俄 APT 组织利用0day漏洞和擦除器加强对欧洲的攻击

会杀毒的单反狗 军哥网络安全读报 2025-05-21 01:01

导读

ESET 表示，2024 年底和 2025 年初，俄罗斯黑客组织的恶意网络活动强度增强。

ESET Research在其《2024 年第四季度至 2025 年第一季度APT 活动报告》中记录了 2024 年 10 月至 2025 年 3 月期间全球主要
APT
组织的活动。

研究团队观察到，俄罗斯APT组织在此期间加强了对乌克兰和欧盟的攻击，利用零日漏洞并部署新的擦除器。

该报告于 5 月 19 日发布，是 ESET 客户可用数据的快照，这些数据通过 ESET 产品收集并由 ESET 研究人员验证的共享情报提供。

与俄罗斯相关的
APT
组织，包括 Fancy Bear、Gamaredon 和 Sandworm，主要针对乌克兰和欧盟国家。乌克兰的关键基础设施和政府机构遭受了最为猛烈的网络攻击。

Gamaredon，一个据信隶属于俄罗斯联邦安全局（FSB）的黑客组织，是针对乌克兰攻击活动最为活跃的黑客组织。该组织的其他名称包括Primitive Bear、UNC530和Aqua Blizzard，改进了其恶意软件混淆工具集，并推出了一款利用Dropbox进行文件窃取的PteroBox。

名为Fancy Bear (APT28)的威胁组织改进了其对网络邮件服务中跨站脚本 (XSS) 漏洞的利用，并将其“RoundPress 行动”扩展至多个电子邮件服务。该组织又名 Sednit、Pawn Storm、Forest Blizzard 和 Sofacy Group，成功利用 MDaemon 电子邮件服务器 (CVE-2024-11182) 中的零日漏洞，攻击了乌克兰多家公司。

Sandworm ( APT44 ) 是另一个与 GRU 有关联的组织，主要致力于入侵乌克兰的能源基础设施。该组织又名 Voodoo Bear、Iron Viking、Telebots 和 Seashell Blizzard，利用 Active Directory 组策略中的漏洞部署了新型擦除器 ZEROLOT。

其他与俄罗斯相关的
APT
组织，例如RomCom，通过针对知名软件（包括 Mozilla Firefox（CVE-2024-9680）和 Microsoft Windows（CVE-2024-49039））部署
0day
漏洞，展示了先进的能力。

技术报告：

https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2024-q1-2025/

新闻链接：

https://www.infosecurity-magazine.com/news/russian-apt-intensify-cyber/

今日安全资讯速递

APT事件

Advanced Persistent Threat

与俄罗斯相关的 SpyPress 恶意软件利用网络邮件监视乌克兰

Russia-Linked SpyPress Malware Exploits Webmails to Spy on Ukraine

SideWinder APT

组织攻击南亚多国目标

https://thehackernews.com/2025/05/south-asian-ministries-hit-by.html

俄 APT 组织利用
0day
漏洞和擦除器加强对欧洲的攻击

https://www.infosecurity-magazine.com/news/russian-apt-intensify-cyber/

Kimsuky APT 组织利用 Powershell 负载传播 XWorm RAT

https://cybersecuritynews.com/kimsuky-apt-group-uses-using-powershell-payloads/

一般威胁事件

General Threat Incidents

100 多个虚假 Chrome 扩展程序劫持会话、窃取凭证、注入广告

https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html

被木马感染的 KeePass 为勒索软件攻击打开大门

https://www.helpnetsecurity.com/2025/05/20/trojanized-keepass-keeloader-ransomware/

黑客利用 MarsSnake 后门攻击沙特组织

https://thehackernews.com/2025/05/chinese-hackers-deploy-marssnake.html

基于 Go 的恶意软件“RedisRaider”利用 Redis 服务器进行加密货币挖矿

https://www.esecurityplanet.com/news/malware-redis-raider-cryptocurrency/

黑客利用 TikTok 和 Instagram API 验证被盗账户

https://cybersecuritynews.com/hackers-exploit-tiktok-instagram-apis/

黑客利用武器化的 RAR 压缩文件传播纯恶意软件

https://cybersecuritynews.com/hackers-attacking-organizations-with-weaponized-rar-archive/

Hazy Hawk 利用 DNS 记录劫持 CDC 和企业域名传播恶意软件

https://thehackernews.com/2025/05/hazy-hawk-exploits-dns-records-to.html

More_Eggs 恶意软件利用求职邮件传播

https://cybersecuritynews.com/more_eggs-malware-exploits-job-application-emails/

KrebsOnSecurity 遭遇近乎创纪录的 6.3 Tbps DDoS 攻击

https://krebsonsecurity.com/2025/05/krebsonsecurity-hit-with-near-record-6-3-tbps-ddos/

Koishi 聊天机器人中的恶意 npm 包实时悄悄窃取敏感数据

https://cybersecuritynews.com/malicious-npm-package-in-koishi-chatbots-silently/

VMware 系统管理工具RVTools安装程序遭入侵，传播Bumblebee恶意软件

Compromised RVTools Installer Spreading Bumblebee Malware

漏洞事件

Vulnerability Incidents

北约标记的漏洞位居最新 VMware 安全补丁批次之首

https://www.securityweek.com/nato-flagged-vulnerability-tops-latest-vmware-security-patch-batch/

VMware ESXi 和 vCenter 漏洞可让攻击者运行任意命令

https://cybersecuritynews.com/vmware-esxi-vcenter-vulnerability/

英国电信巨头 O2 服务漏洞暴露用户位置

https://www.securityweek.com/o2-service-vulnerability-exposed-user-location/

WordPress插件安全漏洞使22,000个网站面临网络攻击风险

Security Flaw in WordPress Plugin Puts 22,000 Websites at Risk of Cyber Attacks

Auth0-PHP 
SDK
严重安全漏洞，可能允许未经授权的访问

Auth0-PHP Vulnerability Enables Unauthorized Access for Attackers

Ivanti EPMM 零日漏洞的野外主动利用

Active Exploitation of Ivanti EPMM Zero-Day Vulnerability in the Wild

Firefox 0-Day 漏洞允许远程执行代码

Critical Firefox 0-Day Flaws Allow Remote Code Execution

GNU C（glibc）漏洞使攻击者可以在数百万 Linux 系统上执行任意代码

GNU C(glibc) Vulnerability Let Attackers Execute Arbitrary Code on Millions of Linux Systems

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事