Tomiris升级多说话兵器库，精准进攻俄外交机构

首页 > 安全钻研 > 安全传递 > 安全简讯

Tomiris升级多说话兵器库，精准进攻俄外交机构

颁布功夫 2025-12-02

1. Tomiris升级多说话兵器库，精准进攻俄外交机构

12月1日，卡巴斯基最新汇报揭示，名为Tomiris的威胁行为者正对俄罗斯外交部、、当拘匿组织及中亚国度机构提议战术性网络攻击，其主题指标是通过鱼叉式垂钓邮件部署多说话编写的恶意软件�？�，获取远程接见权限并成立悠久化节制。该组织2025年攻击链显示，超50%的钓饵文件选取俄语及中亚国度官方说话定制，攻击者通过加密RAR文件（解压密码直接嵌入邮件正文）分发假装成Word文档的可执行文件，运行后开释C/C++反向Shell，衔接C2服务器下载AdaptixC2框架，并通过批改Windows注册表实现恶意载荷悠久化。Tomiris的战术演变尤为显著，其日益频仍地利用Telegram、、Discord等公共服务作为C2服务器，将恶意流量与合法服务流量混合以躲避检测。其恶意软件兵器库涵盖C#、、Rust、、Go、、Python等多说话编写的反向Shell、、SOCKS代理及后门法式。多说话�？榈慕媒菪�、、低可疑性特点及对开源框架的利用，使Tomiris可能实现荫蔽的持久悠久化攻击。

https://thehackernews.com/2025/12/tomiris-shifts-to-public-service.html

2. 日历订阅安全盲点：：BitSight曝347个恶意域名风险

11月28日，网络安全公司BitSight最新钻研揭示，威胁行为者正通过把持数字日历订阅基础设施执行大规模社会工程攻击。日历订阅职能本用于合刑场景，如零售商推送促销日期、、体育协会更新赛事日程，其允许第三方服务器直接向用户设备增长事务并发送通知的个性，却被恶意利用，攻击者搭建托管于过期或被劫持域名的虚伪日历订阅服务，诱骗用户订阅后推送含恶意链接、、附件的日历文件，触发垂钓攻击、、恶意软件分发、、JavaScript代码执行甚至AI助手滥用等风险。钻研始于一个被 “Sinkhole” 技术收受的域名，该域名原用于分发德国公共假期ICS文件，却逐日接管1.1万个独立IP接见，引发钻研团队关注。进一措施查发现347个可疑日历域名，涉及2018世界杯、、伊斯兰Hijri日历等主题，逐日累计降约400万次美国为主的全美接见要求。沉洞数据显示，这些接见多为已订阅用户的后盾同步要求，意味着收受过期域名的攻击者可直接向用户设备推送定制化恶意日历事务。

https://www.infosecurity-magazine.com/news/threat-actors-exploit-calendar-subs/

3. Play勒索软件攻击ADC Aerospace

11月29日，美国航空航天与国防领域工程部件制作商ADC Aerospace因服务诺斯罗普·格鲁曼、、柯林斯航空航天、、霍尼韦尔等驰名企业，成为勒索软件攻击重点指标。这次攻击由全球最活跃勒索软件集团之一Play执行，该组织以泄露客户数据为威胁迫使受害者支付赎金，若回绝则颁布部门数据片段�：：诳托埔鸦袢】突募�、、预算财政信息、、薪资纪录、、身份证明等私密数据，但未提供样本，真实性待核查。若数据泄露属实，ADC将面对多重风险：：暗网对国防承包商数据的高需要可能推动被盗信息买卖；；；薪资纪录中的小我信息可被用于身份偷窃；；；其他私密数据则可能成为社会工程攻击工具，攻击者假意行业有关方执行更具粉碎性的诳骗。Play集团去年跻身全球最活跃勒索软件前三，今年8月初刚入侵为美国水师、、波音供货的Jamco Aerospace。

