安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现了一种新型Linux恶意软件，将其命名为ClipXDaemon，这是一款针对Linux X11环境的加密货币剪贴板劫持工具。ClipXDaemon与传统的Linux恶意软件有着本质区别。它不包含指令与控制逻辑，不执行心跳检测，也无需远程指令。它劫持X11会话中复制的加密货币钱包地址，并实时替换为攻击者控制的地址来直接变现。

攻击者利用邮件轰炸以及在Microsoft Teams上冒充IT支持人员的手法，骗取受害者的Quick Assist远程访问权限，并以此为跳板发起更深层次的攻击。研究表明，攻击者一旦进入受害者主机，就会利用侧加载手段执行恶意的DLL文件，以植入一种被命名为A0Backdoor的新型后门。该恶意软件的加载器具备反沙箱功能，且攻击活动的指令与控制通信似乎已转向一种隐蔽的、基于DNS邮件交换的通道。

据荷兰国防情报安全局（MIVD）与荷兰总情报安全局（AIVD）证实，俄罗斯政府支持的黑客组织正针对政府官员、军事人员和记者发起持续性的Signal和WhatsApp钓鱼活动，旨在获取敏感通信内容。荷兰政府雇员也已确认成为攻击目标。荷兰情报机构表示，该行动依赖于钓鱼和社会工程技术，通过滥用合法的身份验证功能来夺取账号控制权，并秘密监听新消息。Signal官方已在社交平台BlueSky上发文确认了这些针对性攻击，表示已获知近期有针对性的钓鱼攻击导致部分Signal用户（包括政府官员和记者）账号被盗。Signal的加密技术和基础设施并未被破解。这些攻击是通过复杂的钓鱼手段执行的，旨在诱骗用户分享SMS验证码或Signal PIN码。

爱立信的美国子公司Ericsson Inc.表示，在一家服务提供商遭到攻击后，数量不明的员工和客户数据被窃。一家为其存储员工和客户个人数据的服务提供商于2025年4月28日发现了入侵行为。调查于上个月完成，结果显示数量不明的个人数据在此次事件中泄露。不过，爱立信指出，受影响的提供商尚未发现数据遭到滥用。目前尚无网络犯罪组织声称对此负责。

Salesforce警告其客户，攻击者正瞄准配置不当的Experience Cloud平台网站，这些配置错误会导致访客能够访问超出预定范围的数据。与此同时，ShinyHunters勒索组织声称他们正在积极利用一个新漏洞从相关实例中窃取数据。目前研究人员无法独立证实所谓新漏洞的真实性，而Salesforce坚持认为其平台中不存在漏洞。

商业杂志《SUCCESS》最近可能成为了数据泄露的最新受害者，其14.1万名订阅者的数据记录正在黑客论坛中流传。攻击者在某黑客论坛中上传了据称是该平台的数据库，并提供公开下载。根据帖文内容，这些被盗数据包括详尽的客户画像和商店订单详情。而就在几天前，该公司曾发布消息称，其网站和电子邮件系统遭到了未经授权的第三方入侵。目前尚不清楚这两起事件是否具有关联。