5th域安全微讯早报【20250825】203期

3.国际刑警开展“塞伦盖提2.0”行动，打击非洲网络犯罪，逮捕1209人

【2025年8月23日俄罗斯安全实验室报道】国际刑警近日宣布，开展了名为“塞伦盖提2.0”的大型网络犯罪打击行动，涉及18个非洲国家，共逮捕1209名与网络攻击相关的嫌疑人，受害者人数达到88,000人。此次行动从2025年6月持续至8月，成功摧毁了11,432个犯罪基础设施，并为受害者追回了价值9740万美元的资产。此次行动涵盖了多种网络犯罪，包括勒索病毒、投资诈骗和企业邮箱被攻破等。与去年底的首次行动相比，当前阶段在逮捕人数和没收资产方面均显著增加。值得注意的是，行动中关闭了安哥拉的25个非法加密货币挖矿中心，涉及60名中国公民，这些中心通过非法电力连接进行加密货币挖掘，共查获45个地下电站，价值超过3700万美元的设备被没收并转交给政府，用于支持社会弱势群体的电力供应。在赞比亚，执法人员打击了一起大规模的加密投资诈骗案，导致约65,000人损失了总计3亿美元。行动中还发现了与贩卖人口相关的网络，以及在南非和周边国家的国际遗产诈骗案件。此次行动也揭示了与知名犯罪团伙如Bl00dy和RansomHub的联系。“塞伦盖提2.0”行动是国际刑警在非洲多个国家联合打击网络犯罪的一个重要里程碑，显示了国际合作在打击网络犯罪中的重要性。

4.Google Meet在俄罗斯面临服务中断与安全威胁

【2025年8月23日俄罗斯安全实验室报道】近日，Google Meet在俄罗斯多个地区遭遇服务中断，用户在22日至23日期间频繁报告视频通话问题。根据监测平台Downdetector的数据，22日的故障报告出现明显高峰，23日则呈现波动性增加，主要集中在卡累利阿、圣彼得堡、莫斯科及伊万诺沃和列宁格勒州等地。部分用户无法访问网站，另一些则遇到应用程序故障。尽管监管机构表示并未对Google Meet实施特别限制，所发生的问题被解释为技术原因和基础设施负担所致，但与此同时，俄罗斯网络警察发出警告，称诈骗活动正在上升，尤其是通过Google Meet进行的社交工程攻击。官方指出，组织犯罪团伙在主要通信渠道被打击后，开始寻找替代方案，导致国际号码的欺诈电话增多。此外，网络犯罪分子利用技术故障作为借口，试图在视频会议中传播恶意软件。用户在使用Google Meet时需提高警惕，特别是在点击会议链接时，务必核实通话发起者并谨慎对待个人信息的分享。综合来看，尽管Google Meet仍然可用，但在不同地区存在局部故障，用户需对潜在的网络诈骗保持警惕。

5.前程序员因对公司实施数字破坏被判四年监禁

【2025年8月23日俄罗斯安全实验室报道】一名55岁的中国籍程序员戴维斯·卢因对其前雇主实施数字破坏而被判处四年监禁，释放后还需接受三年监视。美国司法部指出，卢在担任俄亥俄州一家公司程序员期间，因内部重组而失去部分职务和系统访问权限，最终选择在2019年8月通过恶意代码进行报复。卢的恶意代码导致公司服务器崩溃，用户无法登录，造成数月的运营中断和数十万美元的经济损失。他利用无限循环创建新的Java线程，导致服务崩溃，并删除同事的用户账户。此外，他还设置了一个“紧急关闭开关”，该开关在其Active Directory账户被禁用时自动激活，名为“IsDLEnabledinAD”，意为“戴维斯·卢在Active Directory中是否启用”。在2019年9月9日被要求交还公司设备后，卢的恶意代码立即生效，影响了全球数千名员工的访问。卢还试图删除加密卷和Linux目录，进一步加大了恢复工作的难度。调查显示，他的行为不仅破坏了公司的关键服务，也显示了内部威胁的严重性，FBI代表强调了提前识别内部威胁的重要性。司法部称卢的行为是对信任的滥用，突显了技术能力在不当使用下可能导致的破坏性后果。

