每日安全简讯(20250726)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Fire Ant针对VMware基础设施进行隐秘间谍攻击

名为“Fire Ant”的攻击者自2025年初以来针对VMware ESXi、vCenter和网络设备发动了一场隐秘的网络间谍活动。攻击者利用虚拟机管理程序级别的技术，通过多层攻击链实现持久访问，绕过传统安全检测。攻击手段包括利用CVE-2023-34048和CVE-2023-20867漏洞、部署未签名的VIB、篡改日志、创建伪造身份验证cookie等。此外，攻击者还通过F5负载均衡器漏洞和Neo-reGeorg隧道Webshell操纵网络基础设施，建立跨网段隧道。专家建议采取强化监控、应用安全补丁、启用锁定模式等措施应对此类威胁。

https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/

---

2 黑客组织EncryptHub借助Chemia游戏传播恶意软件

网络安全研究人员披露，名为EncryptHub的黑客组织入侵了Steam平台上的抢先体验版游戏Chemia，并向用户分发信息窃取恶意软件。Chemia是由“Aether Forge Studios”开发的一款生存制作游戏，目前尚未正式发布。研究人员发现，EncryptHub在7月22日将HijackLoader恶意软件注入该游戏文件中，该恶意软件会从Telegram频道检索命令和控制（C2）地址，并下载Vidar信息窃取程序。此外，Fickle Stealer也在三小时后通过DLL文件（cclib.dll）被添加到游戏中，用于收集浏览器中的账户凭据、自动填充信息、Cookie和加密货币钱包数据。目前尚不清楚攻击者如何将恶意文件植入游戏，但有猜测可能是内部人员所为。

https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/?&web_view=true

---

3 Mimo威胁行为体攻击范围扩大至Magento和Docker

安全研究团队在调查一系列电子商务网站工作负载泄露事件时发现，Mimo威胁行为体（也称为Mimo'lette）的攻击目标已从Craft CMS扩展到Magento电商平台和Docker环境。研究人员观察到，Mimo利用未确定的PHP - FPM漏洞入侵Magento，通过复杂的持久性机制和规避技术保持长期访问。例如，Mimo使用GSocket工具建立未经授权的远程访问，并通过memfd_create（）系统调用在内存中创建匿名临时文件，以规避检测。此外，Mimo还针对配置错误的Docker实例发动攻击，扫描互联网上运行Docker Engine API的主机，并尝试创建包含恶意命令的新容器，以启动感染链。

https://securitylabs.datadoghq.com/articles/beyond-mimolette-tracking-mimo-expansion-magento-cms-docker/

---

4 Mitel关键漏洞致黑客可绕过登录获完全访问权

Mitel公司发布安全更新，修复了MiVoice MX-ONE系统中的严重漏洞。该漏洞存在于Provisioning Manager组件中，攻击者可利用其绕过身份验证，未经授权访问系统中的用户或管理员账户。该漏洞尚未分配CVE编号，CVSS评分为9.4（满分10.0），影响7.3至7.8 SP1版本。Mitel已发布补丁，建议用户尽快联系授权服务合作伙伴申请更新。此外，Mitel还修复了MiCollab中的高危漏洞（CVE-2025-52914），该漏洞可能允许攻击者执行SQL注入攻击。为缓解风险，建议用户限制MX-ONE服务直接暴露于公共互联网。

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2025-0009

---

5 法国就业机构数据泄露34万求职者受影响

法国国家求职服务机构France Travail（前身为 Pôle emploi）于2025年7月遭遇数据泄露事件，约34万求职者的个人资料被非法访问，可能被泄露。此次泄露的数据包括姓名、邮政地址、电子邮件地址、电话号码、France Travail识别码及求职状态，但密码和银行信息未受影响。该事件起因是一家培训机构账户被信息窃取恶意软件攻击，攻击者随后入侵了用于追踪求职者培训进度的Kairos 应用程序。France Travail已向法国数据保护局（CNIL）报备，并通知了受影响的个人。此外，该机构还加快了双因素身份验证（2FA）的推出，以增强安全性。这是 France Travail两年内第二次遭遇数据泄露，2024年3月曾有4300万用户数据被泄露。

https://www.infosecurity-magazine.com/news/france-data-breach-jobseekers/?&web_view=true

---

6 XSS.IS网络犯罪论坛被查封管理员被捕

乌克兰警方在法国和欧洲刑警组织的协助下，逮捕了全球知名网络犯罪平台XSS.IS管理员。该论坛自2004年上线以来，一直是俄语黑客社区的核心平台，涉及恶意软件交易、系统权限买卖和勒索软件服务等非法活动。此次行动中，XSS.IS 的主域名被查封，显示扣押通知，但其暗网和镜像域名出现504网关超时错误。尽管如此，该论坛的Telegram频道未被查封，且目前尚不清楚当局是否能完全控制这些域名。此次查封对全球网络犯罪界是一次重大打击，该论坛拥有超过5万名注册用户，通过广告和中介费赚取了数百万美元。

https://hackread.com/xss-is-cybercrime-forum-seized-ukraine-arrested-admin/

---