index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本文汇总了近期发生的多起网络安全事件,包括CNCERT关于BlackMoon僵尸网络的风险提示、TikTok出售期限的再次延长、支付巨头Paddle因纵容技术支持骗局被罚款、Instagram上出现的AI深度伪造广告诈骗、斯堪尼亚遭受网络攻击导致数据泄露以及多个软件的严重漏洞,如GerriScary、LangSmith、Veeam以及Sitecore CMS的漏洞。这些事件涵盖了DDoS攻击、钓鱼诈骗、勒索软件攻击、供应链攻击等多种威胁,提醒用户加强安全防护。
⚠️ CNCERT发布风险提示,指出BlackMoon变种HTTPBot僵尸网络通过伪装成记事本等程序的木马文件进行传播,利用钓鱼方式诱导用户执行,进而对目标服务器的HTTP业务端口开展DDoS攻击。该木马基于Go语言开发,具有硬编码C&C服务器域名、隐蔽运行、通过注册表实现自启动等特征。
💰 支付巨头Paddle因未能充分筛查客户和预防欺诈,导致Restoro、Reimage和PC Vark等外国运营商利用其平台进行技术支持骗局。FTC对其处以500万美元罚款,并禁止其为技术支持电话营销商处理付款。
🎭 Instagram上出现了大量AI深度伪造广告,冒充加拿大银行进行钓鱼攻击。这些广告利用AI生成的深度伪造视频,诱导用户提供个人金融信息,安全专家建议用户谨慎点击社交媒体广告,并验证链接是否为官方域名。
🛡️ 瑞典汽车制造巨头斯堪尼亚遭受网络攻击,攻击者窃取了保险理赔文件。攻击者利用被盗凭证入侵其金融服务系统,并使用@proton.me电子邮件地址进行勒索,相关调查已经启动。
💻 多个软件存在严重漏洞:GerriScary漏洞允许攻击者入侵ChromiumOS等18个谷歌项目;LangSmith漏洞可被利用窃取OpenAI密钥和用户数据;Veeam修复了严重RCE漏洞,域用户可入侵备份服务器;Sitecore CMS被曝存在可导致完整RCE的链式漏洞。
2025-06-18 16:11 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
•CNCERT提醒:防范BlackMoon变种HTTPBot僵尸网络的风险•特朗普再次延长TikTok出售期限90天•支付巨头Paddle因纵容技术支持骗局向FTC缴纳500万美元罚金•Instagram现大量AI深度伪造广告冒充加拿大银行发起钓鱼攻击•大众集团旗下斯堪尼亚遭网络攻击,保险理赔数据被盗后遭勒索•"GerriScary"漏洞允许攻击者入侵ChromiumOS等18个谷歌项目•LangSmith漏洞可通过恶意代理窃取OpenAI密钥和用户数据•Veeam修复严重RCE漏洞,域用户可入侵备份服务器•Sitecore CMS被曝存在可导致完整RCE的链式漏洞
特别关注
CNCERT提醒:防范BlackMoon变种HTTPBot僵尸网络的风险
国家互联网应急中心(CNCERT)6月18日发布《关于BlackMoon变种HTTPBot僵尸网络的风险提示》,指出CNCERT监测发现一种名为HTTPBot的DDoS僵尸网络。该僵尸网络控制者通过钓鱼等方式诱导Windows主机用户运行伪装成记事本等程序的木马文件,劫持Windows主机后通过C&C控制服务器向被劫持主机发送控制指令,对目标服务器的HTTP业务端口开展攻击。专家分析认为,这是BlackMoon僵尸网络的变种。
该木马基于Go语言开发,主要特征包括:硬编码C&C服务器域名(jjj.jjycc.cc,解析为104.233.144.23)、隐蔽运行、通过注册表实现自启动、与C&C服务器保持通信等。木马通常以类似Windows记事本程序的文件名(如notepadl.exe、notepar.exe)进行传播,通过钓鱼方式诱导用户执行。
