing/
Proofpoint在2025年2月至7月期间通过电子邮件活动检测到数万条Lovable生成的URL,这些恶意项目通过智能算法和自动化工具不断更新并躲避检测,严重威胁网络安全。攻击者借助Lovable AI网站生成器在lovable[.]app域名下快速构建钓鱼和欺诈网站,这些网站通过设计精良的钓鱼页面和重定向器,将受害者引导至伪造的认证界面或恶意软件下载页面。攻击过程中,部分页面使用数学CAPTCHA作为初步验证措施,确保只有通过验证的用户才会被重定向到伪造的微软认证页面或其他目标页面。部分攻击利用Tycoon Phishing-as-a-Service平台实施同步中间人(AiTM)攻击,窃取多因素认证信息和会话cookies。此外,还有针对UPS与银行的凭证收集活动,攻击者通过易于修改“remixable”模板生成特定风格的钓鱼页面,利用已知企业形象诱骗用户输入敏感信息。另一起案例中,攻击者通过邮件分发载有RAR/EXE文件的链接,该文件在执行时会侧载经过篡改的PYTHON27.DLL,此DLL被植入了DOILoader,用于加载加密后的payload zgRAT,并通过84[.]32.41.163:7705的C2服务器进行远程控制。整体来看,这些攻击行为通过利用AI生成的网站模板与自动化工具,使得大规模钓鱼和恶意软件分发成为可能,同时混淆了传统安全监控链条。
防护建议:
建议各组织对常被滥用的在线工具实行白名单控制,强化邮件和流量过滤措施;同时应部署AI驱动的实时检测系统,定期扫描网络威胁,确保及时响应。对于Lovable此类AI网站生成工具,厂商应提升安全防护机制,增加自动化安全检查和账户保护措施,以防止平台被用于大规模网络犯罪活动。
03
仿冒官方开具罚单和取暖补贴短信的钓鱼攻击方式
攻击方式关键词:
云存储数据窃取(T1530),鱼叉式钓鱼附件(T1566.001),钓鱼信息收集(T1598),恶意软件(T1588.001),收集受害主机信息(T1592),钓鱼信息收集(T1598)
-
情报来源:
https://www.hendryadrian.com/penalty-charge-notice-pcn-winter-fuel-payment-uk-gov-smishing/
该攻击起始于通过短信发送的欺诈信息,短信内容以“Penalty Charge Notice (PCN)”和“冬季取暖补贴”为诱饵,引导受害者访问仿冒的政府及地方局服务网站。攻击者注册并使用了大量短命的仿冒域名,这些域名多采用算法自动生成的模式,并使用.live、.top、.icu等顶级域名,且多数由Dominet HK注册。钓鱼网站托管在Cloudflare平台上,这些域名通常在36至48小时内失效。调查过程中,研究人员注意到所有受感染的域名均返回404错误,只有在访问特定路径(如/pay、/bills、/index.html)时才会展示钓鱼页面,从而避开基于常规路径扫描的检测手段。进一步分析发现,钓鱼页面中嵌入了客户端JavaScript代码,该代码首先向/api路径发起AJAX请求以获取令牌,随后利用该令牌建立与/ws路径之间的websocket连接,通过持续的连接捕获用户在填写表单时的每一项数据,包括个人身份信息、车辆注册信息、邮政编码及支付卡信息。同时,值得注意的是,网页中包含的中文控制台输出指示,用于处理websocket心跳消息,显示攻击者可能具备相当的技术成熟度。整个流程利用了一个独特的HTTP请求头哈希(e4d0cf4f3dc9a95493a2)作为关联标记,使得后续的大规模域名检测和关联分析成为可能。
防护建议:
建议相关部门加强对短信内容及来源的验证,利用基于HTTP头部哈希的检测规则监控可疑流量,并对特定路径进行定向扫描。同时,应与Cloudflare和域名注册商合作,及时发现并冻结大量短命的仿冒域名。对于用户,建议采取双重验证措施,并提高防范钓鱼短信的意识,避免点击来历不明的短信链接。
04
基于低成本、匿名的专用服务器(VPS)进行SaaS劫持
攻击方式关键词:
伪装(T1036),账户发现(T1087),账户操纵(T1098),账户访问移除(T1531),修改身份验证过程(T1556)
-
情报来源:
https://www.hendryadrian.com/from-vps-to-phishing-how-darktrace-uncovered-saas-hijacks-through-virtual-infrastructure-abuse/
