5th域安全微讯早报【20250528】127期

4. 阿迪达斯证实第三方服务商漏洞致客户数据泄露

【Cybersecuritynews网站5月27日报道】德国运动品牌阿迪达斯披露，其第三方客户服务提供商遭黑客入侵，导致曾与客服互动的消费者联系信息外泄。事件发生于5月23日，但未涉及密码、信用卡等支付数据。这已是2025年零售业第六起重大第三方数据泄露事件，此前玛莎百货、迪奥等品牌均遭遇类似攻击。据Verizon《2025年数据泄露调查报告》显示，第三方泄露事件占比从去年15%激增至30%，62%的网络入侵通过供应链发起。此类攻击因能规避企业自身安全防护，且造成损失比直接攻击高5%（含声誉损害及业务中断），成为犯罪者首选。阿迪达斯已启动GDPR合规流程通知受影响用户。专家建议企业实施第三方风险管理（TPRM），包括供应商安全评估、多因素认证（MFA）及零信任架构；采用数据安全态势管理（DSPM）工具监控供应商访问，并配合AES256加密与分层密钥管理降低风险。此次事件再次凸显零售业供应链安全防护的紧迫性。

5. 暗网犯罪服务价格曝光：企业网络访问权限最低仅售100美元

【Securitylab网站5月27日报道】网络安全公司F6发布的最新暗网研究报告显示，企业网络初始访问权限在暗网上的售价仅为100至10000美元，具体价格取决于企业规模和行业。报告指出，2024年暗网上此类交易数量激增至4000余起，较2019年的130起增长显著。这些交易通常包含通过恶意软件获取的数十至数百个访问凭证，包括VPN、RDP和Active Directory账户等。研究还发现网络犯罪呈现"订阅服务"趋势，攻击者可购买网络钓鱼工具包、恶意软件构建平台等犯罪SaaS服务。包含个人和公司信息的数据库售价在100至1000美元不等，而零日漏洞利用最高可售25万美元。值得注意的是，2024年俄罗斯和白俄罗斯公司数据库泄露数量达455个，较前一年几乎翻倍，且多数通过Telegram渠道交易。F6建议企业通过持续监控暗网活动来预防潜在攻击。

6. 美国政府通信元数据大规模泄露 60余名高官通讯记录遭曝光

【Securitylab网站5月27日报道】TeleMessage政府专用通讯平台发生重大数据泄露事件，涉及60多名美国政府雇员通信档案，包括白宫、特勤局、外交使团等关键部门官员。泄露数据涵盖5月4日前约一天的通信记录，包含美国官员访问梵蒂冈和约旦的后勤信息及联邦紧急事务管理局内部通讯。此次泄露的特殊性在于，虽然通信内容敏感度有限，但前美国国家安全局专家指出，元数据（通信对象及时序）本身具有重大情报价值。事件曝光后，TeleMessage服务已于5月5日被紧急关闭。网络防御局(CISA)建议所有用户暂停使用该平台，目前国土安全部等涉事部门正在展开内部调查。值得关注的是，这已是前国家安全顾问迈克·沃尔兹第二次因通讯安全问题陷入争议。

7. 大众汽车"柴油门"丑闻四名前高管获刑最高判4年半监禁

【Securitylab网站5月27日报道】德国布伦瑞克法院对大众汽车"柴油门"丑闻作出判决，四名前高管因合谋欺诈被定罪。其中柴油发动机开发部门负责人Jens Hadler获刑4年6个月，成为该案迄今为止被判刑期最长的高管。法院认定被告自2007年起就知晓并参与排放作弊软件研发，故意向监管机构隐瞒真实排放数据。这起持续3年多的审判揭露，大众汽车在无法实现排放目标时，选择安装可识别实验室测试条件的作弊软件，导致实际行驶中车辆排放超标。该丑闻2015年曝光后，不仅使大众付出超300亿美元代价，更导致欧洲柴油车市场份额从50%骤降至不足10%。尽管大众已转型电动车市场并取得领先地位，但仍有30余名前高管面临司法调查，包括前CEO文德恩。

