每日安全简讯(20250405)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 澳大利亚多家养老基金遭撞库攻击

2025年4月4日，澳大利亚多家养老基金在线会员门户遭大规模撞库攻击。攻击者利用暗网泄露的凭证非法访问账户，在凌晨时段通过截获OTP短信或邮件验证码实施操作并发起资金转移。其中Rest基金确认8,000名用户个人信息泄露，但未发生资金盗取；其他机构报告存在异常转账，部分网站因恐慌性查询宕机。

https://www.theregister.com/2025/04/04/australian_retirement_funds_attacked/

---

2 钓鱼攻击转向邮件附件二维码诱导

2025年4月3日，安全机构监测到新型钓鱼攻击利用邮件附件二维码诱导用户扫描，规避传统邮件过滤检测。攻击者伪造企业HR手册、薪资单等文档，嵌入含短链的二维码，手机扫描后跳转至仿冒微软登录页面窃取账户凭证。技术分析显示，恶意二维码通过动态重定向区分个人与企业邮箱，精准实施凭证窃取。因移动设备安全防护较弱，且短链隐藏真实URL，此类攻击成功率显著上升。

https://www.malwarebytes.com/blog/news/2025/04/qr-codes-sent-in-attachments-are-the-new-favorite-for-phishers

---

3 GitHub平台曝3900万密钥泄露

2025年4月4日，GitHub检测到全球开发者在其平台泄露3900万个敏感密钥。攻击者可利用泄露信息实施横向渗透，即使“低风险”密钥亦可能成为攻击跳板。微软旗下代码托管平台推出独立密钥保护（Secret Protection）与代码安全模块，免费开放公共仓库密钥扫描，并支持团队组织运行全库风险评估。

https://securityaffairs.com/176170/security/39m-secrets-exposed-github-rolls-out-new-security-tools.html

---

4 生成式AI重塑网络威胁格局

2025年4月4日，网络安全机构警告称，生成式AI技术正被攻击者广泛用于自动化网络攻击，推动钓鱼邮件、深度伪造等社交工程攻击规模化与智能化。Nothreat首席战略官指出，AI可实时生成个性化钓鱼内容、仿冒高管音视频，并自动化攻击链部署，使传统基于规则的安全模型失效。数据显示，AI驱动的攻击检测响应时间较传统手段缩短70%，但防御方需同步升级AI对抗工具。

https://www.helpnetsecurity.com/2025/04/04/ai-driven-threat-landscape-video/

---

5 黑客称SendGrid遭入侵致客户数据泄漏

2025年4月3日，黑客组织Satanic在暗网论坛兜售据称窃自Twilio旗下邮件服务平台SendGrid的84.8万条客户数据。泄露数据包含客户邮箱、财务指标、技术栈信息及企业高管联系方式，样本涉及美国银行、BBC等机构。Twilio回应称未发现系统遭入侵迹象，经核查数据非源自SendGrid。

https://hackread.com/hacker-twilio-sendgrid-data-breach-customer-data/

---

6 多国安全机构联合预警 Fast Flux

2025年4月3日，美国联合及澳、加、新等国网络安全机构发布联合警报，指出“快速通量”（Fast Flux）技术正被国家级黑客组织及犯罪集团广泛用于构建弹性C2基础设施。该技术通过分钟级轮换域名关联IP，结合合法云服务混淆流量，使传统IP封锁失效。已知Hive、Nefilim勒索软件及俄关联组织Gamaredon均采用此技术。

https://cyberscoop.com/fast-flux-nsa-cisa-advisory-bulletproof-hosting/

---