每日安全简讯(20250131)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 PureCrypter利用Agent Tesla和TorNet后门发起网络攻击

近日，研究人员发现一起针对波兰和德国用户的持续性网络钓鱼攻击活动，攻击者通过PureCrypter恶意软件分发Agent Tesla、Snake Keylogger以及一种新型后门程序TorNet。TorNet因其通过TOR匿名网络与受害者设备通信而得名，具备在受害者内存中运行任意.NET程序的能力，进一步扩大了攻击面。攻击者通过伪造的转账确认邮件或订单收据诱骗用户打开附带的“.tgz”压缩文件，触发.NET加载器下载并运行PureCrypter。PureCrypter在执行前会进行反调试、反分析和反虚拟机检测，以避免被发现。此外，攻击者还通过创建计划任务、断开网络连接等方式规避云端反恶意软件检测。

https://blog.talosintelligence.com/new-tornet-backdoor-campaign/

---

2 UAC-0063利用窃取的文件对欧洲多国使馆发起攻击

近日，高级持续性威胁（APT）组织UAC-0063被曝利用从受害者处窃取的合法文件，对欧洲多国使馆发起网络攻击，旨在传播HATVIBE恶意软件。该组织最初以中亚政府机构为目标，使用数据窃取恶意软件DownEx（又名STILLARCH），现已扩展至德国、英国、荷兰、罗马尼亚和格鲁吉亚等国的外交机构。据研究人员报告，UAC-0063自2021年起活跃，使用多种恶意工具，包括键盘记录器LOGPIE、HTML脚本加载器HATVIBE、Python后门CHERRYSPY（或DownExPyer）以及DownEx。近期，该组织利用从哈萨克斯坦外交部窃取的文件发起鱼叉式钓鱼攻击，传播HATVIBE。此外，研究人员还发现其使用新型USB数据窃取工具PyPlunderPlug，进一步增强了攻击能力。

https://thehackernews.com/2025/01/uac-0063-expands-cyber-attacks-to.html

---

3 VMware Avi负载均衡器曝高危SQL注入漏洞

虚拟化技术巨头VMware发布紧急安全警报，称其Avi负载均衡器存在一个高危的盲SQL注入漏洞（CVE-2025-22217），CVSS评分为8.6/10。该漏洞允许未经身份验证的攻击者通过特制的SQL查询访问数据库，可能导致敏感数据泄露。VMware警告称，拥有网络访问权限的恶意用户可能利用此漏洞获取更广泛的数据库权限。目前，尚无临时解决方案，企业管理员需尽快为运行Avi负载均衡器30.1.1、30.1.2、30.2.1和30.2.2版本的设备部署补丁。VMware建议用户升级至30.1.2或更高版本后再应用补丁。该漏洞由安全研究人员Daniel Kukuczka和Mateusz Darda发现并私下报告。

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25346?utm_campaign=VCF_FY25_VCF_Security-Alert-VMSA-2025-0002_MKT_CM_2904&utm_content=VCF_FY25_VCF_Security-Alert_2904_VMSA-2025-0002_MKT_TRANS_EM_4983&utm_medium=email&utm_source=eloqua

---

4 英国工程巨头Smiths Group遭网络攻击系统紧急下线

英国工程巨头Smiths Group披露了一起网络攻击事件，导致部分系统被迫下线。公司表示，此次攻击涉及未经授权访问其系统，目前已迅速隔离受影响系统并启动业务连续性计划。Smiths Group正在与网络安全专家合作，评估事件影响并采取行动以满足相关监管要求。尽管公司未透露具体攻击类型，但分析认为可能是勒索软件攻击，因为系统下线是应对此类攻击的典型措施。事件公开后，公司股价下跌超2%。Smiths Group总部位于伦敦，在全球50多个国家拥有约1.5万名员工，为航空航天、国防、能源、安全、化工、水处理、采矿和生命科学等行业提供关键技术和服务。目前尚无已知勒索组织宣称对此次攻击负责，公司也未确认是否涉及业务或个人数据泄露，但承诺将在适当时机提供事件更新。

https://www.smiths.com/news-and-insights/news/2025/cyber-security-incident

---

5 Zyxel CPE设备因未修补漏洞遭活跃攻击

网络安全研究人员警告称，Zyxel CPE系列设备中存在一个严重的零日漏洞（CVE-2024-40891），目前已在野外遭到活跃攻击。该漏洞为命令注入漏洞，攻击者可利用其在受影响设备上执行任意命令，导致系统完全被控制、数据泄露或网络渗透。研究人员指出，攻击尝试已从数十个IP地址发起，其中大部分位于中国台湾。Censys数据显示，目前有超过1500台易受攻击的设备在线。该漏洞与CVE-2024-40890类似，但前者基于Telnet，后者基于HTTP，两者均允许未授权攻击者使用服务账户执行任意命令。VulnCheck于2024年7月首次报告此漏洞，目前正与Zyxel进行披露流程。建议用户过滤Zyxel CPE管理界面的异常HTTP请求，并限制管理界面仅允许可信IP访问。与此同时，Arctic Wolf报告称，自2025年1月22日起，攻击者利用SimpleHelp远程桌面软件作为初始访问载体，试图获取未授权访问。目前尚不清楚这些攻击是否与SimpleHelp近期披露的漏洞（CVE-2024-57726、CVE-2024-57727和CVE-2024-57728）有关。建议组织尽快更新SimpleHelp至最新版本以防范潜在威胁。

https://www.greynoise.io/blog/active-exploitation-of-zero-day-zyxel-cpe-vulnerability-cve-2024-40891

---

6 新SLAP与FLOP攻击揭露苹果设备数据泄露风险

近日，乔治亚理工学院与波鸿鲁尔大学的研究人员披露了两种新的CPU侧信道攻击方式——SLAP（通过负载地址预测的推测攻击）和FLOP（错误负载输出预测攻击），这些漏洞影响了苹果的手机、平板和电脑设备。攻击者可通过让受害者访问恶意网站，远程窃取敏感数据。SLAP攻击主要针对配备M2和A15及以上CPU的设备，而FLOP攻击则影响M3、A17及更新版本的设备。研究人员演示了SLAP攻击如何通过Safari浏览器恢复用户的电子邮件和浏览行为，FLOP攻击则能窃取位置信息、日历事件，甚至支付卡信息。虽然苹果公司已在2024年得知此问题，但其声明表示这些攻击不构成对用户的即时风险。然而，研究人员指出，这些攻击通过极少的用户交互便能远程执行，可能存在被低估的风险。目前，Intel、AMD和Qualcomm处理器的设备未受影响，且研究未在除Safari与Chrome以外的其他浏览器上进行测试。

https://predictors.fail/

---