每日安全简讯(20250607)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Play勒索团伙利用SimpleHelp漏洞实施双重勒索

FBI联合多国网络安全机构披露，Play勒索软件团伙已攻击超过900家机构，近期更利用SimpleHelp远程访问工具的高危漏洞（CVE-2024-57727）发起新一轮攻击。该组织采用双重勒索手法，先窃取并加密敏感数据，再通过恐吓手段施压受害者付款。除了邮件勒索，攻击者还直接拨打电话给机构客服或员工进行威胁。Play团伙常利用旧漏洞获取初始访问权限，如FortiOS和Exchange漏洞，并重编译恶意代码以规避检测工具。安全专家警告，该团伙已将攻击目标扩展至Windows与ESXi系统，建议相关组织尽快修复SimpleHelp漏洞并加强终端防护。

https://www.theregister.com/2025/06/04/play_ransomware_infects_900_victims/

---

2 伊朗黑客对操纵Robbinhood勒索软件攻击美国城市的网络犯罪活动认罪

美国司法部宣布，伊朗公民Sina Gholinejad对操纵Robbinhood勒索软件攻击美国多座城市的网络犯罪活动认罪。该组织自2019年起，通过非法入侵网络、加密文件并索要比特币赎金，对美国城市、市政服务和医疗系统造成严重破坏。马里兰州巴尔的摩市因此损失超过1900万美元，多项市政服务停摆数月。调查发现，该团伙还使用了NSA泄露的网络武器EternalBlue，并借助虚拟货币混合服务和VPN掩盖身份。此次认罪被视为对受害社区正义的推进，美国执法部门强调将继续追捕境外网络犯罪分子，确保其承担法律责任。Gholinejad将于8月被判刑，最高面临30年监禁。

https://hackread.com/iran-robbinhood-ransomware-operator-guilty-city-attacks/

---

3 黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台

一个名为“The Community（又名The Com）”的年轻黑客组织，近期通过语音钓鱼攻击针对Salesforce和Okta平台实施数据窃取，受害者遍布欧美的零售、酒店和教育行业。Google披露，该组织利用电话冒充IT支持人员，引导员工下载被篡改的Salesforce Data Loader工具，从而获取访问权限并窃取敏感数据，随后横向移动至Okta与Microsoft 365环境。攻击者通常在潜伏数月后发起勒索，显示其或与其他犯罪团伙存在合作。此次攻击未利用Salesforce系统漏洞，而是依赖社会工程学手段。安全专家指出，这类英语系黑客团伙在俄语黑产团体被打击后快速崛起，尽管技术不够高端，但攻击效果极为显著。

https://www.govinfosecurity.com/salesforce-okta-targeted-by-telephone-wielding-hackers-a-28604

---

4 Sophos追踪发现超百个后门恶意项目源自一个GitHub用户

Sophos近期调查发现，一个名为“ischhfd83”的GitHub用户疑似单独或以小团体形式，创建了超过141个嵌入后门的项目，目标对象是初级黑客和游戏外挂爱好者。研究人员指出，这些项目往往伪装成远控木马或游戏作弊工具，其中超过半数宣称是“游戏辅助”，24％伪装为漏洞利用或攻击工具。项目普遍通过Visual Basic中的PreBuild事件植入恶意下载命令，感染尝试使用代码的“攻击者”自身。大部分项目还利用GitHub Actions自动提交，制造活跃维护假象。Sophos将其归类为一种“分发即服务（DaaS）”模式，并认为该行动始于2022年，常借助Discord、YouTube等社媒传播恶意链接。该事件揭示攻击者正在将黑产毒化至黑产从业者本身，提醒新手在下载开源项目时务必提高警惕。

https://www.theregister.com/2025/06/05/backdoored_malware_repos/

---

5 LockBit遭受打击导致俄语网络犯罪集团分裂

国际执法机构对LockBit勒索软件团伙的打击重创了该勒索软件团伙，包括扣押其关键服务器、逮捕核心成员等，导致俄语黑产群体内部分裂与信任崩塌。英国国家警察局网络犯罪部门的Jeremy Banks在伦敦InfoSec Europe会议上指出，这一变局促使越来越多英语国家的黑客团体浮出水面，主要来自美、英、澳等国，虽然技术水平较低，但攻击手法简单有效。Scattered Spider被点名为典型代表，涉嫌攻击英国零售商Marks and Spencer、Harrods等，也被Google Mandiant和Sophos警告正扩展至美国目标。英国国家犯罪局（NCA）的William Lyne表示，LockBit的瓦解导致黑产组织更小型化，放弃使用传统勒索即服务（RaaS）平台，更多独立作战。而Coveware的应急响应负责人则指出，执法压力让攻击者不得不缩短潜伏时间，一些技术较弱者已将攻击重点从加密转向数据窃取。这一系列变革凸显执法行动已对勒索软件生态系统产生深远影响。

https://www.govinfosecurity.com/lockbit-crackdown-fragmented-russian-cybercrime-groups-a-28585

---

6 媒体集团Lee Enterprises称数据泄露影响了39000人

美国大型出版集团Lee Enterprises近日披露，其于2025年2月遭遇勒索软件攻击，导致约39779名个人的敏感信息遭窃。泄露数据包括姓名与社会安全号码。此次事件不仅影响到其遍布26个州的77家日报与350家周报的正常运作，还造成大范围的印刷与发行中断。公司在提交给缅因州总检察长的报告中指出，攻击者于2月3日未经授权访问并窃取了文件。随后，Lee Enterprises也向SEC披露，核心应用被加密，部分文件被外泄。据称，勒索软件团伙Qilin已在暗网上声称对此事件负责，并威胁将于3月5日公开总计350GB、约12万份文件的数据样本，内容涵盖身份证扫描件、财务报表、合同协议等敏感资料。目前，公司正持续调查相关威胁。值得注意的是，Lee Enterprises曾在2020年美国大选前遭伊朗黑客入侵，显示其长期处于网络攻击威胁之下。

https://www.bleepingcomputer.com/news/security/media-giant-lee-enterprises-says-data-breach-affects-39-000-people/

---