每日安全简讯(20250801)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型恶意软件JSCEAL利用Node.js和混淆技术发起攻击

研究人员发现一种名为JSCEAL的新型恶意软件，它通过Node.js和混淆技术隐藏其恶意行为。该恶意软件通过Cloudflare的DNS服务解析C2服务器，并建立tRPC连接以接收攻击者的指令。JSCEAL的主要功能包括窃取用户敏感信息、浏览器cookie、自动完成的密码，以及执行键盘记录和屏幕截图等操作。它还可以通过Puppeteer自动化用户操作，并利用WinPTY执行命令行任务。研究人员指出，JSCEAL的出现代表了一种新的攻击趋势，攻击者利用合法框架（如Node.js）来隐藏恶意代码，从而规避安全检测。

https://research.checkpoint.com/2025/jsceal-targets-crypto-apps/

---

2 美国化学品公司遭Auto-Color后门攻击

安全机构发现一家美国化学品公司网络遭受Auto - Color后门恶意软件攻击。攻击者利用SAPNetWeaver的严重漏洞CVE - 2025 - 31324入侵系统，下载可疑文件并尝试与恶意基础设施通信。调查显示，Auto - Color后门是一种针对Linux系统的远程访问木马，具有高度规避性，通过预加载恶意共享对象实现持久化，并在无法完成攻击链时采用抑制策略逃避检测。Darktrace的自主响应功能在攻击早期介入，阻止了恶意连接，为客户安全团队争取了调查和补救时间，凸显了及时修复高危漏洞的重要性。

https://www.darktrace.com/blog/auto-color-backdoor-how-darktrace-thwarted-a-stealthy-linux-intrusion

---

3 新型Android银行木马RedHook攻击越南用户

研究人员发现了一种名为RedHook的新型Android银行木马，该木马通过伪装成可信金融机构和政府机构的钓鱼网站攻击越南用户。RedHook使用WebSocket与命令与控制(C2)服务器通信，支持30多个远程命令，能够完全控制受感染设备。该木马功能强大，但RedHook在VirusTotal上的检测率较低，使其成为一种隐秘且活跃的威胁。RedHook通过网络钓鱼、键盘记录、屏幕截图和远程访问木马(RAT)功能窃取用户凭证并实施金融欺诈.其传播渠道包括伪装成越南国家银行的钓鱼网站，诱导用户下载恶意APK文件。

https://cyble.com/blog/redhook-new-android-banking-targeting-in-vietnam/

---

4 Lionishackers在暗网窃取并出售企业数据库

近日，一个名为Lionishackers的网络犯罪团伙在暗网和Telegram上频繁活动，窃取并出售企业数据库。该团伙自2024年9月首次出现，利用SQL注入工具攻击配置不当的Web应用程序，获取敏感记录后在地下论坛和Telegram频道上出售。其攻击目标广泛，涵盖政府机构、电信公司、制药公司、教育机构、零售连锁店和赌博网站等，窃取的数据包括个人身份信息、财务记录和身份验证凭证等，可能被用于身份盗窃、账户接管或企业间谍活动。研究人员发现，该团伙通过维护多个论坛别名和Telegram联系信息，避免长期归因，同时提供多样化服务，包括DDoS僵尸网络和论坛托管项目等。

https://cybersecuritynews.com/lionishackers-threat-actors/

---

5 印第安纳州教堂遭勒索攻击被索要60万美元赎金

印第安纳州哈蒙德第一浸信会教堂遭受勒索软件团伙Rhysida的网络攻击，导致教会工作人员、传教士和志愿者的个人数据泄露。Rhysida要求教堂在7天内支付5个比特币（约合59.4万美元）的赎金，否则将出售被盗数据。此次泄露的数据包括姓名、社会安全号码、身份证号码、地址、联系方式、医疗保健标识符等敏感信息。目前，教堂尚未确认Rhysida的说法，也未透露是否会支付赎金。Rhysida是一个成立于2023年的勒索软件组织，以窃取数据并锁定系统为手段，索要高额赎金。

https://www.comparitech.com/news/cybercriminals-give-indiana-megachurch-7-days-to-pay-600k-ransom-after-data-breach/?&web_view=true

---

6 SafePay勒索团伙威胁将泄露英迈3.5TB数据

SafePay勒索软件团伙声称已从IT巨头英迈国际窃取3.5TB数据，并威胁将其泄露至暗网。英迈国际是全球最大的企业对企业服务提供商和技术分销商之一，此次攻击导致其全球业务中断，员工被迫在家办公，公司网站和订购系统下线。尽管英迈国际在几天内恢复了大部分受攻击影响的系统和平台，但尚未确认攻击是否由SafePay勒索软件造成，以及数据是否被盗。SafePay自2024年9月浮出水面后，已成为最活跃的勒索软件组织之一，以窃取敏感文件并加密受害者系统而闻名。

https://www.bleepingcomputer.com/news/security/safepay-ransomware-threatens-to-leak-35tb-of-ingram-micro-data/

---