美国俄勒冈州环境质量部遭受网络攻击被迫关闭网络系统

赛门铁克威胁研究人员近日报告，黑客组织Gamaredon（又称"Shuckworm"）于2025年2月至3月期间针对一个驻乌克兰的西方国家军事任务发动攻击，部署了更新版本的GammaSteel信息窃取恶意软件以窃取数据。

研究人员指出，攻击者可能通过包含恶意.LNK文件的移动存储设备获得初始访问权限。值得注意的是，该组织的战术发生了变化，包括从VBS脚本转向基于PowerShell的工具，增加了有效载荷的混淆处理，并更多地利用合法服务来规避检测。在攻击过程中，恶意软件首先通过外部驱动器上名为files.lnk的快捷方式文件感染系统，随后创建两个文件：一个负责命令与控制（C2）通信，通过合法服务解析服务器地址并连接到受Cloudflare保护的URL；另一个负责通过LNK文件感染其他可移动和网络驱动器，同时隐藏特定文件夹和系统文件以掩盖入侵痕迹。

攻击者还使用了侦察PowerShell脚本捕获并窃取受感染设备的屏幕截图，收集有关已安装防病毒工具、文件和运行进程的信息

网络攻击者近日在数据泄露论坛声称掌握了美国食品配送巨头GrubHub的约7000万行数据，包括数百万条哈希密码、电话号码和电子邮件地址。这一声明与该在线食品配送平台今年2月承认的数据泄露事件时间相吻合。

GrubHub在2月曾宣布，公司通过第三方服务提供商遭遇了数据泄露，当时表示哈希密码、电子邮件地址和其他数据被盗，但未具体说明攻击范围。如果黑客的声明属实，这意味着数千万GrubHub用户的数据已被曝光。根据一个密码代表一个账户的计算，受影响的账户数量可能约为1700万。GrubHub在发现入侵后，锁定了攻击者并删除了第三方的账户。最初尚不清楚攻击者是否成功窃取了数据，但最近的声明表明攻击者可能已成功获取了大量客户数据。

攻击者分享了数千行据称被盗的数据样本。这些样本包含姓名、电子邮件地址和哈希密码。

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。

相关恶意网址和恶意IP归属地主要涉及：美国、英国、保加利亚、立陶宛、荷兰、埃及、科威特等。主要情况如下：

1. 恶意地址：hyjk.k3121.com

（关联IP地址：104.155.138.21）2. 恶意地址：www.caiyundaifu.top

(关联IP地址：107.178.223.183)3. 恶意地址：302im.ow5dirasuek.com

(关联IP地址：52.34.198.229)4. 恶意地址：serpentine.servebeer.com

(关联IP地址：192.133.77.133)5. 恶意地址：panel.daudau.org

(关联IP地址：195.177.95.92)

6. 恶意地址：resbot.online

(关联IP地址：79.124.40.46)7. 恶意地址：rebirth.stressor.su

(关联IP地址：45.125.66.114)8. 恶意地址：shenron19862.duckdns.org

(关联IP地址：91.92.243.78)9. 恶意地址：gadyshahhaa.zapto.org

(关联IP地址：156.213.204.184)10. 恶意地址：q1337.ddns.net

(关联IP地址：37.231.43.251)

微软已确认 Exchange 管理中心 (EAC) 发生全球性中断，导致管理员无法访问关键管理工具。

该问题已被指定为 ID EX1051697 的关键服务事件，正在对依赖 Exchange Online 的组织造成大范围中断。

管理员尝试登录 EAC 时遇到“HTTP 错误 500”，提示内部服务器故障。此错误导致无法访问基本管理功能，包括邮箱和群组管理。微软已经承认了这个问题，并正在积极调查其影响范围，该问题似乎是全球性的。

针对此次中断，一些管理员报告称已成功通过备用 URL 访问 EAC https://admin.cloud.microsoft/exchange#/：。

Microsoft 目前正在验证此解决方法，并将很快提供确认。建议管理员在等待进一步更新期间尝试此临时解决方案。微软已向客户保证，解决此次中断是当务之急。建议管理员通过 Microsoft 365 管理中心监控更新以获取实时信息。该公司尚未提供解决的预计时间表，但将继续努力找出并解决根本原因。此事正在进一步发展，我们将根据最新信息进行更新。

Qilin勒索软件组织于4月10日在其暗网泄露网站上宣称已成功入侵全球能源和制造业巨头SK集团，窃取了1TB的文件数据，并威胁称如果SK在48小时内未跟他们联系，将公布数据。但是Qilin尚未提供任何"证明"样本。

SK集团是能源、电信和半导体行业的领导者，在全球运营超过175家公司，业务涵盖信息通信技术(ICT)、先进材料、生物制药、移动出行、生命科学和电动汽车电池等领域。

臭名昭著的Qilin勒索软件组织将医院和制造业作为主要攻击目。作为一个勒索软件即服务（RaaS）模式的网络犯罪组织，该团伙经常对受害者采用双重敲诈策略，先是索要解密赎金，然后再索要第二笔赎金，以保证被盗取的文件日后不会在暗网上被泄露出去。过去一年中，Qilin的总受害者数量达到256个，比3月第一周记录的191个增加了近三分之一。

