洞·见 | 20250630 - 新鲜讯息

- AI 导读 -

上周全球网络安全形势持续紧张，需重点关注：美国国土安全部警告伊朗黑客可能发动报复性网络攻击，伊朗则证实关闭互联网以防范网络威胁；APT42组织针对以色列学者发起钓鱼攻击，朝鲜黑客通过35个恶意npm软件包实施供应链攻击。

数据安全事件频发：牛津市议会20年数据遭泄露，北美钢铁巨头纽柯公司确认数据被窃，西班牙政府官员个人信息被黑客曝光。高级威胁方面，新型FileFix攻击利用Windows文件资源管理器执行恶意命令，SparkKitty间谍软件伪装成热门应用窃取用户图片。

本周特别关注：Scattered Spider团伙将攻击目标扩大至航空与交通运输行业，以及黑客利用ClickOnce与AWS服务针对能源行业发起的复杂攻击行动，凸显关键基础设施面临的持续威胁。

导读由DeepSeek-V3总结生成

热点资讯

美国国土安全部警告伊朗黑客可能发动报复性网络攻击

伊朗证实关闭互联网是为了保护国家免受网络攻击

国家安全事件

【以伊】APT42黑客组织针对以色列学者发起钓鱼攻击

【朝鲜】朝鲜黑客组织利用35个npm软件包传播恶意软件

全球网络安全新动态

新的FileFix攻击利用Windows文件资源管理器执行恶意命令

Scattered Spider黑客团伙将攻击目标扩大至航空与交通运输行业

数据安全事件

【数据泄露】牛津市议会遭遇网络攻击泄露了二十年的数据

【数据泄露】北美钢铁巨头纽柯公司确认数据遭黑客窃取

【数据泄露】黑客泄露西班牙政府官员的个人资料

高级威胁动态

SparkKitty间谍软件伪装成热门应用窃取用户图片

黑客利用ClickOnce与AWS服务发起攻击行动

热点资讯

// 美国国土安全部警告伊朗黑客可能发动报复性网络攻击 //

日期：2025.6.26

美国国土安全部（DHS）近日发布《国家恐怖主义预警系统公告》，警告伊朗支持的黑客组织及亲伊朗黑客行动主义者正加剧对美国境内网络的攻击行为，随着中东局势升温，美国正面临“日益加剧的威胁环境”。公告指出，当前以色列与伊朗的持续冲突正激发本土极端分子的潜在暴力行为风险，若伊朗高层发布宗教指令号召报复，可能促使部分人走向激进行动。同时，近期多起美国本土恐袭事件与反犹或反以情绪有关，该情绪亦可能借由网络空间进一步蔓延。DHS强调，亲伊朗黑客过往曾多次对美国弱防护网络发动攻击，目标涉及医疗、政府、信息技术、工程及能源等行业，攻击手段包括暴力破解、密码喷洒、多因素身份验证疲劳攻击（即“推送轰炸”）等。尽管此次公告未直接提及，但分析人士普遍认为，DHS发出警告的背景很可能与美军于6月15日空袭伊朗福尔多、纳坦兹、伊斯法罕等关键核设施有关，此前6月13日以色列亦空袭多处伊朗目标。对此，伊朗外长已表态称将“采取一切必要手段捍卫国家利益”，并警告袭击将带来“永久性后果”。

资料来源：

https://www.bleepingcomputer.com/news/security/us-homeland-security-warns-of-escalating-iranian-cyberattack-risks/

