国际联合行动捣毁Tycoon2FA钓鱼平台
发布时间 2026-03-061. 国际联合行动捣毁Tycoon2FA钓鱼平台
3月4日,欧洲刑警组织协调的国际执法行动近日成功捣毁Tycoon2FA钓鱼即服务(PhaaS)平台。此次行动由微软在私营合作伙伴联盟支持下发起技术中断,拉脱维亚、立陶宛、葡萄牙、波兰、西班牙和英国执法部门执行域名查封等措施,共关闭330个属于犯罪服务机构骨干基础设施的域名,包括控制面板和钓鱼页面。Tycoon2FA自2023年8月起活跃,被网络犯罪分子用于绕过多因素身份验证(MFA)保护,入侵全球近10万个组织的账户。据微软数据,至2025年年中,该平台每月生成数千万封钓鱼邮件,影响超50万个组织,占所有被拦截钓鱼尝试的60%。其技术原理为通过反向代理服务器实时拦截受害者登录凭据和会话cookie,模仿Microsoft 365、OneDrive、Outlook、SharePoint及Gmail等可信品牌登录页面。即使受害者完成正常登录,攻击者仍能劫持已认证会话并绕过MFA保护,除非活动会话和令牌被明确撤销。该平台通过Telegram以120美元10天使用权的价格出售,大幅降低低技能犯罪分子发起复杂MFA绕过攻击的门槛。
https://www.bleepingcomputer.com/news/security/europol-coordinated-action-disrupts-tycoon2fa-phishing-platform/
2. 伊朗无人机袭击亚马逊中东数据中心致云服务中断
3月3日,伊朗本周对亚马逊在阿联酋和巴林的三座数据中心发动无人机袭击,导致中东部分地区云服务中断,地区紧张局势进一步恶化。据亚马逊披露,阿联酋两座数据中心遭无人机“直接击中”,巴林设施因“近距离无人机袭击”受损,共造成约60项亚马逊云服务中断,影响网络流量及依赖云服务的业务运营。此次袭击发生在美以联合打击导致伊朗最高领袖哈梅内伊及多名高级官员身亡后,伊朗随即对阿联酋及邻国展开报复行动,目标不仅包括美军基地,还扩展至机场、酒店及关键油气基础设施。亚马逊声明指出,袭击造成数据中心结构损坏、电力中断,并触发消防系统导致室内水损,当地消防部门在扑灭残骸引发火灾时关闭了电源和发电机,进一步加剧服务中断。亚马逊表示,目前正与地方当局合作优先保障员工安全,并建议中东客户备份关键数据,将应用迁移至其他AWS区域。公司强调,全面恢复取决于受影响基础设施的修复进度,而当前中东持续冲突导致整体运营环境仍不可预测。
https://therecord.media/iran-drone-strikes-hit-amazon-data-centers-gulf
3. 谷歌披露Coruna新型iOS漏洞利用工具包
3月5日,谷歌威胁情报小组(GTIG)发现名为Coruna(别名CryptoWaters)的新型iOS漏洞利用工具包,该工具包针对运行iOS 13.0至17.2.1版本的iPhone,包含五条完整漏洞利用链共23个漏洞程序。Coruna对旧版iOS具有强攻击能力,但对iOS 17.3及以上版本无效,因CVE-2024-23222等漏洞已在17.3中修复。该工具包由监控设备供应商客户首次使用,后被多个威胁组织复用改进。UNC6353在乌克兰发起水坑攻击,中国金融威胁组织UNC6691则通过虚假金融网站部署完整工具包,利用隐藏iFrame投放漏洞程序,暴露活跃的“二手”零日漏洞市场。技术层面,Coruna框架采用独特JavaScript混淆技术,通过设备指纹识别加载对应漏洞程序。其核心包含WebKit远程代码执行(RCE)漏洞利用、指针认证(PAC)绕过模块,以及可重用组件,用于绕过用户态RWX内存分配限制。谷歌已发布入侵指标(IOC)和Yara规则,并将相关域名加入安全浏览保护。
https://securityaffairs.com/188928/security/google-uncovers-coruna-ios-exploit-kit-targeting-ios-13-17-2-1.html
4. Bing AI搜索传播伪造OpenClaw的恶意软件
