5th域安全微讯早报【20250722】174期

3. 英国百年老企KNP物流因勒索攻击倒闭

【CybersecurityNews网站7月21日报道】英国拥有158年历史的运输企业KNP Logistics因勒索软件攻击被迫破产，致使730名员工失业。此次事件源于攻击者通过猜测一名员工的弱密码获取系统访问权限，Akira勒索团伙随后部署恶意程序，加密关键数据并索要约500万英镑赎金。该攻击直接瘫痪了公司运营和资金流，导致KNP于2024年6月进入破产程序。KNP事件凸显了凭证管理不善对企业生存的致命威胁。数据显示，超80%的数据泄露与密码相关。英国国家网络安全中心（NCSC）警告，企业必须强化网络防护，尤其是中小型企业（SME），其中56%的勒索攻击目标为员工少于50人的公司。Akira自2023年起已在英美实施超250次攻击，牟利逾4200万美元。该案例连同近期对玛莎百货、Co-op等企业的攻击，反映出英国企业在2020至2025年间所面临的勒索软件威胁正急剧加剧，呼吁各方重视基础密码安全与网络防护。

4. 戴尔测试平台遭World Leaks攻击，泄露合成数据与过期联系人

【CybersecurityNews网站7月21日报道】戴尔科技公司证实其客户解决方案中心平台近期遭遇勒索组织World Leaks攻击。该平台作为独立的演示与概念验证环境，面向企业客户展示产品功能，与戴尔生产网络、客户数据系统和合作伙伴平台完全隔离。此次攻击未波及实际客户系统，受损数据主要为合成演示数据、测试输出、脚本数据及一份过期联系人列表。World Leaks是原Hunters International勒索集团的演变版本，自2025年初起转向“不加密、只泄密”的攻击模式。据称，该组织专门使用自研工具进行数据抓取，并已针对49个实体展开攻击。本次事件中，戴尔确认威胁者入侵的是一个不含敏感信息的演示平台，且内部安全策略禁止上传真实客户或专有数据。调查显示，World Leaks尚未将戴尔数据发布至其泄密站点。目前，戴尔已启动全面调查与响应流程，强调事件未对其正式运营系统或客户数据构成威胁，平台网络隔离措施与多层防护有效遏制了攻击范围。

5. CoinDCX遭黑客攻击致4420万美元被盗印度加密安全再受重创

【CybersecurityNews网站7月21日报道】印度第二大加密货币交易所CoinDCX确认其内部运营账户遭遇严重黑客攻击，导致约4420万美元资金被盗。此次攻击利用服务器端漏洞，黑客未经授权访问平台基础设施，转移资金至以太坊稳定币，且通过加密货币混合服务Tornado Cash进行洗钱，增加资金追踪难度。CoinDCX强调，客户资金存放在隔离的冷钱包中，未受影响。此次事件暴露了热钱包的安全隐患，热钱包因持续联网支持流动性操作，私钥泄露使攻击者绕过多重签名安全协议直接发起交易。事件首次由道德黑客ZachXBT披露，官方确认后，CoinDCX暂时关闭Web3及DeFi服务，加强API和交易监控。此攻击与去年印度另一大交易所WazirX遭遇的2.35亿美元盗窃事件相似，也与朝鲜黑客组织Lazarus Group的手法有关联。CoinDCX已向印度执法机构报案，聘请专业安全团队强化防护，计划引入零信任架构和加强入侵检测。行业专家呼吁对印度加密交易所实行强制保险和安全审计标准，提升整体安全防御能力，保护投资者利益。