8. 40万受害者、数百万欧元和首次网络审判：黑客爱情变成了真正的监狱

【Securitylab网站5月27日报道】比利时联邦检察官办公室要求对一对涉嫌创建和传播Crylock勒索软件的夫妇判处严厉监禁。Crylock是一种危险的勒索软件，攻击者通过该软件远程阻止受害者计算机上的文件访问，并要求支付赎金以解除阻止。此次攻击的规模令人震惊，全球可能有多达40万人受到影响，而根据官方数据，这对夫妇的非法收入超过300万欧元。主要被告是一名40岁的男子V.S.，调查人员认为他是Crylock程序的开发者。他的44岁同伴E.T.则负责向潜在买家推销该恶意工具，并与受害者协商付款。这对夫妇通过电子邮件或远程访问感染设备，一旦数据被封锁，就会要求受害者以加密货币支付赎金。调查显示，这对夫妇还根据其他犯罪集团的需求修改Crylock，并向他们出售修改后的版本，从中获取部分利润。其中一个加密货币钱包被发现至少有价值5300万欧元的比特币。调查始于2016年，七年后这对夫妇在西班牙被捕，并于2023年6月被引渡到比利时。检察官办公室要求对V.S.判处10年监禁，另外因拒绝提供笔记本电脑密码而被判处3年监禁和40万欧元罚款。对于E.T.，检察官要求分别判处7年和3年监禁，并处以25万欧元罚款。被告的律师坚称他们的当事人完全无辜，认为比利时法院对此案没有管辖权。判决将于6月26日公布。检察官强调，这是比利时首次有外国人因大规模勒索软件相关网络犯罪而受审，表明确实有可能调查和制止此类犯罪。

9. 伊朗黑客承认参与Robbinhood勒索软件攻击，或面临30年监禁

【Bleepingcomputer网站5月27日报道】美国司法部披露，39岁伊朗公民Sina Gholinejad（化名Sina Ghaaf）对参与Robbinhood勒索软件团伙的犯罪活动表示认罪。该团伙自2019年1月至2024年3月期间，针对美国多个城市及组织实施网络攻击，包括巴尔的摩、格林维尔等地方政府，以及医疗机构和非营利组织。攻击者通过漏洞利用或管理员权限入侵网络，手动部署勒索软件加密文件，并勒索比特币赎金，同时以泄露窃取数据为要挟。Robbinhood团伙因2019年瘫痪巴尔的摩IT系统而臭名昭著，其利用合法但存在漏洞的技嘉驱动程序（gdrv.sys）绕过杀毒软件防护。赎金通过Tor暗网协商，犯罪者借助欧洲服务器、VPN及加密货币混合器隐匿行踪。Gholinejad因共谋实施欺诈、计算机入侵等罪名，最高面临30年监禁。

10. MathWorks确认服务中断系勒索软件攻击所致

【Bleepingcomputer网站5月27日报道】知名数学计算软件开发商MathWorks披露，其近期服务中断由勒索软件攻击引发。该公司开发的MATLAB和Simulink软件被全球超10万组织和500万用户使用。攻击始于5月18日，导致云中心、许可证中心等在线服务瘫痪，部分内部系统亦受影响。尽管MathWorks已逐步恢复多因素认证（MFA）和单点登录（SSO）功能，但仍有用户反映无法创建账户或登录。该公司未透露攻击者身份及是否发生数据泄露，目前尚无勒索软件组织宣称负责，推测可能已支付赎金或仍在谈判中。

11. 越南以安全为由下令禁用Telegram通讯应用

【The Record网站5月27日报道】越南政府以国家安全为由，要求国内电信运营商在6月2日前屏蔽Telegram通讯平台。越南科技部指控该应用未能配合打击平台上的非法活动，包括欺诈、贩毒及传播反政府内容。越南官方报告显示，该国可访问的9600个Telegram频道中近70%涉及非法行为。Telegram发言人回应称对禁令决定感到"惊讶"，并强调已配合越南的法律请求。这是越南近期针对科技平台的又一举措，此前曾威胁封锁Facebook和TikTok。Telegram创始人杜罗夫今年早些时候因平台监管问题在法国被捕，目前该平台全球用户已达9.5亿。

