第3期

第四师可克达拉市网络与信息安全信息通报中心      2025年2月19日

网络安全预警信息

一、安全事件

1. 印度当局查获 BitConnect 加密货币骗局中的赃物【CyberSecurityNews网站2月18日报道】印度执法局（ED）根据《防止洗钱法》（PMLA）扣押了与现已倒闭的 BitConnect 借贷计划相关的价值164.6亿卢比的数字资产。BitConnect 是一个伪装成区块链投资平台的庞氏骗局，曾在2016年11月至2018年1月期间，通过虚假的“波动性软件交易机器人”承诺每月40%的回报，吸引了全球投资者，包括大量印度人。调查发现，该平台公布的1%虚假日回报率（年化3700%）完全是欺诈行为，其创始人Satish Kumbhani目前在美国面临70年监禁。ED的网络取证团队追踪了12,000多个钱包的交易，发现了隐藏在古吉拉特邦的冷存储设备，其中包含比特币、以太坊和门罗币等隐私币。BitConnect的骗局在全球造成24亿美元的损失，其运营者通过智能合约蜜罐、清扫机器人和暗网混淆等手段洗钱。尽管如此，ED通过Python工具逆向工程区块链账本，成功扣押了135万卢比现金、一辆雷克萨斯SUV和加密硬件钱包。此次行动标志着印度在区块链取证方面的能力提升，并为打击加密货币金融犯罪开创了先例。美国证券交易委员会（SEC）对Kumbhani的全球诈骗案的调查仍在进行中，国际刑警组织正在协调资产追回谈判。此次扣押表明印度将加强对去中心化金融（DeFi）项目的审查，并通过跨机构合作追踪非法资金流动。

2. 勒索软件攻击导致Lee Enterprises报纸中断【Bleepingcomputer网站2月18日报道】报业出版巨头Lee Enterprises确认，其业务持续中断超过两周的原因是勒索软件攻击。Lee Enterprises是美国最大的报业集团之一，旗下报纸日发行量超过120万份，数字版独立访客超过4400万。根据Lee提交给美国证券交易委员会（SEC）的文件，此次攻击导致2月3日系统中断，攻击者非法访问公司网络，加密关键应用程序并窃取文件。事件影响了公司的运营，包括产品分销、账单、收款和供应商付款，印刷出版物分发延迟，在线运营部分受限。截至2月12日，核心产品已恢复正常分发，但周度和辅助产品尚未恢复。Lee正在调查是否有敏感数据或个人身份信息（PII）被泄露，但尚未发现确凿证据。为应对中断，公司采取了手动交易处理和替代分销渠道等临时措施。此次攻击导致Lee的许多网络关闭，记者和编辑无法访问文件，VPN停止工作。2020年，Lee曾遭受过网络攻击，当时伊朗黑客入侵其网络以传播虚假信息。

3. 游戏中的恶意软件：下载了BeamNG.drive —发现了一个隐藏的矿工【SecurityLab网站2月18日报道】2024年底以来，攻击者利用XMRig矿工通过伪装成流行模拟游戏的方式，感染了俄罗斯、白俄罗斯、哈萨克斯坦、巴西和德国等地的计算机。恶意软件通过torrent追踪器传播，伪装成模拟游戏如BeamNG.drive、戴森球计划、宇宙沙盒等。卡巴斯基实验室发现，大多数受害者（70.5%）下载了BeamNG.drive的伪造版本。XMRig矿工是一个开源工具，主要用于挖掘门罗币，它占用受感染计算机的处理器和显卡资源，导致系统超负荷运转，出现设备过热、性能下降等问题。尽管受害者仍能正常玩游戏，但矿工在背后运行，悄无声息地消耗系统资源。攻击者选择在新年假期发动攻击，借机利用用户的娱乐需求，尤其是游戏玩家的高性能电脑。专家指出，矿工可能只是更复杂恶意软件的一部分，可能执行其他危险操作。专家建议加强安全防护，避免下载不明游戏版本。

4. 地下室与仓库挖矿：Rosseti因非法加密货币农场损失13亿卢布【SecurityLab网站2月18日报道】2024年俄罗斯电力公司Rosseti因非法加密货币挖矿活动损失超过13亿卢布。全年共查处130起非法接电和漏电案件，其中40多起已立案调查并判处监禁。损失最严重的地区包括北高加索（超过6亿卢布）、新西伯利亚（4亿卢布）以及中部俄罗斯和伏尔加地区（1.2亿卢布）。非法挖矿场不仅造成经济损失，还导致电网过载，引发电力激增和家用电器故障。典型案例包括卡拉恰伊-切尔克斯共和国的一个仓库中发现200台挖矿设备，以及新西伯利亚一起涉及3.2万台设备的工业规模窃电案件。非法农场遍布各地，从集装箱到住宅楼地下室，甚至停车场。

