2025-06-11 17:22 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
•一季度全球21.9%工业控制系统遭受攻击,互联网成首要威胁来源
•Salesforce PaaS平台大规模宕机超6小时,众多网站功能受损
•美国德克萨斯州交通部遭数据泄露,30万起事故记录被窃
•FIN6黑客组织伪装成求职者,钓鱼攻击招聘部门
•微软2025年6月补丁星期二修复被利用的零日漏洞及66个安全缺陷
•新发现的安全启动漏洞允许攻击者安装引导套件恶意软件
•PayU插件漏洞允许攻击者接管5000个WordPress站点账户
热点观察
一季度全球21.9%工业控制系统遭受攻击,互联网成首要威胁来源
Kaspersky ICS CERT于6月10日发布的最新报告显示,2025年第一季度全球21.9%的工业控制系统(ICS)计算机遭遇恶意对象攻击,这一数字与上一季度基本持平。
报告强调,互联网已成为所有地区运营技术(OT)基础设施的主要威胁来源。这种普遍性威胁主要源于ICS计算机访问恶意或被入侵的网络资源,以及通过即时通讯工具、云存储和内容分发网络(CDN)传播的内容。从地区分布看,非洲地区受影响ICS计算机比例最高,达29.6%,而北欧地区最低,为10.7%。这种差异凸显了网络安全成熟度的区域不平衡,反映出易受攻击地区在网络安全工具、专业知识和意识方面的系统性投资不足。
具体来看,非洲(12.76%)、东南亚(12.32%)和中亚(9.50%)面临更高的互联网威胁,这些威胁包括被列入黑名单的互联网资源、恶意脚本、钓鱼页面、网络挖矿程序和间谍软件。电子邮件客户端是第二大威胁来源,尤其在南欧(6.76%)、中东(5.17%)和拉丁美洲(4.55%)地区。
Kaspersky的研究结果敦促各行业加强网络安全投资,通过强化边界防御、网络隔离和员工培训,保护关键OT环境免受日益复杂的威胁生态系统侵害。
原文链接:
https://gbhackers.com/new-report-highlights-the-internet-as-the-primary-threat/
Salesforce PaaS平台大规模宕机超6小时,众多网站功能受损
Salesforce旗下的平台即服务(PaaS)提供商Heroku正经历一场持续超过六小时的广泛宕机,导致开发者无法登录平台并破坏了网站功能。Heroku允许开发者将应用程序部署到云端而无需管理基础设施。
宕机始于当地时间周二凌晨,用户报告Heroku应用程序不再工作。此外,宕机还阻止开发者登录Heroku仪表板和使用CLI工具。Heroku在其状态页面上确认了这一事件,并表示目前正在调查中。此次宕机影响了众多公司和网站的广泛服务,例如SolarWinds由于宕机无法摄取日志。使用Heroku应用程序实现各种功能的网站也受到宕机影响,其平台的部分功能不再正常工作。
Heroku后续透露,本次宕机没有恶意活动的证据,客户可以在https://status.salesforce.com/generalmessages/10001540 跟踪更新。在继续实施修复的同时,Heroku还为仍受影响的客户提供了临时解决方案。
原文链接:
网络攻击
美国德克萨斯州交通部遭数据泄露,30万起事故记录被窃
德克萨斯州交通部(TxDOT)近日发布警告,称其数据库遭到入侵,约30万份事故记录被威胁行为者下载。
根据TxDOT公告,此次事件发生在5月12日,攻击者使用被盗凭证登录TxDOT系统。此次泄露的数据可能包括:全名、物理地址、驾驶执照号码、车牌号码、汽车保险单号码以及其他信息,如受伤情况或事故描述等。这些数据的暴露增加了受影响个人遭受社会工程学、诈骗和钓鱼攻击的风险,但目前受影响个人的确切数量尚未公布。
TxDOT已开始向受影响个人发送数据泄露通知,敦促他们提高警惕,防范可能利用被盗信息进行的针对性攻击。虽然通知信收件人未获得身份盗窃保护或信用监控服务,但机构已设立专门支持热线提供帮助。TxDOT保证已阻止攻击者对被入侵账户的未授权访问,并正在实施额外的安全措施。截至发稿时,尚无勒索软件或敲诈勒索组织宣称对此次攻击负责。
