5th域安全微讯早报【20250509】111期

4. 美国海关承认使用未经认证通讯软件TeleMessage安全漏洞引担忧

【SecurityLab网站5月8日报道】美国海关及边境保护局(CBP)正式承认使用以色列公司TeleMessage开发的通讯应用程序，该应用因安全漏洞已被暂停使用。TeleMessage是Signal和WhatsApp的克隆版本，具备消息存档功能，但近期曝出存在黑客攻击风险。报道指出，该应用的安全架构存在根本性问题。在一张前国家安全顾问迈克·沃尔兹使用TeleMessage的照片曝光后，一系列与该应用相关的泄密事件被披露。调查发现，TeleMessage虽被美国Smarsh公司收购，但其消费者版本尚未通过FedRAMP认证。参议员罗恩·怀登已要求司法部调查此事，称这种不安全软件的使用对国家安全构成威胁。目前使用TeleMessage的完整机构名单尚未公布，受损通信数据的安全状况仍不明确。值得注意的是，CBP近期还宣布将部署新型面部识别系统，可捕捉入境车辆中所有乘客的图像。

5. LockBit勒索组织遭黑客反制管理面板数据库全泄露

【SecurityLab网站5月8日报道】全球知名勒索软件组织LockBit的暗网基础设施遭遇重大黑客攻击。攻击者不仅接管了其所有管理面板，还在界面上留下嘲讽信息"不要犯罪，犯罪是坏事，来自布拉格的xoxo"，同时公开了包含关键运营数据的MySQL数据库转储文件"paneldb_dump.zip"。泄露的数据库包含近6万个比特币地址、恶意软件构建参数、2024年12月至2025年4月间的4442条受害者谈判记录等核心信息。安全分析师发现，该组织使用的PHP 8.1.2版本存在CVE-2024-4577高危漏洞，可能是此次入侵的突破口。更讽刺的是，数据库中以明文存储的75个用户密码（如"Weekendlover69"）暴露出严重的安全意识缺失。尽管LockBit运营者声称未泄露私钥等关键数据，但此次事件已是该组织继2024年"克洛诺斯行动"后的第二次重大安全事件。安全专家指出，类似泄密曾导致Conti等勒索组织瘫痪，此次事件可能重创LockBit在附属团伙中的信誉。

6. 跨境诈骗网络曝光！德克萨斯公司涉毒与多重欺诈行为

【SecurityLab网站5月8日报道】美国德克萨斯州公司eWorldTrade被指参与横跨美、巴的大型诈骗团伙，其不仅通过B2B平台批发商品，还涉及合成阿片类药物分销，目前该网站已因司法部调查关闭。调查发现，eWorldTrade商标所有者为巴基斯坦卡拉奇公司Abtach，该公司长期通过伪造商标注册文件、抬高费用等手段欺骗客户；更名后的Intersys Limited仍延续欺诈模式，75%的客户仅收到伪造注册文件。此外，Abtach与Digitonics Labs合作，以图书出版、徽标设计等虚假服务牟利，月收入达250万美元，惯用低价引诱、威胁勒索的手段。这些公司与曾因伪造文凭闻名的Axact公司存在人员关联，后者曾导致197个国家21.5万人受害。美国多地受害者集体起诉，指控其提供低质服务、封锁账户并威胁客户。相关公司在谷歌投放超千万美元广告，事件曝光后，部分广告数量骤减。目前，美巴两国虽已展开调查，但因腐败、虚假地址等问题，案件推进仍面临阻碍。

7. 教育巨头培生集团遭网络攻击客户数据与源代码被窃

【BleepingComputer网站5月8日报道】全球教育出版巨头培生集团（Pearson）确认遭遇重大网络攻击，攻击者通过暴露的GitLab个人访问令牌（PAT）入侵其开发环境。该令牌源自公开的.git/config配置文件，使黑客得以访问包含硬编码凭证的源代码库，进而渗透AWS、Google Cloud等云平台。尽管培生声称被盗数据主要为"遗留数据"且不包含员工信息，但消息人士透露数TB客户资料、财务记录及支持工单被窃，数百万用户受影响。值得注意的是，此次事件与2025年1月其子公司PDRI的数据泄露存在关联。培生表示已加强安全监控与认证机制，但拒绝就赎金支付、具体受影响人数等关键问题置评。安全专家再次警告.git配置文件暴露风险，去年互联网档案馆（Internet Archive）曾因同类漏洞被攻陷。