6.微软Exchange Online服务中断影响Outlook移动应用

【2025年8月23日Cyber Security News报道】微软正在调查Exchange Online内发生的一起重大服务事件，编号为EX1137017，该事件导致部分用户无法通过Outlook移动应用发送或接收电子邮件。此次问题主要影响使用混合现代身份验证（HMA）的客户，该配置常见于将本地Exchange服务器与Exchange Online整合的组织。受影响的移动用户无法访问新邮件或发送外发邮件，造成依赖移动访问的用户通信延迟。此次中断的根本原因是最近推送到生产环境的一个错误构建更新。根据微软的初步根本原因分析，新构建引入了一个关键错误。当系统遇到典型的临时网络故障时，通常会优雅处理，但现在却为部分用户生成了意外异常。这一异常错误地触发了邮件同步作业的隔离状态，导致负责同步收发邮件的进程暂停长达12小时，从而有效中断了用户移动应用的电子邮件流。微软的工程团队已识别出问题原因并开发了修复方案。截至2025年8月22日早上8:50，修复的部署正在进行中。微软表示正在积极监控部署的饱和度，以确保解决问题而不引入进一步的复杂性。然而，目前尚未提供完整解决的明确时间表。此次影响的范围仅限于混合环境中的部分Outlook移动应用用户，桌面和网页版本的Outlook未受此事件影响。管理员和受影响用户被建议关注Microsoft 365服务健康仪表板以获取EX1137017的更新。微软承诺将在2025年8月25日晚上9:00 UTC提供关于情况的下一次重大更新。

7.LG U+与韩国警察厅签署AI反语音钓鱼合作协议

【2025年8月24日《安全新闻》报道】韩国LG Uplus与警察厅签署“利用AI技术预防犯罪业务合作协议”，旨在系统性防范语音钓鱼、短信钓鱼等电信犯罪。LG U+代表洪范植与警察厅国家搜查本部长朴成柱出席签约仪式。根据协议，LG U+将向警方共享其AI应用程序“Ixi-O”检测到的可疑数据，包括异常通信模式、恶意应用控制服务器日志、可疑短信号码及中继终端信息。警方将结合自身数据库与调查资料，构建覆盖事前检测、即时响应和事后追踪的全流程打击体系。在客户保护方面，全国LG U+门店将被指定为“现场庇护所”，为语音钓鱼受害者提供初步援助，并建立由门店安全顾问到警方的应急交接机制。警察厅还将开展现场培训，提升门店安保顾问的实战应对能力。双方计划通过宣传视频、社交媒体、线下活动等方式，提升公众对语音钓鱼手法和危害的认知。合作范围不仅限于电信诈骗，还将扩展至校园暴力、跟踪、传销等社会安全问题。洪范植强调，LG U+将继续履行企业社会责任，与警方携手构建更安全的社会。朴成柱则指出，语音钓鱼不仅造成个人经济和心理损失，还威胁社会安全网，此次合作可成为政府与企业联手防范犯罪的典范。LG U+因其在防范钓鱼犯罪中的贡献，还获颁警方感谢状。

8.勒索软件攻击重创 Data I/O，波及苹果、微软等全球巨头

【2025年8月24日网络安全观察】美国大型电子制造商Data I/O 公司（客户包括亚马逊、苹果、谷歌、微软）于8月16日遭遇严重勒索软件攻击，导致生产、物流、通信和支持服务全面受扰，部分系统至今尚未恢复。该事件已在公司向美国证券交易委员会（SEC）的申报文件中得到确认。根据通报，攻击通过恶意软件加密了内部IT系统，迫使公司紧急下线部分服务以遏制威胁，并聘请外部安全专家协助恢复和调查。目前尚无网络犯罪组织宣称负责，也无证据表明客户数据已被窃取。Data I/O 的产品广泛应用于汽车、工业控制、物联网等关键领域，用于在生产阶段为设备嵌入固件和加密密钥。这使得公司不仅对消费电子产业链至关重要，也成为黑客实施勒索和工业间谍活动的高价值目标。业内专家指出，该事件凸显全球供应链的脆弱性。根据 Dragos 数据，2024年工业领域勒索软件攻击增长 87%，其中近四分之一导致全面停工。FBI 亦指出，勒索软件依然是关键基础设施面临的首要威胁，LockBit、Akira、RansomHub 等家族最为活跃。本次攻击再次警示：制造业与关键设备供应商应优先部署纵深防御、备份策略及供应链安全审查，以降低系统性风险。

