Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

首页 > 清静研究 > 清静转达 > 清静简讯

Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

宣布时间 2025-06-11

1. Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

6月10日，，，，，，，Rare Werewolf（前称 Rare Wolf）黑客组织，，，，，，，也被称为 Librarian Ghouls 和 Rezet，，，，，，，被认定为高级一连性威胁（APT）组织，，，，，，，与一系列针对俄罗斯和自力国家联合体（CIS）国家的网络攻击有关，，，，，，，自 2019 年以来一直活跃。。。。该组织攻击意图是在受熏染主机上建设远程会见、窃取凭证并安排加密钱币矿工，，，，，，，影响数百名俄罗斯用户，，，，，，，涉及工业企业和工程院校，，，，，，，白俄罗斯和哈萨克斯坦也有少量熏染。。。。其攻击显著特征是倾向于使用正当第三方软件，，，，，，，恶意功效通过下令文件和 PowerShell 剧本实现。。。。该威胁行为者通过垂纶邮件获取初始会见权限，，，，，，，使用驻足点窃取数据并投放多种工具，，，，，，，用于交互、网络密码和禁用防病毒软件。。。�？？？？？ò退够吐嫉淖钚鹿セ飨允�，，，，，，，以包括可执行文件的受密码�；；；ぱ顾醢鸬�，，，，，，，压缩包中有装置程序，，，，，，，用于安排正当工具及其他载荷，，，，，，，包括诱饵 PDF 文档。。。。中心载荷从远程效劳器获取其他文件，，，，，，，还使用 AnyDesk 远程桌面软件和 Windows 批处置惩罚剧本增进数据窃取和矿工安排，，，，，，，批处置惩罚剧本能自动叫醒受害者系统并允许攻击者远程会见。。。。使用第三朴直当软件举行恶意目的是常见手艺，，，，，，，增添了 APT 活动检测和归因难度。。。。

https://thehackernews.com/2025/06/rare-werewolf-apt-uses-legitimate.html

2. DanaBot恶意软件误差“DanaBleed”袒露致其被查

6月10日，，，，，，，2022年6月更新中，，，，，，，DanaBot恶意软件操作引入的名为“DanaBleed”的误差，，，，，，，导致其在后续执法行动中被识别、起诉并拆除。。。。DanaBot是一个活跃于2018年至2025年的恶意软件即效劳（MaaS）平台，，，，，，，常用于银行诓骗、凭证偷窃、远程会见和DDoS攻击。。。。Zscaler ThreatLabz研究职员发明该误差，，，，，，，内存走漏使他们得以深入相识恶意软件内部操作及其背后职员。。。。使用此误差，，，，，，，国际执法部分开展“终局行动”，，，，，，，使DanaBot基础设施下线，，，，，，，并起诉该威胁组织16名成员。。。。DanaBleed误差随DataBot版本2380引入，，，，，，，该版本新增C2协议，，，，，，，但新协议逻辑保存弱点，，，，，，，未为随机天生的填充字节初始化新分派内存，，，，，，，导致C2响应包括效劳器内存中剩余数据片断，，，，，，，类似2014年HeartBleed问题。。。。此误差使大宗私人数据袒露给研究职员，，，，，，，包括威胁行为者详细信息、后端基础设施、受害者数据、恶意软件更新日志、私人加密密钥、SQL盘问和调试日志以及C2仪表板的HTML和Web界面片断等。。。。三年多来，，，，，，，DanaBot一直处于受损模式，，，，，，，开发职员或客户未察觉已袒露。。。。当网络到足够数据后，，，，，，，执法部分接纳行动，，，，，，，虽焦点团队仅被起诉未被拘捕，，，，，，，但要害C2效劳器、650个域名和近400万美元加密钱币被查封，，，，，，，暂时消除了威胁。。。。未来威胁行为者重返网络犯法活动的可能性不大，，，，，，，且黑客社区信任度降低将成为其一大障碍。。。。

