Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

首页 > 清静研究 > 清静转达 > 清静简讯

Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

宣布时间 2025-06-11

1. Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

6月10日，，，，，，Rare Werewolf（前称 Rare Wolf）黑客组织，，，，，，也被称为 Librarian Ghouls 和 Rezet，，，，，，被认定为高级一连性威胁（APT）组织，，，，，，与一系列针对俄罗斯和自力国家联合体（CIS）国家的网络攻击有关，，，，，，自 2019 年以来一直活跃。。。。。。。该组织攻击意图是在受熏染主机上建设远程会见、窃取凭证并安排加密钱币矿工，，，，，，影响数百名俄罗斯用户，，，，，，涉及工业企业和工程院校，，，，，，白俄罗斯和哈萨克斯坦也有少量熏染。。。。。。。其攻击显著特征是倾向于使用正当第三方软件，，，，，，恶意功效通过下令文件和 PowerShell 剧本实现。。。。。。。该威胁行为者通过垂纶邮件获取初始会见权限，，，，，，使用驻足点窃取数据并投放多种工具，，，，，，用于交互、网络密码和禁用防病毒软件。。。。。。。�？？？ò退够吐嫉淖钚鹿セ飨允�，，，，，，以包括可执行文件的受密码�；；；；；ぱ顾醢鸬�，，，，，，压缩包中有装置程序，，，，，，用于安排正当工具及其他载荷，，，，，，包括诱饵 PDF 文档。。。。。。。中心载荷从远程效劳器获取其他文件，，，，，，还使用 AnyDesk 远程桌面软件和 Windows 批处置惩罚剧本增进数据窃取和矿工安排，，，，，，批处置惩罚剧本能自动叫醒受害者系统并允许攻击者远程会见。。。。。。。使用第三朴直当软件举行恶意目的是常见手艺，，，，，，增添了 APT 活动检测和归因难度。。。。。。。

https://thehackernews.com/2025/06/rare-werewolf-apt-uses-legitimate.html

2. DanaBot恶意软件误差“DanaBleed”袒露致其被查

6月10日，，，，，，2022年6月更新中，，，，，，DanaBot恶意软件操作引入的名为“DanaBleed”的误差，，，，，，导致其在后续执法行动中被识别、起诉并拆除。。。。。。。DanaBot是一个活跃于2018年至2025年的恶意软件即效劳（MaaS）平台，，，，，，常用于银行诓骗、凭证偷窃、远程会见和DDoS攻击。。。。。。。Zscaler ThreatLabz研究职员发明该误差，，，，，，内存走漏使他们得以深入相识恶意软件内部操作及其背后职员。。。。。。。使用此误差，，，，，，国际执法部分开展“终局行动”，，，，，，使DanaBot基础设施下线，，，，，，并起诉该威胁组织16名成员。。。。。。。DanaBleed误差随DataBot版本2380引入，，，，，，该版本新增C2协议，，，，，，但新协议逻辑保存弱点，，，，，，未为随机天生的填充字节初始化新分派内存，，，，，，导致C2响应包括效劳器内存中剩余数据片断，，，，，，类似2014年HeartBleed问题。。。。。。。此误差使大宗私人数据袒露给研究职员，，，，，，包括威胁行为者详细信息、后端基础设施、受害者数据、恶意软件更新日志、私人加密密钥、SQL盘问和调试日志以及C2仪表板的HTML和Web界面片断等。。。。。。。三年多来，，，，，，DanaBot一直处于受损模式，，，，，，开发职员或客户未察觉已袒露。。。。。。。当网络到足够数据后，，，，，，执法部分接纳行动，，，，，，虽焦点团队仅被起诉未被拘捕，，，，，，但要害C2效劳器、650个域名和近400万美元加密钱币被查封，，，，，，暂时消除了威胁。。。。。。。未来威胁行为者重返网络犯法活动的可能性不大，，，，，，且黑客社区信任度降低将成为其一大障碍。。。。。。。

