5th域安全微讯早报【20250506】108期

3. 俄黑客组织Nebulous Mantis利用RomCom RAT攻击北约及关键基础设施

【IndustrialCyber网站5月5日报道】俄罗斯背景黑客组织Nebulous Mantis（又名Cuba、UNC2596）自2019年起持续针对北约、政府机构及关键基础设施发起攻击，主要部署RomCom远程访问木马（RAT）和Hancitor加载程序。据PRODAFT分析，该组织通过鱼叉邮件投递伪装文档链接，诱导受害者下载恶意文件，实施间谍活动与数据窃取。其攻击链采用"离地攻击"（LOTL）技术规避检测，并利用LuxHost等防弹托管服务维持C2通信，每月更换域名以逃避追踪。该组织自2020年起将勒索软件（如Cuba、Industrial Spy）纳入攻击闭环，通过加密数据掩盖间谍行为。2023年7月后转向Team Underground勒索软件，仅一个月内即感染超46个高价值目标。其C2面板可实时监控受害者设备信息（包括IP、操作系统、安全软件等），并支持模块化命令下发，具备高度定制化攻击能力。研究人员指出，Nebulous Mantis可能受国家支持，其战术持续演进，近期还利用mySCADA系统漏洞威胁工业控制网络。

4. Meta人工智能战略遭遇成本危机：关税政策致基础设施成本激增70亿美元

【SecurityLab网站5月5日报道】Meta公司因特朗普政府关税政策导致AI基础设施成本大幅攀升，预计本年度总支出将达720亿美元，较原计划增加70亿美元。首席财务官苏珊·李表示，成本激增主要源于数据中心扩建及GPU等关键组件价格上涨，公司正加速供应链多元化以应对风险。目前Meta计划年底前部署130万块AI加速器，并正在路易斯安那州建设2.2千兆瓦超算中心。为平衡收支，公司可能削减已亏损600亿美元的Reality Labs部门预算。同时，Meta持续加码AI产品布局，推出Meta AI应用及API服务，并预计未来18个月内Llama项目多数代码将由AI自动生成。面对OpenAI等竞争对手的开源模型挑战，这家社交巨头正全力维持其在AI领域的主导地位。

5. 黑客入侵TeleMessage服务器，政府与企业通讯安全成疑

【SecurityLab网站5月5日报道】一名黑客成功闯入以色列公司TeleMessage服务器。该公司向政府机构和大公司销售Signal、WhatsApp等通讯应用的修改版本，用于信件存档。黑客在20分钟内完成攻击，窃取消息片段、登录密码及用户个人数据。调查发现，尽管TeleMessage宣称维护端到端加密，但修改后的应用程序会将所有消息转发至客户端服务器，绕过安全模型。泄露数据包含“正直公民大队”群聊中与特朗普采访相关的政治材料，以及加密货币公司Galaxy Digital的立法讨论信息。此外，美国海关和边境保护局、华盛顿警察情报部门、Coinbase、丰业银行等机构员工信息也遭泄露。事件曝光后，TeleMessage官网删除产品描述和下载链接，相关机构未回应置评请求。黑客称动机源于好奇。此次事件凸显在通讯软件中添加存档功能带来的安全隐患，证明看似安全的系统仍存在重大泄密风险。

6. 业余分析师误判坐标致美军空袭也门平民区，OSINT可信度引争议

【SecurityLab网站5月5日报道】美国4月28日对也门的空袭致8名平民死亡，事后调查发现袭击目标可能源于匿名X账户“VleckieHond”的错误情报。该账户此前发布卫星图像及坐标，误将采石场附近区域识别为胡塞武装地下基地，后公开道歉并承认未核实数据真实性。尽管美国中央司令部否认依赖开源情报（OSINT）决策，强调行动基于“已验证情报”，但事件仍引发对OSINT社区责任的广泛讨论。专家指出，当前OSINT领域纪律松弛，大量匿名账户为博关注发布未经验证信息，而平台监管缺失加剧风险。Bellingcat等机构呼吁从业者遵循调查新闻原则，平衡匿名性与问责制。此事件凸显开源信息在军事行动中的潜在影响，即使无意也可能被纳入情报链条，危及平民安全。

