DragonForce勒索软件借SimpleHelp缝隙攻破MSP

首页 > 安全钻研 > 安全传递 > 安全简讯

DragonForce勒索软件借SimpleHelp缝隙攻破MSP

颁布功夫 2025-05-28

1. DragonForce勒索软件借SimpleHelp缝隙攻破MSP

5月27日，DragonForce勒索软件团伙成功攻破一家托管服务提供商，并利用其SimpleHelp远程监控和治理（RMM）平台执行了一系列恶意活动。Sophos公司受命调查这次攻击，发现威胁行为者利用了SimpleHelp的较旧缝隙，蕴含CVE-2024-57727、CVE-2024-57728和CVE-2024-57726，来粉碎系统。SimpleHelp作为一种贸易远程支持和接见工具，常被MSP用于治理系统和部署软件，这次却成为攻击者的利用对象。攻击者首先利用SimpleHelp对客户系统进行窥伺，网络设备名称、配置、用户和网络衔接等信息。随后，他们试图窃取数据并在客户网络上部署加密器，部门网络因使用Sophos端点�；ざ菇叵嗍见芷�，但其他客户则不幸中招，设备被加密，数据被窃取，并用于双沉勒索攻击。Sophos已分享与这次攻击有关的IOC，以援手组织加强网络防护。持久以来，托管服务提供商一向是勒索软件团伙的沉点攻击指标，因一次入侵可能导致多家公司受损。一些勒索软件同盟专门钻研MSP常用工具，如SimpleHelp，这导致了如REvil对Kaseya的大规模勒索软件攻击等覆灭性事务。

https://www.bleepingcomputer.com/news/security/dragonforce-ransomware-abuses-simplehelp-in-msp-supply-chain-attack/

2. 俄罗斯网络间谍组织“洗衣熊”涉嫌入侵荷兰警方

5月27日，一个此前不为人知的俄罗斯支持的网络间谍组织“洗衣熊”（Laundry Bear）被追踪到与2024年9月荷兰警方安全缝隙事务有关。荷兰国度警员局去年泄漏，攻击者窃取了多名警官的工作联系信息，荷兰谍报和安全总局（AIVD）与荷兰国防谍报和安全局（MIVD）在周二的结合忠告中，将“洗衣熊”与这次入侵事务联系起来，并忠告称该组织很可能也入侵了其他荷兰组织。调查显示，“洗衣熊”于2024年9月接见了一名荷兰警员雇员的账户，并通过全球地址列表窃取了与工作有关的联系信息，攻击者可能使用了“传递 Cookie”攻击，利用窃取的Cookie假意所有者，无需用户名或密码即可接见信息。MIVD主管彼得·里斯克暗示，该黑客组织成功获取了全球大量组织和公司的敏感信息，对欧盟和北约国度出格感兴致。“洗衣熊”也被微软称为Void Blizzard，至少自2024年4月以来一向活跃，专一于针对乌克兰和北约成员国发起与俄罗斯战术指标一致的攻击，其战术蕴含使用窃取的凭证和鱼叉式网络垂钓电子邮件来突破指标防御，并从受害者的受习染系统中网络和窃取文件和电子邮件。

https://www.bleepingcomputer.com/news/security/russian-void-blizzard-cyberspies-linked-to-dutch-police-breach/

3. 黑客伪造杀毒网站以传布Venom RAT并窃取加密钱包

5月27日，网络安全钻研人员近日披露了两起新型恶意活动。其一，攻击者仿冒Bitdefender杀毒软件下载网站“bitdefender-download[.]com”，诱导用户下载含VenomRAT远程接见木马的恶意法式。用户点击该仿冒网站“Download for Windows”按钮后，会触发文件下载流程，但目前有关Bitbucket账户已被封禁。下载的ZIP压缩包中蕴含整合了VenomRAT木马配置、开源后期利用框架SilentTrinity及StormKitty信息窃取器的可执行文件。VenomRAT作为Quasar RAT变种，具罕见据网络与悠久化远程节造能力。DomainTools谍报团队指出，该垂钓网站基础设施与多个仿冒加拿大皇家银杏注微软服务的恶意域名有关联，这些域名此前已被用于窃取登录凭证的垂钓活动。攻击技术链显示，VenomRAT、StormKitty与SilentTrinity各司其职，共同实现攻击。钻研人员强调，这次活动选取�？榛醋榧菇ǘ褚馊砑低�，提升了攻击效能与荫蔽性。同期，另一路ClickFix式攻击活动也被曝光。攻击者伪造谷歌Meet页面，利用虚伪谬误提醒诱导用户执行特定PowerShell号令，部署混合批处置剧本实现远程节造。此表，针对Meta的大规模垂钓活动借助谷歌AppSheet无代码开发平台，绕过邮件安全和谈，通过动态天生唯一案例ID躲避传统检测系统，假装成Facebook支持团队诱骗用户点击链接，窃取双成分认证代码。

