每日安全简讯(20250112)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Banshee窃密木马利用Apple XProtect加密技术绕过检测

研究人员发现，macOS信息窃取木马Banshee的最新变种利用Apple XProtect的字符串加密算法成功绕过检测。Banshee于2024年中期作为“窃密即服务”首次出现，售价3000美元，其源码在2024年11月泄露后被广泛传播并改进。最新版本的Banshee通过GitHub伪装软件分发，重点攻击macOS用户，同时针对Windows系统传播Lumma Stealer。它窃取浏览器存储的密码、加密货币钱包扩展和系统信息，并通过伪造登录界面骗取macOS用户密码。其加密算法与XProtect相似，使其能在运行时解密数据，避开静态检测，并利用第三方反恶意软件工具对该技术的信任性操作更久。

https://blog.checkpoint.com/research/cracking-the-code-how-banshee-stealer-targets-macos-users/

---

2 GroupGreeting网站遭遇zqxq恶意代码注入攻击

研究人员近日发现，“zqxq”恶意代码注入攻击影响了GroupGreeting.com，这一企业常用的电子贺卡平台。该攻击行为与NDSW/NDSX或TDS Parrot恶意软件活动类似，利用高流量网站和节日期间访问激增的机会，向访客植入恶意代码。据悉，超过2800个网站遭遇类似攻击。攻击通过高度混淆的JavaScript代码隐藏恶意重定向及远程加载恶意脚本功能。代码中使用随机令牌生成、条件检查和流量分发技术，将用户引导至钓鱼网站或恶意工具包。研究表明，该活动与此前TDS Parrot攻击手法高度相似，包括利用过时插件和内容管理系统漏洞进行自动化大规模感染。

https://www.malwarebytes.com/blog/news/2025/01/groupgreeting-e-card-site-attacked-inzqxq-campaign

---

3 Ivanti漏洞CVE-2025-0282被利用引发网络攻击

Ivanti公司警告，CVE-2025-0282漏洞已被活跃利用，对Ivanti Connect Secure、Policy Secure及ZTA Gateways造成严重威胁。此漏洞为栈溢出漏洞（CVSS评分：9.0），可导致未经认证的远程代码执行，主要影响未升级至22.7R2.5及以上版本的设备。Google旗下Mandiant调查发现，攻击者通过复杂操作利用该漏洞，部署了被称为SPAWN、DRYHOOK和PHASEJAM的新型恶意软件家族。PHASEJAM用于注入Web Shell、阻止系统升级并劫持设备命令执行，同时隐藏攻击痕迹。Ivanti已发布补丁修复CVE-2025-0282和另一本地提权漏洞CVE-2025-0283（CVSS评分：7.0），并呼吁用户尽快升级以防范进一步攻击。

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283?language=en_US

---

4 SonicWall警告SonicOS漏洞存在被利用风险

SonicWall近日发布安全通知，警告其防火墙SonicOS中存在一个身份验证绕过漏洞（CVE-2024-53704，CVSS评分：8.2），主要影响启用了SSL VPN或SSH管理功能的设备。该漏洞被认为存在实际利用风险，可能被攻击者绕过身份验证获取未经授权的访问权限。SonicWall已发布新版固件修复此漏洞，并建议用户立即升级到最新版本，其中包括对其他较低严重性漏洞的修复。受影响设备包括Gen 6、Gen 6.5及Gen 7防火墙，以及TZ80系列设备。此外，SonicWall还建议用户采取缓解措施，包括限制SSL VPN和SSH管理的访问范围，仅允许来自可信源的连接，或完全禁用这些功能的互联网访问。

https://securityaffairs.com/172823/security/sonicwall-sonicos-authentication-bypass-flaw.html

---

5 GFI KerioControl存在严重RCE漏洞可被进行远程代码执行

GFI KerioControl防火墙被曝存在严重的远程代码执行（RCE）漏洞（CVE-2024-52875），攻击者可通过CRLF注入攻击实现HTTP响应拆分，进而触发跨站脚本（XSS）等攻击。该漏洞影响版本9.2.5至9.4.5，并允许通过构造恶意URL诱使管理员执行恶意代码。研究表明，截至2024年12月28日，已有来自新加坡和香港的7个IP发起利用攻击。超过23800个公开的GFI KerioControl实例可能面临风险，主要分布在伊朗、乌兹别克斯坦、意大利等地。GFI于2024年12月19日发布补丁（9.4.5 Patch 1），建议用户尽快升级以降低威胁。

https://karmainsecurity.com/hacking-kerio-control-via-cve-2024-52875

---

6 美国最大成瘾治疗提供商BayMark披露数据泄露事件

北美最大成瘾治疗和康复服务提供商BayMark Health Services于近日通知患者，其个人与健康信息在2024年9月的数据泄露事件中被窃取。攻击者通过BayMark系统获取了患者姓名、社保号、驾驶证号、出生日期、诊疗记录等信息。攻击者为RansomHub勒索团伙，自称窃取了1.5TB数据并已在暗网泄露。BayMark为部分受影响者提供一年免费身份监测服务，并已加强系统安全。

https://ago.vermont.gov/sites/ago/files/documents/2025-01-08%20BayMark%20Health%20Services%20Data%20Breach%20Notice%20to%20Consumers.pdf

---