COOKIE SPIDER的恶意广告投放了SHAMOS macOS恶意软件
发布时间 2025-08-251. COOKIE SPIDER的恶意广告投放了SHAMOS macOS恶意软件
8月23日,网络安全公司CrowdStrike披露了一起针对macOS用户的规模化网络攻击事件,网络犯罪组织COOKIE SPIDER通过恶意广告投放和GitHub伪造项目,传播具备信息窃取能力的新型恶意软件SHAMOS(AMOS变种)。该组织采用"单行命令"技术绕过macOS Gatekeeper防护机制,诱导用户在终端执行恶意指令,实现无警告安装。攻击链条呈现多维度渗透特征:首先通过购买搜索广告位,将伪装成"macOS刷新解析器缓存"等常见技术问题解决方案的虚假帮助网站推至搜索结果前列,诱导用户复制执行包含curl命令的终端指令。该命令会下载Bash脚本,窃取Keychain密码、浏览器凭证及加密货币钱包数据,并从远程服务器加载SHAMOS主程序。其次,攻击者利用GitHub平台创建伪造的iTerm2等知名软件存储库,通过几乎相同的指令诱导开发者用户执行恶意代码。此次攻击影响范围覆盖全球300余个客户环境,受害者分布美国、英国、日本等8个国家。SHAMOS不仅具备基础信息窃取功能,还能下载伪造Ledger Live钱包应用及僵尸网络模块,显著提升威胁等级。
https://hackread.com/cookie-spider-malvertising-new-shamos-macos-malware/
2. CPAP医疗公司遭黑客入侵,超9万患者信息泄露
8月22日,佛罗里达州CPAP医疗用品和服务公司近日披露一起影响超9万人的数据泄露事件,该公司专门为美国军人及其家属提供睡眠呼吸暂停治疗设备。据其官网发布的安全事件公告,2024年12月中旬,攻击者通过非法手段侵入其网络系统,并持续潜伏超过一周时间,期间可能窃取了包含社会安全号码、受保护健康信息(PHI)等敏感数据。此次事件已按法律要求向美国卫生与公众服务部(HHS)及州监管机构报备。尽管泄露规模在医疗行业动辄数十万、上百万人的事件中相对较小,但因其服务对象的特殊性引发关注。CPAP医疗公司在声明中强调,目前尚无证据表明被盗信息已被滥用或即将被滥用,但未明确说明是否已向受害者提供信用监控等补救措施。值得注意的是,本次攻击未被任何已知勒索软件组织认领,业内推测存在两种可能性:攻击方为不公开受害者身份的隐蔽威胁组织,或CPAP已支付赎金以阻止数据公开。尽管CPAP公司规模有限,但其处理的美军人员健康数据具有高度敏感性,社会安全号码的泄露可能为身份盗窃等后续犯罪创造条件。
https://www.securityweek.com/cpap-medical-data-breach-impacts-90000-people/
3. 美国数百个市政机构软件存在严重数据泄露漏洞
8月21日,卡耐基梅隆大学CERT协调中心(CERT/CC)近日披露美国数百个市县政府使用的Workhorse Software市政会计软件存在两个严重设计缺陷,相关漏洞在厂商修复后才被公开。此次事件由Sparrow IT Solutions研究员詹姆斯·哈罗德发现,影响1.9.4.48019版本之前的软件系统,威斯康星州等地的市政单位面临社保号、财务记录等敏感信息泄露风险。漏洞技术细节显示,该软件存在双重安全隐患:其一,SQL Server数据库连接凭据以明文形式存储在可执行文件旁的配置文件中,该目录通常位于与数据库服务器共享的网络文件夹内。攻击者若通过物理设备访问、恶意软件读取网络共享文件或社会工程手段获取系统入口,即可直接窃取数据库凭证。其二,软件"文件"菜单允许未登录用户创建未加密的ZIP格式数据库备份,生成的.bak文件可在任何SQL Server上无需密码直接还原,形成数据外泄的完整路径。CERT/CC在公告中强调,此类设计缺陷可能导致攻击者完整获取市政数据库,不仅涉及公民隐私泄露,更可能篡改财务数据、破坏审计追溯性及系统完整性。