8. 风投巨头Insight Partners确认投资者数据遭窃影响800余家被投企业

【BleepingComputer网站5月8日报道】全球顶级风投机构Insight Partners披露其遭遇重大数据泄露事件。攻击者通过"复杂的社会工程攻击"于2025年1月16日侵入系统，窃取包含有限合伙人基金信息、银行账户、税务记录及员工个人数据等敏感资料。这家管理900亿美元资产的机构投资了Twitter、HelloFresh等800余家企业，但声称事件仅持续24小时且未影响运营。经电子取证专家确认，泄露数据涉及不同层级的投资者及现任/前任员工信息，具体影响范围仍在评估。尽管尚未出现勒索软件组织认领攻击，该公司已建议所有潜在受影响者立即启用双因素认证并监控金融账户异常。值得注意的是，此次事件可能波及众多被投企业的商业机密，凸显风险投资行业作为高价值攻击目标的脆弱性。

9. 思科无线控制器曝高危漏洞硬编码JWT可致远程root访问

【SecurityLab网站5月8日报道】思科发布紧急安全公告（CVE-2025-20188），其多款无线控制器产品中存在CVSS 10.0分满分漏洞。该漏洞源于固件中嵌入硬编码JSON Web Token（JWT），可使未认证攻击者通过特制HTTPS请求实现任意文件上传和root权限命令执行。受影响产品包括Catalyst 9800系列无线控制器、9300/9400/9500系列交换机嵌入式控制器等。漏洞利用前提是需启用默认关闭的"带外AP镜像下载"功能。思科表示该漏洞由内部安全审计发现，尚未发现野外利用案例，建议用户立即升级固件或临时禁用相关功能。

10. IXON VPN客户端曝高危漏洞攻击者可获取系统级权限

【CybersecurityNews网站5月8日报道】荷兰工业远程访问解决方案提供商IXON的VPN客户端被曝存在两个高危漏洞（CVE-2025-26168和CVE-2025-26169），影响1.4.4之前的所有版本。在Windows系统上，攻击者可通过C:WindowsTemp目录的竞争条件，利用PowerShell注入恶意配置以SYSTEM权限执行代码；Linux/macOS系统则通过操纵/tmp/vpn_client_openvpn_configuration.ovpn文件实现root权限提升。这两个漏洞CVSS评分均为8.1，主要威胁工业控制系统等关键基础设施。IXON已发布1.4.4版本修复漏洞，建议用户立即升级并监控系统异常活动。安全专家警告，此类漏洞可能被用于针对OT环境的供应链攻击。

11. Ubiquiti UniFi Protect摄像头曝高危漏洞攻击者可远程控制设备

【CybersecurityNews网站5月8日报道】Ubiquiti UniFi Protect摄像头系统被发现存在严重远程代码执行漏洞（CVE-2025-23123），CVSS评分达10.0满分。该堆缓冲区溢出漏洞影响4.75.43及更早版本的固件，攻击者仅需接入管理网络即可完全控制摄像头设备，实现窃听监控、篡改录像或作为内网渗透跳板。安全研究员Mathew Marcus警告，由于家庭和小型企业普遍缺乏网络分段，实际攻击门槛较低。厂商已紧急发布4.75.62版本固件修复漏洞，同时建议用户更新UniFi Protect应用至5.3.45版以修复次要的直播流访问控制问题（CVE-2025-23164）。这是继年初CVE-2025-23115/23116漏洞后，该系列产品再次曝出重大安全隐患。

12. Microsoft Bookings曝HTML注入漏洞可篡改会议邀请实施钓鱼攻击

【CybersecurityNews网站5月8日报道】微软企业预约系统Microsoft Bookings被发现存在严重输入验证漏洞，攻击者可利用appointment.serviceNotes等字段注入恶意HTML代码。该漏洞允许篡改会议链接(joinWebUrl)、插入钓鱼图片，甚至通过ICS附件修改日历标题，可能造成"会议劫持"攻击。安全机构ERNW发现，虽微软已在2025年2月修复部分问题，但additionalRecipients等参数仍存在验证缺陷。攻击者还能通过操纵duration参数占用超额预约时间，或创建隐蔽邮箱绕过管理审计。该漏洞最初于2024年12月报告，专家建议企业更新至最新补丁，并启用微软2025年3月发布的安全策略，包括预约页面访问控制和异常活动监控。

