FBI警示虚伪文档转换工具窃守信息并传布勒索软件

首页 > 安全钻研 > 安全传递 > 安全简讯

FBI警示虚伪文档转换工具窃守信息并传布勒索软件

颁布功夫 2025-03-24

1. FBI警示虚伪文档转换工具窃守信息并传布勒索软件

3月23日，联国调查局（FBI）丹佛分局近日颁布网络安全预警，指出网络犯罪组织正利用伪造的在线文档转换工具执行大规模信息窃取与勒索攻击。据安全汇报显示，攻击者通过创建虚伪文件转换、归并或下载工具网站，诱导用户上传蕴含敏感信息的文档，进而在设备中植入恶意软件。FBI指出，这些垂钓网站通常假装成提供".doc转.pdf""多图归并.pdf"等实用职能的免费服务，其域名与合法网站高度类似（如篡改字母或后缀）。当用户上传文件后，攻击者不仅窃取姓名、社保号、加密钱币密钥、银行账户等敏感数据，更通过绑缚的恶意软件（如Gootloader）实现远程设备节造，最终部署REvil、BlackSuit等勒索软件。网络安全钻研员已确认多起现实攻击案例。安全专家建议，用户应选择驰名文件转换服务，预防使用无评价纪录的幼多工具；下载前务必核查文件哈希值，对可执行文件（.exe）和剧本文件（.js）进行沙箱分析；企业用户需部署邮件过滤与内容检测机造，阻断可疑文件传输。

https://www.bleepingcomputer.com/news/security/fbi-warnings-are-true-fake-file-converters-do-push-malware/

2. 微软可信署名遭滥用：短期证书助恶意软件绕过安全检测

3月22日，网络安全钻研人员近期告发，网络犯罪组织正利用微软新推出的"可信署名服务（Trusted Signing）"签发短期有效代码署名证书，为恶意软件披上合法表衣。该服务允许开发者以每月9.99美元订阅获取由微软治理的认证机构签发的短期证书，其设计初衷是通过自动化证书轮换机造提升软件分发安全性。然而，威胁行为者发现该服务存在可被利用的缝隙：只管微软要求注册实体需为成立满三年的企业，但允许幼我以自身名义注册，这为犯法分子提供了更便捷的假装蹊径。分析显示，攻击者偏好使用有效期仅三天的短期证书，这类证书即便被用于恶意活动，微软也能通过威胁谍报监控急剧撤销，理论上可最幼化滥用影响。但现实情况中，已发现多起在证书失效前利用有效署名传布的恶意软件案例。安全专家指出，威胁行为者转向微软服务，重要因其验证流程较传统扩大验证（EV）证书更为轻便。微软方面暗示，已部署自动监控机造，结合威胁谍报实时追踪证书使用情况，一旦发现恶意利用当即执行大规模证书撤销，同时强调其反恶意软件产品已能检测有关样本。

https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/

3. 黑客宣称获取600万笔纪录，但Oracle否定存在违规行为

3月22日，网络安全公司CloudSEK通过其XVigil平台监测到针对Oracle Cloud基础设施的大规模网络攻击事务，导致约600万条敏感纪录泄露，波及超14万名租户。攻击者"rose87168"自2025岁首起头活动，利用Oracle Fusion Middleware 11G的子域名缝隙执行入侵，窃取蕴含JKS密钥库、加密单点登录(SSO)凭证及企业治理器密钥的敏感数据，并在暗网论坛兜销。该组织甚至要求受害者支付赎金删除数据，并为破解密码者提供嘉奖。技术分析显示，攻击可能利用2021年披露的CVE-2021-35587缝隙，该缝隙允许未授权攻击者远程收受Oracle Access Manager，进而执行横向渗入。值妥贴心的是，被入侵服务器软件版本自2014年起未更新，持久处于失建状态。Oracle官方否定云基础设施遭入侵，宣称泄露凭证不合用于其云平台。但CloudSEK指出，攻击者获取的JKS文件蕴含解密敏感数据的密钥资料，泄露的加密SSO/LDAP凭证更可能引发连锁攻击，零日缝隙利用也露出了Oracle Cloud的安全隐患。安全专家建议受影响租户当即执行凭证轮换、发展全面取证调查，并加强威胁谍报监控。

