2025-06-13 16:41 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
•Google云服务大规模宕机,OpenAI、Shopify等服务受影响
•威胁行为者利用DeepSeek-R1热度攻击Windows用户
•韩国最大票务平台遭勒索软件攻击,娱乐产业陷入混乱
•软银13.7万用户数据因外包商漏洞被泄露
•8万Microsoft Entra ID账户被黑客发起密码喷洒攻击
•苹果修复被Paragon间谍软件利用的iPhone零日漏洞
•WebDAV零日RCE漏洞被APT组织武器化,PoC代码已公开
热点观察
Google云服务大规模宕机,OpenAI、Shopify等服务受影响
Google云服务于6月12日(周四)遭遇重大全球性宕机,导致众多大型互联网服务中断或受到严重影响。根据Google Cloud状态页面显示,此次宕机始于太平洋时间上午10:51,当天晚些时候,Google表示客户"仍在经历不同程度的影响"。
电子商务软件供应商Shopify作为Google云的主要客户,在X平台上发文称"已知悉影响多项服务的问题"。ChatGPT的创建者OpenAI也表示,其单点登录"和其他登录方式"出现了问题,公司工程团队正在努力缓解这些问题。
Google的状态页面显示,此次事件已导致其13项云服务在美国、欧洲和亚洲出现问题。其他受到影响的网络服务还包括Amazon的Twitch、CoreWeave的Weights and Biases、Elastic、GitLab、LangChain、Microsoft的GitHub、Replit和Intuit的Mailchimp。
原文链接:
https://www.cnbc.com/2025/06/12/google-cloud-and-other-internet-services-are-reporting-outages.html
网络攻击
威胁行为者利用DeepSeek-R1热度攻击Windows用户
网络犯罪分子开始利用当前最受欢迎的大语言模型之一DeepSeek-R1的热度,传播针对Windows用户的复杂新型恶意软件。这一恶意活动诱骗不知情的用户下载看似合法的DeepSeek软件,实际却传递了旨在破坏其浏览活动的危险负载。
Securelist分析师将此活动识别为传播一种名为"BrowserVenom"的未知恶意软件变种,这代表了浏览器定向恶意软件的重大演变。攻击始于精心策划的恶意广告活动,当用户搜索"deepseek r1"时,欺诈网站会出现在Google搜索结果的顶部。主要钓鱼网站deepseek-platform[.]com伪装成官方DeepSeek主页,并采用复杂的检测机制识别Windows用户,然后向他们展示一个"立即尝试"按钮,启动感染链。
一旦安装,恶意软件会重新配置所有浏览器实例,将流量路由到位于141.105.130[.]106:37121的攻击者控制的代理服务器,使网络犯罪分子能够拦截、监控和操纵所有网络通信。感染过程通过多阶段部署和社会工程组件展示了非凡的复杂性。用户点击初始"立即尝试"按钮后,会遇到由混淆JavaScript驱动的假CAPTCHA屏幕。完成CAPTCHA后,受害者下载AI_Launcher_1.21.exe,该程序在提供Ollama和LM Studio等合法AI框架的安装选项前,会显示另一个类似Cloudflare风格的欺骗性CAPTCHA。
原文链接:
https://cybersecuritynews.com/threat-actors-leverages-deepseek-r1-popularity/
韩国最大票务平台遭勒索软件攻击,娱乐产业陷入混乱
韩国最大票务平台和在线图书零售商之一Yes24遭遇勒索软件攻击,导致该国娱乐产业陷入混乱。据当地媒体报道,由于服务持续中断,多场活动被迫取消或推迟,主办方正在紧急应对这一危机。
这次攻击发生于6月9日(周一)早间,已导致Yes24的网站和服务连续四天无法访问,严重影响了音乐会在线订票、电子书访问和社区论坛等功能。该公司表示计划在6月15日前恢复全面运营。韩国个人信息保护委员会已对此事件展开调查,因为客户数据可能已被泄露。当局表示将审查Yes24是否履行了韩国数据隐私法规定的法律义务。
据当地媒体报道,Yes24服务中断引发了一系列连锁反应。包括Park Bo-gum、Enhypen、Ateez和说唱歌手B.I在内的K-pop明星和演员的预售活动和演出已被推迟或取消。《廊桥遗梦》和《阿拉丁》等音乐剧的制作方现要求观众出示打印版或电子邮件预订信息才能入场。据报道,本周早些时候,一些观众因无法提供可验证的票务详情而被拒之门外。
Yes24在6月11日(周三)的声明中表示,已重新获得其管理员账户的控制权,并正在努力恢复其他服务。目前尚不清楚攻击背后的威胁行为者身份。公司表示尚未确认个人信息是否外泄,但已向韩国数据隐私机构报告了涉及未授权访问客户数据的可疑活动。
原文链接:
https://therecord.media/yes24-south-korea-ransomware-attack
软银13.7万用户数据因外包商漏洞被泄露
投资控股公司软银(SoftBank)近日披露了一起重大数据泄露事件,通过被入侵的第三方基础设施,137,156名移动用户的个人信息遭到泄露。该事件发生于2024年12月,但直到2025年3月才被发现。
