ToddyCat攻击技术升级，，，精准窃取企业邮件

首页 > 安全钻研 > 安全传递 > 安全简讯

ToddyCat攻击技术升级，，，精准窃取企业邮件

颁布功夫 2025-11-27

1. ToddyCat攻击技术升级，，，精准窃取企业邮件

11月25日，，，网络安全钻研显示，，，驰名威胁行为者ToddyCat团伙正通过新型攻击伎俩定向窃取企业邮件数据�！！８猛呕镒�2020年起持续活跃，，，重要针对欧洲及亚洲多国组织提议攻击，，，其技术伎俩不休迭代升级�！！：：Ｖ魈夤セ髁粗�，，，团伙选取定制化工具TCSectorCopy，，，通过C++开发实现绕过Outlook运行时接见限度，，，以只读模式挂载磁盘并按扇区挨次复制OST离线存储文件，，，结合开源工具XstReader提取邮件内容�！！Ｕ攵栽品癯【�，，，攻击者利用开源C#工具SharpTokenFinder从内存中抓取Microsoft 365明文JWT令牌，，，遇安全软件拦截时则改用Sysinternals的ProcDump工具强制dump Outlook过程内存�！！Ｔ诤嵯蛏虢锥�，，，TomBerBil工具通过打算工作执行PowerShell号令，，，利用SMB和谈搜索远程主机浏览器汗青纪录、、、Cookie及痛处�！！Ｖ还苊舾形募蹹PAPI加密，，，但新版TomBerBil可复制用户加密密钥文件，，，结合SID及密码在本地实现解密�！！�

https://thehackernews.com/2025/11/toddycats-new-hacking-tools-steal.html

2. 西班牙Travel Club平台遭Everest勒索软件攻击

11月25日，，，运营西班牙驰名联盟忠诚度平台Travel Club的西班牙航空里程公司（Air Miles Espa?a）遭逢Everest勒索软件团伙攻击�！！：：：诳驮诎低孤睹呕О洳荚毯肴没彰�、、、邮箱及忠诚度打算数据的CSV文档截图，，，虽公司尚未公开证实，，，但凭据该团伙“实现数据窃取后公开受害机构”的汗青法规，，，申明可信度较高�！！ybernews已联系平台寻求置评，，，将跟进后续回应�！！ravel Club在西班牙占有超600万用户，，，用户可通过零售、、、航空、、、燃油及在线商家合作同伴累积积分，，，合作方涵盖雷普索尔能源、、、Eroski零售集团、、、伊比利亚航空等大型品牌，，，在西班牙告白及忠诚度嘉奖生态中占据主题职位�！！Ｕ獯问菪孤队跋煸冻ǔＯ颜卟忝�，，，可能波及所有依赖该平台分析数据与交叉推广的营销合作同伴、、、零售连锁及告白商，，，形成“用户-企业-生态”三级风险链�！！�

https://cybernews.com/security/travel-club-spain-everest-ransomware/

3. Money Mart遭Everest勒索软件攻击

11月26日，，，Everest勒索软件组织对北美“当日”金融服务巨头Money Mart提议攻击，，，泄露蕴含客户买卖纪录、、、信誉卡具体信息及员工小我信息在内的敏感数据�！！８猛呕镌诎低孤锻景洳佳�，，，宣称从“国度钱币市场公司数据库”窃取超8万份内部文件，，，并设定11月30日为联系期限，，，逾期将公开数据至黑客论坛�！！oney Mart作为加拿大Momentum Financial Services Group子公司，，，占有美加约400家分店，，，提供发薪日贷款、、、支票兑现等服务，，，年收入达2400万美元�！！Ｐ孤妒堇嘈投嘌�，，，涉及小我身份信息、、、财政数据、、、系统配置文件、、、员工名单等�！！＠�，，，财政数据蕴含信誉卡16位账号中的10位及信誉额度；；；买卖数据涉及支票兑现日期、、、金额及授权码；；；员工信息则蕴含工作邮箱、、、就业汗青等�！！４死嗍菪孤恫唤鐾灿没б�，，，更可能引发社会工程学攻击激增、、、企业面对监管审查与名誉损失�！！�

https://cybernews.com/news/money-mart-breach-everest-ransomware-attack-consumer-financial-data-stolen/