6. 微软发布紧急安全更新以修复关键SharePoint 零日漏洞

【CybersecurityNews网站7月21日报道】微软针对本地 SharePoint Server 发布紧急安全更新，修复两个关键零日漏洞CVE-2025-53770和CVE-2025-53771。这些漏洞被攻击者积极利用，可能导致远程代码执行，严重威胁 SharePoint 2016、2019及订阅版环境的安全。微软安全响应中心确认，初期补丁未能完全缓解风险，攻击者通过创建恶意文件如 spinstall0.aspx 进行入侵。微软发布了针对订阅版的安全更新KB5002768和2019版本的KB5002754，SharePoint 2016的更新仍在开发中，存在较大暴露风险。建议组织启用完整模式下的反恶意软件扫描接口(AMSI)，并部署 Microsoft Defender Antivirus 以构建多层防护。完成补丁后，需使用Update-SPMachineKey cmdlet 轮换机器密钥并重启 IIS 以完成修复。Microsoft Defender 已部署相关威胁检测签名，包括 Exploit:Script/SuspSignoutReq.A 和Trojan:Win32/HijackSharePointServer.A，能实时阻止已知攻击。Defender for Endpoint 提供关键安全警报，帮助安全团队快速发现恶意活动。组织还可利用漏洞管理和高级搜索查询，对相关CVE进行全面监控和风险评估，强化整体防护体系。

7. 伪装成温度转换器的木马入侵多国军工承包商系统，泄露敏感数据

【SecurityLab网站7月21日报道】土耳其安全公司Malwation发现，一场针对全球多家军事和航空承包商的网络钓鱼攻击正广泛传播，攻击者使用伪装成“温度转换器”的恶意程序窃取敏感数据。攻击通过冒充土耳其国有飞机制造商TUSAŞ名义发送带有恶意PE32可执行文件的邮件，这些文件假扮成与投标或合同有关的Word或Excel文档，实则加载了Snake Keylogger的修改版本。该恶意软件在启动后会立即使用PowerShell命令禁用Windows Defender并规避检测，将自身添加至系统启动项并部署配置文件。其初始界面为温度转换器窗体，掩盖真实行为，随后通过多层.NET程序集逐步释放最终载荷“Remington”。该木马可从Outlook、FoxMail、Thunderbird等邮件客户端窃取凭证，并深入提取30多种浏览器中的Cookies、银行卡信息、自动填充数据等。此外，它具备反沙箱、虚拟化分析功能，可通过SMTP、FTP、Telegram传输窃取数据，部分配置中包含加密的邮箱凭据。此次攻击引发土耳其国家CERT（USOM）介入，表明国防工业正面临高度复杂和伪装性强的威胁，安全专家呼吁加强电子邮件防护、YARA规则检测与行为监控。

8. Livewire漏洞导致数百万Laravel应用面临远程代码执行风险

【CybersecurityNews网站7月21日报道】Laravel框架中广泛使用的Livewire组件曝出严重远程代码执行（RCE）漏洞，编号为CVE-2025-54068，影响版本范围为3.0.0-beta.1至3.6.3。该漏洞源于Livewire v3版本中属性更新水合机制的不当处理，允许未经身份验证的远程攻击者在不需要用户交互的情况下执行任意代码，风险极高。根据CVSS v4评分，该漏洞在机密性、完整性和可用性方面均评为严重，攻击复杂性较高，但不影响攻击者发起利用的权限要求。该漏洞特别针对使用Livewire v3的Laravel Web应用，且攻击成功依赖于组件的特定安装和配置方式，令部分应用直接面临系统被破坏的严重威胁。此外，高可用性影响评分警示攻击成功可能导致服务中断或拒绝服务。由于漏洞通过网络即可利用，无需本地访问或身份认证，面向互联网的易受影响应用尤其危险。Livewire开发团队已于7月发布3.6.4版本补丁以修复该漏洞，强烈建议所有使用受影响版本的组织立即升级。当前尚无其他缓解措施，补丁更新为唯一有效防护。官方计划在负责任披露窗口后公开更多技术细节，以防止漏洞被恶意广泛利用。建议运行受影响版本的机构将此次升级纳入优先安全管理流程，防止重大安全事件发生。

