安全简讯（2025.05.15）

1. Horabot恶意软件针对拉美多国Windows用户发起新钓鱼攻击

5月14日，网络安全研究人员发现了一场针对拉丁美洲国家Windows用户的新钓鱼攻击活动。此次活动主要针对墨西哥、危地马拉、哥伦比亚、秘鲁、智利和阿根廷等国，利用名为Horabot的恶意软件展开攻击。该活动于2025年4月被观测到，主要针对西班牙语用户。以发票为诱饵，通过钓鱼邮件诱使用户打开包含PDF文档的ZIP压缩包，实则内含恶意HTML文件，用于连接远程服务器下载第二阶段恶意载荷。第二阶段载荷为包含HTML应用程序（HTA）文件的ZIP压缩包，该文件加载远程服务器托管的脚本，脚本注入外部VBScript代码执行一系列检测，若系统安装Avast杀毒软件或处于虚拟环境则终止攻击。之后，VBScript会收集基础系统信息并外传至远程服务器，同时获取额外载荷，包括释放银行木马的AutoIt脚本和传播钓鱼邮件的PowerShell脚本。此外，Horabot还能从多种浏览器窃取相关数据，除数据窃取外，还监控受害者行为，注入伪造弹窗以窃取敏感登录凭证。

https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html

2. 谷歌警告“分散蜘蛛”黑客转攻美国零售商

5月14日，谷歌今日警告，使用“分散蜘蛛”（Scattered Spider，也称UNC3944等）策略攻击英国零售连锁店的黑客，已将目标转向美国零售商。谷歌威胁情报集团首席分析师约翰·赫尔奎斯特表示，美国零售业正成为勒索软件和敲诈勒索行动的目标，怀疑与“分散蜘蛛”有关。该组织长期沉寂后转向英国零售业，预计短期内仍会以此为目标。英国零售巨头玛莎百货曾遭勒索软件攻击，攻击者使用DragonForce加密器加密VMware ESXi主机上的虚拟机，此次攻击被归咎于“分散蜘蛛”。此外，合作社和哈罗德百货公司也分别遭遇网络攻击，前者数据被窃，后者被迫限制网站互联网访问。DragonForce勒索软件组织宣布对这三起攻击负责，策划者使用了与“分散蜘蛛”相同的社会工程学策略。“分散蜘蛛”是一群流动的威胁行为者，以复杂的社会工程攻击入侵全球知名组织而闻名，攻击方式涉及网络钓鱼、SIM卡交换、MFA轰炸等。部分“分散蜘蛛”威胁行为者被认为是“Com”的一部分，这是一个松散联系的社区，参与网络攻击等行为。这些网络犯罪分子多为英语使用者，常在Telegram频道、Discord服务器和黑客论坛策划实施攻击。

https://www.bleepingcomputer.com/news/security/google-scattered-spider-switches-targets-to-us-retail-chains/

3. BianLian和RansomExx利用SAP NetWeaver漏洞

5月14日，近日，网络安全领域曝出多个威胁行为者利用SAP NetWeaver安全漏洞进行攻击的事件。据网络安全公司ReliaQuest最新消息，至少有两个不同的网络犯罪集团BianLian和RansomExx参与了利用该漏洞的攻击活动。ReliaQuest发现了BianLian数据勒索团队和RansomExx勒索软件家族（微软追踪名称为Storm-2460）参与攻击的证据。其中，BianLian被评估为至少涉及一起事件，因其基础设施链接与先前确定的该电子犯罪集团的IP地址相关。ReliaQuest还观察到，一种名为PipeMagic的基于插件的木马被部署在攻击中，该木马与Windows通用日志文件系统（CLFS）中的权限提升漏洞（CVE-2025-29824）的零日漏洞利用有关，并在针对多国实体的有限攻击中被利用。攻击者通过利用SAP NetWeaver漏洞投放Web Shell来传送PipeMagic，尽管初次尝试失败，但后续攻击成功部署了Brute Ratel C2框架。SAP安全公司Onapsis则透露，自2025年3月以来，威胁行为者一直在利用该漏洞及同一组件中的反序列化漏洞（CVE-2025-42999）进行攻击。尽管CVE-2025-42999需要更高权限，但CVE-2025-31324能提供完全系统访问权限，因此两个漏洞的补救建议相同，即只要CVE-2025-31324漏洞存在，就需立即修补以防范潜在攻击。