5. 黑客战争摧毁了Doxxing帝国Doxbin【SecurityLab网站2月18日报道】黑客组织Tooda声称入侵了Doxxing平台Doxbin，删除了所有用户账户并封锁了管理员的访问权限。此次冲突起因是Doxbin的一名用户被公开指控为恋童癖者，随后Tooda黑客不仅摧毁了Doxbin的数据库，还威胁要泄露136,814条包含用户ID、用户名和电子邮件地址的记录。其中最大的打击是公布了“黑名单”，上面列出了曾付费要求删除数据的用户，这使得用户保持匿名的努力彻底失败。公布的材料中还包含了一名管理员（昵称“River”）的个人信息，据称是一名20岁的罗马尼亚女性Paula，并附有要求她离开Doxbin的警告。然而，vx-underground的消息来源很快对Tooda的说法提出了质疑，认为此次事件并非真正的系统入侵，黑客可能只是获取了管理员凭证，从而暂时控制了网站。此外，“黑名单”中的信息似乎已在封闭社区中流传了一段时间，而Doxbin的用户数据库可能在攻击之前就已经泄露。目前，Doxbin网站已无法访问，Tooda的Telegram频道也被删除。此次攻击表明，即使是像Doxbin这样的平台也容易受到竞争对手的攻击，而用户的数据可能被用来对付他们自己。

二、漏洞预警

1. LibreOffice漏洞使攻击者可以写入任意文件并提取值  【CyberSecurityNews网站2月18日报道】LibreOffice发布了关于其严重漏洞的警告，这些漏洞（CVE-2024-12425 和 CVE-2024-12426）允许攻击者通过恶意文档覆盖任意文件并提取敏感数据。漏洞详细信息：CVE-2024-12425：通过嵌入字体进行路径遍历；漏洞源自对OpenDocument XML文件中字体名称的不当清理。攻击者可以通过路径遍历序列注入，迫使LibreOffice在临时目录之外写入任意 .ttf 文件。虽然此缺陷无法立即执行代码，但可被用来覆盖Web应用程序文件或配置脚本，实施服务器端攻击。CVE-2024-12426：变量扩展和INI文件泄露；利用LibreOffice对 vnd.sun.star.expand URI方案的处理，攻击者可通过操控URL提取环境变量、配置文件或机密数据。该漏洞允许泄露INI文件中的信息，甚至从 .bash_history 或 SQLite数据库中提取数据，严重时可能导致账户接管。漏洞影响：桌面用户：恶意文档可以暴露 $HOME 路径、shell 历史或应用程序机密（如AWS凭证）。服务器部署：无头LibreOffice实例可能受到任意写入或SSRF攻击，从而部署web-shell。跨平台威胁：Linux、Windows 和 macOS 安装的用户均受到影响。  

2. ChatGPT 运算符提示注入漏洞泄露私人数据  【CyberSecurityNews网站2月18日报道】OpenAI的ChatGPT Operator因存在提示注入漏洞而受到关注，该漏洞可能导致敏感个人数据泄露。ChatGPT Operator是一款为ChatGPT Pro用户设计的先进AI代理，具备网页浏览和推理能力，可执行研究主题、预订旅行等任务。然而，最近的演示表明，攻击者可通过提示注入技术操纵Operator访问包含敏感信息（如电子邮件地址或电话号码）的经过身份验证的网页，并将这些信息泄露到第三方恶意网页。OpenAI已采取多层防御措施来缓解此类风险，包括用户监控、内联确认请求和带外确认请求。然而，由于提示注入攻击的概率性质，这些防御措施并非完全有效。该漏洞可能使攻击者访问存储在经过身份验证的网站上的敏感个人身份信息（PII），并削弱用户对自主AI代理的信任。为应对这些挑战，OpenAI可考虑开放部分提示注入监视器的源代码，以便研究人员评估和改进现有缓解策略。此外，网站可通过识别AI代理的User-Agent标头，阻止其访问敏感页面。目前，警惕的监控和分层缓解措施对于保护用户隐私和维持对AI技术的信任至关重要。  

3. 新OpenSSH漏洞曝光：SSH服务器面临中间人攻击与拒绝服务攻击风险  【BleepingComputer网站2月18日报道】OpenSSH发布安全更新，修复了两个漏洞：一个中间人攻击（MitM）漏洞和一个拒绝服务（DoS）漏洞。其中，MitM漏洞（CVE-2025-26465）自2014年OpenSSH 6.8p1版本引入，已存在超过十年。该漏洞在启用“VerifyHostKeyDNS”选项时，允许攻击者通过耗尽客户端内存绕过主机验证，从而劫持SSH会话并窃取数据。尽管该选项默认关闭，但在2013年至2023年间，FreeBSD系统默认启用了此选项，导致许多系统暴露于攻击风险中。另一个漏洞（CVE-2025-26466）是2023年8月OpenSSH 9.5p1版本引入的预认证拒绝服务漏洞，攻击者可通过发送小数据包导致内存和CPU资源耗尽，引发系统崩溃。OpenSSH团队已发布9.9p2版本修复这两个漏洞，建议用户尽快升级并禁用“VerifyHostKeyDNS”选项，同时实施严格的连接速率限制以防范潜在攻击。

