每日安全简讯(20250728)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Epsilon Red勒索软件通过ClickFix传播

网络安全机构发现了一起通过伪造的ClickFix验证页面传播Epsilon Red勒索软件的活动。该活动自7月起活跃，攻击者利用社交工程技术，冒充Discord、Twitch和OnlyFans等平台，诱骗用户下载恶意的.HTA文件。通过ActiveX静默执行恶意命令，攻击者会从控制的IP地址下载并运行勒索软件有效载荷。受害者在不知情的情况下，其设备会被加密，随后勒索软件会要求支付赎金。专家建议用户禁用ActiveX，屏蔽攻击者IP，并进行安全意识培训以防范此类攻击。

https://www.cloudsek.com/blog/threat-actors-lure-victims-into-downloading-hta-files-using-clickfix-to-spread-epsilon-red-ransomware

---

2 研究人员发布ToolShell攻击链分析报告

近日，全球多地的本地SharePoint服务器遭到了主动攻击，攻击者利用了五个相关漏洞，其中两个关键漏洞为CVE-2025-49704 和 CVE-2025-49706，攻击链被命名为“ToolShell”，攻击者无需身份验证即可完全控制服务器。攻击始于7月18日，目标包括埃及、约旦、俄罗斯、越南和赞比亚的服务器，涉及多个行业。尽管微软在7月8日发布了修复措施，但由于SharePoint配置升级未被提及，许多用户可能未完全修复漏洞。最终，微软在7月20日发布了彻底修复漏洞的更新。研究人员警告称，ToolShell漏洞可能会长期被利用，建议组织尽快安装补丁并部署可靠的网络安全解决方案。

https://securelist.com/toolshell-explained/117045/

---

3 UNG0901组织攻击俄罗斯航空与国防部门

研究人员发现了一项名为CargoTalon的攻击活动，该活动由UNG0901组织发起，目标是俄罗斯航空航天和国防部门，特别是沃罗涅日飞机生产协会（VASO）。攻击者利用伪装成物流文件的恶意LNK文件和DLL植入物（EAGLET），通过鱼叉式网络钓鱼邮件传播恶意软件，窃取敏感信息。攻击活动包括多个阶段：初始感染通过恶意电子邮件文件，随后通过恶意LNK文件执行DLL植入物，最终通过C2服务器进行数据泄露和远程命令执行。此次攻击活动与Head Mare威胁组织存在显著相似之处，包括工具库、文件命名技术和攻击目标。

https://www.seqrite.com/blog/operation-cargotalon-ung0901-targets-russian-aerospace-defense-sector-using-eaglet-implant/

---

4 Soco404新型加密挖矿活动伪装成虚假404页面

安全机构发现了一种名为Soco404的新型加密货币挖矿攻击活动。该活动利用云环境中的漏洞和错误配置，尤其是PostgreSQL的错误配置，针对Linux和Windows系统部署恶意软件。攻击者通过伪装成合法系统进程、利用cron作业和shell初始化文件实现持久性，并通过受感染的合法服务器托管和传播恶意软件。恶意负载被嵌入在使用Google协作平台构建的虚假404HTML页面中。研究人员推测，Soco404是更广泛的加密诈骗基础设施的一部分，攻击者还利用虚假的加密货币交易网站进行社会工程活动。

https://www.wiz.io/blog/soco404-multiplatform-cryptomining-campaign-uses-fake-error-pages-to-hide-payload

---

5 恶意木马Trojan.Scavenger伪装游戏外挂窃取信息

安全人员检测到名为Trojan.Scavenger的恶意应用程序家族。该家族的木马程序通过伪装成游戏作弊软件和模组，利用Windows系统的DLL搜索顺序劫持漏洞，从玩家的加密钱包和密码管理器中窃取机密数据。木马通过多阶段感染计算机，初始阶段以ZIP压缩包形式分发，伪装成游戏补丁或模组，诱导玩家将其放入游戏目录。一旦启动，木马会下载并安装其他恶意组件，篡改浏览器扩展程序，窃取加密钱包中的助记词和密码管理器中的用户数据。目前，相关防护措施已添加至Dr.Web反病毒产品中，有效抵御此类攻击。

https://news.drweb.com/show/?i=15036&lng=en

---

6 高乐氏起诉Cognizant指控其代理向黑客提供密码

全球清洁用品巨头高乐氏公司（Clorox）正在起诉IT服务提供商Cognizant，要求其赔偿3.8亿美元，原因是Cognizant的服务台代理在2023年的一次网络攻击中向黑客提供了员工密码。高乐氏公司声称，Cognizant的服务台未能遵循基本的网络安全程序，导致黑客轻易获取了访问权限。根据诉讼文件，黑客冒充员工拨打服务台电话，要求重置密码，而Cognizant的客服代理在未进行任何身份验证的情况下，直接提供了新密码。高乐氏公司表示，此次攻击导致其网络瘫痪，业务运营受到严重影响，造成约3.8亿美元的损失。Cognizant则回应称，其仅提供了有限范围的服务台支持，并未负责高乐氏的网络安全。

https://securityboulevard.com/2025/07/cognizant-agents-gave-hackers-gave-passwords-clorox-says-in-lawsuit/?utm_source=rss&utm_medium=rss&utm_campaign=cognizant-agents-gave-hackers-gave-passwords-clorox-says-in-lawsuit

---