本期导读：移动安全● Triada木马升级：预装安卓恶意软件现已植入设备固件● Darcula网络钓鱼作为服务行动吞噬80万以上的受害者● 黑客窃取了 TeleMessage 的客户数据，出售给美国政府的应用程序信息遭泄露● 苹果向全球间谍软件攻击的新受害者发出通知● 新型逆向 NFCGate 技术曝光 APT 事件● ColdRiver 使用 LostKeys 恶意软件对西方政府和组织进行间谍攻击● APT36 式 ClickFix 攻击伪装印度政府部门● Lemon Sandstorm 针对中东关键国家基础设施的入侵● APT-C-51（APT35）组织最新攻击活动分析漏洞新闻● 谷歌修复了被积极利用的 Android 漏洞 CVE-2025-27363● 微软披露 macOS 漏洞 CVE-2025-31191 详情● 可蠕虫化 AirPlay 漏洞：公共 Wi-Fi 环境下可零点击远程控制苹果设备● Cisco IOS XE 无线控制器漏洞可使攻击者完全控制设备

📱 Triada木马已升级，能够将恶意软件直接嵌入设备固件，从而感染Zygote进程并控制整个系统，难以清除。

🎣 Darcula网络钓鱼行动通过网络钓鱼信息针对 iPhone 和 Android 用户，诱骗他们泄露信用卡信息，已造成超过80万人受害。

🔒 黑客窃取了TeleMessage的客户数据，包括使用其Signal克隆版发送的私信和群聊内容，以及WhatsApp、Telegram 和微信的修改版，并试图出售给美国政府。

📱 苹果公司向全球100个国家的用户发出通知，告知他们手机可能已成为高级商业间谍软件的攻击目标。

📌 新型逆向NFCGate技术被用于从俄罗斯银行客户那里窃取4000万卢布，攻击者修改了合法的NFCGate应用程序，将其伪装成政府和银行服务。

🕵️ ColdRiver APT小组使用LostKeys恶意软件对西方政府和组织进行间谍攻击，窃取文件和收集系统信息。

🕵️ APT36小组通过伪装成印度国防部的网站进行ClickFix攻击，利用类似公共部门品牌的网站结构和布局进行感染。

🏢 Lemon Sandstorm APT小组针对中东关键国家基础设施进行了长期入侵，使用了多种Web Shell和后门实现持久化。

🕵️ APT-C-51（APT35）小组通过恶意lnk文件下发后续恶意组件，最终部署#PowerLess木马，针对中东地区的攻击。

🔍 谷歌修复了一个被积极利用的Android零点击FreeType代码执行漏洞，影响安卓13-15版本。

🔍 微软披露了macOS漏洞CVE-2025-31191的详情，该漏洞存在于Apple的CoreServices组件中，可能允许恶意应用访问敏感用户数据。

📱 研究人员披露了苹果AirPlay协议中一系列现已修复的安全漏洞，攻击者可串联利用这些漏洞，控制支持AirPlay的设备。

🔌 思科披露了其IOS XE无线局域网控制器中的一个严重安全漏洞，该漏洞可能允许未经授权的攻击者完全控制受影响的设备。

AVL威胁情报团队 2025-05-13 11:15 四川

近期威胁情报速览！

    

01 Triada木马升级：预装安卓恶意软件现已植入设备固件

臭名昭著的安卓恶意软件Triada木马已进化出突破移动生态系统最新防护的能力。攻击者现在将复杂的多阶段加载器直接嵌入设备固件，使木马能感染Zygote进程，进而危害系统上运行的所有应用程序。通过这种方式，Triada获得全面控制权，能将恶意载荷注入用户启动的任何应用。除非完全重装系统，否则几乎无法清除。

详细信息：https://securityonline.info/triada-trojan-evolves-pre-installed-android-malware-now-embedded-in-device-firmware/

02 Darcula网络钓鱼作为服务行动吞噬80万以上的受害者

网络钓鱼即服务 (PhaaS) 行动在短短几个月内就使数十万人受害。Darcula 旨在通过网络钓鱼信息针对 iPhone 和 Android 用户，诱骗他们交出信用卡详细信息。该恶意软件在全球范围内运营，诱骗受害者点击冒充快递公司等品牌的短信、RCS 和 iMessage 短信。受害者被要求支付运费才能收到他们的“包裹”，并支付道路过路费等等。此前有关该行动的报道强调了其持续发展，包括生成人工智能等新功能，用于创建定制的短信网络钓鱼活动，以及反取证功能。