13. macOS曝高危ICC配置文件漏洞恶意图像可触发远程代码执行

【CybersecurityNews网站5月8日报道】趋势科技研究员Hossein Lotfi发现macOS存在严重漏洞（CVE-2024-44236），该漏洞影响脚本图像处理系统(sips)对ICC配置文件的解析。攻击者通过特制图像文件中的"lutAToBType"标签构造异常偏移量，可导致越界写入16字节内存，最终实现任意代码执行。苹果已在2024年10月发布的macOS 13.7.1/14.7.1/15.1版本中通过增强边界检查修复该漏洞。尽管漏洞利用需用户交互（CVSS 7.8），但通过邮件附件或恶意网站等渠道极易传播。安全专家警告，此类漏洞常被用于供应链攻击，建议所有用户立即升级系统，特别是设计、印刷等频繁处理图像文件的行业用户。

14. WhatsApp群聊功能存在隐私隐患

【SecurityLab网站5月8日报道】有研究指出WhatsApp的群聊功能存在隐私隐患。尽管WhatsApp的端到端加密被认为安全可靠，但研究发现群聊在添加新成员时缺乏加密验证。这意味着服务器可以自行将任何人添加到群聊中，而参与者无法阻止或验证是谁发起了群组组成的变化。由于用户客户端未对群组组成的消息进行签名，任何能够控制服务器或伪造消息的人都可以悄悄地将新参与者引入群聊。虽然系统会在添加新成员时通知用户，但在群组成员众多时，此类更改很容易被忽视。研究人员强调，用户必须验证账户的真实性，否则攻击者可能通过创建相似账户名获取通信访问权限。相比之下，Signal通过GroupMasterKey机制确保只有受信任的用户才能添加新成员，从而提高了隐私性。尽管WhatsApp表示会继续加强保护措施，但目前群组管理仍缺乏加密控制，这在关键场景中可能引发隐私和安全问题。

15. AI医疗助手陷信任危机：牛津研究揭示误诊风险与隐私隐患

【SecurityLab网站5月8日报道】牛津互联网研究所最新研究显示，尽管六分之一美国人每月使用ChatGPT等AI工具进行医疗咨询，但这些系统存在严重缺陷。在1300名英国受试者参与的实验中，GPT-4等先进模型虽能通过医学考试，却导致用户低估病情或误解建议，实际诊断准确率仅提升个位数百分比。研究同时曝光AI医疗双重风险：一方面，输入聊天机器人的健康数据可能被用于模型训练，造成隐私泄露；另一方面，整合医疗记录的保险公司信函等场景，可能使敏感信息成为黑客勒索目标。尽管美国医学会2023年已警告慎用AI辅助诊断，科技巨头仍在推进相关项目，包括苹果的健康监测软件和微软的医患信息平台，监管缺失问题亟待解决。

16. 巴西爆发新型RMM工具滥用攻击政企高管成重点目标

【CybersecurityNews网站5月8日报道】巴西境内出现针对企业高管的精密垃圾邮件攻击，黑客滥用PDQ Connect和N-able等合法远程监控工具实施入侵。攻击者伪造巴西电子发票(NF-e)系统通知，通过Dropbox分发伪装成财务文件的RMM安装程序（如"NOTA_FISCAL_NFe_.exe"），主要针对CEO及财务、HR部门人员。思科Talos研究发现，攻击者利用15天免费试用期创建大量临时账号，其HTTPS通信完全混入正常业务流量，使得传统安全设备难以检测。这种手法赋予攻击者完整的远程控制权限，包括屏幕监控、命令执行等关键功能。安全专家警告，虽然当前攻击集中在葡萄牙语用户，但该模式极易复制到其他地区，预示利用合法IT工具的攻击将成为新型威胁范式。

