安全简讯（2025.12.11）

1. Storm-0249通过EDR与Windows工具实施隐蔽攻击

12月9日，网络安全公司ReliaQuest近日披露，名为Storm-0249的初始访问代理正通过滥用端点检测与响应（EDR）解决方案及受信任的Microsoft Windows实用程序，实施高度隐蔽的恶意软件加载与持久化操作，为后续勒索软件攻击铺路。该组织已摒弃传统大规模网络钓鱼，转而采用更先进的技术手段，即便防御方详细记录其行为，仍难以有效应对。攻击始于ClickFix社会工程攻击：诱骗用户在Windows运行对话框中粘贴并执行curl命令，下载具备SYSTEM权限的恶意MSI包。随后，从伪造Microsoft域获取的恶意PowerShell脚本直接注入系统内存，全程不落磁盘以规避防病毒检测。MSI文件释放的恶意DLL（如SentinelAgentCore.dll）被策略性放置在合法SentinelOne EDR组件的SentinelAgentWorker.exe旁，通过DLL侧加载技术在受信任的特权EDR进程中执行，实现操作系统更新后仍可维持的隐蔽持久性。入侵后，攻击者利用SentinelOne组件结合reg.exe、findstr.exe等合法Windows工具收集系统标识符，并通过加密HTTPS C2流量建立通信。

https://www.bleepingcomputer.com/news/security/ransomware-iab-abuses-edr-for-stealthy-malware-execution/

2. “蜘蛛侠”网络钓鱼工具包席卷欧洲金融界

12月9日，网络威胁分析公司Varonis近日披露，一款名为“蜘蛛侠”的全栈式网络钓鱼工具包正在暗网广泛传播，使非技术攻击者也能对欧洲主要银行及加密货币平台发起大规模精准攻击。该工具包被研究人员称为“年度最危险”威胁之一，因其无需编程知识即可快速生成像素级克隆的金融机构登录页面，覆盖德国、比利时等五国数十家机构，包括德意志银行、荷兰国际集团（ING）、CaixaBank等主流银行及加密钱包服务商，目标用户群体庞大。攻击流程极简化：攻击者仅需选择目标银行，启动克隆程序，发送与官方完全一致的诱饵信息即可实施钓鱼。工具包内置加密助记词窃取模块，标志着诈骗手段向混合型发展。其最危险特性在于实时信息拦截能力——受害者输入登录信息后，攻击者可立即获取数据，并触发二次界面收集信用卡号、OTP或PhotoTAN码等敏感信息。单次会话即可窃取全名、出生日期、信用卡详情等完整身份信息，足以完全接管账户并实施身份盗窃。为规避安全检测，该工具包采用地理封锁技术限制非目标国家访问，并屏蔽已知安全公司网络流量，有效躲避自动扫描和人工分析。

https://hackread.com/spiderman-phishing-kit-european-banks-credential-theft/

3. 印度曼迪大众门店250万客户信息泄露挂售

12月9日，近日，网络犯罪论坛曝光一起针对印度喜马偕尔邦曼迪大众汽车门店的疑似数据泄露事件。攻击者宣称于今年入侵该公司客户关系管理系统后台，窃取了包含姓名、家庭住址、邮政编码、电话号码、电子邮箱等在内的250万条经销商及客户个人信息，并公开挂牌售卖。截至目前，涉事公司尚未发布官方声明确认事件真实性。数据样本仅包含8条信息，真实性暂无法核实。据调查，该攻击者于今年4月加入该论坛，此前曾多次出售企业数据并附带样本，此次事件若属实，被盗数据可能被用于构建用户身份画像，为后续社会工程学攻击（如钓鱼诈骗、身份冒用）提供精准信息，显著提升受害者被二次攻击的风险。值得注意的是，大众汽车及其经销商已非首次成为网络犯罪目标。今年10月，大众集团法国分公司被麒麟勒索软件团伙列入泄密网站；6月，大众集团还出现在Stormous勒索软件卡塔尔的暗网泄密网站。

https://cybernews.com/security/volkswagen-dealership-data-breach-india/

4. DroidLock恶意软件会锁定安卓设备并索要赎金

12月10日，一种名为DroidLock的新型安卓恶意软件近期被发现，其通过多重攻击手段对西班牙语用户实施勒索与数据窃取。该恶意软件通过恶意网站推广假冒合法软件包的虚假应用，感染过程始于诱骗用户安装包含实际恶意软件的二级有效载荷。安装后，恶意程序会请求设备管理员和辅助功能权限，从而执行包括屏幕锁定、数据擦除、PIN码/密码/生物识别数据修改等15项命令，甚至可远程通过VNC完全控制设备。DroidLock的核心威胁在于其勒索机制与数据窃取能力。勒索模块通过WebView显示赎金要求，指示受害者通过Proton邮箱联系攻击者，并威胁24小时内未支付赎金将永久销毁文件。尽管该软件不直接加密文件，但通过销毁文件的威胁达到与勒索软件相同的效果。同时，其通过屏幕覆盖层窃取用户解锁图案，结合VNC远程访问实现设备控制。此外，该软件还能访问短信、通话记录、联系人，甚至执行录音和删除数据等操作。

https://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/

5. Docker Hub镜像被发现泄露凭据和身份验证密钥

12月10日，威胁情报公司Flare近期扫描发现，Docker Hub平台超10,000个容器镜像存在敏感信息泄露问题，涉及生产系统凭证、CI/CD数据库密钥及AI模型令牌等，影响100余家组织，包括财富500强企业、国家银行及10余家金融机构。作为全球最大容器注册表，Docker Hub本应保障开发者安全共享即用型镜像，但本次事件暴露其安全漏洞的严重性。研究显示，11月上传的镜像中，10,456个存在密钥泄露，其中42%的镜像至少暴露5个敏感数值。最常泄露的是OpenAI、HuggingFace等AI模型的访问令牌，总量达4,000个。这些密钥可被用于完全访问云环境、Git仓库、CI/CD系统及支付集成等核心基础设施，构成重大安全风险。泄露组织多分布于软件开发、市场、工业及AI领域。值得注意的是，超四成泄露源自"影子IT"账户，这些账户往往缺乏企业级安全监控。

https://www.bleepingcomputer.com/news/security/over-10-000-docker-hub-images-found-leaking-credentials-auth-keys/

6. WinRAR高危路径遍历漏洞遭多国APT组织利用

12月10日，美国网络安全和基础设施安全局（CISA）于2025年12月将WinRAR的CVE-2025-6218漏洞列入已知利用漏洞目录，该漏洞已证实被多个高级持续性威胁（APT）组织积极利用。该漏洞为路径遍历类型，CVSS评分7.8，允许攻击者在用户打开恶意文件或访问恶意页面时执行任意代码，仅影响Windows系统版本。RARLAB已在2025年6月发布的WinRAR 7.12中修复此漏洞，但此前已遭广泛利用。据安全厂商分析，俄罗斯GOFFEE组织（别名Paper Werewolf）曾结合CVE-2025-6218与CVE-2025-8088（评分8.8）发起网络钓鱼攻击；南亚Bitter APT组织则通过恶意RAR压缩包植入Normal.dotm全局模板，绕过Word宏限制实现持久化后门；俄罗斯Gamaredon组织则针对乌克兰军事、政府机构发起鱼叉式网络钓鱼，利用该漏洞部署Pteranodon恶意软件，甚至在2025年11月首次实施破坏性行动，投放GamaWiper擦除器。

https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html