// 伊朗证实关闭互联网是为了保护国家免受网络攻击 //

日期：2025.6.24

在与以色列冲突持续升级之际，伊朗政府首次证实，其于本周实施全国范围的网络中断，旨在应对来自以色列的持续网络攻击威胁。此前，伊朗多个关键基础设施遭受网络攻击，包括国有银行和加密货币交易平台，引发政府出于“国家安全”理由采取断网措施。伊朗政府发言人莫哈杰拉尼在电视采访中表示，当前局势下，许多敌方无人机依靠互联网进行操控，同时网络也是信息交换的关键手段之一。政府担忧网络攻击将进一步危及国家安全、银行系统及民众生活，故决定启用“国家互联网”，限制全球网络访问。知名黑客组织“掠食性麻雀”（Predatory Sparrow）已宣称对多起攻击事件负责，包括入侵伊朗最大加密平台Nobitex并将资金转入无法使用的钱包，以及摧毁国有银行Bank Sepah的数据，称其与伊朗伊斯兰革命卫队有关。相关追踪机构Elliptic与TRM Labs也确认了加密资金被盗事件。尽管伊朗断网之举引发国内外通信困难，但政府坚称该措施是为了防范更严重的基础设施瘫痪和金融风险。此次事件反映出当前中东冲突中网络空间对抗日趋激烈，断网已成为某些国家应急响应的一部分。

资料来源：

https://securityaffairs.com/179199/cyber-warfare-2/iran-confirmed-it-shut-down-internet-to-protect-the-country-against-cyberattacks.html

国家安全事件

【以伊】APT42黑客组织针对以色列学者发起钓鱼攻击

日期：2025.6.30

以色列安全公司Check Point近日发布报告称，伊朗背景的APT42（又名Educated Manticore、Charming Kitten、Mint Sandstorm）近期针对以色列记者、网络安全专家及学术人员发起了一波精准的钓鱼攻击行动。该行动自2025年1月起持续至今，于6月中旬加剧，攻击者伪装成网络安全从业者，通过电子邮件和WhatsApp进行接触，借助AI生成的措辞专业信息骗取信任，再诱导受害者登录伪造的Google登录界面，从而窃取邮箱凭证和双因素认证代码。APT42使用了定制化的React单页应用（SPA）钓鱼套件，伪装成Google登录界面，并内置实时按键记录器与WebSocket数据通道，能即时传输受害者输入的账号、密码及2FA验证码。此外，攻击者还使用Google Sites托管的虚假Google Meet邀请页面，以增加钓鱼攻击的可信度。

资料来源：

https://securityaffairs.com/179372/apt/apt42-impersonates-cyber-professionals-to-phish-israeli-academics-and-journalists.html

【朝鲜】朝鲜黑客组织利用35个npm软件包传播恶意软件

日期：2025.6.28

Socket安全研究团队披露，朝鲜黑客组织“Contagious Interview”近期再度发动供应链攻击，投放35个恶意npm软件包，并利用LinkedIn冒充招聘人员诱导开发者执行多阶段恶意代码。这一行动与早前披露的“Contagious Interview”社工攻击活动相一致，目标为正在求职的开发者群体。此次攻击中，黑客通过24个npm账号上传带有HexEval加载器的恶意包，并成功诱骗部分开发者在本地运行这些包含恶意依赖的“作业任务”。HexEval加载器在安装时悄悄收集主机信息，并在触发条件下拉取并执行第二阶段信息窃取程序BeaverTail。BeaverTail专门搜索浏览器缓存、加密货币钱包数据、系统密钥链等敏感信息，并视平台环境加载特定窃密逻辑。进一步，它还能下载第三阶段后门程序InvisibleFerret，实现更持久的系统控制。研究人员指出，攻击者将模块名和C2地址编码为十六进制以绕过静态分析，同时构建跨平台键盘记录器增强监控能力。部分软件包中嵌入了基于操作系统的本地钩子组件，可实时捕捉按键数据，进一步暴露受害者隐私。

资料来源：

https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages

全球网络安全新动态

// 新的FileFix攻击利用Windows文件资源管理器执行恶意命令 //

日期：2025.6.26

安全研究员mr.d0x披露一种名为FileFix的新型社交工程攻击手法，该方法利用Windows文件资源管理器（File Explorer）的地址栏执行恶意命令，是ClickFix攻击的变种，攻击路径更隐蔽、更具迷惑性，未来可能被大量威胁行为体采用。传统的ClickFix攻击通常依赖浏览器，将恶意命令复制到剪贴板，再诱导用户通过“运行”对话框或命令行窗口粘贴执行。FileFix则将攻击场景转移到了更日常、更被信任的文件资源管理器界面中，提升了社会工程欺骗的成功率。攻击者创建一个仿真的钓鱼页面，声称有文件已分享，诱导受害者点击“打开文件资源管理器”，实则通过上传文件接口触发资源管理器打开，并悄悄将PowerShell命令复制到剪贴板。攻击关键在于利用PowerShell注释功能，将恶意命令前缀部分隐藏，仅展示一个“看起来正常”的伪造文件路径，引导用户粘贴到地址栏后直接执行。为了避免用户意外选择文件而中断攻击流程，页面还拦截文件选择事件，并提供提示引导用户重新尝试。

