安全简讯（2025.11.06）

1. 俄黑客组织Curly COMrades借Hyper-V绕过EDR攻击

11月4日，俄罗斯黑客组织Curly COMrades被曝自2024年年中起活跃，其活动与俄罗斯地缘政治利益密切相关。该组织通过滥用Windows专业版/企业版及Windows Server中的Microsoft Hyper-V虚拟化技术，创建隐藏的基于Alpine Linux的轻量级虚拟机（仅占用120MB磁盘空间和256MB内存）运行恶意软件，成功绕过传统基于主机的端点检测与响应（EDR）解决方案。虚拟机内托管了自定义工具CurlyShell反向shell和CurlCat反向代理：前者通过cron作业保持持久化，以无头模式运行并通过HTTPS连接C2服务器执行命令；后者作为SOCKS代理封装SSH流量为HTTPS请求，实现隐蔽隧道传输，使恶意流量伪装成合法主机IP地址。攻击过程中，威胁行为者首先远程访问受害者系统，启用Hyper-V并禁用其管理界面，部署基于Alpine Linux的极简虚拟机。Bitdefender与格鲁吉亚CERT合作调查发现，该组织还使用两个PowerShell脚本强化攻击：其一将Kerberos票据注入LSASS以实现远程系统身份验证和命令执行；其二通过组策略在域内多台计算机创建本地账户，支持横向移动。

https://www.bleepingcomputer.com/news/security/russian-hackers-abuse-hyper-v-to-hide-malware-in-linux-vms/

2. 《宣言报》数据泄露，政治隐私风险凸显

11月4日，意大利左翼标志性报纸《宣言报》（Il Manifesto）因未设置密码保护的ClickHouse数据库，导致15万付费订阅用户邮箱及1100万条访客行为日志泄露。该数据库包含设备技术细节、会话令牌、IP地址、精度达11米的GeoIP信息及文章推荐来源等敏感数据，还暴露了内部网站分析数据（如文章表现、受众行为、引荐来源），可能被竞争对手用于商业情报窃取。作为1969年创立的激进左翼刊物，《宣言报》曾参与1972年大选并遭遇2000年新法西斯分子炸弹袭击未遂，现为非营利合作社，日发行量约1.5万份。此次泄露虽未涉及密码或直接账户凭证，但读者阅读记录因反映政治兴趣与信仰，属于欧洲隐私法中“特殊类别”信息，面临更严格保护。若数据被政治动机者获取，读者与报社可能遭政府骚扰或监视。

https://cybernews.com/security/il-manifesto-data-leak-exposed-readers/

3. 美国Super Quik遭俄关联勒索团伙攻击

11月3日，美国区域性加油站连锁店Super Quik遭与俄罗斯有关的Play勒索软件团伙攻击，攻击者在暗网泄露监控录像及5.5GB内部文件。此次泄露包含财务报告（每日销售额、利润报告、资产负债表及历年业绩比较）、采购发票（技术设备与维护成本）、监控片段（含员工/顾客面部信息）、薪资变更通知（员工姓名及薪资标准）、装修计划（员工联系方式）、工作评估标准、培训材料及内部政策文件等敏感信息。Play团伙以双重勒索技术闻名，要求支付解密费用并保证不滥用被盗数据。若企业拒绝，其数据将被公开以施压。此次Super Quik数据泄露可能引发多重风险：财务报告与发票可能暴露商业情报、供应商定价及基础设施细节，被竞争对手利用；监控片段可能暴露监控盲区，员工/顾客面部信息涉及隐私与法律问题；薪资、联系方式等数据增加身份盗窃与社会工程攻击风险；内部文件模板可能被用于诈骗，威胁性措辞文件则可能损害公司公众形象。

https://cybernews.com/security/ransomware-super-quik-data-leak/

4. Gootloader恶意软件7个月后卷土重来

11月5日，Gootloader恶意软件加载器在消失7个月后重现，通过SEO投毒推广虚假网站以传播恶意软件。该基于JavaScript的加载器通过被入侵或攻击者控制的网站，诱骗用户下载恶意文档。其攻击链条始于SEO投毒，通过优化特定关键词（如法律文件和协议）在搜索引擎中的排名，吸引用户访问伪装成法律文件模板分享平台的网站。当用户点击“获取文档”按钮时，网站会验证是否为合法用户，随后下载包含.js扩展名的恶意压缩包。执行后，Gootloader会下载Cobalt Strike、后门程序及僵尸程序等恶意载荷，为攻击者提供企业网络初始访问权限，最终可能部署勒索软件。此次回归，Gootloader采用多项新技术规避检测：通过特殊网页字体替换字形，在HTML源代码中隐藏“发票”“合同”等关键词；利用格式错误的ZIP文件，Windows资源管理器解压时释放恶意JS文件，而安全工具解压则显示无害文本文件，干扰分析。此外，攻击者植入Supper SOCKS5后门，实现远程访问。

https://www.bleepingcomputer.com/news/security/gootloader-malware-is-back-with-new-tricks-after-7-month-break/

5. 现代汽车美国公司遭黑客入侵致个人信息泄露

11月5日，近日，现代汽车美国公司（HAEA）遭遇黑客入侵，攻击者通过非法访问其IT环境窃取了包括姓名、社会保障号码（SSN）及驾驶执照在内的个人信息。该公司于3月1日首次发现入侵迹象，随后立即联合外部网络安全专家及执法部门展开调查，确认攻击始于2月22日且已控制局面。HAEA作为现代汽车集团子公司，负责为汽车全生命周期提供IT服务，涵盖远程信息处理、OTA更新、自动驾驶系统及数字化制造平台等，服务范围覆盖270万辆汽车、200万用户及5000名员工。此次事件暴露其系统安全性漏洞，但具体受影响人数及是否涉及客户/用户数据仍不明确。事件调查显示，泄露信息类型存在差异：通知信仅提及姓名，而马萨诸塞州政府门户网站补充列出了SSN和驾照信息。截至发稿，尚未有勒索软件组织宣称对此负责，肇事者身份仍成谜。

https://www.bleepingcomputer.com/news/security/hyundai-autoever-america-data-breach-exposes-ssns-drivers-licenses/

6. CISA紧急通报CentOS Web Panel高危漏洞

11月5日，美国网络安全和基础设施安全局（CISA）近日发布严重警告，威胁行为者正利用CentOS Web Panel（CWP）中的CVE-2025-48703远程命令执行漏洞发起攻击。该漏洞允许未授权攻击者通过有效用户名在CWP实例上执行任意shell命令，影响0.9.8.1204之前所有版本。CWP作为免费开源的Linux服务器管理面板，被广泛用于网站托管、系统管理及VPS/独立服务器运营，其漏洞风险波及全球大量企业及个人用户。漏洞根源在于文件管理器“changePerm”端点存在设计缺陷：当请求中省略用户标识符时，系统仍会处理未授权请求，且“t_total”参数未经安全过滤直接传入shell命令，导致命令注入风险。安全研究员Maxime Rinaudo于6月下旬在CentOS 7环境中成功演示了利用过程，通过向该端点发送恶意POST请求，可注入反向shell以完全控制服务器。CISA已将该漏洞纳入已知利用漏洞（KEV）目录，并依据BOD 22-01指南要求联邦机构在11月25日前应用修复补丁（发布于6月18日），或停止使用受影响产品。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-centos-web-panel-bug-exploited-in-attacks/