https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/

3. FIN6黑客组织冒充求职者撒播恶意软件“More Eggs”

6月10日，，，，，，，与典范招聘相关社会工程攻击差别，，，，，，，FIN6黑客组织冒充求职者，，，，，，，使用社会工程手段撒播恶意软件。。。。FIN6又名“骷髅蜘蛛”，，，，，，，最初以金融诓骗著名，，，，，，，如入侵销售点系统窃守信用卡信息，，，，，，，2019年起攻击规模扩大至勒索软件，，，，，，，并加入Ryuk和Lockergoga等行动。。。。近期，，，，，，，该组织使用社会工程活动撒播“More Eggs”，，，，，，，这是一种恶意软件即效劳的JavaScript后门，，，，，，，用于凭证偷窃、系统会见和勒索软件安排。。。。攻击历程中，，，，，，，FIN6伪装成虚伪求职者，，，，，，，通过LinkedIn和Indeed与招聘职员和人力资源部分联系，，，，，，，建设关系后发送垂纶邮件。。。。邮件含指向“简历网站”的不可点击URL，，，，，，，迫使收件人手动输入，，，，，，，这些域名通过GoDaddy匿名注册并托管在AWS上。。。。FIN6还增添情形指纹和行为检查，，，，，，，确保只有目的能翻开上岸页面，，，，，，，阻止VPN或云毗连及Linux或macOS会见实验。。。。切合条件的受害者会收到假的CAPTCHA办法，，，，，，，并被提醒下载包括伪装Windows快捷方法文件（LNK）的ZIP档案，，，，，，，该文件执行剧本下载“More Eggs”后门。。。。该后门由“Venom Spider”建设，，，，，，，是�？？？？？榛竺�，，，，，，，能执行下令、窃取凭证、转达特殊有用载荷及执行PowerShell。。。。FIN6的攻击虽简朴但有用，，，，，，，依赖社会工程学和高级逃避手艺。。。。因此，，，，，，，招聘职员和人力资源员工应审慎看待审查简历和作品集的约请，，，，，，，公司和招聘机构也应自力确认职员身份。。。。

https://www.bleepingcomputer.com/news/security/fin6-hackers-pose-as-job-seekers-to-backdoor-recruiters-devices/

4. Heroku突发大面积中止超六小时，，，，，，，致开发受阻效劳受影响

6月10日，，，，，，，Heroku作为Salesforce旗下的平台即效劳（PaaS），，，，，，，允许开发职员将应用程序安排到云端而无需治理基础设施，，，，，，，但克日遭遇了一连六个多小时的大面积中止。。。。此次宕机始于周二破晓，，，，，，，用户报告称Heroku应用无法运行，，，，，，，且开发职员无法登录Heroku仪表板并使用CLI工具。。。。Heroku在其状态页面上认可了这一事务，，，，，，，并体现正在视察。。。。中止影响了众多公司和站点的效劳，，，，，，，例如SolarWinds因无法从Heroku获取日志而受到波及。。。。使用Heroku应用程序实现种种功效的网站也受到影响，，，，，，，部分功效无法正常运行。。。。Heroku尚未提供有关中止基础缘故原由的详细信息或何时恢复效劳，，，，，，，不过在2025年6月10日，，，，，，，Salesforce体现没有证据批注此次效劳中止保存恶意活动，，，，，，，并提供了客户跟踪更新的链接。。。。阻止UTC时间21:48:25，，，，，，，Heroku状态页面显示已解决dashboard.heroku.com的问题，，，，，，，客户可会见该网站，，，，，，，同时为仍受影响的客户提供了通过Heroku下令行界面运行的下令作为解决要领，，，，，，，并强调应一次重启一台测功机以阻止效劳中止。。。。Heroku体现其事情重点仍是内部测试和验证，，，，，，，并将继续关注其他产品的刷新，，，，，，，同时允许尽快提供解决计划时间表，，，，，，，并对由此造成的一连困扰深表歉意。。。。

https://www.bleepingcomputer.com/news/technology/massive-heroku-outage-impacts-web-platforms-worldwide/