https://thehackernews.com/2025/05/cybercriminals-clone-antivirus-site-to_4.html

4. Everest Group勒索软件团伙入侵Mediclinic并要求赎金

5月26日，勒索软件团伙Everest Group宣称入侵了价值50亿美元的医疗帝国Mediclinic，并威胁除非获得赎金，不然将泄录感数据。Mediclinic成立于1983年，在多国运营医院，年收入高达54亿美元。据暗网5月26日公告，该勒索软件团伙窃取了1000名公司员工幼我数据及4GB内部机密数据，并要求公司在五天内与其联系并达成和谈，不然将开释被盗数据。目前，涉嫌数据泄露的具体领域尚不明显，但鉴于Mediclinic从事医疗业务，这些数据可能高度敏感，一旦证实，将危及受影响的幼我及公司运营。钻研人员指出，泄露内部机密文件对员工尤为危险，攻击者可能利用窃取的数据进行身份偷窃、诓骗或网络垂钓攻击，甚至可能引发对基础设施的进一步攻击或司法行动。Everest Group勒索软件团队据称与俄罗斯的BlackByte集团有联系，自2021年中期以来一向在活动，本月还袭击了跨国软饮料出产商适口可乐，窃取了员工数据及机密文件，并策动了2022年10月针对AT&T的攻击。

https://cybernews.com/security/mediclinic-everest-ransomware-attack/

5. Rhysida勒索团伙宣称窃取巴西汽车经销商Carrera的数据

5月26日，近日，与俄罗斯有关联的Rhysida勒索软件团伙宣称窃取了巴西驰名汽车经销商Carrera的敏感数据，蕴含护照、合一致，并索要100万美元赎金以覆盖真相。该团伙在暗网颁布申明，以典型方式威胁该公司，要求在6月1日前支付巨额赎金，不然将公开数据。Carrera公司总部位于圣保罗，经营多个汽车品牌销售及有关服务。这次勒索攻击可能给公司带来巨额损失，蕴含资源分配、司法奉告、客户赔偿及�？畹�，�？罱鸲羁赡芨叽锝�300万美元。此表，护照复印件泄露可能导致身份偷窃和诓骗，受影响客户可能告状公司要求赔偿。除经济处罚表，公司还可能遭逢名誉侵害，影响业务绩效。Rhysida组织以双沉勒索伎俩闻名，已渗入到教育、医疗保健等多个领域，自2023年5月成立以来已造成超过202名受害者。不外，2024年韩国互联网安全局的钻研幼组已破解该团伙的加密代码，并在其网站上分享了免费的Rhysida解密工具和手册。

https://cybernews.com/security/carrera-chevloret-brazil-ransomware-attack/

6. 黑客宣称AT&T沉大泄密事务露出了3100万笔纪录

5月26日，攻击者近日宣称数千万条AT&T纪录被泄露至网上，但钻研人员以为不足足够证据支持。该事务详情颁布于一驰名黑客论坛，攻击者称数据集含多达3100万条敏感用户纪录，蕴含客户全名、性别、诞生日期、税号、设备ID、CookieID、IP地址、齐全地址、电话号码及电子邮件地址等。钻研团队调查发现，样本仅含单个用户具体信息，无法验证齐全数据库是否真有3100万笔纪录。不外，如果每个用户露出信息量一样，则超300万AT&T用户幼我信息可能已泄露。钻研人员强调，若信息真有3100万行，将是严沉用户隐衷泄露。只管目前无法确认泄露事务，但攻击者5月非�；钤�，颁布了数十条含各类数据的帖子。若AT&T数据泄露被证实，将对受影响幼我组成严沉网络安全和隐衷风险，这些数据足以引发金融诓骗、账户盗用和社会工程攻击。AT&T作为全球最大电信公司之一，年营收超1220亿美元，其重大规模使其成为黑客攻击指标，去年4月该公司就曾暗示客户数据被从第三方云平台犯法下载，险些所有客户都受影响。

https://cybernews.com/security/att-data-breach-millions-records-claimed/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研