文章总结： 这是一份2025年8月12日的安全微讯早报，涵盖了全球网络安全领域的最新动态，包括政策法规、安全事件、漏洞警报等多个方面。重点内容包括俄罗斯拟取消知识产权反垄断豁免、欧盟《媒体自由法案》生效、WinRAR零日漏洞被利用、多品牌电子锁存在严重安全漏洞、AI编码助手安全风险等。报告还介绍了新型攻击技术Win-DDoS和开源工具SSHamble，为安全专业人员提供了重要参考。 综合评分： 83 文章分类： 漏洞分析,威胁情报,恶意软件,安全事件,漏洞预警

---

5th域安全微讯早报【20250812】192期

原创

网空闲话

网空闲话plus

2025年8月12日 08:47 北京

2025-08-12  星期二Vol-2025-192

今日热点导读

1. 俄联邦反垄断局拟取消知识产权反垄断豁免，俄罗斯软件价格涨九倍引发行业担忧

2. 欧盟《媒体自由法案》（EMFA）正式生效，旨在保护欧盟成员国媒体多样性与新闻独立性

3. 俄罗斯“四大”电信运营商提议屏蔽外国即时通讯语音通话引发业界与监管分歧

4. 俄数字发展部推“儿童”SIM卡，打造家长可控的安全上网环境

5. 俄数字发展部拟加强对马斯克星链5G卫星通信监管，实施全面监听措施

6. 微软遭加州用户起诉：被指提前终止Windows 10支持、强推硬件升级

7. “混沌上校”和“乔克查恩”：秘密机器人格斗联盟中隐藏着什么

8. GPT-5的秘密指令在线泄露：OpenAI隐藏规则曝光，隐私与个性化并重

9. 朝鲜黑客组织Kimsuky遭内部人员数据泄露，8.9GB机密文件曝光

10. 一键发货短信骗局肆虐美国：魔法猫诈骗团伙窃取88万信用卡信息

11. 俄罗斯黑客组织利用WinRAR零日漏洞传播恶意软件

12. 美国司法部引渡四名加纳爱情诈骗嫌疑人，涉案金额超1亿美元

13. 勒索软件团伙声称对圣保罗市政府发动攻击

14. 荷兰警告：Citrix NetScaler漏洞CVE-2025-6543遭利用，多组织遭入侵

15. CVE-2025-49760：远程过程调用协议中的关键漏洞可使任意用户提升为域管理员

16. 全球最大汽车经销商门户漏洞曝光，攻击者可远程控制车辆

17. Check Point、Zscaler和NetSkope的零信任网络访问产品中发现严重漏洞

18. 保险箱密码竟是“999999”，多品牌电子锁存在严重安全漏洞

19. 网络摄像头是无声间谍，黑客教它模拟点击并窃取数据

20. AI编码助手为攻击者创建完美蓝图

21. 坚不可摧的macOS？新恶意软件如何突破苹果安全防线

22. SoupDealer 恶意软件在真实事件中成功绕过所有沙盒、AV 和 EDR/XDR

23. 两个黑客组织利用WinRAR漏洞开展网络间谍活动

24. Silent Watcher利用Discord Webhook 击Windows系统并窃取数据

25. 黑客利用Linux网络摄像头作为攻击工具，注入按键并发起攻击

26. 新型攻击技术Win-DDoS可将全球成千上万的公开域控制器（DC）变成僵尸网络

27. SSHamble——利用 SSH 协议漏洞的新开源工具

备注: 专题资讯信息，欢迎订阅！

资讯详情

政策法规

1. 俄联邦反垄断局拟取消知识产权反垄断豁免，俄罗斯软件价格涨九倍引发行业担忧

【SecurityLab网站8月11日报道】俄罗斯联邦反垄断局（FAS）提议修订《竞争保护法》（135-FZ），取消知识产权领域的反垄断豁免，遏制版权所有者滥用市场支配地位。近年来，随着外国企业退出俄罗斯市场，部分国内软件开发商大幅涨价，俄罗斯农业银行部分产品价格上涨九倍，消费者投诉无门，因软件知识产权受法律豁免保护。修正案同时扩大版权持有人合理行为范围，强调促进技术创新和国际竞争力。FAS希望统一数字经济领域与非交易平台监管规则，清晰界定市场行为，促进公平竞争。该法案由副总理德米特里·格里戈连科推动，旨在降低国家在数字项目上的财政压力。行业协会如APKIT、ARPP“国内软件”和NP RUSSOFT则担忧，取消豁免将限制开发者合作自由，影响俄罗斯数字主权及技术发展战略。

