Lumma信息窃取恶意软件在法律进攻后卷土沉来

首页 > 安全钻研 > 安全传递 > 安全简讯

Lumma信息窃取恶意软件在法律进攻后卷土沉来

颁布功夫 2025-07-23

1. Lumma信息窃取恶意软件在法律进攻后卷土沉来

7月22日，Lumma信息窃取恶意软件平台（MaaS）在2025年5月的跨国法律行动中被查封2300个域名及部门基础设施，但其主题运营并未终止。Lumma运营商在XSS论坛上公开认可中央服务器遭远程擦除，但强调其未被齐全节造，并迅速启动复原打算。趋向科技遥测数据证实，Lumma的基础设施沉建速度超出预期，其通过迁徙云服务提供商躲避进一步关闭，同时选取合法云服务混合恶意流量，显著降低被探测到的可能性。当前，Lumma已构建四大主题传布渠路实现规�；叭荆浩湟�，通过虚伪软件破解法式与注册机，利用恶意告白及搜索了局把持技术，诱导用户接见搭载流量检测系统（TDS）的诓骗网站，最终下载Lumma载荷；其二，借助"ClickFix"技术，在受习染网站展示伪造验证码页面，诱骗用户执行PowerShell号令以内存大局加载恶意软件，躲避传统文件检测；其三，利用GitHub平台创建AI天生内容库，以虚伪游戏舞弊工具为钓饵，托管"TempSpoofer.exe"等可执行文件或ZIP压缩包；其四，通过YouTube视频与Facebook帖子推广破解软件，将用户疏导至滥用sites.google.com等可折服务的表部站点，形成多层跳转攻击链。

https://www.bleepingcomputer.com/news/security/lumma-infostealer-malware-returns-after-law-enforcement-disruption/

2. 思科垂危更新安全布告：ISE/ISE-PIC缝隙遭利用

7月22日，思科近日颁布垂危安全布告，确认其身份服务引擎（ISE）及ISE被解缆份衔接器（ISE-PIC）产品中存在的三个高危缝隙（CVE-2025-20281、CVE-2025-20282、CVE-2025-20337）已遭到现实攻击尝试，并强烈建议用户升级至建复版本。这次披露的缝隙均被评定为CVSS 10分的最高严沉等级，允许未经身份验证的远程攻击者以root权限在底层操作系统执行肆意代码，对关键基础设施组成沉大威胁。具体来看，CVE-2025-20281影响ISE/ISE-PIC 3.3及以上版本，其本原在于API输入验证不及，攻击者可通过提反目意API要求直接获取设备节造权；CVE-2025-20282则仅针对3.4版本，因不足文件上传验证机造，攻击者可向特权目录写入恶意文件并执行肆意代码；而上周建复的CVE-2025-20337缝隙机造与CVE-2025-20281类似，进一步扩大了攻击面。思科产品安全事务响应团队（PSIRT）证实，2025年7月已监测到针对这些缝隙的活跃利用尝试，但未披露具体攻击起源及威胁行为者信息。

https://securityaffairs.com/180260/hacking/cisco-confirms-active-exploitation-of-ise-and-ise-pic-flaws.html

3. Coyote银行木马滥用Windows辅助职能执行精准凭证偷窃

7月22日，Akamai安全团队披露，新型Coyote银行木马变种正通过滥用微软Windows UI自动化框架（UIA），对巴西用户提议定向凭证偷窃攻击。该恶意软件自2024年2月初次出现以来持续进化，最新变种结合传统键盘纪录与新型UIA技术，针对75家银行及加密钱币平台执行精准攻击。微软UIA框架本用于辅助残障用户与利用法式交互，其通过UI自动化树露出界面元素的职能，却被Coyote开发者恶意利用。Akamai钻研人员指出，当木马无法通过窗口标题鉴别指标利用时，会挪用UIA API解析浏览器标签页或地址栏内容，提取接见的网址并与硬编码的指标服务列表（蕴含Banco do Brasil、CaixaBank、Binance等）进行交叉比对，从而锁定高价值指标。这种技术突破了传统键盘纪录的局限性，即便用户通过浏览器接见网银，木马仍可正确鉴别服务类型。Coyote的进化蹊径凸显网络犯罪的技术升级趋向：在保留键盘纪录、网络垂钓覆盖等传统手法基础上，新增UIA滥用能力，形成"多沉验证"的攻击链。

https://www.bleepingcomputer.com/news/security/coyote-malware-abuses-windows-accessibility-framework-for-data-theft/

