安全新聞週報 20250428~0504

 

 

1.iOS曝"一行代碼變磚"高危漏洞，蘋果緊急修復阻斷攻擊鏈
蘋果iOS系統近日曝出編號CVE-2025-24091的高危漏洞，攻擊者僅需一行代碼即可觸發"軟磚"狀態——使iPhone陷入無限恢復迴圈直至徹底重置。該漏洞雖已在iOS 18.3版本修復，但其攻擊成本之低、破壞範圍之廣引發安全界震動。
 

漏洞根源在於Darwin通知系統（蘋果跨平臺進程間通信的底層API）。由於該介面無需特殊許可權即可調用，即使受沙盒限制的普通應用也可發送關鍵系統通知：

當SpringBoard（iOS主屏管理進程）接收到此信號，設備將強制進入"恢復進行中"狀態。由於無真實恢復進程，系統陷入死迴圈：反復提示重啟→惡意代碼再次觸發→持續拒絕服務。受害者只能通過DFU模式全盤擦除才能恢復。
 

從應用到小組件的降維打擊，概念驗證工具"EvilNotify"揭示更嚴峻風險：
前臺攻擊：普通應用運行時直接觸發。
後臺持久化：將惡意代碼植入小組件擴展程式，利用iOS自動重啟機制實現跨設備重啟攻擊。
功能干擾：鎖定控制中心/通知中心，強制切換蜂窩網路，偽造系統級安全彈窗。

 

蘋果通過三項措施封堵漏洞：
許可權收編：建立新的授權系統，僅允許受信任的系統簽名進程發送敏感Darwin通知。
行為監控：攔截未授權應用的惡意通知請求。
沙盒強化：限制沙盒內應用對底層API的訪問層級。
 

此次事件暴露兩大安全隱憂：
技術債務風險：Darwin作為macOS遺產代碼，在iOS現代化架構中埋下隱患。
自動化攻防失衡：漏洞利用代碼可通過App Store自動化檢測的幾率近乎為零。
 

用戶應立即升級至iOS 18.3及以上版本。企業MDM管理員需重點關注醫療、金融等行業設備的合規性檢查，避免業務連續性受損。此次漏洞再次印證：即便在封閉如iOS的生態中，歷史遺留問題仍可能成為攻擊者突破的"命門"。
 

鏈接：
https://cyberpress.org/new-ios-critical-flaw/

 

2.AWS默認服務角色暗藏提權漏洞，過寬S3許可權或致帳戶淪陷
 

最新安全研究揭示，AWS多項核心服務的默認角色配置存在嚴重設計缺陷，攻擊者可利用AmazonS3FullAccess策略實現許可權提升甚至完全控制雲帳戶。此次風險涉及SageMaker、Glue、EMR等核心服務及Ray等開源框架的默認部署配置。
 

風險根源：服務角色許可權超載。AWS為簡化用戶初始配置，常自動創建攜帶託管策略的默認角色。但此類"便利性設計"潛藏重大隱患：
Glue服務：自動創建的AWSGlueServiceRole默認附加AmazonS3FullAccess策略。
SageMaker：執行角色擁有近乎完全的S3訪問許可權。
Ray框架：ray-autoscaler-v1角色默認開放S3全權訪問。
 

由於S3在AWS生態中的核心地位（存儲CloudFormation範本、EMR腳本等關鍵資產），過度許可權將引發連鎖反應：低許可權服務遭入侵→篡改S3存儲的IaC資產→觸發高階服務執行惡意代碼→獲取管理員上下文許可權。
攻擊者將惡意Hugging Face模型植入SageMaker，利用高許可權角色：遍曆可訪問的S3存儲桶；篡改Glue作業腳本注入後門；通過CloudFormation部署惡意資源；橫向移動鏈。
 

以Ray集群為例：入侵計算節點獲取ray-autoscaler-v1角色憑證；利用S3全權限枚舉帳戶內敏感配置檔；篡改EMR引導腳本實現持久化滲透。
 

AWS已採取三項整改措施：
收緊SageMaker、EMR默認角色策略。
Glue服務移除S3全權限默認配置。
Lightsail引導用戶創建最小許可權S3策略。
 

企業需立即執行以下防護動作：
許可權審計：掃描所有IAM角色，識別攜帶AmazonS3FullAccess策略的實體。
最小許可權重構：按需替換託管策略為自定義精細化策略。
代碼倉庫防護：對存儲IaC腳本的S3桶啟用版本控制與變更監控。
運行時防護：在Glue、EMR等服務中部署行為異常檢測機制。
 

