2025-06-17 16:20 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
•美媒称其记者遭到可能来自国外的网络攻击,我外交部回应
•学术申请背后的风险: 境外间谍"钓鱼"邮件瞄准我国关键领域
•警惕:Scattered Spider黑客组织将目标转向美国保险行业
•黑客组织通过投毒GitHub仓库攻击信息安全专业人员
•共享汽车巨头Zoomcar遭黑客攻击,840万用户数据泄露
•华盛顿邮报遭黑客攻击,多名记者电子邮箱被入侵
•Katz Stealer恶意软件升级:增强凭证窃取能力并实现系统持久化
•Anubis勒索软件结合加密与擦除功能,使支付赎金后恢复数据成为不可能
•AI安全风险:MCP Inspector工具曝严重远程代码执行漏洞
•ASUS Armoury Crate软件漏洞允许攻击者获取Windows管理员权限
特别关注
美媒称其记者遭到可能来自国外的网络攻击,我外交部回应
6月16日,外交部发言人郭嘉昆主持例行记者会。
彭博社记者提问,《华盛顿邮报》正在调查一起针对其部分记者电子邮件账户的网络攻击事件,并援引匿名消息人士的话称,此次黑客攻击可能是外国政府所为。报道称,包括报道中国新闻在内的国家安全和经济政策团队的记者都成为了攻击目标。请问中方对此有何评论?
“我不了解你提到的具体情况。”郭嘉昆表示,网络攻击是各国面临的共同的挑战,中方一贯坚决反对并依法打击各种形式的网络攻击,愿意通过对话合作与各方一道共同应对网络威胁。
原文链接:
https://mp.weixin.qq.com/s/p4-EBq34DlFNPQdWdq2PjA
学术申请背后的风险: 境外间谍"钓鱼"邮件瞄准我国关键领域
“国家安全部”微信公众号6月17日公布一则境外间谍企图针对我国科研机构的网络"钓鱼"案例。
在这起典型案例中,某知名大学前沿科技领域专家杨教授收到一封署名"小王"的"研究申请"邮件。邮件内容措辞模糊,附件为加密Word文档"简历"。当杨教授询问研究领域时,对方直接回复"舰船装备",引起高度警觉。杨教授立即向国家安全机关举报。
经查,该邮件带有双重窃密目的。境外间谍情报机关企图以“研究申请”邮件名义定向勾连套取我国防军工领域敏感信息,如目标对象警惕意识不足,则可能落入对方圈套。但更值得注意的是,其名为“简历”的附件实际内置了境外间谍情报机关专研的木马程序,一旦目标对象打开文档,便会触发木马程序,攻击者可轻易控制该计算机并任意窃取其中的数据资料。
国家安全机关提醒,近年来,境外间谍情报机关频繁使用“钓鱼”邮件的手段开展网攻窃密,目标直指我党政机关、国防军工单位、高校、科研院所等核心要害部门,试图窃取我重要敏感领域信息,手法复杂多变,迷惑性极强,威胁我国家安全,需引起高度重视。
原文链接:
https://mp.weixin.qq.com/s/LEBFq1wIh9Klo6rt5XPXXg
热点观察
警惕:Scattered Spider黑客组织将目标转向美国保险行业
谷歌威胁情报组(GTIG)近日警告,多家美国保险行业公司遭到黑客入侵,攻击者使用了与Scattered Spider黑客组织完全一致的战术手法。GTIG首席分析师John Hultquist警告称,由于该组织通常一次专注于一个行业,保险行业应当高度警惕,特别是针对服务台和呼叫中心的社会工程学攻击尝试。
Scattered Spider是一个松散的威胁行为者联盟,以复杂的社会工程学攻击绕过成熟的安全系统而闻名。该组织也被称为0ktapus、UNC3944、Scatter Swine、Starfraud和Muddled Libra,曾与多起高调组织的数据泄露事件有关。其攻击手法混合了钓鱼、SIM卡交换和MFA疲劳轰炸等技术获取初始访问权限,后期则部署RansomHub、Qilin和DragonForce等勒索软件。
针对此类威胁,GTIG建议组织应全面监控基础设施、身份系统和关键管理服务,隔离身份并使用强认证标准,同时对密码重置和MFA注册实施严格的身份控制。由于Scattered Spider依赖社会工程学,组织应教育员工和内部安全团队警惕通过各种渠道(短信、电话、消息平台)的冒充尝试,这些尝试有时会使用恐吓性语言迫使目标就范。
原文链接:
网络攻击
黑客组织通过投毒GitHub仓库攻击信息安全专业人员
Trend Micro研究人员近日发现一个新兴威胁组织"Water Curse"正在通过武器化GitHub仓库,提供看似合法的渗透测试和其他安全工具,实则通过恶意构建脚本和项目文件传递恶意软件。Water Curse主要针对依赖开源工具的供应链,特别是网络安全专业人员、游戏开发者和DevOps团队。
