Tomiris升级多语言武器库，精准攻击俄外交机构

首页 > 清静研究 > 清静转达 > 清静简讯

Tomiris升级多语言武器库，精准攻击俄外交机构

宣布时间 2025-12-02

1. Tomiris升级多语言武器库，精准攻击俄外交机构

12月1日，卡巴斯基最新报告展现，名为Tomiris的威胁行为者正对俄罗斯外交部、政府间组织及中亚国家机构提倡战略性网络攻击，其焦点目的是通过鱼叉式垂纶邮件安排多语言编写的恶意软件�？�，获取远程会见权限并建设长期化控制。该组织2025年攻击链显示，超50%的诱饵文件接纳俄语及中亚国家官方语言定制，攻击者通过加密RAR文件（解压密码直接嵌入邮件正文）分发伪装成Word文档的可执行文件，运行后释放C/C++反向Shell，毗连C2服务器下载AdaptixC2框架，并通过修改Windows注册表实现恶意载荷长期化。Tomiris的战术演变尤为显著，其日益频仍地使用Telegram、Discord等公共服务作为C2服务器，将恶意流量与正当服务流量混淆以规避检测。其恶意软件武器库涵盖C#、Rust、Go、Python等多语言编写的反向Shell、SOCKS署理及后门程序。多语言�？榈奈扌靶浴⒌涂梢尚蕴卣骷岸钥纯蚣艿氖褂�，使Tomiris能够实现隐藏的恒久长期化攻击。

https://thehackernews.com/2025/12/tomiris-shifts-to-public-service.html

2. 日历订阅清静盲点：BitSight曝347个恶意域名危害

11月28日，网络清静公司BitSight最新研究展现，威胁行为者正通过使用数字日历订阅基础设施实验大规模社会工程攻击。日历订阅功效本用于合刑场景，如零售商推送促销日期、体育协会更新赛事日程，其允许第三方服务器直接向用户装备添加事务并发送通知的特征，却被恶意使用，攻击者搭建托管于逾期或被挟制域名的虚沐日历订阅服务，诱骗用户订阅后推送含恶意链接、附件的日历文件，触发垂纶攻击、恶意软件分发、JavaScript代码执行甚至AI助手滥用等危害。研究始于一个被 “Sinkhole” 手艺接受的域名，该域名原用于分发德国公共假期ICS文件，却逐日吸收1.1万个自力IP会见，引发研究团队关注。进一程序查发明347个可疑日历域名，涉及2018天下杯、伊斯兰Hijri日历等主题，逐日累计吸收约400万次美国为主的全美会见请求。沉洞数据显示，这些会见多为已订阅用户的后台同步请求，意味着接受逾期域名的攻击者可直接向用户装备推送定制化恶意日历事务。

https://www.infosecurity-magazine.com/news/threat-actors-exploit-calendar-subs/

3. Play勒索软件攻击ADC Aerospace

11月29日，美国航空航天与国防领域工程部件制造商ADC Aerospace因服务诺斯罗普·格鲁曼、柯林斯航空航天、霍尼韦尔等着名企业，成为勒索软件攻击重点目的。此次攻击由全球最活跃勒索软件集团之一Play实验，该组织以泄露客户数据为要挟迫使受害者支付赎金，若拒绝则宣布部分数据片断。黑客声称已获取客户文件、预算财务信息、薪资纪录、身份证实等私密数据，但未提供样本，真实性待核查。若数据泄露属实，ADC将面临多重危害：暗网对国防承包商数据的高需求可能推动被盗信息生意；薪资纪录中的小我私家信息可被用于身份偷窃；其他私密数据则可能成为社会工程攻击工具，攻击者冒充行业相关方实验更具破损性的诈骗。Play集团去年跻身全球最活跃勒索软件前三，今年8月初刚入侵为美国水师、波音供货的Jamco Aerospace。