https://thehackernews.com/2025/05/bianlian-and-ransomexx-exploit-sap.html

4. 澳大利亚人权委员会网站现意外数据泄露

5月14日，澳大利亚人权委员会（AHRC）透露，2025年4月至5月期间，其网站发生了一起意外数据泄露事件，涉及600多份提交和提名的内容。4月10日，AHRC发现3月24日至4月10日期间上传到投诉网络表单的附件在4月3日至4月10日期间被公开发布并遭访问。5月8日，该委员会又发现更多文件被曝光，这些文件是提交给网络表单的附件，用于反馈“经验之谈”项目、2023年人权奖提名及国家反种族主义框架概念文件的意见，曝光时间为4月3日至5月5日。AHRC在5月13日的数据泄露通知中指出，大约670份文件可能因错误而被泄露，其中约100份文件已通过谷歌或必应等搜索引擎在线访问，且许多文件包含个人信息。AHRC表示已采取行动解决泄露问题，并请求将这些文件从搜索引擎中删除。此次信息泄露并非恶意或犯罪攻击所致，AHRC将随着调查深入提供最新信息。根据通知，特定时间段内使用网络表格提交投诉、意见或提名的人可能受到影响。可能被泄露的数据包括全名、电子邮件地址、住宅地址、手机号码等敏感信息。目前，AHRC正在确认受影响人数，并调查事件原因，同时已禁用所有网络表单。该委员会已成立专门小组应对此次事件，并采取措施阻止进一步访问受影响文件。

https://www.cyberdaily.au/security/12090-breaking-personal-information-exposed-by-australian-human-rights-commission-data-breach

5. 美国纽柯公司遭网络攻击，部分生产暂停

5月14日，美国最大钢铁生产商纽柯公司近日遭遇网络安全事件，导致其部分网络下线并实施了遏制措施。此次事件造成该公司多个地点生产暂停，但全面影响尚待评估。纽柯公司不仅是美国主要的钢铁生产商，也是北美重要的废钢回收商，其钢筋产品广泛应用于美国建筑、桥梁、道路和基础设施领域。公司在美国、墨西哥和加拿大拥有众多工厂，员工总数超过32,000人，今年第一季度收入高达78.3亿美元。该公司在提交给美国证券交易委员会（SEC）的8-K文件中披露了这一事件，文件中指出，纽柯公司发现了一起网络安全事件，涉及未经授权的第三方访问其信息技术系统。事件发生后，公司迅速启动了应急响应计划，主动下线可能受影响的系统，并采取了其他遏制、补救和恢复措施。同时，纽柯公司已通知执法部门，并聘请外部网络安全专家协助调查。尽管部分生产作业已暂停，但公司表示正在逐步重启。然而，关于攻击的具体日期和类型，公司并未提供详细信息，因此无法确定该事件是否涉及数据盗窃或加密。截至目前，尚无勒索软件组织宣称对此次攻击负责。

https://www.bleepingcomputer.com/news/security/steel-giant-nucor-corporation-facing-disruptions-after-cyberattack/

6. 法国迪奥披露网络安全事件，客户信息泄露

5月14日，法国奢侈时尚品牌迪奥披露了一起网络安全事件，导致其时装及配饰客户信息泄露。公司发言人表示，发现未经授权的外部机构访问了为迪奥时装和配饰客户保存的部分数据。迪奥立即采取措施控制事件，并在顶尖网络安全专家的支持下持续调查应对。据迪奥澄清，此次事件并未泄露账户密码或支付卡信息，因这些信息存储在另一未受影响的数据库中。迪奥表示正在努力根据适用法律通知相关监管机构和客户，并对可能给客户带来的担忧或不便深感抱歉。尽管迪奥未具体说明受影响的客户数量和地区，但已确认韩国网站受到影响，且中国客户也收到了资料泄露通知。网上流传的通知截图显示，事件于5月7日被发现，涉及未经授权访问，暴露了客户姓名、性别、电话号码、电子邮件、邮政地址及购买历史记录等信息。与此同时，迪奥在韩国因未向所有相关部门通报数据泄露事件而面临法律审查。迪奥建议顾客对网络钓鱼行为保持警惕，并立即联系举报品牌冒充情况。目前，受影响客户数量和国家的详细信息尚未公开披露。

https://www.bleepingcomputer.com/news/security/fashion-giant-dior-discloses-cyberattack-warns-of-data-breach/