2. 欧盟《媒体自由法案》（EMFA）正式生效，旨在保护欧盟成员国媒体多样性与新闻独立性

【SecurityLab网站8月11日报道】8月8日，欧盟《媒体自由法案》（EMFA）正式生效，旨在保护欧盟成员国媒体多样性与新闻独立性，保障记者免受监控和间谍软件侵害，确保公共广播机构资金独立，并加强数字平台透明度和问责机制。该法案经过多年谈判，于2024年初通过，是人权组织、媒体团体及政界人士共同推动的成果，旨在捍卫民主基石——新闻自由。然而，各国落实进展不均，只有少数国家采取实质行动，多数国家改革缓慢甚至停滞，导致法案成效堪忧。该法规的真正执行依赖于各成员国的政治意愿，缺乏配套改革可能使其仅停留在纸面。欧盟委员会和欧洲媒体服务理事会被寄予厚望，需严控实施并采取法律手段应对违规，特别关注新闻自由受威胁的国家。“媒体自由快速反应”联盟持续监测法案落实情况，推动欧盟层面介入确保合规。若全面有效执行，EMFA有望成为打击媒体被“俘获”、保护独立公共广播及记者权益的重要工具，但其成功仍是欧洲共同面临的重大挑战。

3. 俄罗斯“四大”电信运营商提议屏蔽外国即时通讯语音通话引发业界与监管分歧

【SecurityLab网站8月11日报道】俄罗斯主要电信运营商MTS、MegaFon、Beeline和Tele2联合提出限制外国即时通讯软件（如Telegram和WhatsApp）中的语音通话，以减轻基础设施压力并防范网络诈骗。该提议最早由克谢尼娅·索布恰克在其Telegram频道“血腥女士”发布，并被政府消息人士证实。运营商称，基站价格上涨和流量增长导致互联网速度下降，屏蔽部分语音通话能引导流量回归传统电话网络，并降低诈骗风险。数字发展部未支持该方案，但相关讨论仍在继续。银行业对此表示支持，认为即时通讯平台缺乏有效反欺诈系统。国家杜马信息政策委员会副主席安东·特卡切夫指出，该措施技术上可行，但易被VPN绕过，难以根本解决问题。数据显示，2022至2024年俄罗斯移动语音通话量下降近10%，即时通讯流量大幅上升。近期用户频繁报告Telegram和WhatsApp语音视频通话中断，疑似与运营商测试拦截有关。此举引发对言论自由和通信便利性的担忧，监管机构Roskomnadzor及运营商对此未公开回应。该提案在保障网络安全和维护用户权益之间引发激烈争议，未来走向尚不明朗。

4. 俄数字发展部推“儿童”SIM卡，打造家长可控的安全上网环境

【SecurityLab网站8月11日报道】俄罗斯数字发展部提出为14岁以下儿童推出专用“儿童”SIM卡，配备家长可配置的流量过滤和年龄限制功能，旨在阻止儿童访问有害内容及限制社交网络登录。数字发展部部长马克苏特·沙达耶夫表示，电信运营商将被法律要求提供此类服务套餐，虽然购买权在家长手中，但该SIM卡将免于纳入每人最多20张SIM卡的反欺诈限制。该举措获得社会广泛关注。国家杜马主席维亚切斯拉夫·沃洛金发起的民意调查显示，超过85%的参与者支持该政策。沙达耶夫承认部分家长可能不愿购买，但强调多数家长希望拥有带有自定义过滤功能的儿童SIM卡，保障孩子的网络安全。此次政策的出台，标志着俄罗斯在儿童互联网访问管控方面迈出重要一步，平衡了网络安全与用户选择权。未来，随着该法案落地实施，儿童用户的网络体验和隐私保护将迎来系统性的改善和保障。

5. 俄数字发展部拟加强对马斯克星链5G卫星通信监管，实施全面监听措施

【SecurityLab网站8月11日报道】俄罗斯数字发展部发布卫星通信和地球站使用管理新规，要求所有卫星5G通信运营商必须获得国家无线电频率委员会批准，建立地面接口站，并配备作战搜索措施系统（SORM），同时连接至信息和通信监管局（Roskomnadzor）的技术威胁应对系统（TSPU）。这意味着包括马斯克旗下Starlink在内的低轨道卫星通信系统，在俄罗斯境内的5G通信将受到严格监控和管理。新规明确所有5G卫星设备必须通过“手机-卫星-接口站”链路传输通信，未经许可的直接卫星连接（DTC）将被禁止。违反规定者将面临最高100万卢布罚款。该政策计划于2026年3月正式实施，预计六年内监管成本超过30亿卢布。数字发展部强调，开放外国低轨卫星通信可能带来“不可控通信信道”，威胁国家安全。目前Starlink等低轨星座因其低延迟优势和广泛应用，在俄罗斯冲突地区被用于绕过政府监控，控制无人机及通信备份。虽然俄罗斯电信商已能通过合作渠道接入星链信号，但官方禁运和强制安装监控设备仍带来诸多挑战。专家普遍认为，强制外国卫星运营商部署监控设备存在难度，未来将加强对非法终端打击并加快本土卫星网络建设。

