5th域安全微讯早报【20250726】178期

1. 危机怀孕中心被指误导公众HIPAA保护引发多州调查与隐私担忧

【The Record网站7月25日报道】危机怀孕中心（CPC）长期被指误导女性，错误宣称其收集的生殖健康数据受联邦《健康保险携带与责任法案》（HIPAA）保护，实则大多数CPC不受该法监管。Heartbeat International等伞状组织虽发布指导，强调部分附属机构不受HIPAA约束，但多地CPC仍公开宣称符合隐私法规。隐私权倡导者指出，CPC收集大量敏感数据，包括语音邮件、电子通信及超声检查记录，且部分信息汇入Heartbeat专有数据库，监管缺失且透明度不足。2022年最高法院Dobbs裁决后，CPC数据收集遭质疑，担忧司法部门利用此类数据跨州追诉堕胎相关人员，威胁女性安全。新泽西州总检察长对多家CPC发出传票调查潜在消费者欺诈，凸显监管加强的紧迫性。专家呼吁防止CPC“享有HIPAA声誉却无监管责任”，保障女性隐私权和数据安全。事件反映CPC隐私保护缺陷引发公众和司法关注，相关调查与倡导持续推进。

2. 美国对朝鲜三名高级官员实施制裁并悬赏300万美元追捕涉核IT计划人员

【The Record网站7月25日报道】美国财政部宣布对朝鲜三名高级官员——金世恩（Kim Se Un）、赵京勋（Jo Kyong Hun）和明哲民（Myong Chol Min）实施制裁，指控其通过所谓“小白水贸易公司”帮助朝鲜逃避美国及联合国制裁。该公司为朝鲜军需工业部幌子，负责监督核武器及弹道导弹研发，尤其在越南等地运作IT工人阴谋，诱骗外企使用被盗身份雇佣朝鲜人以筹资核计划。美国国务院为提供金世恩及明哲民线索分别悬赏300万美元，称其关键角色在于通过加密货币等手段为朝鲜政权筹集资金。财政部称明哲民还涉进口烟草等商品。美国司法部同时公布针对七名涉嫌贩卖假烟的朝鲜公民的起诉。此举凸显美国加大对朝鲜核弹计划及非法资金渠道打击力度。联邦调查局还发布指导，协助企业识别潜在朝鲜IT雇员。相关官员警告部分朝鲜制造的弹道导弹已流入俄罗斯，用于打击乌克兰。

3. 美国赛车机构纳斯卡确认三月网络攻击致社会安全号码泄露提供信用监控服务

【The Record网站7月25日报道】美国赛车赛事管理机构纳斯卡（NASCAR）近日确认，2025年3月底至4月初遭遇一次网络攻击，导致未知数量的社会安全号码数据泄露。该事件于4月3日被纳斯卡IT团队发现，随后聘请网络安全公司调查，并向缅因州、新罕布什尔州和马萨诸塞州监管机构备案。6月底确认数据泄露事实后，纳斯卡于7月24日向受影响人员发送违规通知，并提供一年的免费信用监控服务。此次事件疑与臭名昭著的Medusa勒索软件团伙有关，该团伙曾于今年4月将纳斯卡列入其泄密网站，索要400万美元赎金，要求4月19日前支付赎金。Medusa勒索软件自2021年以来对全球多个关键基础设施和机构发起逾300起攻击，曾造成大量敏感数据外泄。纳斯卡未对置评请求作出回应。网络安全专家称，Medusa是2025年最活跃的勒索组织之一，其攻击规模和影响持续扩大，造成严重安全隐患。

4. BlackSuit勒索软件团伙暗网网站被查封国际多国联手打击跨国网络犯罪

【The Record网站7月25日报道】BlackSuit勒索软件团伙的暗网勒索网站于本周四被国际执法机构联合查封。行动由包括美国国土安全调查局（HSI）在内的来自九个国家的17家机构协同执行，其主TOR域名及私人谈判页面已被替换为执法查封通告。此次打击标志着全球对跨国网络犯罪组织的又一次重拳出击。BlackSuit自2023年中开始活跃，被认为是“皇家”（Royal）勒索软件的进化版本，而“皇家”团伙又与臭名昭著的俄罗斯Conti组织有密切关联。据FBI和CISA发布的报告，BlackSuit累计勒索金额超过5亿美元，知名受害者包括日本出版巨头角川（KADOKAWA）、美国坦帕湾动物园，以及导致全美近200个血浆采集中心短暂关闭的Octapharma血浆组织。此次查封行动也获得网络安全公司Bitdefender协助。另据Cisco Talos研究，部分BlackSuit成员疑与Chaos勒索软件项目有关，显示该团伙在工具和加密技术上有深度复用行为。专家建议企业加强关键资产备份，部署端点监测系统，并更新防勒索软件策略以应对持续演化的勒索威胁。

