每日安全简讯(20250530)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安卓GhostSpy木马窃取用户银行数据

研究人员发现了一种名为GhostSpy的新型安卓远程控制木马。该恶意软件通过多阶段感染来控制系统，并窃取银行信息、通信数据以及敏感文件。攻击过程始于一个伪装成合法应用的初始APK文件，该文件会利用安卓的无障碍服务自动授予自身权限，并静默安装恶意载荷。GhostSpy木马具备键盘记录、屏幕截图、摄像头/麦克风监控以及远程擦除设备日志的能力。

https://securityonline.info/ghostspy-advanced-android-rat-steals-banking-info-bypasses-security/

---

2 新型macOS窃密木马AppleProcessHub窃取开发者数据

新型macOS窃密木马AppleProcessHub使用Objective-C编写，它能够窃取多种敏感文件，这些文件包括.bash_history、.zsh_history、GitHub的gitconfig文件、SSH密钥及其配置、/etc/hosts文件以及.ssh文件夹中的内容，还包括macOS Keychain数据库。这些被窃取的文件中包含认证令牌、shell命令、端点IP地址、内部主机名以及私钥等宝贵信息。AppleProcessHub伪装成动态库的Mach-O二进制文件，利用苹果的Grand Central Dispatch技术下载恶意载荷，并通过AES-128解密命令与控制逻辑来执行这些恶意载荷。已知的有效载荷包括一个名为fSidEOWW.sh的脚本，该脚本负责收集目标数据、将其压缩并上传给攻击者。

https://securityonline.info/new-macos-infostealer-appleprocesshub-uses-objective-c-to-steal-developer-data/

---

3 Interlock勒索组织在大学部署新型NodeSnake远程控制木马

研究人员发现，勒索组织Interlock针对英国高校及地方政府机构发起了新型攻击，并部署了NodeSnake远程控制木马。该恶意软件通过硬编码的C2服务器建立连接，利用HTTP协议外泄数据，同时支持远程控制、文件窃取以及后续恶意工具的投递。研究人员通过代码同源性分析，确认该攻击行为源自Interlock勒索组织。此外，新变种的技术复杂度显著提升，其攻击目标已从高校扩展至地方议会系统。该勒索组织延续了加密数据与威胁泄露相结合的双重勒索模式，但与主流的勒索软件即服务（RaaS）模式不同，它没有附属组织参与，而是独立运作。

https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-deploys-new-nodesnake-rat-on-universities/

---

4 Dark Partners攻击组织伪造下载站部署窃密软件

Dark Partners攻击组织通过伪造37款热门应用的下载网站，大规模部署窃密软件。其伪造的站点涵盖了Sora、DeepSeek等AI工具应用，Ledger、Exodus等加密货币相关应用，以及Windscribe VPN、TikTok Studio等软件。该组织通过在这些伪造站点的“下载按钮”上做手脚，诱导用户下载并获取恶意载荷。攻击行为会根据用户操作系统分发不同的恶意软件：若用户为Windows系统，则部署Lumma窃密软件和PayDay加载器，其中PayDay加载器会利用Google Calendar链接来获取C2地址，并通过NTFS备用数据流隐藏虚拟硬盘（VHD）以实现持久化，该恶意软件组合可窃取76种加密货币钱包数据；若用户为macOS系统，则植入Poseidon窃密软件，该软件通过定制的DMG启动器窃取浏览器数据以及MetaMask、Ledger Live等钱包的密钥。

https://www.bleepingcomputer.com/news/security/dark-partners-cybercrime-gang-fuels-large-scale-crypto-heists/

---

5 DragonForce勒索团伙借SimpleHelp多漏洞入侵MSP系统并实现多点扩散

DragonForce勒索团伙利用SimpleHelp远程监控与管理平台存在的三个高危漏洞（包括CVE-2024-57727路径遍历漏洞、CVE-2024-57728任意文件上传漏洞以及CVE-2024-57726权限提升漏洞），成功入侵了一家MSP（托管服务提供商）的系统。这些漏洞使攻击者能够在未获得授权的情况下，下载服务器上的敏感文件（例如包含密码哈希的配置文件）、上传恶意载荷，并将权限提升至管理员级别，最终完全控制了SimpleHelp平台。同时，攻击者还利用了SimpleHelp的集中管理特性，实现了“单点入侵，多点感染”的攻击效果。

https://www.bleepingcomputer.com/news/security/dragonforce-ransomware-abuses-simplehelp-in-msp-supply-chain-attack/

---

6 伊朗黑客Sina Gholinejad承认参与RobbinHood勒索攻击

伊朗黑客Sina Gholinejad在美国北卡罗来纳州法院承认，自己参与了针对Robbinhood勒索软件的攻击活动，该活动对包括巴尔的摩在内的多个美国城市造成了重大损失。其攻击行为自2019年1月一直持续至2024年3月，主要针对市政系统、医疗机构以及企业网络展开。Gholinejad通过加密文件并窃取数据的方式实施双重勒索。最终，他对“计算机欺诈与滥用罪”以及“共谋电信欺诈罪”两项罪名认罪，最高可能面临30年的监禁

https://www.bleepingcomputer.com/news/security/iranian-pleads-guilty-to-robbinhood-ransomware-attacks-faces-30-years/

---