安全事件

6. 微软遭加州用户起诉：被指提前终止Windows 10支持、强推硬件升级

【SecurityLab网站8月11日报道】美国加州圣地亚哥居民劳伦斯·克莱因（Lawrence Klein）对微软提起诉讼，指控其在2025年10月14日提前终止Windows 10安全更新，迫使用户付费或更换设备。原告称，此举将影响全球约2.4亿台电脑，其中约一半因硬件限制无法升级至Windows 11，用户不得不支付高额延长支持费（个人每年30美元、企业第三年每年244美元）或报废仍可正常使用的设备，造成电子垃圾增加及网络安全风险。诉状指出，微软利用其操作系统市场支配地位，推动搭载Windows 11及需NPU的AI助手Copilot的新机型，借此在生成式AI市场获取优势，但限制用户选择并抑制竞争。克莱因强调，Windows 10支持周期较前代明显缩短，且用户购机时缺乏明确的支持终止信息提示。诉讼要求法院强制微软延长免费支持至用户量降至合理范围，或降低Windows 11硬件门槛，并在售卖设备时强制披露支持期限与风险。

7. “混沌上校”和“乔克查恩”：秘密机器人格斗联盟中隐藏着什么

【SecurityLab网站8月11日报道】美国市场街Frontier Tower地下室被改造成赛博朋克风格机器人格斗场，举办第二届Ultimate Fighting Bots锦标赛。来自中国的Unitree G1与美国Booster Robotics的Booster T1激烈对决，吸引数百名科技迷和艺术家围观。赛事由机器人开发与市场营销夫妻档Ksenia和Vitaly Bulatov创办，主打“人类控制但机器人自主作战”的新型机器人格斗运动。参赛机器人如“混沌上校”“乔克钦”等被赋予鲜明角色和背景，动作逼真且耐打，极具观赏性。活动氛围融合机器人调酒师、博彩与全息护送，现场赛博朋克元素浓厚，核心机器人被严密保护。专家称赛事展现机器人技术进步，具备娱乐和商业潜力。但Sentient Futures创始人Constance Lee提出伦理疑问：如果机器人未来能感受疼痛，是否会演变为数字版动物搏斗？或者机器人能否像UFC选手一样共享荣耀和收益？Claid AI首席执行官索菲亚·施韦茨及机器人部门负责人埃默森·塞古拉表示，未来赛事将在保障安全基础上提升互动性与观赏性，扩大公众参与。

8. GPT-5的秘密指令在线泄露：OpenAI隐藏规则曝光，隐私与个性化并重

【SecurityLab网站8月11日报道】OpenAI最新一代语言模型GPT-5的隐藏系统指令近日在GitHub泄露，揭示了该模型在功能限制、数据存储及隐私保护方面的详细规则。该指令集明确禁止播放受版权保护的歌词内容，禁止存储可能涉及种族、宗教、犯罪记录等敏感个人信息，除非用户明确授权。此外，GPT-5通过“相关性需求”评分机制，动态决定何时调用互联网信息以提升答案准确度，尤其在金融、健康和法律等高风险领域多源验证，减少在线可校正错误。新版本增添个人助理功能，支持长期记忆管理、提醒、搜索计划、文档和代码的“画布”协同编辑，以及文件搜索和图像生成等能力，提升交互体验和个性化定制。OpenAI强调严格限制个人数据存储，确保隐私边界清晰，同时赋予用户对记忆内容的控制权。该泄露事件为公众窥探AI“黑匣子”提供了罕见窗口，显示出OpenAI在功能丰富与隐私保护间的平衡努力。

9. 朝鲜黑客组织Kimsuky遭内部人员数据泄露，8.9GB机密文件曝光

【BleepingComputer网站8月11日报道】朝鲜政府支持的黑客组织Kimsuky遭遇重大数据泄露事件。两名自称”Saber”和”cyb0rg”的黑客因反对该组织的政治动机，窃取并公开了8.9GB内部数据。泄露内容包含针对韩国政府机构（如dcc.mil.kr、spo.go.kr）的网络钓鱼工具包、韩国外交部邮件系统源代码、恶意软件（包括Cobalt Strike加载器）以及操作日志。黑客在DEF CON 33大会发布的声明中谴责Kimsuky”为政权服务而非真正的黑客精神”。此次泄露首次完整曝光了该APT组织的攻击基础设施，包括其使用的VPN服务（PureVPN、ZoogVPN）、黑客论坛账号（freebuf.com、xaker.ru）以及对台湾军事网站的渗透痕迹。安全专家认为，虽然不会对Kimsuky造成长期打击，但将严重干扰其当前行动。Phrack杂志第72期将详细分析此次事件，在线版本预计近日发布。

