BianLian勒索软件利用SVG垂钓攻击委内瑞拉企业

首页 > 安全钻研 > 安全传递 > 安全简讯

BianLian勒索软件利用SVG垂钓攻击委内瑞拉企业

颁布功夫 2026-03-31

1. BianLian勒索软件利用SVG垂钓攻击委内瑞拉企业

3月27日，WatchGuard钻研人员近日披露，BianLian勒索软件组织正针对委内瑞拉企业提议新型网络垂钓攻击，通过恶意SVG图像文件和奇妙沉定向技术绕过传统安全防护，执行高速AES加密勒索。这次攻击高度集中在委内瑞拉，攻击链始于假装成发票或预算的垂钓邮件，附件为使用西班牙语定名的SVG文件，看似通常图片实则嵌入XML代码。用户打开文件后，会奥秘衔接表部URL，下载由Go说话编写的荫蔽Windows法式作为有效载荷。攻击者选取16位令牌系统传递恶意法式，该法式具备反监控能力，会检测Wine工具以判断是否处于安全分析环境，并在系统“挂起”时持续监督，利用防御空地执行攻击。其主题兵器是高速AES加密�？�，可急剧锁定文件执行勒索。技术细节显示，该攻击通过缩短链接服务ja.cat进行流量沉定向，最终指向被入侵的巴西域名，形成多层跳板躲避追踪。WatchGuard钻研指出，这些战术与BianLian组织自2022年以来的作案手法高度吻合。

https://hackread.com/bianlian-ransomware-fake-invoice-svg-images-attacks/

2. 西班牙维戈港遭勒索软件攻击

3月26日，西班牙维戈港近日遭逢勒索软件攻击，导致其数字系统严沉受损。攻击于周二早晨被发现，影响加利西亚地域港口用于货物运输治理及其他数字服务的推算机服务器。部门设备被锁定，攻击者要求支付赎金以复原系统接见权限。为遏造攻击扩散，港务局技术团队迅速将受影响系统与表部网络隔离，并启着手作为业模式。港口总裁卡洛斯·博塔纳强调，在安全团队确认系统绝对安全前，不会沉新衔接任何数字系统，目前尚无复原数字运营的功夫表。只管船舶航行和货物装卸等实体运营仍在持续，但依赖数自旖台的物流协调工作受到显著影响，部门操作人员已转为人为操作并依赖纸质文件实现工作。调查在进行中，以确定攻击者若何入侵网络以及是否存在敏感数据泄露。博塔纳将这次事务定性为经济动机的网络攻击，旨在勒索赎金。截至目前，尚无任何网络犯罪组织宣称对这次攻击掌管。

https://therecord.media/port-of-vigo-ransomware

3. FortiClient EMS高危SQL注入缝隙遭活跃利用

3月30日，威胁谍报公司Defused近日披露，攻击者正积极利用Fortinet FortiClient EMS平台的CVE-2026-21643严沉SQL注入缝隙。该缝隙允许未经身份验证的威胁行为者通过机关恶意HTTP要求，在未建补的FortiClient EMS 7.4.4版本Web界面执行肆意代码或号令，攻击复杂度低且无需特殊权限。Defused强调，只管CISA及其他已知利用缝隙（KEV）目录仍象征该缝隙为“未被利用”，但其内部数据已证实四天前出现初次利用案例。缝隙由Fortinet安全团队内部发现，影响7.4.4版本，用户可通过升级至7.4.5或更高版本建复。然而，Fortinet尚未更新安全布告或确认缝隙已被现实利用。据Shodan扫描，近1000个FortiClient EMS事俘已公开露出；Shadowserver追踪到超2000个露出事俘，其中1400个IP地址位于美国和欧洲，无数集中在美国。

https://www.bleepingcomputer.com/news/security/critical-fortinet-forticlient-ems-flaw-now-exploited-in-attacks/

4. 俄TA446利用DarkSword缝隙对iOS设备提议垂钓攻击

3月30日，与俄罗斯关联的高级持续威胁组织TA446（别号SEABORGIUM、ColdRiver等）正利用DarkSword缝隙利用工具包，针对iOS设备提议定向鱼叉式网络垂钓攻击。该组织自2017年起持续活跃，重要针对北约国度及东欧地域（含乌克兰），指标涵盖国防/谍报公司、非当局组织、当拘匿组织、智库、高校，以及前谍报官员、俄罗斯事务专家和海表俄公民，通过窃取凭证与谍报实现入侵和数据窃取。这次攻击中，TA446通过伪造大西洋理事会邮件发送链接，链接指向看似无害的PDF钓饵文件，利用服务器端过滤机造将用户沉定向至DarkSword缝隙利用工具包，执行定向投放战术。该工具包蕴含远程代码执行（RCE）、PAC绕过等组件，虽未发现沙箱逃逸，但已证实通过加载器MD5关联TA446第二阶段域名，显示其现实使用。

https://securityaffairs.com/190139/apt/russia-linked-apt-ta446-uses-darksword-exploit-to-target-iphone-users-in-phishing-wave.html

5. 医疗科技公司CareCloud称黑客窃取了患者数据

3月30日，医疗信息技术公司CareCloud近日披露一路严沉数据泄露事务，引刊行业关注。该公司总部位于美国新泽西州，作为公开上市的医疗保健IT服务商，重要提供SaaS软件、收入周期治理、电子健全纪录（EHR）等解决规划。据CareCloud向美国证券买卖委员会提交的文件显示，2026年3月16日，其旗下CareCloud Health部门遭逢网络中断，导致六个电子健全纪录环境之一的职能和数据接见碰壁，持续约8幼时后齐全复原。经调查确认，黑客在入窃熠间接见了该公司IT基础设施，并造成存储客户患者健全纪录的特定环境数据泄露。只管公司强调未经授权的数据接见领域有限，但具体受影响人数及数据类型仍待进一措施查确认。事务产生后，CareCloud迅速启动应急响应机造。公司强调这次事务未波及其他平台、部门或系统，攻击者已无法持续接见其数据库，所有受影响系统均已齐全复原。

https://www.bleepingcomputer.com/news/security/healthcare-tech-firm-carecloud-says-hackers-stole-patient-data/

6. RoadK1ll：WebSocket反向隧路实现荫蔽渗入

3月30日，近日，托管检测和响应（MDR）提供商Blackpoint在事务响应中发现了名为RoadK1ll的新型Node.js恶意植入法式，该法式通过自界说WebSocket和谈实现攻击者与受习染主机的持续通讯，具备高度荫蔽性和扩大性。RoadK1ll被界说为轻量级反向隧路植入物，其主题职能是将受损主机转化为可控中继点。通过成立到攻击者节造基础设施的出站WebSocket衔接，该法式可按需转发TCP流量，使威胁行为者无需依赖传统入站监听器即可接见内部网络资源。这种设计使攻击者能绕过天堑节造，由于衔接源自被入侵机械，可继承其网络信赖和地位，有效接见正本无法从表部直接接见的内部系统、服务及网络段。该恶意软件支持多并发衔接能力，允许同时与多个指标通讯。其号令集蕴含衔接、数据转发、衔接确认、衔接终止及谬误反馈等基础指令，其中CONNECT号令可触发向指定主机和端口的出站TCP衔接，实现攻击领域的横向扩大。若通讯中断，法式会自动启动沉连机造复原隧路，确保攻击持续性且削减手动过问产生的噪音。

https://www.bleepingcomputer.com/news/security/new-roadk1ll-websocket-implant-used-to-pivot-on-breached-networks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研