文章总结： 本周全球网络安全形势严峻，法国内政部邮件服务器遭入侵，俄罗斯遭遇PhantomStealer木马钓鱼，BlindEagle攻击哥伦比亚政府。Gentlemen勒索软件与ClickFix攻击活跃，SoundCloud等机构发生大规模数据泄露。APT44及APT28分别针对能源设施与乌克兰用户攻击。建议加强防护与数据加密。 综合评分： 65 文章分类： 威胁情报,恶意软件,数据泄露,安全大事件,社会工程学

洞·见 | 20251222

数默科技

2025年12月22日 17:31 四川

• AI 导读 –

上周网络安全形势严峻：法国内政部邮箱服务器遭入侵，南美组织BlindEagle针对哥伦比亚政府发起钓鱼攻击。新型勒索软件Gentlemen与ClickFix社交工程攻击活跃全球，数据泄露事件频发，包括SoundCloud 2800万用户数据暴露。高级威胁方面，APT44及APT28持续对能源设施与乌克兰用户发起针对性攻击。

本周特别关注：俄罗斯多行业遭遇钓鱼攻击，窃密木马“Phantom Stealer”威胁加剧。

导读由DeepSeek-V3总结生成

国家安全事件

【法国】法国内政部证实其电子邮件服务器遭网络攻击

【俄国】一场针对俄罗斯的钓鱼攻击活动

【南美】南美威胁组织BlindEagle针对哥伦比亚政府部署恶意软件

全球网络安全新动态

新型Gentlemen勒索软件在全球范围进行攻击

新型ClickFix攻击借虚假Word报错传播DarkGate远控木马

拉撒路和Kimsuky组织新基础设施遭曝光

数据安全事件

【数据泄露】未加密的MongoDB数据库导致43亿条数据泄露

【数据泄露】日本电商Askul公司遭勒索攻击导致74万客户数据泄露

【数据泄露】SoundCloud遭遇攻击导致2800万账户数据泄露

高级威胁动态

APT44长达数年针对能源与云设施的进行攻击

APT28对乌克兰的邮件及新闻服务用户发动钓鱼攻击

国家安全事件

【法国】法国内政部证实其电子邮件服务器遭网络攻击

日期：2025.12.16

法国内政部长于12月15日证实，该部电子邮件服务器遭到网络攻击。此次攻击发生于12月11日至12日夜间，攻击者借此访问了部分文件，但官方尚未确认是否有数据被盗。事发后，该部已启动应急预案，加强了系统访问控制和安全协议，并展开调查以确定攻击源头与范围。内政部长表示，不排除外国干涉、黑客活动分子示威或网络犯罪等多种可能性。由于该部掌管国内安全、警察及移民事务，使其成为高级别攻击的敏感目标。

资料来源：

https://www.bleepingcomputer.com/news/security/france-interior-ministry-confirms-cyberattack-on-email-servers/

【俄国】一场针对俄罗斯的钓鱼攻击活动

日期：2025.12.16

安全研究人员发现了一场针对俄罗斯多行业的钓鱼攻击活动。攻击者发送伪装成银行转账确认的钓鱼邮件，诱导目标打开内含恶意ISO镜像文件的ZIP附件。该ISO文件在系统中挂载为虚拟光驱后，会执行一个嵌入的DLL文件，最终投放名为“Phantom Stealer”的信息窃取木马。该木马功能强大，能窃取加密货币钱包、浏览器密码与Cookie、Discord令牌，并监控剪贴板和键盘输入。此外，报告还揭示了另一项针对俄罗斯人力资源部门的钓鱼活动“DupeHike”，其使用恶意LNK文件投放“DUPERUNNER”植入物并加载开源C2框架。分析指出，这些攻击主要瞄准金融、会计、法律及航空航天等与当前局势相关的行业，部分活动可能与支持乌克兰的黑客行动有关。

资料来源：

https://thehackernews.com/2025/12/phantom-stealer-spread-by-iso-phishing.html

【南美】南美威胁组织BlindEagle针对哥伦比亚政府部署恶意软件

日期：2025.12.18

安全研究人员发现，南美威胁组织BlindEagle针对哥伦比亚商业、工业和旅游部下属机构发起了一场复杂的鱼叉式钓鱼攻击。攻击者疑似利用从目标机构内部盗取的邮箱账户发送伪装成司法文书的钓鱼邮件，通过嵌入恶意SVG图像将受害者诱导至伪造的司法门户网站，进而触发一个多层无文件攻击链。该链条利用嵌套的JavaScript与PowerShell脚本，从Discord等合法服务下载并解码隐藏在图片中的恶意负载，最终在内存中部署名为Caminho的下载器以及DCRAT远程控制木马。

资料来源：

https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-government-agency-caminho-and-dcrat?&web_view=true

全球网络安全新动态

// 新型Gentlemen勒索软件在全球范围进行攻击 //

日期：2025.12.16

安全研究人员发现一种名为“Gentlemen”的新型勒索软件正对企业网络构成严重威胁。该勒索软件采用Go语言编写，自2025年8月首次出现后已迅速活跃，其攻击模式为双重勒索：即在加密文件前先窃取敏感数据，以此胁迫受害者支付赎金。攻击者利用组策略对象和自带易受攻击驱动程序等高级技术来渗透系统、横向移动并禁用安全防御。该勒索软件采用X25519和XChaCha20等加密算法，并具备独特的反分析特性，例如需要特定命令行密码才能运行。据观察，其攻击已波及至少17个国家的医疗、制造等多个行业，成为2025年最活跃的新兴勒索软件团伙之一。

资料来源：

New Gentlemen Ransomware Breaching Corporate Networks to Exfiltrate and Encrypt Sensitive Data

