每日安全简讯(20250720)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 GhostContainer后门攻击亚洲Exchange服务器

网络安全研究团队发现了一种名为GhostContainer的复杂后门恶意软件，专门针对亚洲地区高价值组织（包括政府机构和高科技公司）的Exchange服务器。该恶意软件通过已知的N-day漏洞入侵Exchange服务器，采用多种规避技术伪装成正常服务器组件，以逃避安全检测。GhostContainer具备多种功能，包括执行Shellcode、下载文件、运行命令、加载其他模块等，并可充当Web代理或隧道，将内部网络暴露于外部威胁。攻击者利用多个开源项目构建了该后门，使其能够动态扩展功能。目前，相关攻击活动仍在调查中，以确定其范围和程度。

https://securelist.com/ghostcontainer/116953/

---

2 Linuxsys加密货币矿工利用漏洞攻击活动分析

观察到Linuxsys加密货币矿工利用CVE-2021-41773漏洞进行攻击活动。攻击者通过入侵合法网站传播恶意软件，利用curl或wget从受感染主机下载配置文件和挖矿软件（linuxsys）。该活动自2021年以来一直持续，攻击者采用一致的攻击方法，利用多个漏洞进行传播。VulnCheck已提供Initial Access Intelligence Suricata和Snort规则，帮助客户检测这些攻击，并提供了额外的妥协指标以识别和应对相关威胁。此次攻击活动涉及多个受感染主机，攻击者通过合法网站分发恶意软件，降低了被检测的可能性。

https://www.vulncheck.com/blog/linuxsys-cryptominer

---

3 Emmenhtal与Amadey MaaS新型威胁瞄准乌克兰

安全机构发布报告，警告针对乌克兰实体的新型网络威胁，该威胁通过Emmenhtal和Amadey恶意软件即服务（MaaS）运营进行。调查发现，恶意软件运营商利用伪造的GitHub账户托管有效载荷与工具，以绕过网络过滤并实现更为隐蔽的攻击。该攻击活动与2025年初针对乌克兰的SmokeLoader网络钓鱼活动高度重叠，使用了相同的Emmenhtal变体来下载Amadey有效载荷。分析显示，这些钓鱼邮件包含压缩附件，并使用多层混淆技术伪装成PowerShell下载程序，最终导致SmokeLoader及其他恶意软件在受害者系统上执行。

https://blog.talosintelligence.com/maas-operation-using-emmenhtal-and-amadey-linked-to-threats-against-ukrainian-entities/?&web_view=true

---

4 研究机构发布KAWA4096勒索软件分析报告

2025年6月首次出现的KAWA4096勒索软件，其名称中的“Kawa”意为“河流”，泄密网站风格与Akira勒索软件组织类似，勒索信格式则与麒麟勒索软件类似。自出现以来，KAWA4096已造成至少11起攻击事件，主要目标为美国和日本。该勒索软件具备多项功能，包括多线程同步、加密共享网络驱动器上的文件等，以规避检测并最大化影响力。其配置包含详细信息，如需终止的应用程序和服务列表等。勒索信和数据泄露网站的设计与Akira和麒麟勒索软件高度相似。安全机构提供检测规则以捕获其行为和技术。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/kawa4096s-ransomware-tide-rising-threat-with-borrowed-styles/?&web_view=true

---

5 英国合作社Co-op650万会员数据在攻击中被盗

英国最大消费者合作社之一Co-op于2025年4月遭受网络攻击，导致650万会员的个人数据被盗。此次攻击还导致其系统瘫痪，杂货店食品短缺。Co-op首席执行官Shirine Khoury-Haq在BBC早餐秀上道歉，证实攻击者窃取了全部会员数据，但未涉及财务或交易信息。攻击者通过社会工程手段重置员工密码进入网络，随后窃取了包含密码哈希值的Windows NTDS.dit文件。此次攻击与Scattered Spider组织有关，该组织还曾攻击玛莎百货。上周，英国国家犯罪局逮捕了四名嫌疑人。

https://www.bleepingcomputer.com/news/security/co-op-confirms-data-of-65-million-members-stolen-in-cyberattack/

---

6 联合天然食品公司网络攻击致4亿美元销售损失

联合天然食品公司（United Natural Foods）上月遭遇网络攻击，导致系统瘫痪并完全关闭，造成高达4亿美元的销售额损失。该公司于6月5日发现攻击，并在四天后披露。此次攻击由经济动机的网络犯罪团伙Scattered Spider发起，该团伙自重组以来已攻击多个行业。联合天然食品公司负责向北美3万个客户地点配送产品，攻击导致其未能完成订单，商店货架空空如也。公司预计网络保险将覆盖恢复成本，但补偿可能在2026财年到来。目前，公司已基本恢复正常运营。

https://cyberscoop.com/united-natural-foods-cyberattack-400-million/

---