7. 多系统漏洞集中爆发：Windows部署服务零日风险与AI模型安全危机并存

【SecurityLab网站5月5日报道】全球多个关键系统曝出严重安全漏洞。研究员Shiniang Peng披露Windows部署服务(WDS)未修复漏洞（CVE未分配），攻击者通过特制FTP请求即可导致系统崩溃，该漏洞影响所有Windows版本且微软拒绝修补。同期曝光的还包括：Digigram PYKO-OUT音频设备存在默认无认证风险；SonicWall两个正被活跃利用的漏洞；Citrix NetScaler信息泄露漏洞(CVE-2024-6235)；IXON VPN客户端三个本地提权漏洞（其中一个未修复）。特别值得注意的是，阿里巴巴Qwen3大语言模型被密码学家Lukasz Olejnik指出存在即时注入风险，可能被恶意指令操控。此次漏洞集中披露凸显企业级系统与新兴AI技术共有的安全隐患，其中微软拒绝对WDS漏洞采取行动的决定尤其引发争议，该服务广泛用于企业网络Windows远程安装，可能造成大规模业务中断。

8. 开源软件供应链遭新型攻击：恶意包可彻底擦除Linux系统数据

【SecurityLab网站5月5日报道】网络安全研究人员在Go模块生态系统中发现三个恶意软件包，这些伪装成合法组件的程序会在Linux系统安装后下载擦除脚本，通过覆写/dev/sda分区导致数据永久性丢失。与此同时，npm仓库出现针对加密钱包的恶意组件，PyPI平台则发现web3x等7个含有后门的Python包，其中部分利用Gmail的SMTP服务器建立隐蔽通信通道，累计下载量已超过6800次。这些恶意包通过WebSocket协议和硬编码凭证实现远程控制，其中cfc-bsb组件甚至具备完整的远程访问功能。安全专家警告，此类供应链攻击正呈现上升趋势，建议开发者严格审核依赖项、监控异常SMTP流量，并限制密钥访问权限以降低风险。此次事件凸显开源软件生态面临的安全挑战，即使是主流代码仓库中的组件也可能存在严重威胁。

9. StealC恶意软件升级2.0版本：新增64位系统支持与Telegram通信功能，数据窃取能力大幅提升

【SecurityLab网站5月5日报道】知名信息窃取恶意软件StealC推出重大升级版本2.2.4，其新型攻击特征引发安全专家高度警惕。该版本新增对64位系统的全面支持，并创新性地整合Telegram通信功能，可实现屏幕截图实时传输及自毁机制，显著提升隐蔽性。Zscaler最新分析报告显示，新版恶意软件通过Amadey下载器传播，支持EXE、MSI及PowerShell脚本的多重触发执行，并采用RC4加密通信以规避检测。值得注意的是，StealC 2.0配备模块化生成器，允许攻击者自定义数据窃取规则，同时移除虚拟机检测等旧功能以优化代码结构。该恶意软件自2023年以每月200美元租用模式进入黑市后持续演进，2024年已实现Chrome浏览器App-Bound Encryption绕过技术，可劫持Google账户会话。安全专家警告，此次升级将大幅降低攻击门槛，企业及个人用户均面临更高风险。

10. AI重构网络钓鱼：完美语法成最新危险信号，深度伪造音频威胁爆发

【SecurityLab网站5月5日报道】Sophos全球CISO在RSAC会议上披露，AI已彻底改变网络钓鱼攻击模式——约50%的垃圾邮件现由神经网络生成，其语法完美度和文化适配性远超人工水平。攻击者突破传统语言限制，可精准生成魁北克法语、欧洲葡萄牙语等方言内容，使钓鱼邮件呈现"邻居般"的真实感。核心威胁升级包括：爱情诈骗智能化：聊天机器人先建立情感连接，真人再实施金融欺诈；深度伪造音频普及化：实时伪造IT专家等可信声音索要密码，单次成本已降至几美分；视频伪造倒计时：专家预测逼真视频通话诈骗将在两年内大规模出现。安全专家警告，传统识别标准（拼写错误/紧迫感）已失效，企业需建立多通道身份验证体系。NCC集团渗透测试显示，定制化虚假视频技术虽未普及但已成熟，预示下一波社交工程攻击浪潮。