12. Arm Mali GPU漏洞可绕过MTE并实现任意内核代码执行

【Cybersecuritynews网站5月27日报道】安全研究人员发现Arm的Mali GPU驱动程序中存在一个严重漏洞（CVE-2025-0072），该漏洞允许恶意Android应用程序绕过内存标记扩展（MTE）保护并实现任意内核代码执行。该漏洞对配备采用命令流前端（CSF）架构的较新Arm Mali GPU的设备构成重大威胁，包括Google的Pixel 8和9系列智能手机。该漏洞源自安全专家Man Yue Mo的研究，他于2024年12月12日向Arm报告了该问题。Arm已在Mali驱动程序版本r54p0中解决了该漏洞，并将其纳入5月的Android安全更新中。攻击媒介涉及通过命令队列利用Mali GPU和用户空间应用程序之间的通信机制，具体针对驱动程序中的kbase_queue对象实现。该漏洞利用了kbase_queue对象在队列绑定操作期间管理内存分配的设计缺陷。当使用KBASE_IOCTL_CS_QUEUE_BIND ioctl创建kbase_queue并将其绑定到kbase_queue_group时，驱动程序会分配GPU内存页面并将其地址存储在queue->phys字段中。然而，在队列终止和重新绑定过程中，会出现第二次内存分配，覆盖原来的queue->phys地址。攻击者可以利用这一缺陷创建页面释放后使用条件，从而操纵GPU内存管理结构，最终实现任意内核代码执行，同时绕过MTE保护。该漏洞的重要性不仅在于它能够危害设备安全，还在于它表明可以通过复杂的驱动程序级攻击系统地绕过现代硬件安全扩展。研究人员在启用了内核MTE的Pixel 8设备上成功开发并测试了该漏洞，这表明该漏洞会影响MTE正在主动防止内存安全违规的实际部署。

13. GitHub MCP服务器漏洞致使攻击者可访问私有存储库

【Cybersecuritynews网站5月27日报道】广泛使用的GitHub模型上下文协议（MCP）服务器中被发现存在一个严重的安全漏洞，该漏洞可能使攻击者能够访问私有存储库数据。该漏洞影响使用GitHub MCP集成的任何代理系统，该系统在GitHub上已有超过14,000颗星，成为恶意行为者的热门目标。攻击者可以在公共存储库中创建包含隐藏提示注入有效负载的恶意问题，当用户与AI代理交互以审查存储库问题时，这些恶意提示可以劫持代理的行为，强迫其访问和泄露来自私有存储库的敏感信息。这种攻击利用了用户与AI代理之间的信任关系，而不是传统的软件漏洞。Invariantlabs的研究人员在自动安全扫描计划中发现了这一漏洞，该计划旨在检测“有毒代理流”，即AI代理被操纵执行非预期操作（如数据泄露或执行恶意代码）的情况。这一发现凸显了当前AI代理安全框架中的一个关键盲点，即使是高度一致的模型，如Claude 4 Opus，也容易受到精心设计的提示注入的操纵。该漏洞的影响不仅限于个人用户，还可能影响整个组织，尤其是那些采用AI开发工具的组织。随着软件行业迅速采用编码代理和AI集成IDE，这一发现提醒我们，传统的安全措施可能不足以抵御这种新型攻击。该漏洞特别令人担忧，因为它不需要直接破坏MCP工具本身，而是利用代理对外部数据源的固有信任。随着组织越来越依赖这些工具进行敏感的开发工作，专有代码和机密项目信息的广泛泄露可能会对知识产权和竞争优势构成巨大风险。

14. GIMP图像编辑器漏洞可导致远程攻击者执行任意代码

【Cybersecuritynews网站5月27日报道】据相关报道，热门图像编辑软件GIMP被发现存在两个严重的安全漏洞（CVE-2025-2760和CVE-2025-2761），这些漏洞允许远程攻击者在受影响的系统上执行任意代码。这两个漏洞于2025年4月7日公开披露，影响3.0.0版本之前的GIMP安装。这两个漏洞都需要用户交互，特别是打开恶意文件或访问受感染的网页，才能触发成功利用。这些漏洞由安全研究员Michael Randrianantenaina发现，并通过零日计划（ZDI）报告，每个漏洞的CVSS v3.0基本评分为7.8，严重性级别为“高”，表明可能对系统机密性、完整性和可用性产生重大影响。XWD文件解析整数溢出漏洞（CVE-2025-2760）：该漏洞源于对用户提供的数据验证不足，可能导致在缓冲区分配之前出现整数溢出情况。攻击者可以利用此漏洞在当前GIMP进程的上下文中执行任意代码，根据用户权限，可能会危及整个系统。FLI文件处理越界写入缺陷（CVE-2025-2761）：该漏洞涉及越界写入情况，由于对用户提供的数据验证不足，可能导致写入操作超出分配的内存缓冲区边界。攻击者可以制作恶意FLI文件，该文件在由GIMP处理时会触发越界写入，从而在当前进程的上下文中执行远程代码。这两个漏洞均已在GIMP 3.0.0版本中得到解决，该版本于2025年3月16日发布，比公开披露早了大约三周。GIMP开发团队实施了适当的输入验证机制，以防止文件解析例程中出现整数溢出情况和越界写入操作。

