每周网络安全简讯 ( 2025年 第17周 )

2025年4月19日至2025年4月25日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计24条。

APT攻击

与 Konni 组织相关的多阶段恶意软件活动分析

近日，研究人员发现了一个多阶段的恶意软件活动，可能与朝鲜的 Konni APT 组织有关。该活动通过一个伪装成韩国文件的恶意 .lnk文件开始，该文件伪装成一个名为 “提案” 的 PDF 文件，引诱用户点击，从而触发 PowerShell 脚本。PowerShell 脚本通过复杂的加密和解密操作，提取隐藏的PDF诱饵文件、CAB文件和VBS脚本。然后VBS脚本静默执行后续的批处理文件，这些文件负责数据收集、系统信息收集和数据上传。攻击者收集用户的下载文件夹、文档文件夹和桌面文件夹的目录列表，以及系统信息，并将这些数据加密后上传到C2 服务器。该活动使用了多个工具和脚本，包括 start.vbs、60901024.bat、57579534.bat、54744204.bat和33283112.bat等，每个脚本都有特定的功能，如数据加密、文件下载、文件上传等。攻击者还利用了韩国流行的 KakaoTalk 应用程序的链接，进一步伪装攻击。

链接：https://muff-in.github.io/blog/Malware-Campaign-Potentially-Linked-to-DPRK-Konni-Group/

奇安信威胁情报中心红雨滴团队发现了一个境外高级窃密组织UTG-Q-017

近日，奇安信威胁情报中心红雨滴团队发现了一个名为UTG-Q-017的境外高级窃密组织，该组织自2024年8月起活跃，利用广告js投递带有Chrome Nday的链接，实施“短平快”的网络攻击。其攻击链全程无文件落地，通过内存注入shellcode加载窃密木马lumma stealer，窃取文件后迅速撤退。该组织每次攻击使用全新的 C2 和域名，且控制时间极短，通常在3-5分钟内完成攻击，难以被发现。其主要针对Chrome（109.0.5414.120）+Win7 sp1的政企终端，攻击成本高昂，但收益显著。目前，奇安信相关产品已支持对此类攻击的精确检测。

链接：

APT-C-27（黄金鼠）新攻击武器曝光

APT-C-27（黄金鼠）是一个活跃于中东地区的攻击组织，主要目标包括叙利亚反对派和土耳其等国。该组织的攻击活动最早可追溯至2014年，近年来其攻击重心逐渐从Windows平台转向Android移动端，但2024年12月，360 高级威胁研究院捕获了其新的PC端攻击武器样本。该样本母体为一个名为“clean new.exe”的PE文件，真正的恶意程序隐藏在其资源中，通过字符替换解密出Revenge-RAT远程控制程序并执行，连接至 C2 服务器。该恶意软件能够收集系统信息、执行文件下载和更新、加载插件等操作。攻击者使用的C2 服务器IP地址为31.9.48.183，属于叙利亚电信公司。

链接：

Kimsuky APT组织利用BlueKeep漏洞攻击日韩

近日，韩国AhnLab研究人员发现，朝鲜背景的APT组织Kimsuky（追踪代号Larva-24005）近期利用已修补的Microsoft远程桌面协议（RDP）漏洞BlueKeep（CVE-2019-0708）入侵目标系统。此外，Kimsuky还通过钓鱼邮件及Microsoft Office Equation Editor漏洞（CVE-2017-11882）传播恶意软件，并利用被攻陷系统向韩国和日本目标用户发送钓鱼邮件。

链接：https://securityaffairs.com/176756/apt/kimsuky-apt-exploited-bluekeep-rdp-flaw-in-attacks-against-south-korea-and-japan.html

研究人员发现疑似APT34组织早期活动迹象

近日，研究人员发现与伊朗APT34组织关联的恶意基础设施早期活动迹象。该组织在2024年11月至2025年4月期间，搭建了伪装成伊拉克学术机构及虚假的英国科技公司的服务器集群。攻击基础设施三大特征：共享SSH密钥、在8080端口部署标准化HTTP诱饵响应(404错误)、采用特定主题域名模式。虽然尚未检测到有效载荷，但该战术组合与APT34历史攻击手法高度吻合，预示着该组织可能针对教育、能源及政府领域的新一轮攻击正在筹备中。