9. 监控公司利用SS7漏洞绕过追踪手机用户位置

【CybersecurityNews网站7月21日报道】一家监控公司被发现利用SS7信令系统中的先前未知漏洞，通过操纵TCAP协议中的ASN.1编码规则，绕过全球运营商的安全机制，实现对用户地理位置的秘密追踪。该攻击利用格式错误的TCAP标签（如“30 13 9f 00 08”）替代标准格式，使得包含IMSI（国际移动用户识别码）的数据包无法被传统SS7防火墙正确解析，从而绕开合法性校验。攻击聚焦于GSM-MAP协议中的PSI（ProvideSubscriberInfo）请求，用以获取受害者位置。一旦IMSI字段无法被解码，系统便无法执行应有的安全检查，导致敏感位置信息外泄。此类攻击自2024年Q4起活跃于实战中，攻击者通过构造特殊的PDU结构从外部网络发起请求，目标指向应受防护的本地用户。Enea威胁情报部门证实该绕过方式已在真实环境中造成位置泄露。鉴于SS7协议设计年代久远，许多网络堆栈无法正确处理罕见的标签编码，为攻击者提供了可乘之机。GSMA已发出警告，建议全球运营商加强对异常MAP消息的识别与拦截，阻断潜在风险通道。

10. CISA警告Microsoft SharePoint Server零日RCE漏洞被野外利用

【CybersecurityNews网站7月21日报道】美国网络安全与基础设施安全局（CISA）发布紧急警报，指出Microsoft SharePoint Server本地部署环境中存在严重零日远程代码执行（RCE）漏洞CVE-2025-53770，已被威胁行为者积极利用。该漏洞源自反序列化缺陷，允许未经身份验证的攻击者通过网络远程执行任意代码，尤其威胁面向互联网的SharePoint服务器。漏洞的CVSS评分高达9.8，风险极大。CISA要求所有受影响组织必须在7月21日前完成修复，并建议启用反恶意软件扫描接口（AMSI）和部署Microsoft Defender防病毒软件。无法立即部署的组织应断开面向公众的SharePoint服务器互联网访问，直至安全补丁发布。该漏洞主要影响Microsoft SharePoint Server订阅版（本地）、2019及2016版本。CISA已将该漏洞列入被利用漏洞目录，提示联邦机构严格遵守操作指令BOD 22-01。该事件凸显了SharePoint环境安全管理的紧迫性，要求组织强化纵深防御，避免漏洞被恶意利用造成重大损失。

11. Lighthouse Studio远程代码执行漏洞致托管服务器面临风险

【CybersecurityNews网站7月21日报道】调查软件平台Lighthouse Studio曝出严重远程代码执行（RCE）漏洞，编号CVE-2025-34300。该漏洞影响该软件基于Web的Perl CGI脚本组件，允许攻击者即使仅获得一个调查链接，也能远程执行任意代码，进而完全控制托管服务器。Lighthouse Studio采用双重架构，包含Windows桌面客户端和Web服务器上的Perl CGI脚本，用于处理受访者数据交互。漏洞源于模板引擎对用户输入缺乏适当过滤，模板中[% %]标记间内容会被直接作为Perl代码执行。攻击者可通过特制的hid_Random_ACARAT参数注入恶意代码，实现绕过输入过滤并利用eval()函数执行恶意负载。该漏洞危害广泛，因Perl CGI脚本常被复制部署于多个调查实例中，一家公司可能存在数十至数百个受影响脚本，且无自动更新机制，增加了攻击面和修复难度。Sawtooth Software已于7月9日发布9.16.14版本修复该漏洞。建议所有运行Lighthouse Studio的组织尽快升级至最新版本，避免托管服务器遭受潜在破坏。

