5th域安全微讯早报【20250613】141期

3. 亚洲七国联合打击跨国网络诈骗，逮捕1800余人冻结数亿资产

【Securitylab网站6月12日报道】新加坡警方协调亚洲七国（包括香港、韩国、马来西亚等）开展“边疆行动+”，针对跨国网络诈骗集团实施大规模打击，共逮捕1800余名嫌疑人，冻结3.2万个银行账户，涉案金额达2.25亿美元。行动源于两起新加坡公民受骗案件，调查发现诈骗集团通过“杀猪盘”等手段，利用虚假投资、恋爱关系诱导受害者转账。新加坡警方强调，此类犯罪涉及多国司法管辖区，需国际合作应对。此次行动还促成各国警方建立情报共享与实时监控机制。香港警方透露，另有10国间接参与，凸显网络诈骗的全球化趋势。同期，柬埔寨、马来西亚等地也破获类似案件，涉案金额超7000万美元。

4. Linux创始人否决DAMON默认启用提案坚守内核稳定性原则

【Securitylab网站6月12日报道】Linux创始人Linus Torvalds近日否决了将DAMON（数据访问监控器）设为内核默认功能的提案，尽管该工具已被Amazon Linux、Android等主流发行版广泛采用。DAMON是由亚马逊开发的内存监控工具，用于优化应用程序性能，其默认启用提案原已通过6.16版本合并流程，但Torvalds发现后立即回滚了相关提交（编号28615e6eed152f2fda5486680090b74aeed7b554）。Torvalds强调，Linux内核的首要目标是可靠性而非便利性，反对无故启用小众功能可能带来的不确定性。虽然启用DAMON仅会使内核增大0.1%，且需主动激活才会运行，但这一决定体现了Linux团队对稳定性的严格把控。最终DAMON仍保持默认禁用状态，用户需在Linux 6.16-rc2及后续版本中手动配置。

5. 软银数据泄露事件暴露13.7万用户个人信息

【CybersecurityNews网站6月12日报道】软银集团披露2024年12月发生的一起重大数据泄露事件，受损的第三方服务提供商UF Japan系统被非法访问，导致137,156名软银及Y! Mobile用户的姓名、地址和电话号码等个人身份信息泄露。此次事件直到2025年3月才被发现，暴露出外包供应链中安全监控和访问控制的严重缺陷。泄露未涉及信用卡或银行账户等敏感财务信息。调查显示，前合作伙伴公司前雇员利用物理访问控制薄弱实施数据窃取。软银已终止与UF Japan合同，并启动执法程序，同时承诺加强对外包供应商的安全管理和合规审计。该事件对日本电信行业监管提出挑战，软银或面临行政处罚。

6. Paragon间谍软件持续攻击欧洲记者，苹果设备首现感染案例

【Therecord网站6月12日消息】数字取证机构公民实验室公布，Paragon间谍软件Graphite最新被确认攻击了两名欧洲记者的苹果移动设备，其中一台设备被成功入侵，标志着该监控技术的影响范围持续扩大。受害记者分别为意大利新闻机构Fanpage的西罗·佩莱格里诺和其同事，后者曾调查意大利总理与极右翼青年的关系。公民实验室称，这些攻击通过复杂的零点击iMessage账户实现，难以被发现但非不可追踪。苹果已于iOS 18.3.1版本修补了相关漏洞（CVE-2025-43200）。意大利政府及相关调查委员会否认使用间谍软件攻击，且拒绝允许Paragon核查日志，导致Paragon公开终止与意大利政府合作。报道指出，意大利情报机构曾合法监控涉嫌助推非法移民活动者，惹争议。受害记者佩莱格里诺表示，攻击事件远超个人，疑为针对整个新闻机构的系统性监控，且政府未采取有效协助。Paragon由以色列前总理及情报官员创立，试图标榜其技术负责任，但此次事件再次暴露雇佣间谍软件的复杂风险与隐私威胁。