https://cybernews.com/security/adc-aerospace-breach-claims/

4. Coupang遭逢韩国史上最大规�？突菪孤妒挛�

11月30日，被誉为“韩国亚马逊”的韩国电商巨头Coupang于11月18日披露一路大规模数据泄露事务，影响近3400万个客户账户，创韩国单次数据泄露影响领域之最。经调查，攻击者自6月24日起通过外洋服务器提议未经授权接见，逐步扩大攻击规模，最终导致超3300万韩国用户数据外泄。泄露信息蕴含姓名、、电子邮箱、、电话号码、、收货地址及部门订单纪录，但支付信息与登录凭证未被获取。Coupang在发现异�：：罅⒓聪蚝∥倚畔⒈；；；の被�、、警方及互联网安全局汇报，并启动应急响应。公司最初误判仅约4500人受影响，后修改为超3300万人，凸显初期检测机制的不及�：：本侄源烁叨绕髦�，科学技术信息通讯部部长裴京勋周日主持垂危会议，核查Coupang是否违反《小我信息�；；；しā钒踩娣��：：チ踩裥嗽海↘ISA）已向受影响用户颁布防垂钓诳骗指南，建议定期批改密码、、启用双成分认证。这次事务已引发用户集体诉讼风险，Coupang正面对司法追责与诺言重创的双重压力。

https://cybernews.com/news/coupang-confirms-massive-data-breach-exposing-33-7-million-accounts/

5. 警方查封了Cryptomixer加密钱币混合服务

12月1日，瑞士与德国法律部门近日结合发展“奥林匹亚行动”，于11月24日至28日在苏黎世查封加密钱币混合服务Cryptomixer。该平台自2016年运营以来，被指协助网络犯罪分子洗钱超13亿欧元比特币，成为勒索软件团伙、、暗网市场及地下经济论坛混合犯罪资金的主题渠道。行动中，法律机构在欧洲刑警组织与欧洲司法组织支持下，查获三台服务器、、12TB数据、、明网及Tor暗网域名，并扣押价值2400万欧元比特币。Cryptomixer通过混合用户加密钱币至资金池并分发至新钱包地址，有效阻断区块链资金追踪，成为贩毒、、兵器走私、、勒索攻击及支付卡诓骗等犯罪活动的洗钱首选工具。其运营模式还蕴含对洗钱资金收取佣金，再转移至客户指定钱包，最终通过银行或ATM将犯法资产转换为法币或其他加密钱币。此类服务虽存在合法用处，但重要被犯罪团伙用于逃避查究。

https://www.bleepingcomputer.com/news/security/police-takes-down-cryptomixer-cryptocurrency-mixing-service/

6. CISA将OpenPLC ScadaBR缝隙增长到KEV目录中

12月1日，美国网络安全和基础设施安全局（CISA）近日将编号为CVE-2021-26829的OpenPLC ScadaBR缝隙纳入已知利用缝隙（KEV）目录。该缝隙为跨站剧本（XSS）缝隙，通过system_settings.shtm文件影响Windows和Linux版本，具体涉及Windows端1.12.4及更早版本、、Linux端0.9.1及更早版本，CVSS评分为5.4。2025年9月，亲俄黑客组织TwoNet针对网络安全公司Forescout运营的ICS/OT蜜罐系统提议攻击，误判其为水处置厂。攻击者利用默认凭证获取系统接见权限后，创建名为“BARLATI”的账户，并通过CVE-2021-26829缝隙篡改人机界面（HMI）登录页面，每次接见该页面时，会触发蕴含脏话的弹窗忠告，同时禁用日志和警报职能。凭据拥有约束力的操作指令（BOD）22-01，联邦民用机构（FCEB）须在2025年12月19日前修复该缝隙，以降低重大风险。CISA同时建议私营机构审查KEV目录，实时修补自身基础设施中的同类缝隙，预防被利用。

https://securityaffairs.com/185185/security/u-s-cisa-adds-an-openplc-scadabr-flaw-to-its-known-exploited-vulnerabilities-catalog.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研