此次漏洞事件再次印證：雲服務的"開箱即用"配置不等於安全。在便捷性與安全性之間，企業需建立持續的許可權治理機制，方能抵禦日益複雜的雲原生攻擊鏈。
 

鏈接：
https://cyberpress.org/aws-defaults-unknowingly-expose-attack-vectors/

 

3.AirPlay協議曝"零點擊"遠程代碼執行漏洞，數十億蘋果及IoT設備面臨蠕蟲攻擊風險
 

網路安全公司披露蘋果AirPlay協議及SDK存在高危漏洞集群（統稱"AirBorne"），攻擊者可借助Wi-Fi網路遠程接管設備，引發數據洩露、勒索軟體傳播等連鎖威脅。此次漏洞影響macOS、iOS、CarPlay等全系蘋果產品及數百萬第三方IoT設備。
 

AirPlay作為蘋果私有流媒體協議，通過TCP 7000端口通信，採用HTTP/RTSP混合協議及屬性列表（plist）序列化格式。漏洞核心在於plist解析過程中的類型混淆與緩衝區溢出。
 

當服務端預期接收CFDictionary類型卻收到CFArray時，調用CFDictionaryGetValue將觸發進程崩潰或代碼執行（取決於CoreFoundation版本）。
 

潛在攻擊場景：
間諜監聽：劫持設備麥克風實施竊聽。
橫向滲透：在企業網路內蠕蟲式傳播勒索軟體。
供應鏈攻擊：通過感染第三方AirPlay設備植入後門。
車載系統劫持：利用CarPlay漏洞干擾駕駛或竊取數據。
 

緊急防護措施：
立即更新系統，升級至macOS Sequoia 15.4、iOS/iPadOS 18.4等修補版本。
 

最小化攻擊面：
1.關閉非必要的AirPlay接收功能。
2.防火牆限制7000端口僅允許可信設備訪問。
3.配置AirPlay僅對"當前用戶"可見。
 

網路分段：將IoT設備隔離至獨立VLAN，啟用網路行為監控。
此次漏洞集群暴露出無線協議安全的嚴峻挑戰。蘋果生態中逾23.5億活躍設備及海量第三方硬體面臨史上最大規模的無線攻擊面擴散風險，企業需即刻啟動應急回應，杜絕"隔空投毒"式高級威脅。
 

鏈接：
https://cyberpress.org/wormable-airplay-zero-click-rce-vulnerability/

 

4.Outlaw駭客組織升級Linux惡意軟體，全球雲基礎設施面臨加密劫持與數據外泄雙重威脅
 

網路安全研究人員發現，臭名昭著的Outlaw網路犯罪團夥近期針對Linux系統發起全球性攻擊，其新型惡意軟體集加密劫持、持久化控制與橫向滲透於一體，已危及企業級雲環境安全。該組織自2018年活躍至今，技術能力持續進化，最新攻擊鏈呈現三大特徵：
攻擊手法升級：
1.初始入侵，通過SSH暴力破解；利用未修復的公開漏洞。
2.載荷投遞：模組化惡意軟體支持動態加載DDoS組件、挖礦程式等；採用無檔攻擊技術規避靜態檢測。
持久化機制：通過cron實現開機自啟，添加不可修改屬性。其隱匿手段包括：仿冒系統進程sysupdatd；使用rootkit技術遮罩惡意目錄；每小時自動變更惡意檔哈希值進行動態混淆。
貨幣化路徑：植入門羅幣礦工（連接pool.minexmr[.]com:443礦池）；被控主機算力資源遭劫持，系統負載異常升高；通過C2伺服器（185.234.73.129）下發遠控指令。
 

受影響領域：金融雲平臺、電商基礎設施、製造業IoT邊緣節點。地域分佈：北美（37%）、歐洲（29%）、亞太（24%）。
 

緊急防護措施：禁用SSH密碼登錄，強制使用密鑰認證；配置防火牆策略限制22端口訪問源IP；掃描系統查找隱藏目錄（/usr/bin/.sysupdatd）；監控異常進程（sysupdatd的CPU佔用率及網路連接）；檢測惡意cron任務；清除不可變屬性；攔截與已知C2功能變數名稱（outlaw-c2[.]xyz）的通信；阻斷礦池協議流量（stratum+tcp協議特徵）。
 

企業需立即啟動Linux伺服器深度排查，重點關注SSH日誌中的暴力破解痕跡與系統性能異常。雲服務提供商建議啟用即時進程行為分析，檢測挖礦軟體的典型CPU/GPU佔用模式。此次攻擊標誌著傳統網路犯罪團夥正加速向雲原生攻擊轉型，防禦體系需從被動修補轉向主動狩獵。
 