5. 亚马逊AI编码助手遭黑客注入“数据擦除”命令用户应尽快更新至新版

【BleepingComputer网站7月25日报道】亚马逊旗下生成式AI编码助手 Amazon Q Developer Extension for Visual Studio Code（简称Amazon Q）近日被曝遭黑客恶意篡改，在其GitHub仓库中被注入危险“数据擦除”提示命令。此次事件凸显AI开发工具在软件供应链安全管理上的新型风险。事件发生于7月13日，一名名为“lkmanka58”的黑客通过权限漏洞，成功将未经授权的代码提交至Amazon Q项目代码库中，并于7月17日通过Visual Studio Code市场发布了受污染的版本1.84.0。该注入命令意图“将系统清除至接近出厂状态并删除文件系统与云资源”，虽因格式错误未能成功执行，但仍引发广泛关注。AWS于7月23日接获安全研究员警告，随即展开调查，并于7月24日发布修复版本1.85.0，移除所有可疑代码，撤销相关访问凭证。AWS在公告中强调，受影响版本未对用户环境构成实质风险，但承认此次事件揭示了权限管理与开源代码提交审核机制的严重漏洞。专家指出，该事件虽未造成实际数据丢失，但仍应视为重大供应链安全事件。建议所有用户立即卸载或升级至新版1.85.0，并加强本地开发工具的代码完整性监控与第三方插件安全审查流程。

6. 美籍女子因协助朝鲜渗透300家美企被判102个月监禁

【BleepingComputer网站7月25日报道】来自亚利桑那州的50岁女子克里斯蒂娜·玛丽·查普曼（Kristina Marie Chapman），因在自家设立“笔记本电脑农场”协助朝鲜IT工人冒充美国远程员工，渗透309家美国公司，于周四被判处102个月（8年半）监禁。据美国司法部指控，查普曼与乌克兰同伙奥列克桑德尔·迪登科（Oleksandr Didenko）于2020至2023年间，为朝鲜IT工人提供虚假美国身份和远程接入渠道，帮助其在多家财富500强企业中担任软件开发人员。这些企业包括美国的航空防务公司、大型电视网络、硅谷科技公司等。该计划累计非法获利超1700万美元。查普曼通过其银行账户处理这些工资，并向朝鲜合作方汇款；她还将49台美国公司配发的笔记本电脑运往靠近朝鲜边境的中国城市，供朝方直接操作。警方于2023年10月突袭其住宅，查获超过90台笔记本电脑。此案中，迪登科运营的平台UpWorkSell也遭美国司法部查封，该平台专门帮助朝鲜人以假身份申请海外IT工作。其他三名涉案外国人（Jiho Han、Haoran Xu 和 Chunji Jin）也因共谋洗钱被起诉。美国财政部外国资产控制办公室（OFAC）同日宣布，对三名参与该欺诈计划的个人及朝鲜幌子公司实施新一轮制裁。美方称，该行动为近期打击朝鲜IT创收网络的一部分。美国联邦调查局也已更新对企业的面试识别指南，以防止朝鲜IT工人借助假身份渗透敏感行业。

