5th域安全微讯早报【20250514】115期

5. 英国Co-op超市供应链遭网络攻击重创商品短缺将持续至六月

【Securitylab网站5月13日报道】英国大型零售商Co-op在遭遇网络攻击两周后仍面临严重供应链中断，全国门店货架出现大面积空置。此次攻击导致配送中心出货量骤降至正常水平的20%以下，尤其影响肉类、乳制品等生鲜商品的供应。公司CEO确认系统遭受"严重中断"并发生数据泄露，但拒绝透露具体细节。内部员工预计供应链完全恢复需等到6月，这与早前遭受类似攻击的玛莎百货恢复进度相符。尽管公司声称正在优先恢复冷藏食品和必需品供应，但苏格兰艾莱岛等偏远地区仍面临严峻短缺。作为拥有3000多个网点的消费者合作社，Co-op上财年营收达113亿英镑，但未公开此次事件造成的具体财务损失。

6. 朝鲜黑客组织APT37利用"玩具总动员"主题发起无痕攻击

【Securitylab网站5月13日报道】朝鲜黑客组织APT37近期针对朝鲜活动人士发起代号"ToyBox Story"的网络攻击。攻击者伪装成学术论坛邀请，以"特朗普时代2.0：韩国的前景与应对"为诱饵，通过包含恶意LNK快捷方式的ZIP附件传播RoKRAT间谍软件。该攻击采用无文件技术，利用Dropbox等云服务作为C2服务器，实现内存驻留而不留磁盘痕迹。恶意软件具备信息窃取、远程控制等功能，使用多层加密方案(XOR、AES-CBC和RSA)逃避检测。安全专家指出，APT37保持核心代码不变但不断更新传播方式，显示出高度适应性和隐蔽性。建议用户警惕可疑邮件，企业应加强端点行为监控以应对此类高级威胁。

7. macOS现漏洞PoC，沙盒安全受挑战

【Cybersecuritynews网站5月13日报道】针对苹果macOS系统CVE-2025-31258漏洞的概念验证（PoC）利用程序已发布。该漏洞存在于RemoteViewServices框架，可使恶意应用突破macOS沙盒保护机制，威胁系统资源与用户数据安全。苹果于5月12日发布的macOS Sequoia 15.5更新已修复此漏洞，但补丁发布数小时后，安全研究员“wh1te4ever”就在社交平台分享了PoC利用程序及代码库链接、演示视频，展示了“部分”沙盒逃逸效果。沙盒是macOS重要安全防线，而此次漏洞却能突破限制。虽苹果未发现该漏洞被主动利用的情况，但PoC利用程序的公开增加了未更新系统受攻击风险。此次漏洞修复是苹果5月12日安全更新的一部分，该更新还修复了afpfs、WebKit等多个组件的漏洞。安全专家建议macOS用户和相关组织，尽快更新到macOS Sequoia 15.5，开启自动更新功能，谨慎安装应用，留意系统异常。此次事件凸显及时更新系统对保障安全的关键作用。

8. 苹果紧急修复macOS与iOS多个高危漏洞涉及敏感数据泄露风险

【Cybersecuritynews网站5月13日报道】苹果公司发布了macOS Sequoia 15.5关键安全更新，修复了影响多个系统组件的8个高危漏洞，这些漏洞可能导致恶意应用窃取用户敏感数据。此次更新涉及Apple Intelligence Reports、Core Bluetooth、Finder及隐私控制框架TCC等核心组件。其中最严重的漏洞（CVE-2025-31260）由德国达姆施塔特大学研究员发现，允许未授权应用越权访问数据；Core Bluetooth组件（CVE-2025-31212）因状态管理缺陷可能泄露信息。此外，通知中心、StoreKit及沙盒机制均存在隐私边界突破风险。苹果强调所有用户应立即通过“系统设置”手动更新或启用自动补丁。尽管暂无广泛攻击迹象，但漏洞的集中爆发凸显了复杂系统中隐私保护的挑战。