HTTPBot内置7种针对HTTP协议的DDoS攻击模式,包括HttpAttack、HttpAutoAttack、HttpsFpDIAttack、WebSocketAttack、POSTAttack、BrowserAttack和CookieAttack。这些攻击模式采用动态混淆技术,使攻击流量与普通业务流量难以区分,并能绕过多种防护机制。
监测数据显示,2025年5月15日至6月9日期间,C2地址日通信IP数最高达33543个,平均27514个,累计有31.7万个IP地址与C2地址通信。CNCERT建议各单位、广大网民开展木马查杀,不点击来历不明的应用程序;封堵C&C控制服务器的域名解析请求,封禁与C&C控制服务器的网络连接。
原文链接:https://mp.weixin.qq.com/s/HfZyjIBsFCsBFrHCN85PuA
热点观察
特朗普再次延长TikTok出售期限90天
美国白宫6月17日宣布,美国总统唐纳德·特朗普将再次给予短视频应用TikTok临时缓刑,使其有更多时间寻找买家以继续在美国运营。特朗普第三次延长禁令执行期限。
这款由字节跳动有限公司拥有的应用程序,多年来一直被美国视为安全隐患。根据2024年通过的立法,TikTok被要求剥离所有权或面临在美国的禁令,当时该应用在美国拥有约1.7亿用户。最初截止日期为1月19日,尽管该应用曾在谷歌和苹果应用商店中被移除导致一个月的暂停使用,但特朗普随后签署了一项行政命令延迟了禁令。目前尚不清楚该应用是否会被出售给美国公司。此前曾有Oracle接管美国业务的方案,但似乎未能实现;而通过X Corp收购该应用的可能性也未能起步。中美关税战进一步加大了不确定性。
考虑到该应用的巨大人气,以及估计有700万美国小企业使用该平台,在美国全面禁止将是一项极不受欢迎的举措。据TikTok表示,2024年该平台为美国经济贡献了242亿美元。
原文链接:https://www.cnbc.com/2025/06/17/trump-to-extend-tiktok-deadline-for-third-time-another-90-days.html
支付巨头Paddle因纵容技术支持骗局向FTC缴纳500万美元罚金
英国支付处理商Paddle.com及其美国子公司将支付500万美元,与美国联邦贸易委员会(FTC)达成和解,终止对其促成欺诈性技术支持计划的指控。
FTC调查显示,Paddle未能对客户进行充分筛查和欺诈预防,使Restoro、Reimage和PC Vark等外国运营商得以利用美国信用卡系统。这些公司通过虚假病毒警报和弹窗,常冒充Microsoft或McAfee,诱导消费者购买不必要的软件或技术支持服务,并通过未授权的订阅续费收费。
数据显示,Paddle为PC Vark处理了1250万美元交易,尽管其拒付率超过7%;同时为Restoro和Reimage处理了超过3700万美元的交易。FTC指控Paddle内部通信表明公司知晓这些欺诈活动,并采用Ethoca和Verifi等工具在交易被正式报告前主动退款,掩盖真实欺诈率。
根据和解协议,Paddle将被禁止为技术支持电话营销商处理付款,禁止协助欺骗性商家规避欺诈检测,并需要对客户进行筛查和监控。Paddle发表声明称,他们不会与被指控使用欺骗性行为的公司合作。
原文链接:https://www.bleepingcomputer.com/news/security/paddle-settles-for-5-million-over-facilitating-tech-support-scams/
网络攻击
Instagram现大量AI深度伪造广告冒充加拿大银行发起钓鱼攻击
Instagram平台上出现了大量冒充加拿大蒙特利尔银行(BMO)和EQ Bank(Equitable Bank)的欺诈广告,利用AI深度伪造技术和官方品牌形象来诱骗用户提供个人金融信息。