鏈接：
https://cyberpress.org/outlaw-cybergang-targets-global-attacks-on-linux-systems/

 

5.新型資訊竊取木馬"小妖精"現身黑產論壇，專攻支付憑證與加密貨幣錢包
 

網路安全公司於2025年3月發現新型資訊竊取木馬Gremlin Stealer（小妖精），該惡意軟體通過Telegram群組"CoderSharp"進行販售，主要針對Windows系統用戶實施數據竊取。其開發者採用C#編寫並持續更新功能，已形成完整的犯罪即服務（CaaS）產業鏈。
 

Gremlin Stealer具備多維度數據竊取能力：
流覽器數據：突破Chrome v20版Cookie防護，竊取密碼、自動填充資訊、信用卡資料。
通信軟體：劫持Telegram、Discord會話令牌及Steam平臺認證資訊。
金融資產：掃描比特幣、以太坊等主流加密貨幣錢包檔（如wallet.dat）。
系統資訊：收集剪貼板內容、FTP/VPN配置及磁片敏感文檔。
 

傳播與運營模式：
銷售管道：通過暗網論壇及Telegram群組以訂閱制形式出售，提供售後技術支持。
後臺管理：基於IP 207.244.199[.]46搭建Web控制臺，支持數據分類打包、即時統計與遠程刪除。
通信機制：採用HTTP POST上傳數據至C2伺服器，同步通過硬編碼API密鑰的Telegram機器人即時傳輸。
 

技術細節分析：
數據收集流程：
1.調用V20Collect類的GetCookies函數繞過Chromium系流覽器加密防護。
2.針對Gecko內核流覽器（如Firefox）開發專用竊取模組。
3.在%LOCAL_APP_DATA%目錄臨時存儲ZIP壓縮包後上傳。
 

反檢測設計：
1.無後續檔下載的單體化結構降低網路特徵。
2.採用C#反射加載技術實現記憶體駐留。
3.利用合法進程注入規避行為監控。
 

企業及個人用戶應採取以下防護措施：部署行為分析技術檢測異常數據收集行為；啟用動態威脅情報訂閱，及時阻斷IoC關聯通信；對流覽器進行加固；對敏感目錄（如AppData\Local）設置寫入許可權限制；禁用非必要流覽器擴展許可權；監控異常ZIP檔生成及HTTP POST外聯行為；檢查進程記憶體中是否存在C#反射加載特徵。
 

此次Gremlin Stealer的活躍標誌著黑產工具開發正朝著平臺化、服務化方向演進。安全團隊需構建覆蓋終端防護、網路監控、威脅情報的多層防禦體系，方能應對日益專業化的數據竊取威脅。
 

鏈接：
https://cyberpress.org/gremlin-stealer-emerges-on-hacker-forums/

 

6.葵青地區康健中心外購網路系統疑被入侵，姓名居住地區等會員資料或外泄
 

葵青地區康健中心營運機構的外購網路系統懷疑被入侵，或導致會員資料外泄，機構現已向警方報案及通報個人資料私隱專員公署。
 

醫務衞生局轄下基層醫療署昨日接獲葵青地區康健中心的營運機構葵青安全社區及健康城市協會通報，其外判服務供應商的網路系統前日懷疑被駭客入侵，可能導致會員資料外泄，包括姓名、會員編號、出生日期、居住地區及部分曾參與疫苗接種計畫會員的身份證首四位數字等，葵青安健協會正評估可能受影響的會員人數及所涉資料。
 

葵青安健協會已向警方報案及通報個人資料私隱專員公署，並已就事件通知數字政策辦公室，同時已按基層醫療署要求，即時中斷葵青康健中心網路系統的運作以及所有電腦伺服器的對外連接，阻止駭客進一步入侵。由於中心系統暫停運作，即日起已預約抽血服務及注射流感疫苗的會員須改期，葵青康健中心營運機構會透過電話及短訊等方式通知相關會員。
 

基層醫療署指，涉事系統與全港其他17區地區康健中心或康健站的系統並無任何直接連接，它們的營運機構亦沒有外購和使用該系統。同時，涉事系統獨立於該指定臨床醫療管理系統及醫健通，與兩個系統均並無直接對接，惟為審慎起見，電子健康紀錄專員在接獲通報後，已暫時吊銷該營運機構的醫健通登記。

 

