5th域安全微讯早报【20250731】182期

5. 网络攻击致俄百余家药店停运医疗服务受阻

【The Record网站7月30日报道】本周，俄罗斯两大连锁药店Stolichki（约1000家门店）与Neofarm（莫斯科及圣彼得堡110余家门店）相继因网络攻击被迫全面或部分停业，导致数百家门店关闭，在线药品预订与会员服务中断，患者无法正常付款或预约取药。Stolichki自周二发生技术故障后，截至周三仅约半数门店恢复营业；Neofarm则因“技术问题”暂停所有门店运营。两家药店隶属于同一上市公司，前国家杜马议员叶夫根尼·尼凡季耶夫曾间接控制该企业。同期，莫斯科一家家庭医生诊所网络也报告遭攻击，导致在线预约系统瘫痪，患者只能改为现场就诊。国家互联网监管机构Roskomnadzor已确认非DDoS攻击，但未披露攻击方法或来源。当前尚无组织宣称负责此轮攻击，暗网论坛用户普遍谴责针对医疗机构的袭击，并怀疑其具地缘政治动机。本次事件发生在俄罗斯企业遭受的网络攻击激增之际：早前，Aeroflot及Novabev集团、圣彼得堡主要ISP先后成为网络攻击目标，影响范围涵盖航班、酒类零售和互联网服务，凸显关键基础设施与公共服务正面临多重网络安全威胁。

6. Dollar Tree否认勒索攻击指控源自已破产99 Cents Only

【The Record网站7月31日报道】折扣零售巨头Dollar Tree本周回应称，并未遭遇INC勒索软件组织攻击，其系统未被勒索软件加密。针对INC声称窃取1.2TB敏感数据并公布包含护照扫描件的样本，Dollar Tree发言人指出，被盗数据实际上来自去年申请破产并于2024年6月关闭的99 Cents Only Stores，涉及该连锁店前员工信息。Dollar Tree仅于倒闭前收购99 Cents Only的170份租赁权及部分店内资产，但未收购其公司实体、网络或数据；指控中的文件与其并无关联。目前，发送至99 Cents Only关联邮箱的邮件均已退回，该公司亦无官方网站。99 Cents Only成立于1982年，曾在美国西南部拥有近400家门店，因财务困难于2024年全部停业。Dollar Tree在美国和加拿大运营约9000家门店，上财年销售额达176亿美元。INC勒索软件组织自2023年7月起活跃，曾攻击雅马哈发动机、密歇根州多家医院及荷兰大型超市集团，造成多起高调数据泄露与业务中断。

7. 美国Raptor Technologies携手Flock Safety在学校部署自动车牌识别监控系统

【The Record网站7月31日报道】备受争议的自动车牌识别（ALPR）公司Flock Safety近日宣布与学校安全服务商Raptor Technologies合作，将其监控摄像头网络集成到“学生出行安全通道”产品中，以强化校门口及周边道路的安全管理。Raptor表示，该系统可以在无须挖沟布线的情况下快速部署，用于监控学生步行路线、校车站点及周边交通状况。此举引发隐私权倡导者和公民自由组织的强烈关注。非营利律师事务所“正义研究所”已针对Flock在弗吉尼亚州诺福克市使用摄像头提起诉讼，指其维护着包含每月逾10亿次车牌读取记录的集中数据库。今年5月，德州执法部门曾检索8.3万余张Flock摄像头捕获的图像，以追踪疑自行实施堕胎的女性。民主与技术中心政策顾问Kristin Woelfel警告，学校在部署此类技术时往往缺乏家长同意，可能加剧对弱势学生群体的监控与资源挪用；美国公民自由联盟分析师Jay Stanley则质疑Flock与Raptor是否会以此谋利。Flock与Raptor尚未对置评请求作出回应。

