Catwatchful间谍软件漏洞致6.2万用户数据泄露
发布时间 2025-07-081. Catwatchful间谍软件漏洞致6.2万用户数据泄露
7月4日,2025年6月,安全研究员Eric Daigle揭露Catwatchful间谍软件存在严重安全漏洞,其Firebase数据库因SQL注入攻击暴露62,000名用户明文登录信息及26,000台设备数据,引发数据泄露事件。这款伪装成“隐形”儿童监控应用的间谍软件,实际通过物理接触植入受害者手机,非法窃取照片、短信、实时位置及环境音频,并远程操控摄像头。尽管应用商店已禁止此类工具,Catwatchful仍通过预配置APK传播,受害者多集中于墨西哥、哥伦比亚等拉丁美洲国家,部分数据可追溯至2018年。事件暴露后,TechCrunch与数据泄露通知平台Have I Been Pwned合作警示潜在受害者,谷歌虽通过安全浏览标记相关域名,但涉事数据库在调查期间仍持续在线。时间线显示,6月23日谷歌介入后,主域名catwatchful.pink于6月25日瘫痪,但替代域名xng.vju.temporary.site次日恢复服务,直至6月27日通过WAF阻断SQL注入攻击。值得注意的是,该软件内置“543210”后门代码,允许攻击者在应用隐藏后重新获取控制权,用户可通过拨打该代码检测并卸载恶意程序。
https://securityaffairs.com/179620/malware/a-flaw-in-catwatchful-spyware-exposed-logins-of-62000-users.html
2. CISA将Google Chromium V8漏洞列入已知可利用漏洞目录
7月7日,美国网络安全和基础设施安全局(CISA)近日将编号为CVE-2025-6554的ChromiumV8漏洞列入已知可利用漏洞(KEV)目录,标志着该高危漏洞已进入政府监管视野。该漏洞存在于GoogleChrome138.0.7204.96之前版本的V8JavaScript和WebAssembly引擎中,属于典型的类型混淆漏洞,当引擎错误处理数据类型时,可能导致内存损坏或任意代码执行,攻击者可通过构造恶意HTML页面实施远程攻击。谷歌安全团队于2025年6月25日由威胁分析小组研究员ClémentLecigne发现该漏洞后,迅速通过Stable通道向全平台推送修复补丁,Chrome稳定版已更新至138.0.7204.x版本。值得注意的是,此次修复距漏洞发现仅隔一天,但安全公告明确指出"野外已存在针对该漏洞的攻击利用",表明威胁行为者可能已将其用于定向攻击,涉及国家黑客组织或商业间谍软件供应商的可能性引发业界担忧。美国联邦政府要求所有联邦行政部门机构必须在2025年7月23日前完成漏洞修复。
https://securityaffairs.com/179682/hacking/u-s-cisa-adds-google-chromium-v8-flaw-to-its-known-exploited-vulnerabilities-catalog.html
3. Atomic macOS恶意软件进化升级,Mac设备面临持久性后门威胁
7月7日,网络安全研究人员近日披露,针对macOS系统的Atomic信息窃取程序(AMOS)已推出具备持久化后门功能的新版本,标志着这一恶意软件即服务(MaaS)平台的技术能力与威胁等级显著升级。据MacPaw旗下Moonlock实验室分析,该后门组件可实现远程命令执行、键盘记录、横向渗透等功能,并能在系统重启后继续运行,使攻击者获得对受感染设备的长期控制权。此次发现源于独立研究员g0njxa提供的线索,目前全球已有120多个国家的用户受到影响,其中美国、法国、意大利、英国和加拿大为重灾区。Atomic窃取程序最早于2023年4月被记录,其作为MaaS平台在Telegram频道推广,每月订阅费高达1000美元,初期目标为窃取macOS文件、加密货币钱包扩展程序及浏览器保存的密码。2023年11月,该组织通过"ClearFake"活动首次将攻击范围扩展至macOS系统;2024年9月,网络犯罪集团"Marko Polo"在针对Apple设备的大规模活动中部署了该恶意软件。值得关注的是,其分发策略已从破解软件网站等广泛渠道,转向针对加密货币持有者的定向网络钓鱼,以及向自由职业者发送伪装成面试邀请的恶意载荷。
https://www.bleepingcomputer.com/news/security/atomic-macos-infostealer-adds-backdoor-for-persistent-attacks/
