Warlock勒索软件组织：新兴威胁的攻击特点与安全警示

首页 > 安全钻研 > 安全传递 > 安全简讯

Warlock勒索软件组织：新兴威胁的攻击特点与安全警示

颁布功夫 2025-09-24

1. Warlock勒索软件组织：新兴威胁的攻击特点与安全警示

9月21日，Sophos钻研团队揭示，名为Warlock的勒索软件组织（微软称Storm 2603，Sophos追踪为GOLD SALEM）正以高明技术伎俩加剧全球网络攻击。该组织自2025年3月起活跃，9月已在其"Warlock客户数据泄露秀"暗网站点颁布60名受害者，指标涵盖北美、欧洲、南美的幼型贸易实体、当局机构及大型跨国公司。其攻击特点蕴含利用SharePoint零日缝隙、部署自界说ToolShell链、投放Web Shell及基于Golang的WebSocket服务器进行悠久化，并滥用Velociraptor等合法工具执行荫蔽隧路攻击，同时结合Mimikatz凭证偷窃、PsExec横向移动及GPO推送勒索负载等传统手法。该组织泄密模式怪异，省略颁布日期与视觉样本，仅随机披露被盗数据量，并通过注解标注数据状态（颁布/销售/未支付赎金），甚至提供现实数据链接。其FAQ申明叱责"不掌管任的公司"，称未联系的大客户数据将免费公开，但"高度敏感数据"的大型企业客户信息不会齐全披露。Sophos指出，Warlock直至6月才在俄语论坛Ramp公开活跃，曾征集Veeam、ESXi、SharePoint缝隙利用及EDR中断工具。

https://cybernews.com/security/warlock-ransomware-group-attacks-surge-september/

2. 骗子滥用人为智能原生平台托管虚伪验证码页面

9月22日，网络安全公司趋向科技最新汇报揭示，人为智能开发平台正被网络犯罪分子利用，成为托管虚伪验证码（CAPTCHA）页面的新载体，从而逃避安全检测并诱导用户进入垂钓网站。作为验证真实用户的关键工具，CAPTCHA本应招架机械人攻击，如今却被反向利用，成为网络垂钓的"爪牙"。钻研发现，自2025年1月起，利用Lovable、Netlify、Vercel等AI原生开发平台托管虚伪验证码页面的网络垂钓活动激增。这些平台宣称"零代码即可构建利用"，降低了技术门槛，使犯罪分子能急剧创建看似正规的验证码挑战页面。攻击流程通常始于假装成"密码沉置""USPS地址调换"等垂危邮件的垂钓链接，用户点击后首先看到虚伪CAPTCHA页面，因其"官方验证"表观，受害者易放松警惕，而自动扫描工具因仅检测到验证码而非底层凭证网络表单，难以鉴别恶意页面。实现验证后，用户会被沉定向至真正的垂钓页面，导致凭证、敏感数据泄露。更严格的是，构建此类页面仅需基础技术能力，共同AI编码副手即可实现。

https://cybernews.com/security/ai-platforms-captcha-phishing/

3. 德国DCS充电站数据泄露，客户服务商违规接见致用户信息风险

9月23日，德国数字充电解决规划公司（DCS）近日向用户传递一路数据安全事务，其客户服务提供商在处置数据时产生违规行为，导致部门客户信息面对泄露风险。DCS作为欧洲重要电动汽车充电服务商，治理着30多个国度超100万用户及98万座充电站，并为宝马、起亚等品牌提供计费服务。事务发源于DCS发显熹合作的服务商在无合理理由情况下接见了客户数据。DCS立即启动全面调查，确认违规行为涉及个位数病例，受影响数据仅限于姓名和电子邮件地址，而齐全支付信息因未存储在受影响数据库中得以保全。目前，DCS已与服务商治理层合作查明原因，执行额表安全措施，并传递法律及数据�；げ棵�。DCS在9月19日设立的专项页面中强调，充电服务及计费系统仍安全运行，用户无需采取额表操作，但需警惕潜在垂钓攻击。公司沉申，只管当前仅确认少数案例，但无法齐全排除其他客户数据被非授权查看的可能性，调查仍在进行中。

