“黄金工厂”网络犯法团伙针对东南亚提倡攻击

首页 > 清静研究 > 清静转达 > 清静简讯

“黄金工厂”网络犯法团伙针对东南亚提倡攻击

宣布时间 2025-12-08

1. “黄金工厂”网络犯法团伙针对东南亚提倡攻击

12月4日，以牟利为目的的“黄金工厂”网络犯法团伙近期以伪装政府服务机构的方法，向印度尼西亚、泰国和越南的移动用户提倡新一轮攻击。该团伙自2024年10月起，通过撒播植入安卓恶意软件的改动版银行应用实验攻击，最早在泰国被发明，后伸张至越南和印尼。据新加坡IB集团手艺报告，仅印尼就造成近2200起装备熏染，总熏染案例超1.1万起，其中63%的改动应用针对印尼市场。攻击流程伪装成政府机构或着名品牌，通过电话诈骗诱导用户点击Zalo等通讯软件中的链接，装置恶意软件。恶意程序通过注入恶意代码到正规银行应用，保存正常功效以绕过清静防护，焦点目的是远程操控装备。研究职员发明三类挟制器组件——“弗瑞挟制器”“天空挟制器”“派恩挟制器”，可实现隐藏应用、规避检测、伪造署名、窃取余额信息等功效。该团伙还开发了“巨型花”测试版恶意软件，支持实时传输装备画面、键盘纪录、弹出虚伪界面窃守信息，并正在开发二维码扫描功效以提取越南身份证信息。

https://thehackernews.com/2025/12/goldfactory-hits-southeast-asia-with.html

2. 印度企业遭伪装税务部分垂纶攻击

12月4日，近期，一场针对印度企业的大规模垂纶攻击悄然睁开。攻击者伪装成印度所得税部分，通过高度仿真的政府公牍模板及印地语与英语双语通讯，引用《所得税法》条款制造正当性与紧迫感，谎称收件人保存税务违规行为，要求72小时内提交文件，诱骗用户翻开恶意附件。此次攻击接纳两阶段恶意软件链：初期以密码�；さ腪IP文件搭载shellcode加载器，后续变体使用谷歌文档链接交付二级载荷，最终投放AsyncRAT远程控制木马，实现屏幕共享、文件传输及远程下令执行。攻击目的锁定证券公司、金融机构及非银行金融公司，因这些机构需按期与政府部分交流羁系文件，成为重点目的。Raven清静团队通过识别攻击架构中的多层矛盾点，乐成发明并阻止了这一零日攻击，阻止目的机构大规模熏染。邮件源自正当免费邮箱账号，通过SPF、DKIM及DMARC认证，绕过古板邮件过滤器。密码�；じ郊柚勾渲斜簧倍救砑�，解压后泛起的“NeededDocuments”可执行文件内置shellcode，shellcode与AsyncRAT控制服务器建设通讯。

https://cybersecuritynews.com/new-phishing-attack-mimic-as-income-tax-department/

3. React2Shell误差大规模使用，超7.7万IP受影响

12月6日，React2Shell远程代码执行误差（CVE-2025-55182）引发全球清静�；�。该误差源于React服务器组件对客户端控制数据的不清静反序列化机制，攻击者可通过单个HTTP请求触发未经身份验证的恣意下令执行，影响所有实现React服务器组件的框架如Next.js。Shadowserver报告显示，超77,000个袒露在互联网的IP地点易受攻击，其中约23,700个位于美国，涉及多个行业。误差披露后，清静研究员Maple3142宣布看法验证，推动自动化扫描工具迅速扩散。GreyNoise监测到，已往24小时内有181个差别IP实验使用该误差，流量主要来自荷兰、中国、美国、香港等地区，攻击者多使用PowerShell下令如“40138*41979”测试误差，确认后通过base64编码下载第二阶段剧本，安排Cobalt Strike信标或Snowlight、Vshell恶意软件，实现远程会见、横向移动及敏感信息窃取。

https://www.bleepingcomputer.com/news/security/react2shell-flaw-exploited-to-breach-30-orgs-77k-ip-addresses-vulnerable/

