5th域安全微讯早报【20250416】091期

2025-04-16 星期三 Vol-2025-091

今日热点导读

1. 俄罗斯将推“请勿打扰”模式，用户可自主设定自我禁令

2. 日本首次对谷歌发出反垄断停止令要求停止捆绑预装行为

3. Microsoft Teams文件共享功能突发中断全球用户协作受阻

4. 赫兹租车遭遇重大数据泄露数百万客户信息遭窃

5. KiloEx交易所遭预言机攻击损失750万美元加密货币

6. 西班牙打击足球盗版致数千无辜网站被封锁

7. MITRE运营的CVE漏洞项目因资金到期面临中断风险

8. 举报人称俄罗斯IP用户在DOGE访问后尝试登录美国劳工系统

9. 知名匿名论坛4chan遭黑客攻击被迫下线管理面板及员工信息泄露

10. Apache Roller曝高危会话管理漏洞密码更改后仍可维持访问权限

11. Google Groups曝附件权限绕过漏洞电子邮件可突破文件上传限制

12. 三星Galaxy S24曝Quick Share漏洞邻近攻击者可创建任意文件

13. Perplexity AI 存在严重安全漏洞，用户数据面临风险

14. 全新安卓手机预装恶意软件加密货币用户面临重大风险

15. 欧盟向高级官员提供“一次性手机”，但否认与美国风险评估有关

16. 数据中毒——勒索软件的新型隐秘威胁正在蔓延

17. 新型"等待线程劫持"恶意软件技术可绕过现代防御系统

18. macOS用户面临新型恶意软件威胁"iNARi Loader"可完全控制系统

19. BPFDoor：高隐匿性恶意软件引发安全担忧

20. 新型macOS恶意软件"iNARi Loader"在地下黑市高价出租

备注: 更多专题资讯信息，欢迎订阅！

资讯详情

政策法规

1. 俄罗斯将推“请勿打扰”模式，用户可自主设定自我禁令

【SecurityLab网站4月15日报道】俄罗斯数字发展部近日发布消息，自2025年9月1日起，公民可通过国家服务门户网站设定自我禁令，禁止电信运营商与其签订移动通信服务协议。这一措施旨在防止以公民名义非法注册SIM卡并用于欺诈。运营商在签订合同前需检查用户是否设定禁令，若检测到禁令则无法注册SIM卡。此外，用户还可拒绝广告短信和电话，申请提交次日即可生效。不过，政府机构和组织的请求可能不受此限制，具体名单将由政府确定。通知用户禁令存在的方式包括通信商店、移动应用程序、短信或电子邮件。消息来源为Securitylab网站4月15日的报道。

2. 日本首次对谷歌发出反垄断停止令要求停止捆绑预装行为

【Interesting Engineering 4月15日报道】日本公平贸易委员会（JFTC）今日对谷歌正式下达"停止令"，认定其要求Android手机厂商预装Google Play商店、Chrome浏览器及搜索应用的行为违反反垄断法。监管机构指出，谷歌自2020年7月起通过广告收入分成等条件限制厂商选择，此举抑制了市场竞争。虽然未处以罚款，但要求谷歌制定合规指南。这是日本首次对全球科技巨头采取此类措施，与美国、欧盟近年反垄断行动形成呼应。谷歌日本回应称对决定"感到遗憾"，正评估是否提起诉讼。此前，谷歌已在美国面临业务拆分要求，在欧盟可能面临全球收入10%的罚款。

安全事件

3. Microsoft Teams文件共享功能突发中断全球用户协作受阻

【CybersecurityNews网站4月15日报道】微软旗下协作平台Microsoft Teams当日突发文件共享功能中断，全球用户无法通过该平台正常传输文件。据微软官方通报，此次故障跟踪ID为“TM1055900”，用户需通过Microsoft 365管理中心获取实时更新。中断表现为文件共享失败、访问Teams内SharePoint存储文件时出现错误提示，部分用户还遭遇OneDrive同步异常。此次事件是微软服务一周内第二次重大故障，此前Exchange管理中心及家庭订阅服务亦出现中断，暴露出云端服务稳定性管理的挑战。微软虽未公布修复时间表，但建议用户临时改用OneDrive上传文件并直接共享链接以缓解影响。值得关注的是，故障初期Microsoft 365状态页面未标记异常，推测问题可能局限于Teams特定功能模块。分析指出，此类中断不仅影响企业日常协作效率，更凸显高度依赖集中式云服务的潜在风险。社区建议用户排查文件权限、团队成员状态及本地同步配置，但核心修复仍需等待官方解决方案。截至报道时，微软仍在全力排查故障根源。