https://www.theregister.com/2025/09/23/dcs_data_breach/

4. 纽约结合国大会前夕粉碎大型电信网络

9月23日，在结合国大会于曼哈顿召开前夕，联国调查人员粉碎了一个暗藏在纽约地域的大型电信网络。该网络蕴含超过10万张SIM卡和300台服务器，可能对纽约市通讯系统造成苦难性粉碎。特勤局指出，此网络可滋扰垂危响应服务、关关蜂窝网络并发送加密信息，恰逢150余位国际辅导人齐聚纽约期间。调查显示，该网络设备散布于结合国总部35英里半径领域内，规模与设备类型暗示其可能为民族国度监控行动。通过度析SIM卡数据，特勤局发显熹与至少一个表国当拘陌贩毒集团存在关联。只管结合国大会是否为指标尚不明确，但特勤局奸细马特·麦克库尔强调，该系统具备粉碎手机信号塔、阻断应急通讯的能力，在沉大国际活动布景下可能引发城市级通讯瘫痪。该网络于今年8月被特勤局在调查针春联国官员的“电话威胁”事务时发现。麦克库尔暗示，解析网络传输的通讯内容需时日，但系统威力不容幼觑�Ｋ伎嫉缴璞讣壑凳偻蛎涝�，幕后组织资金雄厚，可能存在类似网络遍布美国其他城市。

https://securityboulevard.com/2025/09/secret-service-shuts-down-sprawling-hidden-telecom-network-in-ny/

5. CISA称黑客利用GeoServer缝隙入侵联国机构

9月23日，美国网络安全与基础设施安全局（CISA）披露，2024年7月，攻击者利用未建补的GeoServer事俘（涉及CVE-2024-36401远程代码执行缝隙）侵入了一家美国联国民事行政部门（FCEB）机构网络。该缝隙于2024年6月18日被建复，但一个月后，因安全钻研人员在线分享概想验证（PoC）演示代码，CISA将其参与“已知被利用缝隙目录”。威胁监控组织Shadowserver于7月9日起检测到针对该缝隙的攻击，OSINT搜索引擎ZoomEye追踪到超16,000台露出在网的GeoServer服务器。攻击者入侵联国机构GeoServer服务器后，在约两周内横向移动攻下Web服务器和SQL服务器，上传China Chopper等Web Shell及用于远程接见、悠久化、号令执行和权限提升的剧本，并通过暴力破解技术（T1110）获取密码以进一步横向移动。攻击者埋伏三周未被发现，直至7月31日联国机构的端点检测与响应（EDR）工具将SQL服务器上的可疑文件象征为恶意软件并触发警报，安全运营中心（SOC）随后隔离服务器并结合CISA调查。

https://www.bleepingcomputer.com/news/security/cisa-says-hackers-breached-federal-agency-using-geoserver-exploit/

6. Circle K香港业务因网络中断瘫痪

9月23日，近日，方便店连锁品牌Circle K香港业务因“网络中断”事务导致全港近400家门店电子支付、会员服务及电子邮件系统瘫痪数日，仅现金及八达通支付职能维持运作。该公司于周末初次传递事务后，周一在Facebook申明中暗示，因无法排除网络攻击可能性，已启动数据�；ご胧┎⒂敕刹棵偶暗谌阶ḿ液献鞯鞑樵颉⒘煊蚣坝跋焖�。截至周二，用户仍通过社交媒体反馈服务中断问题，如积分和优惠券过期，呼吁耽搁使用期限。Circle K香港由加拿大公司Alimentation Couche-Tard所有，该公司在北美及其他地域经营Circle K商店。Circle K香港的前母公司亚洲方便零售有限公司 (CRA) 周一也汇报了网络中断。CRA于20世纪80年代获得了Circle K的授权，并于2020年将其售回给Alimentation Couche-Tard。CRA暗示，其内部系统受到影响，并已通知法律部门，但目前尚不明显两起事务是否有关联。

https://therecord.media/circle-k-hong-kong-suspected-cyberattack-convience-stores

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研