ShadowLeak攻击：ChatGPT效劳器端数据窃取的新威胁

首页 > 清静研究 > 清静转达 > 清静简讯

ShadowLeak攻击：ChatGPT效劳器端数据窃取的新威胁

宣布时间 2025-09-22

1. ShadowLeak攻击：ChatGPT效劳器端数据窃取的新威胁

9月18日，，，，Radware研究职员发明名为ShadowLeak的新型攻击，，，，使用ChatGPT的Deep Research署理实现零点击效劳器端数据窃取。。。。。。。该攻击通过全心设计的电子邮件中隐藏HTML指令，，，，在用户无操作或可见界面提醒的情形下，，，，触发署理从Gmail收件箱提取小我私家身份信息（PII）并静默发送至攻击者控制的效劳器。。。。。。。区别于依赖客户端图像渲染的客户端攻击，，，，ShadowLeak直接从OpenAI云基础设施泄露数据，，，，使企业防御系统难以检测，，，，用户亦无感知。。。。。。。Deep Research允许ChatGPT自主浏览网页5-30分钟天生详细报告，，，，并与Gmail等应用集成。。。。。。。攻击流程中，，，，攻击者发送包括社会工程战略的邮件，，，，署理读取恶意内容后执行隐藏指令，，，，将PII注入攻击者URL，，，，实现静默数据渗透。。。。。。。该攻击不但限于Gmail，，，，任何Deep Research毗连器均可成为载体，，，，攻击者可窃取条约、聚会纪录等敏感数据。。。。。。。效劳端攻击危害更高，，，，因数据泄露源自提供商基础设施，，，，企业无法通过客户端防护阻挡，，，，且署理作为可信中介可绕过URL限制，，，，将数据导出至恣意目的地。。。。。。。

https://securityaffairs.com/182334/hacking/shadowleak-radware-uncovers-zero-click-attack-on-chatgpt.html

2. 俄黑客组织Gamaredon与Turla联手攻击乌克兰

9月19日，，，，斯洛伐克网络清静公司ESET披露，，，，俄罗斯黑客组织Gamaredon与Turla自2025年起在乌克兰发动联合攻击，，，，通过工具链协同安排后门程序。。。。。。。ESET视察到，，，，2025年2月，，，，Gamaredon的PteroGraphin工具在乌克兰端点重启Turla的Kazuar v3后门，，，，用于恢复崩�；；；；；；蛭醋远舳亩褚獬绦�；；；；；；4月和6月，，，，PteroOdd和PteroPaste工具进一步安排Kazuar v2，，，，形成“初始会见-载荷投递-后门植入”的完整攻击链。。。。。。。两个组织均与俄罗斯联邦清静局（FSB）关联：Gamaredon（又名Aqua Blizzard）自2013年起主要针对乌克兰政府机构；；；；；；Turla（又名Venomous Bear）自2004年活跃，，，，善于特工活动。。。。。。。此次相助中，，，，Gamaredon提供初始会见权限，，，，Turla则通过Kazuar后门网络系统信息，，，，并通过Cloudflare Workers子域或伪装成ESET正当文件的域名传输数据。。。。。。。攻击链显示，，，，Gamaredon使用PteroGraphin和PteroOdd下载器，，，，从Telegraph API获取有用载荷执行Kazuar。。。。。。。2025年1月至6月，，，，乌克兰共7台机械检测到Turla相关指标，，，，其中4台于1月被Gamaredon攻破，，，，2月尾安排Kazuar v3。。。。。。。

https://thehackernews.com/2025/09/russian-hackers-gamaredon-and-turla.html

3. 俄罗斯勒索软件团队使用CountLoader扩大攻击规模

9月18日，，，，网络清静研究职员发明一款代号为“CountLoader”的新型恶意软件加载器，，，，已被俄罗斯勒索软件团伙（如LockBit、Black Basta、Qilin）用于投放后续渗透工具（Cobalt Strike、AdaptixC2）及“PureHVNC RAT”远程会见木马。。。。。。。该加载器保存.NET、PowerShell和JavaScript三个版本，，，，通过伪造乌克兰国家警员局身份的垂纶PDF文件攻击乌克兰小我私家用户，，，，其PowerShell版本曾通过与DeepSeek相关的诱饵文件撒播，，，，最终安排“BrowserVenom”植入程序以操控网络流量并网络数据。。。。。。。CountLoader功效强盛：JavaScript版本支持六种文件下载方法和三种恶意软件运行要领，，，，可网络系统信息并建设伪装成谷歌Chrome更新使命的妄想使命实现长期化；；；；；；其使用“音乐文件夹”作为恶意软件暂存区，，，，.NET与JavaScript版本虽功效重叠，，，，但仅支持两种下令类型，，，，属精简版。。。。。。。该加载器依托20余个域名的基础设施运行，，，，焦点作为传输通道投放后续恶意软件。。。。。。。

