本周熱點事件威脅情報
1、XWorm惡意軟件新變種帶有勒索軟件模塊和超過35個插件
近期網絡安全公司Trellix報告稱,XWorm遠控木馬在經歷開發者XCoder去年放棄項目后再次活躍,最新版本6.0、6.4與6.5正被多方威脅行為者用于釣魚攻擊傳播。新版XWorm擁有超過35個插件,功能涵蓋數據竊取、遠程控制、文件加解密等多種惡意操作,并新增勒索模塊“Ransomware.dll”,可加密用戶文檔并顯示贖金要求。研究發現,該模塊與2021年出現的NoCry勒索軟件在加密算法及反分析機制上存在高度相似性。此外,XWorm的傳播方式也更加多樣,除傳統郵件與LNK文件外,還利用偽裝為合法應用的可執行文件、惡意JavaScript腳本以及AI主題釣魚文檔實現感染鏈擴展,顯示其在網絡犯罪圈的再度活躍與演化趨勢。
參考鏈接:
https://www.trellix.com/blogs/research/xworms-evolving-infection-chain-from-predictable-to-deceptive/
2、GoAnywhere關鍵漏洞遭勒索軟件攻擊
微軟近日確認,網絡犯罪團伙Storm-1175正在利用GoAnywhere MFT文件傳輸工具的高危漏洞CVE-2025-10035發起Medusa勒索攻擊。該漏洞源于License Servlet組件的反序列化缺陷,可被遠程低復雜度攻擊利用,無需用戶交互。研究顯示,攻擊者自9月11日起即濫用此漏洞獲取初始訪問權限,并通過遠程監控工具SimpleHelp與MeshAgent維持持久控制,隨后利用Netscan進行橫向移動和系統偵察,最終部署Medusa勒索程序加密受害者數據。微軟指出,相關活動已波及多家機構,且與此前利用VMware ESXi漏洞的攻擊手法相似。為防御此類威脅,微軟與Fortra均建議管理員立即升級至最新版GoAnywhere,并檢查日志中是否出現SignedObject.getObject堆棧錯誤以確認系統是否遭入侵。
參考鏈接:
https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/
3、LockBit、Qilin和DragonForce聯手主宰勒索軟件生態系統
ReliaQuest報告顯示,LockBit、Qilin與DragonForce三大勒索組織近日宣布結成聯盟,意圖整合資源、共享基礎設施,以提升攻擊效率并鞏固在勒索生態中的主導地位。此次合作緊隨LockBit在2024年被取締后重返網絡之際,被視為其重建聲譽、恢復與加盟者信任的重要舉措。分析指出,聯盟可能引發針對關鍵基礎設施的新一輪攻擊潮,擴大威脅范圍。Qilin在2025年第三季度單季攻擊超200起,成為最活躍的勒索組織;LockBit亦發布可攻擊Windows、Linux與ESXi系統的5.0版本。安全研究者警告,此次聯盟或預示勒索生態進一步專業化與全球擴張趨勢,尤其針對北美及新興市場國家的攻擊風險上升。
參考鏈接:
https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q3-2025
4、Salesforce拒絕向黑客支付數據勒索贖金
客戶關系管理巨頭Salesforce證實,將不會與黑客組織“Scattered Lapsus$ Hunters”談判或支付任何贖金。該組織此前通過社會工程與OAuth濫用發動多輪攻擊,從Salesforce客戶實例中竊取近10億條數據,并在數據泄露站上勒索包括谷歌、迪士尼、豐田、萬豪、麥當勞等39家知名企業。攻擊活動分兩階段進行:一是冒充IT人員誘騙員工授權惡意OAuth應用,二是利用被盜的SalesLoft Drift令牌訪問客戶CRM系統并外泄數據。Salesforce表示,盡管威脅情報顯示攻擊者計劃公開泄露數據,但公司將堅持拒絕支付贖金。當前泄露站點已被關閉,疑似由FBI接管。
參考鏈接:
https://www.bloomberg.com/news/articles/2025-10-07/salesforce-tells-clients-it-won-t-pay-hackers-for-data-extortion
浙公網安備 33010502006954號 