在2025年3月至5月期间,Darktrace检测到与VPS相关的一系列异常活动,显示攻击者利用多个VPS提供商作为跳板。首先,攻击者通过罕见的VPS IP地址进行登录,并伴有合法用户活动,暗示存在会话劫持风险;随后,发送的钓鱼邮件被迅速删除,表明攻击者试图隐藏其踪迹。在另一案例中,攻击者通过协调使用多个VPS提供商,利用token申明绕过多因素认证(MFA),并创建了带有混淆命名的邮箱规则,同时尝试修改账户恢复设置以获取持久访问权限。攻击者还采用了域名频繁更换(域名漂移)的策略,利用DNS请求驱动C2通信,并在域控制器上写入名为“SplashtopStreamer.exe”的可疑文件,此迹象或表明存在远程访问或横向渗透行为。整个攻击过程中,攻击者同时利用了暴力破解、账户权限滥用、邮箱规则操作以及对安全防护措施的绕过,展现出较高的隐蔽性和技术多样性。同时,文中提及的MITRE ATT&CK技术涵盖了从初始侵入到持久化、横向移动和防御绕过等多个层面,进一步佐证了攻击方法的复杂性和多样性。
防护建议:
建议企业立即启用自动响应功能,对异常的VPS登录行为进行及时拦截。强化多因素认证管理和监控,定期检查邮箱规则和账户恢复设置,防止未经授权的修改。同时,加强DNS请求和域名漂移的实时监控,确保及时检测异常行为并快速响应;对关键系统(如域控制器)进行严格访问监控和文件操作审计,以防潜在远程访问和横向渗透风险。
05
利用伪造的紧急数字签名更新通知邮件进行的攻击
攻击方式关键词:
应用层协议(T1071),入口工具传输(T1105),用户执行 (T1204),系统二进制代理执行(T1218),钓鱼(T1566)
-
情报来源:
https://www.hendryadrian.com/false-patch-for-digital-signature-spreads-malware/
攻击者伪造紧急更新邮件,声称数字签名软件需要及时更新,从而诱导受害者点击邮件内链接。链接指向的ZIP压缩包内含有未经过混淆的VBS脚本,该脚本包含意大利语注释,提示可能由意大利语使用者或利用AI技术的威胁者编写。VBS脚本的主要功能是安装合法的Action1远程管理工具,通过利用工具的签名和合法外观来规避检测,建立对目标系统的持久化未授权访问。虽然目前尚未发现最终的恶意负载,但攻击者可能会在适当时机进一步部署更多攻击工具。CERT-AGID已将相关的IoC指示符分发给认证组织,并对潜在受害者发出预警,同时提醒各方与签名提供商取得联系以确认更新通知的真实性。
防护建议:
建议各组织严格核实更新通知的真实性,避免点击邮件中不明链接。与此同时,应根据CERT-AGID提供的IoC指示符进行风险排查和系统防护,定期更新安全策略,并与远程管理软件供应商核实签名及软件合法性,以有效防范此类钓鱼攻击行为。
03
重点漏洞情报
01
Google Chrome V8 越界写入漏洞(CVE-2025-9132)
风险等级:高危
-
参考链接:
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_19.html
https://issues.chromium.org/issues/436181695
Google 官方发布安全通告,披露了其 Chrome 浏览器的 V8 引擎存在越界写入漏洞,漏洞编号CVE-2025-9132。可导致程序崩溃或潜在的远程代码执行等危害。该漏洞是 Google Chrome V8 JavaScript 引擎中存在的一个“越界写入” (Out-of-bounds write) 漏洞。V8 引擎在处理 JavaScript 代码时,未能正确验证内存操作的边界,导致程序可以将数据写入到已分配内存缓冲区的外部。
腾讯云安全科恩实验室漏洞分析团队针对此漏洞也提供了进一步分析,可跳转查看:
02
PostgreSQL 远程代码执行漏洞(CVE-2025-8714)
风险等级:高危
-
参考链接:
https://www.postgresql.org/support/security/CVE-2025-8714/
PostgreSQL 官方发布安全通告,披露了其存在远程代码执行漏洞,漏洞编号CVE-2025-8714。可导致远程攻击者执行任意代码等危害。PostgreSQL 是一款高级企业级开源对象-关系数据库 (ORDBMS),支持 SQL(关系型)和 JSON(非关系型)查询。 据官方描述,在 PostgreSQL 数据库中,由于备份恢复流程错误地将纯文本 SQL 转储文件视为可信输入,未对包含的元命令进行安全过滤,导致具有超级用户权限的攻击者可通过精心构造的数据库内容,在 pg_dump 生成的备份文件中植入恶意 psql 元命令。当受害者使用 psql 或 pg_restore 恢复该备份时,这些命令会以客户端操作系统账户身份自动执行,最终导致从数据库服务端到客户端的远程代码执行。
03
Apache Tika XML 外部实体注入(XXE)漏洞(CVE-2025-54988)
风险等级:高危
参考链接:
https://github.com/apache/tika/commit/94acef2854eed07f0ded357c13a659409495ca49