https://thehackernews.com/2025/09/countloader-broadens-russian-ransomware.html

4. 柯林斯宇航遭网络攻击致欧洲多机场系统瘫痪

9月20日，，，，美国航空手艺巨头柯林斯宇航（隶属RTX集团，，，，前身为雷神手艺公司）遭遇网络攻击，，，，导致其Muse软件系统故障，，，，引发欧洲三大枢纽机场——伦敦希思罗、布鲁塞尔和柏林机场的登机与值机系统周全中止。。。。。。。此次事务造成大规模航班延误及作废，，，，迫使航空公司启用人工操作模式，，，，数千名游客滞留机场数小时，，，，排队长龙伸张至航站楼外。。。。。。�？？？？铝炙棺魑娇盏缱幼氨浮⒛谑渭笆姑低车慕沟愎┯ι�，，，，其Muse软件支持着欧洲多机场的电子值机与行李托运流程。。。。。。。攻击爆发后，，，，RTX集团揭晓声明称问题仅限于电子效劳，，，，可通过人工值机缓解，，，，并强调正全力修复系统。。。。。。。然而，，，，布鲁塞尔机场忠言称攻击影响将一连至周六，，，，柏林机场候机时间显著延伸，，，，希思罗机场则呼吁游客出行前确认航班状态。。。。。。。据航空数据商Cirium统计，，，，三机场累计作废29个航班，，，，周六现实运营航班量划分为651架次（希思罗）、228架次（布鲁塞尔）和226架次（柏林）。。。。。。。欧盟委员会讲话人体现，，，，现在无证据显示此次为“大规模严重袭击”，，，，因由仍在视察中。。。。。。。

https://securityaffairs.com/182363/hacking/a-cyberattack-on-collins-aerospace-disrupted-operations-at-major-european-airports.html

5. CISA忠言使用Ivanti EPMM误差安排恶意软件

9月20日，，，，美国网络清静和基础设施清静局（CISA）宣布手艺报告，，，，展现针对Ivanti Endpoint Manager Mobile（EPMM）软件的CVE-2025-4427（身份验证绕过误差，，，，CVSS评分5.3）和CVE-2025-4428（远程代码执行误差，，，，CVSS评分7.2）的恶意攻击细节。。。。。。。攻击者通过串联这两个误差实现无需认证的远程代码执行，，，，入侵某未签字组织网络并安排两组恶意软件。。。。。。。第一组恶意软件使用伪装成Apache组件的ReflectUtil.class加载器，，，，将SecurityHandlerWanListener监听器注入Tomcat效劳器，，，，通过阻挡特定HTTP请求解密隐藏的有用负载，，，，动态建设Java类以执行恣意代码、坚持长期性并窃取数据。。。。。。。第二组则伪装成MobileIron效劳的WebAndroidAppInstaller.class加载器，，，，通过阻挡表单编码的HTTP请求，，，，使用硬编码AES密钥解密参数并执行恶意代码，，，，实现系统接受。。。。。。。Ivanti公司已于5月中旬修复误差，，，，并确认误差源于第三方开源库而非自身代码。。。。。。。CISA剖析显示，，，，攻击者通过/mifs/rs/api/v2/端点执行下令，，，，举行系统数据网络、恶意软件下载、网络映射及LDAP凭证窃取，，，，并通过/tmp目录写入恶意文件维持长期性。。。。。。。

https://securityaffairs.com/182350/malware/cisa-warns-of-malware-deployed-through-ivanti-epmm-flaws.html

6. 加拿大皇家骑警破获首例加密钱币生意所关闭案

9月20日，，，，加拿大皇家骑警（RCMP）凭证欧洲刑警组织提供的线索，，，，联合洗钱视察组（MLIT）对专注于隐私生意的小型加密钱币平台TradeOgre睁开专项行动，，，，最终乐成关闭该生意所并查获凌驾4000万美元资金，，，，据信这些资金多源于网络犯法活动。。。。。。。此次行动不但是加拿大执法部分首次关闭加密钱币生意所，，，，更创下该国历史上最大规模资产扣押纪录。。。。。。。TradeOgre平台因支持小众山寨币及难以追踪的门罗币（Monero）生意而著名，，，，其运营模式保存严重执法误差，，，，未要求用户通过KYC（相识您的客户）政策举行身份验证，，，，且未向加拿大金融生意和报告剖析中心（FINTRAC）注册为钱币效劳企业，，，，违反了加拿大反洗钱规则。。。。。。。视察显示，，，，该平台因匿名性特征被网络犯法分子普遍用于洗钱操作，，，，例如交流勒索软件收益、实验SIM卡交流诈骗等。。。。。。。平台下线后，，，，部分用户质疑此举为“退出圈套”，，，，但执法机构明确体现关闭行动基于正当视察。。。。。。。关于非犯法用户提出的追索权问题，，，，警方指出可通过加拿大法院系统追求救援。。。。。。。

https://www.bleepingcomputer.com/news/security/canada-dismantles-tradeogre-exchange-seizes-40-million-in-crypto/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究