文章总结: 本周安全快报汇总了多起网络攻击事件,包括MustangPanda针对印度政府和水利部门的间谍活动、Gamaredon对乌克兰的持续钓鱼攻击、FBI警告的Signal账户钓鱼、GhostShell对乌克兰无人机领域的攻击、SharkLoader恶意软件针对多国政府组织的攻击、NoName057(16)对加拿大水利系统的入侵、针对酒店餐饮行业的钓鱼邮件以及美敦力数据泄露。这些事件凸显了APT组织利用恶意软件、钓鱼邮件和社会工程学手段窃取情报与数据的持续威胁。 综合评分: 74 文章分类: 威胁情报,恶意软件,社会工程学,数据泄露,漏洞分析
安全快报 | 印度政府和水利发电部门遭网络间谍组织部署恶意软件窃取情报
天懋信息
2026年7月2日 09:30 广东
在小说阅读器读本章
去阅读
本周安全事件速览
06月25日-07月01日
01
印度政府和水利发电部门遭网络间谍组织部署恶意软件窃取情报
简要介绍
间谍组织Mustang Panda近期针对印度政府和水利发电部门发动了两起网络攻击活动部署新型恶意软件,并将Zoho WorkDrive这一印度政府常用的云存储平台改造为命令与控制通道。攻击者通过鱼叉式钓鱼邮件投递ZIP压缩包,其中包含标记为隐藏的恶意DLL,利用合法签名的Solid PDF Creator或Citrix Receiver可执行文件进行DLL侧加载。攻击链中涉及三款新工具:加载器SHARDLOADER、Toneshell后门的变种MINIRECON以及核心组件ZOHOMURK。ZOHOMURK携带硬编码的Zoho OAuth凭证,通过攻击者控制的WorkDrive账户的收件箱文件夹读取命令,并将窃取数据写入发件箱。诱饵文档的目标是窃取印度水电计划及其与台湾防务关系的情报。此活动被归因于Mustang Panda间谍组织,依据包括代码重用、基础设施重叠及多个植入物中反复出现的拼写错误“RunOnece”等。
文章来源:The Hacker News
02
乌克兰政府与军事机构被俄罗斯APT组织高频使用云服务与恶意软件入侵
简要介绍
据悉,俄罗斯APT组织Gamaredon在2025年全年持续对乌克兰政府与军事机构共发起35次针对性鱼叉式钓鱼活动。该组织以相对简单的恶意软件配合持久性、频繁更新及对合法服务的创造性滥用,使其操作更加灵活且难以被阻断,最终目标始终是窃取敏感情报以支持俄罗斯在乌克兰战争中的利益。攻击链主要利用压缩包附件或XHTML文件,通过HTML走私技术投递恶意的HTA下载器,进而部署PteroSand等后续载荷。部分攻击利用WinRAR现已修复的路径遍历漏洞CVE-2025-8088,将恶意下载器放入Windows启动文件夹以实现持久化。此外,该组织还通过PteroLNK和PteroPaste等工具感染USB与网络驱动器。Gamaredon组织2025年引入了六款新型PowerShell工具。同时,该组织广泛利用Telegra.ph、Dropbox、GoFile、Mastodon等合法服务作为数据外泄通道和死信解析器。
文章来源:The Hacker News
03
FBI警告称俄罗斯情报机构正通过Signal通讯工具诱骗多国政府和军事官员账户信息
简要介绍
美国联邦调查局(FBI)与网络安全和基础设施安全局(CISA)更新了关于俄罗斯情报机构针对Signal账户的网络钓鱼警告。最新通报显示黑客从之前的骗取短信验证码和PIN码,升级手段转向诱骗目标直接交出Signal备份恢复密钥。一旦得手,黑客即可恢复账户完整备份,读取私人和群聊全部历史消息并接管账户。该密钥长期有效,即使用户用同一手机号重新注册账户,旧密钥仍可被用于恢复新账户的备份。此次攻击目标包括美国和各国现任及前任政府官员、军事人员、政治人物、记者及乌克兰官员。黑客伪装成Signal官方客服发送钓鱼消息,诱导用户开启备份并粘贴恢复密钥。此类攻击并未破坏Signal的加密协议本身,而是通过社会工程学利用合法功能入侵账户。
文章来源:The Hacker News
04
一黑客组织伪装成无人机企业针对乌克兰军事单位和无人机产业发起诱骗攻击
简要介绍
一个名为GhostShell(追踪编号MB-0009)的新黑客组织自2026年2月起持续攻击乌克兰无人机领域,目标涵盖军事单位、供应链及志愿者团体。黑客发送名为“Besomar_documentation.rar”的恶意压缩包,其中包含伪装成乌克兰真实无人机企业Besomar官方文件的诱饵PDF,内容涉及无人机配置和充电站等主题以增强迷惑性。压缩包中的隐藏脚本会自动复制到Windows启动文件夹,实现持久化运行。随后,恶意脚本连接cloudaxiscc网站下载122.exe、22.exe和update.exe三个恶意文件。其中122.exe充当间谍程序,截取屏幕截图并收集计算机名称发送至cdnexpress.cc服务器;update.exe伪装成Windows安全服务,通过Telegram页面获取C2服务器地址;22.exe则投放已知的信息窃取软件Vidar v2,窃取浏览器密码、历史记录和加密货币钱包信息。
