每日安全简讯(20250513)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者通过伪造课堂应答系统iClicker的登录页面发起钓鱼攻击

攻击者通过伪造课堂应答系统iClicker的登录页面发起钓鱼攻击，他们利用虚假的CAPTCHA验证机制，诱导全球高校学生下载恶意软件。在此次攻击活动中，攻击者仿冒iClicker的域名，在伪造的页面中嵌入一个伪装成验证码的下载按钮，攻击者伪造的页面声称用户必须完成验证才能访问课程内容，诱使用户下载一个伪装成合法客户端的恶意程序，进而窃取设备敏感数据并植入后门，一旦用户点击下载按钮，就会触发恶意EXE文件的下载。攻击者可能会窃取学生的账户凭证，扫描局域网设备，并尝试利用弱密码或SMB漏洞将恶意软件传播至校园网络。此次攻击主要针对北美高校，部分欧洲及亚洲院校也受到了影响。

https://www.bleepingcomputer.com/news/security/iclicker-hack-targeted-students-with-malware-via-fake-captcha/

---

2 微软Entra ID遗留协议漏洞致多行业管理员账号遭遇攻击

微软Entra ID的遗留登录协议存在漏洞，攻击者利用这一漏洞绕过了多因素认证（MFA），对金融、医疗和科技行业的管理员账户发起了攻击。攻击者利用了基本认证版本2 - 资源所有者密码凭证（BAV2ROPC）这一遗留登录方法，该方法允许旧应用程序仅使用简单的用户名和密码进行认证。与现代交互式登录流程不同，BAV2ROPC以非交互式方式运行，这使得攻击者能够完全绕过MFA、条件访问策略等安全措施。此次攻击活动发生在2025年3月18日至4月7日期间，攻击者采用了自动化凭证喷洒和暴力攻击战术，主要针对暴露的遗留端点。攻击者将目标聚焦于管理员账户，其中一个管理员账户在8小时内收到了来自432个IP地址的近1万次攻击尝试。

https://hackread.com/legacy-login-microsoft-entra-id-breach-cloud-accounts/

---

3 Linux nftables子系统存在CVE-2024-26809双释放漏洞

Linux内核的nftables子系统被发现存在一个严重的安全漏洞，编号为CVE-2024-26809。该漏洞属于双释放漏洞，本地攻击者可利用此漏洞提升权限并执行任意代码。nftables是现代Linux发行版中用于网络数据包过滤的子系统，它借助表格、集合、链和规则等组件，能够进行规则匹配。此漏洞存在于nft_set_pipapo的实现中，具体是nft_pipapo_destroy()函数。当集合被标记为“脏”（即已修改但未提交）时，该函数会尝试销毁集合中的所有元素。若元素同时存在于匹配结构和克隆结构中，销毁集合时就会出现双释放场景，进而导致内存损坏，攻击者可能借此实施攻击。攻击者可以通过创建pipapo集合、添加元素、将集合标记为“脏”并删除集合来触发该漏洞，随后操纵堆内存并执行任意代码。

https://thecyberexpress.com/cve-2024-26809-nftables-vulnerability/

---

4 PhaaS网络钓鱼工具包生成伪造的网络钓鱼页面

研究人员针对日益复杂的网络钓鱼技术发出警告。当前，这些技术借助专门的网络钓鱼即服务（PhaaS）工具包可以生成伪造的网页。这些工具包让攻击者即便毫无技术经验，也能实时生成伪造的网页。通常，攻击会以一封精心设计的钓鱼邮件开始，从而诱使收件人点击链接。一旦收件人点击链接，就会被导向一个凭证收集的网站。该网站能够动态检索被模仿公司的品牌元素，利用Clearbit等合法的第三方营销服务API，实时获取企业标志和视觉标识符。这种技术营造出了极具迷惑性的假象，当受害者在页面上输入凭证后，相关信息会立即通过AJAX POST请求传递给攻击者。随后，页面会重定向到合法网站。

https://gbhackers.com/phishing-scams-on-the-rise-with-sophisticated-phaas/?web_view=true

---

5 谷歌因未经授权的追踪和生物特征数据收集向德克萨斯州支付13.75亿美元

谷歌同意向美国德克萨斯州支付13.75亿美元，以此解决两起诉讼。这两起诉讼指控谷歌未经用户同意追踪用户个人位置和用户个人面部识别数据。此次德克萨斯州发起的诉讼始于2022年，诉讼内容涉及谷歌非法追踪和收集用户数据，这些数据包括地理位置信息、隐身搜索记录以及生物特征数据。即便用户关闭了位置记录设置，谷歌仍在追踪用户行踪，并且在未获得用户明确同意的情况下收集生物特征数据。

https://thehackernews.com/2025/05/google-pays-1375-billion-to-texas-over.html

---

6 德警方关闭涉及洗钱的eXch加密货币交易所

德国联邦刑事警察局（BKA）关闭了与洗钱和运营犯罪交易平台有关的eXch加密货币交易所，并扣押了8TB的数据以及价值3400万欧元（约合3825万美元）的加密货币资产，这些资产包括比特币、以太坊、莱特币和达世币。eXch自2014年起开始运营，提供加密货币交换服务，且同时在明网和暗网上开展业务。自eXch成立以来，估计有19亿美元的加密货币资产通过该平台进行转移，其中还包括今年早些时候朝鲜威胁行为者通过攻击Bybit交易所获得的部分非法收益。荷兰财政信息和调查服务（FIOD）表示，正在积极调查通过该平台进行洗钱和其他非法活动的个人。eXch在收到相关确认信息后，于4月17日宣布将在本月停止运营。

https://thehackernews.com/2025/05/germany-shuts-down-exch-over-19b.html

---