2025-12-22 12:52:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周全球网络安全威胁持续演进，主要关注点包括：黑客组织针对美国高校发起’薪资海盗’钓鱼攻击，俄罗斯企业遭受FrostBeacon复杂渗透；勒索软件技术升级，多家团伙采用Shanya服务绕过EDR防护；新型SVG点击劫持技术实现动态感知交互；数据泄露事件频发，黑客冒充执法部门欺诈科技公司获取用户数据；高级威胁方面，朝鲜APT组织利用React漏洞部署基于以太坊智能合约的EtherRAT，威胁组织Storm-0249升级攻击技术。 综合评分： 82 文章分类： 威胁情报,漏洞分析,安全大事件,数据泄露,红队

cover_image

洞·见 | 20251215

数默科技

2025年12月15日 17:30 四川

AI 导读 –

上周全球网络安全威胁持续演进：黑客组织针对美国高校发起“薪资海盗”钓鱼攻击，俄罗斯境内企业遭受“FrostBeacon”复杂渗透。勒索软件技术持续升级，多家团伙采用“Shanya”服务绕过EDR防护；前沿攻击技术涌现，新型“SVG点击劫持”技术可实现动态感知交互。数据泄露事件中，黑客冒充执法部门欺诈科技公司获取用户数据的手法引发高度关注。

本周特别关注：高级持续威胁（APT）组织攻击技术的持续进化，以及利用新兴技术（如React漏洞、智能合约）实施的隐蔽攻击活动。

导读由DeepSeek-V3总结生成

国家安全事件

【美国】黑客组织Storm-2657攻击美国高校

【俄罗斯】针对俄罗斯的攻击活动FrostBeacon

全球网络安全新动态

利用CSS与SVG实现的新型点击劫持技术

众多勒索软件团伙利用Shanya绕过EDR

恶意软件利用“垃圾代码”攻击部署NetSupport RAT

数据安全事件

【数据泄露】警方联合行动逮捕涉多起国际数据泄露案黑客

【数据泄露】俄罗斯数字征兵系统遭袭导致源代码泄露

【数据泄露】黑客冒充执法部门欺诈科技公司导致用户数据泄露

高级威胁动态

朝鲜APT组织利用React2Shell部署新型EtherRAT

威胁组织Storm-0249升级攻击技术

国家安全事件

【伊以】黑客组织Storm-2657攻击美国高校

日期：2025.12.9

研究人员发现，黑客组织Storm-2657自2025年3月起针对美国多所大学发动精心策划的 “薪资海盗”(Payroll Pirate) 钓鱼攻击，涉及25所高校近6000名教职工。攻击者通过高度仿真的钓鱼邮件，伪装成同事或系统通知，诱导教职工登录伪造的Workday等人力资源系统页面，窃取登录凭证并篡改薪资发放账户。这些攻击采用”会话中继” 技术，能有效绕过MFA(多因素认证)保护，将受害者工资转入攻击者控制的银行账户。

资料来源：

Over 70 Domains Used in Months-Long Phishing Spree Against US Universities

【俄罗斯】针对俄罗斯的攻击活动FrostBeacon

日期：2025.12.12

安全研究人员发现，一场针对俄罗斯联邦境内企业的复杂恶意软件活动“Operation FrostBeacon”。攻击由俄语金融犯罪团伙发起，通过两种独立的初始感染集群渗透企业的法律和财务部门，旨在部署Cobalt Strike信标以长期控制企业网络。第一种方式通过网络钓鱼邮件投递包含恶意LNK文件的压缩包，该LNK文件通过双重扩展名伪装成PDF，点击后会执行PowerShell命令下载下一阶段载荷。第二种方式则更为技术化，利用了未被修补的遗留漏洞链，通过恶意Office文档实现代码执行。无论通过哪种路径，攻击最终都会执行一个远程HTA文件，该文件会启动一个经过三重编码的PowerShell加载器，用于在内存中部署Cobalt Strike信标。

资料来源：

FrostBeacon Hits Russian B2B: Cobalt Strike Deployed via LNK and Chained Legacy Exploits

全球网络安全新动态

// 利用CSS与SVG实现的新型点击劫持技术 //

日期：2025.12.9

安全研究人员近日披露了一种名为“SVG点击劫持”的攻击技术。该技术颠覆了传统点击劫持的运作模式，通过串联使用SVG滤镜（如feColorMatrix、feDisplacementMap、feComposite等），能够构建逻辑门电路，直接对跨域iframe的像素数据进行读取与运算。这使得覆盖层具备了“感知”和“响应”能力，可以根据目标网页的状态（如弹窗是否出现、错误提示是否可见）动态调整攻击界面，从而引导用户完成一系列复杂的交互操作。

资料来源：

https://www.theregister.com/2025/12/05/css_svg_clickjacking/?&web_view=true

// 众多勒索软件团伙利用Shanya绕过EDR //

日期：2025.12.9

近日，安全研究人员发现一项名为Shanya（亦称VX Crypt）的新型“加壳即服务”正在网络犯罪地下论坛中被积极推广，并已被包括Akira、Qilin、Medusa、Crytox在内的多个主流勒索软件团伙所采用。该服务的核心作用是作为“加载器”，为勒索软件的初始攻击阶段提供高级混淆服务。其主要目的是封装和部署一个关键的恶意载荷——“EDR杀手”。这种工具在勒索软件最终载荷运行前，先行定位并强制终止受害系统上运行的端点检测与响应、防病毒软件等安全产品进程与服务，从而瘫痪系统的核心防御能力。

