每日安全简讯(20250531)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 蔓灵花APT组织借克什米尔冲突对巴基斯坦电信系统发起攻击

研究人员发现，具有印度背景的APT组织“蔓灵花”（Bitter）利用印巴克什米尔地区军事冲突升级的时机，针对巴基斯坦电信公司（PTCL）及政府通信部门发起了网络间谍活动。攻击者仿冒官方VPN工具（如“TelecomVPN”“PTAOpenVPN”），将恶意代码与合法的OpenVPN安装程序捆绑在一起，诱导目标用户运行后植入多重后门。在此次攻击活动中，攻击链包含三个阶段的载荷：初始释放器（Dropper）负责解密恶意模块；下载器（shell.exe）根据C2服务器的指令筛选高价值目标（仅对运行特定进程的主机下发后续木马）；最终部署的远程控制工具具备屏幕截取、文件窃取以及持久化控制等功能。

https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict?&web_view=true

---

2 ConnectWise疑似遭受APT组织针对性入侵

近期，远程访问软件ScreenConnect的开发商ConnectWise透露，公司遭受了网络攻击，疑似有国家级威胁背景的组织参与了此次攻击，部分ScreenConnect客户受到影响。目前，攻击发生的时间、受影响的客户数量以及威胁参与者的身份均未对外披露。ConnectWise于2025年4月下旬修复了高危漏洞CVE - 2025 - 3935，不过，目前尚无法确定此次攻击是否与该漏洞存在关联。公司已采取增强监控和加固安全等措施，以防止未来再次发生此类攻击事件。

https://thehackernews.com/2025/05/connectwise-hit-by-cyberattack-nation.html

---

3 新型Windows远程控制木马利用损坏的DOS和PE文件头逃避检测

Fortinet的研究人员近日发现一种新型Windows远程控制木马。该木马借助损坏的DOS和PE文件头，能够在受感染的机器上持续运行数周而未被察觉。攻击者利用批处理脚本与PowerShell技术，在Windows进程环境中运行恶意软件。此恶意软件在执行后，会解密C2（命令与控制）信息，并尝试与服务器建立通信连接。它具备多种恶意功能，包括对受感染主机进行屏幕截图、系统服务枚举以及系统服务操作等。

https://thehackernews.com/2025/05/new-windows-rat-evades-detection-for.html

---

4 利用Google Apps Script的新型网络钓鱼攻击

Cofense Phishing Defense Center最近发现了一种新型网络钓鱼攻击。攻击者利用Google Apps Script构建钓鱼页面，将其伪装成来自合法公司的发票邮件，诱导收件人点击链接。该钓鱼页面托管在Google的可信域名之下，以此增强攻击的可信度。当收件人点击链接后，会被引导至一个精心设计的虚假登录窗口。一旦收件人在该窗口输入凭证，这些凭证就会被窃取并传输给攻击者，随后页面会自动重定向至合法的Microsoft登录页面，从而避免引起收件人的怀疑。

https://cofense.com/blog/behind-the-script-unmasking-phishing-attacks-using-google-apps-script?&web_view=true

---

5 弗吉尼亚州公立学区遭勒索攻击导致学生数据被窃取

2025年5月29日，美国弗吉尼亚州博特图尔县公立学区证实遭遇了一起重大网络安全事件。攻击者窃取了包含学生敏感信息的系统数据，并于5月下旬在暗网上将其公开泄露。尽管学区在声明中未明确提及攻击组织的名称，但第三方安全媒体Comparitech披露，此次事件是勒索团伙“Hunters International”所为——该组织声称窃取了逾200GB的数据（这些数据包含学生身份信息、财务记录以及教职工合同），并威胁称，若两周内未支付赎金，将公开全部数据。

https://www.comparitech.com/news/hackers-give-botetourt-county-schools-2-weeks-to-pay-ransom-after-cyber-attack/?&web_view=true

---

6 美财政部制裁菲律宾Funnull公司

美国财政部海外资产控制办公室（OFAC）对菲律宾技术公司Funnull实施了制裁。该公司被指控为“杀猪盘”加密货币诈骗活动提供核心基础设施，导致美国受害者损失超过2亿美元，平均每位受害者损失15万美元。Funnull通过批量购买云服务IP地址（这些IP地址主要来自亚马逊、微软等美国供应商），再转售给犯罪团伙，用以托管仿冒合法投资平台的欺诈网站。其提供的服务包含域名生成算法（DGA）和网页设计模板，这使得诈骗者能够快速切换33.2万个域名来规避查封，并伪装成可信品牌（例如虚假交易平台）实施诈骗。技术溯源结果显示，该公司自2023年起开始运作，并形成了名为“Triad Nexus”的犯罪网络，该网络关联超过20万个恶意主机名，涵盖投资诈骗、钓鱼和赌博网站。

https://thehackernews.com/2025/05/us-sanctions-funnull-for-200m-romance.html

---