原文链接:
FIN6黑客组织伪装成求职者,钓鱼攻击招聘部门
金融犯罪黑客组织FIN6正在实施一种颠覆传统的社会工程攻击:他们改变了典型的就业诈骗模式,不再伪装成招聘人员诱骗求职者,而是反其道而行冒充求职者,利用精心制作的简历和钓鱼网站传递恶意软件攻击招聘人员和人力资源部门。
根据DomainTools的最新报告,FIN6(又称"Skeleton Spider")通过LinkedIn和Indeed等平台向目标发送消息建立初步联系,随后跟进发送精心制作的钓鱼邮件。这些邮件中包含不可点击的"简历网站"URL,迫使收件人手动在浏览器中输入,从而规避检测和拦截。这些域名通过GoDaddy匿名注册,托管在AWS上,利用了这一受信任的云服务通常不会被安全工具标记的特点。攻击中使用的域名包括bobbyweisman[.]com、emersonkelly[.]com和davidlesnick[.]com等,均以虚假身份命名。
FIN6还添加了环境指纹识别和行为检查,确保只有目标才能打开包含其"专业作品集"的登陆页面。VPN或云连接以及从Linux或macOS访问的尝试都会被阻止,并显示无害内容。符合条件的受害者会看到一个假的CAPTCHA步骤,随后被提示下载一个ZIP压缩包,声称包含简历,但实际上包含一个伪装的Windows快捷方式文件(LNK),该文件执行脚本下载"More Eggs"后门程序。该模块化后门能够执行命令、窃取凭证、传递额外的恶意负载和执行PowerShell。
招聘人员和人力资源员工应谨慎对待查看简历和作品集的邀请,特别是要求访问外部网站下载简历的请求。
原文链接:
新型SharePoint钓鱼攻击利用多阶段验证绕过安全防护
安全研究人员发现一波利用Microsoft SharePoint可信平台的复杂钓鱼攻击正在兴起,这些攻击能够绕过传统安全措施,代表着网络威胁战术的重大演变。
据Cyberproof分析师报告,近几周此类攻击显著增加,攻击者利用SharePoint在企业环境中的固有合法性,欺骗用户相信他们正在与真正的Microsoft服务进行交互。这些攻击不再仅仅是简单的凭证收集,而是实施了多阶段验证流程,精确模仿Microsoft的身份验证工作流。
攻击流程始于受害者点击嵌入在令人信服的商业电子邮件中的SharePoint链接。这些链接将用户重定向到请求其电子邮件地址的验证页面。一旦提供了正确的电子邮件,系统会触发向用户邮箱发送合法的Microsoft身份验证码,创建额外的欺骗层,增强攻击的表面合法性。
用户输入这些代码后,SharePoint URL执行其最终重定向到攻击者控制的内容,托管假冒的Microsoft登录页面。这种复杂的多阶段方法使安全分析师的检测变得更加困难,他们可能只观察到初始SharePoint URL点击,而没有识别出随后的恶意重定向链。
原文链接:
https://cybersecuritynews.com/new-sharepoint-phishing-attacks/
安全漏洞
微软2025年6月补丁星期二修复被利用的零日漏洞及66个安全缺陷
微软在2025年6月的补丁星期二更新中修复了66个安全漏洞,其中包括一个已被积极利用的零日漏洞和一个已公开披露的漏洞。本次更新还修复了十个"严重"级别的漏洞,其中八个为远程代码执行漏洞,两个为权限提升漏洞。
本次修复的漏洞类别分布如下:13个权限提升漏洞、3个安全功能绕过漏洞、25个远程代码执行漏洞、17个信息泄露漏洞、6个拒绝服务漏洞和2个欺骗漏洞。此统计不包括本月早些时候修复的Mariner、Microsoft Edge和Power Automate漏洞。
被积极利用的零日漏洞是一个Web分布式创作和版本控制(WebDAV)远程代码执行漏洞,成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。威胁行为者通过操纵Windows内置合法工具的工作目录,使用了一种此前未公开的技术来执行托管在他们控制的WebDAV服务器上的文件。
原文链接:
新发现的安全启动漏洞允许攻击者安装引导套件恶意软件
