STAC6565攻击加拿大，安排QWCrypt勒索软件

首页 > 清静研究 > 清静转达 > 清静简讯

STAC6565攻击加拿大，安排QWCrypt勒索软件

宣布时间 2025-12-12

1. STAC6565攻击加拿大，安排QWCrypt勒索软件

12月9日，网络清静公司Sophos视察发明，2024年2月至2025年8月时代，加拿大组织成为STAC6565威胁集群策划的针对性网络攻击焦点目的，近80%的攻击指向该国实体。该组织与Gold Blade（又名Earth Kapre、RedCurl、Red Wolf）高度关联，自2018年底起从俄罗斯实体扩展至加拿大、美国、德国等多国目的，形成"黑客雇佣兵"运作模式，以商业特工运动为基础，融合数据偷窃与选择性勒索软件安排。攻击链始于针对人力资源部分的鱼叉式网络垂纶，使用Indeed、JazzHR等求职平台上传伪装成简历的恶意文档。2025年7月新变种接纳ZIP存档+快捷方法文件，通过rundll32.exe从Cloudflare Workers域名后的WebDAV服务器获取恶意组件，最终加载RedLoader DLL执行多阶段攻击。该工具链依赖微软程序兼容性助手执行有用载荷，网络Active Directory情形信息，并使用Zemana AntiMalware驱动绕过防病毒软件。威胁行为者武器库包括定制恶意软件QWCrypt、开源反向署理工具RPivot及Chisel SOCKS5。攻击者通过SMB共享分发重命名组件，在受害者网络中横向移动，最终安排勒索软件。

https://thehackernews.com/2025/12/stac6565-targets-canada-in-80-of.html

2. 苏丹巴德尔航空遭黑客入侵致敏感数据泄露

12月10日，克日，一名黑客在网络犯法论坛宣称已入侵苏丹巴德尔航空公司，泄露其2.21GB内部敏感数据，包括2025年6月至7月时代的航行调理手册、清静妄想手册、清静治理系统手册、最低装备清单、地面操作手册及卢旺达基加利站点职员信息等。这些文件详细涵盖波音737手艺规程、清静架构、机队数据及员工联系方法，攻击者正以加密钱币兜售数据，并附上航班调理手册截图佐证。若数据属实，Cybernews团队忠言可能引发社会工程攻击激增及操作规程泄露危害，为后续勒索创立条件。巴德尔航空作为苏丹为数未几的民用航空运营商之一，建设于2004年，总部位于喀土穆，提供海内/区域客运、货运及VIP包机服务，年收入达5600万美元。只管苏丹因战乱导致民航基础设施几近瓦解，该公司仍维持运营并肩负人性主义援助使命。现在，该公司尚未回应数据泄露置评请求。

https://cybernews.com/security/badr-airlines-data-breach-sudan/

3. Cybernews揭破43亿条纪录泄露事务

12月10日，Cybernews研究团队11月发明一个未设防护的MongoDB数据库实例，其中存储16.14太字节、近43亿份文档，包括来自领英的职业及企业情报数据，如全名、邮箱、电话、职位、教育配景、社交媒体账号等小我私家身份信息（PII），以及企业关联关系、职业履历等。该数据库由网络清静研究员鲍勃·迪亚琴科于11月23日发明，两天后所有者完成清静加固，但袒露时长未知，攻击者可能早已使用。数据库包括9个数据荟萃，其中“profiles”“unique_profiles”“people”三个荟萃含近20亿条PII纪录，含领英网址、小我私家主页账号、地理位置、手艺等字段，部分纪录包括小我私家照片及邮箱可信度评分。数据结构显示信息源于自动化爬取，可能整合自销售情报工具Apollo.io，但所有者尚未确认。研究指出，此类大规模、高时效性数据集是恶意攻击者的“宝藏”，可被用于定向垂纶攻击、企业情报侦探、自动化攻击及信息补全，团结其他泄露数据可构建包括密码、装备标识的完整小我私家信息库，降低社会工程学攻击门槛。