10. 一键发货短信骗局肆虐美国：魔法猫诈骗团伙窃取88万信用卡信息

【SecurityLab网站8月11日报道】一场针对美国及其他国家用户的大规模短信诈骗浪潮正悄然升级，名为“Magic Cat”的诈骗行动通过伪装成快递或未付罚款通知的短信，引诱用户点击钓鱼链接并输入付款信息，导致88.4万张信用卡被盗，部分受害者损失数千美元。该骗局由24岁中国公民Yucheng S（网名Darcula）开发，他运营Telegram频道公开活动细节，并向多名诈骗者出售工具。随着Darcula被曝光和退出市场，一个名为“Magic Mouse”的新诈骗组织迅速接替，继承并强化了“Magic Cat”的钓鱼模板和欺诈工具，控制了大量仿冒品牌网站。研究显示，Magic Mouse每月窃取超过65万张银行卡信息，利用数十部手机自动发送欺诈短信，且被盗卡通过移动钱包洗钱。尽管两者关联未被完全证实，但相似的运营结构表明这是一个持续利润丰厚的诈骗生态。研究人员强调，目前防范此类诈骗最有效的方式是用户拒绝点击陌生链接和输入敏感信息，呼吁IT公司和银行加强责任，尽快采取系统性防护措施。

11. 俄罗斯黑客组织利用WinRAR零日漏洞传播恶意软件

【BleepingComputer网站8月11日报道】俄罗斯黑客组织RomCom（又称Storm-0978）近期利用WinRAR软件中的零日漏洞CVE-2025-8088发起攻击。该漏洞属于路径遍历漏洞，允许攻击者通过特制的RAR压缩包将恶意文件植入受害者电脑的关键目录。安全公司ESET研究发现，攻击者利用该漏洞将恶意DLL、EXE和LNK文件隐藏在压缩包的备用数据流中。当用户解压这些特制压缩包时，恶意文件会被释放到系统临时文件夹或启动目录，实现持久化感染。攻击主要传播了三类恶意软件：Mythic Agent、SnipBot和MeltingClaw，这些恶意软件能实现远程控制、数据窃取等功能。WinRAR开发团队已于2025年7月30日发布7.13版本修复该漏洞。由于WinRAR没有自动更新功能，用户需要手动下载安装最新版本。安全专家建议用户保持软件更新，谨慎处理来源不明的压缩文件。

12. 美国司法部引渡四名加纳爱情诈骗嫌疑人，涉案金额超1亿美元

【The Record网站8月12日报道】美国司法部公布起诉书，指控四名加纳公民——艾萨克·奥杜罗·博阿滕、伊努萨·艾哈迈德、德里克·范·耶博阿和帕特里克·夸梅·阿萨雷，涉嫌通过爱情诈骗和商业电子邮件泄露（BEC）等手段，诈骗金额超过1亿美元。博阿滕、艾哈迈德和范·耶博阿于8月7日被引渡至美国并出庭，阿萨雷尚未被拘捕。案件涉及的诈骗活动自2016年持续至2023年5月，主要针对独居老年人等弱势群体，骗取其信任和财务。受害者通常通过短信或社交媒体接触，并被引诱参与虚假的投资机会。赃款通过美国境内“钱骡”和空壳公司洗钱，最终汇往西非。涉案四人被控电信欺诈、洗钱和收受赃款等罪名，面临最高75年监禁。美国联邦调查局感谢国际刑警组织及加纳警方协助引渡。2024年，FBI记录网络诈骗损失高达166亿美元，主犯多来自加纳和印度的呼叫中心。

13. 勒索软件团伙声称对圣保罗市政府发动攻击

【The Record网站8月12日报道】美国联邦调查局上月发布警告后，勒索软件团伙Interlock声称对明尼苏达州圣保罗市政府发动网络攻击，窃取约43GB数据，扰乱政府大部分系统。市长梅尔文·卡特确认市政府受攻击，但未支付赎金，正进行系统全面检查和密码重置，并着手恢复运行。受影响导致部分关键政府服务停摆，居民无法在线支付水电费，市图书馆等公共设施受限，滞纳金暂免。圣保罗州长调动国民警卫队协助恢复。FBI称Interlock近期针对北美和欧洲关键基础设施频繁发动攻击，其与另一知名勒索组织Rhysida存在潜在联系。今年，Interlock导致透析公司DaVita及俄亥俄大型医疗系统关闭。此次事件凸显勒索软件对城市运行和公共服务的严重威胁。