9.YouTube收紧Premium管控：跨区低价订阅漏洞将被终结

【2025年8月24日 Security Online Info 报道】Google 正式宣布将严厉打击用户通过 VPN、代理及外地支付方式注册 YouTube Premium 的行为，这类跨区域订阅被认定为违规。新规将于 2025年9月26日生效。长期以来，部分用户利用土耳其、尼日利亚、阿根廷等国家的汇率差和低定价，在这些地区注册 Premium 会员，却在本地长期使用完整服务。此类方式因价格差距显著而受到追捧，但也给流媒体平台带来收益流失问题。Netflix 过去已采取类似措施，如今 YouTube 也跟进收紧政策。根据YouTube更新的服务条款：Premium 使用和访问必须与注册国家/地区一致。若主要在注册国以外使用，或伪造注册国家/地区，将被视为违反条款。一旦违规，用户订阅可能被暂停或取消，Google 会要求在实际居住国家重新订阅。用户若因搬迁到新国家，可重新订阅当地 Premium（视该地区服务可用性、定价与功能而定）。Google 已通过邮件开始通知 Premium、Music Premium 和 Premium Lite 用户。若订阅被终止，用户将收到官方通知，且无法恢复原跨区低价订阅。这意味着依赖“跨区优惠”的用户将很快失去渠道，未来再想规避本地定价将更加困难。

10.警惕社交工程攻击：一起8900万美元的比特币盗窃事件揭示了安全隐患

【2025年8月24日俄罗斯安全实验室报道】近日，一起重大的比特币盗窃事件引发了广泛关注。8月19日，一名比特币持有者在社交工程攻击中损失了783 BTC，约合8900万美元。犯罪分子伪装成加密货币交易所和硬件钱包制造商的客服，成功欺骗受害者。根据区块链研究员ZachXBT的分析，盗窃得来的资金被迅速转移至Wasabi钱包，利用该钱包的隐私保护功能掩盖交易记录，目前该钱包地址已为空。此次事件恰逢去年同月另一宗大规模盗窃案的周年纪念，后者涉及金额高达2.43亿美元。ZachXBT指出，此次攻击与北朝鲜黑客无关，而是利用了因多次数据泄露而大量暴露的个人信息。攻击者通过获取用户的电话号码、电子邮件地址等信息，能够更加真实地伪装成合法公司代表。随着人工智能技术的发展，辨别真实与虚假信息变得愈加困难。2025年春季，类似的攻击手法已被应用于伪造Ledger公司的邮件，试图通过虚假的安全检查来诱骗用户。美国联邦调查局（FBI）提醒公众，切勿回应任何要求提供密码、PIN码或一次性验证码的电话或邮件，并警告公众尽量避免公开个人信息。这一事件再次强调了在数据隐私频繁遭到侵犯的时代，用户应对所有沟通保持高度警惕，视之为潜在的欺诈行为。

