Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

首页 > 清静研究 > 清静转达 > 清静简讯

Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

宣布时间 2025-06-11

1. Rare Werewolf组织网络攻击：手法多样威胁俄及CIS国家

6月10日，，，Rare Werewolf（前称 Rare Wolf）黑客组织，，，也被称为 Librarian Ghouls 和 Rezet，，，被认定为高级一连性威胁（APT）组织，，，与一系列针对俄罗斯和自力国家联合体（CIS）国家的网络攻击有关，，，自 2019 年以来一直活跃。。该组织攻击意图是在受熏染主机上建设远程会见、窃取凭证并安排加密钱币矿工，，，影响数百名俄罗斯用户，，，涉及工业企业和工程院校，，，白俄罗斯和哈萨克斯坦也有少量熏染。。其攻击显著特征是倾向于使用正当第三方软件，，，恶意功效通过下令文件和 PowerShell 剧本实现。。该威胁行为者通过垂纶邮件获取初始会见权限，，，使用驻足点窃取数据并投放多种工具，，，用于交互、网络密码和禁用防病毒软件。�？？？？？ò退够吐嫉淖钚鹿セ飨允�，，，以包括可执行文件的受密码�；；；；；ぱ顾醢鸬�，，，压缩包中有装置程序，，，用于安排正当工具及其他载荷，，，包括诱饵 PDF 文档。。中心载荷从远程效劳器获取其他文件，，，还使用 AnyDesk 远程桌面软件和 Windows 批处置惩罚剧本增进数据窃取和矿工安排，，，批处置惩罚剧本能自动叫醒受害者系统并允许攻击者远程会见。。使用第三朴直当软件举行恶意目的是常见手艺，，，增添了 APT 活动检测和归因难度。。

https://thehackernews.com/2025/06/rare-werewolf-apt-uses-legitimate.html

2. DanaBot恶意软件误差“DanaBleed”袒露致其被查

6月10日，，，2022年6月更新中，，，DanaBot恶意软件操作引入的名为“DanaBleed”的误差，，，导致其在后续执法行动中被识别、起诉并拆除。。DanaBot是一个活跃于2018年至2025年的恶意软件即效劳（MaaS）平台，，，常用于银行诓骗、凭证偷窃、远程会见和DDoS攻击。。Zscaler ThreatLabz研究职员发明该误差，，，内存走漏使他们得以深入相识恶意软件内部操作及其背后职员。。使用此误差，，，国际执法部分开展“终局行动”，，，使DanaBot基础设施下线，，，并起诉该威胁组织16名成员。。DanaBleed误差随DataBot版本2380引入，，，该版本新增C2协议，，，但新协议逻辑保存弱点，，，未为随机天生的填充字节初始化新分派内存，，，导致C2响应包括效劳器内存中剩余数据片断，，，类似2014年HeartBleed问题。。此误差使大宗私人数据袒露给研究职员，，，包括威胁行为者详细信息、后端基础设施、受害者数据、恶意软件更新日志、私人加密密钥、SQL盘问和调试日志以及C2仪表板的HTML和Web界面片断等。。三年多来，，，DanaBot一直处于受损模式，，，开发职员或客户未察觉已袒露。。当网络到足够数据后，，，执法部分接纳行动，，，虽焦点团队仅被起诉未被拘捕，，，但要害C2效劳器、650个域名和近400万美元加密钱币被查封，，，暂时消除了威胁。。未来威胁行为者重返网络犯法活动的可能性不大，，，且黑客社区信任度降低将成为其一大障碍。。

https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/

3. FIN6黑客组织冒充求职者撒播恶意软件“More Eggs”

6月10日，，，与典范招聘相关社会工程攻击差别，，，FIN6黑客组织冒充求职者，，，使用社会工程手段撒播恶意软件。。FIN6又名“骷髅蜘蛛”，，，最初以金融诓骗著名，，，如入侵销售点系统窃守信用卡信息，，，2019年起攻击规模扩大至勒索软件，，，并加入Ryuk和Lockergoga等行动。。近期，，，该组织使用社会工程活动撒播“More Eggs”，，，这是一种恶意软件即效劳的JavaScript后门，，，用于凭证偷窃、系统会见和勒索软件安排。。攻击历程中，，，FIN6伪装成虚伪求职者，，，通过LinkedIn和Indeed与招聘职员和人力资源部分联系，，，建设关系后发送垂纶邮件。。邮件含指向“简历网站”的不可点击URL，，，迫使收件人手动输入，，，这些域名通过GoDaddy匿名注册并托管在AWS上。。FIN6还增添情形指纹和行为检查，，，确保只有目的能翻开上岸页面，，，阻止VPN或云毗连及Linux或macOS会见实验。。切合条件的受害者会收到假的CAPTCHA办法，，，并被提醒下载包括伪装Windows快捷方法文件（LNK）的ZIP档案，，，该文件执行剧本下载“More Eggs”后门。。该后门由“Venom Spider”建设，，，是�？？？？？榛竺�，，，能执行下令、窃取凭证、转达特殊有用载荷及执行PowerShell。。FIN6的攻击虽简朴但有用，，，依赖社会工程学和高级逃避手艺。。因此，，，招聘职员和人力资源员工应审慎看待审查简历和作品集的约请，，，公司和招聘机构也应自力确认职员身份。。

https://www.bleepingcomputer.com/news/security/fin6-hackers-pose-as-job-seekers-to-backdoor-recruiters-devices/

