Rare Werewolf组织网络攻击：：手法多样威胁俄及CIS国度

首页 > 安全钻研 > 安全传递 > 安全简讯

Rare Werewolf组织网络攻击：：手法多样威胁俄及CIS国度

颁布功夫 2025-06-11

1. Rare Werewolf组织网络攻击：：手法多样威胁俄及CIS国度

6月10日，，Rare Werewolf（前称 Rare Wolf）黑客组织，，也被称为 Librarian Ghouls 和 Rezet，，被认定为高级持续性威胁（APT）组织，，与一系列针对俄罗斯和独立国度结合体（CIS）国度的网络攻击有关，，自 2019 年以来一向活跃。该组织攻击意图是在受习染主机上成立远程接见、窃取凭证并部署加密钱币矿工，，影响数百名俄罗斯用户，，涉及工业企业和工程院校，，白俄罗斯和哈萨克斯坦也有少量习染。其攻击显著特点是偏差于使用合法第三方软件，，恶意职能通过号令文件和 PowerShell 剧本实现。该威胁行为者通过垂钓邮件获取初始接见权限，，利用安身点窃取数据并投放多种工具，，用于交互、网络密码和禁用防病毒软件�？？？ò退够吐嫉淖钚鹿セ飨允�，，以蕴含可执行文件的受密码�；ぱ顾醢鸬�，，压缩包中有装置法式，，用于部署合法工具及其他载荷，，蕴含钓饵 PDF 文档。中央载荷从远程服务器获取其他文件，，还使用 AnyDesk 远程桌面软件和 Windows 批处置剧本推进数据窃取和矿工部署，，批处置剧本能自动唤醒受害者系统并允许攻击者远程接见。利用第三方合法软件进行恶意主张是常见技术，，增长了 APT 活动检测和归因难度。

https://thehackernews.com/2025/06/rare-werewolf-apt-uses-legitimate.html

2. DanaBot恶意软件缝隙“DanaBleed”露出致其被查

6月10日，，2022年6月更新中，，DanaBot恶意软件操作引入的名为“DanaBleed”的缝隙，，导致其在后续法律行动中被鉴别、告状并拆除。DanaBot是一个活跃于2018年至2025年的恶意软件即服务（MaaS）平台，，常用于银行诓骗、凭证偷窃、远程接见和DDoS攻击。Zscaler ThreatLabz钻研人员发现该缝隙，，内存泄漏使他们得以深刻相识恶意软件内部操作及其背后人员。利用此缝隙，，国际法律部门发展“终局行动”，，使DanaBot基础设施下线，，并告状该威胁组织16名成员。DanaBleed缝隙随DataBot版本2380引入，，该版本新增C2和谈，，但新和谈逻辑存在弱点，，未为随机天生的填充字节初始化新分配内存，，导致C2响应蕴含服务器内存中渣滓数据片段，，类似2014年HeartBleed问题。此缝隙使大量个人数据露出给钻研人员，，蕴含威胁行为者具体信息、后端基础设施、受害者数据、恶意软件更新日志、个人加密密钥、SQL查问和调试日志以及C2仪表板的HTML和Web界面片段等。三年多来，，DanaBot一向处于受损模式，，开发人员或客户未觉察已露出。当网络到足够数据后，，法律部门采取行动，，虽主题团队仅被告状未被扣留，，但关键C2服务器、650个域名和近400万美元加密钱币被查封，，临时解除了威胁。将来威胁行为者重返网络犯罪活动的可能性不大，，且黑客社区信赖度降低将成为其一大阻碍。

https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/

3. FIN6黑客组织假意求职者传布恶意软件“More Eggs”

6月10日，，与典型招聘有关社会工程攻击分歧，，FIN6黑客组织假意求职者，，利用社会工程伎俩传布恶意软件。FIN6别名“骷髅蜘蛛”，，最初以金融诓骗闻名，，如入侵销售点系统窃守信誉卡信息，，2019年起攻击领域扩大至勒索软件，，并参与Ryuk和Lockergoga等行动。近期，，该组织利用社会工程活动传布“More Eggs”，，这是一种恶意软件即服务的JavaScript后门，，用于凭证偷窃、系统接见和勒索软件部署。攻击过程中，，FIN6假装成虚伪求职者，，通过LinkedIn和Indeed与招聘人员和人力资源部门联系，，成立关系后发送垂钓邮件。邮件含指向“简历网站”的不成点击URL，，迫使收件人手动输入，，这些域名通过GoDaddy匿名注册并托管在AWS上。FIN6还增长环境指纹和行为查抄，，确保只有指标能打开登陆页面，，阻止VPN或云衔接及Linux或macOS接见尝试。切合前提的受害者会收到假的CAPTCHA步骤，，并被提醒下载蕴含假装Windows快捷方式文件（LNK）的ZIP档案，，该文件执行剧本下载“More Eggs”后门。该后门由“Venom Spider”创建，，是�？？？榛竺�，，能执行号令、窃取凭证、传递额外有效载荷及执行PowerShell。FIN6的攻击虽单一但有效，，依赖社会工程学和高级逃避技术。因而，，招聘人员和人力资源员工应审慎对待审查简历和文章集的约请，，公司和招聘机构也应独立确认人员身份。

https://www.bleepingcomputer.com/news/security/fin6-hackers-pose-as-job-seekers-to-backdoor-recruiters-devices/

