每日安全简讯(20250523)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《针对终端目标的持续钓鱼尝试——南亚“苦象”攻击组织近期样本分析》

安天CERT发现，“苦象”攻击组织自2025年初发动新一波攻击，主要针对中国等国家的重要机构。该组织通过互联网邮箱账号发送大量鱼叉式钓鱼邮件，主题伪装成“外交部文件”，附件包含恶意CHM帮助文件和PDF文档。CHM文件打开后创建计划任务，每15分钟执行一次powershell命令，与C2服务器通信并接收指令；PDF文档则通过恶意脚本跳转至钓鱼网站。此次攻击活动中，“苦象”组织投递了多种攻击载荷，包括wmRAT、MiyaRAT远控木马，以及新的C#远控木马和Python窃密木马。wmRAT木马通过MSI文件释放并执行，与C2服务器建立连接后可执行屏幕截图、文件上传下载等指令；MiyaRAT木马则用于针对高价值目标的网络间谍活动，支持多种远控指令。C#远控木马利用.NET Framework的兼容性优势，具备文件操作、命令执行等功能；Python窃密木马主要窃取浏览器凭证信息。此次攻击活动涉及多个阶段和技术点，涵盖了从侦察到影响的完整攻击链，反映出“苦象”组织在攻击手法上的多样性和持续性。

https://mp.weixin.qq.com/s/d_bYkerQrlyHw33Fc4OUUQ

---

2 3AM勒索组织使用新型攻击链勒索企业

Sophos披露，3AM勒索组织正利用一种新型攻击链渗透企业网络。攻击者通过语音钓鱼（Vishing）技术，伪装成IT支持人员，诱导目标员工启用微软的Quick Assist工具，进而远程控制其设备。此外，此次攻击还利用虚拟机（VM）作为跳板来隐藏恶意活动，以此规避安全检测。最终，3AM勒索软件会加密企业的关键数据，并威胁公开这些数据，以此要求企业支付加密货币作为赎金。

https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/

---

3 知名网络安全博客KrebsOnSecurity遭6.3Tbps DDoS攻击

知名网络安全博客KrebsOnSecurity遭受了峰值达6.3Tbps的分布式拒绝服务（DDoS）攻击。。此次攻击由新型物联网僵尸网络Aisuru发起，该僵尸网络利用了全球数十万台被黑的路由器、数字录像机（DVR）等设备，通过UDP洪水攻击随机端口，每秒发送高达5.85亿个数据包。尽管攻击仅持续了45秒，但并未造成服务中断。Aisuru自2024年开始活跃，近期还整合了Cambium Networks路由器的零日漏洞，并通过Telegram以150至600美元的价格出租其攻击服务，攻击规模最高可达2Tbps。

https://hackread.com/krebsonsecurity-6-3-tbps-ddos-attack-aisuru-botnet/

---

4 FBI和Europol联合打击Lumma Stealer僵尸网络

FBI和Europol携手多家私营企业，在一次行动中打击了Lumma Stealer僵尸网络。Lumma Stealer僵尸网络自2022年底开始活跃，其传播途径多样，包括钓鱼邮件、恶意广告等，主要窃取用户的登录凭证、浏览器数据等敏感信息。在此次行动中，执法部门与私营企业合作，查封了构成Lumma Stealer僵尸网络基础设施骨干的2300个域名，其中包含其用于部署恶意软件的五大登录面板，成功切断了恶意软件与受害者之间的通信，从而破坏了其命令与控制基础设施。

https://thehackernews.com/2025/05/fbi-and-europol-disrupt-lumma-stealer.html

---

5 未修补的Versa Concerto漏洞可导致攻击者逃脱Docker并入侵主机

安全研究人员发现，Versa Concerto平台存在多个严重漏洞，具体包括特权提升与Docker容器逃逸漏洞（漏洞编号为CVE-2025-34025，CVSS评分为8.6）、认证绕过漏洞（漏洞编号为CVE-2025-34026，CVSS评分为9.2）以及另一个由认证绕过进而导致远程代码执行的漏洞（漏洞编号为CVE-2025-34027，CVSS评分为10.0）。攻击者一旦利用这些漏洞，便能够完全控制应用程序以及底层主机系统。其中，CVE-2025-34027漏洞允许攻击者利用竞争条件将恶意文件写入磁盘，最终借助LD_PRELOAD和反向shell机制实现远程代码执行。目前，这些漏洞仍未得到修复，研究人员建议用户采取临时缓解措施，例如在URL路径中阻止分号、丢弃包含特定请求头的请求，同时监控网络流量和日志。

https://thehackernews.com/2025/05/unpatched-versa-concerto-flaws-let.html

---

6 Grafana修复CVE-2025-4123高危XSS漏洞

Grafana发布了12.0.0+security-01版本以及所有受支持版本的安全修补程序，以修复CVE-2025-4123高危跨站脚本（XSS）漏洞。此漏洞源于客户端路径遍历与开放重定向问题，攻击者可借此将用户重定向至恶意网站，并通过自定义前端插件执行任意JavaScript代码。与众多XSS漏洞不同的是，该漏洞的利用无需编辑权限。若Grafana启用了匿名访问功能，攻击的实施难度将进一步降低。

https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/?&web_view=true

---