7. 防弹主机服务商Aeza集团迁移基础设施，规避美国制裁

【GBHackers网站7月25日报道】网络安全分析机构Silent Push披露，因被美国财政部外国资产控制办公室（OFAC）于7月1日制裁，全球知名防弹托管提供商Aeza Group近期将其关键基础设施从自治系统AS210644迁移至新成立的自治系统AS211522，运营主体为一家名为Hypercore LTD的新注册公司。此举被认为是Aeza集团为规避制裁、持续支持网络犯罪活动而采取的战略调整。Aeza集团因其提供“防弹”服务器服务而受到制裁，这类服务因容忍违法行为、无视滥用投诉且抵制执法干预而臭名昭著，常被勒索软件团伙、大规模数据泄露组织及暗网毒品交易平台利用。制裁冻结了Aeza在美资产，禁止美国公民与其交易。Silent Push通过IOFA™（未来攻击指标）系统监测到，Aeza此前控制的多个IP地址块被迅速重新公告于AS211522。BGP路由数据表明，这些地址段在AS210644和AS211522间出现“双重公告”，强烈暗示这是一次有计划的资产转移，而非误操作。新自治系统AS211522成立于7月10日，已迅速囊括超过2100个IP地址，模式与Aeza此前行为高度一致。分析师认为，这可能是Aeza集团的品牌重塑或将业务交由紧密盟友运营的策略。独立安全顾问乔丹·菲舍尔指出，防弹托管服务商常通过成立新公司或自治系统来规避日益严厉的执法压力。Silent Push呼吁网络运营商加强对新ASN的阻断和监控，并与执法部门共享情报，力求遏制恶意托管基础设施的持续扩散。其IOFA™预警平台将持续追踪该基础设施及相关资产动态，为安全社区提供及时、可操作的威胁可见性。此次Aeza集团的迁移行动再次凸显了防弹托管服务的隐蔽性和持续性，也强调了全球网络安全防御中对基础设施动态监测和协同执法的重要性。

8. Brave浏览器启用IS_PRIVATE防护，揭示微软Windows Recall隐私争议

【SecurityLab网站7月25日报道】Brave Software出于用户隐私保护考虑，决定在其默认浏览器中禁用微软Windows Recall功能。该功能会定期截取用户活动窗口的屏幕截图，并利用自然语言处理分析内容，旨在帮助用户快速回顾历史操作。但自发布以来，该功能因可能泄露密码、通信、医疗及财务信息而饱受争议。微软虽添加了阻止Recall截屏的应用选项，并通过Windows Hello增强快照安全，但隐私担忧依旧存在。Brave采用Windows API中的SetInputScope函数，启用IS_PRIVATE参数，向操作系统声明窗口内容为“私密”，阻止Recall截屏和索引。此技术已在浏览器核心组件中实现，用户可在设置中关闭此限制。类似措施此前被Signal即时通讯采用，利用DRM标记阻止Recall截屏，但为兼顾残障人士提供了开关选项。此举反映出软件开发者与微软操作系统推广新功能之间的紧张关系，数字隐私之争正在底层API层面展开。

9. 泄密论坛自身数据库泄露，2200万用户IP暴露风险骤增

【SecurityLab网站7月25日报道】知名黑客泄密论坛Leak Zone因配置失误导致其Elasticsearch数据库无需密码即可公开访问，包含超过2200万条用户登录IP及时间记录，数据持续实时更新，最晚至2025年6月25日。虽未直接关联用户昵称，仍可通过IP追踪识别身份，尤其是未使用代理或VPN的用户面临暴露风险。Leak Zone自2020年起活跃，主要发布被盗数据库及凭证，并经营非法账户市场，注册用户超过10.9万。此次泄露约95%数据关联论坛授权登录，5%为其出售被盗流媒体账户的AccountBot服务。TechCrunch通过实测验证了泄露数据的真实性。事件疑因人为或配置错误引发，论坛管理团队未对此公开回应。该事件反映出黑客论坛自身安全管理的严重不足，凸显了网络犯罪生态中的隐私保护挑战。当前，全球执法机构持续加大对网络犯罪论坛的打击力度，RaidForums被关闭，俄罗斯XSS.is论坛管理员亦被逮捕。

10. “将死行动”：五国联手瓦解勒索软件集团，阻断5亿美元黑金链条

【SecurityLab网站7月25日报道】由美国国土安全调查局主导，联合美国特勤局、英国国家犯罪局、德国法兰克福检察院与国家刑事警察局、荷兰国家警察局等五国情报机构的国际“将死行动”（Checkmate）成功摧毁了臭名昭著勒索软件集团“BlackSuit”的数字基础设施。该集团十年来对全球350余家政府和企业发动攻击，勒索赎金累计超过5亿美元。“BlackSuit”最初于2022年1月以“Quantum”名义成立，源自传奇Conti集团，随后推出自研勒索软件Zeon，2022年9月改名为Royal，2023年达拉斯事件后再次更名回BlackSuit，并引入新版勒索软件。其攻击手法与工具（包括系统实用程序LOLbins、远程管理RMM和赎金票据样式）高度一致，便于安全机构将多次活动归属同一网络。思科Talos报告显示，该集团或将再次更名为“Chaos”，持续变换身份以规避侦查并维护勒索数据价值。专家指出，勒索软件组织利用改名、换工具及“威胁个性化”策略持续生存，令打击变成一场持久消耗战。“将死行动”虽给予BlackSuit重创，但只要其背后资金和资源未断，其威胁仍不可忽视。各国安全机构呼吁加强防御，持续打击此类跨国网络犯罪。

