“黄金工厂”网络犯罪团伙针对东南亚提议攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

“黄金工厂”网络犯罪团伙针对东南亚提议攻击

颁布功夫 2025-12-08

1. “黄金工厂”网络犯罪团伙针对东南亚提议攻击

12月4日，，以牟利为主张的“黄金工厂”网络犯罪团伙近期以假装当局服务机构的方式，，向印度尼西亚、、泰国和越南的移动用户提议新一轮攻击。该团伙自2024年10月起，，通过传布植入安卓恶意软件的篡改版银行利用执行攻击，，最早在泰国被发现，，后舒展至越南和印尼。据新加坡IB集团技术汇报，，仅印尼就造成近2200起设备习染，，总习染案例超1.1万起，，其中63%的篡改利用针对印尼市场。攻击流程假装成当局机构或驰名品牌，，通过电话诳骗诱导用户点击Zalo等通讯软件中的链接，，装置恶意软件。恶意法式通过注入恶意代码到正规银行利用，，保留正常职能以绕过安全防护，，主标题标是远程操控设备。钻研人员发现三类劫持器组件——“弗瑞劫持器”“天空劫持器”“派恩劫持器”，，可实现暗藏利用、、躲避检测、、伪造署名、、窃取余额信息等职能。该团伙还开发了“巨型花”测试版恶意软件，，支持实时传输设备画面、、键盘纪录、、弹出虚伪界面窃守信息，，并正在开发二维码扫描职能以提取越南身份证信息。

https://thehackernews.com/2025/12/goldfactory-hits-southeast-asia-with.html

2. 印度企业遭假装税务部门垂钓攻击

12月4日，，近期，，一场针对印度企业的大规模垂钓攻击悄然发展。攻击者假装成印度所得税部门，，通过高度仿真确当局公函模板及印地语与英语双语通讯，，引用《所得税法》条款制作合法性与紧迫感，，谎称收件人存在税务违规行为，，要求72小时内提交文件，，诱骗用户打开恶意附件。这次攻击选取两阶段恶意软件链：：：初期以密码�；さ腪IP文件搭载shellcode加载器，，后续变体利用谷歌文档链接交付二级载荷，，最终投放AsyncRAT远程节制木马，，实现屏幕共享、、文件传输及远程号令执行。攻击指标锁定证券公司、、金融机构及非银行金融公司，，因这些机构需定期与当部门门互换监管文件，，成为重点指标。Raven安全团队通过鉴别攻击架构中的多层矛盾点，，成功发现并阻止了这一零日攻击，，预防指标机构大规模习染。邮件源自合法免费邮箱账号，，通过SPF、、DKIM及DMARC认证，，绕过传统邮件过滤器。密码�；じ郊し来渲斜簧倍救砑�，，解压后出现的“NeededDocuments”可执行文件内置shellcode，，shellcode与AsyncRAT节礼服务器成立通讯。

https://cybersecuritynews.com/new-phishing-attack-mimic-as-income-tax-department/

3. React2Shell缝隙大规模利用，，超7.7万IP受影响

12月6日，，React2Shell远程代码执行缝隙（CVE-2025-55182）引发全球安全�；�。该缝隙源于React服务器组件对客户端节制数据的不安全反序列化机制，，攻击者可通过单个HTTP要求触发未经身份验证的肆意号令执行，，影响所有实现React服务器组件的框架如Next.js。Shadowserver汇报显示，，超77,000个露出在互联网的IP地址易受攻击，，其中约23,700个位于美国，，涉及多个行业。缝隙披露后，，安全钻研员Maple3142颁布概念验证，，推动自动化扫描工具迅速扩散。GreyNoise监测到，，从前24小时内有181个分歧IP尝试利用该缝隙，，流量重要来自荷兰、、中国、、美国、、香港等地域，，攻击者多使用PowerShell号令如“40138*41979”测试缝隙，，确认后通过base64编码下载第二阶段剧本，，部署Cobalt Strike信标或Snowlight、、Vshell恶意软件，，实现远程接见、、横向移动及敏感信息窃取。

https://www.bleepingcomputer.com/news/security/react2shell-flaw-exploited-to-breach-30-orgs-77k-ip-addresses-vulnerable/