网络安全研究人员近日披露，人工智能驱动平台AkiraBot被用于向网站聊天、评论区和联系表单发送垃圾信息，推广名为Akira和ServicewrapGO等可疑的搜索引擎优化(SEO)服务。该机器人使用OpenAI根据网站的目的生成定制化的推广信息，针对超过40万个网站，并成功向至少8万个网站发送了垃圾信息。

这款基于Python的批量信息发送工具自2024年9月开始投入使用，最初针对使用Shopify、GoDaddy、Wix和Squarespace开发的网站，以及那些具有通用联系表单和使用Reamaze构建的实时聊天小部件的网站。

AkiraBot的核心操作是利用OpenAI API生成垃圾内容。该工具使用gpt-4o-mini模型，并被赋予"生成营销信息的有用助手"角色。该服务的另一个显著特点是能够绕过CAPTCHA障碍，大规模向网站发送垃圾信息，并通过依赖通常提供给广告商的代理服务来逃避基于网络的检测。目标CAPTCHA服务包括hCAPTCHA、reCAPTCHA和Cloudflare Turnstile。

4月10日，国家信息安全漏洞共享平台（CNVD）发布《关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告》，指出Foxmail邮件客户端跨站脚本攻击漏洞（CNVD-2025-06036）已发现被利用进行攻击。攻击者利用该漏洞作为攻击入口，向目标用户对象发送包含恶意代码的电子邮件，用户仅浏览邮件即被植入木马，其主机终端即被控。该厂商已发布新版本完成漏洞修复，CNVD建议受影响的单位和用户立即升级至最新版本。

Foxmail是我国知名电子邮件客户端之一，目前由腾讯公司运行维护。 CNVD于2025年3月20日收录了Foxmail邮件客户端跨站脚本攻击漏洞。由于Foxmail在处理加载邮件正文时，对危险内容的过滤处理逻辑存在缺陷，攻击者构造包含恶意指令代码的电子邮件向目标用户发送，目标用户仅需使用Foxmail打开恶意邮件，无需其他点击操作，恶意指令代码即可被用户主机加载执行，具有较高的攻击隐蔽性。

网络安全公司ReversingLabs最近发现了一种新型攻击手法，黑客通过npm（Node Package Manager）网络向本地安装的加密货币钱包软件注入恶意代码，特别针对Atomic Wallet和Exodus钱包用户。这种攻击通过恶意修补合法软件文件，使攻击者能够通过悄然替换收款钱包地址来拦截加密货币转账。

研究人员发现，恶意npm包“pdf-to-office”伪装成一个将PDF文件转换为Microsoft Office文档的工具。执行时，它会部署恶意payload修改Atomic Wallet和Exodus安装目录中的关键文件。恶意软件用木马化版本覆盖合法文件，秘密更改外发加密货币交易的目标地址，从而允许攻击者长时间保持隐蔽。

该payload针对Atomic Wallet目录中的"atomic/resources/app.asar"归档文件和Exodus中的"src/app/ui/index.js"文件。

俄勒冈州环境质量部(DEQ)官员在当地时间周三（4月9日）遭遇网络攻击后被迫关闭了该组织的网络系统。这个负责监管俄勒冈州空气、土地和水质量的监管机构表示，车辆检验站将因此关闭至周五（4月11日）。

当前该机构正在隔离服务器和网络，"直到攻击被完全控制并可能根除"。DEQ在周三晚间的更新中表示："俄勒冈DEQ的IT、企业信息系统和Microsoft网络安全团队正在共同解决我们的网络安全问题。此外，DEQ网络系统和计算机将无法运行。您的DEQ在线系统，即DEQ的环境数据管理系统，位于单独的服务器上，现在可以使用。"

该机构敦促民众查看其网站和社交媒体页面，了解周六车辆检验站是否会开放的最新信息。官方未回应关于是否正在应对勒索软件攻击的置评请求。

近日，WordPress插件OttoKit（原名SureTriggers）被发现存在一个高危漏洞（CVE-2025-3102），允许攻击者绕过身份认证。该漏洞影响OttoKit/SureTriggers 1.0.78及以下版本，波及约10万个网站。

漏洞源于authenticate_user()函数中缺少空值检查，当插件未配置API密钥时，存储的secret_key保持为空，攻击者可通过发送空的st_authorization头来绕过检查，获取受保护API端点的未授权访问权限。最严重的是，攻击者可以创建新的管理员账户，从而完全控制网站。

安全研究人员于3月中旬发现并报告了这一漏洞，插件供应商在4月3日收到完整的漏洞利用细节后，当天就发布了修复版本1.0.79。然而，黑客们迅速开始利用这一漏洞。WordPress安全平台Patchstack警告称，在漏洞公开仅4小时后就记录到了首次攻击尝试。攻击者试图使用随机生成的用户名/密码和电子邮件地址组合创建新的管理员账户，显示出自动化攻击的特征。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除