每日安全简讯(20250718)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客利用Microsoft Teams传播Matanbuchus 3.0

Matanbuchus 3.0，一种恶意软件即服务（MaaS），于 2025 年 7 月发布，引入了多种先进技术，如改进的通信协议、内存隐身功能和增强的混淆技术。该版本通过冒充 IT 服务台的 Microsoft Teams 电话诱导受害者执行恶意脚本，从而在受感染的 Windows 系统上下载并执行辅助负载。它能够收集系统数据（包括 EDR 安全控制），并根据这些数据定制后续攻击，最终可能导致勒索软件入侵。安全专家提醒，企业和用户需提高警惕，加强安全防护措施。

https://www.morphisec.com/blog/ransomware-threat-matanbuchus-3-0-maas-levels-up/

---

2 UNC6148利用后门攻击SonicWall SMA 100系列设备

UNC6148 威胁行为体正在针对已完全修补的 SonicWall 安全移动访问（SMA）100 系列设备发起攻击活动。攻击者利用之前入侵过程中窃取的凭证和一次性密码（OTP）种子，即使在组织已应用安全更新后，也能重新获得访问权限。攻击者部署了一个名为 OVERSTEP 的后门程序，该程序能够修改设备的启动过程以维持持久访问，窃取凭证并隐藏自身组件。攻击者通过反向 Shell 运行侦察和文件操作命令，并修改设备的 RC 文件以实现持久化。此次攻击活动可能与数据窃取和勒索软件部署有关。

https://cloud.google.com/blog/topics/threat-intelligence/sonicwall-secure-mobile-access-exploitation-overstep-backdoor

---

3 SVG图像隐藏恶意JavaScript新型攻击

一种新型网络攻击“SVG走私”正在兴起。攻击者利用看似无害的SVG图像文件隐藏恶意JavaScript代码，通过伪造电子邮件诱骗用户打开SVG文件，从而触发隐藏脚本，将用户重定向到攻击者控制的恶意网站。这种攻击主要针对B2B服务提供商，包括处理敏感数据的公司、公用事业公司和SaaS提供商。攻击者通过精心设计的钓鱼邮件，利用薄弱的电子邮件身份验证措施（如SPF、DKIM和DMARC）欺骗用户。恶意SVG文件可以直接附加到邮件中，也可以作为外部图像链接。专家建议企业激活Microsoft Defender的安全功能，增强电子邮件安全性，监控相似域名，并对用户进行SVG风险教育，以防范此类攻击。

https://hackread.com/attackers-hide-javascript-svg-images-malicious-sites/

---

4 Cloudflare 1.1.1.1中断源于内部配置错误

Cloudflare于2025年7月14日发生全球性中断，影响了其1.1.1.1公共DNS解析器服务，导致许多用户无法正常使用互联网。事后分析显示，此次中断并非由网络攻击或BGP劫持引起，而是由于内部配置错误。6月6日，Cloudflare对数据本地化套件（DLS）进行了配置更改，错误地将1.1.1.1解析器IP前缀链接到非生产DLS服务。7月14日的一次更新触发了错误配置，导致解析器服务在全球范围内不可用。Cloudflare在发现问题后迅速采取措施，于22分钟内恢复了服务。此次事件影响了包括1.1.1.1、1.0.0.1及多个IPv6地址在内的多个IP范围。Cloudflare计划淘汰旧系统，迁移到新的配置系统，并改进内部文档，以防止类似事件再次发生。

https://www.bleepingcomputer.com/news/security/cloudflare-says-1111-outage-not-caused-by-attack-or-bgp-hijack/

---

5 CISA警告火车刹车系统存在远程攻击漏洞

美国网络安全和基础设施安全局（CISA）披露了一个高危漏洞（CVE-2025-1727），该漏洞存在于列车尾部（EoT）与列车头（HoT）设备之间的无线通信协议中。由于该协议缺乏身份验证和加密机制，攻击者可以利用软件定义无线电（SDR）伪造数据包，远程向EoT设备发送制动指令，导致列车紧急制动或制动系统失效。这一漏洞最早于2012年被研究人员发现，但美国铁路协会（AAR）一直未采取有效措施。直到CISA发布安全公告，AAR才开始着手修复，计划在2026年开始更换约7.5万台设备，预计耗资70亿至100亿美元。CISA强调，尽管目前尚未发现实际攻击案例，但该漏洞对铁路系统安全构成严重威胁。

https://www.securityweek.com/train-hack-gets-proper-attention-after-20-years-researcher/

---

6 DragonForce声称对Belk数据泄露事件负责

勒索软件组织DragonForce声称对美国零售商Belk数据泄露事件负责。该组织在其泄密网站上表示，从Belk窃取了约156GB的数据。DragonForce是一个与近期多起零售公司攻击有关的网络犯罪集团，其运营模式为“勒索软件即服务”，允许其他组织付费使用其基础设施发动攻击。此次攻击发生在2025年5月，受影响的公司包括英国哈罗德百货、维多利亚的秘密和全食超市等。Belk总部位于北卡罗来纳州夏洛特，在美国东南部16个州经营约300家门店。目前，Belk尚未对此次数据泄露事件发表评论。

https://www.cybersecuritydive.com/news/dragonforce--claim-belk-data-breach/753067/?&web_view=true

---