三、 风险预警

1. Juniper 警告影响多种产品的严重身份验证绕过漏洞【CyberSecurityNews网站2月18日报道】瞻博网络（Juniper Networks）发布了紧急安全公告，解决影响其会话智能路由器（Session Smart Router）、会话智能导体（Session Smart Conductor）和WAN Assurance管理路由器（WAN Assurance Managed Router）产品线的严重API身份验证绕过漏洞（CVE-2025-21589）。该漏洞的CVSS基本评分最高为9.8，允许未经身份验证的攻击者通过网络利用媒介执行管理命令。漏洞出现在设备的REST API实现中，当处理高可用性配置下的身份验证标头时，攻击者可以注入伪造的JWT（JSON Web Tokens），其中修改后的kid（密钥ID）参数指向攻击者控制的公钥，从而绕过签名验证程序。成功利用该漏洞可让攻击者通过精心设计的API请求绕过X.509证书验证和会话令牌检查，获得对目标设备的完全管理控制权。受影响的配置包括5.6.17之前的5.6.6.0.8至6.1.12-lts、6.2.8-lts和6.3.3-r2版本；具有等效版本范围的Session Smart Conductor安装；以及与这些参数匹配的WAN Assurance管理路由器。瞻博网络的安全事件响应小组（SIRT）确认，该漏洞是在基于gRPC的管理协议的内部模糊测试期间发现的，截至2月18日，尚未观察到任何在野利用情况。Juniper已发布修复软件版本，建议组织立即应用补丁。

2. 研究人员通过客户端代码利用实现对Grok-3 AI的未经授权访问【CybersecurityNews网站2月18日报道】一位名为“Singlemode”的研究人员演示了如何通过客户端代码操作绕过访问控制，获得对集成在埃隆·马斯克X平台中的Grok-3 AI模型的未经授权访问。该漏洞利用浏览器的开发人员控制台运行自定义JavaScript代码片段，修改窗口对象以将低级别AI模型“grok-2a”替换为“grok-3”，从而欺骗系统授予对高级AI模型的访问权限。此漏洞暴露了X平台依赖客户端而非服务器端实施访问控制的薄弱安全机制，使得具有基本技术知识的用户能够轻易利用。截至目前，X平台尚未对此漏洞发表官方声明。Grok-3是xAI推出的最新AI模型，于2月17日发布，被誉为“地球上最聪明的AI”，具有增强的推理、创造力和计算能力。

3. 虚假时间表报告邮件诱导 Tycoon 2FA 网络钓鱼攻击【CyberSecurityNews网站2月18日报道】新一轮网络钓鱼攻击利用虚假时间表报告邮件，诱导用户进入复杂的Tycoon 2FA网络钓鱼工具包。该攻击通过Pinterest视觉书签作为中介，增加欺骗性合法性，旨在绕过多因素身份验证（MFA）并窃取敏感凭证。攻击流程如下：首先，攻击者发送名为“时间表报告”的邮件，声称收件人的时间表中添加了新信息，并包含“查看时间表”按钮，点击后将用户重定向到Pinterest可视化书签链接。该链接指向Pinterest上托管的页面，显示Microsoft徽标和“访问”按钮，利用Pinterest的声誉降低用户怀疑。点击“访问”后，用户被重定向到包含Cloudflare CAPTCHA挑战的页面，过滤自动机器人并增加可信度。完成CAPTCHA后，用户被带到伪造的Microsoft登录页面，攻击者在此窃取用户凭据。Tycoon 2FA网络钓鱼工具包是一种复杂的PhaaS平台，能够绕过MFA保护，主要功能包括：会话Cookie收集、混淆代码、反检查措施和流量过滤。为防范此类攻击，建议用户仔细检查发件人信息，避免点击未经请求的邮件链接；使用基于行为模式和IoC的电子邮件过滤解决方案；对员工进行安全意识培训；监控会话Cookie使用情况；并考虑使用基于硬件的MFA密钥或生物识别身份验证。该攻击凸显了网络威胁的复杂化趋势，攻击者通过利用受信任平台并绕过MFA保护，使传统防御措施难以应对。组织必须采取主动措施并保持警惕，以防范此类不断演变的威胁。