每日安全简讯(20250703)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现IDE在扩展程序验证方面存在安全漏洞

研究人员揭示了流行集成开发环境（IDE）在扩展程序验证方面存在严重安全漏洞。研究发现，Visual Studio Code、Visual Studio、IntelliJ IDEA和Cursor等平台的恶意扩展程序可以轻易绕过信任检查，尽管它们显示为“已验证”状态。研究团队创建了伪装成可信扩展的恶意程序，能够在开发者的机器上执行任意代码。通过修改服务器请求，攻击者可以让恶意扩展声称经过验证，从而使得开发者在不知情的情况下安装这些扩展，导致潜在的安全风险。安全专家建议用户不要仅依赖扩展的验证标识，应直接从官方市场安装扩展，并实施更严格的验证措施。尽管相关平台接到反馈，声称将采取措施加强安全，但研究表明，这一漏洞在提交报告后仍然容易被利用。

https://www.ox.security/can-you-trust-that-verified-symbol-exploiting-ide-extensions-is-easier-than-it-should-be/

---

2 研究人员发布TA829与UNK_GreenSec攻击活动分析报告

研究团队发布报告，详细分析了两个网络威胁集群TA829和UNK_GreenSec的活动。TA829是一个以经济动机为主的网络犯罪组织，同时也从事符合俄罗斯国家利益的间谍活动。该组织依赖地下犯罪组织的服务，并定期更新其工具套件，包括RomCom后门的变种。而UNK_GreenSec则是一个新兴的网络犯罪集群，主要分发名为TransferLoader的新型恶意软件，并可能与Morpheus勒索软件有关。研究发现，TA829和UNK_GreenSec在攻击基础设施、投放策略和恶意软件使用方面存在显著重叠。例如，两者均利用受感染的MikroTik路由器作为上游发送基础设施，并通过免费邮件提供商发送钓鱼邮件。然而，尽管两者活动相似，研究人员仍将UNK_GreenSec视为一个独立的集群，而非TA829的一部分。报告还指出，网络犯罪与间谍活动之间的界限正在变得模糊。TA829的活动兼具经济动机和间谍性质，而UNK_GreenSec则表现出与TA829的某些工具和基础设施的共享特征。经推测这两个集群可能存在某种关联，可能是通过第三方供应商或基础设施共享实现的。

https://www.proofpoint.com/us/blog/threat-insight/10-things-i-hate-about-attribution-romcom-vs-transferloader

---

3 FileFix新变种利用HTML应用程序绕过MOTW警报

安全研究机构发现了一种新的FileFix攻击变种，利用HTML应用程序（HTA）文件绕过Mark of the Web（MOTW）标记。当用户使用Ctrl+S或右键单击>“另存为”保存HTML页面时，选择“网页，单个文件”或“网页，完整”格式会导致浏览器在文件中添加额外内容，但这些格式不会标记为MOTW。攻击者可以利用这一点，通过社会工程学手段诱导用户保存并运行包含恶意脚本的HTA文件。研究人员建议禁用mshta.exe的运行权限来阻止此类攻击。

https://mrd0x.com/filefix-part-2/

---

4 Anthropic MCP漏洞致开发者面临远程攻击风险

网络安全研究人员发现人工智能公司Anthropic的模型上下文协议（MCP）检查器项目存在严重安全漏洞（CVE-2025-49596），CVSS评分为9.4。该漏洞可能导致远程代码执行（RCE），使攻击者能够完全访问主机。MCP由Anthropic于2024年11月推出，是一种开放协议，用于标准化大型语言模型（LLM）应用程序与外部数据源和工具的集成和数据共享。MCP Inspector是一个开发工具，用于测试和调试MCP服务器，但其默认设置存在重大安全风险，如缺少身份验证和加密。攻击者可通过结合0.0.0.0 Day漏洞和CSRF漏洞（CVE-2025-49596），在开发者机器上运行任意代码。该漏洞已于2025年4月被披露，项目维护人员于6月13日发布0.14.1版本修复了该漏洞，添加了会话令牌和来源验证，阻止攻击活动。

https://www.oligo.security/blog/critical-rce-vulnerability-in-anthropic-mcp-inspector-cve-2025-49596

---

5 澳航遭Scattered Spider入侵600万客户数据泄露

近日，澳大利亚航空公司（澳航）披露了一起严重的网络攻击事件，威胁行为体获得了包含客户数据的第三方平台的访问权限，导致“大量”数据被盗。此次攻击始于一名威胁行为体攻击澳航呼叫中心，并获取了第三方客户服务平台的访问权限。被盗数据包括部分客户的姓名、电子邮件地址、电话号码、出生日期和常旅客会员号码，但信用卡或个人财务信息未遭泄露。此次攻击与勒索组织Scattered Spider（UNC3944）近期针对航空业的攻击模式高度吻合。该组织以社会工程攻击（如MFA轰炸、SIM卡劫持）著称，近期还入侵了夏威夷航空、西捷航空，并曾制造米高梅度假村勒索事件。

https://www.bleepingcomputer.com/news/security/qantas-discloses-cyberattack-amid-scattered-spider-aviation-breaches/

---

6 Aeza集团因托管勒索软件和信息窃取服务器而受到制裁

美国财政部外国资产控制办公室（OFAC）宣布对俄罗斯Aeza集团及其四名高管实施制裁，指控其长期为勒索软件团伙、信息窃取者及暗网市场提供“防弹托管”（BPH）服务。Aeza被指托管了包括BianLian勒索软件、RedLine窃密木马及俄罗斯暗网毒品平台BlackSprut的服务器，并参与俄政府支持的“Doppelgänger”虚假宣传行动（克隆欧美媒体网站散布虚假信息）。此次制裁冻结Aeza集团及其关联公司在美资产，并禁止美国实体与其交易。四名被制裁高管包括CEO Arsenii Penzev、总经理Yuri Bozoyan等，均涉嫌直接参与犯罪运营。

https://www.bleepingcomputer.com/news/security/aeza-group-sanctioned-for-hosting-ransomware-infostealer-servers/

---