安全研究人员发现,这些广告通常采用两种手法:一种是模仿银行官方品牌和配色方案,承诺非常可观的利率(如4.5%),点击后会跳转至钓鱼网站;另一种是使用AI生成的深度伪造视频,冒充BMO首席投资策略师Brian Belski,诱导用户加入所谓的"私人WhatsApp投资群组"。值得注意的是,这些诈骗广告账户在Instagram上并不存在,而是通过Facebook页面操作。诈骗者巧妙地重新利用现有Facebook页面(如"BMO Belski"页面原名为"Brentlinger Matt Blumm"),以规避新创建账户可能引发的怀疑。
尽管相关欺诈广告已被举报,但Instagram仍未及时删除。安全专家建议用户谨慎点击社交媒体广告,即使它们看似来自正规机构,并验证所有链接是否为官方域名。
原文链接:https://www.bleepingcomputer.com/news/security/instagram-bmo-ads-use-ai-deepfakes-to-scam-banking-customers/
大众集团旗下斯堪尼亚遭网络攻击,保险理赔数据被盗后遭勒索
瑞典汽车制造巨头斯堪尼亚(Scania)近日证实遭遇网络安全事件,威胁行为者利用被盗凭证入侵其金融服务系统,窃取了保险理赔文件。
斯堪尼亚是一家隶属于大众集团的重型卡车、客车,以及工业和船舶发动机制造商。上周末,威胁监控平台Hackmanac在黑客论坛上发现,一名自称"hensi"的攻击者公开兜售据称从"insurance.scania.com"窃取的数据,并声明这些信息仅面向单一买家独家交易。斯堪尼亚证实,攻击者于5月28日利用被信息窃取恶意软件盗取的外部IT合作伙伴凭证入侵了其系统,获取了用于保险目的的系统访问权限。保险理赔文档可能包含个人和敏感的财务或医疗数据,因此这一事件可能对受影响者产生重大影响。
入侵后,攻击者使用@proton.me电子邮件地址直接联系斯堪尼亚员工进行勒索,随后在黑客论坛上发布了被盗数据样本。受影响的应用程序目前已无法在线访问,相关调查已经启动。同时,斯堪尼亚表示已就此事件通知了隐私保护机构。
原文链接:https://www.bleepingcomputer.com/news/security/scania-confirms-insurance-claim-data-breach-in-extortion-attempt/
安全漏洞
"GerriScary"漏洞允许攻击者入侵ChromiumOS等18个谷歌项目
安全研究人员发现了一个被命名为"GerriScary"的关键供应链漏洞(CVE-2025-1568),该漏洞可能允许攻击者向至少18个主要谷歌项目注入恶意代码,包括ChromiumOS、Chromium、Dart和Bazel等。
GerriScary漏洞利用三个相互关联的组件实现未授权代码提交:首先,Gerrit的默认配置向所有注册用户授予"addPatchSet"权限,允许任何拥有谷歌账户的人修改现有代码更改;其次,易受攻击的项目在"Copy Conditions"设置中存在逻辑缺陷,这些设置决定了先前代码审查的批准标签是否会延续到新版本;攻击者可以利用与自动提交机器人之间的竞争条件,在标有"Commit-Queue +2"的代码更改被自动合并前的短暂时间窗口内注入恶意代码。
在ChromiumOS和Dart仓库中,这个时间窗口约为五分钟,而其他谷歌仓库仅提供几秒到几分钟的时间。研究人员通过分析尝试修改提交消息时的HTTP响应代码来识别易受攻击的项目,"209"状态码表明存在所需权限且不会在项目日志中留下可疑记录。受影响的项目涵盖多个领域,包括ChromiumOS(Chrome OS设备的基础)、Dart(Flutter的编程语言)、Dawn和BoringSSL(Chromium第三方依赖)、Bazel(谷歌的构建系统)以及Gerrit本身等。
谷歌已迅速响应并实施了多项修复措施,包括重新配置受影响项目的标签持久性设置,确保新补丁集需要重新进行代码审查和验证,并从注册用户中移除"addPatchSet"权限。
原文链接:https://cybersecuritynews.com/gerriscary
LangSmith漏洞可通过恶意代理窃取OpenAI密钥和用户数据