11. Tridium Niagara 框架多漏洞暴露敏感网络数据，威胁关键基础设施安全

【GBHackers网站7月25日】报道，网络安全研究机构 Nozomi Networks Labs 发现 Tridium 公司广泛使用的 Niagara 框架存在13个严重安全漏洞，涉及10个CVE编号，可能导致全球楼宇管理、工业自动化及智能基础设施系统中的敏感数据泄露。漏洞集中于网络设备加密配置错误，攻击者可借此实施中间人攻击，危及关键运营系统的安全与连续性。Niagara框架作为连接物联网设备的中间件，广泛应用于商业地产、医疗、运输、制造和能源领域，控制着暖通空调（HVAC）、照明、能源管理及安全系统。研究显示，若系统禁用网络设备加密，攻击者能利用漏洞下载TLS私钥，拦截平台流量，实现横向移动与远程代码执行，严重影响系统安全。研究重点揭示了影响Niagara Framework 4.13及更早版本（包括4.10u10和4.14u1）的多个高危漏洞，CVSS评分最高达7.7。其中，CVE-2025-3943与CVE-2025-3944联合攻击可通过拦截CSRF令牌和文件操作，在基于QNX的系统上获得根权限。此次攻击需具备网络访问权限及未加密的Syslog配置，攻击链包括提升日志级别、劫持管理员会话、窃取TLS证书，最终实现系统完全入侵。Tridium已迅速发布补丁并建议用户开启所有网络通信的加密配置，避免潜在风险。专家呼吁，所有使用Niagara框架的机构应立即应用安全补丁，严格检查加密设置，并实时监控安全警告，防止关键基础设施遭受此类复杂攻击。

12. VMware Tools VGAuth身份验证漏洞严重，攻击者可获Windows虚拟机系统权限

【GBHackers网站7月25日报道】安全研究人员发现，VMware Tools中客户身份验证服务（VGAuth）存在两处严重漏洞（CVE-2025-22230和CVE-2025-22247），影响ESXi管理环境及独立的VMware Workstation 12.5.0及之前版本，攻击者可利用漏洞将任意用户权限提升至Windows虚拟机中的完全系统访问权限。核心问题源于VGAuth的命名管道身份验证机制存在设计缺陷。服务以“.pipevgauth-service-<username>”格式创建可预测管道名，但未使用FILE_FLAG_FIRST_PIPE_INSTANCE标志，导致攻击者可预先创建管道并劫持身份验证会话。通过构建名为“vgauth-service-system”的管道，攻击者能冒充NT AUTHORITYSYSTEM帐户，绕过所有安全限制，实现超级用户权限（CVE-2025-22230，补丁版本12.5.1，修复于2025年3月25日）。第二漏洞涉及路径遍历与不安全符号链接解析，攻击者可注入路径遍历序列突破别名存储目录限制，执行任意文件删除和写入操作，结合TOCTOU攻击精准操控符号链接目标。利用该漏洞，攻击者能删除关键系统目录文件或将恶意DLL植入特权位置，发动DLL劫持实现SYSTEM权限代码执行（CVE-2025-22247，补丁版本12.5.2，修复于2025年5月12日）。VMware已通过随机化管道名称和首次实例标志修复首个漏洞，并增强路径验证及新增allowSymlinks配置选项修复第二漏洞。鉴于VGAuth广泛部署及漏洞的高风险，建议所有使用VMware Tools的组织优先升级至12.5.2及以上版本，防止本地权限提升攻击造成严重系统安全威胁。