文章来源:Hack Read
05
多国政府组织和外交部门遭SharkLoader新型恶意软件攻击
简要介绍
一起代号为“StrikeShark”的网络攻击活动使用一种名为SharkLoader的新型加载器型恶意软件,在受害主机上部署Cobalt Strike Beacon。此次攻击目标广泛,涉及印度尼西亚的外交机构、台湾地区的政府组织、多国的软件开发公司,以及中国香港、黎巴嫩、叙利亚、哥伦比亚、北马其顿、尼泊尔和塞尔维亚等多个地区的实体。攻击者利用多个已知漏洞获取初始访问权限,包括Exchange Server的ProxyLogon漏洞、Openfire的路径遍历漏洞以及GeoServer的远程代码执行漏洞等。黑客入侵后通过部署Webshell触发DLL侧加载链,或利用伪装成Google Update、Cisco AnyConnect等合法安装程序的投放器来分发SharkLoader。SharkLoader利用“完美DLL劫持”技术绕过Windows加载器锁,解密并加载Cobalt Strike Beacon。黑客还部署了FScan、Pillager等开源后渗透工具进行侦察和凭据窃取。
文章来源:The Hacker News
06
俄罗斯黑客声称已入侵加拿大魁北克市政运营系统并获取多项水利设备控制权限
简要介绍
加拿大通信安全机构(CSE)向该国水务部门发布了警告,首次披露去年俄罗斯黑客组织NoName057(16)攻击了魁北克一家市政公用事业的运营技术(OT)系统。报告披露,黑客宣称已获得隐蔽控制水泵、氯剂量、压力设置及监控告警系统的能力。CSE于去年10月7日通过该组织在网上的认领声明得知此次入侵。报告未明确该访问权限声称是否属实,也未提供入侵的技术细节或涉事市镇名称。俄罗斯黑客组织经常发布未经证实的行动声明,此类宣称是其信息战的重要组成部分。NoName057(16)已被美国司法部起诉,定性为俄罗斯国家安全的“秘密项目”,其成员包括由俄罗斯总统下令成立的信息技术组织人员。涉事水厂未能独立检测出入侵,凸显了关键基础设施防御的严峻挑战。
文章来源:Bank Info Security
07
微软警告称黑客组织针对欧洲和亚洲的酒店与餐饮行业发起新一轮钓鱼邮件攻击
简要介绍
微软披露自2026年4月以来,欧洲及亚洲的酒店与餐饮行业遭到网络钓鱼活动持续针对。黑客通过伪装成“Booking Manager (via Calendly)”的钓鱼邮件,以住客投诉、床虫 infestation、卫生检查等名义施压,诱使员工点击。邮件巧妙地利用Calendly的邮件通知系统和Google的URL重定向服务发送,从而顺利通过SPF、DKIM和DMARC等邮件身份验证检查。受害者经多步跳转后,会从一个受Cloudflare防护的新注册域名下载名为photo-.zip的压缩包。解压后,一个伪装成图片的.lnk快捷方式会触发PowerShell脚本。该脚本会从网络下载并静默安装合法的Node.js运行环境,最终执行一个名为TonRAT的JavaScript后门。该后门会通过非标准端口与固定IP地址进行加密通信。微软表示,目前尚未确认有数据被盗或勒索行为,此次攻击暂未归因于任何已知威胁组织。
文章来源:The Hacker News
08
美国医疗设备制造商美敦力确认超过900万条患者记录及数TB数据泄露
简要介绍
医疗设备制造商美敦力(Medtronic)已开始通知部分患者其个人信息(含健康记录和社会安全号码)在4月的网络安全事件中遭到泄露。勒索组织ShinyHunters曾于4月17日声称入侵美敦力数据库,窃取超过900万条记录及数TB内部数据,并威胁索要赎金。美敦力于4月24日向SEC提交公告确认企业IT系统遭入侵,并表示事件未影响产品安全、患者安全及制造分销运营。目前已知马萨诸塞州有近6.4万名患者受影响,但公司尚未披露全美及全球受影响总人数。美敦力表示,没有证据表明事件中受影响的信息已被公开发布或在互联网上曝光,但为受影响个人提供24个月免费信用监控、暗网监控和身份盗用修复服务。尽管ShinyHunters已从暗网泄密网站移除美敦力相关信息,但公司已面临多起联邦集体诉讼。
文章来源:Bank Info Security
往期回顾:
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:天懋信息 《安全快报 | 印度政府和水利发电部门遭网络间谍组织部署恶意软件窃取情报》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论