Lumma信息窃取恶意软件在执法打击后卷土重来
发布时间 2025-07-231. Lumma信息窃取恶意软件在执法打击后卷土重来
7月22日,Lumma信息窃取恶意软件平台(MaaS)在2025年5月的跨国执法行动中被查封2300个域名及部分基础设施,但其核心运营并未终止。Lumma运营商在XSS论坛上公开承认中央服务器遭远程擦除,但强调其未被完全控制,并迅速启动恢复计划。趋势科技遥测数据证实,Lumma的基础设施重建速度超出预期,其通过迁移云服务提供商规避进一步封锁,同时采用合法云服务混淆恶意流量,显著降低被探测到的可能性。当前,Lumma已构建四大核心传播渠道实现规模化感染:其一,通过虚假软件破解程序与注册机,利用恶意广告及搜索结果操纵技术,诱导用户访问搭载流量检测系统(TDS)的欺诈网站,最终下载Lumma载荷;其二,借助"ClickFix"技术,在受感染网站展示伪造验证码页面,诱骗用户执行PowerShell命令以内存形式加载恶意软件,规避传统文件检测;其三,利用GitHub平台创建AI生成内容库,以虚假游戏作弊工具为诱饵,托管"TempSpoofer.exe"等可执行文件或ZIP压缩包;其四,通过YouTube视频与Facebook帖子推广破解软件,将用户引导至滥用sites.google.com等可信服务的外部站点,形成多层跳转攻击链。
https://www.bleepingcomputer.com/news/security/lumma-infostealer-malware-returns-after-law-enforcement-disruption/
2. 思科紧急更新安全公告:ISE/ISE-PIC漏洞遭利用
7月22日,思科近日发布紧急安全公告,确认其身份服务引擎(ISE)及ISE被动身份连接器(ISE-PIC)产品中存在的三个高危漏洞(CVE-2025-20281、CVE-2025-20282、CVE-2025-20337)已遭到实际攻击尝试,并强烈建议用户升级至修复版本。此次披露的漏洞均被评定为CVSS 10分的最高严重等级,允许未经身份验证的远程攻击者以root权限在底层操作系统执行任意代码,对关键基础设施构成重大威胁。具体来看,CVE-2025-20281影响ISE/ISE-PIC 3.3及以上版本,其根源在于API输入验证不足,攻击者可通过提交恶意API请求直接获取设备控制权;CVE-2025-20282则仅针对3.4版本,因缺乏文件上传验证机制,攻击者可向特权目录写入恶意文件并执行任意代码;而上周修复的CVE-2025-20337漏洞机制与CVE-2025-20281类似,进一步扩大了攻击面。思科产品安全事件响应团队(PSIRT)证实,2025年7月已监测到针对这些漏洞的活跃利用尝试,但未披露具体攻击来源及威胁行为者信息。
https://securityaffairs.com/180260/hacking/cisco-confirms-active-exploitation-of-ise-and-ise-pic-flaws.html
3. Coyote银行木马滥用Windows辅助功能实施精准凭证盗窃
7月22日,Akamai安全团队披露,新型Coyote银行木马变种正通过滥用微软Windows UI自动化框架(UIA),对巴西用户发起定向凭证盗窃攻击。该恶意软件自2024年2月首次出现以来持续进化,最新变种结合传统键盘记录与新型UIA技术,针对75家银行及加密货币平台实施精准攻击。微软UIA框架本用于辅助残障用户与应用程序交互,其通过UI自动化树暴露界面元素的功能,却被Coyote开发者恶意利用。Akamai研究人员指出,当木马无法通过窗口标题识别目标应用时,会调用UIA API解析浏览器标签页或地址栏内容,提取访问的网址并与硬编码的目标服务列表(包括Banco do Brasil、CaixaBank、Binance等)进行交叉比对,从而锁定高价值目标。这种技术突破了传统键盘记录的局限性,即便用户通过浏览器访问网银,木马仍可准确识别服务类型。Coyote的进化路径凸显网络犯罪的技术升级趋势:在保留键盘记录、网络钓鱼覆盖等传统手法基础上,新增UIA滥用能力,形成"多重验证"的攻击链。