4. Heroku突发大面积中止超六小时，，，致开发受阻效劳受影响

6月10日，，，Heroku作为Salesforce旗下的平台即效劳（PaaS），，，允许开发职员将应用程序安排到云端而无需治理基础设施，，，但克日遭遇了一连六个多小时的大面积中止。。此次宕机始于周二破晓，，，用户报告称Heroku应用无法运行，，，且开发职员无法登录Heroku仪表板并使用CLI工具。。Heroku在其状态页面上认可了这一事务，，，并体现正在视察。。中止影响了众多公司和站点的效劳，，，例如SolarWinds因无法从Heroku获取日志而受到波及。。使用Heroku应用程序实现种种功效的网站也受到影响，，，部分功效无法正常运行。。Heroku尚未提供有关中止基础缘故原由的详细信息或何时恢复效劳，，，不过在2025年6月10日，，，Salesforce体现没有证据批注此次效劳中止保存恶意活动，，，并提供了客户跟踪更新的链接。。阻止UTC时间21:48:25，，，Heroku状态页面显示已解决dashboard.heroku.com的问题，，，客户可会见该网站，，，同时为仍受影响的客户提供了通过Heroku下令行界面运行的下令作为解决要领，，，并强调应一次重启一台测功机以阻止效劳中止。。Heroku体现其事情重点仍是内部测试和验证，，，并将继续关注其他产品的刷新，，，同时允许尽快提供解决计划时间表，，，并对由此造成的一连困扰深表歉意。。

https://www.bleepingcomputer.com/news/technology/massive-heroku-outage-impacts-web-platforms-worldwide/

5. DuplexSpy RAT新型木马现身，，，可完全控制Windows系统

6月9日，，，网络清静研究职员克日发明一款名为DuplexSpy RAT的新型高级远程会见木马，，，该木马可让攻击者周全监控与控制Windows系统。。这款恶意软件接纳C#语言开发，，，具备精练的图形界面和可设置选项，，，显著降低了网络犯法分子入侵目的装备的手艺门槛。。其接纳AES-256-CBC和RSA-4096双重加密算法，，，�；；；；；な苎局骰胂铝羁刂菩Ю推骷涞耐ㄑ�，，，有用规避网络检测。。该RAT最初由开发者以“教育用途”宣布在GitHub上，，，但其多功效性和易定制性吸引了威胁行为者。。DuplexSpy RAT功效周全，，，不但包括键盘纪录、实时屏幕捕获等古板远程会见功效，，，还具备摄像头/麦克风监控及交互式下令终端等高级监控能力。。在长期化与隐藏性方面，，，该木马接纳多层战略，，，以“Windows Update.exe”为伪装名称复制到用户启动文件夹，，，并建设对应注册表项，，，确保系统重启和整理实验中仍能存活。。同时，，，它还具备高级反剖析能力，，，每100毫秒监控系统历程，，，针对清静工具和剖析应用，，，一旦检测到清静软件，，，便会终止相关历程并显示虚伪过失信息误导用户。。别的，，，该RAT接纳无文件执行手艺，，，直接将自身加载到内存后删除磁盘原始可执行文件，，，极大镌汰了取证痕迹。。

https://cybersecuritynews.com/new-duplexspy-rat-let-attackers-gain-complete-control/

6. S5 Agency World遭Bert勒索攻击致数据被盗

6月10日，，，大型口岸署理机构S5 Agency World克日遭到勒索软件团伙攻击，，，攻击者宣称窃取了近140GB数据，，，并将该公司名字宣布在暗网泄密网站上，，，以此迫使S5支付赎金，，，阻止数据泄露给公众带来不良影响。。S5作为一家海上运输公司，，，营业笼罩全球360多个口岸，，，在航运公司船舶�？？？？？渴背涞蓖獾卮�，，，其运营对海上运输至关主要。。攻击者宣布了几张据称被盗信息的截图，，，经研究团队视察，，，这些数据样本似乎是正当的，，，包括检查报告、员工新冠疫苗接种情形、部分护照复印件等，，，但数据样本有限，，，现实获取的文件总量可能更大。。关于海上运输公司而言，，，网络攻击导致的�；；；；；豢山邮�，，，由于运输延误会造成供应链瓶颈，，，对客户造成负面影响。。值得注重的是，，，Bert勒索软件是该领域的新成员，，，于2025年4月首次被发明，，，且在短短时间内已乐成攻击了十几个组织。。研究职员指出，，，Bert勒索软件团伙通过正当软件供应链撒播恶意软件，，，通常以医疗保健和科技行业为目的，，，且似乎很是顺应目今的网络犯法形势，，，未来可能演酿成更大的威胁。。

https://cybernews.com/security/port-agency-ransomware-data-breach/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究