详细信息：https://www.infosecurity-magazine.com/news/darcula-phishing-as-a-service/

03 黑客窃取了 TeleMessage 的客户数据，出售给美国政府的应用程序信息遭泄露

一名黑客窃取了 TeleMessage 的客户数据。TeleMessage 是一家以色列公司，向美国政府出售 Signal 和 WhatsApp 等热门消息应用程序的修改版。“黑客窃取的数据包含一些使用其 Signal 克隆版发送的私信和群聊内容，以及 WhatsApp、Telegram 和微信的修改版。”404media 报道。“黑客访问 TeleMessage 面板的一张截图列出了 CBP 官员的姓名、电话号码和电子邮件地址。” 虽然并非所有数据都被访问，但该威胁行为者仅用 20 分钟就入侵了该公司，引发了国家安全担忧。

详细信息：https://securityaffairs.com/177458/hacking/a-hacker-stole-data-from-telemessage-the-firm-that-sells-modified-versions-of-signal-to-the-u-s-gov.html

04 苹果向全球间谍软件攻击的新受害者发出通知

苹果公司向 100 个国家/地区的用户发出威胁通知，告知他们手机可能已成为高级商业间谍软件的攻击目标。据TechCrunch报道，目标用户包括一名意大利记者和一名荷兰活动家。此消息传出之际，Meta-NSO 集团一案已进入下一阶段，Meta 要求这家间谍软件公司支付超过 44 万美元的补偿性赔偿金。作为回应，NSO 集团指责 Meta 夸大损失，并允许恶意软件留在 WhatsApp 服务器上以“窃取 NSO 的商业机密”。

详细信息：https://techcrunch.com/2025/04/30/apple-notifies-new-victims-of-spyware-attacks-across-the-world/

05 新型逆向 NFCGate 技术曝光

合法的NFCGate应用程序已被滥用，从俄罗斯银行客户那里窃取了 4000 万卢布。该应用程序用于捕获、分析或修改来自 Android 设备的近场通信 (NFC) 流量。欺诈者被发现修改该应用程序，将其伪装成政府和银行服务来开展活动。

2025 年 3 月，俄罗斯估计有 18 万台设备被入侵，这些设备安装了 NFCGate 和另一种名为CraxsRAT的恶意软件，其中超过 1000 起已确认的攻击是使用 NFCGate 反向版本针对俄罗斯主要银行的客户进行的。攻击者试图诱骗受害者下载恶意应用程序，一旦安装并打开，受害者就会收到一个弹出窗口，提示他们需要将恶意软件设置为非接触式支付的默认应用程序。然后，攻击会以各种借口引导受害者前往 ATM 机，将钱存入自己的账户。

详细信息：https://thehackernews.com/2024/11/ghost-tap-hackers-exploiting-nfcgate-to.html

01 ColdRiver 使用LostKeys 恶意软件对西方政府和组织进行间谍攻击

一种名为 LOSTKEYS 的新型恶意软件，它被与俄罗斯有关联的 APT COLDRIVER 在最近的攻击中用于窃取文件和收集系统信息。受害者包括西方顾问、记者和与乌克兰有关联的个人。他们的主要目标是为俄罗斯利益收集情报，偶尔也会进行黑客攻击和泄密。LOSTKEYS 的 VBS是一种恶意软件，能够从硬编码的扩展名和目录列表中窃取文件，并向攻击者发送系统信息和运行进程。

详细信息：https://securityaffairs.com/177638/apt/russia-linked-coldriver-used-lostkeys-malware-in-recent-attacks.html

02 APT36 式 ClickFix 攻击伪装印度政府部门

印度国防部最近被发现通过类似 ClickFix 的感染链传播跨平台恶意软件。ClickFix偏向于重复使用公共部门品牌、在网络资产目录中分阶段安装恶意软件以及针对 Windows 和 Linux 以最大限度地提高效率。最近一次攻击者冒充了印度国防部，其结构和布局与合法门户网站非常相似。

威胁行为者试图重建该部的公共文件档案，列出从 2023 年 9 月到 2025 年 4 月的每月新闻稿。然而，在克隆的页面上，只有一个链接（对应于 2025 年 3 月）处于活动状态，而所有其他月份都显示静态“无数据”状态。