8. 俄罗斯Roskomnadzor封锁Ookla Speedtest测速工具引发安全与替代方案争议

【The Record网站7月31日报道】俄罗斯联邦通信监管局Roskomnadzor近日宣布，因担忧Speedtest由美国公司Ookla收集的通信节点布局与容量数据可能被用于策划网络攻击，已对该流行互联网速度测试工具实施全面封锁。监管机构称，Speedtest未按俄罗斯数据法将用户信息本地化处理，曾于2022年和2023年两度被罚款；而其收集的详细测速数据，若落入敌对力量手中，或对Runet安全构成严重威胁。作为替代，Roskomnadzor推荐用户使用由政府下属机构开发的国产测速应用ProSet，但该应用在俄罗斯应用商店Rustore上平均评分仅2.9分，下载量不足2万次，用户对其性能与准确性多有诟病。此外，网络中断追踪服务Downdetector（Ookla旗下）本周报告Speedtest可用性投诉大幅激增，表明封锁措施已迅速生效。此举恰逢俄罗斯多地移动网络断流、网速下降之际，也反映出政府推动以国产技术替代外国产品、加强对国内互联网管控的战略意图。今年6月，Cloudflare亦报告其服务在俄罗斯遭部分屏蔽，而WhatsApp替代方案“Max”也正加紧测试中，以构建国家级即时通讯平台。

9. Avast与执法部门合作发布FunkSec勒索软件解密器

【The Record网站7月30日报道】FunkSec勒索软件团伙自2024年12月出现、至2025年3月15日宣告“死亡”后，其受害者近日通过Avast网络安全专家与欧洲网络犯罪中心（EC3）合作，获得了官方解密器，共计帮助113名受害机构恢复被“.funksec”扩展名加密的文件。该解密器已被收录入“No More Ransom”平台。报告指出，FunkSec团伙在攻击中添加“.funksec”扩展名并留下注释式勒索信，其运作周期虽短，但使用了人工智能生成恶意代码与钓鱼模板，研究人员估计AI贡献约20%。Check Point曾分析认为，该组织多次“回收”此前黑客行动中的数据集，赎金金额相对较低，有时仅1万美元。安全公司Sectigo高级研究员Jason Soroko表示，FunkSec恶意软件核心粗糙与其社会工程学伪装之间的风格不一致，反而帮助分析师基于AI风格特征快速构建解密逻辑。Deepwatch分析师Frankie Sclafani补充，FunkSec案例展示了AI在自动化恶意代码生成与高级钓鱼攻击中的双刃剑效应。

10. SafePay勒索组织威胁泄露3.5TB Ingram Micro敏感数据

【BleepingComputer网站7月30日报道】SafePay勒索软件团伙近日在其暗网泄密站点宣称已从全球IT分销巨头Ingram Micro系统中窃取3.5TB数据，并威胁若不支付赎金将公开泄露。Ingram Micro于7月初遭遇网络攻击，导致全球多个系统中断，员工被要求远程办公，订购平台亦短时下线。虽然SafePay早在7月5日即被认为与此次攻击有关，但该组织本周才首次对外声称负责。目前Ingram Micro已完成大范围VPN与MFA重置，核心服务逐步恢复，但并未就攻击归属或数据泄露细节做出公开说明。SafePay于2024年浮出水面，采用“先窃取后加密”双重勒索策略，仅公布未付款受害者，现已成为LockBit与BlackCat沉寂后最活跃的新兴勒索力量之一。安全专家警告，组织应加强对敏感数据的备份和离线存储，部署勒索防御系统，并实时监控关键网络节点异常行为，以应对日益频繁的双重勒索威胁。

11. 微软因“技术故障”封锁LibreOffice开发者账户引发用户申诉无门困境

【SecurityLab网站7月30日报道】近日，积极参与微软Office开源替代品LibreOffice开发的程序员Mike Kagansky遭遇账户被封锁的困境，其微软账户在发送一封普通技术邮件时意外被封禁，且无法通过常规途径申诉恢复访问。Kagansky尝试通过自动申诉系统进行申诉，但系统反复要求电话号码验证却不给予其他申诉方式，客服也无法提供有效帮助，最终申诉被关闭且未给出解释。这一事件并非孤例，早在6月，一名Reddit用户也披露了类似遭遇，账户中包含30年个人资料却被微软封锁，申诉无果。受害者们纷纷公开其遭遇，加剧了社会对微软在账户管理透明度及用户权益保障方面的质疑。卡甘斯基指出，其封禁邮件内容在其他平台如Gmail完全正常，显示微软的自动过滤机制或存在误判。他及其他开发者认为，微软在文档格式和服务规则设计上存在复杂化，阻碍其他办公套件的兼容使用，进一步引发对该公司的责任感和技术透明度的关注。