链接：https://gbhackers.com/apt34-hackers-use-port-8080-for-fake-404-responses/?web_view=true

网络动态

乌克兰重构关基保护战略：放弃传统方法，转向风险管理

近日，乌克兰总统弗拉基米尔·泽连斯基已签署一项全面的网络安全法案，旨在强化对国家网络和关键基础设施的保护，以应对不断升级的俄罗斯相关网络攻击浪潮。新颁布的第4336-IX号法律，名为《乌克兰关于国家信息资源和关键信息基础设施对象的信息保护与网络安全的若干法律修正案》，对乌克兰国家网络战略进行了大规模改革。该法案于3月27日获议会通过，并于上周正式签署成为法律。该法律最具影响力的内容之一是建立了国家网络事件响应系统。该框架明确规定了国家响应团队与各相关机构之间的职责分工及协调机制。同时，引入了危机响应协议，以便在遭遇大规模或国家级网络攻击时，政府能够迅速启动紧急应对措施。为配合这一机制，法律还规定建立一个网络事件信息交换平台。该平台将简化公共与私营部门在事件报告、处理和披露方面的流程，推动预警机制并加快修复速度。该系统借鉴了欧盟的实践经验，旨在高压环境下减少重复操作与混乱局面。该法律引入的另一项重大结构性改革，是废除了“综合信息保护系统”（CIPS）框架，因为该框架被批评为过时且缺乏灵活性。取而代之的是，乌克兰将采纳一种现代化的风险管理模式，强调在数字系统的整个生命周期内持续保障安全。每个系统将根据其特性设定专属的保护配置文件，并由注重灵活性而非官僚程序的监管机制进行监管。法律还引入了一个包含定期审计的网络安全评估体系。政府特别指出，审计过程将避免过度干预，重点放在实际成效与组织成熟度上。为配合法律的实施，法案规定在各政府部门及关键基础设施单位中设立专职的网络安全官员。该职位将负责领导本单位的网络安全政策，管理合规事务，并在发生网络事件时与国家机构进行协调。这一举措体现出乌克兰在推动网络安全专业化方面的决心，旨在减少不同机构之间防御工作的碎片化现象。

链接：https://thecyberexpress.com/zelenskyy-signs-advanced-cybersecurity-bill/

攻击者利用SVG文件内的HTML代码进行网络钓鱼攻击

随着网络钓鱼攻击手段日益复杂，攻击者开始利用SVG（可缩放矢量图形）文件嵌入HTML代码来实施钓鱼攻击。SVG是一种基于XML的二维矢量图形格式，支持JavaScript和HTML，这使得攻击者可以将钓鱼链接或脚本嵌入其中。2025年初，研究人员发现了一些伪装成HTML附件的SVG文件钓鱼邮件，这些邮件的附件在文本编辑器中显示为HTML页面，包含指向钓鱼页面的链接。例如，攻击者伪装成Google Voice页面，诱导用户点击链接并窃取其登录凭证。此外，还有攻击者利用SVG文件伪装成电子签名服务通知，通过JavaScript代码在浏览器中打开一个包含假冒Microsoft登录表单的钓鱼网站。统计数据显示，2025年3月SVG钓鱼邮件数量显著增加，仅第一季度就发现了2825封此类邮件，4月上半月已检测到1324封。尽管这种攻击手段尚未广泛传播，但其上升趋势明显，攻击者可能会利用SVG文件进行更复杂的针对性攻击。

链接：https://securelist.com/svg-phishing/116256/

攻击者利用实时深度伪造技术远程渗透目标组织

近日，朝鲜IT工作者被发现利用实时深度伪造技术创建合成身份，通过远程工作职位渗透组织，带来严重的安全、法律和合规风险。研究表明，即使是没有图像处理经验的研究人员，也能在70分钟内利用现成的工具和廉价硬件创建出足以用于面试的合成身份。这种技术的可访问性对组织构成了严重的安全威胁，且当前深度伪造技术的局限性正在迅速减少。具体来看，研究人员仅使用AI搜索引擎、普通的网络连接以及2020年底购买的 GTX 3070图形处理单元，就成功创建了合成身份。他们利用thispersonnotexist[.]org生成的单张图片以及免费的深度伪造工具，生成了多个身份，并展示了身份切换的过程。进一步使用更强大的图形处理单元和更复杂的处理技术，可以生成更逼真的深度伪造视频。这种合成身份的创建和使用，使得朝鲜IT工作者能够多次以不同身份应聘同一职位，并且避免被识别和列入安全公告或通缉名单。这不仅增强了他们的行动安全性，还降低了被发现的可能性。