4. 赫兹租车遭遇重大数据泄露数百万客户信息遭窃

【CybersecurityNews网站4月15日报道】全球知名租车公司赫兹(Hertz)确认发生重大数据泄露事件，影响旗下Hertz、Dollar和Thrifty品牌的客户。据公司披露，黑客利用供应商Cleo Communications文件传输平台的零日漏洞，在2024年10月和12月分两次入侵系统，窃取了大量客户敏感信息。泄露数据包括：客户姓名、联系方式、出生日期；信用卡信息和驾照信息；部分客户的社保号码、护照信息；工伤赔偿相关医疗ID和事故索赔信息。赫兹公司于2025年2月10日发现入侵，4月2日完成全面评估。目前公司已采取补救措施，包括修复漏洞、通知执法部门，并为受影响美国客户提供两年免费身份监控服务。网络安全专家警告，此类针对第三方供应商的攻击日益增多，建议受影响客户密切关注账户活动，考虑设置信用冻结以防身份盗窃。

5. KiloEx交易所遭预言机攻击损失750万美元加密货币

【SecurityLab网站4月15日报道】加密货币交易所KiloEx遭遇重大安全漏洞，攻击者利用价格预言机漏洞在短时间内盗取价值约750万美元的数字资产。据安全团队SlowMist分析，漏洞源于MinimalForwarder合约缺乏必要的访问控制检查，使攻击者能够操纵资产价格数据。攻击手法分析：攻击者首先人为压低ETHUSD价格至100美元；开设大量看涨头寸后，瞬间将价格拉升至10,000美元；单笔交易获利高达312万美元。目前KiloEx已控制攻击影响范围，并正与BNB Chain、Manta Network等团队合作追查资金流向。交易所承诺将发布详细事件报告，并对协助追回资产者提供奖励。此次事件再次凸显智能合约安全审计的重要性，特别是价格预言机等关键组件。

6. 西班牙打击足球盗版致数千无辜网站被封锁

【SecurityLab网站4月15日报道】西班牙当局为打击西甲足球比赛的非法转播，采取了大规模屏蔽措施，导致数千个无辜的合法网站被误封。西甲联赛长期受盗版转播困扰，版权持有者因非法流媒体平台的观众流失而遭受严重经济损失。今年三月，西甲联赛和西班牙电信公司赢得法庭裁决，授权互联网服务提供商屏蔽盗版体育转播，特别是通过 Cloudflare 服务器运行的数百个非法网站和 IPTV 服务。西班牙电信公司以12亿欧元获得西甲转播权，而网络盗版每赛季给西班牙足球造成的损失高达6亿至7亿欧元。然而，大规模屏蔽措施带来了意外后果，许多与广播无关的合法网站也被封锁。例如，加泰罗尼亚域名注册商 PunctCAT 基金会收到大量投诉，其客户网站在西甲联赛期间被误封，尽管这些网站与体育无关。PunctCAT 基金会不排除采取法律行动的可能性。与此同时，软件开发者已在 GitHub 上发布绕过封锁的解决方案。这场打击盗版与保护合法网站的斗争仍在继续，其最终结果尚不明朗。

7. MITRE运营的CVE漏洞项目因资金到期面临中断风险

【Nextgov网站4月15日报道】由非营利组织MITRE运营的网络安全核心项目——通用漏洞与暴露（CVE）计划因美国政府资金将于4月16日到期而面临服务中断风险。CVE项目自1999年启动以来，已累计编目27.5万条漏洞记录，为全球政府、企业和关键基础设施提供标准化漏洞管理框架。MITRE证实，其关联项目（如常见弱点枚举CWE）资金同步终止，可能导致国家漏洞数据库（NVD）更新延迟、工具供应商服务异常及关键基础设施防护能力下降。尽管MITRE表示将继续支持CVE作为全球资源，此次资金缺口恰逢美国网络安全和基础设施安全局（CISA）面临裁员压力，且国家标准与技术研究院（NIST）已难以应对NVD漏洞提交量。业内人士担忧，此举或削弱美国网络安全协同防御能力。