12. WordPress主题“Alone”被曝高危RCE漏洞，超9万站点面临接管风险

【Cybersecurity News网站7月30日报道】研究人员发现，流行的“Alone”慈善类WordPress主题（版本≤7.8.3）存在一个严重的远程代码执行（RCE）漏洞（CVE-2025-5394，CVSS评分9.8），黑客正积极利用该漏洞控制受影响的网站。目前已记录超12万次恶意攻击尝试，波及全球约9,000个站点。该漏洞源于 alone_import_pack_install_plugin() 函数中缺少身份验证检查，允许未经身份验证的远程攻击者向 /wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin 发送特制请求，上传并安装伪装为插件的恶意ZIP文件，进而部署后门并完全控制网站。攻击者使用如 wp-classic-editor.zip 和background-image-cropper.zip 的伪装文件进行攻击。主要攻击源IP包括 193.84.71.244 和 87.120.92.24，利用负载主要托管于 cta.imasync[.]com 和 dari-slideshow[.]ru 等域名。Wordfence于5月30日已为付费用户推送防护规则，免费用户从6月29日起获得保护。建议所有使用该主题的网站管理员立即升级至Alone 7.8.5及以上版本，并检查 /wp-content/plugins 和 /wp-content/upgrade 目录中是否存在异常插件，同时审查访问日志中是否有可疑上传行为。此事件再次凸显及时更新和监测插件安全性的必要性。

13. 全球执法机构联合打击 Lumma 恶意软件，揭示其复杂感染链与逃避机制

【Cybersecurity News 网站7月30日报道】一种名为 Lumma 的高级信息窃取恶意软件正在全球范围内对Windows 用户构成重大威胁。该恶意软件以“恶意软件即服务”（MaaS）模式在地下市场广泛传播，凭借强大的信息窃取能力和精密的感染链，迅速成为当前最流行和危险的窃密工具之一。据微软威胁情报中心披露，仅在 2025 年 3 月至 5 月间，全球就有超过 39 万台计算机感染该恶意软件。Lumma 的感染过程分为三个阶段，展现出显著的技术复杂性。攻击从一个打包的 .NET 加载器开始，初步验证系统架构后，通过自定义解密算法提取并部署第二阶段有效负载。紧接着，恶意代码利用进程注入与进程挖空技术劫持受害系统内合法进程，通过动态解析 Windows API 避免触发安全软件的静态检测机制。在最终阶段，Lumma 利用被称为“天堂之门”的技术在 32 位和 64 位执行环境之间切换，直接调用系统级服务，进而完成数据窃取与远程控制等核心功能。除了复杂的感染链，Lumma 还具备一系列高级逃避策略，包括自我完整性校验、防沙箱运行检测、以及基于语言环境判断是否执行的功能。例如，它会检测系统是否使用俄语环境（0x419），如是则自动退出，显示其有明确的地理归避意图。这些手法使得传统的签名识别或基于行为的检测机制难以奏效。Lumma 的广泛影响力促使国际执法部门发起联合行动，美国司法部、欧洲刑警组织与日本网络犯罪中心于 2025 年成功捣毁该恶意软件的全球控制基础设施，临时削弱了其传播力。但据研究人员观察，该恶意软件的操作者仍在试图重建感染网络，威胁并未彻底解除。面对 Lumma 持续演化的能力，安全专家建议组织加强对终端行为的实时监控，提升对恶意加载器和动态 API 调用的识别能力，并完善邮件与社交平台上的钓鱼防御措施。此外，IT 管理员应定期审计系统注册表、可疑进程和网络流量，防止该类高度伪装的恶意代码在组织内部横向扩散。