漏洞警报

14. 荷兰警告：Citrix NetScaler漏洞CVE-2025-6543遭利用，多组织遭入侵

【BleepingComputer网站8月11日报道】荷兰国家网络安全中心(NCSC)发布紧急警告，Citrix NetScaler设备中的高危漏洞CVE-2025-6543已被黑客利用入侵该国多个关键组织。该内存溢出漏洞影响配置为网关或AAA虚拟服务器的NetScaler ADC/Gateway设备，可导致远程代码执行。攻击最早可追溯至5月初，比Citrix在6月25日发布补丁提前近两个月，表明其曾被用作零日漏洞。攻击者手法老练，会主动清除入侵痕迹掩盖攻击行为。荷兰检察机关Openbaar Ministerie已确认因此遭受严重运营中断，直至上周才逐步恢复服务。受影响版本包括：14.1版本低于14.1-47.46；13.1版本低于13.1-59.19；13.1-FIPS/NDcPP版本低于13.1-37.236；已停更的12.1和13.0版本（无补丁）。NCSC建议立即升级至安全版本，并终止所有活动会话。同时发布GitHub脚本帮助检测异常PHP/XHTML文件等入侵痕迹。该漏洞最初被认为仅导致DoS，现确认可实现更危险的远程代码执行。

15. CVE-2025-49760：远程过程调用协议中的关键漏洞可使任意用户提升为域管理员

【SecurityLab网站8月11日报道】SafeBreach安全专家披露了Windows远程过程调用（RPC）协议中存在的漏洞CVE-2025-49760，该漏洞已在2025年7月微软更新中修复。漏洞CVSS评分为3.5，允许攻击者通过欺骗攻击，利用Windows存储机制冒充合法服务器，实现权限提升。该漏洞由Ron Ben Yizak在DEF CON 33大会上详细介绍。该漏洞源自RPC协议中接口唯一标识符（UUID）与端点映射器（EPM）服务的设计缺陷。攻击者通过“EPM中毒”手法，将接口注册至嵌入式服务，迫使受保护进程向伪造服务器进行身份验证，类似DNS欺骗，导致客户端请求被重定向。由于EPM不验证接口注册者身份，延迟启动或手动启动服务接口可被劫持，攻击者无需管理员权限即可控制连接。SafeBreach开发了检测工具RPC-Racer，识别诸如存储服务（StorSvc.dll）等不安全RPC服务。攻击流程包括任务创建、接口注册、触发伪造服务器调用、通过SMB传递NTLM哈希、利用该哈希进行ESC8攻击及Active Directory证书服务权限提升，最终使用工具如Certipy获取Kerberos票据，全面控制域控制器。此外，EPM中毒还能发起中间人攻击和拒绝服务攻击。研究建议监控RpcEpRegister调用，结合Windows事件跟踪（ETW）捕捉相关事件，并强调必须对RPC服务器身份进行严格验证，避免信任未验证来源。

16. 全球最大汽车经销商门户漏洞曝光，攻击者可远程控制车辆

【SecurityLab网站8月11日报道】Harness安全研究员Eaton Zwer发现，全球最大汽车制造商之一的经销商在线访问系统存在严重漏洞。该漏洞允许攻击者通过篡改页面代码绕过身份验证，创建具有完全权限的“国家管理员”账户，进而访问1000多家美国经销商的机密客户数据和车辆信息，甚至远程控制车辆功能（包括解锁）。攻击者还能利用单点登录机制横向移动，模拟其他用户登录，未经授权访问敏感系统。研究人员形容该架构为“定时炸弹”，提醒一旦访问控制失效，整个系统将全面崩溃。该漏洞于2025年2月被私下报告并迅速修复，未发现被恶意利用的迹象。此次事件再次凸显API身份验证系统的薄弱环节及汽车行业数字安全的严峻挑战。

17. Check Point、Zscaler和NetSkope的零信任网络访问产品中发现严重漏洞

【CybersecurityNews网站8月11日报道】安全研究团队AmberWolf在DEF CON 33大会上披露，业界领先的零信任网络访问（ZTNA）解决方案——Zscaler、NetSkope和Check Point的产品存在多项严重身份验证漏洞，攻击者可借此绕过认证、提升权限，并实现跨租户数据泄露，威胁企业网络安全。核心风险包括：Zscaler存在编号为CVE-2025-54982的SAML身份验证绕过漏洞，平台未能验证SAML断言签名，攻击者可完全绕过身份验证，访问内部Web代理和“私人访问”服务。NetSkope的身份提供者(IdP)注册模式中存在身份验证绕过漏洞（CVE-2024-7401），且该漏洞已被恶意利用逾16个月，部分用户仍未修补。此外，持有特定“OrgKey”和注册密钥可实现跨组织用户冒充，导致完全身份绕过和跨租户攻击。NetSkope客户端含本地权限提升漏洞，攻击者可诱使客户端连接恶意服务器，获得系统级访问权限。该漏洞尚在等待CVE编号分配。Check Point的Perimeter 81服务中发现硬编码SFTP密钥漏洞，允许未经授权访问多个租户客户端日志。日志中包含JWT身份验证材料，带来重大跨租户数据泄露风险。随着ZTNA解决方案逐步取代传统VPN，此类漏洞凸显了厂商需加强安全验证机制和责任担当的重要性，以防范复杂的网络攻击。

