本周热点事件威胁情报
1、XWorm恶意软件新变种带有勒索软件模块和超过35个插件
近期网络安全公司Trellix报告称,XWorm远控木马在经历开发者XCoder去年放弃项目后再次活跃,最新版本6.0、6.4与6.5正被多方威胁行为者用于钓鱼攻击传播。新版XWorm拥有超过35个插件,功能涵盖数据窃取、远程控制、文件加解密等多种恶意操作,并新增勒索模块“Ransomware.dll”,可加密用户文档并显示赎金要求。研究发现,该模块与2021年出现的NoCry勒索软件在加密算法及反分析机制上存在高度相似性。此外,XWorm的传播方式也更加多样,除传统邮件与LNK文件外,还利用伪装为合法应用的可执行文件、恶意JavaScript脚本以及AI主题钓鱼文档实现感染链扩展,显示其在网络犯罪圈的再度活跃与演化趋势。
参考链接:
https://www.trellix.com/blogs/research/xworms-evolving-infection-chain-from-predictable-to-deceptive/
2、GoAnywhere关键漏洞遭勒索软件攻击
微软近日确认,网络犯罪团伙Storm-1175正在利用GoAnywhere MFT文件传输工具的高危漏洞CVE-2025-10035发起Medusa勒索攻击。该漏洞源于License Servlet组件的反序列化缺陷,可被远程低复杂度攻击利用,无需用户交互。研究显示,攻击者自9月11日起即滥用此漏洞获取初始访问权限,并通过远程监控工具SimpleHelp与MeshAgent维持持久控制,随后利用Netscan进行横向移动和系统侦察,最终部署Medusa勒索程序加密受害者数据。微软指出,相关活动已波及多家机构,且与此前利用VMware ESXi漏洞的攻击手法相似。为防御此类威胁,微软与Fortra均建议管理员立即升级至最新版GoAnywhere,并检查日志中是否出现SignedObject.getObject堆栈错误以确认系统是否遭入侵。
参考链接:
https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/
3、LockBit、Qilin和DragonForce联手主宰勒索软件生态系统
ReliaQuest报告显示,LockBit、Qilin与DragonForce三大勒索组织近日宣布结成联盟,意图整合资源、共享基础设施,以提升攻击效率并巩固在勒索生态中的主导地位。此次合作紧随LockBit在2024年被取缔后重返网络之际,被视为其重建声誉、恢复与加盟者信任的重要举措。分析指出,联盟可能引发针对关键基础设施的新一轮攻击潮,扩大威胁范围。Qilin在2025年第三季度单季攻击超200起,成为最活跃的勒索组织;LockBit亦发布可攻击Windows、Linux与ESXi系统的5.0版本。安全研究者警告,此次联盟或预示勒索生态进一步专业化与全球扩张趋势,尤其针对北美及新兴市场国家的攻击风险上升。
参考链接:
https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q3-2025
4、Salesforce拒绝向黑客支付数据勒索赎金
客户关系管理巨头Salesforce证实,将不会与黑客组织“Scattered Lapsus$ Hunters”谈判或支付任何赎金。该组织此前通过社会工程与OAuth滥用发动多轮攻击,从Salesforce客户实例中窃取近10亿条数据,并在数据泄露站上勒索包括谷歌、迪士尼、丰田、万豪、麦当劳等39家知名企业。攻击活动分两阶段进行:一是冒充IT人员诱骗员工授权恶意OAuth应用,二是利用被盗的SalesLoft Drift令牌访问客户CRM系统并外泄数据。Salesforce表示,尽管威胁情报显示攻击者计划公开泄露数据,但公司将坚持拒绝支付赎金。当前泄露站点已被关闭,疑似由FBI接管。
参考链接:
https://www.bloomberg.com/news/articles/2025-10-07/salesforce-tells-clients-it-won-t-pay-hackers-for-data-extortion
浙公网安备 33010502006954号 
