ToddyCat攻击手艺升级，，，精准窃取企业邮件

首页 > 清静研究 > 清静转达 > 清静简讯

ToddyCat攻击手艺升级，，，精准窃取企业邮件

宣布时间 2025-11-27

1. ToddyCat攻击手艺升级，，，精准窃取企业邮件

11月25日，，，网络清静研究显示，，，着名威胁行为者ToddyCat团伙正通过新型攻击手段定向窃取企业邮件数据。。。。。。该团伙自2020年起一连活跃，，，主要针对欧洲及亚洲多国组织提倡攻击，，，其手艺手段一直迭代升级。。。。。。焦点攻击链中，，，团伙接纳定制化工具TCSectorCopy，，，通过C++开发实现绕过Outlook运行时会见限制，，，以只读模式挂载磁盘并按扇区顺序复制OST离线存储文件，，，连系开源工具XstReader提取邮件内容。。。。。。针对云效劳场景，，，攻击者使用开源C#工具SharpTokenFinder从内存中抓取Microsoft 365明文JWT令牌，，，遇清静软件阻挡时则改用Sysinternals的ProcDump工具强制dump Outlook历程内存。。。。。。在横向渗透阶段，，，TomBerBil工具通过妄想使命执行PowerShell下令，，，使用SMB协议搜索远程主机浏览器历史纪录、Cookie及凭证。。。。。。只管敏感文件受DPAPI加密，，，但新版TomBerBil可复制用户加密密钥文件，，，连系SID及密码在外地完成解密。。。。。。

https://thehackernews.com/2025/11/toddycats-new-hacking-tools-steal.html

2. 西班牙Travel Club平台遭Everest勒索软件攻击

11月25日，，，运营西班牙着名同盟忠诚度平台Travel Club的西班牙航空里程公司（Air Miles Espa?a）遭遇Everest勒索软件团伙攻击。。。。。。黑客在暗网泄露门户宣布包括完整用户姓名、邮箱及忠诚度妄想数据的CSV文档截图，，，虽公司尚未果真证实，，，但凭证该团伙“完成数据窃取效果真受害机构”的历史纪律，，，声明可信度较高。。。。。。Cybernews已联系平台追求置评，，，将跟进后续回应。。。。。。Travel Club在西班牙拥有超600万用户，，，用户可通过零售、航空、燃油及在线商家相助同伴累积积分，，，相助方涵盖雷普索尔能源、Eroski零售集团、伊比利亚航空等大型品牌，，，在西班牙广告及忠诚度奖励生态中占有焦点职位。。。。。。此次数据泄露影响远超通俗消耗者层面，，，可能波及所有依赖该平台剖析数据与交织推广的营销相助同伴、零售连锁及广告商，，，形成“用户-企业-生态”三级危害链。。。。。。

https://cybernews.com/security/travel-club-spain-everest-ransomware/

3. Money Mart遭Everest勒索软件攻击

11月26日，，，Everest勒索软件组织对北美“当日”金融效劳巨头Money Mart提倡攻击，，，泄露包括客户生意纪录、信用卡详细信息及员工小我私家信息在内的敏感数据。。。。。。该团伙在暗网泄露网站宣布样本，，，声称从“国家钱币市场公司数据库”窃取超8万份内部文件，，，并设定11月30日为联系限期，，，逾期将果真数据至黑客论坛。。。。。。Money Mart作为加拿大Momentum Financial Services Group子公司，，，拥有美加约400家分店，，，提供发薪日贷款、支票兑现等效劳，，，年收入达2400万美元。。。。。。泄露数据类型多样，，，涉及小我私家身份信息、财务数据、系统设置文件、员工名单等。。。。。。例如，，，财务数据包括信用卡16位账号中的10位及信用额度；；；；；；；生意数据涉及支票兑现日期、金额及授权码；；；；；；；员工信息则包括事情邮箱、就业历史等。。。。。。此类数据泄露不但威胁用户隐私，，，更可能引发社会工程学攻击激增、企业面临羁系审查与声誉损失。。。。。。

https://cybernews.com/news/money-mart-breach-everest-ransomware-attack-consumer-financial-data-stolen/