https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/

3. FIN6黑客组织冒充求职者撒播恶意软件“More Eggs”

6月10日，，，，，，与典范招聘相关社会工程攻击差别，，，，，，FIN6黑客组织冒充求职者，，，，，，使用社会工程手段撒播恶意软件。。。。。。。FIN6又名“骷髅蜘蛛”，，，，，，最初以金融诓骗著名，，，，，，如入侵销售点系统窃守信用卡信息，，，，，，2019年起攻击规模扩大至勒索软件，，，，，，并加入Ryuk和Lockergoga等行动。。。。。。。近期，，，，，，该组织使用社会工程活动撒播“More Eggs”，，，，，，这是一种恶意软件即效劳的JavaScript后门，，，，，，用于凭证偷窃、系统会见和勒索软件安排。。。。。。。攻击历程中，，，，，，FIN6伪装成虚伪求职者，，，，，，通过LinkedIn和Indeed与招聘职员和人力资源部分联系，，，，，，建设关系后发送垂纶邮件。。。。。。。邮件含指向“简历网站”的不可点击URL，，，，，，迫使收件人手动输入，，，，，，这些域名通过GoDaddy匿名注册并托管在AWS上。。。。。。。FIN6还增添情形指纹和行为检查，，，，，，确保只有目的能翻开上岸页面，，，，，，阻止VPN或云毗连及Linux或macOS会见实验。。。。。。。切合条件的受害者会收到假的CAPTCHA办法，，，，，，并被提醒下载包括伪装Windows快捷方法文件（LNK）的ZIP档案，，，，，，该文件执行剧本下载“More Eggs”后门。。。。。。。该后门由“Venom Spider”建设，，，，，，是模�？？？榛竺�，，，，，，能执行下令、窃取凭证、转达特殊有用载荷及执行PowerShell。。。。。。。FIN6的攻击虽简朴但有用，，，，，，依赖社会工程学和高级逃避手艺。。。。。。。因此，，，，，，招聘职员和人力资源员工应审慎看待审查简历和作品集的约请，，，，，，公司和招聘机构也应自力确认职员身份。。。。。。。

https://www.bleepingcomputer.com/news/security/fin6-hackers-pose-as-job-seekers-to-backdoor-recruiters-devices/

4. Heroku突发大面积中止超六小时，，，，，，致开发受阻效劳受影响

6月10日，，，，，，Heroku作为Salesforce旗下的平台即效劳（PaaS），，，，，，允许开发职员将应用程序安排到云端而无需治理基础设施，，，，，，但克日遭遇了一连六个多小时的大面积中止。。。。。。。此次宕机始于周二破晓，，，，，，用户报告称Heroku应用无法运行，，，，，，且开发职员无法登录Heroku仪表板并使用CLI工具。。。。。。。Heroku在其状态页面上认可了这一事务，，，，，，并体现正在视察。。。。。。。中止影响了众多公司和站点的效劳，，，，，，例如SolarWinds因无法从Heroku获取日志而受到波及。。。。。。。使用Heroku应用程序实现种种功效的网站也受到影响，，，，，，部分功效无法正常运行。。。。。。。Heroku尚未提供有关中止基础缘故原由的详细信息或何时恢复效劳，，，，，，不过在2025年6月10日，，，，，，Salesforce体现没有证据批注此次效劳中止保存恶意活动，，，，，，并提供了客户跟踪更新的链接。。。。。。。阻止UTC时间21:48:25，，，，，，Heroku状态页面显示已解决dashboard.heroku.com的问题，，，，，，客户可会见该网站，，，，，，同时为仍受影响的客户提供了通过Heroku下令行界面运行的下令作为解决要领，，，，，，并强调应一次重启一台测功机以阻止效劳中止。。。。。。。Heroku体现其事情重点仍是内部测试和验证，，，，，，并将继续关注其他产品的刷新，，，，，，同时允许尽快提供解决计划时间表，，，，，，并对由此造成的一连困扰深表歉意。。。。。。。

https://www.bleepingcomputer.com/news/technology/massive-heroku-outage-impacts-web-platforms-worldwide/

