每日安全简讯(20250626)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT28黑客组织利用Signal向乌克兰官员投送恶意软件

乌克兰国家计算机应急响应小组（CERT-UA）披露，俄罗斯关联的APT28黑客组织正通过加密通信应用Signal，向乌克兰政府官员投递伪装成文档的恶意软件，企图发动网络间谍活动。此次攻击事件发生在2024年3月至4月间，目标为乌克兰一中央政府机构的信息与通信系统。攻击者通过Signal聊天发送名为《Акт.doc》的带宏文档，并配合社会工程技巧，使目标误信来源可靠，从而在系统中植入两种C++编写的新型恶意软件：BeardShell与SlimAgent。BeardShell会下载并运行通过ChaCha20-Poly1305解密的PowerShell脚本，并将执行结果上传至Icedrive云端存储；SlimAgent则负责使用Windows API定期截屏，并以AES和RSA双重加密保存图片。这两种恶意程序均具备高隐蔽性，依赖合法云服务进行通信以规避检测，充分体现当前APT攻击手段的隐蔽化与“合法化”趋势。

https://securityaffairs.com/179288/apt/russia-linked-apt28-use-signal-chats-to-target-ukraine-official-with-malware.html

---

2 SparkKitty间谍软件伪装成热门应用窃取用户图片

近日，卡巴斯基（Kaspersky）研究人员披露一项重大安全威胁：名为SparkKitty的新型间谍软件已成功渗透苹果App Store和谷歌Play Store，主要通过伪装成热门应用传播，并广泛窃取用户手机中的图片，重点寻找与加密货币相关的信息。攻击者通过伪造如TikTok的改版应用进行传播，有些还附带虚假购物功能“TikToki Mall”，鼓励用户用加密货币进行消费，进一步诱导用户上传照片或截图，其中可能包含助记词、私钥等敏感信息。Android平台方面，SparkKitty被嵌入在带有加密货币和博彩功能的App中，其中一个被伪装成通讯工具的应用在Play Store上获得超过一万次下载。部分变种通过第三方网站传播，并通过Google ML Kit图像识别功能读取图片内容，提取可能包含钱包助记词的截图文字，延续了SparkKitty的前身“SparkCat”的技术思路。

https://securelist.com/sparkkitty-ios-android-malware/116793/

---

3 新的FileFix攻击利用Windows文件资源管理器执行恶意命令

安全研究员mr.d0x披露一种名为FileFix的新型社交工程攻击手法，该方法利用Windows文件资源管理器（File Explorer）的地址栏执行恶意命令，是ClickFix攻击的变种，攻击路径更隐蔽、更具迷惑性，未来可能被大量威胁行为体采用。传统的ClickFix攻击通常依赖浏览器，将恶意命令复制到剪贴板，再诱导用户通过“运行”对话框或命令行窗口粘贴执行。FileFix则将攻击场景转移到了更日常、更被信任的文件资源管理器界面中，提升了社会工程欺骗的成功率。攻击者创建一个仿真的钓鱼页面，声称有文件已分享，诱导受害者点击“打开文件资源管理器”，实则通过上传文件接口触发资源管理器打开，并悄悄将PowerShell命令复制到剪贴板。攻击关键在于利用PowerShell注释功能，将恶意命令前缀部分隐藏，仅展示一个“看起来正常”的伪造文件路径，引导用户粘贴到地址栏后直接执行。为了避免用户意外选择文件而中断攻击流程，页面还拦截文件选择事件，并提供提示引导用户重新尝试。

https://www.bleepingcomputer.com/news/security/filefix-attack-weaponizes-windows-file-explorer-for-stealthy-powershell-commands/

---

4 美国众议院因安全问题禁止在政府设备上使用WhatsApp

美国众议院近日宣布，因存在数据保护透明度低、存储数据未加密以及潜在安全隐患等问题，正式禁止在所有政府设备上使用WhatsApp应用。此举由众议院首席行政官（CAO）发出通告，强制议会工作人员移除设备上的所有WhatsApp版本，包括移动端、桌面端和网页版。CAO在内部邮件中指出，WhatsApp未能满足众议院对数据安全的严格标准，尤其是在数据处理方式和平台保护机制方面缺乏透明性。作为替代方案，议会批准使用Microsoft Teams、Wickr、Signal、iMessage和FaceTime等通信工具，同时提醒员工警惕钓鱼攻击和陌生信息。Meta公司对此禁令表示强烈反对，发言人Andy Stone强调WhatsApp的默认端到端加密机制，在安全性上甚至高于部分获批应用。他指出，尽管众议院基于安全考虑作出决策，但WhatsApp在保障用户隐私方面早已具备技术领先优势。

https://securityaffairs.com/179297/mobile-2/us-house-banned-whatsapp-on-government-devices.html

---

5 俄罗斯法院释放多名REvil勒索软件团伙成员引发争议

近日，俄罗斯法院判定四名REvil勒索软件团伙成员有罪，但因其在看守所已服刑两年多，被以“刑期折抵”为由当庭释放。被释放者包括Andrey Bessonov、Mikhail Golovachuk、Roman Muromsky和Dmitry Korotayev，他们均承认参与金融欺诈与计算机犯罪，主要目标为美国机构和企业。尽管法院命令没收其名下豪车和数十万美元现金，该判决仍引发质疑，尤其是在REvil曾策动包括2021年Kaseya供应链攻击在内的多起重大勒索事件之后。早前在2024年10月，另外四名REvil成员已被判处四年半至六年不等的刑期。此次判决背景是俄美在2022年初就REvil进行的短暂执法合作，当时俄罗斯应美方情报要求拘捕了14名嫌疑人。该案曾被视为打击跨国网络犯罪的典范，但随着俄乌战争爆发，双边合作迅速中止，俄罗斯方面仅就非法银行卡数据使用进行起诉，而未涉网络攻击本身。

https://cyberscoop.com/revil-ransomware-sentence-russia-time-served/

---

6 美国国土安全部警告伊朗黑客可能发动报复性网络攻击

美国国土安全部（DHS）近日发布《国家恐怖主义预警系统公告》，警告伊朗支持的黑客组织及亲伊朗黑客行动主义者正加剧对美国境内网络的攻击行为，随着中东局势升温，美国正面临“日益加剧的威胁环境”。公告指出，当前以色列与伊朗的持续冲突正激发本土极端分子的潜在暴力行为风险，若伊朗高层发布宗教指令号召报复，可能促使部分人走向激进行动。同时，近期多起美国本土恐袭事件与反犹或反以情绪有关，该情绪亦可能借由网络空间进一步蔓延。DHS强调，亲伊朗黑客过往曾多次对美国弱防护网络发动攻击，目标涉及医疗、政府、信息技术、工程及能源等行业，攻击手段包括暴力破解、密码喷洒、多因素身份验证疲劳攻击（即“推送轰炸”）等。尽管此次公告未直接提及，但分析人士普遍认为，DHS发出警告的背景很可能与美军于6月15日空袭伊朗福尔多、纳坦兹、伊斯法罕等关键核设施有关，此前6月13日以色列亦空袭多处伊朗目标。对此，伊朗外长已表态称将“采取一切必要手段捍卫国家利益”，并警告袭击将带来“永久性后果”。

https://www.bleepingcomputer.com/news/security/us-homeland-security-warns-of-escalating-iranian-cyberattack-risks/

---