12. CrushFTP曝零日漏洞遭利用，千余实例未修补引发安全警告

【The Record网站7月22日报道】文件传输服务提供商CrushFTP披露其产品存在一个被黑客利用的零日漏洞。公司总裁本·斯宾克表示，攻击者通过逆向工程发现了已修复的代码缺陷，并针对未及时更新的旧版本进行攻击。该漏洞影响7月1日前的多个版本，目前在最新版本中已被修复。安全组织Shadowserver指出，全球范围内仍有超过1,000个易受攻击的未修补实例，包括美国和欧洲的数百台设备。CrushFTP还警告称，有黑客伪造版本号，使受害系统看似安全，实则仍存在风险。该公司于7月18日发现漏洞被大规模利用，可能从前一天即开始遭攻击。文件传输平台长期以来是黑客重点目标，涉及政府、企业及高校的大量敏感数据。虽然此次攻击者身份尚未明确，但Clop勒索软件团伙以往多次利用同类软件的零日漏洞，制造全球性数据泄露事件，包括攻击MOVEit、GoAnywhere等平台。CrushFTP已发布指南，敦促客户尽快更新系统并核查版本完整性。

13. ExpressVPN 修复 RDP 流量绕过漏洞，曾暴露用户真实 IP 地址

【Bleeping Computer网站7月21日报道】知名 VPN 服务商 ExpressVPN 近日修复了其 Windows 客户端中一个严重漏洞，该漏洞导致远程桌面协议（RDP）流量绕过 VPN 隧道，从而泄露用户真实 IP 地址。该问题由安全研究员“Adam-X”于4月通过漏洞赏金计划报告，影响范围包括版本 12.97 至 12.101.0.2-beta。ExpressVPN 调查后确认，漏洞源于被误植入生产版本的内部调试代码，RDP 流量未能按预期加密路由，存在潜在数据暴露风险。虽然该漏洞不影响 VPN 加密功能，但仍可能让 ISP 或同网络观察者发现用户通过 RDP 连接的远程服务器。官方已在2025年6月18日发布修复补丁（版本12.101.0.45），并强调问题主要影响企业用户或频繁使用 RDP 的技术人员。ExpressVPN 表示将提升开发流程和自动化测试，以防未来出现类似错误。去年其“滑动隧道”功能也曾引发 DNS 泄露问题，目前已暂停使用。

14. 攻击者借Zoho WorkDrive隐藏PureRAT传播活跃利用“Ghost Crypt”加密服务

【CybersecurityNews网站7月21日报道】eSentire研究人员发现，网络攻击者正利用Zoho WorkDrive云存储平台分发混淆处理的PureRAT远程访问木马，目标为一家美国注册会计师事务所。此次攻击于2025年5月首次监测到，攻击者通过冒充客户发送含Zoho链接的PDF诱饵文件，伪装其中的“.pdf.exe”木马，并通过紧急电话手段诱导受害者点击执行。PureRAT具备高度复杂性，采用Eazfuscator.NET和.NET Reactor实现多层加密，并通过“进程催眠”技术注入Windows系统进程，实现静默执行和持久控制。有效载荷通过CreateProcessW和VirtualAllocEx注入csc.exe进程，随后在注册表中创建启动项以实现重启后自启。此外，攻击者还利用Ghost Crypt加密即服务工具，该服务可绕过Defender及多种检测机制，并支持PureRAT、LummaC2和XWorm等恶意软件，显示出攻击方对现代操作系统防护机制（如Windows 11 24H2）的深入了解与规避能力。

15. 微软AppLocker配置缺陷致安全策略绕过风险

【CybersecurityNews网站7月21日报道】Varonis Threat Labs揭示微软AppLocker默认配置中的关键失误，攻击者可利用该漏洞绕过应用程序执行限制。问题根源在于微软文档错误地将阻止列表中MaximumFileVersion设为“65355.65355.65355.65355”，而非应为的最大值“65535.65535.65535.65535”。这一微小的数值差异在无代码签名保护的环境下，可能使恶意程序通过修改版本元数据而逃避策略执行。尽管此漏洞表面看似严重，但AppLocker本设计为与签名验证配套使用，修改文件版本会破坏数字签名，从而触发更高层的“仅允许运行签名应用”规则，降低了实际攻击成功率。然而，对签名策略未严格执行的组织，则仍可能遭此类绕过攻击。微软已纠正其官方文档的错误值。此次事件再次凸显，安全配置中盲目复制粘贴易埋隐患，建议组织立即审查并修正相关配置，补强签名验证机制，确保AppLocker规则闭环有效。

