每日安全简讯(20250614)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Paragon间谍软件利用零日漏洞攻击欧洲记者

Citizen Lab披露，以色列公司Paragon的Graphite间谍软件利用iMessage零点击攻击，成功入侵至少两名欧洲记者的iPhone。受害者包括意大利媒体Fanpage.it的记者Ciro Pellegrino和一名匿名记者，其设备均在运行最新iOS时被攻破，Apple随后修复了该零日漏洞（CVE-2025-43200）。日志显示，两部手机与同一Graphite间谍服务器通信，指向同一攻击者，显示出一次协调的间谍行动。另一名记者Francesco Cancellato虽未发现感染证据，但因安卓系统日志记录受限，攻击可能性未被排除。6月5日，意大利情报监督委员会证实，政府曾使用Graphite监控政治人物，但未确认是否针对媒体人士。Paragon随后指责意大利拒绝其调查合作提议，并宣布终止在意大利的所有合同，这是首次有间谍软件公司因滥用问题公开与客户断绝关系。此次事件引发对政府监控记者行为的广泛关注。

https://securityaffairs.com/178940/mobile-2/paragon-graphite-spyware-used-a-zero-day-exploit.html

---

2 Predator间谍软件持续采用新的伪装手段以躲避追踪

Recorded Future旗下Insikt Group最新表示，尽管过去两年遭受曝光、制裁和国际联合遏制，Intellexa运营的Predator间谍软件仍在持续运作。报告指出，Predator新增影响多个国家，尤其在非洲活动频繁，并首次确认莫桑比克为新客户。基础设施包括多层C2服务器，其顶层还与捷克实体FoxITech s.r.o.存在技术关联，此公司被指与Intellexa有关财务往来。Predator采取随机域名及假冒页面等传统混淆策略，同时扩展了使用的自治系统号进一步规避监测。该间谍软件可通过1‑click或零点击(“zero‑click”)方式感染Android与iOS设备，监控摄像头、录音、通讯录、消息与媒体内容。分析认为，尽管制裁迫使Intellexa不断重组架构，但市场需求强劲，尤其对政治人物和高层管理者等高价值目标，导致其技术持续进化。Insikt Group建议应持续加强移动设备安全防护，如使用独立设备、定期重启、MDM管理与安全培训，以降低被间谍软件针对的风险。

https://www.recordedfuture.com/research/predator-still-active-new-links-identified

---

3 Aim Labs披露了一项影响微软365 Copilot服务的零点击AI漏洞

安全公司Aim Labs近日披露了一项严重的零点击AI漏洞“EchoLeak”，该漏洞影响微软365 Copilot服务。研究人员发现，攻击者无需用户交互，仅通过发送一封电子邮件，即可远程触发漏洞，从M365 Copilot中窃取组织内部的敏感数据。这一攻击链基于名为“LLM作用域越界”（LLM Scope Violation）的新型利用方式，通过操控AI内部模型机制，使Copilot访问并泄露本应受限的数据，完全绕过传统的权限控制。该漏洞利用微软Graph接口与RAG模型的深度整合，将攻击信号“隐写”于邮件内容中，最终由GPT驱动的Copilot在用户不知情的情况下执行潜在泄密操作。尽管目前未发现实际用户受影响，Aim Labs警告称，EchoLeak代表了AI时代安全模型的新挑战，特别是在广泛部署类Copilot应用的背景下，对设计层安全性提出了更高要求。

https://www.aim.security/lp/aim-labs-echoleak-blogpost

---

4 黑客团伙针对Apache Tomcat发起暴力破解攻击

网络安全公司GreyNoise监测到两个有组织的暴力破解活动，集中针对暴露在互联网上的Apache Tomcat Manager接口。这些攻击来自约400个唯一IP地址，主要利用自动化工具尝试大量用户名密码组合，企图获取Tomcat服务的管理权限。虽然Tomcat Manager默认仅允许本地访问，且无默认凭据，但一些管理员误将其暴露在公网，从而成为攻击者目标。GreyNoise指出，攻击流量大多来自DigitalOcean托管的基础设施，表明该攻击具有高度集中性和持续性。尽管此次攻击未关联具体漏洞，但它凸显出对Tomcat暴露服务的持续兴趣，同时也预示着未来可能出现更复杂的漏洞利用。GreyNoise建议相关组织加强认证机制、限制访问权限，并检查登录日志，及时封禁异常IP。此外，Apache今年3月和12月先后修复了多个关键远程代码执行漏洞，部分已被利用，提醒用户务必及时打补丁、关闭不必要的管理接口。

https://www.bleepingcomputer.com/news/security/brute-force-attacks-target-apache-tomcat-management-panels/

---

5 SmartAttack攻击技术使用智能手表窃取物理隔离系统的数据

以色列研究团队近日公布一项名为“SmartAttack”的新型攻击技术，首次展示如何利用智能手表窃取物理隔离（air-gapped）系统中的敏感信息。该技术由安全研究专家Mordechai Guri领导，其团队长期研究隐蔽数据通道攻击。攻击流程依赖于先通过内部威胁或供应链攻击感染隔离系统，然后利用系统自带扬声器发出18.5kHz至19.5kHz的超声波信号编码数据，由佩戴在附近人员手腕上的智能手表接收。这些频率人耳无法听见，但可被手表内置麦克风捕捉，并通过信号处理完成解码，最终通过蓝牙、Wi-Fi或蜂窝网络将数据外传。实验显示，攻击距离最远可达9米，速率约为5到50比特每秒。虽然技术实现复杂、可靠性受限，但它揭示了高度隔离环境下潜在的侧信道威胁。研究人员建议，在敏感区域禁用智能穿戴设备，并考虑移除系统扬声器以杜绝此类隐蔽攻击手段。

https://www.bleepingcomputer.com/news/security/smartattack-uses-smartwatches-to-steal-data-from-air-gapped-systems/

---

6 欧洲通过NIS2和DORA等监管法规强化关键基础设施网络韧性

在全球关键基础设施面临日益频繁的网络威胁背景下，欧洲正通过NIS2和DORA等监管法规，走在强化网络韧性的前沿。Forrester分析师Madelein van der Hout指出，虽然监管可能在某些方面放缓了创新节奏，但在关键基础设施的防护层面，欧洲已领先全球。“韧性如今已不仅是合规的目标，更是企业战略核心组成部分，”她表示。Forrester副总裁兼首席分析师Paul McKay则补充道，虽然监管变化频繁，给组织带来压力，但企业正积极构建内部响应机制以适应这一“颠簸”的地缘政治与风险环境。他强调，CISO的角色也正从传统的安全管理者转型为全面韧性战略的领导者。在Infosecurity Europe 2025会议期间，两位分析师还探讨了欧洲网络安全会议碎片化的问题如何影响统一战略推进，以及在网络运营中，如何真正通过工作流实现AI的价值落地。欧洲的做法显示出一个清晰信号：网络安全的未来不只是防御，更在于具备快速恢复与持续运行的韧性能力。

https://www.govinfosecurity.com/europe-elevating-cyber-resilience-in-critical-infrastructure-a-28668

---