13. 彭博Comdb2数据库曝多处严重漏洞，恶意数据包可致拒绝服务

【GBHackers网站7月25日报道】思科Talos漏洞发现与研究团队披露，彭博社开源的Comdb2集群数据库8.1版本存在五个严重安全漏洞，攻击者可通过特制网络数据包触发拒绝服务（DoS）攻击，导致数据库崩溃，严重威胁数据库的高可用性和稳定性。彭博社已依据负责任披露协议修复相关缺陷。Comdb2数据库支持事务、快照及乐观锁机制，广泛用于关键业务场景。此次发现的漏洞主要集中在数据库网络通信协议和分布式事务处理模块，其中包括三个空指针取消引用漏洞（CVE-2025-36520、CVE-2025-35966、CVE-2025-48498）和两个拒绝服务漏洞（CVE-2025-46354、CVE-2025-36512）。这使得攻击者仅需与数据库建立TCP连接，发送精心构造的数据包，无需认证即可触发服务崩溃。部分漏洞涉及协议缓冲区消息处理，另有缺陷影响分布式事务组件，攻击可通过提交、中止操作或利用心跳机制干扰节点协调完成。Talos已发布Snort入侵检测规则，便于管理员监控相关攻击尝试。使用Comdb2的企业应尽快应用最新补丁，强化网络安全防护。

14. 警惕虚假404错误页面：Soco404挖矿攻击在Linux和Windows系统部署特定平台恶意软件

【GBHackers网站7月25日报道】Wiz Research揭露一个名为Soco404的活跃加密挖矿活动，攻击者利用PostgreSQL数据库与云服务配置错误，在Linux与Windows系统中植入特定平台的恶意软件。该行动通过伪装成无害404错误页面，隐藏并远程分发挖矿程序，已被确认涉及数百个受害实例。攻击者通过PostgreSQL的“COPY FROM PROGRAM”功能（MITRE T1190）执行远程代码，利用弱凭证与如Apache Tomcat漏洞（CVE-2025-24813）的云配置错误渗透系统。在Windows平台，恶意程序“ok.exe”通过certutil、PowerShell或curl下载并部署，利用WinRing0.sys驱动程序访问资源，同时停止事件日志记录（MITRE T1562.002）并建立持久性服务（MITRE T1543.003）。Linux变体中，攻击者利用soco.sh脚本，从受控Tomcat服务器下载混淆的Go语言挖矿二进制程序（使用UPX与Garble处理），并通过**.bashrc、cron作业等手段植入持久性机制。该恶意程序还清除竞争对手矿工进程与日志（MITRE T1070.002），通过本地套接字通信接收C2命令，连接域名如www.fastsoco.top**。伪装手法包括使用Google Sites或自定义域生成的虚假404页面，将base64编码的恶意有效载荷嵌入其中，混淆检测并延长感染周期。此外，分析表明该攻击与多个诈骗网站（如seeyoume.top）有关，显示出结合社会工程与资源滥用的双重策略。研究人员指出，该行动影响高达三分之一的云端自托管PostgreSQL部署，感染主机正参与c3pool与moneroocean矿池活动。Wiz平台的动态扫描与运行时传感器能监测异常行为并识别风险实例。当前攻击仍在活跃进行中，建议企业强化数据库安全、限制公网访问，并监控云端异常执行行为。

15. 新型Gunra勒索软件瞄准Windows系统：加密文件并擦除卷影副本阻止恢复

【GBHackers网站7月25日报道】安全厂商AhnLab威胁情报平台（TIP）监测发现，一个名为Gunra的新型勒索软件组织于2025年4月首次活跃，建立了专用泄漏站点（DLS），通过强制性谈判时限和先进的加密机制迅速引发关注。该组织手法与已解散的Conti勒索软件集团高度相似，被视为其衍生变种，具有更短的谈判周期和更强的社会工程策略。Gunra 采用多线程加密流程，针对受害主机的CPU逻辑核心生成对应线程，加快Windows系统文件的加密进程。它在二进制中嵌入RSA公钥，结合ChaCha20流加密算法对文件进行处理，并添加“.ENCRT”扩展名。为保持系统可用性，攻击程序跳过了系统目录（如Windows、Boot）和关键文件类型（如.exe、.dll、.sys）。赎金文件名包括“R3ADM3.txt”与“CONTI_LOG.txt”，暗示其与Conti源代码存在继承关系。Gunra特别策略性地集中加密C:Users目录，以最大化用户数据影响，并通过cmd.exe调用WMIC.exe删除系统卷影副本（shadowcopy），防止用户通过快照恢复数据（命令样式如 cmd.exe /c WMIC shadowcopy where "ID={GUID}" delete）。攻击者在赎金通知中设定五天谈判期限，施加心理压力促使受害者尽快支付赎金。据AhnLab监测，该组织还活跃于多个暗网论坛，持续扩张攻击面。为防范此类攻击，安全专家建议企业采取多重防护措施，包括：应用系统和软件最新安全补丁；启用和更新高强度防病毒软件；实施离线备份与异地备份策略；限制管理员权限，开启双因素身份认证；规避可疑链接、附件与网络钓鱼陷阱；定期进行数据恢复演练，确保备份在卷影副本被擦除时依然有效。专家提醒，随着基于DLS的勒索模式激增，企业应主动监控新兴威胁，并利用如AhnLab TIP等情报平台实现威胁前置预警。