资料来源：

https://www.bleepingcomputer.com/news/security/filefix-attack-weaponizes-windows-file-explorer-for-stealthy-powershell-commands/

// Scattered Spider黑客团伙将攻击目标扩大至航空与交通运输行业 //

日期：2025.6.29

据谷歌旗下Mandiant与Palo Alto Networks的Unit 42联合警告，臭名昭著的网络犯罪团伙“Scattered Spider”近期将攻击目标扩大至航空与交通运输行业。该团伙由主要讲英语的年轻黑客组成，以高频次使用社交工程、钓鱼邮件以及对客服施压等手段获取企业内部访问权限著称，背后动机多为勒索与数据盗窃牟利。6月已有两家航空公司遭遇入侵：夏威夷航空已确认其系统受到攻击，正展开恢复；加拿大第二大航空公司西捷航空也在6月13日报告遭遇网络攻击，目前事件尚未解决，媒体报道称此次攻击与Scattered Spider有关。此次攻击潮紧随该团伙对英国零售业与保险业的入侵行动。过去，Scattered Spider曾渗透酒店集团、赌场及科技巨头网络，显示其行动范围广泛、技术手段成熟。

资料来源：

https://techcrunch.com/2025/06/27/prolific-cybercrime-gang-now-targeting-airlines-and-the-transportation-sector/

数据安全事件

【数据泄露】牛津市议会遭遇网络攻击泄露了二十年的数据

日期：2025.6.24

英国牛津市议会近日披露，因一起网络安全事件导致其部分历史系统被非法访问，涉及时间跨度达20年的敏感信息外泄。初步调查显示，受影响数据涉及2001年至2022年间在选举工作中担任过角色的人员，如投票站工作人员与计票员的个人信息。事件还造成市议会信息与通信技术服务中断，虽多数系统已恢复运行，但仍存在部分积压问题，可能影响服务进度。市议会在声明中指出，目前尚无证据表明公民信息被泄露，也未发现攻击者将数据进一步传播或大规模窃取的迹象。牛津市议会已启动对确认受影响人员的单独通知程序，并同步通报相关政府监管机构与执法机关。为防止此类事件再次发生，市议会表示将加固系统安全措施，并加强对历史数据系统的管理与审计。作为服务15万居民的地方政府，牛津市议会此次事件凸显出老旧系统在信息保护方面的脆弱性，也再次提醒公共机构需重视对历史数据资产的安全防护。

资料来源：

https://www.bleepingcomputer.com/news/security/oxford-city-council-suffers-breach-exposing-two-decades-of-data/

【数据泄露】北美钢铁巨头纽柯公司确认数据遭黑客窃取

日期：2025.6.25

北美最大钢铁制造与回收企业纽柯公司（Nucor）近日向美国证券交易委员会（SEC）提交更新报告，确认在近期网络安全事件中，攻击者不仅入侵其系统，还窃取了公司网络中的部分数据。该事件最早于上月被披露，当时纽柯公司已采取紧急应对措施，包括主动关闭部分系统、暂停多个工厂的生产运营，并通报执法机构与外部网络安全专家协助调查。如今，公司确认威胁行为者成功从其信息系统中“外流了有限的数据”，但未透露涉及的具体数据种类或是否包括敏感商业信息。纽柯在报告中表示，相关受影响系统已恢复正常使用，生产也已恢复，公司认为攻击者已被驱逐出网络。根据规定，公司将继续评估所涉数据，并按法律要求通知可能受影响的各方及监管机构。尽管纽柯未说明是否遭遇勒索软件攻击，目前尚无黑客组织公开对此事件负责。然而考虑到当今常见的“双重勒索”模式，攻击者在加密系统前往往会先窃取数据，此次事件仍具备类似特征。