4. 意大利艺术品印刷服务商Pixtura遭数据泄露

11月25日，，，意大利艺术品印刷服务商Pixtura遭黑客入侵，，，黑客在数据泄露论坛宣称窃取数千银行账号及身份证件�！！ybernews团队分析样本后确认，，，泄露数据蕴含用户电子邮件、、、哈希密码、、、全名、、、电话号码、、、IBAN及身份证号码，，，但单笔纪录不定蕴含全数信息�！！＠�，，，电子邮件地址数量远多于IBAN号码，，，但团队以为泄露的ID拥有较高真实性�！！＜际醴治鱿允�，，，部门密码选取不安全的MD5哈希算法，，，易被破解；；；部门使用SHA-256，，，虽较MD5安全但仍易受暴力破解；；；还有部门选取安全的Bcrypt算法�！！BAN泄露用户面对更高风险，，，攻击者可假意其收受金融账户或执行金融诳骗，，，只管此类操作需额外信息及致力�！！Ｍ哦游捶⑾种Ц犊ㄐ畔�，，，揣摩攻击者入侵了客户信息数据库�！！Ｖ低滋牡氖�，，，这次事务产生在“玄色星期五”前夕�！！Ｗ钚率菹允�，，，11月1日以“黑五”为主题的垂钓攻击激增20倍，，，占观测邮件总量的8%�！！�

https://cybernews.com/security/fine-art-printing-breach-expose-users/

5. RomCom恶意软件借SocGholish攻击美企

11月26日，，，网络安全公司Arctic Wolf Labs披露，，，名为RomCom的恶意软件家族通过SocGholish JavaScript加载器对美国一家土木工程公司提议攻击，，，旨在分发Mythic Agent恶意软件�！！Ｕ馐浅醮喂鄄斓絉omCom有效载荷通过SocGholish进行分发�！！８霉セ鞅恢懈呦嘈哦裙橐蛴诙砺匏沽钗渥傲α孔苷辗鞑孔芫郑℅RU）下属的29155队列�！！Ｖ低滋牡氖�，，，受攻击实体从前曾为与乌克兰联系亲昵的城市提供服务�！！ocGholish作为初始接见中介，，，允许其他威胁行为者分发各类有效载荷�！！Ｆ涔セ髁赐ǔＭü肭趾戏ㄍ就扑托槲变榔鞲绿嵝�，，，诱骗用户下载恶意JavaScript剧本，，，进而装置加载器并获取更多恶意软件�！！Ｕ獯喂セ髦�，，，虚伪更新有效载荷使威胁行为者可能成立反向shell，，，在受习染主机上执行窥伺活动及部署定制Python后门VIPERTUNNEL�！！Ｍ�，，，攻击者还分发了与RomCom有关的DLL加载器，，，用于启动跨平台后渗入框架主题组件Mythic Agent，，，该组件支持号令执行、、、文件操作等职能�！！�

https://thehackernews.com/2025/11/romcom-uses-socgholish-fake-update.html

6. 伦敦多个市政委员会的IT系统因网络攻击而中断

11月26日，，，近日，，，伦敦肯辛顿和切尔西皇家自治市（RBKC）、、、威斯敏斯特市议会（WCC）及伦敦哈默史女士和富勒姆区（LBHF）因共享部门IT基础设施，，，同时遭逢网络安全攻击导致服务中断�！！０踩ḿ铱摹げ┟商卮Υ宋账魅砑セ�，，，但截至发稿无组织公开认责�！！９セ鞑ḿ岸喔鱿低�，，，蕴含电话线路、、、在线服务及联系中心，，，三家机构已启动应急预案，，，关闭部门推算机系统以阻断进一步侵害，，，并采取“加强措施”隔离�；；；ね��！！CC作为英国重要处所当局，，，辖区内有威斯敏斯特宫、、、白金汉宫等重腹地标；；；RBKC虽为伦敦面积和人丁最小的行政区之一，，，却占有英国最高人均GDP；；；LBHF则服务18万居民�！！BKC昨日布告称居民无法通过在线服务或联系中心联系，，，WCC亦证实受统一网络安全问题影响�！！Ｈ一乖谕绨踩ḿ壹肮韧绨踩行男�，，，正重点�；；；は低澈褪�、、、复原系统及守护关键服务�！！５鞑槿栽诮兄�，，，机构正核查是否存在数据泄露，，，并已按法式通知英国信息专员办公室（ICO）�！！�

https://www.bleepingcomputer.com/news/security/multiple-london-councils-it-systems-disrupted-by-cyberattack/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研