谷歌修复了Chrome中被积极利用的沙盒逃逸零日漏洞
发布时间 2025-07-181. 谷歌修复了Chrome中被积极利用的沙盒逃逸零日漏洞
7月16日,谷歌近日发布Chrome浏览器安全更新,紧急修复六个安全漏洞,其中编号为CVE-2025-6558的高危漏洞已被攻击者利用,实现沙盒逃逸。该漏洞严重等级达8.8分,影响138.0.7204.157之前版本的Chrome,谷歌威胁分析小组(TAG)于6月23日发现后迅速推出补丁,建议用户立即升级至138.0.7204.157/158版本。CVE-2025-6558的核心问题在于Chrome的图形引擎组件ANGLE对不受信任输入的验证不足。ANGLE作为开源图形抽象层,负责将OpenGL ES调用转换为其他图形API(如Direct3D、Vulkan),但其在处理WebGL网站等来源的GPU命令时存在缺陷,允许攻击者通过特制HTML页面在GPU进程中执行任意代码,并最终突破浏览器沙盒限制。沙盒机制本是Chrome的核心安全防护,用于隔离浏览器进程与操作系统,防止恶意软件扩散至设备其他部分。此次漏洞的突破,可能使攻击者直接控制用户设备,窃取敏感数据或部署恶意软件。
https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-sandbox-escape-zero-day-in-chrome/
2. 格拉德尼收养机构数据泄露,110万条记录被曝光
7月17日,网络安全研究员Jeremiah Fowler在网络扫描中发现,美国格拉德尼收养中心相关的大量未受保护数据在线暴露,引发严重隐私危机。此次泄露的数据库容量达2.49GB,包含超过110万条敏感记录,涉及儿童、养父母、亲生家庭及机构员工,涵盖姓名、联系方式、病例记录、私人评估等高度隐私信息。这些数据未设置密码或加密保护,任何具备基础网络知识的用户均可通过暴露的云服务器直接访问,尤其易被网络犯罪分子利用。Fowler发现数据后立即向相关组织发起负责任披露,次日数据虽被紧急下线,但暴露时长及是否遭恶意访问仍存疑。泄露记录源自该机构用于管理案例与沟通的CRM平台,文件夹标注"联系人""申请""亲生父亲"等,详细记录申请人家庭背景、被拒收养原因、药物滥用或法律问题等细节。尽管未包含完整案件档案,但单条记录已包含足够信息,足以成为社会工程攻击或诈骗的目标。尤为敏感的是28.4万条电子邮件元数据,虽未曝光完整邮件正文,但主题行可能泄露姓名或参考信息,若结合机构与医疗、社会服务机构的关联记录,隐私风险将进一步扩大。技术分析显示,该数据库由纯文本与通用唯一标识符(UUID)构成,虽UUID看似复杂,但缺乏加密保护,无法阻止未经授权访问。
https://hackread.com/massive-data-leak-texas-adoption-agency-million-records/
3. 乌克兰发现APT28利用LLM的新型恶意软件LameHug
7月17日,乌克兰国家网络事件响应小组(CERT-UA)近日披露了一种名为LameHug的新型恶意软件,其突破性特征在于首次公开记录了利用大型语言模型(LLM)动态生成攻击命令的攻击模式,并将攻击归因于俄罗斯国家支持的APT28(Fancy Bear)组织。该恶意软件由Python编写,通过Hugging Face API与阿里云开源的Qwen 2.5-Coder-32B-Instruct模型交互。LameHug的攻击链条始于恶意电子邮件:攻击者冒充政府官员,向政府行政机构发送包含ZIP附件的钓鱼邮件,附件内嵌LameHug加载程序。一旦执行,恶意软件会通过LLM动态生成系统侦察与数据窃取命令,具体操作包括:收集系统信息并保存至“info.txt”文件;递归搜索“文档”“桌面”“下载”等关键Windows目录中的文档;最终通过SFTP或HTTP POST请求将数据窃取至攻击者控制的服务器。技术层面,LameHug的创新性体现在两方面:其一,它是首个公开记录的利用LLM支持攻击者任务的恶意软件,使威胁行为者能在攻击过程中实时调整策略,无需部署新有效载荷;其二,通过Hugging Face基础设施进行指挥控制(C2)通信,降低了传统C2服务器的暴露风险,延长了入侵隐蔽期。此外,动态生成的命令可规避基于静态特征检测的安全软件,增加了防御难度。
