每周安全速递³⁶⁶ | Cephalus组织通过RDP部署勒索软件-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数安标杆｜美创荣登2025中国准独角兽企业100强

2025-11-17

关注 | 国家标准支撑《网络数据安全管理条例》生效施行（v1.0）

2025-11-12

每周安全速递³⁶⁵ | 研究人员剖析新兴网络犯罪联盟SLH

2025-11-12

美创科技蝉联CNNVD技术支撑单位二级

2025-11-12

世界互联网大会｜美创数据安全风险监测智能体发布

2025-11-10

AI大模型+N8N工作流的自动化安全测试流程初探

2025-11-17

每周安全速递³⁶⁵ | 研究人员剖析新兴网络犯罪联盟SLH

2025-11-12

每周安全速递³⁶⁴ | Qilin勒索组织利用Linux载荷和BYOVD入侵

2025-10-31

每周安全速递³⁶³ | 无印良品因物流供应商遭勒索攻击暂停日本网售

2025-10-29

每周安全速递³⁶¹ | XWorm恶意软件新变种带有勒索软件模块和超过35个插件

2025-10-11

每周安全速递³⁶⁶ | Cephalus组织通过RDP部署勒索软件

发布时间：2025-11-17 阅读次数： 57 次

本周热点事件威胁情报

1、Cephalus组织通过RDP部署勒索软件

名为Cephalus的新型勒索软件组织正在利用窃取的远程桌面协议（RDP）凭证，向全球企业发起针对性攻击。这一组织的运作以经济利益为驱动，专门针对那些未启用多因素身份验证（MFA）的RDP服务，利用其安全漏洞进行入侵。一旦成功入侵，Cephalus会迅速窃取敏感数据，并在受害者的系统上部署其定制的勒索软件。该软件以Go语言开发，具有复杂的反取证和规避机制，能够关闭Windows Defender、删除卷影副本，并终止关键服务。

参考链接：
https://cybersecuritynews.com/cephalus-ransomware-rdp-credentials/

2、研究人员破解Midnight勒索软件

威胁研究团队宣布，他们成功破解了一种新型勒索软件——Midnight，并发布免费的解密器，旨在帮助受害者恢复被加密文件，而无需支付赎金。研究显示，这种勒索软件是基于泄露的Babuk勒索软件源代码构建的，存在重大安全漏洞。尽管Midnight的设计意图是提升加密的速度和强度，但实际上却引入了安全性缺陷，使得其加密实现受到削弱。研究人员利用这一漏洞，开发出了解密器，支持32位和64位Windows系统。

参考链接：
https://hackread.com/norton-midnight-ransomware-free-decryptor/

3、DragonForce勒索软件攻击制造业

勒索软件即服务（RaaS）平台DragonForce近期对某制造业企业发起链式攻击。攻击者初期利用OpenVAS扫描器进行内网侦察，针对管理员账户实施暴力破解并首次成功调用"administrator"凭证。沉寂八天后，威胁升级，受控设备通过SSH协议向俄罗斯Proton66托管的恶意IP 45.135.232[.]229大规模外泄数据，随后通过SMB协议部署加密程序，为文件添加.df_win扩展名并留下readme.txt勒索信。尽管Darktrace早期即监测到网络扫描、异常Winreg操作及凭证滥用等多阶段攻击特征，但因客户未启用自动响应机制，导致防御失效。

参考链接：
https://www.darktrace.com/blog/tracking-a-dragon-investigating-a-dragonforce-affiliated-ransomware-attack-with-darktrace

4、恶意VS Code扩展程序内置勒索软件功能

Visual Studio Code扩展市场出现首个由AI生成的勒索软件扩展"susvsex"。该恶意扩展由"suspublisher18"发布，尽管名称与描述极具可疑性，仍通过审核上线。其利用GitHub私有仓库作为命令与控制通道，加密特定目录文件并外泄数据。安全分析显示，代码带有明显Vibe生成痕迹，且开发失误导致C2服务器代码与解密工具一同被打包，通过硬编码的GitHub PAT令牌可溯源至巴库地区的开发者。目前扩展仅针对测试目录，但可通过更新或远程指令扩大攻击范围。