17. 2025年4月全球勒索软件攻击报告：Qilin组织主导新型团伙崛起

【CybersecurityNews网站5月8日报道】最新数据显示全球4月勒索软件攻击量环比下降29%至470起，但攻击策略更趋精密。Qilin组织以71.4%的增速领跑，确认攻击72起；Play和DragonForce组织分别增长75.9%和25%。制造业与IT行业成为重灾区，美国仍为主要受害国。值得关注的是新兴组织Silent和Crypto24的崛起，前者专注数据窃取而非加密，后者在RansomHub关闭后快速吸纳8名受害者。技术层面，FOG勒索软件采用多阶段攻击链，通过钓鱼邮件投递恶意LNK文件，利用iQVW64.sys驱动漏洞提权，并植入具有虚拟环境检测功能的加密模块。攻击者甚至要求受害者协助传播恶意软件，显示勒索策略的社会工程学升级。专家警告，尽管攻击总量下降，但专业化分工和战术创新表明勒索软件生态正进行结构性调整。

18. 勒索软件即服务(RaaS)成主流攻击模式全球年损失达300亿美元

【CybersecurityNews网站5月8日报道】勒索软件即服务(RaaS)已成为网络犯罪主流商业模式。该模式通过订阅制向附属机构提供定制化勒索软件工具包，抽成比例达20-30%。Conti、REvil等组织已建立类SaaS的运营体系，配备用户仪表盘和技术支持。Securelist研究显示，现代RaaS采用三重勒索策略：数据加密+信息泄露威胁+DDoS攻击组合施压。2020年以来平均赎金增长171%，攻击常始于携带恶意宏的钓鱼邮件，通过PowerShell命令下载载荷。更高级的"无文件攻击"技术可完全在内存运行，配合横向移动模块精准打击备份系统。专家警告，医疗、教育等关键基础设施已成重点目标，加密货币支付更增加追踪难度。

19. 全球最大钓鱼平台CoGUI曝光：四个月发送5.8亿封邮件，精准窃取用户密码

【SecurityLab网站5月8日报道】网络钓鱼平台CoGUI在2024年10月至2025年1月期间发动大规模攻击，累计发送超5.8亿封钓鱼邮件，成为迄今规模最大的钓鱼工具。其攻击核心利用恐慌心理，通过伪造亚马逊、苹果、PayPal及政府机构通知邮件，诱导用户提交登录凭证与支付数据。攻击高峰期（2025年1月）单月发起170项独立活动，发送1.72亿封邮件，主要针对日本，同时波及美、加、澳、新等国。钓鱼邮件内置智能检测机制，仅当用户设备符合预设条件（IP属地、浏览器语言、操作系统等）时，才会跳转至高度仿真的虚假登录页面，否则重定向至真实网站以降低怀疑。输入数据将实时传输至攻击者服务器，其中包含伪造亚马逊登录页等精密模板。技术分析显示，CoGUI与中国黑客团体关联的钓鱼工具Darcula存在运营重叠，但两者技术架构独立。除邮件攻击外，CoGUI还通过短信钓鱼（如美国“未付通行费”骗局）窃取数据，后相关载体转移至Darcula平台。专家指出，CoGUI本质为“钓鱼即服务”模式，当前聚焦日本市场，但具备快速扩展至其他地区的能力。防御建议强调：切勿直接点击邮件链接，需手动输入官网地址；警惕“紧急处理”要求等典型钓鱼特征。目前该平台仍在活跃，威胁持续升级。

20. 谷歌曝光俄罗斯黑客组织新型数据窃取恶意软件LostKeys

【BleepingComputer网站5月8日报道】谷歌威胁情报小组(GTIG)发现俄罗斯国家支持的ColdRiver黑客组织正在使用新型LostKeys恶意软件，针对西方国家政府、记者及非政府组织实施间谍活动。该组织通过ClickFix社会工程攻击诱骗目标运行恶意PowerShell脚本，最终部署具有文件窃取功能的VBS脚本（即LostKeys）。LostKeys能窃取特定扩展名文件及系统信息，通常仅在高度定向攻击中使用。ColdRiver（又称Star Blizzard）自2017年以来持续开展网络间谍活动，2023年12月被证实与俄罗斯联邦安全局(FSB)有关联。美国国务院已对两名组织成员实施制裁，并悬赏1000万美元征集线索。此次攻击标志着该组织在传统凭证窃取攻击基础上的技术升级，与朝鲜、伊朗等国的APT组织形成战术呼应。