每日安全简讯(20250629)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Remcos木马针对学校和企业发起网络钓鱼攻击

网络安全公司Forcepoint旗下X-Labs实验室近日揭示，Remcos远控木马正通过一系列更隐蔽的新型攻击活动大规模瞄准中小企业与教育机构。该木马借助已被攻陷的合法邮箱账户，向目标发送携带恶意Windows快捷方式（.LNK）文件的钓鱼邮件，极具迷惑性，难以被普通用户察觉。此次攻击特别之处在于Remcos利用路径解析绕过技术伪装恶意文件夹为系统目录（如C:\Windows\SysWOW64），从而规避杀毒软件侦测。木马通过隐藏的PowerShell代码下载并解码恶意可执行文件，伪装为PDF图标但实为.pif文件，同时生成多个含乱码的批处理文件，以增强隐蔽性。一旦植入成功，Remcos会设置计划任务、修改注册表以规避用户账户控制（UAC），持续维持系统后门，支持窃取密码、截图、远程操控等多项功能。

https://hackread.com/remcos-malware-campaigns-hit-businesses-and-schools/

---

2 Scattered Spider黑客团伙将攻击目标扩大至航空与交通运输行业

据谷歌旗下Mandiant与Palo Alto Networks的Unit 42联合警告，臭名昭著的网络犯罪团伙“Scattered Spider”近期将攻击目标扩大至航空与交通运输行业。该团伙由主要讲英语的年轻黑客组成，以高频次使用社交工程、钓鱼邮件以及对客服施压等手段获取企业内部访问权限著称，背后动机多为勒索与数据盗窃牟利。6月已有两家航空公司遭遇入侵：夏威夷航空已确认其系统受到攻击，正展开恢复；加拿大第二大航空公司西捷航空也在6月13日报告遭遇网络攻击，目前事件尚未解决，媒体报道称此次攻击与Scattered Spider有关。此次攻击潮紧随该团伙对英国零售业与保险业的入侵行动。过去，Scattered Spider曾渗透酒店集团、赌场及科技巨头网络，显示其行动范围广泛、技术手段成熟。

https://techcrunch.com/2025/06/27/prolific-cybercrime-gang-now-targeting-airlines-and-the-transportation-sector/

---

3 全球数百款打印机曝出安全漏洞且无法通过固件修复

据Rapid7研究人员披露，Brother品牌多达689款打印机存在一个严重漏洞（CVE-2024-51978），允许远程攻击者基于序列号推算出设备的默认管理员密码，从而接管打印机。更令人担忧的是，该漏洞无法通过固件更新修复，因其源于硬件制造时的密码生成逻辑。该漏洞是Rapid7历时研究Brother硬件时发现的8个漏洞之一，其密码生成算法使用设备序列号加静态“盐”值进行SHA256哈希，并通过Base64编码后截取前8位，最终替换字符生成默认密码。由于该算法可逆，攻击者一旦获取序列号（如通过CVE-2024-51977泄露），便可还原密码并登录设备。尽管大部分厂商已发布固件更新修复相关问题，但Brother方面表示CVE-2024-51978无法通过软件完全修补，需在新生产设备中变更密码生成机制。Rapid7建议用户立刻修改默认管理员密码，并尽快部署官方提供的固件补丁，同时限制打印机管理接口的外部访问以降低风险。

https://www.bleepingcomputer.com/news/security/brother-printer-bug-in-689-models-exposes-default-admin-passwords/

---

4 Cisco披露其网络访问控制平台存在两个远程代码执行漏洞

Cisco近日发布安全公告，披露其网络访问控制平台Identity Services Engine（ISE）以及Passive Identity Connector（ISE-PIC）中存在两个严重的远程代码执行（RCE）漏洞，编号为CVE-2025-20281与CVE-2025-20282，CVSS评分均为最高的10.0。CVE-2025-20281漏洞源于公开API未充分验证用户输入，攻击者可通过特制请求在目标系统上以root权限执行任意命令；而CVE-2025-20282则由于内部API文件验证不足，允许攻击者上传任意文件至高权限目录，并执行恶意代码。前者影响ISE与ISE-PIC的3.3与3.4版本，后者仅影响ISE 3.4。ISE广泛部署于政府、企业、高校及服务提供商网络核心，作为身份管理与访问策略控制平台。这两个漏洞一旦被利用，可实现对目标设备的完全远程接管，无需任何身份认证或用户交互，风险极高。

https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-rce-flaws-in-identity-services-engine/

---

5 攻击者伪造DocuSign电子邮件进行网络钓鱼

近日有研究者披露了一起巧妙的仿冒DocuSign钓鱼攻击案例，该攻击通过合法渠道绕过常规安全检测，并借助Webflow网站预览功能隐藏恶意跳转行为。攻击者发送一封来自“可信联系人”的DocuSign签署通知邮件，邮件成功通过了SPF、DKIM和DMARC认证，极具迷惑性。邮件中的“查看文档”链接实际指向Webflow的预览地址，这一合法的页面初看无异常，但随后跳转至伪造的DocuSign风格界面，点击“查看文档”按钮后又跳转到一个可疑域名，如s‍jw.ywmzoebuntt.es，并呈现简化的伪验证码界面诱导用户点击。最终，用户被重定向到真正的Google登录页，使整个流程显得可信，掩盖了中间的数据采集行为。研究者分析认为，此类攻击属于“探测型钓鱼”操作：通过初步访问采集用户设备指纹信息（如IP地址、浏览器、硬件信息等），筛选目标进行后续更精准的攻击，而非立即投放恶意程序。

https://www.malwarebytes.com/blog/news/2025/06/fake-docusign-email-hides-tricky-phishing-attempt

---

6 食品零售公司遭勒索攻击导致220万员工信息被泄露

食品零售公司Ahold Delhaize USA近日披露，旗下系统在2024年11月遭受勒索软件攻击，导致约220万名在职及离职员工的个人信息遭泄露。该公司隶属于总部位于荷兰的Ahold Delhaize集团，在美国经营Stop & Shop、Giant Food、Food Lion等多个超市品牌。攻击事件发生于2024年11月5日，公司于次日检测到异常并在11月8日公开披露此次安全事件，随后关闭多个系统进行应急响应，短期内影响了线上订单及部分药房服务。根据公司通报，泄露的数据包括姓名、联系方式、出生日期、社会安全号、护照或驾照号码、银行账户、健康与工伤记录等，具体受影响内容因人而异。攻击事件系INC勒索软件团伙所为。该组织自2023年中期活跃以来，常通过钓鱼邮件或漏洞工具包发起攻击，并以“不攻击俄罗斯”为特征，推测其运营基地位于俄罗斯或周边国家。今年4月，该组织在其泄密网站发布样本数据并威胁公开全部信息。

https://www.govinfosecurity.com/food-retail-giants-breach-22-million-employees-affected-a-28842

---