5th域安全微讯早报【20250614】142期

5. NFT名人因Zoom会议误点通知遭黑客攻击，损失20万美元加密资产

【Securitylab网站6月13日报道】NFT领域知名人士杰克·加伦在一次Zoom视频采访中遭遇精心设计的黑客攻击。当时加伦正在接受"战术投资"YouTube频道的采访，因专注于谈话内容，误将黑客发送的远程控制请求当作普通屏幕共享通知点击同意，导致电脑被完全控制。攻击者迅速获取了加伦加密钱包的访问权限，盗取其NFT资产和种子短语，次日这些资产被低价抛售，造成约20万美元损失。调查发现，黑客先入侵了该YouTube频道，然后利用Zoom默认开启的主持人远程控制功能实施攻击。真正的频道所有者事后证实其账号被入侵。此事件暴露了视频会议软件的安全隐患，加伦公开自身经历以警示他人，强调即使是在区块链领域，常规软件的安全漏洞也可能带来重大风险。专家建议用户应谨慎处理会议中的权限请求，必要时关闭远程控制功能。

6. Meta起诉香港公司推广AI"脱衣"应用，涉嫌违规投放数万条广告

【Securitylab网站6月13日报道】Meta公司近日对香港Joy Timeline HK Limited公司提起诉讼，指控其在Facebook和Instagram平台大量推广一款名为Crush AI的违规应用。该应用利用人工智能技术，声称可以"移除照片中人物的衣物"。诉讼文件显示，自2023年以来，Meta已多次对该公司采取封禁措施，但对方通过创建新账户持续规避监管。截至2025年2月，已发现超过135个Facebook页面和170个商业账户投放了约8.7万条相关广告。这些广告通常展示对比图片：左侧为正常着装人物并标注"NSFW"，右侧为AI生成的裸露图像，并配以"一键脱衣"等诱导性文字。Meta表示已将3800多个违规URL通过"Lantern"项目与其他科技公司共享，并开发了专门技术识别此类广告。公司强调将继续采取法律和技术手段打击此类不道德的AI服务。

7. 韩国最大票务平台Yes24遭勒索攻击致全国文娱活动瘫痪，超2000万用户受影响

【Securitylab网站6月13日报道】韩国最大在线票务平台Yes24于6月9日凌晨遭遇勒索软件攻击，导致其网站和移动应用全面瘫痪，直接影响该国5200万人口的文娱生活。作为韩流粉丝主要购票渠道，Yes24拥有超2000万注册用户，此次攻击造成图书订购、演唱会票务等核心服务中断。攻击者通过加密关键系统文件同时瘫痪主备服务器，迫使Enhypen签售会取消、Beautiful Mint Life音乐节面临停摆，Ateez等艺人演出预售暂停。尽管Yes24声称已恢复系统控制并计划6月15日前全面修复，但其初期隐瞒攻击事实、仅宣称"系统维护"的做法引发公众强烈不满。平台虽暂未确认用户数据泄露，但建议用户警惕钓鱼攻击并修改密码。此次事件暴露出关键文化基础设施的网络安全脆弱性——即便备份系统亦未能抵御攻击，导致全国性文娱活动连锁中断。

8. 印尼国家电力公司PLN遭重大数据泄露，数百万用户敏感信息流入暗网

【Dailydarkweb网站6月13日报道】印尼国有电力巨头PLN遭遇重大数据泄露事件。泄露数据包含客户姓名、国民身份证号码(NIK)、完整地址、电表编号、电力使用详情及精确地理位置坐标等核心敏感信息。作为印尼唯一电力供应商，PLN数据库涉及全国数百万用户，此次事件可能导致大规模身份盗用风险。经暗网论坛曝光的样本显示，泄露信息之详尽远超普通数据泄露事件，特别是包含NIK这一国家级身份证号，将大幅提高后续诈骗犯罪的成功率。安全专家警告，此类基础设施型企业的数据泄露往往会产生长期连锁反应，包括精准钓鱼攻击、金融诈骗等衍生犯罪。目前PLN尚未就事件真实性及具体影响范围作出官方声明。