15. HTTP/2协议曝重大安全漏洞清华团队发现新型跨站脚本攻击

【Cybersecuritynews网站5月27日报道】清华大学研究团队在网络与分布式系统安全(NDSS)研讨会上披露了HTTP/2协议实现中的两个高危漏洞"CrossPUSH"和"CrossSXG"。这些漏洞允许攻击者绕过同源策略(SOP)保护，对主流网站执行任意跨站脚本(XSS)攻击。研究显示，包括Chrome和Edge在内的11款主流浏览器以及Instagram、微信、TikTok等热门移动应用均受影响。漏洞源于浏览器"来源"定义与HTTP/2"权限"定义间的差异。攻击者通过操纵HTTP/2服务器推送流中的:authority伪头或签名HTTP交换中的request-url标头，使浏览器错误接受恶意内容为合法资源。研究人员证实，攻击者可利用域名转售或悬空DNS记录获取共享TLS证书，Tranco Top 1M网站中有11,741个域名存在转售风险。目前华为、百度、微软和谷歌等厂商已着手修复。

16. 苹果因0day漏洞重建iOS内核，iOS安全策略重大转变

17. 加密货币交易所被指运作模式类似赌场普通投资者成"被收割对象"

【Securitylab网站5月27日报道】康考迪亚大学最新研究揭示加密货币交易所运作机制与赌场高度相似。研究表明，交易所通过高杠杆交易（如BitMEX提供100:1杠杆）、游戏化界面设计以及社交心理操控等手段，刻意模糊投资与赌博界限，将高风险投机包装成娱乐活动。交易所盈利模式完全依赖于交易频率而非用户收益，每笔交易无论盈亏都会产生佣金。研究指出，加密货币市场存在严重不平等现象：富裕投资者用可承受损失的资金进行投机，而普通投资者则被鼓励"逢低买入"并承担全部风险。数据显示，交易所通过算法优势和信息不对称保持稳定盈利，而约80%的散户交易者最终亏损。这种模式再现了传统金融体系最糟糕的特征，并以更激进的形式发展。随着传统金融机构开始效仿这种游戏化设计，金融系统的风险边界正变得越来越模糊。

18. 道德黑客从边缘走向主流：50位新晋百万富翁背后的行业变革

【Dark Reading网站5月28日报道】漏洞赏金平台HackerOne最新数据显示，过去六年已造就50位通过发现安全漏洞致富的百万富翁，标志着道德黑客从"边缘活动"转型为高收入职业。该行业早期先驱如已故的凯文·米特尼克曾面临法律风险，如今谷歌、OpenAI等企业每年投入数千万美元用于漏洞赏金计划。报道指出，多元背景成为顶级漏洞猎人的优势。前无家可归者Nieko "Specters" Rivera因独特视角在DEFCON大会被发现，现通过漏洞赏金改变生活。HackerOne和Bugcrowd平台已汇聚超200万和30万安全研究人员，新晋百万富翁包括19岁阿根廷少年等全球人才。专家呼吁企业突破传统招聘框架，从多元群体中发掘安全人才。

