每日安全简讯(20250901)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者滥用Velociraptor与Teams进行渗透

网络安全研究人员披露，不明威胁行为者正滥用开源取证工具Velociraptor，在受害系统中下载并执行Visual Studio Code，用于建立指向攻击者控制的C2隧道。攻击链利用Windows msiexec从Cloudflare Workers下载MSI文件安装Velociraptor，再通过PowerShell加载VS Code隧道功能实现远程访问和代码执行。研究指出，这类行为或为勒索软件攻击前兆，应重点监控未经授权的Velociraptor使用。与此同时，安全公司发现另一波攻击活动利用Microsoft Teams作为初始入侵渠道，攻击者冒充IT人员发送消息或发起通话，诱导受害者安装AnyDesk等远控工具并执行恶意PowerShell脚本，最终窃取凭据并获取持久控制。专家提醒，Teams钓鱼已成为常态化威胁，企业需结合日志监控与员工培训加以防范。

https://news.sophos.com/en-us/2025/08/26/velociraptor-incident-response-tool-abused-for-remote-access/

---

2 FBI与荷兰警方取缔假证平台VerifTools

FBI与荷兰警方联合行动，成功关闭了知名假证交易平台VerifTools，并在阿姆斯特丹查获其服务器。该平台长期提供伪造的驾驶证、护照等身份文件，以协助用户绕过身份验证系统，从事银行诈骗、钓鱼、福利欺诈及逃避追责等犯罪活动，甚至被年轻人用于规避年龄限制。调查显示，VerifTools自2022年起提供假证服务，价格低至9美元，并主要通过加密货币收款，非法收益高达约640万美元。此次执法共查封两台物理服务器和21台虚拟服务器。虽然平台管理员尚未落网，但警方表示将利用扣押的数据追查幕后人员，力争彻底打击相关犯罪网络。

https://www.justice.gov/usao-nm/pr/us-government-seizes-online-marketplaces-selling-fraudulent-identity-documents-used

---

3 Sitecore曝缓存投毒与RCE组合漏洞

安全研究人员披露，Sitecore Experience Platform中存在三项新漏洞，攻击者可将其组合利用实现缓存投毒与远程代码执行。漏洞包括：CVE-2025-53693（HTML缓存投毒）、CVE-2025-53691（反序列化RCE）及CVE-2025-53694（ItemService API信息泄露）。其中前两项已于6月修补，第三项则在7月修复。研究指出，攻击者可先利用ItemService API枚举缓存键并发起HTTP缓存投毒，再结合反序列化漏洞执行恶意代码，从而攻陷即便已完全打补丁的站点。此前，Sitecore还被披露存在硬编码凭证和多项RCE漏洞，凸显其安全风险。企业应及时更新补丁并限制API暴露，以降低被攻击链条利用的可能性。

https://labs.watchtowr.com/cache-me-if-you-can-sitecore-experience-platform-cache-poisoning-to-rce/

---

4 WhatsApp修复零点触发漏洞

WhatsApp近期修复了一项影响iOS和macOS的严重漏洞（CVE-2025-55177），该漏洞可能已被与苹果零日漏洞（CVE-2025-43300）组合利用，用于针对性攻击。漏洞源于设备同步消息权限校验不足，允许攻击者在无需交互的情况下触发目标设备处理任意URL内容，从而实现“零点击”入侵。受影响版本包括7月28日前的iOS版、8月4日前的商业版和Mac版WhatsApp。WhatsApp已向部分疑似遭高级间谍软件攻击的用户发出通知，并建议进行设备恢复出厂设置及保持系统与应用更新。研究人士指出，此次攻击或针对记者与人权维护者，显示政府级间谍软件仍是高危威胁。

https://www.whatsapp.com/security/advisories/2025/

---

5 Salesloft数据泄露波及Google账户

Google警告称，近期Salesloft Drift平台遭攻击事件的影响范围超出最初预估，除Salesforce实例外，攻击者还利用被盗OAuth令牌入侵了少量Google Workspace邮箱账户。此次攻击由UNC6395组织发起，最初通过Drift与Salesforce的集成窃取OAuth令牌，并在客户数据库中搜索敏感信息，包括AWS密钥、Snowflake令牌及密码，可能用于后续勒索。最新调查发现，攻击者还在8月9日利用“Drift Email”集成令牌访问了部分Workspace邮箱。Google已吊销相关令牌并禁用相关集成，强调未发现Google Workspace或Alphabet本身被攻破。Google与Salesloft均敦促用户撤销并轮换所有与Drift相关的凭证，检查第三方集成并重置疑似泄露的密钥，以防进一步入侵。

https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift?e=48754805

---

6 内华达牙科诊所泄露120万患者数据

美国内华达州牙科机构Absolute Dental近日通报一起大规模数据泄露事件，超120万人受影响，涉及敏感健康及个人信息。该机构5月向监管部门上报时仅估计影响501人，如今规模大幅上升。事件源于其第三方托管服务商账户被滥用，导致用户误运行“恶意版本的合法工具”，为攻击者提供初始访问。专家推测，此次事件或与近期针对Salesforce应用的攻击潮存在关联。分析认为，该事件兼具供应链攻击与凭证滥用特征，暴露出外包管理账户缺乏安全管控。安全专家呼吁加强零信任、身份管控与MDR检测，以降低此类攻击造成的影响。

https://www.absolutedental.com/notice-of-a-data-incident/

---