Water Curse组织自2023年3月开始活动,至今已使用至少76个GitHub账户作为武器化仓库的传播平台。攻击者将恶意软件伪装成合法的渗透测试工具,在Visual Studio项目配置文件中嵌入各种恶意软件,包括SMTP电子邮件轰炸机和Sakura-RAT。典型的攻击场景始于GitHub上托管的包含嵌入式恶意软件的开源项目文件。恶意负载通过GitHub的标准端点codeload.github.com域上的zip归档下载传递。项目文件在<PreBuildEvent>标签内包含恶意批处理文件代码片段,该代码在编译过程中触发。嵌入的恶意代码部署VBScript进入下一阶段,释放并执行基于PowerShell的第二阶段脚本。该脚本使用自定义密钥派生例程执行解密或加载额外的负载。
恶意软件执行凭证访问、系统枚举和数据分段以便窃取,功能包括:收集Chrome、Edge和Firefox等浏览器配置文件中的密码、自动填充数据、浏览历史记录、Cookie、书签和下载等敏感用户数据;窃取GitHub和ChatGPT的会话信息;创建有组织的暂存目录;使用7-Zip打包数据并准备RDP配置文件,可能用于后续远程访问或横向移动。
鉴于该活动的高度复杂性和混淆性,安全专家建议组织需要加强开发人员、DevOps团队和渗透测试人员的安全意识和习惯。Trend Micro建议组织鼓励团队验证所有第三方代码,并在可行的情况下使用内部代码仓库。
原文链接:
共享汽车巨头Zoomcar遭黑客攻击,840万用户数据泄露
印度共享汽车市场平台Zoomcar近日披露,该公司遭遇黑客攻击,导致至少840万用户的个人数据被非法访问,包括用户姓名、电话号码和车辆注册号码等信息。
根据Zoomcar向美国证券交易委员会(SEC)提交的文件显示,公司于6月9日发现其信息系统遭到未授权访问。事件曝光源于公司员工收到自称获取了公司数据的威胁行为者的外部通信。该公司声明中指出,目前"没有证据表明财务信息、明文密码或其他敏感标识符"在此次数据泄露中被泄露。作为应对措施,Zoomcar已在云端和内部网络实施了"额外的安全防护措施,加强了系统监控,并审查了访问控制"。此外,该公司正与第三方网络安全专家合作,并已通知相关监管和执法机构,全力配合调查。
成立于2013年的Zoomcar允许客户按月、周、日和小时租车,目前在印度、埃及、印度尼西亚和越南等99个城市运营,拥有超过25,000辆汽车和1000多万用户。截至目前,Zoomcar尚未公开表示是否已通知受影响的客户,以及是否掌握黑客的相关信息。
原文链接:
华盛顿邮报遭黑客攻击,多名记者电子邮箱被入侵
华盛顿邮报上周末证实,该媒体的电子邮件系统遭遇网络攻击,导致多名记者的邮箱账户被黑客入侵。
此次攻击于周四晚间被发现,主要影响了使用Microsoft电子邮件账户的记者,特别是那些负责报道国家安全和经济政策的记者。初步调查显示,只有"有限数量"的账户受到影响,相关人员已收到通知。此次入侵可能使攻击者获取了被入侵账户的收发邮件内容。在发现入侵后,华盛顿邮报的IT和安全团队立即采取行动,强制重置了所有员工的登录凭证,并启动了取证调查以评估入侵的完整范围。目前尚无证据表明其他内部系统或客户数据受到影响。
值得注意的是,这次事件是近期针对主要新闻机构的一系列网络攻击中的最新一起。此前,《华尔街日报》和新闻集团也曾遭遇类似入侵,报道敏感话题的记者通常是网络攻击的频繁目标。华盛顿邮报目前正与网络安全专家合作,加强防御措施并确保其员工数字通信的安全。对攻击来源和范围的调查仍在进行中。
原文链接:
https://gbhackers.com/washington-post-hacked/
Katz Stealer恶意软件升级:增强凭证窃取能力并实现系统持久化
2025年,新型高级信息窃取恶意软件Katz Stealer已经浮出水面,该恶意软件展示了先进的凭证窃取能力,并结合创新的持久化机制,特别针对Discord等流行应用程序。
据Picus Security研究人员报告,这款恶意软件即服务(MaaS)平台主要通过钓鱼活动和伪装软件下载进行传播,采用多阶段感染链,初始阶段使用隐藏在GZIP归档中的高度混淆JavaScript投递器。该恶意软件利用类型强制和多态字符串构造等复杂混淆技术,有效规避静态分析和自动检测系统。Katz Stealer具备先进的系统指纹识别功能,能够检测并避开分析环境。它执行全面的地理围栏检查,专门针对独联体(CIS)国家以外的系统,同时评估屏幕分辨率、BIOS信息和系统运行时间等特征,以识别潜在的沙箱或虚拟机环境。该恶意软件的攻击范围广泛,针对超过78种浏览器变体进行凭证提取,同时还攻击加密货币钱包应用、消息平台和电子邮件客户端。它能够通过复杂的浏览器注入技术绕过Chrome的应用程序绑定加密(ABE),同时收集会话令牌、保存的密码和信用卡信息。