风险预警

18. 保险箱密码竟是“999999”，多品牌电子锁存在严重安全漏洞

【SecurityLab网站8月11日报道】两年前，美国研究人员James Rowley和Mark Omo关注到Liberty Safe电子保险箱存在重大安全隐患。Liberty Safe以及Fort Knox、Rhino Metals、FireKing、Cennox等至少七个品牌，均使用了Securam ProLogic电子锁。研究揭示，这些锁具的“重置代码”默认为“999999”，利用厂商为持证锁匠设计的重置流程，攻击者可轻易计算出重置值并绕过密码保护，甚至无需专业设备即可实现重置。此外，另一漏洞依赖锁内调试端口，攻击者借助Raspberry Pi等小型工具，利用电源故障绕过锁芯密码验证，获取“超级代码”实现即时解锁。Securam已承认该漏洞，并计划于年底推出新款产品，但并无修补现有产品的计划。多家保险箱厂商首次得知此漏洞，正着手测试并评估风险。美国参议员罗恩·怀登警告，内置重置机制是典型的后门，极易导致安全失效。研究人员强调，目前电子锁缺乏统一安全标准，用户应警惕虚假的安全感，做好多层防护。修补虽可行，但需用户具备技能手动更新，且攻击可在短时间内复现。

19. 网络摄像头是无声间谍，黑客教它模拟点击并窃取数据

【SecurityLab网站8月11日报道】Eclypsium研究人员发现联想510 FHD和联想Performance FHD网络摄像头存在严重漏洞，该漏洞名为BadCam，可将摄像头转变为类似BadUSB的攻击设备。该漏洞首次在DEF CON 33大会上演示，证明连接到计算机的Linux设备可被远程重新编程，模拟键盘输入执行恶意命令，从而窃取数据并保持对系统的控制。BadUSB攻击自2014年被揭示以来，已知此类攻击通过刷新设备固件实现静默命令执行，难以被传统杀毒软件检测。受感染摄像头在正常功能的掩护下，能够充当HID设备，输入命令、注入有效载荷，甚至在操作系统重装后依然保持感染状态。该漏洞源自Linux系统缺乏固件身份验证和对USB Gadget的支持。联想已于2025年4月发布固件更新4.8.0，并与SigmaStar合作开发修复工具。专家警告，企业和家庭计算机系统普遍信任外围设备，这种信任模型存在巨大安全隐患，易受攻击设备可能成为对当前及后续连接设备的威胁。

20. AI编码助手为攻击者创建完美蓝图

【CybersecurityNews网站8月11日报道】最新研究揭示，人工智能编码助手（如Claude CLI和GitHub Copilot）无意中成为了攻击者的侦察工具，大幅降低了网络入侵的门槛，带来了前所未有的网络安全威胁。传统的网络攻击需要数月的侦察、专业技能和复杂工具，而现代AI助手通过详尽的对话日志存储了大量敏感信息，包括凭证、组织架构、技术栈及安全实践。攻击者只需基本文件访问权限，便可即时获得这些宝贵情报，绕过了以往的耐心侦察过程。安全研究员Gabi Beyo在监控自身使用Claude CLI的24小时内，发现该工具在多个本地路径（如macOS上的~/.claude/projects/和~/.config/claude-code/）生成的日志暴露了完整的OpenAI API密钥、GitHub个人访问令牌、AWS访问密钥和数据库连接字符串等敏感凭证。此外，对话内容还揭示了组织的技术细节（如Java、MongoDB、React）、项目代号及团队结构，构成了攻击者理想的攻击蓝图。此类信息集中化存储，极大降低了攻击复杂度，将高级威胁行为简化为基础脚本操作，扩大了潜在攻击者范围。这一漏洞不仅涉及凭证泄露，更为攻击者提供了内部组织映射，帮助他们迅速掌握开发流程和安全环境。人工智能编码助手因此成为不知情的帮凶，替攻击者完成了大量耗时的情报收集工作，严重威胁企业信息安全。

恶意软件

21. 坚不可摧的macOS？新恶意软件如何突破苹果安全防线

【SecurityLab网站8月11日报道】Forcepoint X-Labs研究人员发现一种针对macOS用户的新型恶意软件Odyssey Stealer，该恶意软件结合了ClickFix技术、网络钓鱼及社会工程学手段，通过伪装的验证码页面诱导用户执行恶意AppleScript脚本，从而窃取加密货币钱包数据、浏览器凭据及敏感文件。攻击者利用虚假验证码诱骗用户打开终端并执行高度混淆代码，获取系统特权访问权限，进而提取大量浏览器和本地文件信息。该恶意软件采用多重混淆与随机字符串技术，数据经压缩后上传至远程服务器，并在本地删除痕迹以躲避检测。此案例警示，macOS并非绝对安全，用户需提高安全意识以防范高级社会工程攻击。