资料来源：

https://www.bleepingcomputer.com/news/security/steel-giant-nucor-confirms-hackers-stole-data-in-recent-breach/

【数据泄露】黑客泄露西班牙政府官员的个人资料

日期：2025.6.30

西班牙警方正在调查近期针对政府官员和政治人物的大规模信息泄露事件，其中包括总统佩德罗·桑切斯的个人邮箱和国家身份证号。此次攻击由网名为“@akkaspace”的黑客发起，自6月19日以来已连续三次通过多个平台发布包含数百名现任与前任政治人物、左翼记者和评论员的个人资料，内容涵盖手机号、住址、邮箱、身份证号等敏感信息。被泄人员涉及多个政治派别，包括执政的西班牙工人社会党（PSOE）、反对党人民党以及与执政党联合执政的左翼政党Podemos。泄露信息中还包括一个长达500页的文档，列出多名Podemos注册成员的账户信息与密码。此次事件发生背景复杂。西班牙工人社会党近日深陷腐败丑闻，涉嫌高官利用职权操控政府合同换取回扣，引发公众愤怒。总统桑切斯此前已就此表态“深感愤怒与悲痛”，并宣布对党内账户启动独立审计。此次数据泄露无疑加剧了政治局势的不稳定性，也为西班牙政坛安全治理敲响警钟。

资料来源：

https://www.govinfosecurity.com/hacker-leaks-personal-data-spanish-politicians-a-28849

高级威胁动态

// SparkKitty间谍软件伪装成热门应用窃取用户图片 //

日期：2025.6.26

近日，卡巴斯基（Kaspersky）研究人员披露一项重大安全威胁：名为SparkKitty的新型间谍软件已成功渗透苹果App Store和谷歌Play Store，主要通过伪装成热门应用传播，并广泛窃取用户手机中的图片，重点寻找与加密货币相关的信息。攻击者通过伪造如TikTok的改版应用进行传播，有些还附带虚假购物功能“TikToki Mall”，鼓励用户用加密货币进行消费，进一步诱导用户上传照片或截图，其中可能包含助记词、私钥等敏感信息。Android平台方面，SparkKitty被嵌入在带有加密货币和博彩功能的App中，其中一个被伪装成通讯工具的应用在Play Store上获得超过一万次下载。部分变种通过第三方网站传播，并通过Google ML Kit图像识别功能读取图片内容，提取可能包含钱包助记词的截图文字，延续了SparkKitty的前身“SparkCat”的技术思路。

资料来源：

https://securelist.com/sparkkitty-ios-android-malware/116793/

// 黑客利用ClickOnce与AWS服务发起攻击行动 //

日期：2025.6.28

安全公司Trellix近日揭露一项名为“OneClik”的复杂攻击行动，攻击者利用微软ClickOnce部署技术及亚马逊云服务，配合Golang后门“RunnerBeacon”，针对能源、石油和天然气等关键行业展开隐蔽攻击。此行动自2023年已有前兆，于2025年3月起持续活跃，具备高度隐匿性及沙箱逃避能力。攻击链始于钓鱼邮件，诱导受害者点击托管于Azure平台的虚假硬件分析网站，从而下载安装伪装为工具的.APPLICATION文件。该文件通过ClickOnce机制由dfsvc.exe执行，绕过用户权限控制，进而加载.NET恶意组件OneClikNet，通过AppDomainManager注入手法劫持合法程序如ZSATray.exe执行恶意指令。后续载荷RunnerBeacon通过RC4加密及MessagePack序列化方式与攻击者通信，具备远程命令执行、文件操作、进程枚举、端口扫描及SOCKS代理功能，并使用“obfuscate_and_sleep”机制与随机beacon间隔增加分析难度。

资料来源：

https://www.bleepingcomputer.com/news/security/oneclik-attacks-use-microsoft-clickonce-and-aws-to-target-energy-sector/