STAC6565攻击加拿大，部署QWCrypt勒索软件

首页 > 安全钻研 > 安全传递 > 安全简讯

STAC6565攻击加拿大，部署QWCrypt勒索软件

颁布功夫 2025-12-12

1. STAC6565攻击加拿大，部署QWCrypt勒索软件

12月9日，网络安全公司Sophos调查发现，2024年2月至2025年8月期间，加拿大组织成为STAC6565威胁集群策动的针对性网络攻击主题指标，近80%的攻击指向该国实体。该组织与Gold Blade（别号Earth Kapre、RedCurl、Red Wolf）高度关联，自2018年底起从俄罗斯实体扩大至加拿大、美国、德国等多国指标，形成"黑客雇佣兵"运作模式，以贸易间谍活动为基础，融合数据偷窃与选择性勒索软件部署。攻击链始于针对人力资源部门的鱼叉式网络垂钓，利用Indeed、JazzHR等求职平台上传假装成简历的恶意文档。2025年7月新变种选取ZIP存档+快捷方式文件，通过rundll32.exe从Cloudflare Workers域名后的WebDAV服务器获取恶意组件，最终加载RedLoader DLL执行多阶段攻击。该工具链依赖微软法式兼容性副手执行有效载荷，网络Active Directory环境信息，并利用Zemana AntiMalware驱动绕过防病毒软件。威胁行为者兵器库蕴含定造恶意软件QWCrypt、开源反向代理工具RPivot及Chisel SOCKS5。攻击者通过SMB共享分发沉定名组件，在受害者网络中横向移动，最终部署勒索软件。

https://thehackernews.com/2025/12/stac6565-targets-canada-in-80-of.html

2. 苏丹巴德尔航空遭黑客入侵致敏感数据泄露

12月10日，近日，一名黑客在网络犯罪论坛宣称已入侵苏丹巴德尔航空公司，泄露其2.21GB内部敏感数据，蕴含2025年6月至7月期间的飞行调度手册、安全打算手册、安全治理系统手册、最低设备清单、地面操作手册及卢旺达基加利站点人员信息等。这些文件具体涵盖波音737技术规程、安全架构、机队数据及员工联系方式，攻击者正以加密钱币兜销数据，并附上航班调度手册截图佐证。若数据属实，Cybernews团队忠告可能引发社会工程攻击激增及操作规程泄露风险，为后续勒索创造前提。巴德尔航空作为苏丹为数不多的民用航空运营商之一，成立于2004年，总部位于喀土穆，提供国内/区域客运、货运及VIP包机服务，年收入达5600万美元。只管苏丹因战乱导致民航基础设施几近崩溃，该公司仍维持运营并承担人路主义增援工作。目前，该公司尚未回应数据泄露置评要求。

https://cybernews.com/security/badr-airlines-data-breach-sudan/

3. Cybernews告发43亿笔纪录泄露事务

12月10日，Cybernews钻研团队11月发现一个未设防护的MongoDB数据库事俘，其中存储16.14太字节、近43亿份文档，蕴含来自领英的职业及企业谍报数据，如全名、邮箱、电话、职位、教育布景、社交媒体账号等幼我身份信息（PII），以及企业关联关系、职业经历等。该数据库由网络安全钻研员鲍勃·迪亚琴科于11月23日发现，两天后所有者实现安全加固，但露出时长未知，攻击者可能早已利用。数据库蕴含9个数据集中，其钟装profiles”“unique_profiles”“people”三个集中含近20亿条PII纪录，含领英网址、幼我主页账号、地理地位、技术等字段，部门纪录蕴含幼我照片及邮箱可信度评分。数据结构显示信息源于自动化爬取，可能整合自销售谍报工具Apollo.io，但所有者尚未确认。钻研指出，此类大规模、高时效性数据集是恶意攻击者的“宝藏”，可被用于定向垂钓攻击、企业谍报窥伺、自动化攻击及信息补全，结合其他泄露数据可构建蕴含密码、设备标识的齐全幼我信息库，降低社会工程学攻击门槛。