https://www.bleepingcomputer.com/news/security/coyote-malware-abuses-windows-accessibility-framework-for-data-theft/
4. 中欧医疗巨头AMEOS集团遭遇重大数据泄露
7月22日,中欧最大私立医院集团之一、总部位于苏黎世的AMEOS医疗集团近日披露重大安全漏洞事件,可能导致客户、员工及合作伙伴敏感信息泄露。根据《通用数据保护条例》(GDPR)第34条要求,该集团在官方网站发布公告,确认外部威胁行为者未经授权侵入其IT系统,尽管已实施"广泛安全措施",仍成功获取包含患者诊疗记录、员工个人信息及商业合作伙伴联系数据在内的敏感内容。公告警告称,泄露数据存在被恶意滥用或通过互联网二次传播的风险。作为DACH地区(德国、奥地利、瑞士)医疗领域的龙头企业,AMEOS集团运营着超过100家医院、诊所及康复中心,拥有1.8万名员工和1万张床位,年收入超14亿美元。此次事件导致其全面关闭所有IT系统,切断内外网络连接以遏制风险扩散,并紧急调派外部IT安全团队与法医专家介入调查。目前,瑞士、德国、奥地利三国数据保护机构已获知情况,警方刑事诉讼程序同步启动。值得注意的是,尽管AMEOS强调"尚无具体证据表明个人数据已实际泄露",但明确指出攻击者可能通过系统漏洞获取了大量结构化数据。集团建议近期在其机构接受医疗服务的人员提高警惕,防范钓鱼攻击及身份诈骗。
https://www.bleepingcomputer.com/news/security/major-european-healthcare-network-discloses-security-breach/
5. 澳大利亚时尚品牌SABO超350万客户数据泄露
7月22日,澳大利亚全球时尚设计公司SABO近日遭遇重大数据泄露事件,超过350万条客户记录因配置错误的数据库暴露于公开网络,涉及292GB敏感信息。此次漏洞由网络安全研究员Jeremiah Fowler发现,暴露数据涵盖2015年至2025年6月27日期间的客户姓名、实际地址、电子邮件、电话号码等个人身份信息(PII),以及零售和商业客户的详细订单记录、发票、装箱单和退货单等文件。尽管SABO在Fowler负责任披露后迅速保护了数据库,但此次事件仍引发对数据加密必要性的广泛讨论。暴露信息中包含具体订单日期、产品清单等结构化数据,为网络犯罪分子提供了精准实施社交工程攻击的素材。安全专家警告,攻击者可能利用真实订单信息伪造钓鱼邮件,诱骗用户泄露更多财务信息或进行金融欺诈,此类攻击因基于真实数据而极具迷惑性。事件暴露后,SABO未明确回应责任归属问题,仅强调已采取修复措施。网络安全专家建议受影响用户加强警惕,通过官方渠道验证可疑通信,避免点击不明链接或提供个人信息。
https://hackread.com/global-fashion-label-sabo-customer-records-leaked/
6. 美国德州酒精检测公司TADTS超75万人信息被窃
7月21日,美国德克萨斯州酒精与药物检测服务公司(TADTS)近日披露,其系统在2024年7月9日遭遇未授权访问,导致约74.9万人的敏感信息被窃取。作为德州主要职场及个人酒精/药物检测服务提供商,该公司经专业团队调查确认,泄露数据涵盖姓名、出生日期、社保号、驾照/护照号、财务信息、健康保险详情、生物识别数据、登录凭证及移民档案号等高度敏感内容,部分信息源自就业筛查测试中授权提供的个人资料。事件曝光后,TADTS采取多项补救措施,包括重置全系统密码、部署增强型监控工具及强化端点检测协议,并已向执法部门报案。尽管目前无证据表明数据被用于欺诈或身份盗窃,公司仍建议受影响者定期核查信用报告及账户异常。值得注意的是,TADTS明确表示不会提供免费身份保护服务,此举引发对受害者后续保障的担忧。此次攻击疑似与BianLian勒索团伙相关。该组织于2024年7月14日宣称窃取约218GB数据,但其基于Tor的泄密网站目前已离线,且自2025年3月31日起未再更新受害者记录,数据实际传播情况尚不明确。
https://www.securityweek.com/750000-impacted-by-data-breach-at-the-alcohol-drug-testing-service/
京公网安备11010802024551号