网络安全研究人员近日披露了LangChain的LangSmith平台一个已修复的安全漏洞"AgentSmith",该漏洞可被利用捕获敏感数据,包括API密钥和用户输入内容。攻击者可利用窃取的OpenAI API密钥未经授权访问受害者的OpenAI环境,导致模型盗窃和系统提示泄露等严重后果,甚至消耗组织的API配额,增加账单成本。
LangSmith是一个用于开发、测试和监控大语言模型(LLM)应用的可观察性和评估平台,同时提供LangChain Hub作为公开提示、代理和模型的存储库。AgentSmith 攻击流程是:攻击者首先创建一个AI代理,并通过Proxy Provider功能将其配置为连接到攻击者控制的模型服务器,然后在LangChain Hub上分享该代理。当用户在LangChain Hub发现并尝试使用这个恶意代理时,所有通信都会被秘密路由通过攻击者的代理服务器,导致数据被窃取。
该漏洞于2024年10月29日报告,LangChain已于11月6日在后端修复,并在用户尝试克隆包含自定义代理配置的代理时实现了数据暴露警告提示。"
原文链接:https://thehackernews.com/2025/06/langchain-langsmith-bug-let-hackers.html
Veeam修复严重RCE漏洞,域用户可入侵备份服务器
Veeam于6月17日发布安全更新,修复了Veeam Backup & Replication (VBR)多个漏洞,其中包括一个由watchTowr和CodeWhite安全研究人员报告的严重远程代码执行(RCE)漏洞。
该漏洞仅影响加入域的VBR安装环境,但安全风险极高,因为任何经过身份验证的域用户都能通过低复杂度攻击在备份服务器上远程执行代码。受影响版本包括Veeam Backup & Replication 12及更高版本,用户应立即升级至修复版本12.3.2.3617。
作为全球领先备份解决方案提供商,Veeam产品被超过55万家客户使用,包括82%的财富500强公司。许多企业违背Veeam最佳实践,将备份服务器加入Windows域,而非按建议使用独立的Active Directory林并启用双因素认证,这大大增加了遭受攻击的风险。勒索软件团伙证实,他们经常将VBR服务器作为首选目标,因为这可同时实现窃取数据和删除备份,阻止受害者恢复系统。Cuba勒索软件团伙和FIN7等威胁组织也曾利用VBR漏洞发动攻击。
原文链接:https://www.bleepingcomputer.com/news/security/new-veeam-rce-flaw-lets-domain-users-hack-backup-servers/
Sitecore CMS被曝存在可导致完整RCE的链式漏洞
安全研究公司WatchTowr发现了流行内容管理系统(CMS)提供商Sitecore的七个安全漏洞。Sitecore的客户包括汇丰银行、联合航空、宝洁和欧莱雅等大型企业。
在6月17日发布的首份报告中,WatchTowr披露了三个漏洞,这些漏洞组合可允许未经身份验证的攻击者在Sitecore Experience Platform 10.4.1版本上实现完整的远程代码执行(RCE)。
最令人震惊的是,研究人员发现最新版本的Sitecore默认配置了一个硬编码密码"b"。攻击者可以利用这个简单密码,结合两个身份验证后的RCE漏洞,构建完整的预认证RCE攻击链。WatchTowr已识别至少2.2万个暴露的Sitecore实例,但估计实际数量可能显著更高。这些漏洞已在5月11日发布的Sitecore Experience Platform最新版本中得到修复。WatchTowr表示将在即将发布的报告中披露Sitecore产品中的另外四个漏洞。
原文链接:https://www.infosecurity-magazine.com/news/chained-flaws-cms-sitecore-rce/合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
阅读原文
跳转微信打开
