瑞典Outpost24公司高管遭Kratos垂钓攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

瑞典Outpost24公司高管遭Kratos垂钓攻击

颁布功夫 2026-03-18

1. 瑞典Outpost24公司高管遭Kratos垂钓攻击

3月16日，瑞典露出治理与身份安全公司Outpost24的子公司Specops Software近日披露，该公司一名C级高管成为复杂垂钓攻击的指标。这次攻击可能使用了名为Kratos的垂钓即服务工具包，选取七步攻击链，利用分层基础设施和合法服务躲避检测。攻击者假意金融服务提供商JP Morgan，将垂钓邮件假装成现有邮件线程的一部门，约请收件人查看并签署文件。攻击者使用两个DomainKeys Identified Mail(DKIM) 署名确保邮件通过DMARC验证，增长可信度。邮件中蕴含指向Cisco合法域名secure-web.cisco.com的"查看文件"链接，该域名通常用于Cisco验证后沉写邮件URL。攻击链下一步涉及沉定向至合法邮件API平台Nylas，确保垂钓链接通过Cisco Secure Web基础设施沉定向。随后指标被沉定向至一家印度开发公司网站的子域名，再跳转至一个最初由中国实体于2017年注册的域名。用户最终被沉定向至部署在Cloudflare后方的垂钓基础设施，暗藏源服务器。最后受害者被出现一个真切的垂钓页面，用于窃取Microsoft 365凭证。

https://www.securityweek.com/security-firm-executive-targeted-in-sophisticated-phishing-attack/

2. 俄罗斯彼尔姆市停车支付系统遭DDoS攻击瘫痪

3月17日，俄罗斯彼尔姆市(Perm)停车支付系统近日遭逢大规模散布式回绝服务(DDoS)攻击后复原运营。该市当局周一确认，系统现已齐全复原正常运行，所有支付方式均可正常使用。本地官员暗示，这次中断由大规模DDoS攻击引起，攻击压垮了该市自动停车支付基础设施。攻击导致全市停车支付暂停，驾驶员无法通过官方利用法式和网站支付停车资。3月10日至3月13日系统瘫痪期间，官员暗示驾驶员不会因未支付停车资而面对处罚。彼尔姆市的付费停车区通常在周末免费。这是近年来俄罗斯城市停车系统至少第三次遭逢此类攻击。去年1月，克拉斯诺达尔(Krasnodar)市驾驶员因电信运营商遭逢DDoS攻击而无法支付停车资，有关服务受到滋扰。2024年10月，特维尔市(Tver)停车支付也因粉碎性网络攻击本地当局网络而中断。目前尚不明显彼尔姆事务是否与先前攻击有关联，暂无黑客组织宣称对此掌管。

https://therecord.media/cyberattack-russia-parking-system

3. 英国公司注册局WebFiling服务曝关键缝隙

3月17日，英国公司注册局（CompaniesHouse）近日确认其WebFiling网络filing服务存在关键安全缝隙，该缝隙可能使攻击者接见500万家注册公司的非公开信息。缝隙于2025年10月引入系统，2026年3月12日由GhostMail钻研人员JohnHewitt发现并汇报，随后于当周周末实现建复。该缝隙允许任何已登录用户接见其他公司在CompaniesHouse平台上的账户。攻击者无需特殊技术技术，只需选择"为另一家公司filing"选项，输入指标公司的唯一编号，在提醒输入验证码时按几次返回键，即可自动登录指标公司账户。成功利用该缝隙的攻击者可能获取董事诞生日期、家庭住址和电子邮箱等敏感信息，还可批改公司具体信息并提交未经授权的filing文件。CompaniesHouse在周一颁布的申明中确认了该安全缝隙，暗示该问题仅影响其WebFiling服务�；骨康�，缝隙只能由经过身份验证的攻击者利用，通常公家无法接见。缝隙未露出密码及身份验证过程中网络的信息（如护照等）。此表，攻击者无法对现有filing文件进行批改。

https://www.securityweek.com/uk-companies-house-exposed-details-of-millions-of-firms/