// 新型ClickFix攻击借虚假Word报错传播DarkGate远控木马 //

日期：2025.12.18

安全研究人员发现“ClickFix”社交工程攻击活动出现新变种。攻击者伪造“Word Online”无法加载的虚假浏览器报错页面，诱导用户点击“如何修复”按钮。该操作会将一段恶意PowerShell脚本自动复制到用户剪贴板，诱骗其手动在终端中粘贴执行。该脚本会从远程服务器获取恶意HTA文件，进而部署功能强大的远程控制木马DarkGate，最终使攻击者获得对受害者系统的完全控制。此次攻击的核心在于完全依赖用户手动操作来触发感染链，从而有效规避了传统基于自动行为检测的安全防护机制。

资料来源：

New ClickFix ‘Word Online’ Message Tricks Users into Installing DarkGate Malware

// 拉撒路和Kimsuky组织新基础设施遭曝光 //

日期：2025.12.19

安全研究人员发现，黑客组织拉撒路和Kimsuky的一个活跃的攻击基础设施网络。调查发现了新的工具暂存服务器、凭据窃取环境、FRP隧道节点以及通过证书关联的基础设施集群。关键发现包括一个曾在3CX供应链攻击中出现的Badcall后门的新Linux变种，该变种增强了日志功能以监控恶意软件操作。攻击者重复使用特定证书来关联不同集群，并在多个VPS主机上快速部署相同的凭据窃取工具包和FRP隧道。

资料来源：

Researchers Uncovered New Lazarus and Kimsuky Infrastructure with Active Tools and Tunnelling Nodes

数据安全事件

【数据泄露】未加密的MongoDB数据库导致43亿条数据泄露

日期：2025.12.16

近日，安全研究人员发现一个容量高达16TB的MongoDB数据库未设置任何保护措施，导致约43亿条职业记录数据暴露。这些数据包含大量个人可识别信息，如姓名、邮箱、电话、职业履历、教育背景及技能等。分析显示，数据可能来源于某家潜在客户开发公司，且部分信息可能整合了过往泄露的数据集。尽管数据库在发现两天后被保护，但无法确认此前是否已被恶意访问。

资料来源：

Experts found an unsecured 16TB database containing 4.3B professional records

【数据泄露】日本电商Askul公司遭勒索攻击导致74万客户数据泄露

日期：2025.12.17

日本电商Askul公司近日确认，其在10月遭受的勒索软件攻击导致约74万条客户及合作伙伴记录被窃。此次攻击由RansomHouse勒索团伙实施，攻击者利用了一个外包合作伙伴的管理员账户作为初始入侵点。进入网络后，攻击者进行横向移动、提升权限并禁用了终端检测与响应等安全软件，最终同时部署勒索软件加密系统并擦除备份文件，造成IT系统故障及发货中断。

资料来源：

https://www.bleepingcomputer.com/news/security/askul-confirms-theft-of-740k-customer-records-in-ransomhouse-attack/?&web_view=true

【数据泄露】SoundCloud遭遇攻击导致2800万账户数据泄露

日期：2025.12.15

SoundCloud于12月15日确认发生数据泄露事件，未经授权的威胁行为者访问了其一个附属服务面板，导致约2800万用户的电子邮件地址及公开个人资料信息被盗，但未涉及财务或密码等敏感数据；作为安全响应的一部分，平台调整配置导致用户通过VPN访问时出现“403禁止”错误，且恢复时间未定，同时有线索指向勒索团伙ShinyHunters可能为此事件的幕后黑手，该公司在事件后还遭受了短暂的拒绝服务攻击，目前已与第三方网络安全专家合作强化了监控、检测及访问控制措施。

资料来源：

https://www.bleepingcomputer.com/news/security/soundcloud-confirms-breach-after-member-data-stolen-vpn-access-disrupted/?&web_view=true

高级威胁动态

// APT44长达数年针对能源与云设施的进行攻击 //

日期：2025.12.17

安全研究人员发现，由俄罗斯军事情报总局（GRU）附属组织APT44发起的一场长达数年的网络攻击活动，主要针对西方国家的能源关键基础设施及云托管网络。攻击者战术发生显著演变，从利用WatchGuard、Atlassian、Veeam等产品的已知漏洞，逐渐转向持续利用配置不当的网络边缘设备作为初始入侵点。通过入侵这些设备，攻击者能够进行流量嗅探、大规模窃取凭证，并重放这些凭证以试图横向移动至受害组织的在线服务与核心基础设施。

资料来源：

https://thehackernews.com/2025/12/amazon-exposes-years-long-gru-cyber.html

// APT28对乌克兰的邮件及新闻服务用户发动钓鱼攻击 //

日期：2025.12.20

安全研究人员发现，俄罗斯军事情报局（GRU）旗下的高级持续性威胁组织APT28，在2024年6月至2025年4月期间，对乌克兰流行的邮件及新闻服务UKR.net用户发起了一场持续的凭证窃取活动。攻击者通过钓鱼邮件分发内含链接的PDF文档，这些链接指向托管在Mocky等合法服务上的、高度仿真的UKR.net登录页面，诱骗用户输入账号密码及双因素认证码。为隐藏行踪，攻击链接被短网址服务缩短，并利用Blogger等平台的子域名构建多层重定向链。值得注意的是，与以往使用受感染路由器不同，此次攻击转而利用ngrok等代理隧道服务来窃取并中转凭证，这可能是对2024年初西方主导的基础设施清理行动的适应性调整。

资料来源：

https://thehackernews.com/2025/12/apt28-targets-ukrainian-ukr-net-users.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数默科技 《洞·见 | 20251222》