8. 举报人称俄罗斯IP用户在DOGE访问后尝试登录美国劳工系统

【Nextgov网站4月15日报道】举报人Daniel Berulis向参议院情报委员会提交的投诉披露，在美国政府效率部(DOGE)访问国家劳工关系委员会(NLRB)系统后不久，一名使用俄罗斯IP地址的用户尝试登录NLRB系统。该登录尝试虽被阻止，但使用了正确的凭证，引发对境外势力利用DOGE渗透联邦系统的担忧。举报文件显示，DOGE工程师被指控通过关闭安全监控、删除访问记录等手段提取NLRB敏感数据，其数据外传手法类似国家级黑客行为。此事件凸显DOGE（由埃隆·马斯克主导的政府效率机构）在获取劳工数据时的安全风险，尤其涉及NLRB正在调查马斯克旗下公司的敏感案件。目前参议院情报委员会未予置评，DOGE亦未回应。

9. 知名匿名论坛4chan遭黑客攻击被迫下线管理面板及员工信息泄露

【BleepingComputer 4月15日报道】全球知名匿名论坛4chan因遭受重大黑客攻击持续宕机。攻击者"Soyjak.party"成员宣称已控制网站系统一年多，泄露了包含管理员邮箱列表、站点源代码及后台管理权限截图（含用户IP定位、数据库管理等敏感功能）。泄露信息显示，4chan仍在使用存在已知漏洞的2016年PHP版本。目前网站间歇性出现Cloudflare超时错误，恢复进度不明。该论坛曾涉及多起企业数据泄露事件，包括微软、迪士尼等巨头。此次事件再次引发对老旧系统安全风险的关注。

漏洞预警

10. Apache Roller曝高危会话管理漏洞密码更改后仍可维持访问权限

【CybersecurityNews网站4月15日报道】Apache软件基金会旗下博客平台Apache Roller被发现存在严重会话管理漏洞（CVE-2025-24859）。该漏洞CVSS v4评分为最高的10分，影响1.0.0至6.1.4版本，允许攻击者在用户更改密码后仍通过原有会话保持系统访问权限。安全研究员Haining Meng发现，该漏洞源于系统未能正确终止密码更改前的活动会话。这意味着即使用户在发现凭证泄露后立即修改密码，攻击者仍可继续访问系统。Apache已在6.1.5版本中修复该问题，通过实现集中会话管理确保密码更改时所有活动会话立即失效。鉴于该漏洞的严重性和易利用性，安全专家强烈建议所有Apache Roller用户立即升级至6.1.5版本。对于无法立即更新的用户，建议加强会话活动监控并限制系统访问权限。

11. Google Groups曝附件权限绕过漏洞电子邮件可突破文件上传限制

【CybersecurityNews网站4月15日报道】安全研究人员Ph.Hitachi发现Google Groups存在重大安全漏洞。该漏洞允许普通成员通过向群组邮箱发送电子邮件的方式，绕过管理员设置的"仅限所有者上传文件"权限限制。漏洞复现步骤显示：管理员设置群组文件上传权限为"仅限所有者"；普通成员向群组邮箱发送带附件的邮件；附件成功发布，突破权限限制。该漏洞源于Google Groups的电子邮件发布功能与附件权限控制之间的不一致性。尽管Google Groups被9600多个组织用于敏感通信，但这一漏洞可能造成严重的数据泄露风险。安全专家建议管理员重新评估群组配置，并加强对电子邮件发布功能的安全管控。

12. 三星Galaxy S24曝Quick Share漏洞邻近攻击者可创建任意文件

【CybersecurityNews网站4月15日报道】三星Galaxy S24系列设备被曝存在一个中高危漏洞（CVE-2024-49421），该漏洞允许网络邻近的攻击者在设备上创建任意文件。该漏洞由NCC Group安全研究员Ken Gannon发现，并在Pwn2Own竞赛中披露。漏洞详情：影响范围：Android 12/13/14系统中特定版本前的Quick Share Agent；攻击条件：攻击者需与目标设备处于同一网络环境；风险等级：CVSS评分5.9（中高）；潜在危害：可能导致恶意软件安装、数据篡改或系统不稳定。三星已在2024年12月的安全更新中修复该漏洞。建议用户立即检查系统更新（设置>软件更新>下载并安装），并避免在公共网络环境下使用Quick Share功能。

