文章总结： MacKeeper研究人员发现攻击者利用谷歌广告伪装苹果官网，诱导Mac用户执行Base64编码的终端命令，下载恶意脚本获取完整系统权限。同时报道波兰能源设施遭俄罗斯关联组织StaticTundra攻击，利用Fortinet防火墙漏洞部署擦除恶意软件；MicrosoftOutlook插件被滥用窃取邮件且绕过审计日志；法国公共就业服务机构因社工攻击泄露4300万求职者信息被罚款500万欧元；新型无恶意软件钓鱼通过虚假PDF窃取Dropbox凭证；IDIS摄像头管理软件存在高危漏洞可远程执行代码；AI模型面临语义链越狱攻击风险；苹果推出位置隐私保护功能；韩国七大公共系统全部被攻破；PaneraBread确认510万账户数据泄露。 综合评分： 78 文章分类： 威胁情报,漏洞分析,数据泄露,社会工程学,恶意软件

恶意谷歌广告伪装苹果官网，诱导Mac用户执行终端命令致系统被控

汇能云安全

2026年2月9日 11:04 广东

02月09日，星期一，您好！中科汇能与您分享信息安全快讯：

01

恶意谷歌广告伪装苹果官网，诱导Mac用户执行终端命令致系统被控

MacKeeper研究人员发现，一场复杂的钓鱼活动正利用谷歌广告针对寻找系统清理工具的Mac用户。攻击者购买“mac cleaner”等关键词的赞助搜索结果，将用户重定向至托管在Google Docs等可信域名上的虚假苹果支持页面。这些页面设计精良，冒充官方指南，最终诱导用户复制粘贴一条经过混淆的Base64编码命令到终端中执行。

一旦执行，该命令会下载并运行一个拥有完整用户权限的脚本，使攻击者能够远程控制受害者的Mac电脑。这可能导致敏感文件被盗、SSH密钥被窃取、进一步恶意软件部署或加密挖矿。调查发现，攻击者疑似通过入侵已验证的谷歌广告账户（包括个人和企业账户）来投放这些恶意广告，利用现有账户的信誉绕过谷歌安全检查。该事件凸显了在线广告平台在防范复杂网络威胁方面面临的持续挑战。

02

波兰风能与热电设施遭协调网络攻击， 攻击者旨在破坏通信与工业控制系统

波兰计算机应急响应小组披露，2025年12月29日，波兰超过30个风能和太阳能电站、一家制造公司以及一座为近50万人服务的热电联产电厂遭到协调性网络攻击。尽管发电和供暖未中断，但攻击严重影响了通信系统和工业控制设备，意图在严冬期间制造破坏。此次攻击标志着针对关键能源基础设施的网络行动出现罕见且严重的升级。

攻击者通过暴露在互联网上、缺乏多因素认证的Fortinet防火墙设备等初始入口点渗透网络。获得管理员权限后，他们部署了包括固件篡改、文件删除以及新型擦除恶意软件“DynoWiper”和“LazyWiper”在内的破坏性手段，旨在切断设施与电网运营商之间的通信和远程控制。波兰CERT将攻击基础设施归因于一个名为“Static Tundra”（也称Berserk Bear）的威胁集群，该集群与俄罗斯情报机构有关，并指出这是该组织首次公开的破坏性行动。不过，其他安全公司则认为与俄罗斯的APT组织“Sandworm”关联性更高。

03

攻击者利用Microsoft Outlook插件漏洞窃取邮件，绕过审计日志不留痕迹

安全研究人员披露了一种针对Microsoft 365 Outlook的新型攻击技术“Exfil Out& Look”。该技术并非利用软件漏洞，而是滥用Outlook插件的合法功能，在不触发统一审计日志的情况下，悄无声息地窃取外发电子邮件的内容。攻击者可以创建一个恶意Outlook插件，利用“OnMessageSend”事件在邮件发送前捕获其主题、正文和收件人信息，并通过简单的网络请求将数据外泄至攻击者控制的服务器。