鏈接：
https://www.am730.com.hk/%E6%9C%AC%E5%9C%B0/%E8%91%B5%E9%9D%92%E5%9C%B0%E5%8D%80%E5%BA%B7%E5%81%A5%E4%B8%AD%E5%BF%83%E5%A4%96%E8%B3%BC%E7%B6%B2%E7%B5%A1%E7%B3%BB%E7%B5%B1%E7%96%91%E8%A2%AB%E5%85%A5%E4%BE%B5-%E5%A7%93%E5%90%8D%E5%B1%85%E4%BD%8F%E5%9C%B0%E5%8D%80%E7%AD%89%E6%9C%83%E5%93%A1%E8%B3%87%E6%96%99%E6%88%96%E5%A4%96%E6%B4%A9/555330

 

7.美網攻華商用密碼產品提供商，竊大量商業秘密
 

國家互聯網應急中心去年發現處置一宗美國情報機構對中國大型商用密碼產品提供商網路攻擊事件，竊取大量商業秘密，近日發表報告公佈網攻詳情，為全球相關國家、單位有效發現和防範美國網攻行為提供借鑒。
報告指出，涉事公司使用某客戶關係管理系統，主要用於儲存客戶關係及合約訊息等。攻擊者利用該系統當時尚未曝光的漏洞入侵，實現任意檔上傳，入侵成功後為清除攻擊痕跡，刪除部分日誌紀錄。攻擊者去年3月5日在客戶關係管理系統植入特種木馬程式，同年5月20日開始攻擊該公司用於產品及專案代碼管理的系統。攻擊者使用的攻擊IP完全不重複，同時可秒級切換，位於荷蘭、德國和南韓等地，反映其高度的反溯源意識和豐富的攻擊資源儲備，且善於利用開源或通用工具偽裝躲避溯源，並隱藏自身攻擊行為。
 

攻擊者去年3月至9月用14個境外跳板IP連接特種木馬程式，並竊取客戶關係管理系統中的數據，累計竊取數據量達950MB。該系統有逾600個用戶，儲存8,000多條客戶檔案列表、1萬多條合約訂單，合約客戶包括中國相關政府部門等多個重要單位，攻擊者可查看合約名稱、採購內容、金額等詳情。攻擊者同年5月至7月再用3個境外跳板IP攻擊該公司的代碼管理系統，累計竊取數據量達6.2GB。
 

鏈接：
https://hk.on.cc/hk/bkn/cnt/news/20250429/bkn-20250429131420123-0429_00822_001.html
 

8.俄烏兩國遭國家級惡意軟體攻擊，DarkWatchman與Sheriff掀起網路暗戰
 

網路安全領域再現國家級網路對抗，俄羅斯與烏克蘭關鍵基礎設施接連遭新型惡意軟體侵襲。俄網路安全公司F6披露，針對俄羅斯的多行業大規模釣魚攻擊持續升級，而烏克蘭國防部門則遭遇未知組織投放的"Sheriff"後門程式，兩國網路空間博弈進入白熱化階段。
 

自2023年起，代號Hive0117的犯罪團夥持續利用DarkWatchman惡意軟體對俄發動精准打擊：
攻擊時間線：2023年9月：能源、金融、運輸及安全軟體行業（俄、哈、拉、愛）。2023年11月：銀行、零售平臺、電信、農業、能源、物流及IT企業（俄）。2025年3月：媒體、旅遊、生物科技等新行業納入打擊範圍。
技術特徵：基於JavaScript的遠程訪問木馬（RAT）；集成C#鍵盤記錄器，支持動態加載次級載荷；反取證能力：支持遠程指令擦除攻擊痕跡。
攻擊手法：初期使用快遞主題釣魚郵件投遞惡意壓縮包；近期採用密碼保護型惡意文檔規避沙箱檢測。
IBM X-Force於2025年3月披露，烏克蘭最大新聞門戶ukr.net遭攻陷，成為"Sheriff"後門的傳播跳板：
技術剖析：通過Dropbox API實現數據滲漏；每15分鐘自動截屏；偽裝"tree"命令收集目錄結構；自毀機制：遠程觸發後清除本地與雲端痕跡。
 

惡意代碼與Turla組織的Kazuar、Crutch，以及BadMagic的CloudWizard存在技術重疊，暗示潛在國家背景支持。
 

烏克蘭國家特殊通信與資訊保護局（SSSCIP）統計顯示：2024年下半年網路攻擊事件達2,576起，較上半年增長48%；關鍵基礎設施高危事件下降至59起（2022年1,048起）；攻擊焦點轉向戰場態勢感知系統與國防專項企業。
 