16. 新型勒索软件KAWA4096利用Windows管理工具删除卷影副本

【CybersecurityNews网站7月21日报道】一种名为KAWA4096的新型勒索软件正在全球范围内扩散，主要攻击美国和日本等地，已造成至少11起受害事件。该勒索软件以日语“河流”命名，首次出现于2025年6月，展现出高度复杂的规避和持久性机制。值得注意的是，KAWA4096运营者刻意模仿臭名昭著的麒麟勒索软件和Akira勒索软件的界面设计与勒索信格式，以增强其威胁可信度和影响力。技术方面，KAWA4096采用多线程架构实现高效加密，同时利用Windows管理规范（WMI）系统方法，通过Win32_Process::Create运行命令，删除所有卷影副本，从而阻止受害者通过系统恢复文件。其先后执行“vssadmin.exe Delete Shadows /all /quiet”和“wmic shadowcopy delete /nointeractive”两条命令，确保卷影副本被静默且彻底清除。这一创新使得受害系统无法依赖内置备份机制恢复数据，极大增加了受害者支付赎金的压力。此外，勒索软件通过创建唯一互斥锁“SAY_HI_2025”防止多个实例同时运行，保证加密过程稳定。Trustwave分析师指出，这些特点显示威胁行为者对Windows恢复系统有深刻理解，且致力于在保持隐秘的同时最大化攻击效果。该事件凸显勒索软件家族在技术和策略上的持续演进，网络防御者需密切关注并加强相关防护措施。

17. 英特尔正式终止 Clear Linux OS 项目，建议用户尽快迁移系统

【Bleeping Computer网站7月21日报道】英特尔宣布终止其开源操作系统Clear Linux OS 的开发与维护，结束该项目长达十年的生命周期。Clear Linux 是专为英特尔硬件优化的 Linux 发行版，采用高度模块化设计，面向开发者及对性能有较高要求的云与服务器用户。英特尔在官方论坛指出，即日起将不再提供安全补丁或功能更新，GitHub 仓库也将切换为只读模式。尽管英特尔未正式说明关闭原因，但普遍认为项目因用户采用率偏低、维护成本高，以及公司战略资源向人工智能等新兴领域倾斜而被终止。Clear Linux 非主流发行版，依赖自有包管理和更新系统，导致长期支持难度增加。英特尔建议用户尽快迁移到仍在积极维护的 Linux 发行版，以保障系统安全性和稳定性。尽管该项目落幕，英特尔表示将继续投资 Linux 生态系统，并推动硬件优化在其他开源项目中的应用。

18. Veeam Recovery Orchestrator 启用 MFA 后现锁定 Bug，官方紧急修复并建议联系支持

【Bleeping Computer网站7月21日报道】数据恢复自动化解决方案 Veeam Recovery Orchestrator（VRO）在最近发布的版本中出现严重登录故障，启用多因素身份验证（MFA）后将阻止用户访问 Web UI。问题出现在版本 7.2.1.286，该版本于7月8日至17日期间提供下载。Veeam 表示，该 Bug 已在新发布的 7.2.1.290 中修复，但建议受影响用户不要自行升级或回滚，应联系技术支持以获取专属处理方案。VRO 是 Veeam 关键的灾难恢复编排产品，广泛应用于数据丢失和勒索软件事件后的业务连续性管理。此外，Veeam 还在调查一个与 Windows 11 24H2 系统兼容性相关的问题，可能与 KB5051987 更新有关，该问题会导致用户从恢复介质恢复时连接失败。Veeam 产品被全球超55万家客户使用，其中包括多数《财富》500强企业，任何关键 Bug 对企业运营安全构成直接威胁。

