安全简讯（2025.06.09）

1. Mirai新变种利用CVE-2024-3721漏洞劫持TBK DVR设备

6月8日，Mirai恶意软件僵尸网络出现新变种，正利用TBK DVR-4104和DVR-4216数字视频录制设备中的命令注入漏洞进行劫持。该漏洞编号为CVE-2024-3721，由安全研究员“netsecfish”于2024年4月披露，其概念验证（PoC）以向易受攻击端点发送特制POST请求的形式出现，通过操纵mdb和mdc参数实现shell命令执行。卡巴斯基报告称，在其Linux蜜罐中发现了来自新Mirai僵尸网络变种对该漏洞的主动利用。攻击者利用此漏洞植入ARM32恶意软件二进制文件，该文件与命令和控制（C2）服务器建立通信，将设备加入僵尸网络群，之后设备可能被用于分布式拒绝服务（DDoS）攻击、代理恶意流量等行为。尽管netsecfish去年报告约114,000台暴露在互联网上的DVR易受该漏洞攻击，但卡巴斯基扫描显示暴露设备约50,000台，数量仍相当可观。卡巴斯基认为，与最新Mirai变种相关的大多数感染影响了中国、印度等多个国家，不过这一数据基于其遥测数据，可能无法准确反映僵尸网络目标定位。目前尚不清楚供应商TBK Vision是否已发布安全更新修复该漏洞。此外，DVR-4104和DVR-4216已广泛更名为多个品牌，受影响设备补丁可用性复杂。

https://www.bleepingcomputer.com/news/security/new-mirai-botnet-infect-tbk-dvr-devices-via-command-injection-flaw/

2. 麒麟勒索软件利用多个FortiGate漏洞发起攻击

6月6日，威胁情报公司PRODAFT警告，2025年5月至6月期间，麒麟勒索软件（又名Phantom Mantis）组织利用多个FortiGate漏洞（包括CVE-2024-21762和CVE-2024-55591）对多个组织发起攻击。该组织至少自2022年8月起活跃，2024年6月因攻击英国政府医疗服务提供商Synnovis而受关注，通常采用“双重勒索”手段。目前，其正利用FortiGate漏洞攻击西班牙语国家组织，且可能将攻击范围扩大到全球，且更倾向于随机选择受害者。2024年2月，Fortinet警告FortiOS SSL VPN中的CVE-2024-21762漏洞在野外已被积极利用，CISA已将其添加到KEV目录中。2025年3月，Forescout Research - Vedere Labs报告称，1月至3月期间，威胁行为者利用Fortinet的两个漏洞部署了SuperBlack勒索软件，归咎于名为“Mora_001”的威胁行为者，其可能与LockBit生态系统有关。此外，CISA确认漏洞CVE-2025-24472已被用于勒索软件活动。漏洞CVE-2024-55591是一个利用备用路径或通道绕过身份验证的漏洞，影响FortiOS和FortiProxy多个版本，允许远程攻击者通过精心设计的请求获取超级管理员权限，且已有报告显示该漏洞正在被广泛利用。

https://securityaffairs.com/178736/hacking/attackers-exploit-fortinet-flaws-to-deploy-qilin-ransomware.html

3. Optima Tax Relief遭Chaos勒索软件攻击

6月6日，美国知名税务解决和结算公司Optima Tax Relief近日遭受了Chaos勒索软件攻击，威胁行为者已将窃取的数据泄露。Optima Tax Relief自称是美国领先的税务解决公司，已为客户解决超30亿美元税务责任。此次Chaos勒索软件团伙将Optima Tax Relief添加到其数据泄露网站，声称窃取了69GB数据，这些数据似乎包含公司数据和客户案例文件。鉴于税务文件通常包含社保号码、电话号码和家庭住址等敏感个人信息，这些信息一旦泄露，可能被其他威胁行为者用于恶意活动或身份盗窃，对个人和企业构成严重威胁。有消息人士透露，这是一次双重勒索攻击，威胁行为者不仅窃取了公司数据，还对服务器进行了加密。Chaos勒索软件是一种相对较新的勒索软件操作，于2025年3月启动，当时其数据泄露网站上有五名受害者。需注意的是，不要将该勒索软件团伙与自2021年起就已存在的Chaos勒索软件构建器混淆，后者用于创建大量品牌加密器以进行网络钓鱼和恶意软件活动。

https://www.bleepingcomputer.com/news/security/tax-resolution-firm-optima-tax-relief-hit-by-ransomware-data-leaked/

