每周网安资讯 （5.27-6.3）| 国家互联网应急中心（CNCERT）发布“游蛇”黑产攻击活动的风险提示

1、新型信息窃取恶意软件EDDIESTEALER通过假验证码传播

近期，一款新型的Rust编写信息窃取恶意软件——EDDIESTEALER，正通过“假验证码”钓鱼页面进行传播。攻击者利用伪装成“我不是机器人”的验证界面诱导用户执行恶意PowerShell脚本，最终在目标Windows主机上部署EDDIESTEALER。该恶意软件具备窃取凭据、浏览器数据和加密货币钱包信息的能力，并会通过C2服务器接收具体任务配置。其采用字符串和API调用混淆，利用自定义模块加载与函数解析机制，提升分析难度。虽然初期样本未见复杂反虚拟机制，但有迹象表明后续变种可能将检测逻辑迁移到服务器端。

2、Siemens SiPass Integrated漏洞预警

Siemens SiPass Integrated存在越界读取漏洞，成功利用此漏洞可能允许未经身份验证的远程攻击者造成拒绝服务情况。西门子报告称，以下产品受到影响：集成SiPass：V2.95.3.18之前的版本具体漏洞如下：CVE-2022-31812：受影响的服务器应用程序在检查传入数据包的完整性时，包含超出分配缓冲区末尾的越界读取。这可能允许未经身份验证的远程攻击者创建拒绝服务条件。CVE-2022-31812已被分配给此漏洞。

3、Instantel Micromate漏洞预警

Instantel Micromate存在关键功能缺少身份验证漏洞，成功利用此漏洞可能允许未经身份验证的攻击者访问设备的配置端口并执行命令。以下版本的Micromate受到影响：Micromate：所有版本具体漏洞如下：CVE-2025-1907：Instantel Micromate在配置端口上缺乏身份验证，如果连接，攻击者可能会执行命令。CVE-2025-1907已被分配给此漏洞。

4、Silent Werewolf针对俄摩两国利用伪装邮件投递恶意加载器

BI.ZONE于近日披露的两起新型攻击活动，均与长期活跃的间谍组织Silent Werewolf有关。首轮攻击专门针对俄罗斯的能源、航空与工程企业，第二轮则扩展至摩尔多瓦和疑似的俄罗斯目标。攻击者通过精心伪装的钓鱼邮件传播恶意ZIP压缩包，诱导用户下载并执行嵌套的LNK快捷方式。这些LNK文件会利用Windows系统工具自动解压嵌套的恶意组件，并在用户毫不知情的情况下执行命令，部署加载器以连接C2服务器获取最终有效载荷。虽然研究人员未能成功捕获攻击的恶意载荷，但其战术、技术与程序高度吻合Silent Werewolf历史行为，尤其是其常用的XDigo恶意软件。攻击还广泛使用微软官方工具、加密混淆手段，显著提升了其隐蔽性和持久性。