Space Bears勒索组织借Quasar缝隙窃取Comcast数据

首页 > 安全钻研 > 安全传递 > 安全简讯

Space Bears勒索组织借Quasar缝隙窃取Comcast数据

颁布功夫 2025-12-10

1. Space Bears勒索组织借Quasar缝隙窃取Comcast数据

12月8日，Space Bears勒索软件组织近日在暗网泄密网站宣称，通过佐治亚州电信工程承包商Quasar Inc.的缝隙获取了Comcast内部资料，并同步将Quasar列为独立受害者，暗示两起关联事务。该组织2024年4月出现，被分析为数据窃取型勒索集体，常通过删除敏感文件并索要赎金阻止颁布，与Phobos勒索软件即服务（RaaS）法式存在关联，其泄密网站被视为有关活动共享颁布点。针对Comcast的指控中，Space Bears宣称Quasar为Comcast及Genesis项目造作技术文档，从而获取蕴含多地城市设计文档和公用设施规划图的信息，并设定6天倒计时，逾期将公开数据，期间提供数据售卖服务。然而，该组织未提供文件样本，独立验证暂不成行。Quasar Inc.于2025年12月4日被单独列为受害者，Space Bears宣称获取其网络项目、城市规划图、通讯布局等内部文档，并开启四天倒计时售卖数据。

https://hackread.com/space-bears-ransomware-comcast-quasar-breach/

2. WordPress插件高危缝隙遭大规模利用

12月8日，Wordfence监测显示，WordPress平台的Sneeit Framework插件存在高危远程代码执行缝隙CVE-2025-6389（CVSS评分9.8），影响8.3及以下版本，已通过2025年8月5日颁布的8.4版本建复。该插件活跃装置量超1700个，缝隙源于函数未验证用户输入直接执行代码，攻击者可借此创建恶意治理怨厮户、植入后门，或沉定向访客至垂钓/恶意站点。自11月24日缝隙公开后，Wordfence已拦截超13.1万次攻击，24幼时内即纪录15381次。攻击者通过“/wp-admin/admin-ajax.php”端点发送特造要求，创建“arudikadis”等恶意账户，上传“tijtewmg.php”等具备目录扫描、文件操作职能的恶意文件，并从表部服务器下载“.htaccess”文件绕过接见限度。同时，VulnCheck监测到攻击者利用ICTBroadcast缝隙CVE-2025-2611（CVSS评分9.3），通过下载Shell剧本加载器传布Frost DDoS僵尸网络。

https://thehackernews.com/2025/12/sneeit-wordpress-rce-exploited-in-wild.html

3. 垂钓工具包GhostFrame向全球数百万用户提议攻击

12月8日，Barracuda安全钻研员于2025年9月初次发现名为GhostFrame的新型高复杂度垂钓工具包，该工具已提议超100万次攻击，标志取垂钓即服务（PaaS）技术的危险升级。其主题威胁在于将恶意操作隐匿于隐形iframe框架中，通过天生看似无害的HTML文件，在页面底层加载来自动态子域名的真实垂钓内容，使安全工具难以检测。攻击流程分为两阶段：首先通过假装成“保密合同”“密码沉置”等主题的垂钓邮件诱导用户点击；随后用户进入看似安全的网页，底层iframe从实时调换的子域名加载攻击内容。为躲避检测，攻击者为每个指标单独创建专属子域名，并内置反分析职能，如禁用右键菜单、屏蔽快捷键及关关开发者工具，故障安全核查。GhostFrame搭载多项高荫蔽个性：垂钓表单暗藏在大文件图像流中绕过传统扫描；子域名动态轮换共同备用iframe框架，应对JavaScript拦截；支持多指标矫捷适配，无需批改主页面即可代替垂钓内容；通过批改页面标题和图标仿冒合法服务，加强假装真实性。

https://cybersecuritynews.com/new-ghostframe-super-stealthy-phishing-kit-attacks-millions-of-users-worldwide/

4. 黑客利用React2Shell缝隙提议EtherRAT恶意软件攻击

12月9日，云安全公司Sysdig披露了一种名为EtherRAT的新型恶意软件，其通过利用React/Next.js框架中的高危缝隙CVE-2025-55182（React2Shell）执行攻击。该缝隙源于React Server Components的“Flight”和谈反序列化缺点，允许攻击者通过恶意HTTP要求执行远程代码，影响大量云环境。Sysdig钻研人员指出，EtherRAT与朝鲜“传染性访谈”活动使用的工具存在关联性，但具备怪异技术特点。EtherRAT选取多阶段攻击链：首先通过React2Shell缝隙在指标系统执行Base64编码的shell号令，下载并运行恶意剧本s.sh。该剧本会创建暗藏目录，部署合法Node.js运行时及加密有效载荷，最终解密出EtherRAT植入法式。其主题创新在于基于以太坊智能合约的C2通讯机造，通过查问9个公共以太坊RPC节点并选取无数响应战术招架单点故障，实现矫捷且抗滋扰的指令传输。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-react2shell-flaw-in-etherrat-malware-attacks/

5. 新型Mirai变种利用海事DVR缝隙执行复杂攻击

12月9日，Cydome钻研人员发现名为Broadside的新型Mirai僵尸网络变种，该变种针对海事物盛行业，利用船舶及设备使用的TBK DVR设备中的号令注入缝隙CVE-2024-3721提议攻击。该缝隙于2024年4月披露并附带PoC代码，至2025年中已被多个DDoS僵尸网络宽泛利用。Mirai僵尸网络源代码在近十年前公开后，持续被网络犯罪分子批改沉用以驱动大规模攻击。钻研人员强调，TBK DVR缝隙同样影响以CeNova、Night Owl、QSee等品牌沉新包装的型号，对航运公司组成严沉威胁。入侵设备可能使攻击者接见驾驶室、货舱或机舱的CCTV画面，滋扰卫星通讯，或横向移动至船舶关键运营技术系统。汇报指出，Broadside不仅限于DDoS攻击，其自动窃取系统凭证文件的行为批注，攻击者意图将受习染设备从单一僵尸网络节点转变为战术安身点。

https://securityaffairs.com/185491/malware/broadside-botnet-hits-tbk-dvrs-raising-alarms-for-maritime-logistics.html

6. Vitas Healthcare遭网络攻击致超30万人信息泄露

12月9日，美国卫生与公家服务部（HHS）医疗保健数据泄露追踪器显示，美国最大投机性临终关切连锁机构Vitas Healthcare近期产生沉大网络安全事务，影响人数达319,177人。该机构从属于Chemed集团，旗下Vitas Hospice Services于10月24日发现系统入侵，调查显示攻击者通过被盗用的供给商账户，在9月21日至10月27日期间持续接见其系统，并下载了大量患者及近亲的敏感信息。这次泄露的数据领域宽泛，蕴含患者及前患者的姓名、地址、电话号码、诞生日期、驾驶牌照号码、社会保险号码、医疗纪录、保险信息以及亲属联系方式等主题幼我身份信息。只管目前尚未明确这次事务是否涉及勒索软件攻击，且无已知勒索软件组织宣称对此掌管，但事务的严沉性已引刊行业关注。目前，Vitas已通过专门数据泄露通知网站向公家披露事务详情，但具体技术细节及后续补救措施尚未齐全公开。

https://www.securityweek.com/over-300000-individuals-impacted-by-vitas-hospice-data-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研