安全播报_2025年11月10日

1.运输公司遭黑客攻击，货物被盗

根据Proofpoint报告，网络犯罪组织正针对货运与物流公司策划复杂攻击链：通过入侵货运代理平台发布虚假订单，向接单承运商发送含恶意链接的邮件，诱使其下载ScreenConnect等合法远程管理工具；随后利用这些工具控制承运商系统，窃取凭证并操纵调度流程，将高价值货物转移至犯罪集团手中。此类攻击自2025年1月持续活跃，旨在劫持实物货物牟利，年损失超300亿美元。事件揭示远程管理工具滥用已成为供应链安全重大威胁，企业需强化账户认证、警惕恶意邮件并严格监控远程工具使用。详情链接

1.Cephalus 勒索组织滥用 RDP 凭证发起全球加密攻击

2025年6月，名为Cephalus的新型勒索组织在全球活跃。该组织专攻未启用多因素认证的RDP服务，通过窃取凭证入侵系统，进行数据窃取和全盘加密。其勒索软件由Go语言编写，能关闭安全防护并删除卷影副本，结合AES与RSA加密且采用虚假密钥误导分析。攻击者还通过展示窃取数据对受害者进行“证据式施压”，手段极为激进。Cephalus的崛起凸显了远程访问安全的重要性，企业需立即在RDP服务上强制启用多因素认证，并强化终端监控与独立备份，以应对此类多层威胁。详情链接

2.一数据泄露事件已致49人死亡

近日提交至英国议会委员会的研究证实，英国国防部2022年的大规模数据泄露已造成至少49名阿富汗人因其信息暴露而遭杀害。该事件泄露了近1.9万名曾为英方工作的阿富汗申请人信息，直至2023年8月才被公开。调查显示，在231名收到泄露通知的受访者中，87%本人或家人遭受威胁，43%收到直接生命威胁。尽管国防部援引独立审查称“仅出现在泄露名单中不太可能直接导致遇害”，但受害者与援助组织指出，政府迟至2025年7月才全面通知当事人，严重延误了防护与安置，暴露出应急机制的严重失责。详情链接

3."12345"在2025年仍然是最热门的密码

根据Comparitech对2025年泄露的20亿条密码分析，“123456”以出现760万次的频率蝉联最常用密码榜首，榜单前二十名几乎全由“12345678”、“admin”、“password”等简单组合占据。研究显示，人类在密码设置上表现出显著的惰性：近四成密码包含“123”字串，超65%的密码长度未达12位的安全建议，而超过16位的仅占3.2%。尽管密码管理器和双因素认证等更安全的方案早已普及，但大量用户乃至部分著名机构（如被曝使用“LOUVRE”作为密码的卢浮宫）仍在使用极易破解的弱密码，这持续构成严峻的网络安全风险。详情链接

1.三星Galaxy零日漏洞被利用在手机中植入间谍软件

2025年中东地区发生一起针对三星Galaxy设备的定向间谍攻击，攻击者通过WhatsApp发送特制DNG图像，利用三星设备libimagecodec.quram.so组件的零日漏洞CVE-2025-21042实现越界写入，在用户查看图片时自动解压并加载恶意共享库。该库部署名为“LANDFALL”的模块化间谍软件，通过HTTPS与C2服务器通信，按需下载功能模块，窃取录音、位置、通讯录等敏感数据，并操纵SELinux策略维持持久化。攻击链高度隐蔽，样本最早出现在2024年7月，主要针对三星S22至S24及折叠屏系列高端机型，基础设施特征与Stealth Falcon组织存在相似性。该事件揭示了多媒体文件处理流程的深层风险，凸显及时安装安全更新、警惕可疑文件的重要性。详情链接

2.PureRAT恶意软件通过ClickFix感染Booking.com酒店账户并诈骗旅客

近日，Sekoia披露了一场自2025年4月持续至今、针对酒店与旅客的“I Paid Twice”网络诈骗。攻击者首先通过低价购得的酒店管理员邮箱名单，向酒店员工发送伪装成客户咨询、带有Booking.com标识的钓鱼邮件。员工一旦点击恶意链接，便会中招PureRAT远控木马，导致其预订平台账户凭证被盗，甚至设备被完全控制。随后，诈骗团伙利用窃取的账户信息，冒充酒店或预订平台通过WhatsApp或邮件联系旅客，以“付款故障需重新支付”等话术诱导其访问伪造支付页面，从而骗取房费。截至2025年10月，已有数百个相关恶意域名活跃，诈骗范围正从Booking.com向Expedia等其他旅游平台扩展，形成了一条从入侵酒店到欺诈旅客的完整黑色产业链。详情链接

3.德国ISP Aurologic GmbH成全球恶意基础设施核心节点

德国主机服务商Aurologic GmbH正迅速成为全球恶意网络基础设施的关键枢纽。该公司成立于2023年，依托位于德国朗根的数据中心提供高带宽服务，其客户群包含metaspinner、Femo IT及已被制裁的Aeza Group等多个被安全机构标记的高风险主机商。这些下游客户长期托管Cobalt Strike、RedLine Stealer等恶意软件的C2服务器，而Aurologic作为共同上游节点，为这些恶意基础设施提供了稳定的网络路由与互联支持——尽管Aeza已遭国际制裁，其约50%的IP前缀仍通过Aurologic路由。该案例暴露了上游运营商在监管缺位下以“技术中立”为由纵容犯罪流量的系统性漏洞，凸显互联网基础设施生态中“被动放任”对全球网络安全的持续危害。详情链接

1.ValleyRAT木马利用微信和钉钉针对国内用户发起攻击

ValleyRAT是一种主要针对中文用户的多阶段Windows远程访问木马，通常通过钓鱼邮件和木马化软件传播。其独特之处在于具备地理触发机制，会检查系统是否安装微信或钉钉，若无则停止运行以规避分析。该木马采用多种UAC绕过技术获取高权限，并具备强反分析能力，包括检查CPU厂商字符串、探测安全工具窗口。其加载器使用3DES加密资源，通过MSBuild.exe这一合法系统工具在内存中解密执行最终载荷，有效隐藏恶意行为。这种结合环境感知、权限提升与进程伪装的复杂设计，使其检测和清除难度显著增加。详情链接