资料来源：

Shanya EDR Killer Leveraged by Hackers to Clear the Way for Ransomware Infection

// 恶意软件利用“垃圾代码”攻击部署NetSupport RAT //

日期：2025.12.10

研究人员近日披露了一个被称为“JS#SMUGGLER”的新型多阶段恶意软件攻击活动。该活动通过入侵网站植入恶意脚本，主要针对企业用户。其攻击链分为三个阶段：首先使用充满随机词汇“垃圾代码”的混淆JavaScript进行设备指纹识别；然后通过隐藏的HTML应用程序（HTA）文件，利用合法系统工具mshta.exe在内存中无文件执行加密的PowerShell指令；最终下载并持久化部署NetSupport远程访问木马（RAT），使攻击者能完全控制受害主机。此攻击通过高级混淆、滥用合法工具（LOLBins）和文件less技术，旨在规避常规安全检测。

资料来源：

https://thehackernews.com/2025/12/experts-confirm-jssmuggler-uses.html

数据安全事件

【数据泄露】警方联合行动逮捕涉多起国际数据泄露案黑客

日期：2025.12.10

新加坡警察部队（SPF）与泰国皇家警察（RTP）于2025年2月26日在泰国开展联合行动，成功逮捕了一名涉嫌策划一系列国际数据泄露案的39岁男性黑客。调查显示，该黑客自2020年起活跃，使用“ALTDOS”、“DESORDEN”、“GHOSTR”及“0mid16B”等多个化名进行活动。其攻击模式是先利用受害者网络中的漏洞窃取数据，随后直接联系受害组织进行勒索；若勒索未果，便在网络犯罪论坛上公开出售被盗数据。据信，该威胁行为者至少与75起国际数据泄露案件有关。此次行动扣押了价值超过1000万泰铢的资产，包括笔记本电脑、手机、豪华汽车和名牌包。

资料来源：

Authorities Arrested Hackers With Specialized FLIPPER Hacking Equipment Used to Attack IT Systems

【数据泄露】俄罗斯数字征兵系统遭袭导致源代码泄露

日期：2025.12.15

俄罗斯用于集中管理征兵信息的数字征兵系统近期遭遇网络攻击。匿名黑客入侵了该系统的主要开发商“Micord”公司，窃取了包括源代码、技术文档及内部通信在内的大量数据并对外泄露。该系统数据库包含约3000万条适龄男性记录，旨在实现征兵通知的在线化与自动化。攻击方宣称已销毁部分核心材料，并导致系统在未来数月内无法发送电子征兵通知，但俄罗斯国防部否认了系统被成功入侵的说法。该系统是俄罗斯兵役现代化的一部分，此前已多次推迟上线，原定服务于2025年秋季的征兵工作。

资料来源：

https://thecyberexpress.com/cyberattack-on-russia-digital-military-draft/

【数据泄露】黑客冒充执法部门欺诈科技公司导致用户数据泄露

日期：2025.12.15

近期，一个提供“人肉搜索即服务”的黑客组织通过冒充美国执法人员，欺诈科技公司以获取用户高度敏感的个人数据。攻击者利用美国约有1.8万个独立执法机构、电邮域名格式不一的现状，通过注册高度相似的伪冒域名并发送伪造的紧急数据请求或法律文件，诱骗公司客服人员。该黑客组织成员“Exempt”声称，他们已成功从包括苹果、亚马逊、Charter Communications乃至Rumble在内的几乎所有美国主要科技平台获取数据，累计成功请求近500次，仅2025年8月就获利超过1.8万美元。更严重的是，有证据表明个别现任执法官员可能被策反，试图与黑客合作牟利。尽管亚马逊等公司表示已拦截部分攻击并加强验证，但超过80%的公司仍通过电子邮件接收此类紧急请求。

资料来源：

https://www.wired.com/story/doxers-posing-as-cops-are-tricking-big-tech-firms-into-sharing-peoples-private-data/?&web_view=true

高级威胁动态

// 朝鲜APT组织利用React2Shell部署新型EtherRAT //

日期：2025.12.11

安全研究人员发现，与朝鲜有关联的威胁组织利用React Server Components（RSC）中的高危漏洞“React2Shell”（CVE-2025-55182），部署一款远控木马EtherRAT。该恶意软件的核心特点是利用以太坊智能合约进行命令与控制（C2）通信，实现了高度隐蔽和抗干扰的僵尸网络控制。此次攻击被发现于一个“传染式面试”行动。攻击者伪装成招聘人员，在LinkedIn、Upwork等平台以高薪职位为诱饵，针对区块链与Web3开发者进行社交工程攻击。

资料来源：

https://thehackernews.com/2025/12/north-korea-linked-actors-exploit.html

// 威胁组织Storm-0249升级攻击技术 //

日期：2025.12.11

安全研究人员发现，威胁组织Storm-0249采用更复杂的攻击链为勒索软件攻击做准备。其最新战术结合了ClickFix社交工程、无文件PowerShell执行和DLL侧加载技术以规避检测。攻击者通过欺骗性域名分发恶意PowerShell脚本，并利用合法安全软件的进程进行DLL侧加载以建立隐蔽的C2通信。此外，该组织使用reg.exe、findstr.exe等系统工具提取受害系统的唯一标识符，可能是在为LockBit、ALPHV等勒索软件团伙后续绑定加密密钥、实施文件加密做准备。

资料来源：

https://thehackernews.com/2025/12/storm-0249-escalates-ransomware-attacks.html

查看原文：《洞·见 | 20251215》