9. Ivanti紧急修复EPMM零日漏洞可导致远程代码执行

BleepingComputer网站5月13日报道，Ivanti公司发布安全公告，修复其Endpoint Manager Mobile(EPMM)产品中的两个高危漏洞(CVE-2025-4427和CVE-2025-4428)。这两个漏洞可被串联利用，使攻击者无需认证即可实现远程代码执行。Ivanti表示已发现少数客户遭攻击，建议用户立即升级至11.12.0.12.3.0.2、12.4.0.2或12.5.0.1版本。Shadowserver监测显示全球有数百个EPMM实例暴露在线，主要分布在德国和美国。此次漏洞仅影响本地EPMM产品，云端服务不受影响。这是Ivanti近年来遭遇的又一起重大安全事件，此前其VPN设备等产品也曾多次曝出零日漏洞。

10. 微软紧急修复Windows DWM零日漏洞攻击者可获取系统级权限

【Cybersecuritynews网站5月13日报道】微软在5月补丁日修复了一个已被主动利用的Windows桌面窗口管理器(DWM)零日漏洞(CVE-2025-30400)。该高危漏洞属于"释放后使用"内存损坏类型，允许已获本地访问权限的攻击者提升至SYSTEM特权级别。微软证实该漏洞在补丁发布前已被野外利用，其威胁情报中心自主发现了这一威胁。漏洞CVSS评分为7.8，影响范围广泛。作为包含83个漏洞修复的5月安全更新的一部分，微软强烈建议用户立即安装补丁。此次事件再次凸显了Windows核心组件漏洞的重大风险，企业应确保及时部署关键安全更新。

11. 微软紧急修复WinSock零日漏洞攻击者可提权至系统管理员

【Cybersecuritynews网站5月13日报道】微软在5月补丁日修复了Windows辅助功能驱动程序WinSock(afd.sys)中的一个高危零日漏洞(CVE-2025-32709)。该漏洞属于"释放后使用"内存损坏类型，可使已获本地访问权限的攻击者提升至系统管理员权限。作为本月修复的五个活跃利用漏洞之一，该漏洞虽被评级为"重要"非"危急"，但其野外利用状态引发安全专家高度关注。微软警告该漏洞影响所有受支持的Windows系统，建议管理员立即部署补丁，并特别关注面向互联网的关键系统。安全研究人员预测漏洞利用代码可能很快扩散，未及时更新的系统将面临重大风险。

12. 微软紧急修复脚本引擎高危漏洞攻击者可远程执行代码

【Cybersecuritynews网站5月13日报道】微软在5月补丁日中修复了脚本引擎中的一个严重内存损坏漏洞(CVE-2025-30397)。该漏洞属于类型混淆漏洞(CWE-843)，当用户在Edge浏览器的IE模式下访问恶意URL时，攻击者可实现远程代码执行。尽管攻击复杂度较高，但微软确认该漏洞已被广泛利用。作为本月修复的72个漏洞之一，该漏洞因其远程完全入侵系统的风险而备受关注。微软建议用户立即安装安全更新，并考虑禁用IE模式以降低风险。此次事件再次凸显了遗留组件在现代系统中的安全隐患。

13. Fortinet曝高危0day漏洞攻击者可完全控制企业安全设备

【Cybersecuritynews网站5月13日报道】Fortinet披露其安全产品线中存在一个CVSS评分9.6的严重漏洞(CVE-2025-32756)。该基于堆栈的缓冲区溢出漏洞影响FortiVoice、FortiMail等多款产品，允许攻击者通过特制HTTP请求远程执行任意代码。Fortinet已观察到攻击者利用该漏洞进行网络侦察、日志擦除和凭证窃取等活动，并公布了6个关联IP地址和多个入侵指标。受影响的版本包括FortiVoice 6.4.0-7.2.0等多个系列，Fortinet建议用户立即升级或禁用HTTP管理接口。这是Fortinet产品近年来遭遇的又一起重大安全事件，凸显网络安全设备作为高价值目标的特殊风险。

