Punishing Owl对俄提议技术复杂网络攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

Punishing Owl对俄提议技术复杂网络攻击

颁布功夫 2026-02-04

1. Punishing Owl对俄提议技术复杂网络攻击

2月2日，黑客组织Punishing Owl于2025年12月12日初次公开活动，对俄罗斯当局安全机构提议技术复杂的网络攻击。该组织通过入侵指标网络窃取内部文件，并将其颁布至数据泄露平台，同时在Mega.nz存储仓库备份文件，以最大化曝光度。为迟延受害者响应并扩大影响，攻击者专门选择周五晚6点37分这一非工作时段颁发入侵事务。攻击过程中，Punishing Owl节造了受害机构的DNS配置，创建子域名并将流量劫持至位于巴西的服务器。该服务器不仅托管了窃取的文件，还附带了一份论述攻击动机的政治申明。随后，该组织进一步对受害机构的合作同伴与承包商提议贸易电子邮件诓骗（BEC）攻击，使用伪造的发件地址发送垂钓邮件，谎称是网络入侵事务的核实通知，并督促收件人查看附件文档。技术层面，Punishing Owl展示出高水准的攻击能力。其配置了伪造的TLS证书，搭建了用于邮件收发的IMAP和SMTP服务，并部署了名为ZipWhisper的PowerShell窃密木马，用于盗取受习染系统的浏览器凭证。

https://cybersecuritynews.com/new-punishing-owl-hacker-group-targeting-networks/

2. DynoWiper恶意软件攻击波兰能源企业

2月2日，一款名为DynoWiper的新型高危数据擦除恶意软件初次被发现，正对波兰能源企业提议粉碎性攻击，其主题指标并非勒索财帛，而是永远断根关键数据并导致系统瘫痪。与通例勒索软件分歧，DynoWiper通过三阶段粉碎流程实显炱坏：第一阶段递归搜索所有固定及可移动驱动器上的文件，避开关键系统目录以维持根基运行；第二阶段使用16字节随机数据缓冲区覆写文件内容，幼于16字节的文件被齐全覆盖，大于16字节的则部吩炱坏，以此提升粉碎效能；第三阶段通过系统沉启或直接终止过程使受习染设备无法启动。该恶意软件存在多个变种，均于2025年12月29日投放。攻击者在初次执行失败后屡次批改代码以绕过安全防护，但企业部署的终端检测与响应工具成功拦截了其执行，大幅降低损失。Welivesecurity分析师指出，DynoWiper与针对乌克兰的已知擦除恶意软件ZOV存在显著类似性，其归因于与俄罗斯关联的Sandworm组织。

https://cybersecuritynews.com/dynowiper-data-wiping-malware/

3. Coinbase证实内部人员数据泄露

2月3日，美国加密钱币买卖所Coinbase近日确认产生一路内部人员数据泄露事务。据公司讲话人披露，2025年12月，一名承包商不当接见约30名客户的敏感信息，蕴含电子邮件、姓名、诞生日期、电话号码、KYC数据、加密钱币钱包余额及买卖纪录。该承包商已被终止合作，受影响用户已获身份偷窃�；し窦傲斓�，事务同步上报监管机构。威胁行为者“Shiny Lapsus Hunters”曾短暂在Telegram颁布Coinbase内部支持界面截图后删除，截图显示可接见客户敏感数据。只管无法确认该组织是否直接关联内部人员入侵，但类似手法在其他攻击中频现，如威胁行为者曾贿赂CrowdStrike内部人员获取截图，或通过社交工程假意员工骗取BPO支持人员授权接见权限。BPO公司因承接客户支持、身份验证、IT服务等运营工作，其员工常接触企业主题系统与客户数据，成为攻击者高价值指标。

https://www.bleepingcomputer.com/news/security/coinbase-confirms-insider-breach-linked-to-leaked-support-tool-screenshots/

4. Step Finance遭黑客攻击致4000万美元资产损失

2月3日，美国加密钱币平台Step Finance于2025年1月31日检测到安全缝隙，经调查确认因高管设备遭黑客入侵，导致价值约4000万美元的数字资产被盗。该平台是基于Solana区块链的去中心化金融（DeFi）平台及分析工具，支持用户资产可视化、买卖、质押等操作，并占有原生代币$STEP，但买卖量相对较幼。攻击产生后，Step Finance迅快礼聘网络安全专家协助追回资产。区块链分析公司CertiK初步汇报显示，被盗资产蕴含261,854 SOL（约2890万美元），但平台最终核实总损失约4000万美元。通过Token22�；ご胧┘昂献魍樾�，目前已追回约370万美元Remora资产及100万美元其他头寸，计算470万美元。为加强安全防护，平台已暂停部门业务运营，并强调其旗下Remora Markets未受影响，所有rToken仍维持1:1齐全储蓄。Step Finance建议用户在调查实现前暂停使用STEP代币，并承诺将对攻击前状态进行快照，造订针对持有者的解决规划。

https://www.bleepingcomputer.com/news/security/step-finance-says-compromised-execs-devices-led-to-40m-crypto-theft/

5. Citrix NetScaler遭6.3万IP协同窥伺

2月3日，威胁监控平台GreyNoise观测到针对Citrix NetScaler基础设施的协同窥伺行动，该行动利用超6.3万个独立IP地址提议111,834个会话，其中79%流量指向Citrix Gateway蜜罐，64%来自假装成合法消费者ISP地址的住宅代理，渣滓36%源自统一Azure IP地址。GreyNoise指出，这次活动并非随机互联网扫描，而是有组织的基础设施测绘，旨在入侵前鉴别露出的Citrix登录面板及产品版本。攻击者通过两个主题指标露出恶意意图：其一，63,189个IP天生109,942个会话，集中扫描“/logon/LogonPoint/index.html”身份验证界面，大规模鉴别露出的登录面板；其二，2月1日10个IP在6幼时内启动1,892个会话，聚焦URL蹊径“/epa/scripts/win/nsepa_setup.exe”，通过EPA工件枚举Citrix版本。攻击者使用2016岁首颁布的Chrome 50用户代理，针对EPA装置文件蹊径的特定攻击批注其正开发特定版本缝隙利用法式或验证已知Citrix ADC缝隙。

https://www.bleepingcomputer.com/news/security/wave-of-citrix-netscaler-scans-use-thousands-of-residential-proxies/

6. CISA垂危传递SolarWinds服务台缝隙

2月3日，美国网络安全与基础设施安全局（CISA）近日将SolarWinds Web Help Desk的严沉缝隙CVE-2025-40551象征为"在遭逢攻击"，并凭据2021年颁布的拥有约束力的操作指令（BOD 22-01），要求联国民事行政部门（FCEB）机构在三天内实现系统建补。该缝隙由安全钻研员Jimi Sebree发现，源于不受信赖的数据反序列化弱点，可被未经身份验证的攻击者利用实现远程代码执行，在未打补丁的设备上运行恶意号令。SolarWinds于1月28日颁布Web Help Desk 2026.1版本建复此缝隙，同时一并建复了Sebree发现的硬编码凭证高危缝隙（CVE-2025-40537）及watchTowr的Piotr Bazydlo汇报的两个身份验证绕过缝隙（CVE-2025-40552、CVE-2025-40554），所有缝隙均支持远程利用。CISA强调，只管BOD 22-01仅针春联国机构，但私营部门也应尽快建补以招架持续攻击。

https://www.bleepingcomputer.com/news/security/cisa-flags-critical-solarwinds-rce-flaw-as-actively-exploited/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研