11.Shamos木马现身：全球300起macOS感染案例及新Gatekeeper绕过策略

【2025年8月24日俄罗斯安全实验室报道】CrowdStrike的研究人员发现了一种新的macOS感染活动，涉及恶意软件Shamos。该木马是Atomic macOS Stealer（AMOS）的变种，主要由COOKIE SPIDER团伙使用，其目标是窃取用户的密码、Keychain密钥、Apple Notes笔记、加密货币钱包和浏览器数据。自2025年6月以来，Shamos在全球范围内已被确认超过300起感染案例。Shamos的传播采用了ClickFix技术，攻击者伪装成系统修复建议，诱导用户执行命令以“修复”驱动程序或打印机设置。用户通常会被引导到广告或假冒的GitHub存储库，执行的命令实际上会解码Base64 URL并从远程服务器下载恶意Bash脚本。该脚本首先截获设备所有者的密码，然后下载Shamos二进制文件，并通过xattr移除其隔离标志，利用chmod使其可执行，从而绕过Gatekeeper的保护。一旦运行，Shamos会检查是否在虚拟环境中执行，并执行一系列AppleScript命令进行系统信息收集。受害者的数据会被打包为out.zip文件，通过curl发送到攻击者的服务器。如果Shamos以管理员权限启动，它会在系统中创建com.finder.helper.plist文件，确保在macOS启动时自动加载。CrowdStrike指出，Shamos还可以下载附加模块，包括假冒的Ledger Live应用程序和僵尸网络组件。ClickFix攻击方式正日益普遍，攻击者常常将其伪装成验证码、Google Meet提示或TikTok视频，甚至是macOS的“错误修复”。因此，macOS用户被建议不要执行来自不明来源的命令，最好通过系统内置帮助或Apple Community官方论坛寻求支持。

12.恶意Go模块伪装成SSH暴力破解工具，通过Telegram机器人窃取凭证

【2025年8月24日The Hacker News报道】网络安全研究人员发现了一种恶意Go模块，该模块伪装成SSH的暴力破解工具，但实际上具有隐秘窃取凭证的功能。该模块名为“golang-random-ip-ssh-bruteforce”，于2022年6月24日发布，现已与一个名为IllDieAnyway的GitHub账户相关联，但该账户已无法访问，模块仍在pkg.go[.]dev上可用。该恶意软件通过扫描随机的IPv4地址，寻找在TCP端口22上暴露的SSH服务，并使用内置的用户名-密码列表进行暴力破解。一旦成功登录，模块会将目标的IP地址、用户名和密码发送到一个由攻击者控制的Telegram机器人（@sshZXC_bot）。值得注意的是，该恶意代码故意禁用主机密钥验证，使SSH客户端能够接受来自任何服务器的连接。该模块的用户名列表仅包含“root”和“admin”，与多个常见的弱密码相匹配。恶意代码在无限循环中生成IPv4地址，并尝试并发SSH登录。成功的凭证通过Telegram API发送给攻击者，后者的账户名为“@io_ping”。研究人员认为，攻击者可能源自俄罗斯。该模块通过将扫描和密码猜测的风险分散到无辜的操作者的IP上，并将成功结果汇总到一个单一的Telegram机器人，从而实现了其恶意目的。

13.俄罗斯情报机构疑似部署新型安卓间谍软件，伪装成防病毒工具

【2025年8月24日Bleeping Computer报道】俄罗斯安全公司 Dr. Web 披露，一种名为Android.Backdoor.916.origin 的新型安卓恶意软件正针对俄罗斯企业高管展开定向攻击。该恶意软件疑似由俄罗斯联邦安全局（FSB）开发，并伪装成防病毒应用，以增加可信度并避免卸载。研究显示，该恶意软件具备全面的间谍功能：可监听对话、开启摄像头录制、通过键盘记录器窃取输入，并拦截 Telegram、WhatsApp、Gmail 等应用的数据。它还可执行远程 shell 命令，修改系统设置并维持持久控制。传播上，恶意软件以“GuardCB”冒充俄罗斯央行，或以“SECURITY_FSB”“ФСБ”等名义冒充情报机构。安装后，其伪装的防病毒界面会模拟扫描，并在约 30% 的情况下返回虚假告警，以误导用户。Dr. Web 指出，自 2025 年 1 月首次发现以来，该恶意软件已迭代多个版本，显示其仍在快速进化。其界面仅支持俄语，进一步表明攻击对象集中在俄罗斯本土用户。此外，研究人员注意到该恶意软件可在多达 15 个托管服务提供商之间切换，以提高生存能力。虽然部分功能尚未激活，但其设计显示出极强的弹性和长期部署意图。Dr. Web 已在 GitHub 上分享了相关 IoC（妥协指标），提醒安全团队加强移动端防护，尤其在企业高管群体中防范伪装应用的入侵。