ToddyCat攻击技术升级，精准窃取企业邮件

首页 > 安全钻研 > 安全传递 > 安全简讯

ToddyCat攻击技术升级，精准窃取企业邮件

颁布功夫 2025-11-27

1. ToddyCat攻击技术升级，精准窃取企业邮件

11月25日，网络安全钻研显示，驰名威胁行为者ToddyCat团伙正通过新型攻击伎俩定向窃取企业邮件数据。该团伙自2020年起持续活跃，重要针对欧洲及亚洲多国组织提议攻击，其技术伎俩不休迭代升级。主题攻击链中，团伙选取定造化工具TCSectorCopy，通过C++开发实现绕过Outlook运行时接见限度，以只读模式挂载磁盘并按扇区挨次复造OST离线存储文件，结合开源工具XstReader提取邮件内容。针对云服务场景，攻击者利用开源C#工具SharpTokenFinder从内存中抓取Microsoft 365明文JWT令牌，遇安全软件拦截时则改用Sysinternals的ProcDump工具强造dump Outlook过程内存。在横向渗入阶段，TomBerBil工具通过打算工作执行PowerShell号令，利用SMB和谈搜索远程主机浏览器汗青纪录、Cookie及痛处。只管敏感文件受DPAPI加密，但新版TomBerBil可复造用户加密密钥文件，结合SID及密码在本地实现解密。

https://thehackernews.com/2025/11/toddycats-new-hacking-tools-steal.html

2. 西班牙Travel Club平台遭Everest勒索软件攻击

11月25日，运营西班牙驰名同盟忠诚度平台Travel Club的西班牙航空里程公司（Air Miles Espa?a）遭逢Everest勒索软件团伙攻击。黑客在暗网泄录户颁布蕴含齐全用户姓名、邮箱及忠诚度打算数据的CSV文档截图，虽公司尚未公开证实，但凭据该团伙“实现数据窃取后公开受害机构”的汗青法规，申明可信度较高。Cybernews已联系平台追求置评，将跟进后续回应。Travel Club在西班牙占有超600万用户，用户可通过零售、航空、燃油及在线商家合作同伴累积积分，合作方涵盖雷普索尔能源、Eroski零售集团、伊比利亚航空等大型品牌，在西班牙告白及忠诚度嘉奖生态中占据主题职位。这次数据泄露影响远超通常消费者层面，可能波及所有依赖该平台分析数据与交叉推广的营销合作同伴、零售连锁及告白商，形成“用户-企业-生态”三级风险链。

https://cybernews.com/security/travel-club-spain-everest-ransomware/

3. Money Mart遭Everest勒索软件攻击

11月26日，Everest勒索软件组织对北美“当日”金融服务巨头Money Mart提议攻击，泄露蕴含客户买卖纪录、信誉卡具体信息及员工幼我信息在内的敏感数据。该团伙在暗网泄露网站颁布样本，宣称从“国度钱币市场公司数据库”窃取超8万份内部文件，并设定11月30日为联系期限，逾期将公开数据至黑客论坛。Money Mart作为加拿大Momentum Financial Services Group子公司，占有美加约400家分店，提供发薪日贷款、支票兑现等服务，年收入达2400万美元。泄露数据类型多样，涉及幼我身份信息、财政数据、系统配置文件、员工名单等。例如，财政数据蕴含信誉卡16位账号中的10位及信誉额度；买卖数据涉及支票兑现日期、金额及授权码；员工信息则蕴含工作邮箱、就衣氟史等。此类数据泄露不仅威胁用户隐衷，更可能引发社会工程学攻击激增、企业面对监管审查与名誉损失。

https://cybernews.com/news/money-mart-breach-everest-ransomware-attack-consumer-financial-data-stolen/

4. 意大利艺术品印刷服务商Pixtura遭数据泄露

11月25日，意大利艺术品印刷服务商Pixtura遭黑客入侵，黑客在数据泄露论坛宣称窃取数千银行账号及身份证件。Cybernews团队分析样本后确认，泄露数据蕴含用户电子邮件、哈希密码、全名、电话号码、IBAN及身份证号码，但单笔纪录不定蕴含全数信息。例如，电子邮件地址数量远多于IBAN号码，但团队以为泄露的ID拥有较高真实性。技术分析显示，部门密码选取不安全的MD5哈希算法，易被破解；部门使用SHA-256，虽较MD5安全但仍易受暴力破解；还有部门选取安全的Bcrypt算法。IBAN泄露用户面对更高风险，攻击者可假意其收受金融账户或执行金融诳骗，只管此类操作需额表信息及致力。团队未发现支付卡信息，揣摩攻击者入侵了客户信息数据库。值妥贴心的是，这次事务产生在“玄色星期五”前夕。最新数据显示，11月1日以“黑五”为主题的垂钓攻击激增20倍，占观测邮件总量的8%。

https://cybernews.com/security/fine-art-printing-breach-expose-users/

5. RomCom恶意软件借SocGholish攻击美企

11月26日，网络安全公司Arctic Wolf Labs披露，名为RomCom的恶意软件家族通过SocGholish JavaScript加载器对美国一家土木工程公司提议攻击，旨在分发Mythic Agent恶意软件。这是初次观察到RomCom有效载荷通过SocGholish进行分发。该攻击被中高相信度归因于俄罗斯联国武装力量总照拂部总局（GRU）下属的29155队列。值妥贴心的是，受攻击实体从前曾为与乌克兰联系亲昵的城市提供服务。SocGholish作为初始接见中介，允许其他威胁行为者分发各类有效载荷。其攻击链通常通过入侵合法网站推送虚伪浏览器更新提醒，诱骗用户下载恶意JavaScript剧本，进而装置加载器并获取更多恶意软件。这次攻击中，虚伪更新有效载荷使威胁行为者可能成立反向shell，在受习染主机上执行窥伺活动及部署定造Python后门VIPERTUNNEL。同时，攻击者还分发了与RomCom有关的DLL加载器，用于启动跨平台后渗入框架主题组件Mythic Agent，该组件支持号令执杏注文件操作等职能。

https://thehackernews.com/2025/11/romcom-uses-socgholish-fake-update.html

6. 伦敦多个市政委员会的IT系统因网络攻击而中断

11月26日，近日，伦敦肯辛顿和切尔西皇家自治市（RBKC）、威斯敏斯特市议会（WCC）及伦敦哈默史女士和富勒姆区（LBHF）因共享部门IT基础设施，同时遭逢网络安全攻击导致服务中断。安全专家凯文·博蒙特揣摩此为勒索软件攻击，但截至发稿无组织公开认责。攻击波及多个系统，蕴含电话线路、在线服务及联系中心，三家机构已启动应急预案，关关部门推算机系统以阻断进一步侵害，并采取“加强措施”隔离�；ね�。WCC作为英国重要处所当局，辖区内有威斯敏斯特宫、白金汉宫等沉腹地标；RBKC虽为伦敦面积和人丁最幼的行政区之一，却占有英国最高人均GDP；LBHF则服务18万居民。RBKC昨日布告称居民无法通过在线服务或联系中心联系，WCC亦证实受统一网络安全问题影响。三家机构在网络安全专家及国度网络安全中心协助下，正沉点�；は低澈褪荨⒏丛低臣笆鼗す丶�。调查仍在进行中，机构正核查是否存在数据泄露，并已按法式通知英国信息专员办公室（ICO）。

https://www.bleepingcomputer.com/news/security/multiple-london-councils-it-systems-disrupted-by-cyberattack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研