每日安全简讯(20250621)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 亲以色列黑客组织攻击伊朗金融系统窃取9000万美元加密货币

伊朗金融系统连续两日遭遇重大网络攻击。6月中旬，亲以色列黑客组织“掠食性麻雀”（Predatory Sparrow）宣称对伊朗最大加密货币交易所Nobitex的攻击负责，并成功盗取超过9000万美元的加密资产。此次攻击发生不到24小时前，该组织还对伊朗国有银行Bank Sepah发动了破坏行动，导致服务中断。区块链分析公司Elliptic证实，攻击者将加密货币转移至多个含有“F–kIRGCterrorists”字样的虚拟地址中，显示此次攻击带有明显的政治意图。IRGC指的是伊朗伊斯兰革命卫队，被该黑客组织视为资助恐怖主义的核心机构。更值得关注的是，攻击者所使用的目标地址极难生成，但他们将资金转入这些无法访问的地址，等同于“销毁”资金，意在传递强烈的政治信号，而非经济利益。伊朗政府此前已宣布降低全国互联网速度以应对潜在网络攻击，然而该举措未能阻止连续的金融系统袭击。此次攻击不仅对Nobitex构成打击，也可能严重影响伊朗依赖加密货币规避制裁的金融策略，引发更广泛的政治和经济连锁反应。

https://cyberscoop.com/iran-nobitex-cyberattack-predatory-sparrow/

---

2 Banana Squad利用虚假的GitHub开源项目传播窃密木马

安全公司ReversingLabs近日披露，名为Banana Squad的威胁团伙利用虚假的GitHub开源项目传播窃密木马，目标锁定开发者及使用Python工具的用户。该团伙自2023年4月起便活跃于多个开源平台，曾大规模上传恶意软件包，此轮攻击再次表明开源生态系统面临的持续安全威胁。研究人员发现，该组织在GitHub上创建了60多个伪装成黑客工具或Python脚本的项目仓库，但其中嵌入了窃密后门代码。这些恶意项目多由“空壳”用户账号托管，仅包含一个仓库，以降低被审查的可能。部分项目还使用了代码溢出隐藏技术，即通过在文件中加入大量空格将恶意代码推至可视区域之外，使审查者难以发现异常。被感染的用户系统中，攻击者可盗取浏览器数据、应用信息、系统配置以及加密货币钱包凭据，甚至劫持交易转账。这些木马文件曾被下载近75000次，造成严重的信息泄露风险。此次事件提醒广大开发者与用户，必须加强对开源代码来源与内容的审查，采用强身份认证、依赖扫描等措施防范日益复杂的供应链攻击。对抗Banana Squad等新兴威胁已成为开源社区亟需面对的挑战。

https://hackread.com/banana-squad-data-stealing-malware-github-repositories/

---

3 研究人员披露可获取Linux系统root权限的本地提权漏洞

Qualys研究人员近期披露了两个严重的本地权限提升漏洞（CVE-2025-6018与CVE-2025-6019），通过组合利用可以使攻击者在大多数Linux发行版上轻松获得root权限。这一漏洞链几乎影响所有主流发行版，包括Ubuntu、Debian、Fedora与openSUSE Leap 15，对企业级服务器环境构成了极大风险。其中，CVE-2025-6018源于openSUSE Leap 15与SUSE Linux Enterprise 15在PAM（可插拔认证模块）配置中的错误，该配置错误将所有本地登录用户错误地识别为物理在场用户，赋予其“allow_active”权限。而这一权限恰恰是触发CVE-2025-6019所需的前提条件。CVE-2025-6019存在于libblockdev组件中，该组件被udisks守护进程调用，可被利用进行权限提升操作。udisks作为多数Linux系统默认预装的服务，被广泛部署于服务器和桌面系统中。研究人员已经成功在多个发行版上验证了概念验证代码，确认漏洞链的实际可行性。当前，多数Linux发行版已陆续开始修复此问题，未及时打补丁的系统，将面临被轻易攻陷的风险。

https://www.helpnetsecurity.com/2025/06/18/chaining-two-lpes-to-get-root-most-linux-distros-vulnerable-cve-2025-6018-cve-2025-6019/