7. 亚洲金融机构遭雾勒索软件攻击，员工监控软件Syteca引发安全担忧

【Therecord网站6月13日消息】赛门铁克发布报告称，亚洲一家金融机构遭遇以Fog勒索软件为核心的复杂网络攻击。此次攻击首次使用了合法员工监控软件Syteca，结合多款开源渗透测试工具，展现出不同于传统勒索软件事件的攻击手法。Syteca通常被企业用于监控员工屏幕和键盘输入，但黑客将其作为恶意工具利用，进一步隐蔽渗透和数据窃取。研究人员指出，攻击者在部署勒索软件后仍保留对网络的持久访问权限，显示此次攻击可能同时兼具间谍目的。赛门铁克专家推测，勒索软件或许只是幌子，真正目标是情报收集。攻击中使用的GC2渗透工具此前曾与中国支持的APT41有关联，但此次无法确认具体背后势力。此外，攻击利用Microsoft Exchange服务器的已知漏洞作为入口，攻击者在网络中潜伏约两周。安全专家强调，利用合法商业软件隐藏恶意活动是当前黑客的新趋势，有效避免被检测。此次事件再次提醒金融机构加强对合法工具的安全管理和对持久威胁的防范。

8. Predator间谍软件首次现身莫桑比克，显示监控技术全球扩散趋势

【Therecord网站6月13日消息】Recorded Future旗下Insikt集团发布报告，确认强大间谍软件Predator首次与非洲国家莫桑比克的运营商建立联系，标志着该软件在非洲市场的持续扩展。莫桑比克是非洲大陆少数几个已知拥有Predator客户的国家之一，而整个非洲约有一半的已知Predator用户分布于此。报告揭示，Predator基础设施与受美国制裁的Intellexa联盟相关企业首次出现技术联系。Intellexa被认为是Predator背后的主要组织，该联盟及其关联公司曾于2023年7月被美国商务部列入实体名单，受到多轮制裁和限制。Insikt调查发现，捷克企业家兼程序员Dvir Horef Hazan与Intellexa有关联，并通过相关实体参与Predator的多层基础设施运营。尽管美国制裁不断，Predator运营商依然调整技术，使间谍软件更难被检测。此前，希腊执法部门报告称Intellexa向Hazan及其公司转移了近300万欧元资金，暗示其复杂的资金链和国际网络。此项发现不仅证实了Predator间谍软件的持续活跃，也表明监控技术在全球多个地区不断扩散。该报告提醒安全界需高度警惕被制裁实体仍能通过复杂网络规避限制，持续进行监控活动。

9. 白俄罗斯黑客“网络游击队”嘲讽卡巴斯基关于其攻击报告

【Thercord网站6月12日消息】白俄罗斯反抗组织“网络游击队”公开回应俄罗斯网络安全公司卡巴斯基发布的有关其攻击工具与策略的报告，态度轻蔑且充满挑衅。该黑客组织表示，卡巴斯基对他们的技术了解并不令人意外，但令他们惊讶的是卡巴斯基如此关注其行动，并发布了详尽的报告和多场演示。“网络游击队”指出，卡巴斯基的产品未能有效防御他们的入侵，这反而暴露了其技术的落后。他们认为卡巴斯基的报告是一种辩解或反击手段，但未能影响其行动。该组织自2020年白俄罗斯反卢卡申科抗议爆发后成立，逐渐发展壮大，发动多起针对白俄罗斯和俄罗斯政府及工业组织的网络攻势，包括破坏国营铁路和入侵内务部服务器，影响武器供应链和内部通讯。卡巴斯基报告中披露，“网络游击队”使用了名为Vasilek的后门程序和Pryanik数据擦除恶意软件。Vasilek可收集按键记录、截图和网络基础设施信息，并通过Telegram群组传输数据与接收指令，规避传统命令控制机制；Pryanik则是一个逻辑炸弹式的数据破坏工具，能在预定时间触发摧毁系统数据，且可能周期性重启。网络游击队承认部分攻击确实使用数据擦除器，但否认卡巴斯基声称在政治条件达成时数据无法恢复的观点，称部分攻击采用勒索软件，允许数据恢复，且在擦除攻击前已窃取关键数据以备恢复。他们还表示多数行动秘密进行，公开披露的只是少数“嘈杂”操作。该组织强调，卡巴斯基的报告不会阻止其继续对克里姆林宫政权发起数字战争，甚至欢迎类似组织在其它国家成立，以加速该政权倒台。