16. 假冒印度银行安卓应用窃取用户登录凭证与敏感信息

【GBHackers网站7月25日报道】一款恶意安卓应用冒充印度知名银行的官方软件，针对用户进行凭证盗窃和未经授权的金融操作。该恶意软件采用模块化设计，利用虚假界面和静默安装技术，滥用包括短信读取、安装权限、设备信息访问等多项Android权限，确保隐蔽性和持久性。该木马通过Firebase实现命令与控制（C2），植入仿真银行登录页面骗取账户信息，并截取一次性密码（OTP）和双因素认证代码。恶意程序还支持通过USSD代码进行呼叫转移，将电话重定向至攻击者控制的号码。数据泄露通过Firebase实时数据库传输，离线数据存储于本地SharedPreferences。攻击传播方式多样，包括短信钓鱼、电子邮件钓鱼、WhatsApp机器人、假冒客服电话、恶意广告及QR码攻击等，同时利用Android辅助功能和系统漏洞实现静默安装和权限提升。调查发现，Firebase控制端仍活跃但已锁定认证，显示攻击持续威胁。专家警告，此类木马凸显移动金融安全的严峻挑战，呼吁加强多层次防御，包括用户权限教育、应用市场强化审查及对金融交易异常行为的检测与响应，保障用户资产安全。

17. 新型CastleLoader攻击利用Cloudflare主题Clickfix策略侵入Windows系统

【GBHackers网站7月25日报道】安全研究人员披露，一种自2025年初活跃的加载器恶意软件CastleLoader，迅速演变为信息窃取和远程访问木马（RAT）的重要分发平台。攻击者通过复杂的网络钓鱼（T1566）和驱动破坏技术（T1189），伪装成合法软件库、在线会议平台（如Google Meet）或浏览器更新通知，诱骗用户执行恶意PowerShell命令（T1059.001），绕过传统安全防护。自2025年5月至6月，CastleLoader在7个不同命令与控制（C2）服务器上记录1634次下载尝试，成功感染469次，转化率达28.7%。目标超过400个关键受害者，包括美国政府实体，显示出其高效性和危害范围。攻击链关键技术包括使用Cloudflare主题的Clickfix钓鱼网站，诱导用户复制粘贴恶意PowerShell脚本到Windows运行窗口（T1204.004），后台请求混淆代码并下载ZIP有效载荷，随后利用AutoIT脚本在内存加载shellcode，建立通过Web协议（T1071.001）进行C2通信，传输更多恶意组件（T1105）。二级有效载荷涵盖StealC、RedLine、NetSupport RAT、DeerStealer、HijackLoader和SectopRAT，针对凭证窃取和持久访问等目标。另有伪造GitHub仓库模拟SQL Server Management Studio，直接分发恶意程序（T1204.002）连接C2。CastleLoader C2面板具备MaaS特征，支持受害者数据收集、地理定位、反虚拟机检测及权限提升等操作。该恶意软件未见于地下市场，推测为内部开发。其通过合法服务掩盖网络通信，增强攻击隐蔽性。高感染率和针对高价值目标的攻击呼吁加强用户安全意识、剪贴板行为监控与异常检测。