详细信息：https://hunt.io/blog/apt36-clickfix-campaign-indian-ministry-of-defence

03 Lemon Sandstorm针对中东关键国家基础设施的入侵

此次入侵至少从2023年5月持续到2025年2月，攻击者最初通过窃取VPN凭证获取访问权限，并通过多个Web Shell和后门（包括Havoc、HanifNet、HXLibrary和NeoExpressRAT）实现了持久化。他们使用plink、Ngrok、glider proxy和ReverseSocks5等开源代理工具绕过了网络分段。

此次袭击分为四个不同的阶段：建立立足点和初始行动、巩固立足点、初步补救措施和攻击者响应和入侵遏制与最终对手响应。攻击者展示了先进的战术，使其能够深度嵌入、逃避检测并维持长期访问。尽管采取了遏制措施，但对手仍在持续试图重新获得访问权限，表明其对该环境抱有长期战略兴趣。

详细信息：https://www.fortinet.com/blog/threat-research/fortiguard-incident-response-team-detects-intrusion-into-middle-east-critical-national-infrastructure

04 APT-C-51（APT35）组织最新攻击活动分析

APT-C-51近期通过恶意lnk下发后续恶意组件，然后层层加载最终实现#PowerLess木马 的部署针对中东地区的攻击。LNK文件一旦被执行，会释放伪装文档并打开，以此来迷惑用户。此外还会释放多个恶意DLL以及加密数据文件，并执行相应DLL，然后通过层层解密并最终加载PowerLess脚本， 从而开启窃密行动。

详细信息：https://mp.weixin.qq.com/s/nY2Hyg6ZsM7ViXW1lhO2Ag

01 谷歌修复了被积极利用的 Android 漏洞 CVE-2025-27363

谷歌发布了 2025 年 5 月 Android 安全更新，修复了 45 个安全漏洞，包括一个被积极利用的零点击 FreeType 2 代码执行漏洞。影响安卓13-15版本，建议用户尽快更新。安卓12及更早版本不再受支持，需考虑升级或第三方修复方案。

本月修复的其余漏洞涉及框架、系统、Google Play 和 Android 内核中的问题，以及联发科、高通、Arm 和 Imagination Technologies 专有组件中的安全漏洞。Android 核心组件中的所有缺陷均被评为高严重性，其中大多数是特权提升问题。建议使用 Android 13 以上版本的用户考虑使用包含针对不受支持设备的安全修复程序的第三方 Android 发行版，或者迁移到其 OEM 支持的较新型号。

详细信息：https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-freetype-flaw-on-android/

02微软披露 macOS 漏洞 CVE-2025-31191 详情

微软已公布 macOS 漏洞CVE-2025-31191的详情。该漏洞存在于 Apple 的 CoreServices 组件中，可能允许恶意应用访问敏感用户数据。攻击者可以创建漏洞利用程序，在无需用户交互的情况下逃离 macOS 沙盒，并执行进一步的恶意操作，例如提升权限、窃取数据和部署其他有效载荷。Apple 已于 2025 年 3 月下旬在 macOS Sequoia 15.4 中解决了该问题。

详细信息：https://support.apple.com/en-us/122373

03可蠕虫化AirPlay漏洞：公共Wi-Fi环境下可零点击远程控制苹果设备

网络安全研究人员近日披露了苹果AirPlay协议中一系列现已修复的安全漏洞，攻击者可串联利用这些漏洞，控制支持AirPlay的设备——包括苹果设备和采用AirPlay SDK（软件开发工具包）的第三方设备。其中CVE-2025-24252与CVE-2025-24132等漏洞组合后，可形成无需用户交互的蠕虫化远程代码执行（RCE，Remote Code Execution）攻击链，使恶意软件能在受感染设备连接的任何本地网络中传播。

详细信息：https://thehackernews.com/2025/05/wormable-airplay-flaws-enable-zero.html

04 Cisco IOS XE 无线控制器漏洞可使攻击者完全控制设备

思科披露了其 IOS XE 无线局域网控制器中的一个严重安全漏洞，该漏洞可能允许未经授权的攻击者完全控制受影响的设备。漏洞编号为 CVE-2025-20188，最高严重等级为 10.0，允许未经身份验证的远程攻击者在受影响的系统上上传任意文件、遍历目录并以 root 权限执行命令。网络安全专家表示：“此漏洞对使用受影响思科无线控制器的企业网络构成重大风险。远程访问、无需身份验证以及根级命令执行等因素的结合，使得此漏洞尤为危险。”

详细信息：https://cybersecuritynews.com/cisco-ios-xe-wireless-controllers-vulnerability/

阅读原文

跳转微信打开