4. 新型PathWiper数据擦除软件袭击乌克兰关键基础设施

6月6日，一种名为“PathWiper”的新型数据擦除恶意软件正被用于针对乌克兰关键基础设施的攻击，其目的在于破坏该国运营。该恶意软件的有效载荷通过合法端点管理工具部署，表明攻击者已通过先前攻击获取系统管理访问权限。思科Talos研究人员高度肯定地将此次攻击归咎于与俄罗斯相关的高级持续性威胁（APT），并指出PathWiper可能是此前在乌克兰部署的HermeticWiper的演变，用于相同或重叠威胁集群的攻击。PathWiper通过Windows批处理文件执行，启动恶意VBScript，进而删除并执行主要有效载荷，其执行方式模仿合法管理工具行为以逃避检测。与HermeticWiper不同，PathWiper以编程方式识别系统上所有连接的驱动器，滥用Windows API卸载卷，并为每个卷创建线程覆盖关键NTFS结构，包括MBR、MFT、LogFile、$Boot等文件，导致系统完全无法运行。此次攻击不涉及勒索或财务要求，唯一目的是破坏和中断运营。Cisco Talos已发布文件哈希和Snort规则，以帮助检测威胁并在其破坏驱动器之前阻止。自战争开始以来，数据擦除器已成为攻击乌克兰的有力工具，俄罗斯威胁行为者频繁使用它们破坏该国关键行动，此前已有多种擦除器被用于此类攻击。

https://www.bleepingcomputer.com/news/security/new-pathwiper-data-wiper-malware-hits-critical-infrastructure-in-ukraine/

5. 英税务海关总署遭钓鱼攻击，损失4700万英镑

6月5日，英国税务海关总署（HMRC）近日披露，犯罪团伙通过钓鱼手段盗用超过10万个纳税人账户，并利用这些账户提交虚假退税申请，非法提取了4700万英镑（约合6400万美元）资金。HMRC首席执行官约翰-保罗·马克斯向议会财政委员会表示，此事件源于攻击者通过钓鱼活动或外部数据泄露获取个人信息，而非HMRC系统遭到入侵。受影响的纳税人将在三周内收到通知信函，其账户已被临时锁定并清除异常登录信息。马克斯强调，受影响的纳税人不会承担经济损失，HMRC已从税务记录中删除错误申报信息。数据显示，HMRC去年成功拦截了犯罪分子试图窃取的19亿英镑资金，实际损失金额仅占攻击总额的2.5%。HMRC副首席执行官安吉拉·麦克唐纳指出，诈骗者利用被盗身份信息创建或劫持在线账户，通过高度组织化的犯罪网络实施欺诈。尽管当局未透露具体攻击手法，但网络安全专家推测可能涉及信息窃取软件感染或社工攻击。目前相关刑事调查仍在进行，部分嫌疑人已于去年被逮捕。HMRC正与执法部门合作追回被盗资金，并建议纳税人警惕可疑邮件、短信及电话，避免在非官方渠道提交敏感信息，以防止个人信息泄露和遭受诈骗。

https://therecord.media/uk-hmrc-tax-authority-scammers-stole-47million-pounds

6. GlueStack组件遭供应链攻击，多恶意软件包现身

6月8日，近期，网络安全领域发生多起针对软件供应链的恶意攻击事件。网络安全研究人员发现针对GlueStack相关组件的供应链攻击，超过12个软件包被植入恶意代码，攻击者通过篡改文件注入恶意程序，可执行shell命令、截取屏幕截图并上传受感染设备文件，这些软件包周下载量合计近100万次。未授权访问权限可被用于加密货币挖矿、窃取敏感信息等后续攻击。同时，安全机构Socket发现两个伪装成合法工具的恶意npm包——express-api-sync和system-health-sync-api，前者可递归删除当前目录所有文件，后者兼具信息窃取与破坏功能，且通过邮件为隐蔽通信信道，攻击者可通过特定端点触发破坏命令。此外，软件供应链安全公司还在Python包索引（PyPI）发现名为imad213的凭证窃取程序，该程序冒充Instagram涨粉工具，诱导用户输入Instagram凭证，随后将凭证发送至10个第三方机器人服务。攻击者同期还上传了taya、a-b27、poppo213等其他恶意软件包，分别用于窃取多种社交媒体凭证和发动DDoS攻击。攻击者在GitHub文档中声称其库“仅用于教育研究”，实为制造虚假安全感。

https://thehackernews.com/2025/06/new-supply-chain-malware-operation-hits.html