4. 中欧医疗巨头AMEOS集团遭逢沉大数据泄露

7月22日，中欧最大私立医院集团之一、总部位于苏黎世的AMEOS医疗集团近日披露沉大安全缝隙事务，可能导致客户、员工及合作同伴敏感信息泄露。凭据《通用数据�；ぬ趵罚℅DPR）第34条要求，该集团在官方网站颁布布告，确认表部威胁行为者未经授权侵入其IT系统，只管已执行"宽泛安全措施"，仍成功获取蕴含患者诊疗纪录、员工幼我信息及贸易合作同伴联系数据在内的敏感内容。布告忠告称，泄露数据存在被恶意滥用或通过互联网二次传布的风险。作为DACH地域（德国、奥地利、瑞士）医疗领域的龙头企业，AMEOS集团运营着超过100家医院、诊所及康复中心，占有1.8万名员工和1万张床位，年收入超14亿美元。这次事务导致其全面关关所有IT系统，堵截内表网络衔接以遏造风险扩散，并垂危调派表部IT安全团队与法医专家染指调查。目前，瑞士、德国、奥地利三国数据�；せ挂鸦裰榭�，警方刑事诉讼法式同步启动。值妥贴心的是，只管AMEOS强调"尚无具体证据批注幼我数据已现实泄露"，但明确指出攻击者可能通过系统缝隙获取了大量结构化数据。集团建议近期在其机构接受医疗服务的人员提高警惕，防备垂钓攻击及身份诳骗。

https://www.bleepingcomputer.com/news/security/major-european-healthcare-network-discloses-security-breach/

5. 澳大利亚时尚品牌SABO超350万客户数据泄露

7月22日，澳大利亚全球时尚设计公司SABO近日遭逢沉大数据泄露事务，超过350万条客户纪录因配置谬误的数据库露出于公开网络，涉及292GB敏感信息。这次缝隙由网络安全钻研员Jeremiah Fowler发现，露出数据涵盖2015年至2025年6月27日期间的客户姓名、现实地址、电子邮件、电话号码等幼我身份信息（PII），以及零售和贸易客户的具体订单纪录、发票、装箱单和退货单等文件。只管SABO在Fowler掌管任披露后迅速�；ち耸菘�，但这次事务仍引发对数据加密必要性的宽泛会商。露出信息中蕴含具体订单日期、产品清单等结构化数据，为网络犯罪分子提供了精准执行社交工程攻击的素材。安全专家忠告，攻击者可能利用真实订单信息伪造垂钓邮件，诱骗用户泄露更多财政信息或进行金融诓骗，此类攻击因基于真实数据而极具蛊惑性。事务露出后，SABO未明确回应责任归属问题，仅强调已采取建复措施。网络安全专家建议受影响用户加强警惕，通过官方渠路验证可疑通讯，预防点击不明链接或提供幼我信息。

https://hackread.com/global-fashion-label-sabo-customer-records-leaked/

6. 美国新乡酒精检测公司TADTS超75万人信息被窃

7月21日，美国德克萨斯州酒精与药物检测服务公司（TADTS）近日披露，其系统在2024年7月9日遭逢未授权接见，导致约74.9万人的敏感信息被窃取。作为新乡重要职场及幼我酒精/药物检测服务提供商，该公司经专业团队调查确认，泄露数据涵盖姓名、诞生日期、社保号、驾照/护照号、财政信息、健全保险详情、生物鉴别数据、登录凭证及移民档案号等高度敏感内容，部门信息源自就业筛查测试中授权提供的幼我资料。事务曝光后，TADTS采取多项补救措施，蕴含沉置整系统密码、部署加强型监控工具及强化端点检测和谈，并已向法律部门报案。只管目前无证据批注数据被用于诓骗或身份偷窃，公司仍建议受影响者定期核查信誉汇报及账户异常。值妥贴心的是，TADTS明确暗示不会提供免费身份�；し�，此举引发对受害者后续保险的忧郁。这次攻击疑似与BianLian勒索团伙有关。该组织于2024年7月14日宣称窃取约218GB数据，但其基于Tor的泄密网站目前已离线，且自2025年3月31日起未再更新受害者纪录，数据现实传布情况尚不明确。

https://www.securityweek.com/750000-impacted-by-data-breach-at-the-alcohol-drug-testing-service/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研