4. 巴西C&M Software系统漏洞致1.4亿美元储备金被盗
7月7日,巴西金融系统遭遇重大安全事件,连接央行与地方银行的中间服务商C&M Software公司因黑客攻击导致六家金融机构的储备账户损失800万巴西雷亚尔(约合1.4亿美元),成为巴西央行历史上最严重的供应商系统漏洞事件之一。事件始于6月30日,C&M Software向巴西央行通报其平台遭入侵,攻击者通过非法手段转移了金融机构间用于清算的储备资金。巴西央行随即暂停所有本地机构对C&M平台的访问权限,并介入调查。7月4日,圣保罗警方逮捕了48岁的前C&M后端系统工程师Jo?o Roque,指控其以约2700美元的价格向黑客出售系统登录凭证,并协助构建资金转移机制。据警方披露,Roque通过WhatsApp与犯罪团伙联络,利用摩托车快递收取报酬,且每15天更换一次手机以规避追踪,但最终仍被技术手段定位。值得注意的是,被盗资金源自金融机构的同业储备账户,而非客户存款,因此公众资金未直接受损。目前巴西当局已冻结5000万美元涉案资产,C&M Software表示已配合完成系统修复并恢复运营。
https://www.bitdefender.com/en-us/blog/hotforsecurity/employee-arrested-after-brazils-central-bank-service-provider-hacked-for-us-140-million
5. 黑客滥用泄露的Shellter红队工具部署信息窃取程序
7月7日,渗透测试工具供应商Shellter Project近日证实,其商业级AV/EDR逃避加载器Shellter Elite因客户泄露副本,被黑客用于传播信息窃取恶意软件。据Elastic Security Labs 7月3日披露,自2025年4月起,多个威胁组织(包括Rhadamanthys、Lumma和Arechclient2)通过YouTube评论和网络钓鱼邮件分发使用Shellter Elite v11.0制作的恶意载荷。该工具作为红队专用设备,通过多态性静态规避和AMSI/ETW等动态运行时规避技术,可将有效载荷植入合法Windows二进制文件以绕过EDR检测。Elastic研究人员通过许可证时间戳追踪,确认攻击者使用单个泄露副本实施了长达数月的攻击活动。Shellter Project在声明中承认,此次滥用源于某客户泄露其购买的Elite许可证副本,并强调这是2023年2月实施严格许可模式后的首例已知滥用事件。为应对危机,该公司已发布Elite 11.1版本,仅向通过审查的客户分发更新,但未透露具体技术缓解措施。值得关注的是,Shellter Project公开指责Elastic Security Labs未及时通报漏洞,称其"为制造轰动效应而隐瞒信息",并称已收到Elastic提供的样本用于定位违规客户。
https://www.bleepingcomputer.com/news/security/hackers-abuse-leaked-shellter-red-team-tool-to-deploy-infostealers/
6. 勒索软件SatanLock终止运营,称被盗数据将被泄露
7月7日,新成立的"撒旦锁"(SatanLock)勒索软件组织近日突然宣布关闭,但其在暗网发布的声明中威胁将于当日泄露所有从受害者处窃取的数据,引发安全界关注。自2025年4月初活跃以来,SatanLock以激进攻击手段迅速崭露头角,短短数周内即在暗网泄密网站公布67名受害者详细信息。值得注意的是,Check Point研究院5月报告指出,其中超过65%的受害者此前已出现在其他勒索团伙的泄密名单中。这一现象表明,该组织可能通过共享犯罪基础设施运作,或刻意针对已被其他团伙入侵的网络进行"二次收割"。网络安全公司Lockbit Decryptor的分析进一步揭示,SatanLock与Babuk-Bjorka、GD Lockersec等多个知名勒索软件家族存在关联,暗示其属于更大规模的网络犯罪网络。这种关联性与此前"猎人国际"(Hunters International)改名为WORLD LEAKS并转型数据泄露的案例形成呼应。尽管SatanLock的关闭原因尚不明确,但业界猜测其可能采用类似策略,通过品牌重塑规避执法打击。
https://hackread.com/satanlock-ransomware-ends-operations-stolen-data-leak/
京公网安备11010802024551号