https://lists.apache.org/thread/8xn3rqy6kz5b3l1t83kcofkw0w4mmj1w
https://nvd.nist.gov/vuln/detail/CVE-2025-54988
Apache 官方发布安全通告,披露了其 Tika 库的 PDF 解析模块存在 XML 外部实体注入(XXE)漏洞,漏洞编号CVE-2025-54988。可导致未经身份验证的远程攻击者读取服务器任意文件或执行 SSRF 服务器端请求伪造攻击等危害。Apache Tika 是一个开源的、跨平台的 Java 库,主要用于检测、提取和解析各种类型文件的元数据。它支持多种文件格式,包括文档、图片、音频和视频,经常用于搜索引擎、内容管理系统、数据分析任务等领域,无缝地集成到其他应用或服务中以增强对文件内容处理的能力。 据官方描述,在 Apache Tika 的 PDF 解析模块(tika-parser-pdf-module)中,由于 XMLReaderUtils.java 的 getXMLInputFactory() 方法未安全初始化 XMLInputFactory,导致其无法禁用外部实体加载功能。未经身份验证的远程攻击者可通过构造包含恶意 XML 外部实体声明的 XFA 表单的 PDF 文件进行利用,从而直接读取服务器上的任意文件或造成 SSRF 服务器端请求伪造攻击。 注:tika-parser-pdf-module 是多个 Tika 软件包的依赖项,至少包括:tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc 和 tika-server-standard 等,即依赖 tika-parser-pdf-module 的 Tika 软件包均受该漏洞影响。
04
Docker Desktop 权限提升漏洞(CVE-2025-9074)
风险等级:高危
-
参考链接:
https://docs.docker.com/desktop/release-notes/#4443 https://nvd.nist.gov/vuln/detail/CVE-2025-9074
Docker 官方发布安全通告,披露了其 Docker Desktop 存在权限提升漏洞,漏洞编号CVE-2025-9074。可导致攻击者提升权限并操控或创建其他特权容器等危害。Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。 据官方描述,在 Docker Desktop 的网络架构设计中,由于其内部虚拟网络意外地暴露了一个无认证的 Docker 引擎 API 端点 192[.]168.65.7:2375,导致无论是否启用了增强容器隔离 ECI (Enhanced Container Isolation),以及是否启用了 tcp://localhost:2375 (不使用 TLS) 选项的情况下,任何一个在本地运行的 Linux 容器,无论权限高低,无需任何凭证均可直接访问此 API,从而导致攻击者可通过诱使用户运行精心构造的恶意容器向宿主的 Docker 守护进程发送任意指令,实现完全的权限提升,从而操控其他容器、创建特权容器,甚至可挂载主机文件系统逃逸容器访问宿主机上的资源等。 注:该漏洞只影响 Windows/Mac 上的 Docker Desktop,Linux 上的 Docker Desktop 不易受该漏洞影响。
05
Vite vite-plugin-static-copy 任意文件读取漏洞(CVE-2025-57753)
风险等级:高危
-
参考链接:
https://github.com/sapphi-red/vite-plugin-static-copy/security/advisories/GHSA-pp7p-q8fx-2968 https://nvd.nist.gov/vuln/detail/CVE-2025-57753
Vite 的 vite-plugin-static-copy 插件被披露其存在任意文件读取漏洞,漏洞编号CVE-2025-57753。可导致远程攻击者读取服务器任意文件等危害。vite-plugin-static-copy 是一个用于 Vite 构建工具的官方插件,主要用于在项目构建时,将指定的文件或文件夹自动复制到最终的输出目录中。 据官方描述,当 Vite 开发服务器暴露到公网上(即启用 --host 或配置 server.host 选项)时,由于 vite-plugin-static-copy 插件在开发模式下处理静态文件请求时未对用户请求路径进行有效的安全校验与规范化处理,导致其直接将 URL 路径拼接到配置的源目录后,攻击者可通过构造包含路径遍历序列(如 ../../)的恶意请求,绕过访问限制,读取服务器文件系统上的任意文件,从而造成敏感信息泄露等。 目前该漏洞的漏洞细节、POC已公开。