9. 西班牙国防承包商GTD遭重大数据泄露，敏感军事项目细节外泄

【Dailydarkweb网站6月13日报道】西班牙知名国防科技公司GTD System & Software Engineering遭遇重大数据泄露事件。作为空客、纳万蒂亚等欧洲军工巨头的重要合作伙伴，GTD参与开发的AVANTE 2200护卫舰和VCR 8×8装甲车等尖端军事项目的2.71GB机密数据据称已被窃取并在暗网出售。泄露数据包含受《国际武器贸易条例》(ITAR)保护的敏感信息，涉及作战管理系统技术规范、军事装备设计图纸、保密合同条款及化学材料安全数据等核心机密。威胁行为者宣称直接入侵了GTD网络基础设施获取这些数据，其中包括海军舰艇布线图、装甲车技术手册等可能危及军事安全的战略信息。专家警告，此类国防供应链关键节点的数据泄露，不仅威胁企业商业机密，更可能影响相关国家的国防安全。

10. 北卡Thomasville市政与乔治亚Ogeechee检察官办公室遭遇网络攻击

【TheRecord网站6月13日报道】北卡罗来纳州Thomasville市和佐治亚州Ogeechee司法巡回区检察官办公室先后遭受网络攻击，导致关键系统瘫痪与服务中断。Thomasville市约3万人口，当地政府表示虽保证基本服务持续，但多数市政系统已下线，IT部门正与网络安全厂商评估入侵范围，并已向州、联邦机构报告。值得注意的是，北卡法律禁止政府支付勒索赎金。Ogeechee区涵盖四县共18万人口，当地检察官办公室因周二攻击导致电话、互联网中断，将关停多办公室五天以调查并恢复；尽管部分法院保持开放，检察院未及时部署的备份系统因成本问题迟至2024年12月才启动。新任检察官Robert Busbee强调网络安全优先级，通过实时检测入侵阻止重大数据泄露。两次攻击凸显地方政府与司法系统在备份与防护上的长期薄弱，亟需加强网络韧性与应急响应能力。

11. 谷歌云大规模宕机源于API配额管理故障，全球服务受损逾三小时

【Bleepingcomputer网站6月13日消息】谷歌确认前日导致其云服务广泛中断的根本原因是其API管理系统配额更新出现故障，造成全球范围内外部API请求被拒。此次故障从美东时间上午10:49持续至下午3:49，严重影响谷歌自身服务（如Gmail、日历、云端硬盘、Meet、语音搜索等）以及依赖Google Cloud的第三方平台（包括Spotify、Snapchat、Discord、NPM、Firebase Studio及Cloudflare的部分服务）。谷歌解释称，问题源自自动配额更新传输了无效数据，并未被及时检测，暴露出API系统在测试和错误处理方面的缺陷。为恢复服务，谷歌被迫绕过配额检查，大部分地区在两小时内恢复，但us-central1区因策略数据库过载恢复最慢。部分服务恢复后仍出现中度积压影响。Cloudflare也证实其Workers KV服务严重依赖谷歌云的底层存储系统，该依赖直接导致关键服务瘫痪，尽管事件未造成数据丢失或安全风险。为防止类似宕机，Cloudflare计划将KV服务迁移至其自有的R2对象存储平台，以减少对第三方云的依赖。此次事件突显了API管理体系与配额策略失误对全球数字服务稳定性的系统性影响。

12. CVE-2025-43200漏洞揭示国家级间谍监控武器对记者的零点击威胁

【Securitylab网站6月13日报道】苹果公司已修复其信息应用中编号为CVE-2025-43200的严重漏洞，该漏洞被以色列Paragon公司开发的Graphite间谍软件平台利用，通过iCloud Link实现零点击攻击，成功入侵两名欧洲记者的iPhone设备。此次攻击无需用户交互，触发机制隐蔽，攻击者通过特制的消息即可在设备上执行远程代码。Graphite软件允许全面远程控制目标设备，包括访问通信内容、麦克风、摄像头及位置数据，且通常由国家机构持有和操控。调查显示，攻击在2025年初发生，苹果于4月29日发出警告。攻击源自同一账户“ATTACKER1”，表明可能为同一Paragon客户端所为。除上述漏洞外，另一个编号为CVE-2025-24200的漏洞也被利用，苹果公司修复后未及时说明情况。事件关联一月间另一波针对记者和活动人士的Graphite攻击事件，迫使Paragon终止与意大利政府合作。尽管官方强调所有监控活动符合法规，但部分受害者并不在授权监控范围之内，监控来源成疑。报告还披露，Graphite部署与日志管理由客户控制，Paragon本身不掌握操作记录。公民实验室和安全专家强调，非接触式、可定制且难追踪的数字监控工具正严重威胁新闻自由与人权，呼吁加强对商业间谍软件的国际监管。同时，另一以色列间谍工具Predator近期重新活跃，表明全球数字监控威胁持续上升。