19. 隐蔽挖矿卷土重来，超3500网站中招——“EverythingIsLife”挖矿攻击再升级

【SecurityLab网站7月21日报道】安全专家发现代号为“EverythingIsLife”的大规模隐蔽加密货币挖矿活动，影响超过3500个网站。不同于以往因高CPU负载易被察觉的挖矿程序，该恶意JavaScript脚本通过延迟加载和Base64加密技术注入网页，利用WebAssembly和后台Web Worker在用户浏览器中低负载运行，限制CPU使用率至50%，最大程度减少被发现风险。该脚本通过WebSocket持续与远程命令服务器通信，动态调整挖矿负载，且针对不同设备和浏览器精细调控操作参数，实现高度隐蔽性。令人警惕的是，攻击基础设施曾被用于窃取信用卡信息的Magecart攻击，显示攻击者多元化利用其资源和手法。专家指出，这类隐蔽攻击可潜伏数月，杀毒软件和浏览器难以检测，用户和管理员难察觉。应对策略建议强化内容安全策略（CSP）、实施实时JavaScript代码分析，并借助AI技术监控WebSocket流量，提升对客户端细粒度的安全防护能力，以应对日益精准持久的网络威胁。

20. 旅行充电暗藏风险：你的照片、信件和密码可能被窃取

【SecurityLab网站7月21日报道】美国运输安全管理局（TSA）发布重要安全提醒，警告旅客在使用公共场所如机场、酒店或商场的免费USB充电端口时，存在“果汁劫持”攻击风险——攻击者可能借此获取设备控制权，导致个人数据泄露。TSA建议旅客尽量使用自带的移动电源或正规充电器，避免直接插入公共USB端口。此外，TSA还敦促旅客避免在机场连接免费Wi-Fi，尤其是在进行在线购物或输入敏感信息时，尽管安全专家对此存在争议。专家建议关闭设备自动连接未知网络功能，连接前核实网络地址，并使用经过验证的付费VPN服务以降低风险。移动安全公司Zimperium数据显示，全球已有超过五百万个不安全Wi-Fi网络，约三分之一用户曾连接过此类网络，增加了设备被攻击的风险。美国多个大城市也出现了通过移动互联网的攻击激增现象。综合建议强调，旅行中务必保持数字安全意识，避免在公共环境中轻易使用免费充电和Wi-Fi服务，以防个人隐私和敏感信息被泄露。

21. 600个PDF木马病毒肆虐全球，Scanception钓鱼活动绕过80%杀毒软件窃取密码

【SecurityLab网站7月21日报道】Cyble研究与情报实验室（CRIL）披露一起名为“Scanception”的大规模网络钓鱼活动，攻击者通过精心伪装的PDF文件实施二维码钓鱼，成功绕过了全球80%的杀毒软件检测，并在50多个国家窃取用户凭证。攻击者向用户发送包含二维码的PDF附件，伪装成企业文件（如HR指令、财务通知等），诱导用户使用手机扫描，从而规避了桌面防御系统。扫描后，用户被重定向至伪装成Microsoft 365等登录页面的钓鱼网站，并通过“中间人攻击”（AiTM）实时拦截用户名、密码和多因素身份验证码（如OTP）。攻击使用600多种PDF变体，采用多页内容、商业语言、公司标识等手法混淆检测机制，还通过YouTube、Google等可信平台进行中转，以绕过域名信誉系统。攻击活动波及医疗、金融、制造、科技等70多个行业，凸显移动终端在企业防御体系中的薄弱环节。安全专家呼吁加强员工安全意识培训、部署移动设备管理（MDM）系统，以提升防御能力。