安全研究人员披露了一个新型安全启动绕过漏洞(CVE-2025-3052),攻击者可利用该漏洞关闭PC和服务器上的安全功能并安装引导套件恶意软件。该漏洞影响几乎所有信任微软"UEFI CA 2011"证书的系统,这基本上包括所有支持安全启动的硬件。
Binarly研究员Alex Matrosov发现了这个漏洞。该漏洞是由一个使用微软UEFI CA 2011证书签名的合法BIOS更新工具引起的。该工具在不进行验证的情况下读取用户可写的NVRAM变量(IhisiParamBuffer)。如果攻击者拥有操作系统的管理员权限,他们可以修改此变量,使任意数据在UEFI启动过程中写入内存位置,这发生在操作系统或内核加载之前。
利用此漏洞,Binarly创建了一个概念验证漏洞利用程序,将"gSecurity2"全局变量清零,该变量用于强制执行安全启动。一旦禁用,攻击者可以安装能够隐藏在操作系统之外并关闭进一步安全功能的引导套件恶意软件。
为修复CVE-2025-3052,微软已将受影响的模块哈希添加到安全启动dbx撤销列表中。Binarly和微软敦促用户立即安装更新的dbx文件以保护其设备。
PayU插件漏洞允许攻击者接管5000个WordPress站点账户
安全研究公司PatchStack近日披露,PayU CommercePro插件中的一个严重漏洞(CVE-2025-31022)使数千个WordPress站点面临风险,该漏洞允许未经身份验证的攻击者劫持用户账户。
该漏洞存在于版本3.8.5中,源于/payu/v1/get-shipping-cost API路由中的不安全逻辑。攻击者可以利用此漏洞冒充任何注册用户,包括站点管理员,而无需登录凭据。漏洞的根本原因是update_cart_data()函数的不安全处理。该函数本应处理订单和运输详情,但它接受用户ID并设置会话数据,而不验证用户身份。由于API调用只检查与硬编码电子邮件(commerce.pro@payu.in)关联的有效令牌,攻击者可以使用另一个暴露的端点/payu/v1/generate-user-token生成有效令牌。利用该令牌,他们可以发送恶意请求,获得对任何现有用户账户的控制权。
攻击路径包括以下关键步骤:
使用受信任的硬编码电子邮件生成认证令牌;
使用目标用户的电子邮件调用运输成本API;
触发易受攻击的update_cart_data()函数;
获取用户的WordPress账户访问权限。
该插件还会删除它创建的临时访客账户,降低被检测的可能性。这为漏洞利用增加了一层隐蔽性,使攻击者在接管后能够保持不被发现。
尽管进行了负责任的披露努力,但在30天的披露窗口后,供应商仍未发布补丁。PatchStack团队建议PayU CommercePro用户停用并删除该插件。
原文链接:
行业动态
ConnectWise因安全隐患更换代码签名证书
ConnectWise正在警告客户,由于安全隐患,该公司将更换用于签署ScreenConnect、ConnectWise Automate和ConnectWise RMM可执行文件的数字代码签名证书。
根据ConnectWise的说明,这一决定是在第三方安全研究人员提出对某些配置数据可能被威胁行为者滥用的担忧后做出的。"这种潜在的滥用与ScreenConnect安装程序的配置处理问题有关,该问题需要系统级访问权限。"ConnectWise强调,此次行动与任何安全事件无关,特别是与上个月遭受的国家级网络攻击无关。
虽然ConnectWise没有分享为何要轮换证书的详细信息,但Sophos研究员Andrew Brandt在4月份警告说,威胁行为者正在使用钓鱼网站推送伪装成社会保障声明的预配置ConnectWise客户端。即使这些安装程序预先配置了攻击者的服务器,它们仍然显示为数字签名,为可执行文件增加了额外的信任。目前尚不清楚这类攻击是否导致了代码签名证书的轮换。建议用户访问供应商的"University页面"下载更新的版本并查找说明和常见问题解答。
原文链接:
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