13. HashiCorp Nomad爆出高危漏洞，ACL策略前缀匹配失效致权限轻松提升

【Cybersecuritynews网站6月13日报道】HashiCorp旗下工作负载编排平台Nomad曝出严重权限提升漏洞（CVE-2025-4922），影响范围涵盖社区版与企业版1.4.0至1.10.1。该漏洞源于ACL（访问控制列表）系统中基于前缀的策略匹配机制存在缺陷，允许攻击者通过构造特定作业名称（如“test-job-2”）与已有高权限作业（如“test-job”）共享前缀，从而绕过授权、继承敏感权限。攻击门槛极低，仅需具备作业创建权限的合法账户即可发起，极易在多租户环境中造成横向权限提升和对敏感工作负载的未授权访问。研究指出，该设计失误可能导致策略规则被遮蔽，使ACL系统从安全屏障变为攻击跳板。HashiCorp已在Nomad Community 1.10.2和Enterprise 1.10.2、1.9.10、1.8.14中发布修复补丁，并建议组织立即升级、检查现有作业命名及ACL策略配置，防止前缀冲突误继承。此事件凸显工作负载调度系统中访问控制机制的精确性对集群安全至关重要。

14. Windows磁盘清理工具曝提权漏洞，PoC已公布可致系统权限被劫持

【Cybersecuritynews网站6月13日报道】研究人员披露影响Windows磁盘清理工具（cleanmgr.exe）的高危特权提升漏洞（CVE-2025-21420）并发布了概念验证代码（PoC），该漏洞利用SilentCleanup计划任务中存在的符号链接处理缺陷，使攻击者可在用户权限下获取SYSTEM级访问。具体而言，Windows在执行清理任务时会处理位于C:$Windows.~WS、C:ESDWindows等路径的临时文件夹，过程中未妥善校验链接，攻击者可通过重定向机制将删除操作导向系统关键路径如C:Config.msi，进而实现权限提升。该攻击链涉及精心设计的文件夹结构与时序控制，并可结合替换系统组件如osk.exe以持久维持控制权限。尽管微软已为cleanmgr加入部分重定向防护，但计划任务的提权执行特性仍为攻击提供可乘之机。研究人员建议立即部署防病毒防护、监控SilentCleanup任务的异常行为，并等待微软官方补丁修复。该漏洞暴露了Windows维护组件中长期未审查的权限执行风险，对企业终端防护提出更高要求。

15. WebDAV零日漏洞被APT团伙滥用，PoC已公开发布引发广泛RCE风险

【Cybersecuritynews网站6月13日报道】一个影响WebDAV服务的严重零日远程代码执行漏洞（CVE-2025-33053）已被披露并在GitHub上公开发布概念验证（PoC）代码。该漏洞正被APT组织利用，通过伪装为“finance_report.url”等商业文档的恶意URL快捷方式文件诱骗用户点击，从而连接攻击者控制的WebDAV服务器，导致NTLM凭据泄露或远程执行恶意负载。攻击特别针对启用Apache2 WebDAV模块的环境，这些系统往往默认缺乏严格访问控制。PoC工具由研究员DevBuiHieu发布，内含自动部署WebDAV服务的setup_webdav.sh脚本和用于生成恶意.url文件的Python脚本gen_url.py，可自定义可执行程序、图标及工作目录参数。APT组织主要通过钓鱼邮件进行武器化分发，借UNC路径启动自动连接。专家警告该漏洞一旦武器化将大幅提升WebDAV用户风险，建议立即审查并限制DAV/DAV_FS模块，部署强身份验证机制，仅允许授权用户访问WebDAV服务。此外，应更新安全邮件网关规则以阻断可疑URL快捷方式，并在网络中监控异常UNC连接和WebDAV流量行为。