3月5日,近期,托管检测与响应公司Huntress披露一起新型网络攻击活动:威胁行为者通过伪造GitHub存储库,结合微软Bing的AI增强搜索功能,向试图安装开源AI代理OpenClaw的用户传播信息窃取程序及代理恶意软件。OpenClaw因其能访问本地文件并集成电子邮件、即时通讯等在线服务的功能特性,成为攻击者眼中的“理想载体”。攻击者首先创建恶意GitHub存储库,伪装成OpenClaw官方安装程序,并利用Bing AI在搜索结果中的推荐机制,诱导用户下载。在macOS场景下,用户被引导执行包含Atomic Stealer恶意软件的bash命令,该命令会连接至“puppeteerrr”等独立GitHub仓库,部署包含shell脚本和Mach-O可执行文件的恶意文件。Windows用户则面临“OpenClaw_x64.exe”的传播,该程序会释放多个基于Rust的恶意加载器,在内存中执行信息窃取程序。其中,Vidar窃取程序会通过Telegram和Steam用户资料获取C2数据,而GhostSocks代理则将用户计算机转化为攻击节点,用于路由恶意流量或隐藏攻击痕迹。
https://www.bleepingcomputer.com/news/security/bing-ai-promoted-fake-openclaw-github-repo-pushing-info-stealing-malware/
5. 维基媒体基金会遭JavaScript蠕虫攻击
3月5日,维基媒体基金会遭遇一起由自我传播JavaScript蠕虫引发的安全事件。该蠕虫通过修改用户脚本及破坏Meta-Wiki页面实施攻击,导致约3996个页面被修改、85位用户的common.js文件被替换,最终迫使基金会暂时限制所有项目编辑功能。事件源于俄罗斯维基百科托管的一份恶意脚本test.js,该脚本于2024年3月首次上传,与历史攻击中使用的脚本存在关联。据调查,当日一名维基媒体员工账户在测试用户脚本功能时,可能因有意执行、意外加载或账户被盗触发该脚本,导致其通过已登录用户的common.js及全局MediaWiki:Common.js文件实现自我传播。蠕虫还具备编辑随机页面功能,通过插入隐藏的JavaScript加载器及大尺寸图片破坏页面内容。维基媒体基金会事后声明称,该恶意代码仅活跃23分钟,期间仅对Meta-Wiki内容造成临时更改与删除,无永久性损害或个人信息泄露。目前编辑功能已恢复,基金会正加强安全审查并制定额外防护措施,以降低同类事件风险。
https://www.bleepingcomputer.com/news/security/wikipedia-hit-by-self-propagating-javascript-worm-that-vandalized-pages/
6. 俄关联钓鱼活动用新恶意软件攻击乌组织
3月5日,ClearSky研究报告披露一起与俄罗斯有关的网络钓鱼攻击事件,该活动通过两种新型恶意软件BadPaw和MeowMeow针对乌克兰组织发起多阶段攻击。攻击链始于一封包含ZIP压缩文件链接的钓鱼邮件,邮件通过乌克兰网络服务提供商ukr[.]net发送,该域名此前曾被俄罗斯攻击活动滥用。受害者点击链接后,系统会加载追踪像素通知攻击者,随后重定向至短链接下载ZIP文件。解压ZIP后,伪装成HTML文档的HTA文件会显示乌克兰语诱饵信息,内容涉及边境通行许可申请,以此欺骗受害者该。同时,HTA文件通过检查系统安装日期执行反沙箱检测,若系统安装不足10天则终止执行。满足条件后,HTA文件提取其他组件,通过计划任务建立持久化连接,并利用VBS脚本从图像中提取隐写有效载荷,最终加载BadPaw加载器。BadPaw作为基于.NET的加载器,使用.NET Reactor加壳器混淆代码,阻碍逆向分析。建立C2通信后,BadPaw部署MeowMeow复杂后门。该后门具备环境检测功能,可扫描虚拟机及Wireshark、ProcMon等分析工具,若发现沙箱环境则立即停止执行。
https://securityaffairs.com/188974/apt/russian-apt-targets-ukraine-with-badpaw-and-meowmeow-malware.html
京公网安备11010802024551号