每日安全简讯(20250109)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型Mirai僵尸网络利用零日漏洞攻击工业路由器

研究人员揭示了一种新的Mirai基础的僵尸网络，该网络利用零日漏洞对工业路由器和智能家居设备发起攻击。这些漏洞首次出现在2024年11月，其中包括四信工业路由器的CVE-2024-12856漏洞，后者于2024年12月被发现并开始被攻击。该僵尸网络除了利用公开的漏洞，还针对Neterbit路由器和Vimar智能家居设备的未知漏洞进行攻击。该僵尸网络自2024年2月首次被发现，现已感染了来自中国、美国、俄罗斯、土耳其和伊朗等多个国家的约15000个日活跃节点。攻击的主要目标是进行分布式拒绝服务（DDoS）攻击，每日攻击数百个目标，攻击流量峰值超过100Gbps。

https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/

---

2 研究人员发现Illumina iSeq 100 DNA测序仪存在重大安全漏洞

研究人员发现，Illumina公司生产的iSeq 100 DNA测序仪存在BIOS/UEFI漏洞，可能会让攻击者禁用这些用于检测疾病和开发疫苗的设备。iSeq 100使用的过时BIOS固件缺乏标准的写保护机制，且未启用Secure Boot技术，使得设备易受到恶意篡改，可能导致设备“砖化”或植入长期隐蔽的后门。研究人员指出，iSeq 100运行的BIOS版本存在多项高、中危漏洞，其中包括LogoFAIL、Spectre 2以及微架构数据采样（MDS）漏洞。此外，固件缺乏有效保护，允许恶意修改启动代码，且缺乏验证机制，使得恶意修改无法被检测到。攻击者可能通过篡改设备固件篡改测试结果，从而影响医疗、遗传研究及疫苗生产等关键领域。

https://eclypsium.com/blog/genetic-engineering-meets-reverse-engineering-dna-sequencers-vulnerable-bios/

---

3 恶意浏览器扩展成身份攻击新前沿技术

2025年1月7日，一项新的攻击活动揭示了恶意浏览器扩展正在成为身份攻击的新阵地。全球超过260万用户在新年前夕发现，他们的Cookies和身份数据暴露在一起，这次攻击利用了被侵入的浏览器扩展。最初，数据安全公司Cyberhaven发现其扩展被攻击者植入恶意代码，窃取Facebook的Cookies和认证令牌。随着消息曝光，更多被攻击的扩展被陆续发现，至今已知超过35个扩展遭到篡改。虽然大部分受影响扩展已发布更新或被下架，但此次事件揭示了浏览器扩展所带来的身份风险，许多组织对此缺乏足够重视。研究表明，约60%的企业用户使用浏览器扩展，而其中66%的扩展获得了高风险权限，极大地增加了凭证盗窃、账户接管和数据泄露等攻击风险。专家建议企业审查所有扩展、评估风险并实施安全控制，以降低此类攻击带来的危害。

https://www.bleepingcomputer.com/news/security/malicious-browser-extensions-are-the-next-frontier-for-identity-attacks/

---

4 绿湾包装工官网遭黑客攻击致顾客信用卡信息被窃取

绿湾包装工美式足球队宣布，其官方在线零售商店在2024年10月遭黑客攻击，攻击者在网站上注入了卡片盗取脚本，窃取了顾客的个人和支付信息。此次攻击发生在10月23日，绿湾包装工立即关闭了所有支付和结账功能，并开始进行调查。调查发现，恶意代码从9月下旬到10月上旬期间窃取了用户的支付信息，但不涉及使用礼品卡、Pro Shop账户、PayPal或Amazon Pay支付的交易。此次攻击使用了JSONP回调和YouTube的oEmbed功能绕过内容安全策略（CSP），恶意脚本从指定网站提取并发送用户数据。泄露的信息包括顾客姓名、地址、电子邮件以及信用卡详细信息。绿湾包装工已为受影响顾客提供了三年的信用监控和身份盗窃恢复服务，并建议顾客密切关注账户声明。

https://www.documentcloud.org/documents/25479703-green-bay-packers-pro-shop-breach-notification/

---

5 卡西欧确认8500人数据在10月勒索病毒攻击中泄露

卡西欧公司宣布，2024年10月发生的勒索病毒攻击导致约8500人的个人数据遭泄露。受影响的主要为卡西欧员工和业务合作伙伴，其中少量客户信息也被曝光。攻击发生于10月5日，黑客通过网络钓鱼手段渗透卡西欧网络，导致IT系统瘫痪。5天后，地下勒索团伙“Underground”宣称负责此事件，并威胁披露机密文件、财务数据和员工信息，除非支付赎金。最终，卡西欧确认泄露的数据包括员工的姓名、电子邮件、地址、电话号码、纳税人身份证号等信息，业务伙伴的数据则涉及公司名称、联系方式等。而客户数据仅包括配送地址、购买日期和产品名称等。卡西欧强调，没有客户信用卡信息受到影响，且未与黑客进行赎金谈判。公司也表示，尽管部分服务尚未完全恢复，但大多数运营服务已恢复正常。

https://world.casio.com/news/2025/0107-incident/

---

6 PowerSchool泄露K-12学区学生和教师数据

教育软件公司PowerSchool确认，2024年12月28日发生的网络安全事件导致K-12学区使用其PowerSchool SIS平台的学生和教师个人信息被盗。攻击者通过PowerSchool的客户支持平台PowerSource，利用被盗的凭据，获取了学生和教师数据库的CSV文件，窃取了包括姓名、地址、社会安全号码（SSN）、医疗信息和成绩等数据。尽管部分学区未受影响，PowerSchool已经与第三方安全专家合作，调查并采取措施，包括更新客户支持账户的密码。公司表示，虽未遭遇勒索病毒攻击，但已支付赎金以防止数据泄露，并在黑暗网络上进行监控，防止数据被公开。受影响人员可获得信用监控和身份保护服务。

https://www.bleepingcomputer.com/news/security/powerschool-hack-exposes-student-teacher-data-from-k-12-districts/

---