防禦啟示錄：部署深度內容檢測（DCI）識別偽裝文檔；強制啟用S/MIME郵件加密協議；檢測新聞站點的異常重定向；對國防系統實施動態訪問控制（DAC）；關鍵數據存儲啟用同態加密；監控Dropbox API異常調用（如非企業帳號訪問）；建立進程行為基線，檢測偽裝系統命令。
 

此次攻擊事件揭示，網路戰已從傳統的破壞性攻擊轉向長期潛伏、數據竊取與認知操縱相結合的混合模式。俄烏網路對抗的技術升級，為全球關鍵基礎設施防禦敲響警鐘。
 

鏈接：
https://thehackernews.com/2025/05/darkwatchman-sheriff-malware-hit-russia.html

 

9.俄語駭客組織"Nebulous Mantis"瞄準北約關聯實體，多階段RomCom木馬掀起高級持續性威脅
 

網路安全公司最新報告揭露，俄語系高級威脅組織"Nebulous Mantis"（又稱CIGAR、Storm-0978）自2022年中起持續使用RomCom遠程訪問木馬，對北約關聯國防機構、政府要員及關鍵基礎設施實施精密網路間諜活動。該組織運營架構顯示其具備國家級支持背景或專業網路犯罪集團特徵。
 

攻擊鏈深度解析：
初始滲透：發送釣魚郵件：嵌入武器化文檔鏈接（仿冒客戶投訴、招聘諮詢等內容）；利用客戶回饋門戶：通過Google Drive/OneDrive仿冒功能變數名稱投遞惡意載荷。
載荷投遞：第一階段：Hancitor加載器（2019年活躍）；第二階段：RomCom DLL（IPFS協議下載後續載荷）；第三階段：C++編寫核心模組（支持40+遠程指令）。
持久化機制：Windows註冊表操縱：通過COM劫持實現自啟動；時區偵察：執行tzutil命令識別受害者地理位置，規避時間型安全策略。
橫向移動：Active Directory枚舉；憑證竊取（流覽器數據、Outlook備份、系統配置）；使用Brute Ratel c4、Ragnar Loader等C2框架。
 

技術特徵與基礎設施：
隱匿通信：防彈主機服務：LuxHost、Aeza；IPFS協議分發惡意載荷；加密C2通道（C2面板可管理受害者設備詳情）。
工具鏈：Hancitor    初始載荷投遞；Brute Ratel c4命令控制與橫向移動；Dropbox API    隱蔽滲漏敏感資訊；LOTL策略利用合法系統工具實施攻擊。
 

英國安全公司披露，該組織2024年起針對零售、酒店及國家關鍵基礎設施（CNI）部門發起"虛假展望行動"：偽造客戶投訴表單，嵌入雲存儲仿冒鏈接；將可執行下載器偽裝為PDF文檔（SHA256匹配RomCom歷史樣本）。
 

防禦矩陣構建建議：啟用DMARC/DKIM/SPF三重驗證；部署深度內容檢測（DCI）識別雲存儲仿冒鏈接；檢測COM劫持註冊表項；阻斷IPFS協議通信（默認端口5001）；標記異常時區訪問行為（如東歐IP在非工作時間活躍）；實施動態訪問控制（基於設備指紋+用戶行為分析）；關鍵系統啟用JIT（Just-In-Time）特權訪問。
P

RODAFT同期披露關聯團夥"Ruthless Mantis"（PTI-288）的雙重勒索行動：
合作勒索聯盟：Ragnar Locker、INC Ransom。
工具鏈：定制化Brute Ratel c4加載器、Ragnar Loader。
攻擊特徵：結合APT級滲透技巧與勒索軟體即服務（RaaS）模式。
 

此次攻擊事件揭示，現代網路間諜活動正呈現"APT+勒索"的複合型威脅模式。防禦方需構建從網路流量分析到終端行為監控的全維度檢測體系，尤其警惕東歐時區相關的異常活動信號。
 

鏈接：
https://thehackernews.com/2025/04/nebulous-mantis-targets-nato-linked.html
 

四月網路安全形勢
地緣政治衝突仍是APT組織的首要攻擊背景，與之相關的攻擊活動非常活躍，比如：俄烏衝突，朝韓網路戰。APT組織的攻擊重點放在軟體供應鏈上，如果某個產品的源代碼被攻破，其他零日漏洞可能會繼續被發現。
 

全國網路安全標準化技術委員會正式發佈6項網路安全國家標準，標準聚焦於數據安全、生成式人工智慧安全等關鍵領域，進一步豐富了大網絡安全工作格局下的網路安全標準體系建設，為國家數據安全和人工智慧安全的管理工作及產業發展提供標準支撐。

 

 

信飛科技有限公司

2025年5月