每日安全简讯(20250615)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客利用渗透测试工具发起大规模密码喷洒攻击

安全公司Proofpoint近期发现，一个被追踪为“UNK_SneakyStrike”的攻击者组织正在利用名为TeamFiltration的开源渗透测试工具，对Microsoft Entra ID账户发起大规模密码喷洒攻击。自2023年12月以来，该组织已针对约100个云租户中的超过80000个用户账户实施攻击，成功入侵后滥用Teams、OneDrive和Outlook等服务。TeamFiltration最初为合法安全评估而设计，但攻击者利用其自动化账号枚举、密码喷洒及数据外传功能，实现隐蔽渗透。该工具还能通过微软Teams API进行利用，并借助AWS云基础设施频繁切换IP，增加检测难度。Proofpoint指出，攻击行为往往集中爆发后沉寂数日，模仿红队操作以逃避防御。此次攻击还显示出TeamFiltration配置中的错误，如错误标识Outlook和OneNote的客户端ID，表明攻击者或在使用旧版本工具。专家警告，这类攻击行为模糊了合法测试与恶意入侵的界限，组织需加强监控与身份安全防护。

https://www.govinfosecurity.com/password-spraying-attacks-hit-entra-id-accounts-a-28682

---

2 Fog勒索软件使用合法工具和开源工具发起攻击活动

2025年5月，Fog勒索软件组织攻击了一家亚洲金融机构，采用了一组极为罕见的渗透与监控工具，引发安全研究人员关注。据Symantec报告，攻击者在入侵中使用了Syteca监控软件、GC2、Stowaway和Adaptix等工具，这些工具通常出现在红队测试或间谍行动中，而非传统勒索软件攻击中。攻击者潜伏在受害网络内长达两周，显示出高度策划与耐心。更罕见的是，攻击完成后还创建了持久性服务以保持访问权限，这一行为暗示勒索行为可能只是掩护，实际目标或为窃取情报。GC2通过Google Sheets或SharePoint建立C2通道，Syteca疑用于监视，Stowaway用于渗透传输，Adaptix C2则协助数据控制和持久化操作。虽然此次攻击的初始入侵路径尚未明确，但专家怀疑与Exchange服务器有关。此次行动与Fog以往针对美国学校、利用VPN或漏洞传播的手法形成鲜明对比，显示出其攻击策略正在不断演进。研究人员指出，这种非常规工具组合及异常持久性行为值得各组织警惕，提示未来勒索攻击可能融合更多间谍活动元素。

https://securityaffairs.com/178969/malware/unusual-toolset-used-in-recent-fog-ransomware-attack.html

---

3 趋势科技修复产品中的多个远程代码执行和身份验证绕过漏洞

Trend Micro近日发布安全更新，修复其Apex Central与Endpoint Encryption PolicyServer产品中的多个严重漏洞。这些漏洞可被远程攻击者在无需认证的情况下执行任意代码或绕过认证机制，最高风险等级为CVSS 9.8，威胁等级极高。在Endpoint Encryption PolicyServer中，攻击者可利用四个关键漏洞远程以SYSTEM权限执行代码，或完全绕过认证机制，进行管理员级别操作。这些问题主要源于不安全的反序列化操作。产品广泛用于需要数据保护合规的企业环境中，因此潜在影响巨大。此外，Apex Central平台也被发现存在两个关键漏洞，均为反序列化导致的远程代码执行问题，攻击者无需认证即可控制系统。虽然目前尚未发现漏洞遭到实际利用，Trend Micro强烈建议用户立即部署补丁，以消除高危安全隐患。此次漏洞事件凸显企业在使用关键安全产品时，仍需持续关注其自身防护机制的更新及时性。

https://www.bleepingcomputer.com/news/security/trend-micro-fixes-six-critical-flaws-on-apex-central-endpoint-encryption-policyserver/

---

4 GitLab发布多个版本更新修复账户接管漏洞

GitLab近日发布多个版本安全更新（18.0.2、17.11.4、17.10.8），修复多个高危漏洞，包含可导致账户接管、CI/CD恶意任务注入、跨站脚本攻击及拒绝服务等问题。官方强烈建议所有自托管用户立即升级，以防止遭受攻击。其中，漏洞CVE-2025-4278允许远程攻击者通过HTML注入手段在搜索页面中植入恶意代码，从而实现账户接管。此外，CVE-2025-5121影响GitLab Ultimate EE版，攻击者若已认证登录，可将恶意CI/CD任务注入任意项目未来的自动化流程中，存在严重供应链风险。其他修复还包括一个可使攻击者模拟合法用户行为的XSS漏洞（CVE-2025-2254），以及一个导致无限重定向循环、引发内存耗尽的DoS漏洞（CVE-2025-0673）。考虑到GitLab平台在全球范围拥有超3000万注册用户，并被超过50%的《财富》百强企业使用，包括高敏感度机构如空客、英伟达和洛克希德·马丁，平台安全性尤为关键。近期，Europcar与Pearson等公司即因GitLab仓库被入侵而造成数据泄露。此次修复为防范潜在威胁提供关键防线。

https://www.bleepingcomputer.com/news/security/gitlab-patches-high-severity-account-takeover-missing-auth-issues/

---

5 勒索组织威胁公开巴拉圭720万公民数据

一个自称“Brigada Cyber PMC”的勒索组织近日声称，从巴拉圭政府多个系统中窃取了720万公民的个人身份信息，并要求政府支付740万美元赎金，否则将公开全部数据。该组织在暗网泄露网站发布通告，并设定最后期限为6月13日。所涉数据包括姓名、性别、国籍、职业、身份证号、出生日期及婚姻状况等敏感信息。据网络安全公司Resecurity披露，该组织疑似于5月28日首次在黑客论坛上出售两份SQL数据库，并提供部分样本验证真实性。同时，另一名黑客“el_farado”也在不同论坛中兜售号称来自巴拉圭科迪勒拉州的完整公民数据库，可能显示有多个攻击者或攻击事件同时发生。Resecurity指出，该组织有可能与此前攻击南美多个国家政府系统的黑客有关，且部分攻击者与新兴勒索团伙FunkSec存在关联。同时，有情报显示巴拉圭交通与道路安全局系统曾于5月29日被下线维护，疑与数据泄露事件有关。

https://www.govinfosecurity.com/ransomware-group-threatens-to-dump-paraguayan-citizens-data-a-28686

---

6 英国金融行为监管局员工违规将数据发送至私人邮箱仅受警告处理

英国金融行为监管局（FCA）近日确认，有四名员工因将监管机构数据发送至个人邮箱而受到纪律处分，其中三人收到了首次书面警告，一人则因重复违规行为被发出“最终书面警告”。FCA作为英国金融服务行业的监管机构，掌握大量敏感数据，包括对企业的投诉信息。此次事件引发外界对FCA内部数据保护机制的质疑，尤其是在该机构曾因数据泄露对第三方开出高额罚单的背景下。更令人担忧的是，FCA曾在2020年误将约1600名投诉人信息上传官网，包括姓名、地址和电话等。外界专家指出，员工私自将数据外泄的行为极具风险。多位网络安全从业者呼吁机构采取更强有力的技术手段和政策约束，以杜绝员工通过私人邮箱或AI助手等非安全渠道转发企业信息的隐患。这一事件也再次敲响公共机构在数据合规与内部控制方面的警钟，亟需提升对数据处理违规行为的敏感度与惩戒力度。

https://www.theregister.com/2025/06/13/fca_staff_data_breach/

---