16. Discord漏洞致黑客复用过期邀请链接传播远控和信息窃取恶意软件

【Bleepingcomputer网站6月13日消息】据Check Point 2025年6月披露，黑客正在利用Discord平台的漏洞，复用已过期或被删除的邀请链接，将用户引导至伪造的服务器页面，并通过“ClickFix”社会工程攻击方式诱导执行恶意PowerShell命令，从而下载远控木马（AsyncRAT）、信息窃取器（Skuld Stealer、ChromeKatz）等多种恶意软件。此次攻击已波及美国、英国、法国、荷兰和德国约1300名用户。漏洞关键在于Discord对邀请码机制处理不严，特别是3级服务器失去特权后，原本自定义的邀请码会重新变得可注册；同时，含大写字母的邀请码在Discord以小写形式对比的机制下，可在新服务器中复用，造成用户混淆。攻击者正是利用这一点，通过在社交媒体散布看似合法的“过期链接”，引诱用户加入伪装服务器，并触发“验证”流程，实则引导受害者手动执行恶意命令。攻击链涉及PowerShell启动器、混淆C++加载器、VBScript文件及来自Bitbucket的恶意有效载荷下载，并通过计划任务保持持久化访问。该攻击规避多种安全检测，引发高度关注。为防范此类威胁，用户应避免信任旧邀请、拒绝任何要求执行命令的验证流程，管理员应使用永久邀请链接。Discord官方尚未回应漏洞修复计划。

17. 前国家网络主管科克谈任期成果与挑战：网络安全是国家与经济繁荣核心

【TheRecord网站6月14日报道】The Record发布对前国家网络主管小哈里·科克（Harry Coker Jr.）的深度专访，详述其任期中的关键经验与政策主张。科克回顾任内最大成就包括：一是在网络政策制定中坚持“去政治化”原则，强调跨部门协作，推动信任与资源共享；二是与人事管理局（OPM）合作，削弱对四年制学位的过度依赖，增强网络人才多样性；三是完善国家网络战略和可量化的实施计划，推动联邦机构共同落实。他批评互联网在设计上缺乏安全性，特别指出边界网关协议（BGP）等老旧漏洞仍未彻底应对。科克强调：“没有网络安全，就不可能有国家安全与经济繁荣。”他主张将网络安全视为国家整体安全战略核心。在任期即将结束时，他遗憾职责划分不明、缺乏州级资源保护SLTT（州、地方、部落和领地政府）系统，建议强化联邦政府在协助地方抗击民族国家攻击方面的责任。他还呼吁制定统一且行业可调整的网络监管框架，减少合规成本、增强安全能力。对继任者肖恩·凯恩克罗斯，他寄语：“明晰职责、重视合作、坚持安全优先。”

18. 卡巴斯基曝光黑客组织"网络游击队"新型攻击工具，双方展开技术博弈

【Securitylab网站6月13日报道】卡巴斯基实验室近日发布技术报告披露黑客组织"网络游击队"(Cyberpartisans)的攻击手法，该组织自2020年白俄罗斯抗议活动后活跃，主要针对俄罗斯和白俄罗斯实施攻击。报告详细介绍了两种新型恶意工具：Vasilek后门通过Telegram群组远程控制，能窃取系统信息、键盘记录和屏幕截图；Pryanik数据擦除程序作为定时触发的"逻辑炸弹"，曾在攻击白俄罗斯化肥企业时造成数百台电脑被加密、备份数据被毁的严重后果。令人意外的是，该黑客组织对报告反应平静，甚至表示感谢卡巴斯基的关注，但反驳了报告中关于数据不可恢复的结论，称在某些攻击中使用了可逆加密技术。此次事件反映出网络安全领域安全厂商与黑客组织之间既对抗又存在技术对话的复杂关系，卡巴斯基通过技术分析提升防御能力，而黑客组织则借机评估自身技术暴露程度。