链接：https://unit42.paloaltonetworks.com/north-korean-synthetic-identity-creation/

攻击者使用Google协作平台托管钓鱼页面

近日，Ethereum Name Service（ENS）的首席开发人员Nick Johnson首次报告了一种针对Gmail用户的复杂网络钓鱼攻击。攻击者利用Google的基础设施，创建看似来自Google的电子邮件，诱使收件人交出他们的Google账户凭据。攻击邮件伪装成法律传票通知，包含一个指向sites.google.com的链接，该链接指向一个与官方Google支持门户几乎一模一样的页面。攻击者利用了DKIM（DomainKeys Identified Mail）签名电子邮件的漏洞，通过转发合法邮件来绕过安全检查。攻击者通过以下步骤实施攻击：首先，创建一个以me@开头的Gmail账户，使邮件看起来像是发给自己的。然后，注册一个OAuth应用程序，并将应用名称设置为与钓鱼链接匹配。接着，授予OAuth应用程序访问其Google账户的权限，触发来自[email protected]的合法安全警告。由于该警告由Google生成，因此带有有效的DKIM签名，能够通过所有安全检查。最后，攻击者未经修改地转发该邮件，保持DKIM签名的有效性。

链接：https://www.malwarebytes.com/blog/news/2025/04/all-gmail-users-at-risk-by-clever-replay-attack

SK电讯遭恶意攻击致用户USIM数据泄露

近日，韩国最大电信运营商SK电讯（SK Telecom）遭遇恶意软件攻击，导致客户通用用户识别模块（USIM）数据外泄。USIM卡存储包括国际移动用户识别码（IMSI）及加密密钥在内的关键用户信息。SK电讯在发现入侵后立即向韩国互联网振兴院（KISA）报告，并于4月20日对受影响系统进行清理隔离。

链接：https://securityaffairs.com/176802/data-breach/sk-telecom-data-breach.html

俄罗斯基础设施在朝鲜网络犯罪行动中发挥关键作用

近日，Trend Micro研究人员发现，俄罗斯的多个IP范围被用于与朝鲜相关的网络犯罪活动，这些活动与Void Dokkaebi（也称 Famous Chollima）入侵集有关。这些 IP 范围位于俄罗斯的哈桑和哈巴罗夫斯克，两地均与朝鲜有经济和文化联系。朝鲜IT工作者通过这些IP范围连接到全球的VPS服务器，进行加密货币相关操作和虚假招聘活动。虚假招聘活动涉及创建虚构公司（如 BlockNovas），在 LinkedIn等平台上发布职位，吸引 IT 专业人员申请。申请者在面试过程中被诱导下载并执行恶意软件，从而泄露加密货币钱包和敏感信息。此外，朝鲜的网络犯罪活动还涉及通过俄罗斯IP范围进行暴力破解加密货币钱包密码的操作。

链接：https://www.trendmicro.com/en_us/research/25/d/russian-infrastructure-north-korean-cybercrime.html

