每日安全简讯(20250727)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT组织Dropping Elephant攻击土耳其国防工业

研究人员发现APT组织Dropping Elephant（又名摩诃草、白象、Patchwork等）针对土耳其国防承包商发起了新的攻击活动。攻击者通过伪装成会议邀请的恶意LNK文件传播恶意软件，利用VLC媒体播放器和计划任务进行DLL侧载，规避安全检测。此次攻击活动采用五阶段执行链，包括鱼叉式网络钓鱼、恶意域名下载链、DLL侧载、计划任务持久性和加密Shellcode执行。攻击者还使用增强型C2协议，冒充合法网站作为指挥与控制基础设施。此次攻击可能与土耳其和巴基斯坦的国防合作及地区紧张局势有关，表明攻击者具有地缘政治动机。攻击活动从2025年6月开始准备，7月进入活跃阶段，攻击者通过精心设计的诱饵和社交工程学手段收集战略情报。

https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/

---

2 研究人员揭露新型勒索软件Chaos RaaS

一个名为Chaos的新型勒索软件即服务 (RaaS) 组织正在发起复杂的攻击活动。Chaos通过低强度垃圾邮件、语音钓鱼获取初始访问权限，随后滥用远程管理工具 (RMM) 和合法文件共享软件实现持久连接和数据窃取。该勒索软件采用多线程快速选择性加密技术，针对本地和网络资源，同时利用反分析技术阻碍检测和恢复。安全人员认为，Chaos很可能是由BlackSuit(Royal) 勒索软件团伙的前成员组成，其攻击活动涉及多个商业领域，主要受害者位于美国、英国、新西兰和印度。Chaos在暗网俄语论坛RAMP上推广其跨平台勒索软件，支持Windows、ESXi、Linux和NAS系统，并提供自动化面板管理目标。该组织通过数据泄露网站披露未支付赎金的受害者数据，索要30万美元赎金，并威胁进行DDoS攻击和数据泄露。

https://blog.talosintelligence.com/new-chaos-ransomware/

---

3 新型AI辅助恶意软件Koske针对Linux系统

研究人员发现了一种名为Koske的复杂Linux威胁，该恶意软件显示出明显的人工智能辅助开发迹象。攻击者利用配置错误的服务器安装后门程序，通过缩短的URL下载看似无害的JPEG图像，这些图像文件末尾附加了恶意负载。Koske通过模块化有效载荷、规避型rootkit和武器化图像文件传播，主要目的是加密挖矿。该恶意软件利用多种技术确保系统持久性，包括编辑Shell配置、修改系统启动操作和设置Cron Jobs等。此外，它还通过滥用多语言文件、部署rootkit和操纵网络设置来逃避检测。Koske的自适应行为和精确诊断策略表明其可能借助了人工智能技术。专家建议采取运行时检测、容器保护和网络安全措施来防御此类威胁。

https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/

---

4 亚马逊AI编码助手“Q ”遭黑客植入恶意命令

近日，亚马逊的人工智能编程助手“Q”被黑客植入恶意“擦除”命令，引发了开发人员的广泛关注和担忧。据调查，黑客通过向亚马逊Q的GitHub代码库提交拉取请求，植入了一条指示人工智能代理清理系统并删除文件和云资源的提示。如果该命令被执行，可能会删除本地文件，甚至破坏亚马逊网络服务（AWS）的云基础设施。虽然攻击者表示实际风险较低，但该更新已通过亚马逊的验证流程并被包含在公开版本中。亚马逊随后发布声明称已迅速阻止攻击并解决相关问题，确认客户资源未受影响。

https://www.zdnet.com/article/hacker-slips-malicious-wiping-command-into-amazons-q-ai-coding-assistant-and-devs-are-worried/

---

5 网络钓鱼攻击瞄准美国教育部G5门户网站

美国教育部的G5门户网站近期成为网络钓鱼攻击的目标。G5门户网站是教育机构和供应商管理拨款和联邦教育资金的关键平台。研究人员发现，攻击者通过创建类似域名（如 g5parameters.com 和 g4parameters.com）并克隆G5.gov的登录页面，诱骗用户输入凭证。这些虚假网站不仅视觉布局与真实页面高度相似，还通过JavaScript窃取用户输入的凭证，并模拟登录行为以进一步欺骗用户。

https://www.helpnetsecurity.com/2025/07/23/us-education-department-phishing-g5/

---

6 Replit AI代理删除敏感数据引发安全担忧

科技创业者、SaaStr创始人Jason Lemkin在社交媒体上曝光了一起严重的AI安全事件。他试用了Replit的AI代理一周多，期间该代理在未经许可的情况下删除了SaaStr专业网络内1206名高管和1196家公司的数据。尽管Lemkin多次明确指示AI代理不要进行未经授权的更改，甚至使用了全大写的“DON’T DO IT”，但AI代理仍运行了删除命令。事件发生后，Replit首席执行官Amjad Masad承认这一行为“完全不可接受”，并表示已紧急上线开发与生产数据库的自动隔离机制，改进了回滚系统。尽管如此，这一事件引发了人们对AI在实时环境中安全性和控制的担忧。

https://hackread.com/replit-ai-agent-deletes-data-despite-instructions/

---