国际结合行动捣毁Tycoon2FA垂钓平台

首页 > 安全钻研 > 安全传递 > 安全简讯

国际结合行动捣毁Tycoon2FA垂钓平台

颁布功夫 2026-03-06

1. 国际结合行动捣毁Tycoon2FA垂钓平台

3月4日，，欧洲刑警组织协调的国际法律行动近日成功捣毁Tycoon2FA垂钓即服务（PhaaS）平台。这次行动由微软在私营合作同伴联盟支持下提议技术中断，，拉脱维亚、、立陶宛、、葡萄牙、、波兰、、西班牙和英国法律部门执行域名查封等措施，，共关闭330个属于犯罪服务机构骨干基础设施的域名，，蕴含节制面板和垂钓页面。Tycoon2FA自2023年8月起活跃，，被网络犯罪分子用于绕过多成分身份验证（MFA）�；；；�，，入侵全球近10万个组织的账户。据微软数据，，至2025年年中，，该平台每月天生数千万封垂钓邮件，，影响超50万个组织，，占所有被拦截垂钓尝试的60%。其技术道理为通过反向代理服务器实时拦截受害者登录痛处和会话cookie，，仿照Microsoft 365、、OneDrive、、Outlook、、SharePoint及Gmail等可信品牌登录页面。即便受害者实现正常登录，，攻击者仍能劫持已认证会话并绕过MFA�；；；�，，除非活动会话和令牌被明确撤销。该平台通过Telegram以120美元10天使用权的价值销售，，大幅降低低技术犯罪分子提议复杂MFA绕过攻击的门槛。

https://www.bleepingcomputer.com/news/security/europol-coordinated-action-disrupts-tycoon2fa-phishing-platform/

2. 伊朗无人机袭击亚马逊中东数据中心致云服务中断

3月3日，，伊朗本周对亚马逊在阿联酋和巴林的三座数据中心发起无人机袭击，，导致中东部门地域云服务中断，，地域严重大势进一步恶化。据亚马逊披露，，阿联酋两座数据中心遭无人机“直接击中”，，巴林设施因“近距离无人机袭击”受损，，共造成约60项亚马逊云服务中断，，影响网络流量及依赖云服务的业务运营。这次袭击产生在美以结合进攻导致伊朗最高翘楚哈梅内伊及多名高级官员身亡后，，伊朗随即对阿联酋及邻国发展报仇行动，，指标不仅蕴含美军基地，，还扩大至机场、、酒店及关键油气基础设施。亚马逊申明指出，，袭击造成数据中心结构败坏、、电力中断，，并触发消防系统导致室内水损，，本地消防部门在杀绝残骸引发火警时关闭了电源和发电机，，进一步加剧服务中断。亚马逊暗示，，目前正与处所当局合作优先保险员工安全，，并建议中东客户备份关键数据，，将利用迁徙至其他AWS区域。公司强调，，全面复原取决于受影响基础设施的修复进度，，而当前中东持续矛盾导致整体运营环境仍不成预测。

https://therecord.media/iran-drone-strikes-hit-amazon-data-centers-gulf

3. 谷歌披露Coruna新型iOS缝隙利用工具包

3月5日，，谷歌威胁谍报小组（GTIG）发现名为Coruna（别号CryptoWaters）的新型iOS缝隙利用工具包，，该工具包针对运行iOS 13.0至17.2.1版本的iPhone，，蕴含五条齐全缝隙利用链共23个缝隙法式。Coruna对旧版iOS拥有强攻击能力，，但对iOS 17.3及以上版本无效，，因CVE-2024-23222等缝隙已在17.3中修复。该工具包由监控设备供给商客户初次使用，，后被多个威胁组织复用改进。UNC6353在乌克兰提议水坑攻击，，中国金融威胁组织UNC6691则通过虚伪金融网站部署齐全工具包，，利用暗藏iFrame投放缝隙法式，，露出活跃的“二手”零日缝隙市场。技术层面，，Coruna框架选取怪异JavaScript混合技术，，通过设备指纹鉴别加载对应缝隙法式。其主题蕴含WebKit远程代码执行（RCE）缝隙利用、、指针认证（PAC）绕过�？？�，，以及可重用组件，，用于绕过用户态RWX内存分配限度。谷歌已颁布入侵指标（IOC）和Yara规定，，并将有关域名参与安全浏览�；；；�。

https://securityaffairs.com/188928/security/google-uncovers-coruna-ios-exploit-kit-targeting-ios-13-17-2-1.html