4. RondoDox僵尸网络升级攻击战术

3月17日，RondoDox僵尸网络近日升级攻击活动，针对174个缝隙提议逐日高达15,000次的利用尝试，采取越发集中和战术化的攻击战术。网络安全公司Bitsight颁布的汇报显示，该僵尸网络自2025年5月25日至2026年2月16日期间持续扩大攻击领域。该僵尸网络最早由TrendMicro于2025年6月15日发现，当使佚在利用CVE-2023-1389缝隙攻击TP-LinkArcherAX21路由器。尔后，RondoDox持续扩大攻击指标，涵盖DVR、NVR、关路电视系统和Web服务器等30多种设备类型。2025年12月，CloudSEK钻研人员忠告该僵尸网络在利用关键React2Shell缝隙（CVE-2025-55182）在易受攻击的Next.js服务器上投放恶意软件和加密矿工。Bitsight钻研人员分析发现，攻击者持续轮换利用的缝隙，在174个缝隙中映射出148个CVE，其中15个有公开概想验证但无CVE编号，还有11个未找到公开概想验证。攻击活动出现波浪式特点：宽泛测试阶段后追随选定缝隙的持久使用期。2025年10月缝隙利用数量达到单日49个的峰值，随后不变在40个左右，2026岁首急剧降落至仅2个缝隙，批注攻击战术转向更少但更有效的缝隙利用。

https://securityaffairs.com/189569/malware/rondodox-botnet-expands-arsenal-targeting-174-flaws-and-hits-15000-daily-exploit-attempts.html

5. LeakNet勒索软件选取新型BYOR攻击技术

3月17日，LeakNet勒索软件团伙近日选取ClickFix社会工程攻击技术获取企业环境初始接见权限，并部署基于开源Deno运行时的恶意软件加载器。该团伙自2024年底以来活跃，均匀每月攻击约3个受害者，随着新技术的选取，其攻击规�？赡芙徊嚼┐�。安全公司ReliaQuest将这种战术称为"自带运行时"（BYOR）攻击。Deno是合法的JavaScript/TypeScript运行时，允许在系统上执行浏览器表的JS/TS代码。由于Deno经过数字署名且合法，可绕过未知二进造执行的阻止列表和过滤器。攻击者通过装置合法的Deno可执行文件来运行恶意代码，而非部署更容易被象征的自界说恶意软件加载器。执行后，代码会指纹鉴别主机、天生唯一受害者ID，并衔接号令节造服务器获取第二阶段载荷。同时运行悠久轮询循环以接管来自号令节造服务器的新号令。在后利用阶段，LeakNet使用DLL侧加载、号令节造信标、通过klist枚举进行痛处发现、通过PsExec进行横向移动，以及通过滥用AmazonS3存储桶进行载荷staged和数据表泄。

https://www.bleepingcomputer.com/news/security/leaknet-ransomware-uses-clickfix-and-deno-runtime-for-stealthy-attacks/

6. GlassWorm供给链攻击卷土沉来波及433个组件

3月17日，GlassWorm供给链攻击活动近日卷土沉来，针对GitHub、npm和VSCode/OpenVSX平台上的数百个软件包、仓库和扩大提议协调攻击。Aikido、Socket、StepSecurity和OpenSourceMalware社区的钻研人员本月共鉴别出433个被攻下的组件。最新一轮GlassWorm攻击规模更为重大，波及200个GitHubPython仓库、151个GitHubJS/TS仓库、72个VSCode/OpenVSX扩大和10个npm软件包。攻击者首先攻下GitHub账户强造推送恶意提交，而后在npm和VSCode/OpenVSX上颁布包费解淆代码的恶意软件包和扩大以逃避检测。在所有平台上，恶意代码每5秒查问一次Solana区块链获取新指令。2025年11月27日至2026年3月13日期间，共发现50笔新买卖，重要用于更新载荷URL。指令嵌入买卖备忘录中，疏导下载Node.js运行时并执行基于JavaScript的信息窃取法式。该恶意软件针对加密钱币钱包数据、痛处和接见令牌、SSH密钥以及开发者环境数据。代码注解分析批注GlassWorm由俄语威胁行为者策动，恶意软件在检测到系统为俄语环境时会跳过执行。

https://www.bleepingcomputer.com/news/security/glassworm-malware-hits-400-plus-code-repos-on-github-npm-vscode-openvsx/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研