Katz Stealer最具创新性的特点是其操纵Discord桌面应用程序建立持久后门访问的能力。恶意软件通过定位Discord的安装目录并修改app.asar归档,特别是在index.js文件中注入恶意代码,该代码在Discord启动过程中执行。注入的代码通过看似合法的Discord网络活动与攻击者控制的基础设施建立隐蔽通信渠道,使用自定义User-Agent字符串模仿Chrome浏览器流量,同时包含独特的"katz-ontop"标识符。这种持久化机制特别有效,因为Discord通常在系统启动时自动运行,即使主要恶意软件进程终止,也能自动重新建立后门连接,为攻击者提供可靠的系统访问方式。
原文链接:
https://cybersecuritynews.com/katz-stealer-enhances-credential-theft-capabilities/
Anubis勒索软件结合加密与擦除功能,使支付赎金后恢复数据成为不可能
Trend Micro研究人员近日发现了一种新兴勒索软件Anubis,它不仅能加密文件,还能永久擦除文件内容,被描述为"罕见的双重威胁"。Anubis自2024年12月开始活跃,已在澳大利亚、加拿大、秘鲁和美国的医疗、酒店和建筑行业造成多起受害案例。
该勒索软件具有擦除模式,可以永久删除文件内容,即使支付赎金也无法恢复数据。Anubis运行灵活的会员计划,提供可协商的收入分成,并支持额外的变现途径,如数据勒索和访问权销售。
Anubis的攻击链通常以钓鱼邮件作为初始访问载体,威胁行为者利用立足点提升权限、进行侦察,并采取措施删除卷影副本,然后加密文件,必要时擦除文件内容。这意味着文件大小会被减少到0 KB,同时保留文件名或扩展名不变,使恢复变得不可能,从而对受害者施加更大压力以促使其支付赎金。
原文链接:
https://thehackernews.com/2025/06/anubis-ransomware-encrypts-and-wipes.html
安全漏洞
AI安全风险:MCP Inspector工具曝严重远程代码执行漏洞
近日,一个在MCP Inspector工具中的安全漏洞(CVE-2025-49596)被披露。该漏洞允许未经身份验证的远程代码执行(RCE),对AI应用程序开发者构成严重威胁。
Machine Context Protocol(MCP)是一项突破性的开放标准,允许AI应用程序与外部工具和数据源无缝对接,类似于AI的"USB-C接口"。受影响的MCP Inspector是一款用于检查和调试MCP服务器的开发者工具。在0.14.1版本之前,Inspector的代理服务器未能强制执行客户端与服务器之间的身份验证。这一疏忽允许未经身份验证的用户通过标准输入输出(stdio)发送MCP命令,从而导致完全的远程代码执行风险。
攻击者若能访问网络暴露的MCP Inspector,可能利用此漏洞:在主机上运行任意命令;操纵或污染AI模型的输入/输出流;窃取模型推理中使用的敏感数据;提升对通过MCP连接的集成工具的访问权限。这在开发环境中尤其危险,因为AI工具通常会使用真实的生产数据进行测试,并与更广泛的系统集成。
MCP Inspector v0.14.1版本已修复此漏洞,实现了适当的身份验证机制以防止未授权的代理访问。安全专家建议正在运行较旧版本的MCP Inspector的用户立即更新并检查工具的外部暴露情况,确保其不会被不受信任的网络访问。
ASUS Armoury Crate软件漏洞允许攻击者获取Windows管理员权限
安全研究人员发现,ASUS Armoury Crate系统管理软件中存在一个高危安全缺陷,可能允许威胁行为者在Windows机器上将权限提升至SYSTEM级别。
根据Talos的安全公告,问题出在AsIO3.sys驱动程序的授权验证机制上。该驱动程序基于AsusCertService.exe的硬编码SHA-256哈希值和PID允许列表来验证调用者,而非使用适当的操作系统级访问控制。攻击者可通过创建从良性测试应用到伪造可执行文件的硬链接来利用此缺陷。攻击过程包括:启动应用程序,暂停它,然后将硬链接切换为指向AsusCertService.exe。当驱动程序检查文件的SHA-256哈希值时,它会读取现在链接的受信任二进制文件,从而允许测试应用绕过授权并获得对驱动程序的访问权限。这使攻击者获得低级系统权限,直接访问物理内存、I/O端口和模型特定寄存器(MSRs),从而可能完全控制操作系统。值得注意的是,攻击者必须已经在系统上(通过恶意软件感染、钓鱼或已被入侵的非特权账户)才能利用此缺陷。
ASUS公告指出,该缺陷影响Armoury Crate 5.9.9.0至6.1.18.0之间的所有版本,并强烈建议用户通过打开Armoury Crate应用,进入"设置">"更新中心">"检查更新">"更新"来应用最新更新。
原文链接:
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