4. 意大利艺术品印刷效劳商Pixtura遭数据泄露

11月25日，，，意大利艺术品印刷效劳商Pixtura遭黑客入侵，，，黑客在数据泄露论坛声称窃取数千银行账号及身份证件。。。。。。Cybernews团队剖析样本后确认，，，泄露数据包括用户电子邮件、哈希密码、全名、电话号码、IBAN及身份证号码，，，但单条纪录未必包括所有信息。。。。。。例如，，，电子邮件地点数目远多于IBAN号码，，，但团队以为泄露的ID具有较高真实性。。。。。。手艺剖析显示，，，部分密码接纳不清静的MD5哈希算法，，，易被破解；；；；；；；部分使用SHA-256，，，虽较MD5清静但仍易受暴力破解；；；；；；；尚有部分接纳清静的Bcrypt算法。。。。。。IBAN泄露用户面临更高危害，，，攻击者可冒充其接受金融账户或实验金融诈骗，，，只管此类操作需特殊信息及起劲。。。。。。团队未发明支付卡信息，，，推测攻击者入侵了客户信息数据库。。。。。。值得注重的是，，，此次事务爆发在“玄色星期五”前夕。。。。。。最新数据显示，，，11月1日以“黑五”为主题的垂纶攻击激增20倍，，，占视察邮件总量的8%。。。。。。

https://cybernews.com/security/fine-art-printing-breach-expose-users/

5. RomCom恶意软件借SocGholish攻击美企

11月26日，，，网络清静公司Arctic Wolf Labs披露，，，名为RomCom的恶意软件家族通过SocGholish JavaScript加载器对美国一家土木匠程公司提倡攻击，，，旨在分发Mythic Agent恶意软件。。。。。。这是首次视察到RomCom有用载荷通过SocGholish举行分发。。。。。。该攻击被中高置信度归因于俄罗斯联邦武装实力总照料部总局（GRU）下属的29155步队。。。。。。值得注重的是，，，受攻击实体已往曾为与乌克兰联系亲近的都会提供效劳。。。。。。SocGholish作为初始会见中介，，，允许其他威胁行为者分发种种有用载荷。。。。。。其攻击链通常通过入侵正当网站推送虚伪浏览器更新提醒，，，诱骗用户下载恶意JavaScript剧本，，，进而装置加载器并获取更多恶意软件。。。。。。此次攻击中，，，虚伪更新有用载荷使威胁行为者能够建设反向shell，，，在受熏染主机上执行侦探活动及安排定制Python后门VIPERTUNNEL。。。。。。同时，，，攻击者还分发了与RomCom相关的DLL加载器，，，用于启动跨平台后渗透框架焦点组件Mythic Agent，，，该组件支持下令执行、文件操作等功效。。。。。。

https://thehackernews.com/2025/11/romcom-uses-socgholish-fake-update.html

6. 伦敦多个市政委员会的IT系统因网络攻击而中止

11月26日，，，克日，，，伦敦肯辛顿和切尔西皇家自治市（RBKC）、威斯敏斯特市议会（WCC）及伦敦哈默史女士和富勒姆区（LBHF）因共享部分IT基础设施，，，同时遭遇网络清静攻击导致效劳中止。。。。。。清静专家凯文·博蒙特推测此为勒索软件攻击，，，但阻止发稿无组织果真认责。。。。。。攻击波及多个系统，，，包括电话线路、在线效劳及联络中心，，，三家机构已启动应急预案，，，关闭部分盘算机系统以阻断进一步损害，，，并接纳“增强步伐”隔离保唬�；；；；；ね�。。。。。。WCC作为英国主要地方政府，，，辖区内有威斯敏斯特宫、白金汉宫等主要地标；；；；；；；RBKC虽为伦敦面积和生齿最小的行政区之一，，，却拥有英国最高人均GDP；；；；；；；LBHF则效劳18万住民。。。。。。RBKC昨日通告称住民无法通过在线效劳或联络中心联系，，，WCC亦证实受统一网络清静问题影响。。。。。。三家机构在网络清静专家及国家网络清静中心协助下，，，正重点保唬�；；；；；は低澈褪荨⒒指聪低臣拔ひπЮ�。。。。。。视察仍在举行中，，，机构正核查是否保存数据泄露，，，并已按程序通知英国信息专员办公室（ICO）。。。。。。

https://www.bleepingcomputer.com/news/security/multiple-london-councils-it-systems-disrupted-by-cyberattack/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究