https://cybernews.com/security/adc-aerospace-breach-claims/

4. Coupang遭遇韩国史上最大规�？突菪孤妒挛�

11月30日，被誉为“韩国亚马逊”的韩国电商巨头Coupang于11月18日披露一起大规模数据泄露事务，影响近3400万个客户账户，创韩国单次数据泄露影响规模之最。经视察，攻击者自6月24日起通过外洋服务器提倡未经授权会见，逐步扩大攻击规模，最终导致超3300万韩国用户数据外泄。泄露信息包括姓名、电子邮箱、电话号码、收货地点及部分订单纪录，但支付信息与登录凭证未被获取。Coupang在发明异常后连忙向韩国小我私家信息�；の被帷⒕郊盎チ寰簿直ǜ�，并启动应急响应。公司最初误判仅约4500人受影响，后修正为超3300万人，凸显初期检测机制的缺乏。韩国政府对此高度重视，科学手艺信息通讯部部长裴京勋周日主持紧迫聚会，核查Coupang是否违反《小我私家信息�；しā非寰补娣�。韩国互联网清静振兴院（KISA）已向受影响用户宣布防垂纶诈骗指南，建议按期修改密码、启用双因素认证。此次事务已引发用户整体诉讼危害，Coupang正面临执法追责与信誉重创的双重压力。

https://cybernews.com/news/coupang-confirms-massive-data-breach-exposing-33-7-million-accounts/

5. 警方查封了Cryptomixer加密钱币混淆服务

12月1日，瑞士与德国执法部分克日团结开展“奥林匹亚行动”，于11月24日至28日在苏黎世查封加密钱币混淆服务Cryptomixer。该平台自2016年运营以来，被指协助网络犯法分子洗钱超13亿欧元比特币，成为勒索软件团伙、暗网市场及地下经济论坛混淆犯法资金的焦点渠道。行动中，执法机构在欧洲刑警组织与欧洲司法组织支持下，查获三台服务器、12TB数据、明网及Tor暗网域名，并扣押价值2400万欧元比特币。Cryptomixer通过混适用户加密钱币至资金池并分发至新钱包地点，有用阻断区块链资金追踪，成为贩毒、武器走私、勒索攻击及支付卡诓骗等犯法运动的洗钱首选工具。其运营模式还包括对洗钱资金收取佣金，再转移至客户指定钱包，最终通过银行或ATM将不法资产转换为法币或其他加密钱币。此类服务虽保存正当用途，但主要被犯法团伙用于逃避追查。

https://www.bleepingcomputer.com/news/security/police-takes-down-cryptomixer-cryptocurrency-mixing-service/

6. CISA将OpenPLC ScadaBR误差添加到KEV目录中

12月1日，美国网络清静和基础设施清静局（CISA）克日将编号为CVE-2021-26829的OpenPLC ScadaBR误差纳入已知使用误差（KEV）目录。该误差为跨站剧本（XSS）误差，通过system_settings.shtm文件影响Windows和Linux版本，详细涉及Windows端1.12.4及更早版本、Linux端0.9.1及更早版本，CVSS评分为5.4。2025年9月，亲俄黑客组织TwoNet针对网络清静公司Forescout运营的ICS/OT蜜罐系统提倡攻击，误判其为水处置惩罚厂。攻击者使用默认凭证获取系统会见权限后，建设名为“BARLATI”的账户，并通过CVE-2021-26829误差改动人机界面（HMI）登录页面，每次会见该页面时，会触发包括脏话的弹窗忠言，同时禁用日志和警报功效。凭证具有约束力的操作指令（BOD）22-01，联邦民用机构（FCEB）须在2025年12月19日前修复该误差，以降低重大危害。CISA同时建议私营机构审查KEV目录，实时修补自身基础设施中的同类误差，避免被使用。

https://securityaffairs.com/185185/security/u-s-cisa-adds-an-openplc-scadabr-flaw-to-its-known-exploited-vulnerabilities-catalog.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究