14. BeyondTrust权限管理软件曝严重漏洞，攻击者可本地提权为管理员

【Cybersecurity News 网站 7 月 30 日报道】BeyondTrust 的 Windows 端点权限管理（EPM）产品近日被披露存在高危本地权限提升漏洞（CVE-2025-2297），允许经过身份验证的攻击者操纵注册表配置，将普通用户权限非法升级为管理员权限。该漏洞影响 25.4.270.0 之前的所有版本，CVSSv4 评分为 7.2，属于高危级别。该漏洞属于 CWE-268（权限链）范畴，根本原因在于 BeyondTrust 权限管理组件在处理用户配置文件中的“质询响应码”逻辑时缺乏适当验证。攻击者可通过编辑位于 HKEY_USERS[sid]SoftwareAvectoPrivilege Guard ClientChallengeResponseCache[sha256sum] 的注册表项，植入伪造的“永久”响应条目，从而绕过权限验证，静默获取特权访问。虽然该漏洞利用需要本地访问权限，但在组织中大量终端用户具备本地文件修改权限的情况下，该风险不容忽视。该漏洞由安全研究人员 Lukasz Piotrowski 和 Marius Kotlarz 负责任披露。BeyondTrust 官方在版本 25.4.270.0 中发布补丁并已对所有云端租户完成自动更新，而本地部署用户则需手动升级至该版本以彻底修复漏洞。在无法立即更新的情况下，BeyondTrust 建议禁用“永久”质询响应功能，防止其被用于权限提升。同时，系统管理员应重点监控相关注册表路径中是否存在异常的“永久”响应条目，并结合组织内部的端点权限策略进行全面审查与收敛，确保最小权限原则有效落地，降低被利用风险。

15. 联想发布固件更新修复高危BIOS漏洞防止安全启动绕过

【BleepingComputer网站7月30日报道】联想警告旗下部分一体机存在严重的BIOS安全漏洞，攻击者可借助定制的Insyde UEFI固件绕过安全启动机制。受影响设备涵盖IdeaCentre AIO 3系列及Yoga AIO多款型号。UEFI作为传统BIOS的现代替代，负责计算机硬件与操作系统间的固件接口，其安全性直接影响系统启动防护。此次漏洞由安全公司Binarly发现，源于联想对InsydeH2O固件的OEM特定定制，属于系统管理模式（SMM）代码中的缺陷。SMM是一种高权限、独立于操作系统的CPU模式，漏洞利用可导致恶意代码隐蔽植入并绕过操作系统级安全防御，如SecureBoot。Binarly研究人员指出，此类漏洞因软件供应链不一致问题反复出现，是攻击者实施固件层持久化和权限提升的理想切入点。联想确认六个主要漏洞编号为CVE-2025-4421至CVE-2025-4426，涵盖SMI处理程序权限提升、内存损坏、代码执行及敏感信息泄露等风险，部分漏洞CVSS评分高达8.2。联想已于近日发布IdeaCentre AIO 3系列固件安全补丁，Yoga AIO系列预计最晚于2025年11月底前获得更新。用户被强烈建议及时升级固件以防范潜在攻击。

