每日安全简讯(20250526)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Bumblebee加载器通过SEO投毒和域名仿冒手段传播

安全研究人员发现，Bumblebee恶意软件正通过SEO投毒和域名仿冒手段大规模传播。攻击者注册了与合法软件高度相似的域名，并利用搜索引擎优化技术，使这些域名在Google和Bing的搜索结果中排名靠前，从而诱导用户下载含有恶意代码的安装包。在本次攻击活动中，攻击者仿冒了Zenmap、WinMTR及Milestone XProtect等工具的下载页面，提供经过篡改的MSI安装包。这些安装包捆绑了合法程序与恶意DLL，能够绕过杀毒引擎的检测。一旦用户下载并执行安装包，Bumblebee加载器便会被释放，进而投递窃密工具、勒索软件等恶意载荷，并通过DNS隧道与C2服务器建立连接。

https://www.bleepingcomputer.com/news/security/bumblebee-malware-distributed-via-zenmap-winmrt-seo-poisoning/

---

2 NPM上的数十个恶意软件包收集主机和网络数据

Socket的威胁研究团队发现，npm生态系统中存在一个活跃的攻击活动，该活动涉及在三个npm账户下发布的60个恶意软件包。这些软件包在安装时会执行脚本，用于收集主机名、内部和外部IP地址、DNS服务器列表以及用户目录路径等信息，并将这些数据泄露到攻击者控制的Discord网络钩子（Webhook）中。攻击者可以利用这些信息将私有开发环境与公共基础设施关联起来，从而为后续攻击提供有价值的情报。Socket的威胁研究团队发现，npm生态系统中存在一个活跃的攻击活动，涉及在三个npm账户下发布的60个恶意软件包。这些软件包在安装时会执行脚本，收集主机名、内部和外部IP地址、DNS服务器列表和用户目录路径等信息，并将数据泄露到攻击者控制的Discord网络钩子。攻击者利用这些信息可以将私有开发环境与公共基础设施关联起来，为后续攻击提供有价值的情报。

https://socket.dev/blog/60-malicious-npm-packages-leak-network-and-host-data

---

3 黑客利用伪造的VPN和浏览器NSIS安装程序传播Winos恶意软件

攻击者通过伪装成流行工具（例如LetsVPN和QQ浏览器）的假软件安装程序，来传播Winos 4.0恶意软件框架。此次攻击活动使用了一个名为Catena的多阶段、内存驻留加载程序，该程序利用嵌入的shellcode和配置切换逻辑，在内存中分阶段加载有效载荷，以此规避杀毒软件的检测。攻击者主要针对中文环境展开攻击，且该攻击活动显示出高度的组织性和适应性。Winos 4.0是基于Gh0st RAT构建的，具备数据窃取、远程访问以及发起DDoS攻击的能力。攻击者通过NSIS安装程序和反射DLL注入等方式，维持对感染主机的持久性控制，并避免被检测到。Rapid7在2025年2月首次发现了这一攻击活动，并指出攻击者在2025年期间持续保持活跃状态，不断调整其攻击战术。

https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html

---

4 SK Telecom遭恶意软件攻击导致2669万条IMSI记录泄露

SK Telecom披露了一起持续近两年的恶意软件攻击事件。在此次事件中，超过2669万条IMSI记录泄露，约9.82GB的USIM数据被窃取。此次攻击影响了大量用户，导致个人和财务信息泄露。事件发生后，SK Telecom暂停了新用户注册服务，启动了全国范围的SIM卡更换计划，并升级了欺诈检测系统FDS 2.0，采用三重身份验证流程来防止未授权的SIM卡克隆和设备克隆行为。

https://hackread.com/sk-telecom-malware-attack-leaking-26m-imsi-records/

---

5 Zimbra界面存在XSS漏洞可影响12.9万台服务器

Zimbra Collaboration Suite（ZCS）的CalendarInvite功能存在XSS漏洞（CVE-2024-27443）。由于系统未正确检查邮件日历标题中的传入信息，攻击者能够将恶意代码嵌入到特制邮件中。当用户使用经典Zimbra界面打开这类邮件时，恶意代码会自动运行，进而访问用户会话，危及账户安全。该漏洞影响ZCS 9.0（补丁1 - 38）和10.0（最高至10.0.6）版本。截至2025年5月22日，Censys发现全球存在129131个潜在易受攻击的ZCS实例，其中33614个为本地托管，且多数与共享基础设施相关。CISA于2025年5月19日将该漏洞列入已知被利用漏洞目录。ESET研究人员怀疑，Sednit（也被称为APT28或Fancy Bear）黑客组织可能参与了利用该漏洞发起的名为Operation RoundPress的攻击活动，其目的是窃取登录信息并维持对webmail平台的访问权限。

https://hackread.com/zimbra-cve-2024-27443-xss-flaw-hit-sednit-servers/

---

6 NETGEAR路由器漏洞允许攻击者获取管理员访问权限

研究人员发现，NETGEAR DGND3700v2无线路由器存在严重的认证绕过漏洞（CVE-2025-4978）。该漏洞存在于路由器固件的隐藏后门机制中，影响版本为V1.1.00.15_1.00.15NA。攻击者通过访问未认证的端点“/BRS_top.html”，能够将内部标志“start_in_blankstate”设置为1，从而绕过HTTP基本认证检查，获得路由器管理界面的完全访问权限，可访问的内容包括DNS设置、防火墙配置以及Wi-Fi凭据等。NETGEAR已发布补丁固件V1.1.00.26来解决该问题，并建议用户立即更新固件，同时禁用远程管理功能并监控网络流量。

https://gbhackers.com/netgear-router-flaw/?web_view=true

---