22. SoupDealer 恶意软件在真实事件中成功绕过所有沙盒、AV 和 EDR/XDR

【CybersecurityNews网站8月11日报道】8月初，土耳其网络安全团队发现了一种名为SoupDealer的高度规避型基于Java的加载程序，能够绕过所有公共沙箱、防病毒软件及企业级EDR/XDR平台。该恶意软件通过鱼叉式网络钓鱼分发三阶段加载程序TEKLIFALINACAKURUNLER.jar，仅在确认受害者使用土耳其语Windows且位于土耳其境内时，才会解压其真正有效负载。SoupDealer利用自定义类加载器在内存中连续解密和加载有效载荷，防止静态和动态分析。第一阶段解密AES-ECB加密的资源后，加载第二阶段stage2.jar，该阶段含有经过RC4加密的“存根”资源，使用自定义findClass覆盖直接从内存定义类，避免在磁盘留下痕迹。该恶意软件会确认系统中无激活的安全产品后，下载并运行Tor浏览器，通过本地主机代理验证连接，随后启动带加密身份验证的Adwind后门模块，建立洋葱路由C2通道。为了持久性，SoupDealer利用Windows任务计划程序和伪装成良性名称的注册表项，在获得管理员权限后创建随机名称的计划任务，定时调用Java加载器。同时，恶意代码在各阶段均包含垃圾操作与字符串加密，执行前清除冗余代码，通过动态内存解包使得传统杀软和沙盒检测失效。SoupDealer通过多阶段解密、内存加载和环境检测，展现了下一代隐形恶意软件在真实攻击场景中的威胁实力。

组织跟踪

23. 两个黑客组织利用WinRAR漏洞开展网络间谍活动

【The Record网站8月12日报道】斯洛伐克网络安全公司ESET近日披露，今年夏天，两个不同的网络威胁组织利用了流行文件归档软件WinRAR中的零日漏洞，发动了针对多个目标的网络攻击。第一个组织是与俄罗斯结盟的RomCom（编号Storm-0978），他们针对欧洲和加拿大的金融、制造、国防及物流行业人员发起鱼叉式钓鱼攻击，诱骗受害者打开恶意简历文件，执行远程代码。该漏洞编号为CVE-2025-8088，于2025年7月24日修复，RomCom至少是第三次利用重大零日漏洞进行攻击。另一组织为俄罗斯安全公司BI.ZONE报告的Paper Werewolf（又称Goffee），该组织在针对俄罗斯本土组织的攻击中利用了2025年6月修复的另一个WinRAR漏洞（CVE-2025-6218）及相关零日漏洞。Paper Werewolf通过冒充全俄研究所员工发送带有恶意RAR压缩文件的钓鱼邮件，利用漏洞远程执行代码。BI.ZONE怀疑该漏洞曾在俄语暗网以8万美元价格交易。目前尚无证据表明RomCom与Paper Werewolf之间存在联系。Paper Werewolf专注于俄罗斯目标，知名于网络钓鱼和恶意软件窃取行为。此次事件凸显WinRAR漏洞被多方攻击组织利用，反映了零日漏洞在地缘政治网络间谍中的重要作用。

TTPs动向

24. Silent Watcher利用Discord Webhook 击Windows系统并窃取数据

【CybersecurityNews网站8月11日报道】研究人员发现一种名为“Silent Watcher”的复杂 Visual Basic 脚本（VBS）恶意软件，正持续针对 Windows 系统发动攻击。该恶意软件属于 Cmimai 信息窃取家族，采用高级数据泄露技术，利用合法的 Discord webhook 通信绕过传统安全防护，实现隐蔽的数据传输。Silent Watcher 通过多阶段攻击流程运行，初期执行 VBS 脚本建立持久性后，利用 Windows 管理规范（WMI）全面收集操作系统、用户凭据及计算机规格等信息。其通过动态创建多个 PowerShell 脚本执行浏览器元数据提取和屏幕截图捕获，规避 PowerShell 执行策略，降低系统影响。数据传输方面，恶意软件使用 WinHttp.WinHttpRequest.5.1 和MSXML2.ServerXMLHTTP 对象作为冗余机制，将格式化为 JSON 的数据通过 Discord webhook 发送，使流量伪装成合法通信。通过一小时周期的定时循环，Silent Watcher 持续更新采集系统状态和截图，且在临时文件夹生成随机命名的临时文件，并自动清理痕迹，提升隐蔽性。该恶意软件所有操作均记录于“vbs_reporter_log.txt”，为攻击者提供实时反馈并保证操作安全。研究人员警告，Silent Watcher 展示了现代恶意软件结合社交平台通信和高级持久威胁的复杂手法，用户和企业应加强防御和监控。