22. 乌克兰指责俄罗斯支持的APT28利用AI驱动LameHug恶意软件攻击国防部门

【Industrial Cyber网站7月21日报道】乌克兰国家计算机应急响应小组（CERT-UA）发现针对乌克兰安全与国防部门的新一轮网络攻击，攻击者使用名为LameHug的人工智能驱动恶意软件，CERT-UA将此次攻击归咎于与俄罗斯情报部门关联的APT28黑客组织。LameHug通过伪装成合法邮件附件传播，利用Python编写并集成大型语言模型（LLM）生成指令，具备收集系统信息和递归搜索Microsoft Office文档的能力，窃取重要数据。攻击过程中，入侵的邮箱被用于传播恶意邮件，指挥控制服务器则托管在已被攻破的合法资源上。此次攻击显示APT28持续针对乌克兰及西方国家实施复杂网络行动。英国国家网络安全中心近期亦将APT28与多起针对西方的网络攻击及俄罗斯军事情报机构格鲁乌（GRU）联系起来，并对相关俄罗斯单位及个人实施制裁。法国外交部同样指控APT28自2021年以来多次针对法国国家利益发动攻击。与此同时，Takepoint Research调查显示，80%的工业网络安全受访者认为人工智能在威胁检测、网络监控和漏洞管理中具备显著优势，但对过度依赖及误报问题保持警惕。整体来看，APT28结合AI技术持续加剧网络安全威胁，凸显国际社会对其的高度关注和应对压力。

23. 微软发现Octo Tempest恶意软件转向攻击航空业，强化防御建议发布

【Industrial Cyber网站7月21日报道】微软安全团队近期发现臭名昭著的威胁组织Octo Tempest（又称Scattered Spider等）将攻击目标从零售、餐饮等行业转向航空业。该组织以经济利益为目的，采用社会工程、冒充用户等手段获得初始访问权限，利用短信钓鱼和中间人域名实施攻击，配合多种工具攻击混合身份基础设施并窃取数据。微软指出，Octo Tempest在攻击中部署DragonForce勒索软件，攻击初期同时影响本地与云端账户，显示出复杂且多层次的攻击手法。安全团队建议通过多因素认证、端点实时保护、防网络钓鱼及严格权限管理等措施强化身份、端点和云安全。针对该组织惯用的凭证盗窃技术，推荐启用攻击面缩减（ASR）规则及登录策略。此外，微软提供攻击路径分析和“Chokepoint”视图帮助安全运营中心（SOC）识别关键威胁点，实现精准防御。美国联邦调查局亦报告该组织正积极扩大对航空业的攻击。整体来看，Octo Tempest的多元化攻击策略对关键行业构成持续威胁，组织需全面提升防御能力以应对不断演变的网络风险。

24. DCHSpy恶意软件升级监控伊朗政权敌对者，窃取WhatsApp与设备数据

【The Record网站7月21日报道】网络安全公司 Lookout 发现与伊朗情报机构有关的黑客组织使用升级版的 DCHSpy 恶意软件针对活动人士和记者实施监控。该软件据信由与伊朗情报安全部（MOIS）关联的“MuddyWater”组织操控。DCHSpy最早于2024年被发现，如今已具备窃取WhatsApp数据、文件、短信、联系人、通话记录和定位信息的能力，甚至能远程启用设备摄像头和麦克风进行拍摄和录音。此次攻击行动出现在以色列6月轰炸伊朗核设施一周后，正值伊朗实施互联网封锁，引发公众对外部网络访问的需求。攻击者借助以Starlink为诱饵的恶意VPN和银行应用程序链接，在Telegram等平台分发带有虚假URL的钓鱼网站，引诱用户下载恶意软件。这些诱导信息用波斯语和英语撰写，紧扣伊朗反对派相关话题，目标群体多为全球范围内的异见人士和记者。Lookout警告，DCHSpy持续演化，展现出国家支持的网络监控活动日益隐蔽和技术复杂的趋势。