本周热点事务威胁谍报
1、XWorm恶意软件新变种带有勒索软件?楹统35个插件
近期网络安全公司Trellix汇报称,XWorm远控木马在经历开发者XCoder去年烧毁项目后再次活跃,最新版本6.0、6.4与6.5正被多方威胁行为者用于垂钓攻击传布。新版XWorm占有超过35个插件,职能涵盖数据窃取、远程节造、文件加解密等多种恶意操作,并新增勒索?椤癛ansomware.dll”,可加密用户文档并显示赎金要求。钻研发现,该?橛2021年出现的NoCry勒索软件在加密算法及反分析机造上存在高度类似性。此表,XWorm的传布方式也越发多样,除传统邮件与LNK文件表,还利用假装为合法利用的可执行文件、恶意JavaScript剧本以及AI主题垂钓文档实现习染链扩大,显示其在网络犯罪圈的再度活跃与演化趋向。
参考链接:
https://www.trellix.com/blogs/research/xworms-evolving-infection-chain-from-predictable-to-deceptive/
2、GoAnywhere关键缝隙遭勒索软件攻击
微软近日确认,网络犯罪团伙Storm-1175在利用GoAnywhere MFT文件传输工具的高危缝隙CVE-2025-10035提议Medusa勒索攻击。该缝隙源于License Servlet组件的反序列化缺点,可被远程低复杂度攻击利用,无需用户交互。钻研显示,攻击者自9月11日起即滥用此缝隙获取初始接见权限,并通过远程监控工具SimpleHelp与MeshAgent维持悠久节造,随后利用Netscan进行横向移动和系统窥伺,最终部署Medusa勒索法式加密受害者数据。微软指出,有关活动已波及多家机构,且与此前利用VMware ESXi缝隙的攻击手法类似。为防御此类威胁,微软与Fortra均建议治理员当即升级至最新版GoAnywhere,并查抄日志中是否出现SignedObject.getObject仓库谬误以确认系统是否遭入侵。
参考链接:
https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/
3、LockBit、Qilin和DragonForce联手主宰勒索软件生态系统
ReliaQuest汇报显示,LockBit、Qilin与DragonForce三大勒索组织近日颁发结成同盟,意图整合伙源、共享基础设施,以提升攻击效能并坚韧在勒索生态中的主导职位。这次合作紧随LockBit在2024年被取缔后沉返网络之际,被视为其沉建名誉、复原与加盟者信赖的沉要行动。分析指出,同盟可能引发针对关键基础设施的新一轮攻击潮,扩大威胁领域。Qilin在2025年第三季度单季攻击超200起,成为最活跃的勒索组织;LockBit亦颁布可攻击Windows、Linux与ESXi系统的5.0版本。安全钻研者忠告,这次同盟或预示勒索生态进一步专业化与全球扩张趋向,尤其针对北美及新兴市场国度的攻击风险上升。

参考链接:
https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q3-2025
4、Salesforce回绝向黑客支付数据勒索赎金
客户关系治理巨头Salesforce证实,将不会与黑客组织“Scattered Lapsus$ Hunters”交涉或支付任何赎金。该组织此前通过社会工程与OAuth滥用发起多轮攻击,从Salesforce客户事俘中窃取近10亿条数据,并在数据泄露站上勒索蕴含谷歌、迪士尼、丰田、万豪、麦当劳等39家驰名企业。攻击活动分两阶段进行:一是假意IT人员诱骗员工授权恶意OAuth利用,二是利用被盗的SalesLoft Drift令牌接见客户CRM系统并表泄数据。Salesforce暗示,只管威胁谍报显示攻击者打算公开泄露数据,但公司将对峙回绝支付赎金。当前泄露站点已被关关,疑似由FBI收受。
参考链接:
https://www.bloomberg.com/news/articles/2025-10-07/salesforce-tells-clients-it-won-t-pay-hackers-for-data-extortion