https://hackread.com/oracle-denies-breach-hacker-access-6-million-records/

4. 纽约大学招生系统遭黑客攻击，300万敏感数据泄露引种族争议

3月22日，美国纽约大学遭逢严沉数据泄露事务，黑客通过入侵招生系统获取超过300万份申请者敏感信息。攻击者于22日凌晨渗入官网，持续篡改页面达两幼时，公开披露蕴含姓名、考试成就、家庭布景及经济增援纪录的CSV文件，部门数据可追忆至1989年。篡改页面展示招生登科统计图表，宣称在最高法院取缔平权行动后，亚裔和白人申请者登科尺度仍高于少数族裔，意图激化种族议题。大学IT团队在中午前复原系统节造，讲话人约翰·贝克曼证实已启动安全审查并与法律机构合作。值妥贴心的是，执行攻击的黑客组织"Computer Niggy Exploitation"此前曾入侵明尼苏达大学，泄露700万份含社会安全号码的招生数据，引发集体诉讼。类似事务近年频发，斯坦福大学（2019）、乔治城大学（2024）均遭逢过涉及学生隐衷的大规模泄露。专家指出，教育数据安全缝隙与种族议题交错，凸显高校在数据治理和社会责任方面的双沉挑战。

https://nyunews.com/news/2025/03/22/nyu-website-hacked-data-leak/

5. SEO专业人士遭Semrush垂钓攻击，Google账户数据被窃取

3月21日，一项新的网络垂钓活动针对SEO专业人士，使用恶意Semrush Google告白旨在窃取他们的 Google 帐户痛处。据Malwarebytes尝试室分析，网络犯罪组织正通过假冒Semrush平台的Google告白执行精准垂钓攻击，指标直指用户Google账户痛处。该手法属于"连锁诓骗"模式，攻击者先渗入Google Ads账户创建恶意告白，再诱导用户进入仿冒登录页面。作为服务40%世界500强企业的SEO分析工具，Semrush与Google Analytics等主题服务深度集成，使其成为高价值攻击指标。攻击者注册了semrush[.]click等多个仿冒域名，构建与官方高度类似的垂钓页面，强造用户通过"Google登录"提交凭证。由于Semrush账户常关联企业级Google服务，攻击者可间接获取收入数据、营销战术等敏感信息，而无需直接攻破Semrush系统。安全专家Elie Berreby指出，幕后黑手为巴西犯罪集团，其手法展示出对SaaS生态的深刻理解。防御建议蕴含：预防点击推广链接、使用书签直达官方页面、登录前严格校验域名，并启用密码治理器的自动填充职能。

https://www.bleepingcomputer.com/news/security/fake-semrush-ads-used-to-steal-seo-professionals-google-accounts/

6. 伊朗船只遭黑客攻击，116艘船通讯系统瘫痪

3月21日，近期，伊朗航运业遭逢沉大网络攻击事务，一个名为LabDookhtegan的黑客组织宣称对导致116艘伊朗船只通讯系统瘫痪的攻击掌管。据伦敦网络安全专家纳里曼·加里布证实，这次攻击指标直指伊朗国度油轮公司（50艘）和伊朗伊斯兰共和国航运公司（66艘）运营的船舶，攻击者通过断根VSAT卫星通讯系统的存储设备执行粉碎。该组织宣称，这两家公司持久为也门胡塞叛军提供海上补给，而叛军频仍袭击曼德海峡过往船只，严沉威胁全球业务安全。值妥贴心的是，LabDookhtegan此前以泄露伊朗当局机密著称，自2019年曝光伊朗间谍组织APT34的黑客工具后，持续公开大量当局内部文件，这次攻击标志取其战术从信息泄露转向直接粉碎。

https://news.risky.biz/risky-bulletin-hacktivists-claim-cyber-sabotage-of-116-iranian-ships/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研