13. Perplexity AI 存在严重安全漏洞，用户数据面临风险

【SecurityLab网站4月15日报道】Appknox专家团队对Perplexity AI的Android版本进行了分析，发现其存在多个严重安全漏洞。这些漏洞可能导致用户密码和个人信息泄露，甚至被用于账户盗窃和身份盗窃。具体问题包括：未受保护的API密钥：应用程序代码中存在未加密的 API 密钥，可被反编译获取，如同在银行卡背面写 PIN 码一样危险。错误配置的 API 访问权限：Perplexity API 的通配符配置使任何资源都能与服务器端交互，无需验证来源，容易遭受跨站点攻击。缺乏SSL固定：未实现加密流量保护机制，攻击者可进行中间人攻击，拦截搜索会话并窃取密码和个人信息。开源字节码：程序完全开源，攻击者可逆向工程，寻找更多漏洞或创建虚假版本进行欺诈。缺乏调试和漏洞保护：攻击者可在受控环境中研究平台并进行恶意修改。此外，Perplexity AI还存在五个额外弱点，扩大了攻击面。Appknox 首席执行官 Subho Halder 强调，开发者需尽快修复这些问题，用户在使用时应谨慎，尤其是在处理敏感信息时。专家还指出，人工智能应用发展迅速，但安全性未能同步提升，这可能引发更广泛的威胁。

风险预警

14. 全新安卓手机预装恶意软件加密货币用户面临重大风险

【CybersecurityNews网站4月15日报道】安全研究人员发现多款中国制造的安卓智能手机在出厂时即预装了伪装成WhatsApp的恶意软件。Doctor Web病毒实验室自2024年6月以来已收到大量相关报告，这些受感染的设备主要通过"剪辑"技术针对加密货币用户。受影响的设备多为仿冒高端机型的低价手机，如"SHOWJI"品牌的产品。恶意软件利用LSPatch框架修改WhatsApp，核心组件com.whatsHook.apk能够劫持应用程序更新，将用户重定向至攻击者控制的服务器。更严重的是，该软件会扫描设备存储中的加密货币钱包地址，并自动替换为攻击者控制的账户。安全专家发现，攻击者已通过此手段获取巨额利润，其中一个钱包积累超过100万美元。建议消费者谨慎购买低价手机，仅从官方应用商店下载软件，并避免在设备上存储加密货币密钥截图。

15. 欧盟向高级官员提供“一次性手机”，但否认与美国风险评估有关

【SecurityLab网站4月15日报道】欧盟委员会发言人确认，欧盟向高级官员提供“一次性手机”，但否认这一做法与最近对美国访问风险的安全评估有关。此前，《金融时报》报道称，欧盟官员在前往美国时被建议使用一次性手机，以防止设备被扣押或泄露信息。一次性手机通常用于高威胁环境，如前往中国等国家旅行时使用。报道还提到，欧盟官员被建议在过境时关闭手机，并使用保护套（如法拉第袋）防止设备被干扰。欧盟委员会发言人表示，欧盟长期以来一直有向高级官员提供一次性设备的惯例，以确保信息保密性，这并非新做法，也与美国无关。发言人强调，更新的旅行建议是基于全球网络安全威胁的普遍增加，而非针对美国。同时，发言人否认了“专门前往美国的官员被发放一次性手机是普遍做法”的说法。

16. 数据中毒——勒索软件的新型隐秘威胁正在蔓延

【CyberSecurityNews 4月15日报道】网络安全领域正面临一种新型威胁——"数据中毒"（Data Poisoning），其危害性远超传统勒索软件。与直接加密数据的攻击方式不同，数据中毒通过隐秘篡改关键信息（如财务记录、医疗数据、法律文件）制造长期混乱。攻击者可能细微修改交易金额、患者血型或合同条款，受害者往往数月后才会发现，导致错误决策、法律纠纷甚至医疗事故。该威胁因AI系统依赖数据自动决策而加剧，传统防火墙难以检测。专家建议企业采用区块链溯源、AI异常监测及加密验证（如安全二维码）等新型防御手段。医疗、金融及政府机构因其数据敏感性成为高危目标，一旦遭篡改可能引发系统性信任危机。目前全球多数组织对此类攻击仍缺乏有效应对方案。