25. 黑客利用Linux网络摄像头作为攻击工具，注入按键并发起攻击

【CybersecurityNews网站8月11日报道】研究人员在DEF CON 2025上披露了一项严重安全漏洞，该漏洞允许黑客将普通的Linux网络摄像头转变为武器化的BadUSB攻击工具，从而实现远程注入按键攻击，危害目标系统且难以被察觉。此次漏洞影响由SigmaStar生产的联想510 FHD和Performance FHD网络摄像头，这些设备采用基于ARM Cortex-A7的双核处理器和嵌入式Linux操作系统，固件更新过程中缺乏签名验证机制。攻击者可通过USB接口发送特定命令，完全覆盖摄像头的8MB SPI闪存，重新刷新固件并将其伪装为人机接口设备（HID），实现恶意按键注入和持久远控。不同于传统需要更换物理设备的BadUSB攻击，此技术使攻击者在获得初始系统权限后即可远程刷新固件，即使系统重装亦无法清除，极大增强了攻击的持久性和隐蔽性。攻击链包括利用Linux USB Gadget功能，将摄像头变为可执行恶意命令的键盘设备，持续控制受害主机。联想已发布4.8.0版本固件更新及签名验证补丁，跟踪编号为CVE-2025-4371，并与SigmaStar协作解决问题。安全专家警示，类似基于Linux的USB设备存在广泛风险，未实施固件签名验证的设备可能成为攻击载体，挑战传统端点安全模型，亟需强化硬件信任和固件安全机制。

新兴技术

26. 新型攻击技术Win-DDoS可将全球成千上万的公开域控制器（DC）变成僵尸网络

【SecurityLab网站8月11日报道】SafeBreach研究人员在DEF CON 33大会上披露了一种名为Win-DDoS的新型攻击技术，该技术可将全球成千上万的公开域控制器（DC）变成僵尸网络，用于发动高强度分布式拒绝服务（DDoS）攻击。该攻击无需购买硬件、注入恶意代码或入侵系统，攻击者只需发送一个RPC请求，即可将域控制器转变为受控的CLDAP客户端，强制其不断向攻击目标发起流量轰炸，致使服务器资源过载。该漏洞基于Windows LDAP客户端中URL重定向处理机制缺陷，通过发送含大量LDAP URL的列表，使域控制器循环请求同一目标，产生持续流量。同时，长列表可能导致LSASS服务崩溃、系统重启或蓝屏。研究人员还发现多个可远程拒绝服务漏洞（CVE-2025-26673、CVE-2025-32724、CVE-2025-49716、CVE-2025-49722），均可被利用破坏域控制器功能。这些零点击漏洞使攻击者无需管理员权限即可发起攻击，极大提升了攻击威胁的隐蔽性和破坏力。专家提醒企业和政府机构需重新评估安全防护策略，应对这一新型远程威胁，保障基础设施的稳定运行。

27. SSHamble——利用 SSH 协议漏洞的新开源工具

【CybersecurityNews网站8月11日报道】在DEF CON 33大会上，研究人员展示了一款名为SSHamble的开源侦察工具，专门用于识别和利用互联网公开的系统中SSH协议实现的漏洞。该工具揭示了影响全球数百万设备的广泛SSH错误配置和关键安全缺陷。SSHamble通过预认证阶段对SSH服务器进行深入分析，检查协议协商细节、认证机制以及具体实现的漏洞，且无需有效凭证即可执行侦察操作。最新2.0版本包含30多项漏洞检测功能，支持包括身份验证绕过测试和时序分析等技术，还集成了BadKeys.info黑名单查询和与Nuclei安全测试框架的结合，极大提升安全检测效率。该工具已发现多起企业级零日漏洞实例，包括Ruckus Wireless接入点的未授权root命令执行，Digi TransPort网关和松下以太网交换机的远程CLI访问漏洞，以及GOGS和Soft Serve等Git托管平台的经过身份验证的远程代码执行漏洞。互联网范围扫描数据显示，约有2200万个IPv4地址的SSH端口开放，其中1540万个成功协商身份验证协议，SSHamble在约4.8万个系统上建立了会话，揭示了身份验证绕过和凭证泄露的风险。研究强调，组织需审查并强化SSH配置，推荐采用OpenSSH 9.8引入的PerSourcePenalties速率限制，减少基于密码的认证，转而采用安全的公钥管理实践，防范恶意攻击者利用漏洞实现系统破坏。SSHamble工具已公开，成为安全专业人员识别和修补SSH漏洞的重要利器。

往期推荐

5th域安全微讯早报【20250806】187期

2025-08-06

5th域安全微讯早报【20250807】188期

2025-08-07

5th域安全微讯早报【20250808】189期

2025-08-08

5th域安全微讯早报【20250809】190期

2025-08-09

5th域安全微讯早报【20250811】191期

2025-08-11

---