4. Barts Health NHS Trust遭Clop勒索软件攻击

12月5日，，英国Barts Health NHS Trust近日颁发，，其Oracle E-business Suite软件存在缝隙（CVE-2025-61882），，被Clop勒索软件团伙利用，，导致数据库中逾越数年的发票文件被盗。泄露数据涉及在巴茨健康医院接受医治或服务人员的全名、、地址，，部门前雇员及已公开数据的供给商信息，，以及自2024年4月起该信任向Barking、、Havering和Redbridge大学医院NHS信任提供的管帐服务有关文件。Clop已将窃守信息上传至暗网泄露门户，，但Barts强调，，目前仅限加密暗网用户可接见压缩文件，，未发现数据在公开互联网传布。这次攻击产生于2025年8月，，直至11月文件被颁布至暗网后才确认数据风险。Barts已向国度网络安全中心、、伦敦警员厅及信息专员办公室（ICO）传递事务，，并申请高档法院号令不容数据使用、、颁布或分享，，但此类禁令现实效力有限。该机构运营伦敦五家医院，，蕴含皇家伦敦医院、、圣巴塞洛缪医院等，，其电子病历及临床系统未受影响，，主题IT基础设施安全性仍获注定。

https://www.bleepingcomputer.com/news/security/barts-health-nhs-discloses-data-breach-after-oracle-zero-day-hack/

5. Inotiv遭麒麟勒索软件攻击致9500余人数据泄露

12月5日，，美国制药公司Inotiv近日披露，，2025年8月5日至8日期间，，其部门网络和系统遭勒索软件攻击，，导致数据库及内部利用法式瘫痪，，业务运营受严重影响。该公司随后向美国证券买卖委员会（SEC）提交文件确认，，已复原受影响系统接见权限，，并正向8月事务中数据被盗的9,542名小我发送通知，，涉及现任/前任员工、、眷属及与收购公司有过互动的其他人员。这次攻击由麒麟勒索软件组织宣称掌管。该组织在暗网泄露网站宣称，，窃取了Inotiv超16.2万个文件，，总计176GB，，但Inotiv未明确具体泄露数据类型，，也未确认麒麟申明的真实性。Inotiv总部位于印第安纳州，，是一家年收入超5亿美元的合同钻研机构，，专一药物开发、、安全性评估及活体动物钻研模型构建，，占有约2000名员工。只管这次攻击未波及主题临床系统，，但数据泄露风险仍引发监管关注。

https://www.bleepingcomputer.com/news/security/pharma-firm-inotiv-discloses-data-breach-after-ransomware-attack/

6. 多阶段攻击活动对准Palo Alto与SonicWall安全设备

12月6日，，威胁行为者12月2日起利用德国托管服务提供商3xK GmbH运营的BGP网络（AS200373）下7000余个IP地址，，提议针对Palo Alto GlobalProtect VPN门户及SonicWall SonicOS API端点的多阶段攻击。GreyNoise汇报显示，，攻击者首先通过暴力破解尝试登录Palo Alto防火墙的远程接见组件GlobalProtect，，随后转向扫描SonicOS API端点——该操作系统节制SonicWall防火墙的配置与监控职能。这次活动与11月中旬纪录的230万次GlobalProtect扫描存在关联：：：62%的攻击IP位于德国，，均使用一样TCP/JA4t指纹，，且源自此前无恶意纪录的四个ASN。汗青扫描活动曾天生超900万次不成伪造的HTTP会话，，指标直指GlobalProtect。12月3日，，针对SonicOS API的扫描中再次出现一样三个客户指纹，，GreyNoise据此判定两阶段攻击同源。Palo Alto Networks回应称，，检测到的扫描活动属于“凭证攻击而非缝隙利用”，，其内部遥测及Cortex XSIAM防护系统确认未对产品服务造成侵害，，建议客户启用多成分认证（MFA）防备凭证滥用。SonicWall方面尚未公开置评。

https://www.bleepingcomputer.com/news/security/new-wave-of-vpn-login-attempts-targets-palo-alto-globalprotect-portals/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研