19. 研究人员剖析macOS信息窃取程序"AppleProcessHub"攻击细节

【CybersecurityNews网站5月27日报道】安全研究人员发现一款针对macOS系统的新型信息窃取程序"AppleProcessHub"。该恶意软件通过两阶段攻击架构运行，能够窃取包括bash/zsh历史记录、GitHub配置、SSH密钥及Keychain数据库等敏感信息。技术分析显示，该恶意软件使用AES-128加密混淆C2服务器地址，并通过设备序列号追踪感染主机。攻击者利用appleprocesshub[.]com域名作为命令控制中心，下载执行第二阶段bash脚本完成数据窃取。研究人员指出，该恶意软件采用Objective-C编写并集成Grand Central Dispatch技术，显示开发者对macOS系统有深入了解。

20. 新型Android恶意软件GhostSpy可完全控制用户设备

【CybersecurityNews网站5月27日报道】安全研究人员发现一款名为GhostSpy的新型Android远程访问木马(RAT)，该恶意软件可通过多阶段感染过程完全控制受害设备。攻击者通常伪装成系统更新或实用工具诱导用户安装，随后利用Android辅助功能服务和设备管理员API获取全面控制权限。GhostSpy具备键盘记录、屏幕截图、GPS定位等监控功能，并能绕过银行应用的安全防护截取界面信息。其命令控制服务器主要位于巴西，支持多语言操作。该恶意软件采用自动化权限获取技术，通过模拟点击和UI遍历等方式静默获取权限，对用户隐私和金融安全构成严重威胁。

21. 微软曝光俄罗斯黑客组织Void Blizzard攻击全球电信与IT关键设施

【Cybersecuritynews网站5月27日报道】微软威胁情报部门披露，与俄罗斯关联的高级持续性威胁组织"Void Blizzard"（又名LAUNDRY BEAR）自2024年4月起持续攻击北约成员国及乌克兰的电信、IT、国防和医疗等关键领域。该组织通过窃取凭证（如荷兰警方全局通讯录）、中间人钓鱼（伪造Microsoft Entra门户）及滥用云API（Exchange Online/Microsoft Graph）等手段，实施符合俄罗斯战略目标的网络间谍活动。攻击技术呈现多阶段特征：初始利用泄露凭证实施密码喷洒（T1110.003），后续通过恶意PDF附件嵌入钓鱼二维码，并运用Evilginx框架窃取会话Cookie（T1539）。入侵后滥用AzureHound工具进行Entra ID侦察（T1087），批量窃取邮件及Teams通讯记录。微软监测到其针对20余个欧美非政府组织的钓鱼行动，使用"micsrosoftonline[.]com"等仿冒域名。微软联合荷兰AIVD/MIVD及美国FBI提出防御方案，核心包括：部署FIDO令牌等防钓鱼MFA、启用登录风险评估策略，并监控Defender XDR特定警报（如"密码喷洒"指标）。此次事件凸显俄罗斯网络攻击已升级至跨洲际关键基础设施渗透，需国际协同防御。

22. 俄罗斯"洗衣熊"黑客组织被指入侵荷兰警方系统

【Bleepingcomputer网站5月27日报道】荷兰情报机构确认俄罗斯支持的黑客组织"洗衣熊"(Laundry Bear)与2024年9月荷兰警方数据泄露事件有关。该组织通过窃取的cookie信息侵入警方系统，获取了多名警官的工作联系信息。荷兰情报机构警告称，该组织主要针对欧盟和北约国家，重点关注西方军事装备采购及对乌军援信息。微软将该组织称为"Void Blizzard"，指出其自2024年4月以来持续攻击乌克兰及北约成员国目标，采用钓鱼邮件和凭证窃取等手段入侵系统。该组织此前还曾入侵乌克兰交通运输和国防部门。

23. 越南黑客组织利用AI视频生成器传播恶意软件

【Cyberscoop网站5月27日报道】网络安全公司Mandiant和Google Cloud发现一个名为"UNC6032"的越南组织正在利用AI视频生成工具热潮传播恶意软件。该组织自2024年年中以来，通过数千条虚假广告和社交媒体帖子，诱骗用户下载伪装成Luma AI、Canva Dream Lab等热门AI工具的信息窃取程序和后门。这些恶意软件会窃取用户登录凭证、Cookie、信用卡数据及Facebook信息。研究人员发现该组织在Facebook和LinkedIn等平台投放了大量广告，影响多个行业和地区。随着AI视频生成技术搜索量激增，网络犯罪分子正利用这一趋势实施攻击。虽然UNC6032与越南有关联，但尚无证据表明其受国家支持。