最令人担忧的是安全监控的盲点：当此类插件通过Outlook网页版安装时，Microsoft 365的审计日志中不会留下任何记录。这意味着无论是外部攻击者入侵账户后安装，还是恶意内部人员所为，其安装和后续的数据窃取活动对标准的安全监控工具完全隐形。Varonis研究团队已于2025年9月向微软报告此问题，但微软将其评估为“低严重性”，目前暂无修复计划。这迫使企业必须主动采取严格策略，如禁用用户自行安装插件、仅允许经过审批的插件列表，并监控Azure AD中的异常应用注册活动。

04

法国公共就业服务机构数据泄露， 4300万求职者信息被窃遭巨额罚款

法国数据保护机构国家信息与自由委员会对公共就业服务机构France Travail处以500万欧元罚款，原因是其未能妥善保护求职者数据，导致2024年初发生重大数据泄露事件。攻击者利用社会工程学手段，成功侵入了负责残疾人就业支持的顾问账户，窃取了多达4300万人的个人信息，约占法国总人口的63%。泄露数据包括姓名、出生日期、社会保障号码、电子邮件、家庭住址和电话号码。

CNIL调查指出，France Travail的安全措施存在不足，致使积累了20多年的求职者敏感数据面临风险。尽管此次泄露不涉及银行信息或密码，且完整的求职档案（可能包含健康数据）未被获取，但其规模巨大，影响深远。CNIL要求该机构记录并实施纠正措施，否则将面临每日罚款。这已是France Travail近年来第二次大规模数据泄露，此前在2023年8月也曾泄露约1000万人信息。此次处罚再次彰显了欧洲监管机构依据GDPR对数据保护不力的公共及私营机构进行严格执法的决心。

05

新型无恶意软件钓鱼攻击瞄准企业，通过虚假PDF订单窃取Dropbox凭证

安全厂商Forcepoint发现一种新型多阶段钓鱼攻击，旨在通过无恶意软件的手段窃取企业员工的Dropbox登录凭证。攻击始于一封看似正常的商务邮件，要求收件人查看一个“采购订单”PDF文件。该PDF托管在Vercel等合法的云服务上，内含一个链接，指向一个高度仿真的假冒Dropbox登录页面。

整个攻击链设计精巧，规避了传统检测。邮件往往伪造或来自已被入侵的“内部”邮箱，且通过了SPF、DKIM等邮件认证检查，降低了安全系统的警觉性。PDF和钓鱼网站本身不含任何恶意代码，纯粹依赖社会工程学。当受害者输入凭证后，网站会延迟几秒然后显示“用户名/密码错误”，以模拟真实登录过程，同时将窃取的凭证连同用户系统信息发送给攻击者控制的Telegram机器人。攻击者随后可能利用这些凭证进行账户接管、横向移动或进一步的欺诈活动，对企业内部网络安全构成严重威胁。

06

IDIS IP摄像头管理软件曝高危漏洞， 点击链接即可导致Windows电脑完全沦陷

安全研究人员在IDIS IP摄像头的官方管理软件“IDIS Cloud Manager Viewer”中发现一个严重漏洞。该漏洞追踪为CVE-2025-12556，CVSS评分高达8.7，允许攻击者通过诱骗用户点击一个特制链接，就能在受害者的Windows电脑上执行任意代码，从而获得对系统的完全控制权。这将日常用于安保监控的系统，转变为了入侵整个企业网络的入口点。

漏洞源于一个名为CWGService.exe的本地Windows服务，该服务监听端口并接受启动ICM Viewer的命令，但未能验证命令来源或净化参数。攻击者可以通过恶意网页中的JavaScript建立WebSocket连接，向该服务注入恶意命令行参数，最终以受害者权限执行任意命令。由于该漏洞能绕过浏览器的安全沙箱，直接在操作系统层面执行代码，其危险性远超普通网络钓鱼。依赖IDIS监控系统的企业需立即将ICM Viewer升级至修复版本1.7.1，以防攻击者利用此漏洞突破网络边界，窃取敏感数据或部署勒索软件。

07

“语义链”越狱攻击曝光，通过分步诱导可骗过Grok等AI模型生成违禁内容

人工智能安全公司NeuralTrust揭示了一种名为“语义链”的新型AI越狱攻击方法。该方法并非直接输入有害提示，而是将恶意意图拆解为一系列看似无害的步骤，逐步诱导多模态AI模型生成本应被安全过滤器阻止的图像内容。攻击者首先要求模型生成一个中性场景，然后逐步请求修改特定元素，最终导向暴力、违禁品制作指南等被禁止的输出。