https://www.bleepingcomputer.com/news/security/lamehug-malware-uses-ai-llm-to-craft-windows-data-theft-commands-in-real-time/
4. Stormous勒索软件团伙窃取亚利桑那州医疗中心60万患者数据
7月17日,亲俄勒索软件组织Stormous近日在其数据泄露网站上宣称,成功入侵美国亚利桑那州北部非营利性联邦认证医疗中心(FQHC)North Country HealthCare,窃取了约60万名患者的敏感信息。该医疗中心在11个社区的14个地点提供全科医疗服务,覆盖家庭医学、儿科、行为健康、牙科护理等多领域,并接受大多数保险计划及为未投保患者提供费用折扣。Stormous团伙声称,窃取的数据包含完整的个人身份信息(PII)、受保护健康信息(PHI)、诊断代码(ICD)及诊所与医疗服务提供者详情,具体包括患者全名、出生日期、联系方式、就诊日期与地点、保险公司信息、诊断描述等。该组织采用“双重勒索”模式:其中10万名患者的数据被挂牌出售,剩余50万条记录则于7月15日被免费公开至泄密网站,进一步扩大了数据暴露风险。Stormous自2022年初活跃以来,已针对医疗保健、酒店、科技、政府等领域的至少150个组织发动攻击,受害者集中于西班牙、美国、阿联酋、法国和巴西。
https://securityaffairs.com/180057/data-breach/180057stormous-ransomware-gang-targets-north-country-healthcare-claims-600k-patient-data-stolen.html
5. BigONE交易所遭黑客攻击,2700万美元加密货币被盗
7月16日,加密货币交易所BigONE检测到平台部分资产出现异常变动,经调查确认系针对其热钱包的第三方攻击所致,黑客窃取了价值约2700万美元的各类数字资产。BigONE随即发布公告称,用户私钥及个人数据未受影响,所有损失将由平台储备金全额承担,用户资产不会遭受实质性损失。目前,平台已与安全公司SlowMist合作追踪被盗资金,并监控其在区块链上的流动情况,同时宣布存款和交易服务已完全恢复,但提现及OTC功能尚未重启。尽管攻击方法已被控制,但具体入侵手段仍未明确。SlowMist初步判断此次事件为供应链攻击,而区块链观察机构Lookochain则披露,黑客已开始洗钱操作,将赃款兑换为120枚比特币(BTC)、1272枚以太币(ETH)、2625枚Solana(SOL)及2330万枚Tron(TRX)。
https://www.bleepingcomputer.com/news/security/hacker-steals-27-million-in-bigone-exchange-crypto-breach/
6. 香港金融机构遭SquidLoader恶意软件攻击
7月16日,安全研究人员近日发现,针对香港金融机构的新型恶意软件攻击浪潮正在蔓延,其核心为具备高度规避能力的加载器SquidLoader。该恶意软件通过多阶段感染链部署Cobalt Strike Beacon,并采用多种先进抗分析策略,对目标机构构成严重威胁。攻击始于鱼叉式钓鱼邮件。这些以普通话撰写的邮件冒充金融机构,附带伪装成发票的密码保护RAR压缩包。用户解压后,会发现一个伪装成Microsoft Word文档的恶意PE二进制文件,其文件名模仿合法程序“AMDRSServ.exe”,以增强社会工程欺骗性。一旦执行,SquidLoader便启动多阶段感染流程:首先自我解包以解密内部负载,随后通过混淆代码动态解析关键Windows API,并初始化基于堆栈的自定义结构存储操作数据。为规避沙箱、调试器及防病毒工具,该恶意软件执行多重规避例程,包括环境检查、字符串混淆、控制流混淆及调用未公开的Windows系统调用。若检测到分析工具或调试迹象,其会立即终止运行。此外,SquidLoader还采用延迟线程睡眠、异步过程调用等技术绕过自动化沙箱。通过检查后,恶意软件会通过模仿Kubernetes服务路径的URL联系C2服务器,收集并传输主机数据,最终从次级IP地址下载Cobalt Strike Beacon。
https://www.infosecurity-magazine.com/news/squidloader-malware-targets-hong/
京公网安备11010802024551号