4. Barts Health NHS Trust遭Clop勒索软件攻击

12月5日，英国Barts Health NHS Trust克日宣布，其Oracle E-business Suite软件保存误差（CVE-2025-61882），被Clop勒索软件团伙使用，导致数据库中跨越数年的发票文件被盗。泄露数据涉及在巴茨康健医院接受治疗或服务职员的全名、地点，部分前雇员及已果真数据的供应商信息，以及自2024年4月起该信托向Barking、Havering和Redbridge大学医院NHS信托提供的会计服务相关文件。Clop已将窃守信息上传至暗网泄露门户，但Barts强调，现在仅限加密暗网用户可会见压缩文件，未发明数据在果真互联网撒播。此次攻击爆发于2025年8月，直至11月文件被宣布至暗网后才确认数据危害。Barts已向国家网络清静中心、伦敦警员厅及信息专员办公室（ICO）转达事务，并申请高等法院下令榨取数据使用、宣布或分享，但此类禁令现实效力有限。该机构运营伦敦五家医院，包括皇家伦敦医院、圣巴塞洛缪医院等，其电子病历及临床系统未受影响，焦点IT基础设施清静性仍获一定。

https://www.bleepingcomputer.com/news/security/barts-health-nhs-discloses-data-breach-after-oracle-zero-day-hack/

5. Inotiv遭麒麟勒索软件攻击致9500余人数据泄露

12月5日，美国制药公司Inotiv克日披露，2025年8月5日至8日时代，其部分网络和系统遭勒索软件攻击，导致数据库及内部应用程序瘫痪，营业运营受严重影响。该公司随后向美国证券生意委员会（SEC）提交文件确认，已恢复受影响系统会见权限，并正向8月事务中数据被盗的9,542名小我私家发送通知，涉及现任/前任员工、眷属及与收购公司有过互动的其他职员。此次攻击由麒麟勒索软件组织宣称认真。该组织在暗网泄露网站声称，窃取了Inotiv超16.2万个文件，总计176GB，但Inotiv未明确详细泄露数据类型，也未确认麒麟声明的真实性。Inotiv总部位于印第安纳州，是一家年收入超5亿美元的条约研究机构，专注药物开发、清静性评估及活体动物研究模子构建，拥有约2000名员工。只管此次攻击未波及焦点临床系统，但数据泄露危害仍引发羁系关注。

https://www.bleepingcomputer.com/news/security/pharma-firm-inotiv-discloses-data-breach-after-ransomware-attack/

6. 多阶段攻击运动瞄准Palo Alto与SonicWall清静装备

12月6日，威胁行为者12月2日起使用德国托管服务提供商3xK GmbH运营的BGP网络（AS200373）下7000余个IP地点，提倡针对Palo Alto GlobalProtect VPN门户及SonicWall SonicOS API端点的多阶段攻击。GreyNoise报告显示，攻击者首先通过暴力破解实验登录Palo Alto防火墙的远程会见组件GlobalProtect，随后转向扫描SonicOS API端点——该操作系统控制SonicWall防火墙的设置与监控功效。此次运动与11月中旬纪录的230万次GlobalProtect扫描保存关联：62%的攻击IP位于德国，均使用相同TCP/JA4t指纹，且源自此前无恶意纪录的四个ASN。历史扫描运动曾天生超900万次不可伪造的HTTP会话，目的直指GlobalProtect。12月3日，针对SonicOS API的扫描中再次泛起相同三个客户指纹，GreyNoise据此判断两阶段攻击同源。Palo Alto Networks回应称，检测到的扫描运动属于“凭证攻击而非误差使用”，其内部遥测及Cortex XSIAM防护系统确认未对产品服务造成损害，建议客户启用多因素认证（MFA）提防凭证滥用。SonicWall方面尚未果真置评。

https://www.bleepingcomputer.com/news/security/new-wave-of-vpn-login-attempts-targets-palo-alto-globalprotect-portals/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究