TeamPCP针对伊朗系统部署擦除恶意软件

首页 > 安全钻研 > 安全传递 > 安全简讯

TeamPCP针对伊朗系统部署擦除恶意软件

颁布功夫 2026-03-25

1. TeamPCP针对伊朗系统部署擦除恶意软件

3月23日，利用安全公司Aikido近日发现TeamPCP黑客组织针对Kubernetes集群发起攻击，使用恶意剧本在检测到伊朗配置系统时擦除所有机械。恶意软件设计用于粉碎匹配伊朗时区和说话环境的任何机械，无论是否存在Kubernetes。若是两个前提都满足，剧本会在kube-system中部署名为Host-provisioner-iran的DaemonSet，使用特权容器并将主机根文件系统挂载到/mnt/host。每个pod运行名为kamikaze的Alpine容器，删除主机文件系统上的所有顶级目录，而后强造主机沉启。若是存在Kubernetes但系统被鉴别为非伊朗系统，恶意软件会部署名为host-provisioner-std的DaemonSet，使用特权容器挂载主机文件系统。每个pod将Python后门写入主机文件系统并装置为systemd服务以在每个节点上悠久化。在没有Kubernetes的伊朗系统上，恶意软件删除机械上的所有文件，蕴含系统数据。

https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/

2. Tycoon2FA 垂钓平台被捣毁后迅速复原运营

3月23日，欧洲刑警组织和合作同伴于3月4日捣毁的Tycoon2FA垂钓即服务（PhaaS）平台已复原至此前观察到的活动水平。微软辅导了这次技术捣毁行动，缴获了330个属于Tycoon2FA骨干基础设施的域名，蕴含用于攻击的节造面板和垂钓页面。欧洲刑警组织和合作同伴于3月4日捣毁的Tycoon2FA垂钓即服务（PhaaS）平台已复原至此前观察到的活动水平。微软辅导了这次技术捣毁行动，缴获了330个属于Tycoon2FA骨干基础设施的域名，蕴含用于攻击的节造面板和垂钓页面。Tycoon2FA由Sekoia约两年前初次纪录，作为专门针对Microsoft365和Gmail账户的PhaaS平台上线，拥有中央人攻击机造，可绕过双成分身份验证（2FA）�；�。一个月后，Trustwave汇报Tycoon2FA运营者积极改进平台，增长新的高级职能，吸引更多网络罪犯采办接见权限。Tycoon2FA是垂钓领域的沉要参加者，微软汇报其每月天生3000万封垂钓邮件，占该科技公司拦截的所有邮件的62%。

https://www.bleepingcomputer.com/news/security/tycoon2fa-phishing-platform-returns-after-recent-police-disruption/

3. 马自达遭网络攻击692条员工和合作同伴数据泄露

3月23日，日本汽车造作商马自达公司近日颁发，在去年12月发现的一路安全事务中，其员工和业务合作同伴的信息被露出。马自达是日本最大的汽车造作商之一，年产量120万辆汽车，收入近240亿美元。公司暗示攻击者利用了与泰国采购零件仓库治理系统有关的缝隙。该系统不蕴含任何客户数据。泄露仅限于692笔纪录。马自达在布告中暗示："马自达公司已鉴别到与泰国采购零件仓库运营有关的治理系统存在未经授权表部接见的痕迹。发现后，公司立即向幼我信息�；の被幔ㄈ毡灸诟蟾聿炕梗┗惚�，并与表部专业组织合作执行适当安全措施并进行调查。"调查显示，可能露出的信息蕴含用户ID、全名、电子邮件地址、公司名称和业务合作同伴ID。只管马自达暗示未检测到该信息的滥用，但公司建议受影响幼我维持警惕，由于针对他们的垂钓攻击和诳骗风险显著。除通知当局表，马自达还对其IT系统执行了额表安全措施，蕴含削减互联网露出、利用安全补丁、增长对可疑活动的监控以及引入更严格的接见战术。截至目前，尚无勒索软件组织公开宣称对这次攻击掌管。

https://www.bleepingcomputer.com/news/security/mazda-discloses-security-breach-exposing-employee-and-partner-data/