14. 供应链漏洞频发，UEFI固件安全告急

【Cybersecuritynews网站5月13日报道】2022-2025年间，固件供应链安全问题不断，致使数百万设备的UEFI固件暴露在预操作系统威胁之下。英特尔证书过期、多家厂商BootGuard私钥泄露以及生产环境滥用测试密钥等情况频发，这并非孤立事件，而是UEFI生态系统加密密钥管理的系统性故障。其中，2024年发现的“PKfail”漏洞影响广泛，约10%的固件映像受波及，多家厂商产品中都存在含测试平台密钥的问题，直至公开披露后受影响设备占比才大幅下降。尽管目前2025年暂未检测到受该漏洞影响的设备，但新的风险仍在涌现。比如，Binarly研究人员发现了Microsoft签名的UEFI模块中的内存损坏漏洞（CVE-2025-3052），凸显了固件层面仍易遭受攻击。这些漏洞危害极大，攻击者利用泄露密钥签署恶意固件，借助内存损坏漏洞执行代码，可绕过安全启动机制，安装持久化启动工具包，获取系统特权访问，严重威胁计算机安全。

15. 俄罗斯移动应用安全调查报告：半数用户冒险安装非官方软件

【Securitylab网站5月13日报道】RuStore应用商店与F6公司联合研究显示，53%的俄罗斯用户曾安装过来源不明的应用程序，使设备暴露于CraxsRAT和NFCGate等恶意软件风险中。调查发现，尽管90%用户避免点击可疑链接，84%采用不同密码策略，仍有47%受访者坚持仅使用官方商店，16%依赖安装后杀毒扫描，10%完全不采取防护措施。研究指出，2025年3月俄罗斯约有20万台Android设备感染恶意程序，网络犯罪份子常伪装成政府服务、支付工具等诱骗用户下载。专家特别警告，Android设备通过第三方渠道安装应用将显著增加感染远程控制木马的风险。该调查通过HiTech Mail平台进行，共覆盖3200名受访者。

16. 智能技术让汽车更加舒适，也为黑客提供便利

【Securitylab网站5月13日报道】布达佩斯PCAutomotive的一群欧洲白帽黑客在Black Hat Asia 2025大会上展示了如何远程入侵2020款日产LEAF电动汽车。他们使用从eBay上购买的零件自制的模拟器，成功控制了方向盘、实时跟踪汽车、记录对话以及读取乘客短信。攻击利用了蓝牙协议和DNS C2通道中的漏洞，以及网络流量过滤薄弱和缺少对加载的内核模块的数字签名验证等问题。已发现的漏洞包括绕过防盗系统（CVE-2025-32056）、拦截更新（CVE-2025-32057）、多种缓冲区溢出变体（CVE-2025-32058至CVE-2025-32062），以及维持对Wi-Fi网络的访问（CVE-2025-32063）和利用旧漏洞（CVE-2017-7932）。最危险的部分是远程转向控制，通过打破CAN子网之间的逻辑隔离实现。隐私泄露还包括访问多媒体系统，如播放音频、访问麦克风和通话记录。所有漏洞已于2023年8月至2024年9月期间向制造商披露。报告指出，这些黑客技术揭示了现代“智能”汽车设计的系统性缺陷，需要制造商高度重视。类似问题也可能存在于配备电子转向、刹车和加速器控制的传统汽车中。

