每日安全简讯(20250612)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 FIN6黑客组织伪造求职者身份实施定向钓鱼攻击

知名网络犯罪组织FIN6（又名Skeleton Spider）近期被曝光利用社交工程手段和云服务基础设施，通过伪造求职者身份实施定向钓鱼攻击。攻击者伪装成候选人通过LinkedIn、Indeed等平台与招聘方建立联系，再发送包含假简历网站的钓鱼信息。受害者需手动输入伪装为个人简历主页的域名，页面托管在AWS云服务上，并部署了复杂的访问过滤机制，只有满足特定条件的访问者才能看到恶意ZIP文件。该文件内嵌有LNK快捷方式，实际执行JavaScript脚本以下载并运行名为“More_eggs”的后门程序。More_eggs为一种由Golden Chickens组织提供的恶意软件服务，具备凭证窃取、远程命令执行等功能，常用于后续勒索软件攻击。此次攻击行动充分体现FIN6在规避检测、利用合法服务进行伪装方面的成熟技巧，警示安全团队加强对云资源、招聘流程及社交平台的安全防护。

https://dti.domaintools.com/Skeleton-Spider-Trusted-Cloud-Malware-Delivery/

---

2 DanaBot的C2服务器存在内存泄漏漏洞导致黑客数据泄露

近期，安全研究团队ThreatLabz披露了DanaBot恶意软件控制服务器存在严重内存泄漏漏洞，被命名为“DanaBleed”。DanaBot自2018年起活跃，是一个以恶意软件即服务（MaaS）模式运营的平台，主要用于信息窃取与银行欺诈。2022年6月起，DanaBot发布的新版本引入了一个编程错误，导致C2服务器在回应受感染主机请求时，无意中泄露了其进程内存中的数据。这一漏洞持续近三年，期间泄露信息包括黑客用户名和IP地址、C2后端服务器信息、被感染设备的统计数据、更新日志、私钥、数据库结构、甚至受害者凭证等。泄漏内容还包含HTML片段、调试日志及SQL语句等，揭示了该组织内部运作细节。2025年5月，国际执法行动“Operation Endgame”成功瓦解DanaBot基础设施，并起诉了16名关联成员。然而，研究人员警告称，DanaBot的残余力量可能卷土重来，仍需持续追踪其后续动向。此次漏洞不仅为安全社区提供了前所未有的洞察窗口，也揭示了恶意基础设施在安全开发方面的致命疏忽。

https://www.zscaler.com/blogs/security-research/danableed-danabot-c2-server-memory-leak-bug

---

3 研究人员曝光20个最容易被黑客利用的顶级域名

ANY.RUN近期发布的一项研究揭示了2025年黑客最常用于钓鱼攻击的20个顶级域名（TLD），其中.li、.es和.dev等域名因频繁被利用而位列前茅。数据显示，57%的.li域名被用于恶意目的，虽然其中大多数并不直接托管钓鱼页面，而是作为中间跳转器，将用户引导至伪装成合法站点的钓鱼平台或恶意软件下载链接。这些域名常被用于伪造登录门户、假冒快递通知或诱导付款操作，.es域名因其本地化特征，在西语地区尤具欺骗性；而.sbs和.cfd因注册成本低，已成为一次性钓鱼基础设施的热门选择。.dev域名因托管在Google平台上而自带可信印象，使得伪装更具迷惑性。研究强调，这类间接跳转行为常被静态检测或黑名单机制忽视，而像ANY.RUN这样的交互式沙箱可实时追踪跳转路径，精准识别恶意行为，为防御钓鱼攻击提供了关键技术支撑。

https://hackread.com/top-level-domain-names-hackers-abused-phishing-attacks/

---

4 Binarly研究团队披露一个UEFI Secure Boot绕过漏洞

Binarly Research团队披露了一个影响广泛的UEFI Secure Boot绕过漏洞（CVE-2025-3052），该漏洞存在于一个使用微软第三方UEFI证书签名的BIOS更新模块中。攻击者可利用该模块中对NVRAM变量的未验证操作，实现任意内存写入，从而禁用Secure Boot机制，在操作系统加载前执行任意未签名代码，部署Bootkit等恶意组件，完全绕过操作系统级别的安全防护。该模块最初由DT Research开发，但由于其使用的是微软广泛信任的“Microsoft UEFI CA 2011”证书，几乎所有支持该证书的设备都处于风险之中。Binarly的分析平台自动检测到该漏洞，并发现该问题并非孤立，微软最终在2025年6月的补丁星期二更新中向dbx添加了14个有问题模块的哈希作为缓解措施。此事件再次揭示了UEFI供应链中信任机制的脆弱性。

https://www.binarly.io/blog/another-crack-in-the-chain-of-trust

---

5 德克萨斯州交通部遭黑客攻击导致30万份交通事故报告被盗

近日，德克萨斯州交通部遭黑客攻击，约30万份包含敏感个人信息的交通事故报告被盗取。攻击者通过一个被入侵的用户账户访问系统，下载了包括姓名、地址、驾照号、车辆保险单号及车牌号等详细数据。虽然法律未强制要求公开通报，交通部仍主动向受影响人员发出通知信，提醒其关注异常活动。该账户于2025年5月12日被发现异常后立即被禁用，目前调查仍在进行中。交通部表示，已开始实施额外安全措施防止类似事件再次发生，但未透露具体细节。该部门负责管理全州的事故记录系统，建议受影响者提前报税以防身份被冒用，同时警惕与事故信息相关的可疑邮件或短信。此次事件暴露出政府部门在数据安全防护上的隐患，引发社会广泛关注。

https://www.govinfosecurity.com/300k-crash-reports-stolen-in-texas-dot-hack-a-28646

---

6 ConnectWise因安全隐患更换数字代码签名证书

ConnectWise近日宣布将更换用于ScreenConnect、ConnectWise Automate及RMM可执行文件的数字代码签名证书，此举源于第三方安全研究员提出的配置数据潜在利用风险。数字证书用于保证软件下载来源可信及代码未被篡改，确保用户安全。此次更换与上月遭遇的国家级网络攻击无关。ConnectWise表示，ScreenConnect安装程序的配置处理存在安全隐患，可能被攻击者利用，需系统权限执行恶意操作。为此，ConnectWise不仅更新证书，还发布了改进配置管理的更新版本。受影响的证书由DigiCert颁发，原计划于2025年6月10日撤销，但因新版ScreenConnect尚未发布，延期至6月13日。此调整将影响本地及云端用户，用户需及时更新软件以免服务中断。云端用户将逐步自动接收更新。安全研究员此前警告，攻击者曾利用伪装成社会保障声明的钓鱼网站，传播预配置的ConnectWise远程访问客户端进行诈骗，凸显此次安全举措的重要性。用户被建议访问官方学习页面下载最新版本，确保系统安全稳定运行。

https://www.bleepingcomputer.com/news/security/connectwise-rotating-code-signing-certificates-over-security-concerns/

---