俄罗斯黑客借助加密通讯对乌克兰发起微软OAuth认证攻击

近日，研究人员发现俄罗斯黑客借助加密通讯对乌克兰发起微软OAuth认证攻击，攻击者冒充欧洲多国官员，并至少在一次案例中利用被入侵的乌克兰政府账户诱骗受害者提供微软生成的OAuth代码以控制其账户。攻击者通过Signal和WhatsApp等即时通讯软件联系目标，邀请其参加与欧洲政要的视频通话或注册涉及乌克兰事务的私人会议，最终诱导受害者点击托管在Microsoft 365基础设施上的链接。研究人员表示：“若目标回应信息，对话将迅速推进至实际安排会议时间。当约定时间临近时，伪装成欧洲政要的攻击者会再次联系目标，发送会议加入指引。”这些指引以文档形式呈现，随后攻击者发送会议链接。所有URL均重定向至Microsoft 365官方登录门户。具体而言，攻击者设计的链接会重定向至微软官方URL并在过程中生成微软授权令牌，该令牌将出现在URI或重定向页面正文中。攻击随后试图诱骗受害者与攻击者共享该代码。这是通过将已认证用户重定向至浏览器版Visual Studio Code（insiders.vscode[.]dev）实现的，令牌将在此界面显示给用户。若受害者分享OAuth代码，UTA0352将生成访问令牌以最终控制受害者M365账户。

链接：https://thehackernews.com/2025/04/russian-hackers-exploit-microsoft-oauth.html

黑客组织UNC2428借虚假招聘投递MURKYTOUR后门

近日，研究人员披露伊朗黑客组织UNC2428对以色列发起钓鱼攻击。攻击者伪装成以色列国防承包商Rafael的招聘人员，通过虚假职位诱骗目标下载名为"RafaelConnect.exe"的恶意安装程序（LONEFLEET）。该程序呈现仿真的图形界面（GUI）诱导受害者填写个人信息，实则暗中部署MURKYTOUR后门，并通过LEAFPILE启动器维持持久化访问。

链接：https://thehackernews.com/2025/04/iran-linked-hackers-target-israel-with.html

Docker环境成为加密挖矿活动目标

近日，研究人员披露针对Docker环境的恶意挖矿活动。攻击者利用Docker Hub上的"kazutod/tene:ten"镜像部署恶意节点，连接至去中心化基础设施网络Teneo。该恶意软件通过节点，秘密抓取Facebook、X（原Twitter）、Reddit及TikTok等社交平台公开数据以获取Teneo积分（可兑换为$TENEO代币），实现带宽资源变现。

链接：https://securityaffairs.com/176877/malware/crypto-mining-campaign-targets-docker-environments-with-new-evasion-technique.html

漏洞资讯

GitHub针对企业产品版发布紧急安全更新

近日，GitHub针对企业版产品发布紧急安全更新，修复包含关键远程代码执行漏洞（CVE-2025-3509）在内的多个安全缺陷，该漏洞影响3.13.0至3.16.1版本。攻击者可通过构造恶意HTTP请求在服务端执行任意命令，同时结合跨站脚本漏洞（CVE-2025-3511）窃取私有仓库访问令牌及敏感代码资产。

链接：https://cybersecuritynews.com/github-enterprise-server-vulnerabilities/

Facebook开发的PyTorch模型被发现存在RCE漏洞

近日，研究人员披露，PyTorch深度学习框架存在远程命令执行（RCE）漏洞（CVE-2025-32434），该漏洞影响2.5.1版本之前的PyTorch。如果攻击者利用此缺陷制作了一个模型文件，就可以在目标计算机上执行任意命令，这可能导致数据泄露、系统泄露。目前，PyTorch已在发布的2.6版本修复了该漏洞。

链接：https://securityonline.info/critical-pytorch-vulnerability-cve-2025-32434-allows-remote-code-execution/?&web_view=true

Meshtastic开源通信协议栈存在远程代码执行漏洞

近日，研究人员披露，Meshtastic开源通信协议栈存在远程代码执行漏洞（CVE-2025-24797），该漏洞影响固件版本2.6.2之前的所有设备。受影响设备涉及基于ESP32、nRF52等硬件平台的便携式节点设备，主要应用于野外救援、灾害应急通信等离网场景。Meshtastic官方已在2.6.2版本固件中修复了该漏洞。

链接：https://securityonline.info/critical-meshtastic-rce-vulnerability-cve-2025-24797-requires-urgent-update/?&web_view=true

HPE集群管理器中存在漏洞

近日，研究人员在HPE Performance Cluster Manager（HPCM）中发现一个高危认证绕过漏洞（CVE-2025-27086）。该漏洞存在于HPCM图形用户界面(GUI)的远程方法调用(RMI)通信机制中，影响包括1.12版本在内的所有HPCM版本。攻击者可利用此漏洞远程绕过身份验证机制，直接访问受保护的系统资源。HPE已获知该漏洞详情，建议使用HPCM的企业立即采取缓解措施。

