每日安全简讯(20250628)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客组织利用35个npm软件包传播恶意软件

Socket安全研究团队披露，朝鲜黑客组织“Contagious Interview”近期再度发动供应链攻击，投放35个恶意npm软件包，并利用LinkedIn冒充招聘人员诱导开发者执行多阶段恶意代码。这一行动与早前披露的“Contagious Interview”社工攻击活动相一致，目标为正在求职的开发者群体。此次攻击中，黑客通过24个npm账号上传带有HexEval加载器的恶意包，并成功诱骗部分开发者在本地运行这些包含恶意依赖的“作业任务”。HexEval加载器在安装时悄悄收集主机信息，并在触发条件下拉取并执行第二阶段信息窃取程序BeaverTail。BeaverTail专门搜索浏览器缓存、加密货币钱包数据、系统密钥链等敏感信息，并视平台环境加载特定窃密逻辑。进一步，它还能下载第三阶段后门程序InvisibleFerret，实现更持久的系统控制。研究人员指出，攻击者将模块名和C2地址编码为十六进制以绕过静态分析，同时构建跨平台键盘记录器增强监控能力。部分软件包中嵌入了基于操作系统的本地钩子组件，可实时捕捉按键数据，进一步暴露受害者隐私。

https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages

---

2 黑客利用ClickOnce与AWS服务发起攻击行动

安全公司Trellix近日揭露一项名为“OneClik”的复杂攻击行动，攻击者利用微软ClickOnce部署技术及亚马逊云服务，配合Golang后门“RunnerBeacon”，针对能源、石油和天然气等关键行业展开隐蔽攻击。此行动自2023年已有前兆，于2025年3月起持续活跃，具备高度隐匿性及沙箱逃避能力。攻击链始于钓鱼邮件，诱导受害者点击托管于Azure平台的虚假硬件分析网站，从而下载安装伪装为工具的.APPLICATION文件。该文件通过ClickOnce机制由dfsvc.exe执行，绕过用户权限控制，进而加载.NET恶意组件OneClikNet，通过AppDomainManager注入手法劫持合法程序如ZSATray.exe执行恶意指令。后续载荷RunnerBeacon通过RC4加密及MessagePack序列化方式与攻击者通信，具备远程命令执行、文件操作、进程枚举、端口扫描及SOCKS代理功能，并使用“obfuscate_and_sleep”机制与随机beacon间隔增加分析难度。

https://www.bleepingcomputer.com/news/security/oneclik-attacks-use-microsoft-clickonce-and-aws-to-target-energy-sector/

---

3 攻击者利用Authenticode填充技术篡改ScreenConnect工具

德国安全公司G Data近日发布报告，揭露黑客大规模利用ConnectWise合法远程访问工具ScreenConnect，将其伪装为PDF文件或AI图像转换器，通过钓鱼邮件诱导用户下载安装并实现远程控制。这场名为“EvilConwi”的攻击行动自2024年3月起快速扩散，已成为当前最常被恶意利用的远程访问工具，占所有相关威胁报告的56%。研究人员指出，攻击者利用“Authenticode Stuffing”技术，即篡改证书结构以保留原签名合法性，使改造后的安装程序看似安全。许多合法厂商（如ConnectWise、Dropbox）在使用个性化安装程序时，会将未签名配置数据写入证书表，从而绕过签名校验。攻击者正是利用这一机制，将安装程序绑定至其控制的服务器，并伪装成Windows更新过程，掩盖恶意行为。此次攻击中的恶意ConnectWise程序常隐藏关键设置，如静默安装、关闭系统托盘图标及用户提示等，进一步降低被察觉的风险。

https://www.govinfosecurity.com/attackers-wield-signed-connectwise-installers-as-malware-a-28799

---

4 黑客利用Microsoft 365的“Direct Send”功能实施钓鱼攻击

安全公司Varonis发现，一场自2025年5月起发起的广泛钓鱼攻击活动正在利用Microsoft 365的“Direct Send”功能，通过仿冒公司内部邮件欺骗用户并窃取凭证。Direct Send原本是为打印机、扫描仪等设备设计的邮件发送机制，允许通过企业的SMTP智能主机发送邮件而无需身份验证。然而，这一机制的安全隐患正被攻击者利用，其发出的邮件可绕过SPF、DKIM与DMARC验证，伪装成来自企业内部员工。该攻击行动已波及超过70家企业，涵盖金融、制造、建筑、医疗和保险等多个行业，其中95%的受害者位于美国。攻击者通过PowerShell脚本调用目标公司的主机，如company-com.mail.protection.outlook.com，从外部IP（如乌克兰IP 139.28.36[.]230）发送伪装为内部员工的钓鱼邮件。邮件以“语音留言”或“传真信息”为主题，附件为伪装成传真通知的PDF文件，内含二维码，诱导用户用手机扫描并访问伪造的Microsoft登录页面，从而窃取登录凭证。

https://www.bleepingcomputer.com/news/security/microsoft-365-direct-send-abused-to-send-phishing-as-internal-users/

---

5 WinRAR中的高危漏洞可被攻击者利用执行任意代码

近期，Trend Micro零日计划披露了WinRAR存在一个严重的目录遍历漏洞（CVE-2025-6218），该漏洞允许远程攻击者在目标系统上执行任意代码，目前已在2025年6月10日发布的WinRAR 7.12 beta 1中修复。由于WinRAR广泛用于文件归档和解压缩，全球用户数超过5亿，因此此漏洞被评估为高风险，强烈建议用户尽快手动升级。该漏洞由安全研究员“whs3-detonator”发现并私下报告，问题存在于WinRAR处理归档文件路径的方式中。攻击者可构造恶意路径，通过诱导用户打开恶意文件或访问恶意网页，实现路径穿越并执行攻击代码。虽然该漏洞需要用户交互，但一旦成功利用，便能在当前用户权限下执行任意命令，危害极大。由于WinRAR不具备自动更新机制，用户需前往官网手动下载安装补丁版本。此次事件再次凸显热门软件在未及时更新情况下所带来的重大安全隐患。

https://www.helpnetsecurity.com/2025/06/24/high-risk-winrar-rce-flaw-patched-update-quickly-cve-2025-6218/

---

6 CISA确认攻击者正利用AMI MegaRAC漏洞进行攻击

美国网络安全与基础设施安全局（CISA）近日将三个已被广泛利用的高危漏洞新增至其“已知被利用漏洞”（KEV）目录，包括AMI MegaRAC SPx身份验证绕过漏洞（CVE-2024-54085）、D-Link DIR-859路由器路径遍历漏洞（CVE-2024-0769）以及Fortinet FortiOS硬编码凭证漏洞（CVE-2019-6693）。根据美国联邦绑定操作指令BOD 22-01，所有FCEB联邦机构必须在2025年7月16日前完成漏洞修复。CVE-2024-54085是影响AMI MegaRAC SPx服务器管理固件的认证绕过漏洞，攻击者可通过身份伪造绕过访问控制机制，远程控制设备；而CVE-2019-6693则涉及Fortinet FortiOS设备使用硬编码凭证的问题，长期以来为攻击者提供系统后门，威胁关键基础设施安全。CISA已要求美国联邦机构按期完成修复，并建议私营部门也应参照KEV目录中的条目，尽快排查并加固系统，防止受漏洞攻击的风险扩大。

https://securityaffairs.com/179354/security/u-s-cisa-adds-ami-megarac-spx-d-link-dir-859-routers-and-fortinet-fortios-flaws-to-its-known-exploited-vulnerabilities-catalog.html

---