10. 苹果iOS的记者用户遭零点击攻击，Graphite间谍软件被确认利用

【BleepingComputer网站6月12日消息】公民实验室发布调查报告确认，Paragon公司开发的Graphite间谍软件平台被用于针对至少两名欧洲记者的苹果iOS设备发动零点击攻击。受害者包括一名匿名的知名欧洲记者和意大利出版物Fanpage.it的记者Ciro Pellegrino。苹果公司于4月29日通知这两名记者，他们的设备遭遇了高级间谍软件攻击。此次攻击利用了iOS 18.2.1中的零日漏洞CVE-2025-43200，该漏洞涉及“处理通过iCloud Link共享的恶意制作照片或视频时的逻辑问题”，允许攻击者无需任何交互即可通过iMessage发送特制消息，实现远程代码执行。苹果于2025年2月10日发布的iOS 18.3.1版本中修复了该漏洞，但相关安全公告直到近日才将该漏洞正式标识。Graphite间谍软件通过激活后连接命令与控制服务器（C2），在公民实验室确认的案例中，受感染设备连接至一个托管在EDIS Global的VPS（IP地址为46.183.184[.]91）。攻击过程中，受害设备不会出现任何提示或迹象，极具隐蔽性。此前，今年早些时候，Graphite间谍软件也曾利用WhatsApp的零日漏洞发动类似攻击，针对意大利境内其他受害者。意大利当局确认近期多起针对记者和活动人士的网络袭击事件，包括弗朗西斯科·坎塞拉托、卢卡·卡萨里尼和朱塞佩·“贝佩”·卡恰博士，但尚未公布具体责任方。该事件凸显出针对新闻工作者的高级持续威胁（APT）活动不断演变，利用复杂的零点击技术加大攻击隐蔽性和成功率。

11. Palo Alto Networks防火墙曝权限提升漏洞(CVE-2025-4231)需紧急修补

【CybersecurityNews网站6月12日报道】Palo Alto Networks PAN-OS操作系统Web管理界面存在中等风险命令注入漏洞（CVE-2025-4231，CVSSv4.0评分6.1），允许已认证管理员执行root权限命令。该漏洞影响PAN-OS 10.1全版本、10.2（10.2.0-10.2.7）及11.0（11.0.0-11.0.2）版本，11.1及以上版本不受影响。技术细节，攻击路径：攻击者需先获取管理员凭证并通过网络访问管理界面，利用输入验证缺陷注入恶意命令（CWE-77类漏洞）。风险场景：面向互联网的管理界面风险最高，可能造成系统完全沦陷（符合CAPEC-233权限提升模式）。应对措施，立即升级至PAN-OS 11.0.3/10.2.8或更高版本，10.1用户需迁移至受支持版本。限制管理界面访问权限（建议采用跳转箱架构+VPN接入）。实施网络分段和访问控制列表等纵深防御策略。该漏洞由研究员spcnvdr发现，再次凸显关键基础设施组件安全防护的重要性。

12. OpenPGP.js库存在严重安全漏洞，允许攻击者伪造数字签名欺骗用户

【CybersecurityNews网站6月12日报道】广泛使用的OpenPGP.js库中发现编号为CVE-2025-47934的漏洞，攻击者可利用该漏洞构造特制数据包，绕过签名验证机制，导致签名通过的内容与实际呈现给用户的恶意内容不符，严重破坏数字签名的安全保障。该漏洞影响v5.11.3和v6.1.1之前版本，涉及依赖该库的众多基于Web的加密邮件客户端和应用程序。研究人员展示了如何通过添加恶意压缩数据包，使原本合法签名的消息变为含有攻击者控制内容的消息。OpenPGP.js开发团队已迅速发布补丁修复此问题，建议用户及时升级以确保通信安全。