https://cybernews.com/security/database-exposes-billions-records-linkedin-data/

4. 皮尔斯县图书馆数据泄露事务影响34万人

12月11日，美国华盛顿州皮尔斯县图书馆系统（PCLS）于2025年4月15日至21日期间遭逢网络攻击，导致超过34万人的幼我信息泄露。PCLS在发现异常后当即启动调查，确认这次事务为表部犯法分子入窃熹网络系统所致。凭据官方传递，这次数据泄露波及领域宽泛，不仅蕴含图书馆读者，还涉及现任及前任员工及其眷属。具体来看，读者群体泄露的信息重要为姓名和诞生日期；而员工及其家庭成员的信息泄露则更为严沉，涵盖姓名、诞生日期、社会保险号码、驾驶牌照号码、护照号码、财政信息、信誉卡具体信息，以及健全保险和医疗信息等敏感内容。PCLS向缅因州总检察长办公室汇报称，这次事务共影响340,101人，并将向所有受影响者发送书面通知。为减轻潜在风险，PCLS为受影响人员提供为期12个月的免费信誉监控和身份�；し�。然而，截至目前，PCLS尚未颁布这次网络攻击的幕后黑手信息，也未发现任何已知勒索软件组织宣称对此事务掌管。

https://www.securityweek.com/pierce-county-library-data-breach-impacts-340000/

5. Gogs零日缝隙致半数露出服务器被入侵

12月11日，Gogs作为自托管Git服务，以轻量级、易部署个性被宽泛使用，支持版本节造、问题跟踪等职能，用户可齐全掌控数据与基础设施。然而，未建复的零日缝隙CVE-2025-8110被威胁行为者利用，通过远程代码执行入侵约700台互联网露出的服务器。该缝隙源于PutContents API的蹊径遍历缺点：只管Gogs建复CVE-2024-55947后加强蹊炯验证，却未查抄符号链接指标地位。攻击者可创建含敏感文件符号链接的存储库，利用PutContents覆盖表部文件，触发肆意号令执行。Wiz Research在调查客户恶意软件习染时发现此缝隙，扫描显示超1400台Gogs服务器露出于互联网，其中超50%的事俘约700台已被入侵。所有被入侵事俘出现显著模式：7月10日统一时段创建的随机八字符存储库，批注攻击由自动化工具驱动的单一行为者或集体执行。恶意软件通过开源C2框架Supershell成立反向SSH shell，与C2服务器通讯。缝隙披露后，Gogs守护者于10月30日认可缺点，但至今未建复，11月1日已出现第二波攻击。

https://securityaffairs.com/185593/hacking/critical-gogs-zero-day-under-attack-700-servers-hacked.html

6. VSCode供给链攻击：19个恶意扩大植入木马

12月11日，自2月以来，一场针对VSCode Marketplace的荫蔽供给链攻击持续进行，攻击者通过19个恶意扩大将恶意软件暗藏在依赖项文件夹中，指标锁定开发者群体。这次攻击由ReversingLabs安全团队发现，攻击者利用假装成.PNG图像的恶意文件如banner.png，在扩大的node_modules文件夹中预置批改后的依赖项如path-is-absolute或@actions/io，并在index.js中增长额表类，实现VSCode启动时自动执行恶意代码。具体攻击流程显示，恶意扩大通过绑缚node_modules文件夹阻止VSCode从npm注册表获取依赖项，依赖项中的lock文件包费解淆的JavaScript投放器，而假装成PNG的压缩文件则蕴含cmstp.exe和Rust木马法式。只管木马具体职能仍在分析中，但这次攻击已对开发者系统组成严沉威胁。涉及的19个恶意扩大均选取“主题”类名称变体，如“马尔科姆主题”“PandaExpress主题”，版本统一为1.0.0，目前已由ReversingLabs汇报微软并全数移除。然而，装置过这些扩大的用户仍需扫描系统以排查安全缝隙。

https://www.bleepingcomputer.com/news/security/malicious-vscode-marketplace-extensions-hid-trojan-in-fake-png-file/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研