17. 恶意软件PupkinStealer威胁Windows用户，窃取敏感数据

【Cybersecuritynews网站5月13日报道】一种名为“PupkinStealer”的信息窃取恶意软件对全球Windows用户构成重大威胁。该恶意软件基于C#，利用.NET框架，于2025年4月首次被发现。它主要通过社会工程策略传播，诱使用户执行未签名可执行文件。其主要目标是利用本地加密密钥和Windows数据保护API，从Chrome、Edge、Opera和Vivaldi等流行浏览器中获取凭据。此外，它还会窃取Telegram会话、Discord令牌、特定扩展名的桌面文档，并截取屏幕截图。PupkinStealer将窃取的数据聚合到名为“[用户名]@ardent.zip”的压缩文件中，通过Telegram的BotAPI传输给攻击者。虽然缺乏持久性机制，但其针对性和数据收集能力对企业和个人隐私构成威胁，威胁评分为6.5/10（升高）。其渗透过程复杂，通过特定HTTPPOST请求结构传输数据，使检测难度增加。

18. 黑客利用PyInstalle部署macOS信息窃取程序

【Cybersecuritynews网站5月13日报道】网络安全专家发现了一种新型信息窃取恶意软件，该软件利用合法开发工具PyInstaller部署，能够在流行的扫描平台上潜伏数月而不被检测。攻击者使用PyInstaller将恶意代码打包成看似无害的Mach-O二进制文件，利用macOS12.3删除系统安装的Python后，PyInstaller成为攻击者的宝贵工具。该恶意软件在执行时会创建AppleScript对话框收集用户凭证，操纵系统设置，并与命令与控制服务器建立通信。它能够直接从macOSKeychain中提取保存的凭据，并针对加密货币钱包进行金融盗窃。研究人员通过专用工具Pyinstxtractor和PyLingual发现了多层保护机制，包括字符串反转、base85编码、XOR加密和zlib压缩。安全专家建议对未签名的Mach-O可执行文件提高警惕，并对PyInstaller相关的工件和可疑环境变量实施高级监控。

19. 朝鲜黑客借学术邀请与Dropbox传播恶意软件

【Cybersecuritynews网站5月13日报道】2025年3月朝鲜政府支持的黑客组织APT37发起针对朝鲜事务活动人士的鱼叉式网络钓鱼活动。黑客伪装成韩国国家安全智库发送学术论坛邀请邮件，借邮件内Dropbox链接诱导受害者下载含恶意快捷方式（LNK文件）的压缩包，执行无文件恶意软件，此手段被称为“依赖可信站点”（LoTS），可绕过安全控制。Genians安全中心（GSC）将该活动命名为“Operation:ToyBoxStory”。研究发现，APT37在保留RoKRAT恶意软件家族核心组件的同时进化了攻击策略。恶意软件不仅窃取数据，还会截图、收集系统信息并持续控制受感染系统，疑似收集与韩国国家安全战略相关的情报。从感染机制来看，受害者执行LNK文件后，其嵌入的PowerShell命令会创建隐藏文件，利用XOR逻辑加载加密有效载荷，最终RoKRAT恶意软件通过被盗OAuth令牌与服务器通信。该恶意软件还分解文件扩展名、采用复杂加密手段躲避检测。安全专家建议组织部署基于EDR的异常检测功能，以应对此类高级持续性威胁。

20. 土耳其APT组织利用Output Messenger零日漏洞攻击库尔德军事目标

【SecurityLab网站5月13日报道】微软威胁情报中心发现与土耳其政府有关联的APT组织Marbled Dust（又名Sea Turtle）正在利用企业通讯软件Output Messenger的零日漏洞（CVE-2025-27920）对伊拉克库尔德军事相关目标实施网络间谍活动。该目录遍历漏洞允许攻击者在服务器上放置恶意可执行文件，窃取配置、用户数据等敏感信息。尽管开发商Srimax已于2024年12月发布修复补丁（V2.0.63），但未及时更新的用户仍遭受攻击。攻击者植入"OMServerService.exe"后门程序，通过DNS欺骗等技术获取凭证，完全控制用户通信系统。微软评估认为，此次攻击表明该组织技术能力提升，且企业通讯系统正成为网络间谍活动的新切入点。该组织长期活跃于中东和欧洲，主要针对电信、IT基础设施及反对土耳其当局的组织。