16. IBM报告：美国数据泄露平均成本飙升至1000万美元

【The Record网站7月31日报道】IBM最新“2025年数据泄露成本报告”显示，2024财年至2025财年全球数据泄露平均成本已从488万美元下降至440万美元，同比降9%，并回到2023年水平。不过，美国数据泄露平均成本却从去年的919万美元飙升至逾1000万美元，主要因监管罚款加重与检测系统投入增加所致。报告基于约600家组织的事件分析与数千名企业领导者访谈，涵盖16个国家和地区、约3000至11.3万份被窃文件。美国以外国家普遍成本下降，其中意大利、德国和韩国平均成本均降低至少21%。行业层面，医疗保健仍维持最高数据泄露成本，达742万美元，虽较去年977万美元有所回落，但识别与遏制违规事件平均耗时279天，较全球平均水平多五周。报告还指出，恶意内部攻击是最昂贵的攻击媒介，平均损失近500万美元；供应链攻击检测与解决时间最长，达267天。此外，检测成本下降至约150万美元，是成本分类中降幅最大一项；通知成本、响应成本及业务损失成本亦有所降低。勒索软件事件中，63%受访组织拒付赎金，高于去年的59%，且多数企业在处置勒索软件时选择不寻求执法部门介入。

17. 俄罗斯堪察加8.8级强震引发海啸威胁全球海底电缆稳定

【SecurityLab网站7月30日报道】7月30日上午，俄罗斯堪察加半岛近海发生8.8级强烈地震，震源位于鄂霍次克海，被美国地质调查局评为1900年以来排名第六的强震。地震引发的海啸迅速波及太平洋沿岸国家，日本紧急疏散低洼沿海居民，美国西海岸亦发布海啸警报。日本沿海测得最高30厘米海浪，目前尚无数字基础设施如电信网络、云平台及半导体工厂报告遭受影响。震中附近的俄罗斯主要海底光缆“彼得罗巴甫洛夫斯克-堪察加-阿纳德尔”存在潜在故障风险，尽管运营商尚未发布具体警告。主要云服务商AWS、Azure和Google的数据中心状态正常，未出现中断。此次地震让人联想到2011年福岛核事故引发的毁灭性海啸，东京电力公司已提前疏散核电站人员并暂停排放处理水。环太平洋区域的多条海底电缆经过震区，若海啸加剧，可能导致全球通信网络出现连锁中断。各方正密切关注事态发展，防范数字基础设施潜在风险。

18. ToxicPanda Android银行木马感染4500余台设备重点锁定葡萄牙与西班牙

【Cybersecurity News网站7月30日报道】一种名为ToxicPanda的高级Android银行木马自2022年东南亚首次现身后，已于2024年扩散至欧洲，迄今感染超过4500台设备，主要集中在葡萄牙（约3000台）和西班牙（约1000台）。该木马通过伪装成“Google Chrome”应用（包名com.example.mysoul）诱导用户安装，随后请求58项高危权限并利用Android辅助功能服务框架提升权限，动态注册广播接收器监控系统事件实现多层持久化。ToxicPanda可生成像素级钓鱼覆盖层，无缝模仿银行与数字钱包界面，欺骗用户输入登录凭证、PIN码与图案锁，并拦截双因素验证码。它通过端口与DGA（域名生成算法）轮换的C2域名通信，使用AES（0623U25KTT3YO8P9）及DES（jp202411）混合加密，确保数据通道安全；同时具备沙盒与模拟器检测、蓝牙与光传感器验证等多重反分析机制。该木马主要侵害三星A系列、小米Redmi、Oppo A等中端机型，高端Samsung S系列也未能幸免；因其自我保护机制阻断常规卸载，仅能通过ADB命令完全清除。建议用户仅通过官方应用商店下载安装软件，关闭不必要的辅助功能权限，并及时更新系统补丁；企业与安全厂商应部署移动威胁防护（MTP）解决方案，对可疑应用和钓鱼覆盖层保持高度警惕，监测异常网络流量与权限滥用；如发现设备异常，应立即断网并使用专业工具或寻求安全团队协助彻底清除恶意软件。

