每日安全简讯(20250509)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客组织COLDRIVER利用LOSTKEYS恶意软件窃取西方目标敏感文件

Google威胁情报团队披露俄罗斯背景黑客组织COLDRIVER正通过新型恶意软件LOSTKEYS对西方高价值目标发起攻击。该组织以政府官员、前外交官、记者及非政府组织成员为攻击对。此次攻击活动中攻击者通过伪造CAPTCHA验证页面诱导用户执行恶意PowerShell脚本，随后从远程服务器分阶段下载恶意载荷，最终部署LOSTKEYS恶意软件。LOSTKEYS恶意软件具备窃取指定扩展名（如.docx、.pdf）的文件、收集系统进程信息，并通过虚拟机检测规避沙箱分析等恶意功能。

https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos

---

2 Play勒索组织利用0day漏洞部署恶意软件

微软证实，Windows通用日志文件系统中的Use-After-Free漏洞（CVE-2025-29824）被用于0day攻击，攻击者可借此漏洞获得系统权限。Play勒索组织利用该漏洞在攻击中部署了Grixba窃密工具。攻击者利用Cisco ASA防火墙的公开漏洞作为突破口，一旦获得Windows系统的访问权限，他们就会部署Grixba和CVE-2025-29824漏洞利用工具等。攻击者使用PowerShell从Active Directory收集信息，并运行恶意DLL和脚本窃取凭据，攻击者还创建管理员帐户并执行操作以掩盖其踪迹。

https://securityaffairs.com/177573/cyber-crime/play-ransomware-affiliate-leveraged-zero-day-to-deploy-malware.html

---

3 LockBit勒索组织遭入侵受害者谈判信息曝光

LockBit勒索组织的暗网联盟平台被入侵并被篡改，攻击者留下了一个指向MySQL数据库转储的链接。该数据库包含近6万个比特币地址、谈判消息、用户信息等，其中的谈判消息涵盖了从2024年12月19日至2025年4月29日之间的4442条交流记录。这些信息暴露了LockBit勒索组织与受害者的沟通细节。LockBit勒索组织的操作员LockBitSupp确认了这次入侵事件，但声称没有私钥泄露或数据丢失。数据显示，此次数据库转储发生在4月29日，入侵原因可能是服务器运行的PHP8.1.2存在安全漏洞。

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/

---

4 多国联合执法行动查获六个DDoS租用网站

波兰警方在Operation PowerOFF国际联合执法行动中，逮捕了4名涉嫌运营6个DDoS租用平台（Cfxapi、Cfxsecurity、neostress、jetstress、quickdown、zapcut）的犯罪嫌疑人。这些平台自2022年起以低至10欧元的价格提供“一键式”分布式拒绝服务（DDoS）攻击，导致全球数千起针对学校、政府网站、企业和游戏平台的网络瘫痪事件。本次行动由波兰中央网络犯罪局主导，联合美国、德国、荷兰及欧洲刑警组织协同参与。

https://cyberscoop.com/poland-ddos-arrests-europol-operation-poweroff/

---

5 SonicWall SMA100漏洞被利用

SonicWall修复了影响其SMA100系列设备的多个漏洞，其中CVE-2025-32819可能被用于实际攻击。这些设备为中小企业提供统一的安全访问（VPN）网关，经常成为攻击目标。漏洞CVE-2025-32819允许远程攻击者在获得低权限SMA用户账户后删除任意文件，CVE-2025-32820允许攻击者向SMA设备的任何目录注入路径遍历序列使特定目录可写入恶意文件，CVE-2025-32821则允许已获得管理员权限的攻击者上传文件。攻击者可利用这三个漏洞依次获得设备的root级远程代码执行权限。SonicWall建议客户将SMA 100系列设备升级至固件版本10.2.1.15-81sv或更高版本，启用多因素认证和内置的Web应用防火墙功能，并重置所有用户密码。

https://www.helpnetsecurity.com/2025/05/08/sonicwall-sma100-vulnerability-exploited-cve-2025-32819/

---

6 风险投资公司Insight Partners确认个人数据泄露

风险投资公司Insight Partners证实，在今年1月的网络攻击中，其当前和前任员工的个人信息以及有限合伙人的信息被盗，被盗数据包括银行信息和税务信息等。此前Insight Partners曾将此次黑客攻击归因于网络钓鱼攻击，但尚未提供详细攻击过程。Insight Partners管理超过900亿美元的资产，是全球最大的科技初创企业投资者之一。

https://techcrunch.com/2025/05/08/vc-firm-insight-partners-confirms-personal-data-stolen-during-january-hack/

---