每日安全简讯(20251129)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT组织Bloody Wolf针对中亚发起钓鱼攻击

自2025年6月以来，以“血狼”（Bloody Wolf）为名的高级持续性威胁（APT）组织在中亚地区的网络钓鱼活动激增。该组织通过伪装成政府机构，尤其是司法部，利用诱人的PDF文档和合法域名，诱使受害者下载安装恶意的NetSupport远程管理工具（RAT）。分析显示，攻击者首先通过鱼叉式网络钓鱼邮件传播带有恶意链接的文档，随后诱导用户下载包含Java归档（JAR）文件的压缩包。尽管该组织尚未明确归属，但其活动已扩展至哈萨克斯坦、吉尔吉斯斯坦和乌兹别克斯坦等国。

https://www.group-ib.com/blog/bloody-wolf/

---

2 韩国金融业遭麒麟RaaS供应链攻击

近日，韩国金融服务行业遭遇了一场复杂的供应链攻击，名为“韩国泄密”。该事件涉及著名的勒索软件即服务（RaaS）组织“麒麟”，并可能与朝鲜关联的黑客组织“月光石冰雹”有关。数据显示，韩国在短时间内成为勒索软件攻击的重点目标，尤其集中在金融行业，受害企业数量在迅速增加。攻击者通过入侵托管服务提供商（MSP）获得多个企业的访问权限，迅速展开攻击。麒麟组织以“政治活动家”自居，并通过其专属泄露网站公开受害者数据，增加施压效果。

https://www.bitdefender.com/en-us/blog/businessinsights/korean-leaks-campaign-targets-south-korean-financial-services-qilin-ransomware

---

3 恶意Chrome扩展操控Solana并隐秘收费

研究团队近日揭露了一款名为“Crypto Copilot”的恶意Chrome扩展，该程序通过操控Solana网络的Raydium交易，悄悄注入未公开的SOL转账，向攻击者的钱包转移交易费用。自2024年6月发布以来，该扩展自称为便捷的交易工具，然而其背后隐藏着复杂的恶意逻辑。在用户进行交易时，扩展会在合法的交易指令中插入一条附加指令，转移一定比例的SOL到攻击者的硬编码钱包。虽然扩展的宣传文案未提及这笔额外费用，但每次交易都可能产生0.0013 SOL或0.05%交易金额的隐性费用。这种机制使得用户在不知情的情况下遭受损失。

https://socket.dev/blog/malicious-chrome-extension-injects-hidden-sol-fees-into-solana-swaps

---

4 俄关联组织RomCom攻击增援乌克兰企业

2025年9月，研究人员拦截到一次前所未见的攻击链：俄背景团伙RomCom通过流量代理TA569运营的SocGholish假更新平台，向一家增援乌的美国工程公司植入Mythic Agent加载器，全程不足30分钟。脚本先在合法网站注入恶意JavaScript，诱使用户运行“浏览器更新”；随即反向Shell下载VIPERTUNNEL后门，并在确认目标域符合硬编码值后解密RomCom shellcode，连接至七台于同日批量注册的C2服务器。安全团队以中高置信度判定幕后为俄总参情报总局29155部队，意图破坏援乌供应链。所幸加载器刚落地即被EDR隔离，未造成实质入侵。

https://arcticwolf.com/resources/blog/romcom-utilizing-socgholish-to-deliver-mythic-agent-to-usa-companies-supporting-ukraine/

---

5 新型僵尸网络ShadowV2利用服务中断进行测试

一种名为“ShadowV2”的新型基于Mirai的僵尸网络恶意软件被发现利用多个已知漏洞攻击D-Link、TP-Link及其他制造商的物联网设备。Fortinet旗下的FortiGuard Labs在10月份AWS大规模服务中断期间注意到了这种活动，尽管这两者之间并无直接关联。ShadowV2利用了至少八个漏洞进行传播，其中包括影响已停产D-Link设备的多个漏洞，部分设备将不会再收到固件更新。此次攻击影响了全球多个行业，包括政府、科技和教育等，显示出其广泛的危害。ShadowV2能够发起针对UDP、TCP和HTTP协议的分布式拒绝服务（DDoS）攻击，并通过其命令与控制（C2）基础设施进行管理。

https://www.bleepingcomputer.com/news/security/new-shadowv2-botnet-malware-used-aws-outage-as-a-test-opportunity/

---

6 微软Teams访客聊天漏洞致用户面临风险

研究人员揭示了其B2B来宾访问功能中的一个重大安全漏洞。该漏洞使攻击者能够仅凭一次邀请便可绕过企业的Microsoft Defender保护，带来严重的安全隐患。研究显示，当员工接受外部邀请加入其他公司的聊天时，他们的安全防护将不再由其所属公司控制，而是完全依赖于托管环境。攻击者利用这一点，通过创建基本帐户轻松搭建“无防护区”，使其能够在没有安全防护的情况下进行攻击。这种简化的邀请方式，加上许多组织默认接受来自全球公司的访客邀请，导致大量公司面临潜在的恶意软件攻击和数据泄露风险。

https://hackread.com/microsoft-teams-guest-chat-flaw-malware/

---