---

4 史上规模最大的数据泄露事件泄露超过160亿条账户凭据

研究人员近日披露了一起有史以来规模最大的登录信息泄露事件，涉及超过160亿条账户凭据。这些数据大多来源于信息窃取类恶意软件（infostealer），通过多个不安全的Elasticsearch或开放存储实例短暂暴露，现已对全球用户构成重大威胁。此次泄露由CyberNews团队在持续监测中发现，包含30个不同来源的大型数据集，每个数据集中包含从数千万到35亿条记录不等，平均每个数据集约5.5亿条。除了其中一个数据集曾被报道，其余29个均为首次曝光，表明这是一次规模空前的新一轮数据外泄，而非旧数据的再利用。根据研究报告，这些被泄露的信息多以URL、用户名、密码结构化存储，受影响平台包括Apple、Google、Facebook、Telegram、GitHub甚至一些政府门户。更令人担忧的是，数据还包含令牌、Cookies以及其他敏感元数据，具备极高的武器化潜力，极易被用于账户接管、身份盗用、定向钓鱼乃至勒索软件攻击。研究人员警告，这类大规模泄露不仅威胁普通用户隐私安全，也暴露出全球网络防护体系在数据保护与威胁监测方面的系统性薄弱，呼吁各组织尽快强化凭据管理、部署多因素认证，并加强对存储系统与外部访问权限的安全审查。

https://securityaffairs.com/179149/data-breach/researchers-discovered-the-largest-data-breach-ever-exposing-16-billion-login-credentials.html

---

5 美国医疗科技公司Episource遭网络攻击致540万患者信息泄露

美国医疗科技公司Episource近日披露一起严重的数据泄露事件，攻击者在2025年1月末成功入侵其系统，导致约5418866名患者的个人及健康信息被非法访问和窃取。该公司主要为医保计划提供风险评估、数据分析和合规服务，是Medicare Advantage等政府医疗项目的技术支持方。根据Episource在其官网发布的声明，2月6日公司首次发现异常活动，随后展开调查。调查显示，攻击者在1月27日至2月6日期间已成功获取并下载了存储在系统中的部分数据。虽然目前尚无证据表明这些信息已被利用，但公司表示事件仍在监控中。泄露信息的范围因人而异，可能包括姓名、住址、邮箱、电话、出生日期、医疗保险计划信息、Medicaid编号与信息、诊断结果、处方、影像资料、治疗记录，甚至社会安全号码（SSN）。幸运的是，银行或支付卡相关数据未受到波及。该事件已被上报至美国卫生与公众服务部（HHS）下属的民权办公室（OCR）数据泄露门户，并确认影响人数超过540万。目前Episource已于4月23日开始陆续通知受影响个体，但未公开具体涉及哪些医疗服务提供方。通知由Episource代表其客户发出，受影响患者将不会收到来自其医疗机构的单独通知。

https://www.bleepingcomputer.com/news/security/episource-says-data-breach-impacts-54-million-patients/

---

6 乌克兰将疑似Ryuk勒索软件团伙成员的男子引渡至美国

乌克兰当局近日宣布，已将一名33岁的外国籍男子引渡至美国，涉嫌作为Ryuk勒索软件团伙的“初始入侵专家”，协助其在全球范围内发动超过2400起勒索攻击，涉案金额超过1亿美元。该嫌疑人于今年4月在基辅被捕，当时正居住于当地，因FBI将其列入国际通缉名单而落网。据乌克兰检方称，该嫌疑人通过发现企业网络漏洞并获取初始访问权限，为后续勒索软件的部署铺平道路。尽管官方未公开其身份，但指出其并非乌克兰国籍。目前，美国司法部尚未对此回应。此次引渡是近年来针对乌克兰境内勒索软件团伙持续打击行动的一部分。2023年晚些时候，乌警方曾配合美、法、德、挪威和荷兰执法部门，逮捕该团伙的“首脑”及其4名活跃成员，并查获价值超过50万美元的加密资产、九辆豪车和近30英亩土地。欧盟刑警组织Europol指出，该团伙使用的勒索软件不止Ryuk，还包括Dharma、Hive、LockerGoga和MegaCortex等多个变种，并常借助TrickBot、Cobalt Strike等工具进行横向渗透和持久控制。

https://www.govinfosecurity.com/ukraine-extradites-suspected-ransomware-group-member-to-us-a-28754

---