https://cybernews.com/security/database-exposes-billions-records-linkedin-data/

4. 皮尔斯县图书馆数据泄露事务影响34万人

12月11日，美国华盛顿州皮尔斯县图书馆系统（PCLS）于2025年4月15日至21日时代遭遇网络攻击，导致凌驾34万人的小我私家信息泄露。PCLS在发明异常后连忙启动视察，确认此次事务为外部不法分子入侵其网络系统所致。凭证官方转达，此次数据泄露波及规模普遍，不但包括图书馆读者，还涉及现任及前任员工及其眷属。详细来看，读者群体泄露的信息主要为姓名和出生日期；而员工及其家庭成员的信息泄露则更为严重，涵盖姓名、出生日期、社会包管号码、驾驶执照号码、护照号码、财务信息、信用卡详细信息，以及康健包管和医疗信息等敏感内容。PCLS向缅因州总审查长办公室报告称，此次事务共影响340,101人，并将向所有受影响者发送书面通知。为减轻潜在危害，PCLS为受影响职员提供为期12个月的免费信用监控和身份�；し�。然而，阻止现在，PCLS尚未宣布此次网络攻击的幕后黑手信息，也未发明任何已知勒索软件组织宣称对此事务认真。

https://www.securityweek.com/pierce-county-library-data-breach-impacts-340000/

5. Gogs零日误差致半数袒露服务器被入侵

12月11日，Gogs作为自托管Git服务，以轻量级、易安排特征被普遍使用，支持版本控制、问题跟踪等功效，用户可完全掌控数据与基础设施。然而，未修复的零日误差CVE-2025-8110被威胁行为者使用，通过远程代码执行入侵约700台互联网袒露的服务器。该误差源于PutContents API的路径遍历缺陷：只管Gogs修复CVE-2024-55947后增强路径名验证，却未检查符号链接目的位置。攻击者可建设含敏感文件符号链接的存储库，使用PutContents笼罩外部文件，触发恣意下令执行。Wiz Research在视察客户恶意软件熏染时发明此误差，扫描显示超1400台Gogs服务器袒露于互联网，其中超50%的实例约700台已被入侵。所有被入侵实例泛起显着模式：7月10日统一时段建设的随机八字符存储库，批注攻击由自动化工具驱动的简单行为者或整体实验。恶意软件通过开源C2框架Supershell建设反向SSH shell，与C2服务器通讯。误差披露后，Gogs维护者于10月30日认可缺陷，但至今未修复，11月1日已泛起第二波攻击。

https://securityaffairs.com/185593/hacking/critical-gogs-zero-day-under-attack-700-servers-hacked.html

6. VSCode供应链攻击：19个恶意扩展植入木马

12月11日，自2月以来，一场针对VSCode Marketplace的隐藏供应链攻击一连举行，攻击者通过19个恶意扩展将恶意软件隐藏在依赖项文件夹中，目的锁定开发者群体。此次攻击由ReversingLabs清静团队发明，攻击者使用伪装成.PNG图像的恶意文件如banner.png，在扩展的node_modules文件夹中预置修改后的依赖项如path-is-absolute或@actions/io，并在index.js中添加特殊类，实现VSCode启动时自动执行恶意代码。详细攻击流程显示，恶意扩展通过捆绑node_modules文件夹阻止VSCode从npm注册表获取依赖项，依赖项中的lock文件包括混淆的JavaScript投放器，而伪装成PNG的压缩文件则包括cmstp.exe和Rust木马程序。只管木马详细功效仍在剖析中，但此次攻击已对开发者系统组成严重威胁。涉及的19个恶意扩展均接纳“主题”类名称变体，如“马尔科姆主题”“PandaExpress主题”，版本统一为1.0.0，现在已由ReversingLabs报告微软并所有移除。然而，装置过这些扩展的用户仍需扫描系统以排查清静误差。

https://www.bleepingcomputer.com/news/security/malicious-vscode-marketplace-extensions-hid-trojan-in-fake-png-file/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究