据日本公共广播公司NHK报道,此次安全事件暴露了大量属于软银和Y! Mobile用户的个人身份信息(PII)。被泄露的数据包括客户姓名、住址和电话号码,这些信息存储在承包电信支持业务的外部服务提供商UF Japan的系统中。所幸此次泄露并未涉及更敏感的金融数据。
调查结果显示,UF Japan设施存在多项关键安全控制失效。主要攻击途径涉及数据处理区域的物理访问控制和周边安全措施不足。安全评估发现,徽章访问系统不足、出入记录机制被破坏,以及高安全区域缺乏生物识别认证协议。肇事者被确认为供应链中另一家合作公司的前雇员,利用这些访问控制漏洞获得了对受限区域的未授权物理访问。软银立即终止了与UF Japan的合同关系,并启动了执法咨询程序。
原文链接:
https://cybersecuritynews.com/softbank-databreach/
8万Microsoft Entra ID账户被黑客发起密码喷洒攻击
据网络安全公司Proofpoint研究人员报告,黑客正在利用TeamFiltration渗透测试框架针对全球数百家组织的超过8万个Microsoft Entra ID账户发起攻击,其中有多起成功的账户接管案例。研究人员将这一活动归因于被称为UNK_SneakyStrike的威胁行为者。
这一攻击活动始于去年12月,并已成功劫持多个账户。研究人员表示,攻击活动的高峰出现在1月8日,当天有1.65万个账户成为攻击目标。这种密集攻击后通常会有数天的不活动期。
TeamFiltration是一个跨平台框架,用于枚举、喷洒、窃取和后门入侵Office 365 EntraID账户。它由TrustedSec红队研究员Melvin Langvik于2022年发布。在Proofpoint观察到的UNK_SneakyStrike攻击活动中,TeamFiltration在促成大规模入侵尝试方面发挥了核心作用。威胁行为者针对小型租户中的所有用户,而较大的租户只选择部分用户子集作为目标。攻击者使用分布在多个区域的AWS服务器发起攻击,并利用一个具有Business Basic许可证的"牺牲"Office 365账户滥用Microsoft Teams API进行账户枚举。
Proofpoint建议组织阻止其指标列表中的所有IP地址,并为TeamFiltration用户代理字符串创建检测规则。此外,建议为所有用户启用多因素认证,强制执行OAuth 2.0,并在Microsoft Entra ID中使用条件访问策略。
原文链接:
安全漏洞
苹果修复被Paragon间谍软件利用的iPhone零日漏洞
苹果公司日前修复了一个被用于攻击记者的iPhone零日漏洞,该漏洞被以色列间谍软件公司Paragon开发的Graphite间谍软件所利用。研究人员于6月12日披露,两名欧洲记者的iPhone遭到了黑客攻击。
苹果此前透露,这一被利用的漏洞已在2月10日发布的iOS 18.3.1更新中得到"缓解"。然而,直到本周,该安全更新的公告仅提及了一个无关的漏洞,该漏洞允许攻击者禁用iPhone使手机解锁更加困难的安全机制。6月12日,苹果更新了其2月10日的安全公告,加入了关于这个新漏洞的详细信息,该漏洞当时已被修复但未公开。更新后的公告指出,在处理通过iCloud链接共享的恶意构造的照片或视频时存在逻辑问题,此问题可能已在针对特定目标个人的极其复杂的攻击中被利用。
Paragon间谍软件丑闻始于今年1月,当时WhatsApp通知约90名用户,包括记者和人权活动人士,他们成为了Paragon开发的间谍软件Graphite的攻击目标。4月底,多名iPhone用户收到苹果的通知,提醒他们成为了雇佣间谍软件的攻击目标,但未提及背后的间谍软件公司。Citizen Lab于6月12日发布的调查结果,确认两名收到苹果通知的记者确实被Paragon的间谍软件入侵。
原文链接:
https://techcrunch.com/2025/06/12/apple-fixes-new-iphone-zero-day-bug-used-in-paragon-spyware-hacks/
WebDAV零日RCE漏洞被APT组织武器化,PoC代码已公开
一个WebDAV实现中的严重零日远程代码执行漏洞CVE-2025-33053已被APT组织在针对企业网络的攻击中积极利用,目前其概念验证(PoC)代码已在GitHub上公开。
该漏洞利用恶意URL快捷方式文件结合WebDAV服务器配置,实现在被攻击环境中的初始访问和横向移动。攻击者部署恶意.url快捷方式文件,当用户执行时,这些文件会自动连接到攻击者控制的WebDAV服务器。这种攻击方法对运行启用WebDAV模块的Apache2环境特别有效,因为默认配置通常缺乏足够的访问控制。
安全研究员DevBuiHieu发布了完整的概念验证代码库,展示了漏洞的利用机制。该工具包包含建立WebDAV基础设施和生成恶意快捷方式文件的自动化脚本,如setup_webdav.sh和基于Python的有效载荷生成器gen_url.py。
安全专家建议系统管理员立即审核Apache2 WebDAV配置并实施限制性访问控制。关键缓解步骤包括:禁用不必要的DAV和DAV_FS模块,实施强大的身份验证机制,限制WebDAV访问仅对认证用户开放,部署能够检测和隔离恶意URL快捷方式文件的电子邮件安全解决方案。
原文链接:
https://cybersecuritynews.com/webdav-0-day-rce-vulnerability-poc/
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
