Punishing Owl对俄提倡手艺重大网络攻击

首页 > 清静研究 > 清静转达 > 清静简讯

Punishing Owl对俄提倡手艺重大网络攻击

宣布时间 2026-02-04

1. Punishing Owl对俄提倡手艺重大网络攻击

2月2日，黑客组织Punishing Owl于2025年12月12日首次果真运动，对俄罗斯政府清静机构提倡手艺重大的网络攻击。该组织通过入侵目的网络窃取内部文件，并将其宣布至数据泄露平台，同时在Mega.nz存储客栈备份文件，以最大化曝光度。为拖延受害者响应并扩大影响，攻击者特意选择周五晚6点37分这一非事情时段宣布入侵事务。攻击历程中，Punishing Owl控制了受害机构的DNS设置，建设子域名并将流量挟制至位于巴西的服务器。该服务器不但托管了窃取的文件，还附带了一份叙述攻击念头的政治声明。随后，该组织进一步对受害机构的相助同伴与承包商提倡商业电子邮件诓骗（BEC）攻击，使用伪造的发件地点发送垂纶邮件，谎称是网络入侵事务的核实通知，并鞭策收件人审查附件文档。手艺层面，Punishing Owl展现出高水准的攻击能力。其设置了伪造的TLS证书，搭建了用于邮件收发的IMAP和SMTP服务，并安排了名为ZipWhisper的PowerShell窃密木马，用于偷取受熏染系统的浏览器凭证。

https://cybersecuritynews.com/new-punishing-owl-hacker-group-targeting-networks/

2. DynoWiper恶意软件攻击波兰能源企业

2月2日，一款名为DynoWiper的新型高危数据擦除恶意软件首次被发明，正对波兰能源企业提倡破损性攻击，其焦点目的并非勒索钱财，而是永世扫除要害数据并导致系统瘫痪。与通例勒索软件差别，DynoWiper通过三阶段摧毁流程实现破损：第一阶段递归搜索所有牢靠及可移动驱动器上的文件，避开要害系统目录以维持基本运行；第二阶段使用16字节随机数据缓冲区覆写文件内容，小于16字节的文件被完全笼罩，大于16字节的则部分破损，以此提升摧毁效率；第三阶段通过系统重启或直接终止历程使受熏染装备无法启动。该恶意软件保存多个变种，均于2025年12月29日投放。攻击者在首次执行失败后多次修改代码以绕过清静防护，但企业安排的终端检测与响应工具乐成阻挡了其执行，大幅降低损失。Welivesecurity剖析师指出，DynoWiper与针对乌克兰的已知擦除恶意软件ZOV保存显著相似性，其归因于与俄罗斯关联的Sandworm组织。

https://cybersecuritynews.com/dynowiper-data-wiping-malware/

3. Coinbase证实内部职员数据泄露

2月3日，美国加密钱币生意所Coinbase克日确认爆发一起内部职员数据泄露事务。据公司讲话人披露，2025年12月，一名承包商不当会见约30名客户的敏感信息，包括电子邮件、姓名、出生日期、电话号码、KYC数据、加密钱币钱包余额及生意纪录。该承包商已被终止相助，受影响用户已获身份偷窃�；し窦爸傅�，事务同步上报羁系机构。威胁行为者“Shiny Lapsus Hunters”曾短暂在Telegram宣布Coinbase内部支持界面截图后删除，截图显示可会见客户敏感数据。只管无法确认该组织是否直接关联内部职员入侵，但类似手法在其他攻击中频现，如威胁行为者曾行贿CrowdStrike内部职员获取截图，或通过社交工程冒充员工骗取BPO支持职员授权会见权限。BPO公司因承接客户支持、身份验证、IT服务等运营使命，其员工常接触企业焦点系统与客户数据，成为攻击者高价值目的。

https://www.bleepingcomputer.com/news/security/coinbase-confirms-insider-breach-linked-to-leaked-support-tool-screenshots/

4. Step Finance遭黑客攻击致4000万美元资产损失

2月3日，美国加密钱币平台Step Finance于2025年1月31日检测到清静误差，经视察确认因高管装备遭黑客入侵，导致价值约4000万美元的数字资产被盗。该平台是基于Solana区块链的去中心化金融（DeFi）平台及剖析工具，支持用户资产可视化、生意、质押等操作，并拥有原生代币$STEP，但生意量相对较小。攻击爆发后，Step Finance迅速约请网络清静专家协助追回资产。区块链剖析公司CertiK起源报告显示，被盗资产包括261,854 SOL（约2890万美元），但平台最终核实总损失约4000万美元。通过Token22�；げ椒ゼ跋嘀樾�，现在已追回约370万美元Remora资产及100万美元其他头寸，合计470万美元。为增强清静防护，平台已暂停部分营业运营，并强调其旗下Remora Markets未受影响，所有rToken仍坚持1:1完全储备。Step Finance建议用户在视察竣事前暂停使用STEP代币，并允许将对攻击前状态举行快照，制订针对持有者的解决计划。

https://www.bleepingcomputer.com/news/security/step-finance-says-compromised-execs-devices-led-to-40m-crypto-theft/

5. Citrix NetScaler遭6.3万IP协同侦探

2月3日，威胁监控平台GreyNoise视察到针对Citrix NetScaler基础设施的协同侦探行动，该行动使用超6.3万个自力IP地点提倡111,834个会话，其中79%流量指向Citrix Gateway蜜罐，64%来自伪装成正当消耗者ISP地点的住宅署理，剩余36%源自统一Azure IP地点。GreyNoise指出，此次运动并非随机互联网扫描，而是有组织的基础设施测绘，旨在入侵前识别袒露的Citrix登录面板及产品版本。攻击者通过两个焦点指标袒露恶意意图：其一，63,189个IP天生109,942个会话，集中扫描“/logon/LogonPoint/index.html”身份验证界面，大规模识别袒露的登录面板；其二，2月1日10个IP在6小时内启动1,892个会话，聚焦URL路径“/epa/scripts/win/nsepa_setup.exe”，通过EPA工件枚举Citrix版本。攻击者使用2016年头宣布的Chrome 50用户署理，针对EPA装置文件路径的特定攻击批注其正开发特定版本误差使用程序或验证已知Citrix ADC误差。

https://www.bleepingcomputer.com/news/security/wave-of-citrix-netscaler-scans-use-thousands-of-residential-proxies/

6. CISA紧迫转达SolarWinds服务台误差

2月3日，美国网络清静与基础设施清静局（CISA）克日将SolarWinds Web Help Desk的严重误差CVE-2025-40551标记为"正在遭受攻击"，并依据2021年宣布的具有约束力的操作指令（BOD 22-01），要求联邦民事行政部分（FCEB）机构在三天内完成系统修补。该误差由清静研究员Jimi Sebree发明，源于不受信托的数据反序列化弱点，可被未经身份验证的攻击者使用实现远程代码执行，在未打补丁的装备上运行恶意下令。SolarWinds于1月28日宣布Web Help Desk 2026.1版本修复此误差，同时一并修复了Sebree发明的硬编码凭证高危误差（CVE-2025-40537）及watchTowr的Piotr Bazydlo报告的两个身份验证绕过误差（CVE-2025-40552、CVE-2025-40554），所有误差均支持远程使用。CISA强调，只管BOD 22-01仅针春联邦机构，但私营部分也应尽快修补以抵御一连攻击。

https://www.bleepingcomputer.com/news/security/cisa-flags-critical-solarwinds-rce-flaw-as-actively-exploited/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究