恶意软件

17. 新型"等待线程劫持"恶意软件技术可绕过现代防御系统

【CybersecurityNews网站4月15日报道】网络安全研究人员发现一种名为"等待线程劫持"(WTH)的新型恶意软件注入技术，能够有效规避现代安全防护系统的检测。该技术由CheckPoint研究团队于4月14日首次披露，代表了传统线程执行劫持技术的重大升级。与传统方法不同，WTH技术专门针对Windows线程池中处于等待状态的线程，通过修改其返回地址来注入恶意代码。当这些线程自然恢复执行时，会先运行攻击者的代码再继续正常操作。这种技术避免了使用容易被监控的SuspendThread和ResumeThread等API，仅需基本的进程访问权限，大大降低了被安全系统发现的概率。研究人员指出，WTH技术通过将攻击分散到多个进程中，并利用等待线程的自然激活机制，使其能够绕过大多数终端检测与响应(EDR)系统的监控。目前CheckPoint已开发出专门的"WaitingThreadHijackBlock"行为防护措施来应对这一威胁。

18. macOS用户面临新型恶意软件威胁"iNARi Loader"可完全控制系统

【CybersecurityNews网站4月15日报道】网络安全研究人员发现一款名为"iNARi Loader"的新型macOS恶意软件正在地下论坛出租。这款恶意软件即服务(MaaS)产品具有远程桌面功能和高级数据窃取能力，威胁程度远超以往macOS恶意软件。主要威胁特征：绕过密码提示获取系统完全控制权；通过多种方式传播（.dmg、.pkg等文件格式）；内置高级逃避检测功能；分层定价：标准版每月5000美元，高级版10000美元。安全专家指出，iNARi Loader的出现标志着针对macOS系统的威胁显著升级。建议用户保持系统更新，谨慎下载软件，并对敏感账户启用双重认证。

19. BPFDoor：高隐匿性恶意软件引发安全担忧

【SecurityLab网站4月15日报道】BPFDoor恶意软件近期再次引发信息安全专家关注。该软件以攻击Linux服务器为目标，具有极高的隐匿性，被广泛用于电信、金融和零售领域，尤其在韩国、香港、缅甸、马来西亚和埃及等地频繁出现。攻击者利用复杂的伯克利数据包过滤器（BPF）技术创建反向连接，远程控制受感染机器。BPFDoor通过“魔术序列”激活，可替换进程名称、隐藏开放端口并绕过安全日志，长期潜伏于受害者系统。其支持TCP、UDP和ICMP三种网络协议，用于加密通信并绕过安全机制。调查显示，该恶意软件常被用于针对战略目标，如韩国和缅甸的电信公司、埃及银行及马来西亚零售业，表明Earth Bluecrow组织正在开展大规模网络间谍活动。专家建议监控非典型网络流量，尤其是带有可疑字节序列的数据包，以应对BPFDoor带来的严重威胁，并强调组织需加强监控、快速响应和主动安全措施。

20. 新型macOS恶意软件"iNARi Loader"在地下黑市高价出租

【SecurityLab网站4月15日报道】网络安全研究人员发现一款名为"iNARi Loader"的新型macOS恶意软件正在地下论坛出租。这款恶意软件具有远程桌面控制和高级数据窃取功能，威胁程度远超以往同类恶意软件。据披露，该恶意软件具有以下特征：可绕过系统密码提示获取完全控制权限；支持通过.dmg、.pkg等多种文件格式传播；内置高级反检测功能；采用分层定价模式：标准版月租5000美元，高级版10000美元（含远程桌面功能）。安全专家指出，iNARi Loader的出现标志着针对macOS系统的威胁显著升级。建议用户保持系统更新，谨慎下载软件，并对重要账户启用双重认证。目前苹果公司尚未就此事件发表官方声明。