13. GitLab多个漏洞可导致攻击者完全接管账户

【Cybersecurity News网站6月12日报道】GitLab 社区版（CE）和企业版（EE）被发现存在多个严重安全漏洞，攻击者可利用这些漏洞实现账户接管、破坏开发基础设施，甚至触发拒绝服务（DoS）。GitLab 已紧急发布补丁版本 18.0.2、17.11.4 和 17.10.8，涵盖十个不同级别的漏洞，其中多个 CVSS 评分超过 8.0。最严重的漏洞为 CVE-2025-4278（CVSS 8.7），由 HTML 注入缺陷引发，允许攻击者通过搜索功能注入恶意代码，从而完全控制用户账户。此外，CVE-2025-2254（CVSS 8.7）是 XSS 漏洞，影响多个 GitLab 版本，使攻击者可在代码片段查看器中执行脚本，冒充合法用户执行未经授权的操作。GitLab Ultimate EE 用户还面临 CVE-2025-5121（CVSS 8.5），该漏洞允许认证攻击者向 CI/CD 流水线注入恶意作业，威胁软件开发生命周期。多个 DoS 漏洞也已被披露，包括 CVE-2025-0673、CVE-2025-1516 和 CVE-2025-1478，分别影响旧版本 GitLab，可能耗尽服务器资源。GitLab 强烈建议所有自托管用户立即升级至最新版本，并指出 GitLab.com 已完成修复。由于漏洞信息将在补丁发布30天后公开，组织应尽快实施更新以防止潜在攻击。

14. 微软修复Windows Server 2025重启导致AD域控制器断连问题

【CybersecurityNews网站6月12日报道】微软发布补丁KB5060842，修复了Windows Server 2025中一个严重缺陷，该缺陷导致域控制器重启后无法正确应用域防火墙配置文件，致使网络流量管理异常，导致Active Directory服务断连、身份验证失败及组策略分发中断。该问题自2024年11月系统发布以来困扰企业环境，尤其影响混合云和采用Windows Hello for Business的高安全环境。补丁修复了初始化顺序，确保重启后域控制器能正确管理网络流量。微软建议所有使用该系统的组织尽快安装补丁，并实施监控和测试保障AD服务稳定。

15. 趋势科技Apex One多个漏洞可导致恶意代码注入和权限提升

【Cybersecurity News网站6月12日报道】趋势科技（Trend Micro）发布紧急补丁，修复其企业安全平台 Apex One 中的五个严重漏洞，这些漏洞可被攻击者利用实现恶意代码注入、远程代码执行和权限提升。此次修复涵盖 CVE-2025-49154 至 CVE-2025-49158，CVSS 评分从6.7至8.8不等。其中最严重的漏洞为 CVE-2025-49155（CVSS 8.8），属于数据丢失防护模块中的不受控制搜索路径问题，允许攻击者通过 DLL 劫持远程执行任意代码。此外，CVE-2025-49154（CVSS 8.7）因访问控制不当，使低权限攻击者可覆盖关键内存文件，造成代理不稳定或持久化注入恶意负载。本地攻击者还可通过符号链接滥用，利用 CVE-2025-49156（CVSS 7.0）和 CVE-2025-49157（CVSS 7.8）实现权限提升；而 CVE-2025-49158（CVSS 6.7）则允许攻击者在未引用的服务路径中替换合法二进制文件，获取系统级访问权限。趋势科技建议所有用户立即升级：本地部署用户应更新至 SP1 CP Build 14002，Apex One 即服务用户需安装安全代理版本 14.0.14492。鉴于该平台在企业环境中的关键作用，相关补丁应作为紧急优先事项实施。