19. XWorm V6变种具备高级反分析功能正在野外攻击Windows用户

【Cybersecurity News网站7月30日报道】安全厂商Netskope近日发现，一款名为XWorm V6.0的复杂新变种正通过精心制作的VBScript启动器在全球范围内对Windows系统发动攻击。攻击者利用ChrW函数混淆字符数组，在运行时重建脚本并删除安全标识符，随后下载并加载内存执行的恶意负载。XWorm V6.0在持久化机制上较之前版本显著升级：它将自身复制为“update.vbs”至临时文件夹和应用程序数据目录，并修改注册表启动项，以确保开机自动执行；当具备管理员权限时，还将自身标记为关键系统进程，阻断常规终止操作。更具威胁性的是其对Windows恶意软件扫描接口（AMSI）的直接内存补丁技术——通过PowerShell脚本定位CLR.DLL中“AmsiScanBuffer”字符串并将其替换为空字节，从而使系统无法检测可疑脚本。分析师提醒，企业和个人用户应加强对脚本执行的控制，禁用不必要的VBScript和PowerShell远程执行；部署能检测内存操作和CLR补丁行为的高级端点防护；定期审计注册表启动项和关键进程列表，并对不明“update.vbs”文件保持高度警惕；同时保持系统及安全软件更新，以降低XWorm V6.0等新型威胁的风险。

20. 朝鲜Lazarus子组织“TraderTraitor”供应链与云平台攻击揭秘

【Cybersecurity News网站7月30日报道】由美国政府于2022年命名的“TraderTraitor”是隶属于朝鲜侦察总局精锐黑客组织Lazarus Group的子团队，其网络间谍活动正对全球加密货币生态系统构成严重威胁。自2020年以来，该组织与多起巨额盗窃案有关，包括Bybit交易所1.5亿美元入侵和DMM比特币3.08亿美元被盗，近期其攻击手法已从单纯木马演变为针对云平台和开发管道的多阶段供应链攻击。研究人员指出，TraderTraitor通过鱼叉式社工、钓鱼木马与供应链中毒，靶向区块链机构、加密交易所及云服务商。2023年7月的JumpCloud入侵案例中，攻击者经由定向钓鱼获取云身份管理权限，向下游客户推送恶意更新；而Bybit事件则通过入侵开发者macOS工作站窃取AWS令牌，并注入恶意JavaScript到Next.js前端。其工具链包括RN Loader、RN Stealer等Python窃密程序，用以收集SSH密钥、凭据和云配置，并借助GitHub、npm等合法平台分发恶意负载。TraderTraitor的一体化攻击链始于LinkedIn、Telegram或Discord社工邀请，诱导受害者下载伪装的加密应用或GitHub挑战脚本。成功植入后，木马会枚举IAM角色、S3存储桶等云资产，并通过虚拟MFA设备实现持久化，利用合法云凭证维持对目标环境的长期控制，充分展示了朝鲜国家级网络战能力向私营领域的渗透扩散。

21. ShinyHunters 被揭为澳航、安联人寿与 LVMH 等 Salesforce 数据窃取攻击幕后黑手

【BleepingComputer，7月30日报道】近期影响澳洲航空（Qantas）、安联人寿（Allianz Life）、LVMH（旗下包括 Louis Vuitton、Dior 和 Tiffany & Co.）及阿迪达斯等全球大型企业的系列数据泄露事件，已被确认与知名网络犯罪团伙 ShinyHunters 有关。该组织利用语音网络钓鱼（vishing）手段，通过社会工程攻击获取对目标企业 Salesforce 客户关系管理（CRM）平台的访问权限。据谷歌威胁情报小组（GTIG）早前报告，ShinyHunters（被追踪为 UNC6040）伪装成 IT 支持人员致电员工，诱导他们访问 Salesforce 的“连接应用程序设置”页面，输入“连接代码”，从而将伪造的 Data Loader 应用接入目标系统。在部分案例中，该恶意组件被伪装为“我的票务门户”以增强欺骗性。除了语音钓鱼，该组织还使用钓鱼页面窃取 Okta 登录凭据及多因素认证（MFA）令牌。这些攻击并未直接利用 Salesforce 平台漏洞，而是通过劫持用户会话实施未授权访问。Salesforce 已公开表示，其平台本身未受损，攻击是由于客户账户受到社会工程学攻击而导致的。目前已知的受害者包括澳航、安联人寿、阿迪达斯以及 LVMH 多家品牌。安联确认攻击者入侵了其第三方云 CRM 平台；LVMH 下属多品牌则披露客户信息数据库遭未经授权访问。尽管部分公司未明确披露所使用的服务平台，但法庭文件显示攻击目标为 Salesforce 常见数据表“Accounts”和“Contacts”。BleepingComputer 此后证实，这些事件均与谷歌报告中提到的同一攻击活动有关。尽管尚未有被盗数据在公开平台泄露，ShinyHunters 已通过邮件私下勒索相关企业，并威胁若未支付赎金将按其惯例进行数据泄露。该组织曾主导 Snowflake 攻击事件，并涉入 AT&T、NitroPDF、Wattpad、PowerSchool 等多起知名数据泄露事件。攻击归因方面，ShinyHunters 与 Scattered Spider（Mandiant 追踪编号为 UNC3944）之间的战术、技术和程序（TTP）存在重叠。尽管两者行为略有差异，但安全专家普遍认为其成员存在重合，甚至与已解散的 Lapsus$ 团伙存在历史联系。此外，也有观点认为 ShinyHunters 以勒索即服务（RaaS）模式运作，为其他攻击者提供支持并出售窃取数据。为应对类似攻击，Salesforce 建议所有客户强化账户保护措施，包括强制使用受信任 IP 范围、多因素身份验证、权限最小化、限制连接应用、使用 Salesforce Shield 进行威胁监控，并设定专门的安全联络人以便于事件响应。