4. 朝鲜Team 8利用VSCode传布StoatWaffle恶意软件

3月24日，NTT Security近日发现，与朝鲜有关的威胁行为者Team 8在"Contagious Interview"活动中通过恶意Microsoft Visual Studio Code项目传布StoatWaffle恶意软件。在此活动中，Team 8重要使用OtterCookie。从2025年12月左右起头，Team 8起头使用新恶意软件，我们将其定名为StoatWaffle。Team 8利用与区块链有关的项目作为钓饵。该恶意仓库蕴含.vscode目录，其中蕴含tasks.json文件。若是用户使用VSCode打开并信赖此恶意仓库，它会读取此tasks.json文件。"该工作从Vercel下载有效载荷并通过cmd.exe运行，从单一下载器起头。而后装置Node.js并获取额表文件，实现跨操作系统的进一步恶意软件执行。StoatWaffle恶意软件使用多阶段习染链。从Node.js加载器起头，反复衔接号令节造（C2）服务器并执行接管到的任何代码。而后部署第二个下载器，持续此通讯并急剧传递额表恶意软件�？�。

https://securityaffairs.com/189880/security/north-korea-linked-threat-actors-abuse-vs-code-auto-run-to-spread-stoatwaffle-malware.html

5. QualDerm Partners数据泄露影响310万患者信息

3月24日，医疗保健治理服务提供商QualDerm Partners近日通知超过310万人，其幼我、医疗和健全保险信息在2025年12月的数据泄露中被窃取。该公司暗示，事务于12月24日发现，涉及攻击者未经授权接见其网络两天。在此期间，攻击者从被攻下的"有限数量系统"中表泄了某些信息。被盗信息蕴含姓名、地址、诞生日期、电子邮件地址、病历号、医生姓名、医治和诊断信息、健全保险信息、殒命日期，以及在某些情况下确当局签发身份证件信息。QualDerm暗示对数据泄露的调查仍在持续，已决定通知迄今已识此外患者。作为对攻击的响应，公司立即激活响应打算，采取措施节造未经授权的活动，评估系统安全性，并通知法律部门和监管机构。QualDerm向美国卫生与公家服务部汇报，3,117,874人受攻击影响。该事务于上月汇报，但本周才被增长到HHS的泄录户。公司正向受影响幼我提供12个月的免费身份偷窃和信誉监控服务。

https://www.securityweek.com/3-1-million-impacted-by-qualderm-data-breach/

6. Infinite Campus遭ShinyHunters攻击威胁泄露数据

3月24日，宽泛使用的K-12学生信息系统Infinite Campus近日忠告客户，在威胁行为者勒索贪图后产生数据泄露。在发送给客户的通知中，Infinite Campus暗示黑客接见了员工的Salesforce账户，露出了大部门可公开获取的信息。该公司未颁布官方申明，但客户在各类公开平台汇报了事务。通知颁布前不久，数据勒索组织ShinyHunters宣称发起了攻击，并在其暗网网站颁布"最后忠告"，威胁泄露据称从Infinite Campus窃取的所罕见据。黑客赐与公司截至3月25日的功夫联系并协商赎金以预防数据泄露，但Infinite Campus暗示不会与攻击者接触。Infinite Campus暗示，凭据调查，客户数据库未被接见。露出数据蕴含学堂员工的姓名和联系详情，以及通�？晒袢〉男畔�。作为响应，公司已对无IP地址限度的用户禁用某些面向客户的服务，以最大限度降低敏感数据潜在露出风险。同使佚在扫描所有可能受损的Salesforce数据，并联系可能受影响的学区提供领导。

https://www.bleepingcomputer.com/news/security/infinite-campus-warns-of-breach-after-shinyhunters-claims-data-theft/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研