每日安全简讯(20250622)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客利用AI换脸视频诱骗员工感染恶意软件

安全公司Huntress披露，朝鲜APT组织BlueNoroff近期利用AI深度伪造（deepfake）视频伪装公司高管，在Zoom会议中诱导企业员工安装定制的macOS恶意软件。这一攻击于2025年6月被发现，目标是一家科技公司的员工，攻击者通过Telegram冒充外部专家发送会议链接，实则引导受害人访问伪造的Zoom网站并下载安装恶意AppleScript文件。一旦执行，该脚本会静默安装Rosetta 2并下载后门程序，最终植入包括信息窃取器、键盘记录器和远程控制工具在内的多个恶意组件，主要目标是加密货币钱包数据。此次事件表明，BlueNoroff正在结合AI换脸技术与高度定制的Mac恶意软件，持续升级攻击策略。Huntress提醒，尽管macOS长期被视为相对安全，但随着企业广泛部署，攻击者对该系统的兴趣也日益增长，用户需加强防范意识。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-deepfake-execs-in-zoom-call-to-spread-mac-malware/

---

2 Godfather银行木马通过虚拟化运行银行应用程序窃取数据

安全研究人员披露，移动银行木马“Godfather”已升级为具备虚拟化能力的高隐蔽性恶意软件，能够在Android设备上创建沙箱环境，运行真实银行和加密货币应用，从而实现实时控制和数据窃取。Zimperium实验室指出，该木马通过安装包含VirtualApp或Xposed等虚拟化框架的“宿主”应用，在用户手机中建立隐藏的并行空间，克隆并执行正版金融App。不同于传统伪装的覆盖攻击手法，Godfather以原生界面运行目标应用，用户难以察觉任何异常。该木马还滥用Android辅助功能监控用户输入，捕捉登录信息、短信验证码和交易细节，并通过Java层API钩子实时拦截并篡改网络通信内容。借助其强大的远程控制能力，攻击者还能操作系统设置、伪装锁屏并注入手势交互。目前该恶意软件已锁定全球近500款应用，重点攻击对象包括土耳其12家银行，同时波及金融科技、社交媒体、电商与加密平台，显示出移动威胁手段的重大跃升。

https://www.govinfosecurity.com/godfather-malware-turns-real-banking-apps-into-spy-tools-a-28740

---

3 攻击者利用Cloudflare隧道隐匿传播Python恶意代码

近期Securonix研究人员揭露了一场代号为Serpentine#Cloud的持续性恶意软件攻击活动，攻击者借助Cloudflare隧道服务在全球多个行业展开大规模渗透，利用Python恶意代码实现对受害系统的持久控制。该活动通过伪装成PDF文件的Windows快捷方式（.lnk）启动攻击链，逐步执行包含VBScript、批处理脚本及Python代码的多阶段加载流程，最终在内存中运行Donut封装的RAT后门（如AsyncRAT或Revenge RAT），实现对目标主机的完全远程控制。研究指出，攻击者滥用Cloudflare的TryCloudflare服务进行恶意流量传输，此举不仅绕过传统域名拦截机制，还利用Cloudflare的合法TLS证书隐藏通信内容，显著提高隐蔽性与溯源难度。此外，攻击链还使用WebDAV、系统启动文件夹建立持久化，并执行诱饵PDF伪装操作以降低可疑度。目前感染已波及美国、英国、德国、新加坡及印度等国家，显示出攻击者具备英语背景及跨国部署能力。安全专家提醒，组织应立即检测网络中是否访问了相关Cloudflare域名，并加强对隧道通信及脚本执行行为的监控防护。

https://www.theregister.com/2025/06/19/sneaky_serpentinecloud_slithers_through_cloudflare/

---

4 Krispy Kreme确认遭Play勒索软件攻击致员工数据泄露

知名甜甜圈连锁品牌Krispy Kreme近日正式确认，2024年12月的网络攻击事件系由Play勒索软件团伙发起，并导致大规模数据泄露。事件发生后不久，Play团伙便在其Tor泄露站点上公开宣称获取了184GB敏感数据，涵盖客户信息、财务资料、合同文件、工资与预算文档等内容。随着公司完成内部调查，目前已陆续向受影响人员发送通知函，确认泄露信息涉及姓名、出生日期、社保号、驾照或身份证号码、金融账户、支付卡信息、电子签名、邮箱与密码、指纹或虹膜等生物信息，甚至包括美军ID与健康医疗记录等高度敏感数据。大多数受影响者为公司现任与离职员工及其家属。尽管公司强调尚无证据显示泄露数据已被滥用，但由于黑客将文件公开发布，泄露风险仍极高。为此，Krispy Kreme为受害者提供免费信用监控与身份保护服务。初步估计，该事件已使公司在2024财年损失超1100万美元，预计2025年相关支出将持续增长。

https://www.securityweek.com/krispy-kreme-confirms-data-breach-after-ransomware-attack/

---

5 两家保险公司遭网络攻击导致系统长时间中断

美国Erie保险与Philadelphia保险公司近日相继披露网络攻击事件，导致系统长时间中断，引发客户广泛关注。两家公司均明确表示，本次攻击事件并非由勒索软件引起，而是其出于防护目的自行断网所致。Erie保险于6月7日发现可疑活动，随后向SEC报告，称系统已被控制，暂无攻击者持续活动迹象，但仍在进行全面恢复，并提醒客户警惕诈骗邮件与电话。同时，两起事件已引发多起集体诉讼。Philadelphia保险则在6月9日发现异常，并主动断开网络，表示暂无系统加密行为，目前正调查是否存在数据泄露风险。专家分析称，两起事件更可能涉及数据窃取，攻击者或为身份盗窃、勒索或出售数据而行动。由于保险机构掌握大量个人与金融敏感信息，受影响人数或达数百万。此次事件凸显保险行业在应对数据泄露风险时亟需强化事件响应与安全演练机制。

https://www.govinfosecurity.com/two-insurers-say-ongoing-outages-are-caused-by-ransomware-a-28758

---

6 微软加强Windows 365 Cloud PC默认安全策略

微软近日宣布将于2025年下半年起对新建与重建的Windows 365 Cloud PC启用一系列默认安全强化措施，旨在进一步降低数据泄露与恶意软件攻击风险。新策略包括默认禁用剪贴板、驱动器、USB与打印机的重定向功能，防止用户在本地设备与云桌面间传输文件，从而阻止恶意软件传播与敏感数据外泄。USB重定向禁用仅限于底层设备访问，高层接口设备如鼠标、键盘与摄像头将不受影响。此外，此安全默认设置也将应用于新建的Azure虚拟桌面主机池。自2025年5月起，微软已在运行Windows 11图库映像的Cloud PC中默认启用基于虚拟化的安全（VBS）、凭据防护（Credential Guard）与超管保护的代码完整性（HVCI），从内核层增强防御能力。微软还将在Intune管理中心展示提示横幅，通知管理员这些变更，并允许通过Intune或组策略覆盖默认配置，满足特定业务需求。同时，微软也计划于7月起加强Microsoft 365平台的安全措施，包括屏蔽旧版浏览器协议访问OneDrive与SharePoint、禁止Office通过FPRPC协议打开文件，并逐步禁用ActiveX控件。此外，Outlook将新增.block附件类型扩展名限制，Teams也将在会议中引入屏幕截图阻止功能，全方位提升用户安全防护能力。

https://www.bleepingcomputer.com/news/security/microsoft-unveils-new-security-defaults-for-windows-365-cloud-pcs/

---