每日安全简讯(20260624)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 OXLOADER加载器通过恶意谷歌广告传播窃密软件

安全研究人员披露，代号REF8372的攻击活动通过此前未公开的OXLOADER加载器传播CastleStealer信息窃取恶意软件。已披露信息显示，攻击者利用恶意Google广告作为入口，诱导搜索Node.js LTS版本的用户访问仿冒网站，并从Storj去中心化云存储平台获取批处理脚本。脚本运行后会显示伪装安装界面，同时通过PowerShell下载下一阶段OXLOADER载荷，并触发Windows用户账户控制提示。随后攻击链利用DLL侧加载启动恶意DLL，解密并执行CastleStealer。OXLOADER使用控制流扁平化、混合布尔运算、自修改解密存根和Windows .reloc节放置Shellcode等技术规避检测，并设置规则阻止感染独联体地区计算机。

https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer

---

2 Mastra供应链攻击活动与朝鲜BlueNoroff组织有关

安全研究人员披露，导致140多个Mastra相关npm包受损的供应链攻击归因于朝鲜相关组织Sapphire Sleet，该组织也被称为BlueNoroff。已披露信息显示，攻击者入侵npm维护者账户ehindero，该账户拥有Mastra包环境发布权限，随后在@mastra作用域内发布超过140个软件包的恶意更新，并注入名为easy-day-js的恶意依赖项。该依赖项伪装成dayjs库的拼写相近包，安装后会触发脚本，关闭TLS证书验证，连接攻击者控制的C2基础设施，下载第二阶段载荷并以隐藏进程执行。第二阶段载荷为跨平台信息窃取程序，可收集主机信息、浏览器历史、应用和进程信息，并检查166个加密货币钱包浏览器扩展。

https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/

---

3 DragonForce勒索软件借微软Teams中继隐藏C2流量

安全研究人员披露，DragonForce勒索软件在攻击一家美国大型服务公司时，使用名为Backdoor.Turn的自定义后门，将命令与控制流量隐藏在Microsoft Teams使用的TURN中继基础设施中。DragonForce至少自2023年以来活跃，并被描述为采用卡特尔式组织结构。已披露信息显示，Backdoor.Turn是一款基于Go语言的远程访问木马，可获取匿名Teams访问者令牌，在连接建立过程中使用合法Microsoft TURN中继服务器，再连接攻击者控制的C2服务器。防御侧看到的流量会与Microsoft Teams基础设施相关，从而使恶意通信混入受信任网络流量。该后门还具备命令执行、进程创建、网络扫描、TLS证书捕获、LDAP/Active Directory搜索、网站标题收集和浏览器凭据窃取等能力。

https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor

---

4 苹果usbliter8安全漏洞可破坏A12和A13启动链

安全研究人员公开名为usbliter8的漏洞利用程序，可在Apple A12和A13芯片SecureROM中执行任意代码。已披露信息显示，SecureROM代码在制造过程中烧录进芯片，无法通过软件更新修复。该漏洞并非远程攻击，需要物理接触目标设备，将设备置于DFU模式，并通过USB连接到专用RP2350微控制器板。公开概念验证支持A12、A13、S4和S5 SoC，涉及iPhone XS系列、iPhone 11系列、第二代iPhone SE、部分iPad、Apple Watch Series 4/5、第一代Apple Watch SE和HomePod mini等设备。问题源于Synopsys DWC2 USB控制器硬件缺陷，以及受影响设备中USB DART配置使溢出的DMA指针可访问并覆盖SRAM。

https://ps.tc/pages/blog-usbliter8.html

---

5 开源安全平台Wazuh满分风险漏洞验证代码已公开

开源安全平台Wazuh被披露存在CVSS 10级严重漏洞，完整技术细节和概念验证代码已公开。已披露信息显示，该漏洞影响wazuh-manager 5.0.0-beta1及更高版本，4.x分支不受影响。问题存在于Wazuh 5.0库存管道，该管道将代理提供的flatbuffer字段DataValue.index直接转发到OpenSearch批量请求体中，未进行必要转义。经过认证的终端可借此向后端数据库查询中插入未经授权的OpenSearch批量操作。由于默认安装中相关请求使用映射到管理员配置文件的凭据转发，攻击者可获得高权限数据库操作能力，包括删除索引文档、篡改警报、清理痕迹或向仪表板对象注入持久性载荷。

https://securityonline.info/wazuh-cvss-10-vulnerability/

---

6 SimpleHelp软件漏洞可创建特权远程支持账户

SimpleHelp远程管理软件被披露存在CVE-2026-48558漏洞，未经身份验证的攻击者可利用OpenID Connect身份验证流程在服务器上创建特权技术人员账户。已披露信息显示，该漏洞影响SimpleHelp 5.5.15及更早版本，以及6.0预发布版本，严重级别为严重。问题源于软件对OIDC身份提供商返回身份断言的验证方式。启用OIDC身份验证后，攻击者可创建新的技术员用户并登录，而无需经过多因素身份验证流程。默认情况下，该技术员账户可执行远程连接受管端点、执行脚本等特权管理活动。该漏洞影响启用OIDC身份验证、配置技术人员组并允许组身份验证登录的服务器。

https://horizon3.ai/attack-research/disclosures/cve-2026-48558-simplehelp-authentication-bypass-iocs/

---