链接：https://cybersecuritynews.com/hpe-performance-cluster-manager-vulnerability/

NVIDIA NeMo框架漏洞可导致攻击者远程执行代码

NeMo框架是一个可扩展且云原生的生成式AI平台，广泛应用于大型语言模型、多模态模型以及语音识别和计算机视觉等AI应用。近日，研究人员发现NVIDIA NeMo框架存在三个高危漏洞（CVE-2025-23249、CVE-2025-23250 和 CVE-2025-23251），这些漏洞的CVSS 基础评分均为7.6，表明其对用户构成重大风险。这些漏洞涉及不安全的反序列化、路径验证不当和代码生成控制不当，攻击者可利用这些漏洞远程执行任意代码、篡改数据、覆盖敏感文件或引入恶意配置，甚至劫持AI训练流程或污染数据集。这些漏洞的存在对依赖该框架的研究人员和开发人员构成了严重威胁。NVIDIA已于 2025年4月22日发布安全补丁，强烈建议用户立即更新至 25.02版本，以减轻潜在的利用风险。

链接：https://cybersecuritynews.com/nvidia-nemo-framework-vulnerability/

木马病毒

Gorilla安卓木马拦截并窃取短信验证码

近日，研究人员发现Android恶意程序“Gorilla”，该恶意程序通过拦截包含短信验证码（OTP）的SMS消息针对银行及Yandex用户发起攻击。该恶意程序通过精细化权限滥用与通信隐蔽技术，构建针对金融账户的OTP窃取链条。其利用WebSocket实时传输数据，并规避常规检测API的行为。此类攻击可能破坏多因素认证（MFA）安全性，直接威胁用户资金与隐私安全。

链接：https://cybersecuritynews.com/new-gorilla-android-malware-intercept-sms-messages/

黑客兜售可绕过主流AV/EDR的"Baldwin Killer"恶意工具

近日，某知名威胁攻击者在暗网论坛公开出售名为"Baldwin Killer"的高级恶意软件工具包。据称该工具能够有效绕过包括Windows Defender、卡巴斯基、Bitdefender和Avast在内的主流杀毒软件及终端检测响应(EDR)系统。安全专家对此表示高度关注，认为该工具的出现可能显著降低攻击门槛，使更多威胁行为者能够突破企业基础安全防护。

链接：https://gbhackers.com/hackers-claim-to-sell-baldwin-killer-malware/?web_view=true

FOG勒索软件伪装DOGE发起钓鱼攻击

近日，研究人员发现，FOG勒索软件攻击活动呈现新型攻击特征，攻击者伪装成美国"政府效率部（DOGE）"名义实施社会工程攻击。该活动通过精心制作的钓鱼邮件进行传播，邮件附件伪装成政府公文，当受害者点击该附件后，会启动复杂的感染链，从而导致数据被加密和勒索攻击。

链接：https://cybersecuritynews.com/new-fog-ransomware-attack-mimic-as-doge-attacking-organization/

MalenuStealer木马利用Discord平台实施网络钓鱼

近日，研究人员披露一种通过Discord平台传播的窃密木马MalenuStealer。攻击者利用已入侵的Discord账号向好友发送伪装成"游戏测试邀请"的钓鱼消息，诱导用户下载所谓"测试版游戏"，实则植入恶意软件。该木马会窃取受害者的账号密码、支付信息等一系列敏感数据。

链接：https://www.binarydefense.com/resources/blog/a-look-at-a-novel-discord-phishing-attack/

研究人员发现针对俄罗斯军方的Android间谍软件

近日，研究人员发现针对俄罗斯军方的Android间谍软件。该恶意代码被植入篡改版Alpine Quest地图应用，通过俄罗斯第三方应用商店传播。间谍软件可窃取通讯录、定位数据及设备文件，并支持远程下载附加模块。攻击者利用俄军人员对专业地形规划软件的需求，将恶意程序伪装成"Alpine Quest Pro"高级功能免费版分发。

链接：https://securityaffairs.com/176886/malware/android-spyware-hidden-in-mapping-software-targets-russian-soldiers.html

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持