5. DuplexSpy RAT新型木马现身，，，，，，，可完全控制Windows系统

6月9日，，，，，，，网络清静研究职员克日发明一款名为DuplexSpy RAT的新型高级远程会见木马，，，，，，，该木马可让攻击者周全监控与控制Windows系统。。。。这款恶意软件接纳C#语言开发，，，，，，，具备精练的图形界面和可设置选项，，，，，，，显著降低了网络犯法分子入侵目的装备的手艺门槛。。。。其接纳AES-256-CBC和RSA-4096双重加密算法，，，，，，，�；；；な苎局骰胂铝羁刂菩Ю推骷涞耐ㄑ�，，，，，，，有用规避网络检测。。。。该RAT最初由开发者以“教育用途”宣布在GitHub上，，，，，，，但其多功效性和易定制性吸引了威胁行为者。。。。DuplexSpy RAT功效周全，，，，，，，不但包括键盘纪录、实时屏幕捕获等古板远程会见功效，，，，，，，还具备摄像头/麦克风监控及交互式下令终端等高级监控能力。。。。在长期化与隐藏性方面，，，，，，，该木马接纳多层战略，，，，，，，以“Windows Update.exe”为伪装名称复制到用户启动文件夹，，，，，，，并建设对应注册表项，，，，，，，确保系统重启和整理实验中仍能存活。。。。同时，，，，，，，它还具备高级反剖析能力，，，，，，，每100毫秒监控系统历程，，，，，，，针对清静工具和剖析应用，，，，，，，一旦检测到清静软件，，，，，，，便会终止相关历程并显示虚伪过失信息误导用户。。。。别的，，，，，，，该RAT接纳无文件执行手艺，，，，，，，直接将自身加载到内存后删除磁盘原始可执行文件，，，，，，，极大镌汰了取证痕迹。。。。

https://cybersecuritynews.com/new-duplexspy-rat-let-attackers-gain-complete-control/

6. S5 Agency World遭Bert勒索攻击致数据被盗

6月10日，，，，，，，大型口岸署理机构S5 Agency World克日遭到勒索软件团伙攻击，，，，，，，攻击者宣称窃取了近140GB数据，，，，，，，并将该公司名字宣布在暗网泄密网站上，，，，，，，以此迫使S5支付赎金，，，，，，，阻止数据泄露给公众带来不良影响。。。。S5作为一家海上运输公司，，，，，，，营业笼罩全球360多个口岸，，，，，，，在航运公司船舶�？？？？？渴背涞蓖獾卮�，，，，，，，其运营对海上运输至关主要。。。。攻击者宣布了几张据称被盗信息的截图，，，，，，，经研究团队视察，，，，，，，这些数据样本似乎是正当的，，，，，，，包括检查报告、员工新冠疫苗接种情形、部分护照复印件等，，，，，，，但数据样本有限，，，，，，，现实获取的文件总量可能更大。。。。关于海上运输公司而言，，，，，，，网络攻击导致的�；；；豢山邮�，，，，，，，由于运输延误会造成供应链瓶颈，，，，，，，对客户造成负面影响。。。。值得注重的是，，，，，，，Bert勒索软件是该领域的新成员，，，，，，，于2025年4月首次被发明，，，，，，，且在短短时间内已乐成攻击了十几个组织。。。。研究职员指出，，，，，，，Bert勒索软件团伙通过正当软件供应链撒播恶意软件，，，，，，，通常以医疗保健和科技行业为目的，，，，，，，且似乎很是顺应目今的网络犯法形势，，，，，，，未来可能演酿成更大的威胁。。。。

https://cybernews.com/security/port-agency-ransomware-data-breach/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究