22. 企业SAP NetWeaver服务器被利用部署Auto Color后门

【Cybersecurity News网站7月30日报道】一家美国化学公司于2025年4月遭遇一起复杂网络攻击：威胁行为者利用SAP NetWeaver中的严重漏洞CVE 2025 31324，在短短三天内秘密部署了名为Auto Color的Linux后门。SAP于4月24日发布该漏洞补丁，但攻击者自4月25日起通过“/developmentserver/metadatauploader”URI进行侦察，随后下载恶意ZIP并通过OAST域发起DNS隧道请求。攻击者利用helper.jsp执行config.sh脚本，连接Supershell关联的C2服务器（47.97.42[.]177），完成Auto Color后门的初步植入。Auto Color具备基于权限自适应的隐蔽能力：在普通权限下仅执行有限功能；在root权限下，它会在/var/log/cross/auto-color下重命名自身，并部署伪装成libcext.so.2的恶意共享库，通过修改/etc/ld.so.preload实现持久化，确保恶意库在所有动态链接程序启动时优先加载。Darktrace的托管检测与响应服务成功延迟了攻击者的行动24小时，为该公司安全团队争取了关键补丁和应急响应时间。此次事件再次凸显：所有使用SAP NetWeaver的组织必须立即应用CVE 2025 31324安全更新，并加强对Linux服务器的异常流量与持久化机制监测，以防类似高级持续性威胁造成更大损失。

23. 网络犯罪分子利用新型REMCOS变体，通过LNK快捷方式绕过防病毒系统入侵Windows系统

【Cybersecurity News网站7月30日报道】近期，研究人员发现网络犯罪分子正利用一款具备高级反检测能力的新型REMCOS远控木马变种，通过精心伪装的Windows快捷方式（LNK文件）发动社会工程攻击，成功绕过传统防病毒引擎并控制目标系统。此次攻击始于伪装成采购订单等文档的LNK文件（如“ORDINE-DI-ACQUIST-7263535”），诱导用户点击触发隐藏的PowerShell脚本。该脚本利用Base64编码和无文件执行技术，绕过宏警告及常规安全提示，从远程C2服务器下载伪装成图像文件的有效载荷（HEW.GIF），并在本地解码生成名为CHROME.PIF的后门程序。该REMCOS后门采用Borland Delphi编译，具备注册表持久化、键盘记录、远程控制等功能，并通过罗马尼亚IP（92.82.184.33）与C2基础设施通信。研究人员指出，该攻击链利用Windows信任机制、隐藏命令及系统进程伪装技术，有效逃避了多层安全防护，显示出恶意软件生态系统日益成熟和隐蔽的趋势。