5. DuplexSpy RAT新型木马现身，，，，，，可完全控制Windows系统

6月9日，，，，，，网络清静研究职员克日发明一款名为DuplexSpy RAT的新型高级远程会见木马，，，，，，该木马可让攻击者周全监控与控制Windows系统。。。。。。。这款恶意软件接纳C#语言开发，，，，，，具备精练的图形界面和可设置选项，，，，，，显著降低了网络犯法分子入侵目的装备的手艺门槛。。。。。。。其接纳AES-256-CBC和RSA-4096双重加密算法，，，，，，�；；；；；な苎局骰胂铝羁刂菩Ю推骷涞耐ㄑ�，，，，，，有用规避网络检测。。。。。。。该RAT最初由开发者以“教育用途”宣布在GitHub上，，，，，，但其多功效性和易定制性吸引了威胁行为者。。。。。。。DuplexSpy RAT功效周全，，，，，，不但包括键盘纪录、实时屏幕捕获等古板远程会见功效，，，，，，还具备摄像头/麦克风监控及交互式下令终端等高级监控能力。。。。。。。在长期化与隐藏性方面，，，，，，该木马接纳多层战略，，，，，，以“Windows Update.exe”为伪装名称复制到用户启动文件夹，，，，，，并建设对应注册表项，，，，，，确保系统重启和整理实验中仍能存活。。。。。。。同时，，，，，，它还具备高级反剖析能力，，，，，，每100毫秒监控系统历程，，，，，，针对清静工具和剖析应用，，，，，，一旦检测到清静软件，，，，，，便会终止相关历程并显示虚伪过失信息误导用户。。。。。。。别的，，，，，，该RAT接纳无文件执行手艺，，，，，，直接将自身加载到内存后删除磁盘原始可执行文件，，，，，，极大镌汰了取证痕迹。。。。。。。

https://cybersecuritynews.com/new-duplexspy-rat-let-attackers-gain-complete-control/

6. S5 Agency World遭Bert勒索攻击致数据被盗

6月10日，，，，，，大型口岸署理机构S5 Agency World克日遭到勒索软件团伙攻击，，，，，，攻击者宣称窃取了近140GB数据，，，，，，并将该公司名字宣布在暗网泄密网站上，，，，，，以此迫使S5支付赎金，，，，，，阻止数据泄露给公众带来不良影响。。。。。。。S5作为一家海上运输公司，，，，，，营业笼罩全球360多个口岸，，，，，，在航运公司船舶停�？？？渴背涞蓖獾卮�，，，，，，其运营对海上运输至关主要。。。。。。。攻击者宣布了几张据称被盗信息的截图，，，，，，经研究团队视察，，，，，，这些数据样本似乎是正当的，，，，，，包括检查报告、员工新冠疫苗接种情形、部分护照复印件等，，，，，，但数据样本有限，，，，，，现实获取的文件总量可能更大。。。。。。。关于海上运输公司而言，，，，，，网络攻击导致的�；；；；；豢山邮�，，，，，，由于运输延误会造成供应链瓶颈，，，，，，对客户造成负面影响。。。。。。。值得注重的是，，，，，，Bert勒索软件是该领域的新成员，，，，，，于2025年4月首次被发明，，，，，，且在短短时间内已乐成攻击了十几个组织。。。。。。。研究职员指出，，，，，，Bert勒索软件团伙通过正当软件供应链撒播恶意软件，，，，，，通常以医疗保健和科技行业为目的，，，，，，且似乎很是顺应目今的网络犯法形势，，，，，，未来可能演酿成更大的威胁。。。。。。。

https://cybernews.com/security/port-agency-ransomware-data-breach/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究