https://securityaffairs.com/181363/security/us-cert-cc-warns-of-flaws-in-workhorse-software-accounting-software-used-by-hundreds-of-municipalities-in-wisconsin.html
4. 麒麟勒索软件声称入侵日产子公司并窃取4TB设计数据
8月21日,麒麟勒索软件组织(又称Agenda)近日宣称成功入侵日产汽车位于东京的设计子公司日产创意盒子公司(CBI),并窃取超过4TB的敏感数据,威胁若不满足其要求将公开文件。该组织在暗网泄密网站发布公告,声称获取的文件包括405,882个涉及汽车设计的3D模型、财务数据、VR设计图像及内部文档,并附上四份示例文件佐证其说法。泄露的示例文件显示,攻击者获取了日产汽车的高精度设计数据:一份标注多边形三角形数量的3D CAD渲染图,表明其接触了原型设计阶段的核心数据;一份日语财务电子表格包含项目时间表、成本估算及颜色编码的预算规划;还有高细节内饰渲染图及员工使用VR设备操作3D设计的照片,揭示日产将虚拟现实技术融入设计流程。若数据属实,竞争对手或造假者可通过这些文件解析日产的设计流程与商业机密,对企业造成长期竞争风险。截至目前,日产汽车尚未就事件发布官方声明。
https://hackread.com/qilin-ransomware-gang-4tb-data-breach-nissan-cbi/
5. 俄亥俄医疗联盟医用大麻患者数据库泄露
8月21日,网络安全研究员Jeremiah Fowler近日发现,俄亥俄医疗联盟有限责任公司(Ohio Medical Alliance LLC,品牌名“俄亥俄大麻卡”)的两个配置错误的数据库处于完全开放状态,未进行任何加密或密码保护,导致约95.7万条患者及关联人员的敏感信息面临泄露风险。该数据库总容量达323GB,包含957,434条记录,涉及姓名、社会安全号码(SSN)、出生日期、家庭住址、驾驶执照高清图像等个人身份信息,以及入院表格、医生证明、创伤后应激障碍(PTSD)和焦虑症相关的医疗评估等高度私密的健康档案。值得注意的是,数据库中还包含以患者姓名命名的文件夹,内含PDF和图像格式的医疗文件;一个名为“员工评论”的CSV文件则记录了内部运营信息、客户更新日志,以及超过21万个患者、员工及业务合作伙伴的电子邮件地址。Fowler通过Website Planet报告该问题后,数据库访问权限在次日被限制,但公司未作出任何直接回应。
https://hackread.com/ssns-health-records-exposed-marijuana-patient-database/
6. CISA将苹果零日漏洞CVE-2025-43300列入已知被利用漏洞目录
8月22日,美国网络安全和基础设施安全局(CISA)近日将苹果iOS、iPadOS及macOS系统中的零日漏洞CVE-2025-43300纳入已知被利用漏洞(KEV)目录,要求联邦机构在2025年9月11日前完成修复。该漏洞由苹果公司本周紧急修复,涉及ImageIO框架的越界写入缺陷,攻击者可通过诱导用户处理恶意图像文件触发内存损坏,进而执行复杂定向攻击。苹果安全公告确认,CVE-2025-43300已收到被利用的报告,其攻击场景针对特定目标用户,具备高度针对性。漏洞成因源于图像处理流程中边界检查不充分,导致恶意构造的图像文件可越界写入内存区域。为解决该问题,苹果通过强化边界检查机制发布多平台更新。值得注意的是,苹果未公开漏洞利用的技术细节,但强调此次修复针对"极其复杂的攻击"。根据CISA具有约束力的运营指令(BOD 22-01),联邦机构需优先处理KEV目录中的漏洞,以防范潜在国家级威胁。
https://securityaffairs.com/181406/security/u-s-cisa-adds-apple-ios-ipados-and-macos-flaw-to-its-known-exploited-vulnerabilities-catalog.html
京公网安备11010802024551号