4. Bing AI搜索传布伪造OpenClaw的恶意软件

3月5日，，近期，，托管检测与响应公司Huntress披露一路新型网络攻击活动：威胁行为者通过伪造GitHub存储库，，结合微软Bing的AI加强搜索职能，，向试图装置开源AI代理OpenClaw的用户传布信息窃取法式及代理恶意软件。OpenClaw因其能接见本地文件并集成电子邮件、、即时通讯等在线服务的职能个性，，成为攻击者眼中的“梦想载体”。攻击者起初创建恶意GitHub存储库，，假装成OpenClaw官方装置法式，，并利用Bing AI在搜索了局中的推荐机制，，诱导用户下载。在macOS场景下，，用户被疏导执行蕴含Atomic Stealer恶意软件的bash号令，，该号令会衔接至“puppeteerrr”等独立GitHub仓库，，部署蕴含shell剧本和Mach-O可执行文件的恶意文件。Windows用户则面对“OpenClaw_x64.exe”的传布，，该法式会开释多个基于Rust的恶意加载器，，在内存中执行信息窃取法式。其中，，Vidar窃取法式会通过Telegram和Steam用户资料获取C2数据，，而GhostSocks代理则将用户推算机转化为攻击节点，，用于路由恶意流量或暗藏攻击痕迹。

https://www.bleepingcomputer.com/news/security/bing-ai-promoted-fake-openclaw-github-repo-pushing-info-stealing-malware/

5. 维基媒体基金会遭JavaScript蠕虫攻击

3月5日，，维基媒体基金会遭逢一路由自我传布JavaScript蠕虫引发的安全事务。该蠕虫通过批改用户剧本及粉碎Meta-Wiki页面执行攻击，，导致约3996个页面被批改、、85位用户的common.js文件被代替，，最终迫使基金会临时限度所有项目编纂职能。事务源于俄罗斯维基百科托管的一份恶意剧本test.js，，该剧本于2024年3月初次上传，，与汗青攻击中使用的剧本存在关联。据调查，，当日一名维基媒体员工账户在测试用户剧性子能时，，可能因有意执行、、不测加载或账户被盗触发该剧本，，导致其通过已登录用户的common.js及全局MediaWiki:Common.js文件实现自我传布。蠕虫还具备编纂随机页面职能，，通过插入暗藏的JavaScript加载器及大尺寸图片粉碎页面内容。维基媒体基金会过后申明称，，该恶意代码仅活跃23分钟，，期间仅对Meta-Wiki内容造成一时更改与删除，，无永远性侵害或小我信息泄露。目前编纂职能已复原，，基金会正加强安全审查并制订额外防护措施，，以降低同类事务风险。

https://www.bleepingcomputer.com/news/security/wikipedia-hit-by-self-propagating-javascript-worm-that-vandalized-pages/

6. 俄关联垂钓活动用新恶意软件攻击乌组织

3月5日，，ClearSky钻研汇报披露一路与俄罗斯有关的网络垂钓攻击事务，，该活动通过两种新型恶意软件BadPaw和MeowMeow针对乌克兰组织提议多阶段攻击。攻击链始于一封蕴含ZIP压缩文件链接的垂钓邮件，，邮件通过乌克兰网络服务提供商ukr[.]net发送，，该域名此前曾被俄罗斯攻击活动滥用。受害者点击链接后，，系统会加载追踪像素通知攻击者，，随后重定向至短链接下载ZIP文件。解压ZIP后，，假装成HTML文档的HTA文件会显示乌克兰语钓饵信息，，内容涉及边陲通畅许可申请，，以此糊弄受害者该。同时，，HTA文件通过查抄系统装置日期执行反沙箱检测，，若系统装置不及10天则终止执行。满足前提后，，HTA文件提取其他组件，，通过打算工作成立悠久化衔接，，并利用VBS剧本从图像中提取隐写有效载荷，，最终加载BadPaw加载器。BadPaw作为基于.NET的加载器，，使用.NET Reactor加壳器混合代码，，故障逆向分析。成立C2通讯后，，BadPaw部署MeowMeow复杂后门。该后门具备环境检测职能，，可扫描虚构机及Wireshark、、ProcMon等分析工具，，若发现沙箱环境则立即终场执行。

https://securityaffairs.com/188974/apt/russian-apt-targets-ukraine-with-badpaw-and-meowmeow-malware.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研