18. Fire Ant黑客组织滥用VMware漏洞开展间谍活动

【GBHackers网站7月25日报道】网络安全公司Sygnia追踪并披露了一个名为“Fire Ant”的高级持续性威胁（APT）组织，利用VMware ESXi和vCenter等虚拟化组件漏洞对企业基础设施实施网络间谍活动。该组织通过滥用CVE-2023-34048漏洞在vCenter上实现未授权远程代码执行，进而获取vpxuser凭据并横向移动至ESXi主机，部署伪装为“ksmd”进程的VIRTUALPITA后门。攻击者还通过安装未签名的VIB和修改启动脚本实现持久化，并使用CVE-2023-20867通过vmtoolsd.exe在客户虚拟机中远程执行PowerShell命令。为规避检测，Fire Ant终止vmsyslogd进程篡改日志记录，并通过PowerCLI创建快照，结合基于Volatility的工具“UpdateApp”提取NTLM哈希与LSA机密。其还利用V2Ray建立加密隧道，使用updatelog.exe干扰EDR工具运行，伪造MAC地址躲避vCenter检测，并通过/bin/vmx -x指令启动恶意虚拟机。此外，Fire Ant还攻击F5负载均衡器（CVE-2022-1388），部署Webshell至特定路径以桥接分段网络，并借助Neo-reGeorg工具在Java Web服务器上建立应用层隧道。该组织在Linux主机上安装Medusa rootkit记录SSH凭据，并使用netsh portproxy将内部资产暴露于公网，借助IPv6机制绕过IPv4防火墙。分析指出，Fire Ant展现出极强的弹性和反制能力，具备与UNC3886相似的战术特征，但Sygnia未作出明确归因。专家建议组织应加强日志转发、禁用未签名VIB安装、修补相关漏洞并限制对核心虚拟化资源的访问，以防范此类高复杂度攻击。

19. 黑客滥用Google表单诱骗用户盗取加密货币

【GBHackers网站7月25日报道】卡巴斯基研究人员警告称，网络犯罪分子正大量滥用Google表单实施加密货币诈骗，利用其平台信誉和邮件送达率绕过传统安全过滤系统。攻击者通过伪装成加密交易平台发送的forms.gle域名链接，诱导用户填写虚假调查，套取钱包地址、邮箱等敏感信息，随后以“验证费”或“手续费”名义诱导转账，最终实施盗窃。研究指出，这类网络钓鱼手法借助Google自带的合法服务器进行发送，使其难以被电子邮件网关识别为恶意内容，且由于forms.gle拥有较高信誉评分，绕过URL黑名单和启发式检测。与传统钓鱼攻击不同，此类欺诈邮件常含明显诱惑性内容，如“获得1.275 BTC奖励”，提高受害者参与率。数据表明，2024年此类攻击增长达63%，背后是暗网上廉价出售的钓鱼表单模板与现成工具包。攻击者还结合历史数据泄露的信息开展鱼叉式钓鱼，个性化内容提升可信度。除直接经济损失外，受害者信息还可能被用于构建僵尸网络发动DDoS攻击。专家建议启用2FA、多因素身份验证、HSM密钥管理，并部署AI驱动的邮件过滤工具检测异常Google表单行为。此外，加强用户教育、识别语法错误及诱导语句是有效的防御手段。报告呼吁谷歌加强对表单创建的审查机制，以阻断这类威胁链条。

20. 恶意软件活动利用YouTube和Discord大规模窃取凭据

【GBHackers网站7月25日报道】Acronis威胁研究部门(TRU)揭露了一起复杂的恶意软件活动，攻击者通过伪装成独立游戏安装包（如Baruda Quest、Warstorm Fire和Dire Talon）利用YouTube和Discord渠道传播Leet Stealer及其变种RMC Stealer和Sniffer Stealer，窃取用户浏览器凭据、Discord令牌及其他敏感数据。攻击者借助合法游戏品牌（Club Cooee、Crossfire: Sierra Squad等）打造可信诱饵，通过欺诈网站和假冒YouTube频道引诱用户下载恶意程序。该恶意软件基于Electron框架，支持跨平台，但主要针对Windows系统。其源代码曾于2025年4月公开出售，催生多个变种。技术分析显示，恶意程序通过NSIS安装包捆绑，恶意JavaScript嵌入app.asar文件，具备沙盒逃避能力，如检测虚拟机环境并显示伪装错误信息。成功感染后，它会抓取浏览器中的Cookie、密码、表单数据，利用gofile.io等平台上传泄露数据，同时劫持Discord、Steam、Minecraft等应用账户。部分变种还能下载更多恶意负载。攻击活动主要源自巴西和美国，Discord在传播中发挥关键作用。多语言代码注释显示团队协作迹象。Acronis Cyber Protect Cloud等安全产品能够检测阻断此类威胁。该事件反映了恶意软件从代码漏洞利用向结合社会工程的多渠道攻击演进，尤其针对游戏玩家的高效信息窃取策略。

