1、勒索软件使用被盗的AWS密钥攻击S3存储桶

https://hackread.com/mass-ransomware-campaign-s3-buckets-stolen-aws-keys/

2025年4月17日，研究人员发现针对AWS云存储的大规模勒索攻击，攻击者利用1,229个被盗的AWS访问密钥对S3存储桶实施静默加密。通过滥用AWS服务端加密功能（SSE-C），攻击者使用自生成的AES-256密钥加密数据，且未触发常规告警或文件变更日志，使数据所有者难以察觉异常。此次攻击的AWS密钥或源于GitHub代码泄露、CI/CD工具配置缺陷及老旧IAM凭证，攻击流程高度自动化且身份不明。

2、关岛医院因勒索事件数据泄露被HIPAA罚款

https://www.govinfosecurity.com/guam-hospital-pays-feds-25k-to-settle-hipaa-investigation-a-28037

2025年4月17日，关岛纪念医院管理局（GMHA）因涉嫌违反《健康保险流通与责任法案》（HIPAA）与美国卫生与公众服务部民权办公室（HHS OCR）达成和解协议，支付2.5万美元罚款并执行整改计划。此次调查源于HHS OCR对两起安全事件的审查：2018年12月发生的勒索软件攻击事件导致5000人受保护健康信息泄露，以及2019年1月相关投诉中发现的违规行为。调查显示，该医院未按要求开展全面的安全风险分析，暴露出系统性管理缺陷。

3、Windows NTLM hash泄露漏洞被用于政府钓鱼攻击

https://www.bleepingcomputer.com/news/security/windows-ntlm-hash-leak-flaw-exploited-in-phishing-attacks-on-governments/

2025年4月17日，微软在3月份修复了Windows系统中因.library-ms文件触发NTLM哈希泄露的漏洞（CVE-2025-24054），但该漏洞在补丁发布后迅速遭黑客利用。攻击者自3月20日起针对政府机构及私营企业发起钓鱼攻击，通过诱导目标访问恶意文件窃取NTLM认证哈希值，进而横向渗透内网。尽管攻击流量中检测到与俄罗斯APT28（Fancy Bear）关联的IP地址，但研究人员表示现有证据但尚不能说明原因。

4、攻击者仿冒CapCut下载站传播远程控制程序

https://www.welivesecurity.com/en/scams/capcut-copycats-prowl/

2025年4月17日，研究人员披露新型钓鱼攻击活动，攻击者仿冒CapCut、Adobe Express及Canva等AI内容生成工具，通过伪造“高级版”下载页面分发恶意远程控制程序。虚假网站诱导用户上传素材并下载名为“Creation_Made_By_CapCut.mp4”的可执行文件，实际为预配置的ConnectWise ScreenConnect、AnyDesk等工具，可在用户授权后直接控制设备，恶意远程工具可绕过管理员权限，实现数据窃取、勒索软件部署及横向渗透。

5、攻击者利用AI演示工具Gamma构建多阶段欺诈流程

https://thehackernews.com/2025/04/ai-powered-gamma-used-to-host-microsoft.html

2025年4月16日，Abnormal Security披露新型钓鱼攻击链，攻击者利用AI演示工具Gamma构建多阶段欺诈流程。攻击者通过钓鱼邮件投递含超链接的PDF附件，点击后跳转至Gamma平台仿造的“安全文档审阅”页面。受害者需通过Cloudflare验证码后进入伪造的Microsoft SharePoint登录界面，攻击者使用中间人（AiTM）技术实时校验凭证，若密码错误则触发动态提示以增强欺骗性。

6、勒索团伙伪造IT工具实施社工攻击

https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-pushes-fake-it-tools-in-clickfix-attacks/

2025年4月18日，研究人员披露Interlock勒索团伙升级攻击手段，通过伪造IT支持工具实施ClickFix社会工程攻击。攻击者向企业员工发送“系统故障修复指南”，诱导其复制执行恶意PowerShell指令，成功渗透后，攻击者在FreeBSD服务器与Windows系统横向移动，部署自研勒索软件加密文件，勒索金额达数十万至数百万美元。

7、攻击者利用Zoom远程控制权限植入恶意软件

https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/

2025年4月18日，研究人员披露针对Zoom的攻击手法。攻击者利用视频会议平台的“远程控制”功能实施恶意操作，黑客通过伪造企业培训、客户支持等钓鱼会议链接，诱导用户点击“允许远程控制”权限。一旦授权，攻击者可直接在受害者设备执行命令，植入Agent Tesla、Remcos RAT等窃密木马，或劫持摄像头与麦克风进行数据窃取。

8、恶意npm包模仿Telegram Bot API在Linux上植SSH后门

https://thehackernews.com/2025/04/rogue-npm-packages-mimic-telegram-bot.html

2025年4月19日，研究人员披露，npm仓库中三个伪装成热门Telegram Bot API（Telegram机器人应用程序接口）的恶意软件包（node-telegram-utils、node-telegram-bots-api、node-telegram-util）被用于攻击Linux开发环境。这些软件包仿冒合法库node-telegram-bot-api，通过“星劫持”（starjacking）手段伪造GitHub仓库关联性，诱导开发者下载。恶意包内嵌SSH后门，可窃取系统权限并外泄数据。

9、Gorilla安卓木马拦截并窃取短信验证码

https://cybersecuritynews.com/new-gorilla-android-malware-intercept-sms-messages/

2025年4月19日，研究人员发现Android恶意程序“Gorilla”，该恶意程序通过拦截包含短信验证码（OTP）的SMS消息针对银行及Yandex用户发起攻击。该恶意程序通过精细化权限滥用与通信隐蔽技术，构建针对金融账户的OTP窃取链条。其利用WebSocket实时传输数据，并规避常规检测API的行为。Catalyst警告，此类攻击可能破坏多因素认证（MFA）安全性，直接威胁用户资金与隐私。

10、SonicWall SMA设备远程代码漏洞被恶意利用

https://securityaffairs.com/176706/security/attackers-exploited-sonicwall-sma-appliances-since-january-2025.html

2025年4月19日，研究人员披露，自1月起，攻击者持续利用SonicWall Secure Mobile Access（SMA）设备漏洞（CVE-2021-20035）实施入侵。该漏洞为SMA100管理界面的操作系统命令注入缺陷，允许远程认证攻击者以“nobody”用户权限执行任意代码，并可引发拒绝服务（DoS）攻击。研究发现，攻击者重点针对SMA 200/210/400/410/500v系列设备，通过默认超级管理员账户及口令窃取VPN凭证。即便设备已完全修补，若账户密码策略松懈仍可能沦陷。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。