每日安全简讯(20250625)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客绕过Gmail多因素认证发动定向攻击

谷歌威胁情报小组（GTIG）近日披露，俄罗斯国家背景黑客通过社交工程手段绕过了Gmail的多因素认证（MFA），对特定目标实施了一系列精准攻击。攻击者假冒美国国务院官员，诱导受害者生成并分享“应用专用密码”，从而获取其Google账户的完全访问权限。所谓应用专用密码，是谷歌为不支持MFA验证的旧设备或程序提供的16位一次性登录密码，用于安全接入账户。但这些密码跳过了二次验证机制，因此一旦落入黑客手中，后果极其严重。攻击者最初以国务院代表身份向目标发送“协商邀请”，并在邮件中抄送多个虚构的@state.gov邮箱地址，营造可信氛围。随着交流深入，目标被要求注册所谓的“MS DoS Guest Tenant平台”，按照“官方说明”创建应用专用密码以实现“安全通信”。实际上，这正是黑客掌握账户控制权的关键一步。

https://www.malwarebytes.com/blog/news/2025/06/gmails-multi-factor-authentication-bypassed-by-hackers-to-pull-off-targeted-attacks

---

2 攻击者利用钱包窃取工具包盗取4.3万美元加密资产

一场针对CoinMarketCap用户的加密货币诈骗行动近日被曝光，攻击者通过前端伪造的“验证钱包”弹窗骗取用户授权，使用已知的Inferno Drainer工具窃取了约4.3万美元资产。据Flare.io威胁情报研究员Tammy H分析，攻击者通过在CoinMarketCap网站植入恶意API调用，使恶意钱包连接提示出现在多个页面，引诱用户点击并授权钱包连接，从而使其资金被快速转移。此次攻击在Telegram频道“TheCommsLeaks”中曝光，泄露内容包括攻击者实时控制面板截图，显示110名受害者、超过1300次钱包连接尝试，以及实时转账金额。被盗资产涵盖SOL、XRP等多个加密币种。CoinMarketCap随后回应称，攻击源于主页图像触发的第三方代码漏洞，目前已移除恶意内容并修复系统漏洞。

https://hackread.com/scammers-inferno-drainer-crypto-coinmarketcap-users/

---

3 WordPress热门汽车主题中的权限提升漏洞遭大规模利用

近期，安全公司Wordfence警告称，黑客正在大规模利用WordPress热门汽车主题“Motors”中的严重权限提升漏洞（CVE-2025-4322），非法篡改管理员密码，从而完全接管网站后台。该漏洞影响Motors 5.6.67及以前版本，其问题出在“Login Register”小组件的身份校验逻辑，可被攻击者通过精心构造的POST请求绕过验证，强制修改管理员密码。虽然开发者StylemixThemes已于5月14日发布修复版5.6.68，但由于部分站点尚未及时更新，漏洞细节公开次日即出现攻击行为。到6月7日，Wordfence已拦截超过23100次攻击尝试，表明漏洞正被广泛武器化。攻击常见设置的新密码如“Testtest123!@#”、“Kurd@Kurd12123”等，一旦成功入侵，还会添加新的管理员账户维持持久访问。目前，Wordfence已公布多个与攻击有关的IP地址供站长封禁，并提醒所有使用Motors主题的站点管理员尽快升级主题版本，排查是否存在陌生管理员账户或管理员被锁现象，以防数据泄露或网站遭进一步控制。

https://www.bleepingcomputer.com/news/security/wordpress-motors-theme-flaw-mass-exploited-to-hijack-admin-accounts/

---

4 McLaren医疗集团遭勒索软件攻击导致超74万人信息泄露

美国密歇根州的McLaren医疗集团近日披露，该机构于2024年夏天遭遇国际勒索软件组织“Inc. Ransom”攻击，导致743000余人个人信息被窃取，这是McLaren两年内第二次遭遇重大勒索攻击。攻击发生于2024年7月17日至8月3日之间，受影响的不仅包括McLaren的医院系统，也涉及其旗下的Karmanos癌症中心。攻击者不仅入侵并加密了IT系统，还宣称成功窃取敏感数据。此次事件导致McLaren被迫停用电子健康记录系统三周，期间转为纸质记录和手动操作，还临时将部分救护车转移至其他医院。调查发现，泄露数据可能包含姓名、社会安全号、驾照号码、健康信息及保险资料。值得注意的是，McLaren在2023年10月刚通报另一起由AlphV（又名BlackCat）黑客团伙实施的攻击事件，影响210万人。AlphV当时声称仍在McLaren网络中保留后门，本次再度遭攻击，引发外界对其内部网络安全防护是否到位的质疑。

https://www.govinfosecurity.com/mclaren-health-says-743000-affected-by-2024-ransomware-hack-a-28785

---

5 Aflac保险公司遭黑客攻击客户导致敏感数据被窃取

美国保险巨头Aflac近日在向美国证券交易委员会（SEC）提交的报告中披露，本月早些时候其网络遭到黑客入侵，导致客户社会安全号码、健康理赔信息等个人敏感数据被窃取。此次数据泄露事件还波及Aflac的受益人、员工与代理人，但公司尚未确认具体受影响人数。据Aflac介绍，该事件发生于6月12日，黑客通过社会工程手段渗透其内部系统，但未使用勒索软件。攻击者身份尚未完全确认，但Aflac称该团伙与近期专门针对美国保险行业的网络犯罪组织有关联。外界猜测，该事件可能与“Scattered Spider”有关——这是一个松散但活跃的网络攻击团伙，以社会工程与假冒员工身份操控内部支持系统为主要手段。目前，Aflac正联合第三方专家进行深入调查，并未透露黑客是否尝试对外出售数据或索要赎金。此事件凸显保险行业正面临日益严峻的网络安全挑战，尤其是在社会工程攻击愈发成熟的背景下。网络安全专家呼吁行业高度警惕此类攻击手法，并加强对员工身份验证流程的防护机制。

https://techcrunch.com/2025/06/23/us-insurance-giant-aflac-says-customers-personal-data-stolen-during-cyberattack/

---

6 北美钢铁巨头纽柯公司确认数据遭黑客窃取

北美最大钢铁制造与回收企业纽柯公司（Nucor）近日向美国证券交易委员会（SEC）提交更新报告，确认在近期网络安全事件中，攻击者不仅入侵其系统，还窃取了公司网络中的部分数据。该事件最早于上月被披露，当时纽柯公司已采取紧急应对措施，包括主动关闭部分系统、暂停多个工厂的生产运营，并通报执法机构与外部网络安全专家协助调查。如今，公司确认威胁行为者成功从其信息系统中“外流了有限的数据”，但未透露涉及的具体数据种类或是否包括敏感商业信息。纽柯在报告中表示，相关受影响系统已恢复正常使用，生产也已恢复，公司认为攻击者已被驱逐出网络。根据规定，公司将继续评估所涉数据，并按法律要求通知可能受影响的各方及监管机构。尽管纽柯未说明是否遭遇勒索软件攻击，目前尚无黑客组织公开对此事件负责。然而考虑到当今常见的“双重勒索”模式，攻击者在加密系统前往往会先窃取数据，此次事件仍具备类似特征。

https://www.bleepingcomputer.com/news/security/steel-giant-nucor-confirms-hackers-stole-data-in-recent-breach/

---