这种攻击利用了当前AI安全机制的一个盲点：模型在审查对现有内容的“修改”请求时，往往只聚焦于局部变化，而非重新评估最终整体输出的语义安全。研究人员已证实该技术对xAI的Grok 4、谷歌的Gemini Nano Banana Pro等先进模型有效。尽管攻击目前受限于图像格式，且其输出的实际危害有限，但它暴露了现有AI安全过滤器在面对分步、迂回诱导时的脆弱性。开发者可能需要转向在模型推理过程中进行更深入的意图追踪和内容审查，而不仅是检查输入和最终输出。

08

苹果为部分新机型增强位置隐私，限制与运营商共享数据的精度以防范监控

苹果公司为部分新款iPhone和iPad推出了一项新的隐私功能，旨在限制向移动运营商共享的用户位置数据精度。该功能将共享的位置信息模糊化为一个大致的地理区域，而非精确的街道地址，从而保护用户隐私，使其免遭执法部门过度追踪、商业间谍活动或黑客攻击的威胁。此功能目前适用于iPhone Air、iPhone 16e及搭载M5芯片的蜂窝网络版iPad Pro。

此举正值执法部门越来越多地依赖运营商提供的位置数据进行调查，同时针对电信运营商的网络攻击也日益频繁，例如与中国有关的黑客组织“Salt Typhoon”就曾试图窃取客户数据。此前，蜂窝网络的漏洞曾使监控供应商能够获取全球范围的精准位置数据。苹果的新功能在用户隐私与必要服务（如紧急呼叫定位）之间寻求平衡，它不会影响应用程序或紧急服务获取精确位置的能力，但能有效增加通过运营商数据对个人进行精确定位和追踪的难度。

09

韩国政府模拟攻防演习结果严峻，被测七大公共系统全部沦陷公民数据暴露

韩国监察院公布的一次国家级模拟网络攻击审计结果显示，受测试的7个重点公共系统全部被成功攻破，暴露出政府在保护海量公民个人信息方面存在严重漏洞。此次渗透测试由监察院联合白帽黑客及国家安全机构于2024年底进行，测试对象为个人信息保护委员会指定的、存储大量个人数据的123个重点公共系统中的7个。

测试结果触目惊心：在一个系统中，审计人员能够访问涵盖近5000万韩国公民的居民登记号码；在另一个系统中，可在20分钟内窃取1000万用户数据；还发现有的系统关键访问信息未加密，导致管理员权限可被用于大规模数据窃取。审计还发现诸如退休员工访问权限未被及时撤销等安全管理疏漏。尽管相关机构已完成整改，但监察院因安全考虑未公开具体系统名称。此结果凸显了韩国公共部门网络安全防御的薄弱，以及面对国家级黑客攻击时公民数据面临的巨大风险。

10

Panera Bread数据泄露事件影响510万账户，远低于黑客最初声称的1400万

知名数据泄露查询网站“Have I Been Pwned”证实，美国连锁面包咖啡馆Panera Bread发生数据泄露事件，影响了约510万个账户。此前，网络犯罪组织ShinyHunters声称窃取了超过1400万个账户数据，并在勒索未果后公开了一个760MB的数据档案。Panera Bread随后确认泄露的数据为“联系方式”，并表示已通知相关部门。

ShinyHunters声称，他们通过利用Microsoft Entra单点登录代码漏洞入侵了Panera的系统，并称这是针对100多个主要身份提供商SSO账户的更广泛攻击的一部分。泄露的数据包括电子邮件地址、姓名、电话号码和物理地址。这并非Panera首次遭遇数据安全问题，早在2018年，其网站就曾因漏洞暴露了数百万客户记录长达八个月。此次事件再次警示餐饮零售业，其积累的庞大客户数据库已成为黑客眼中的高价值目标，一旦防护不当或响应迟缓，将导致严重的客户隐私泄露和品牌信誉损害。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《恶意谷歌广告伪装苹果官网，诱导Mac用户执行终端命令致系统被控》