4. Heroku突发大面积中断超六小时，，致开发碰壁服务受影响

6月10日，，Heroku作为Salesforce旗下的平台即服务（PaaS），，允许开发人员将利用法式部署到云端而无需治理基础设施，，但近日遭逢了持续六个多小时的大面积中断。这次宕机始于周二凌晨，，用户汇报称Heroku利用无法运行，，且开发人员无法登录Heroku仪表板并使用CLI工具。Heroku在其状态页面上认可了这一事务，，并暗示正在调查。中断影响了众多公司和站点的服务，，例如SolarWinds因无法从Heroku获取日志而受到波及。使用Heroku利用法式实现各类职能的网站也受到影响，，部门职能无法正常运行。Heroku尚未提供有关中断底子原因的具体信息或何时复原服务，，不外在2025年6月10日，，Salesforce暗示没有证据批注这次服务中断存在恶意活动，，并提供了客户跟踪更新的链接。截至UTC功夫21:48:25，，Heroku状态页面显示已解决dashboard.heroku.com的问题，，客户可接见该网站，，同时为仍受影响的客户提供了通过Heroku号令行界面运行的号令作为解决步骤，，并强调应一次重启一台测功机以预防服务中断。Heroku暗示其工作重点仍是内部测试和验证，，并将持续关注其他产品的改进，，同时吃嫉尽快提供解决规划功夫表，，并对由此造成的持续困扰深表歉意。

https://www.bleepingcomputer.com/news/technology/massive-heroku-outage-impacts-web-platforms-worldwide/

5. DuplexSpy RAT新型木马现身，，可齐全节制Windows系统

6月9日，，网络安全钻研人员近日发现一款名为DuplexSpy RAT的新型高级远程接见木马，，该木马可让攻击者全面监控与节制Windows系统。这款恶意软件选取C#说话开发，，具备简洁的图形界面和可配置选项，，显著降低了网络犯罪分子入侵指标设备的技术门槛。其选取AES-256-CBC和RSA-4096双重加密算法，，�；な芟叭局骰牒帕罱诶穹衿骷涞耐ㄑ�，，有效躲避网络检测。该RAT最初由开发者以“教育用处”颁布在GitHub上，，但其多职能性和易定制性吸引了威胁行为者。DuplexSpy RAT职能全面，，不仅蕴含键盘纪录、实时屏幕捕获等传统远程接见职能，，还具备摄像头/麦克风监控及交互式号令终端等高级监控能力。在悠久化与荫蔽性方面，，该木马选取多层战术，，以“Windows Update.exe”为假装名称复制到用户启动文件夹，，并创建对应注册表项，，确保系统重启和算帐尝试中仍能存活。同时，，它还具备高级反分析能力，，每100毫秒监控系统过程，，针对安全工具和分析利用，，一旦检测到安全软件，，便会终止有关过程并显示虚伪谬误信息误导用户。此外，，该RAT选取无文件执行技术，，直接将自身加载到内存后删除磁盘原始可执行文件，，极大削减了取证痕迹。

https://cybersecuritynews.com/new-duplexspy-rat-let-attackers-gain-complete-control/

6. S5 Agency World遭Bert勒索攻击致数据被盗

6月10日，，大型港口代理机构S5 Agency World近日遭到勒索软件团伙攻击，，攻击者宣称窃取了近140GB数据，，并将该公司名字颁布在暗网泄密网站上，，以此迫使S5支付赎金，，预防数据泄露给公家带来不良影响。S5作为一家海上运输公司，，业务覆盖全球360多个港口，，在航运公司船舶�？？？渴背淙伪镜卮�，，其运营对海上运输至关重要。攻击者颁布了几张据称被盗信息的截图，，经钻研团队调查，，这些数据样本似乎是合法的，，蕴含查抄汇报、员工新冠疫苗接种情况、部门护照复印件等，，但数据样本有限，，现实获取的文件总量可能更大。对于海上运输公司而言，，网络攻击导致的�；怀山邮�，，由于运输延误会造成供给链瓶颈，，对客户造成负面影响。值妥贴心的是，，Bert勒索软件是该领域的新成员，，于2025年4月初次被发现，，且在短短功夫内已成功攻击了十几个组织。钻研人员指出，，Bert勒索软件团伙通过合法软件供给链传布恶意软件，，通常以医疗保健和科技行业为指标，，且似乎极度适该当前的网络犯罪局势，，将来可能演造成更大的威胁。

https://cybernews.com/security/port-agency-ransomware-data-breach/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研