21. 新型VoIP僵尸网络利用默认密码攻击路由器，影响全球500台设备

【GBHackers网站7月25日报道】安全研究人员发现一个复杂的僵尸网络攻击行动，主要通过默认密码暴力破解方式入侵支持VoIP功能的路由器。攻击最初在美国新墨西哥州一个人口稀少的农村地区爆发，随后迅速扩展至全球范围，累计感染约500台设备。此次行动由GreyNoise Intelligence团队首先发现，他们监测到该地区一批异常的恶意IP地址，约90个IP与拉古纳普韦布洛公用事业局相关。攻击通过Telnet协议进行暴力破解，展现出协调一致的僵尸网络行为特征。受感染设备主要为支持VoIP的路由器，其中Cambium Networks部分硬件受影响。分析显示，该僵尸网络100%通过Telnet发动攻击，集中利用弱口令及默认凭证，伴随类似Mirai僵尸网络的扫描与传播手法。调查发现，90%被感染设备的网络特征高度一致，暗示其硬件和固件环境相似。部分Cambium路由器仍运行着自2017年曝光的远程代码执行漏洞固件。在新墨西哥州的恶意活动被公开讨论后，该地区攻击突然终止，可能表明攻击者在监控安全研究动态并调整策略。但全球范围内的攻击活动很快恢复，表明僵尸网络未被根除。安全专家建议相关组织立即排查VoIP设备的Telnet服务暴露情况，及时更改或禁用默认密码，加强对异常网络流量的监控。固件及时更新及关闭不必要服务是防御此类攻击的关键措施。该事件再次揭示了物联网和网络设备持续面临的安全挑战，强调了小型公用事业及ISP在全球网络安全生态中的潜在风险。

22. AWS与爱达荷国家实验室合作开发核能人工智能：推动模块化反应堆用于数据中心供电

【Nextgov网站7月25日报道】亚马逊网络服务公司（AWS）宣布与美国能源部下属的爱达荷国家实验室（INL）合作，开发一套专为核能研发定制的人工智能工具。该技术套件将通过AWS云计算基础设施支持核能设施的建模与优化，重点推进小型模块化反应堆（SMR）技术在数据中心供电中的应用。项目旨在利用AI降低核设施的许可、建设与运营成本，首阶段将构建数字孪生模型以模拟SMR的运行机制，提升反应堆设计效率与安全性。INL主任约翰·瓦格纳（John Wagner）表示：“此次合作是AI技术深度融入核能研发的重要一步，也标志着国家实验室与AWS在未来清洁能源上的战略协同。”AWS联邦及国家安全业务副总裁戴维·阿佩尔（David Appel）补充称，AWS的AI与高性能计算技术将帮助INL推进自主核反应堆开发，“打造更安全、更智能、更具响应力的民用核能运营模式”。本合作意在为海量数据中心提供清洁可持续电力，增强美国在能源自主与技术创新方面的全球竞争力。该合作于特朗普总统当天签署三项AI行政命令后宣布。尽管AWS表示该项目并非行政命令直接促成，但业内普遍认为，此举与联邦政府强化AI基础设施的政策方向高度一致。

23. 作曲家时代的终结？人工智能音乐引发强烈生理反应，现场体验或将变革

【SecurityLab网站7月25日报道】生成式人工智能正在迅速进军音乐领域。巴塞罗那自治大学Neuro-Com团队联合西班牙RTVE和卢布尔雅那大学开展的一项研究，首次通过生理指标对比了人类作曲音乐与AI生成音乐对听众情绪的影响。88名志愿者观看同一视频，配以人类创作曲、基于详细文字描述的AI曲及简化提示AI曲。研究发现，AI音乐触发了更明显的瞳孔扩张、眨眼频率和皮肤电导率变化，表明其引发更强烈的生理激活和认知负荷。AI曲被感知为更激动人心，但人类作品更贴近熟悉的情感体验。研究表明，大脑在解读AI音乐时需付出额外努力，机制不同但同样激发强烈情绪。首席作者尼古拉·费舍尔指出，这种差异揭示了AI音乐在情感传递上的独特路径，数字艺术的感知模式正在被重新定义。此研究为媒体制作带来新机遇：利用AI精准调节视听内容的情感氛围，提高创作效率且不减弱情感表达。随着神经科学与AI的结合，未来电影、广告及数字娱乐的情感体验或将迎来深刻变革，传统作曲家角色面临挑战，同时也打开了数字时代音乐创作的新篇章。