每日安全简讯(20250627)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Prometei僵尸网络自2025年3月以来活动激增

Palo Alto Networks近日发布报告指出，自2025年3月以来，Prometei僵尸网络活动大幅上升，研究人员发现其Linux新变种传播迅速，具备更强的隐蔽性与持续性。这一恶意网络的活跃度再次引发安全专家关注，尤其是在加密货币挖矿与凭据窃取方面的能力。Prometei最早在2020年被发现，起初利用EternalBlue漏洞和SMB协议缺陷传播，既包含Windows版本也有Linux版本。最新波次攻击重点针对Linux系统，采用模块化结构与自更新机制，通过动态域名生成算法（DGA）与多层恶意负载提升对抗检测能力。本轮Prometei活动主要出于经济动机，以Monero加密货币挖矿为核心，同时具备凭证窃取、系统侦察与后门控制能力。研究未发现其与任何国家背景有关联。此次新变种通过HTTP GET请求传播，伪装为.php脚本，实则为UPX压缩的64位Linux ELF文件，并集成了配置文件隐藏机制。该恶意样本部署在位于印度尼西亚的一台Apache服务器上，该服务器运行在Windows系统中，利用不同的ParentID与随机化配置增强隐蔽性。

https://securityaffairs.com/179303/cyber-crime/prometei-botnet-activity-has-surged-since-march-2025.html

---

2 攻击者伪造SonicWall VPN窃取用户登录凭证

SonicWall官方6月23日警告称，攻击者正在通过伪造的NetExtender客户端传播植入了木马程序的版本，以窃取用户的VPN登录凭据并将其发送至远程服务器。这一攻击行为利用了钓鱼网站和伪造软件签名手段，具有高度欺骗性与威胁性。根据SonicWall发布的通告，攻击者构建了仿冒官网页面，诱导用户下载名为NetExtender 10.3.2.27的“最新版本”安装程序。该版本被注入了恶意代码，可在用户安装并连接公司网络时，后台窃取VPN配置、用户名、密码和域信息，并将这些数据发送到硬编码的IP地址 32.196.198.163。SonicWall联合微软迅速展开应对行动，下架恶意网站并吊销Citylight Media的数字证书，并提醒用户务必从可信来源下载官方软件，避免因软件供应链污染而成为攻击目标。

https://www.govinfosecurity.com/hackers-using-malicious-sonicwall-vpn-for-credential-theft-a-28815

---

3 攻击者利用Trezor官方客服系统实施钓鱼攻击

Trezor官方近日发出警告：攻击者正在利用其自动化支撑平台，通过伪装成官方邮件发送紧急通知，诱导用户访问钓鱼网站并交出加密钱包的助记词，进而窃取其数字资产。这波攻击利用了Trezor网站的漏洞：任何人都可以用任意邮箱地址和主题创建工单，系统随后会以help@trezor.io的官方邮箱地址自动回复，并使用攻击者设置的钓鱼主题作为邮件标题。例如，攻击者填写的主题是“[URGENT]: vault.trezor.guide - Create a Trezor Vault now in order to secure assets who may potentially be at risk”，使邮件看起来像是一则来自Trezor的安全警告。受害者看到邮件来自Trezor的官方邮箱地址，通常会降低警惕，点击钓鱼链接进入伪装成Trezor页面的站点。在该站点上，用户会被要求输入助记词，一旦输入，攻击者便可完全控制用户的钱包并转移资产。

https://www.bleepingcomputer.com/news/security/trezors-support-platform-abused-in-crypto-theft-phishing-attacks/

---

4 Citrix警告NetScaler漏洞可能被黑客用于DoS攻击

近日，Citrix发布安全公告，警告其NetScaler设备存在的严重漏洞CVE-2025-6543正被积极利用。该漏洞可被远程未认证攻击者触发，导致设备陷入拒绝服务（DoS）状态。漏洞影响版本包括NetScaler ADC和Gateway的多个版本，特别是配置为VPN或AAA虚拟服务器的实例。Citrix指出，攻击者已针对未修补的设备展开攻击。该漏洞被内部编号为CTX694788，其本质为内存溢出漏洞。此漏洞披露恰逢另一个严重漏洞CVE-2025-5777（被称为“CitrixBleed 2”）引发广泛关注，该漏洞可使攻击者提取会话令牌，从而劫持用户会话。类似漏洞在2023年曾被勒索软件组织用于攻击政府及企业网络，造成重大安全风险。鉴于两个漏洞的严重性，Citrix强烈建议管理员立即部署补丁，同时监控NetScaler设备的异常连接和用户行为，并审查访问控制策略以防范潜在攻击。此次事件再次强调关键基础设施设备及时更新与监控的重要性。

https://www.theregister.com/2025/06/25/citrix_netscaler_critical_bug_exploited/

---

5 Mainline Health遭黑客攻击导致超10万人信息泄露

Mainline Health Systems近日披露一起重大数据泄露事件，涉及101104名个人的敏感信息。该机构是一家成立于1978年的非营利联邦合格医疗中心，总部位于阿肯色州波特兰，在东南阿肯色州设有超过30个服务点，提供综合性的基础医疗、牙科及行为健康服务。据通报，该安全事件发生于2024年4月10日，攻击者入侵了机构的公司网络。Mainline在发现异常后立即展开内部调查，并通报了联邦执法部门，同时聘请外部网络安全专家协助处理。经过详细文件审查，直到2025年5月21日才确认部分含有个人受保护信息的文件遭到了未授权访问或获取。据悉，勒索软件团伙INC Ransom声称对该攻击事件负责，并已将Mainline Health列入其暗网泄露平台。该组织自2023年起活跃，曾对多个目标实施攻击，其中包括苏格兰国家医疗服务体系（NHS Scotland）及美国跨国公司施乐（Xerox）。

https://securityaffairs.com/179322/data-breach/mainline-health-systems-disclosed-a-data-breach.html

---

6 黑客“IntelBroker”因窃取并出售敏感数据在美国被起诉

一名在黑客圈中活跃的高调人物“IntelBroker”，被美国联邦检方以四项罪名起诉，包括共谋入侵计算机系统、网络诈骗和数据窃取。该黑客真实身份为英国公民Kai West，于2025年2月在法国被捕，目前美国正寻求将其引渡至纽约南区联邦法院受审。Kai West长期活跃于已关闭的知名暗网平台BreachForums，并自2023年8月至2024年1月被认定为该论坛的实际控制人。检方指控West自2023年1月起展开一系列攻击行动，累计造成损失超过2500万美元。其中包括2023年3月对美国国会议员和华盛顿特区居民使用的健康保险平台进行入侵，窃取敏感个人信息。他还声称成功入侵了UScellular、美国政府承包商、某全国性食品配送公司，以及与美国国防高级研究计划局（DARPA）合作的通用电气部门。执法机构通过购买250美元被盗数据追踪到West身份，并通过他在加密货币平台Ramp上用驾照注册账户的信息、VPN账号及社交媒体绑定邮箱进一步锁定其行踪。

https://www.govinfosecurity.com/hacker-who-stole-lawmaker-data-from-insurance-market-charged-a-28824

---