每日安全简讯(20250209)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《攻击DeepSeek的僵尸网络HailBot的三个变种分析》报告

安天CERT继续跟进分析DeepSeek遭遇攻击事件，针对Hailbot三个主要变种，基于上线包、暴力破解密码档、攻击指令等进行了对比分析。

https://mp.weixin.qq.com/s/HTtBsXDz9qB3iUgF9FpIWg

---

2 黑客利用SimpleHelp RMM漏洞进行网络攻击

安全团队近期揭示了一起通过SimpleHelp远程监控和管理(RMM)客户端漏洞进行的网络攻击事件。通过利用该漏洞，攻击者能够快速获取访问权限，并部署Sliver后门程序，使其能够远程控制目标网络。Sliver后门具有模块化和隐蔽性，可提供命令执行、横向移动以及持久性访问等功能，被攻击者广泛用于恶意活动。

https://fieldeffect.com/blog/field-effect-mitigates-not-so-simplehelp-exploits-enabling-deployment-of-backdoors

---

3 OPA Gatekeeper配置漏洞致Kubernetes镜像风险

研究人员发现，Kubernetes策略引擎OPA Gatekeeper在配置不当的情况下，攻击者可利用配置错误绕过关键策略k8sallowedrepos，从而在受限环境中部署未经授权的镜像。该漏洞利用了策略逻辑的前缀匹配特性，攻击者通过子域名或类似命名空间可轻松绕过限制。研究还分析了其他策略引擎的类似风险，并提出了包括新版本k8sallowedrepos v2在内的解决方案。该版本支持精确匹配和更安全的配置。

https://www.aquasec.com/blog/risks-misconfigured-kubernetes-policy-engines-opa-gatekeeper/

---

4 黑客利用Cityworks漏洞攻击IIS服务器

软件供应商Trimble警告称，黑客正在利用Cityworks中的高危反序列化漏洞（CVE-2025-0994），对Microsoft IIS服务器发起远程命令执行（RCE）攻击，并部署Cobalt Strike信标实现网络入侵。Cityworks是一款面向地方政府和公用事业组织的资产和工单管理软件，其漏洞影响Cityworks版本15.8.9及23.10之前的版本，CVSS评分达8.6。此外，美国网络安全和基础设施安全局（CISA）也发布警告，提醒受影响组织加强网络防护，避免进一步的恶意工具部署。当前攻击已被发现使用WinPutty、Cobalt Strike等工具进行远程访问并扩展入侵。

https://www.bleepingcomputer.com/news/security/hackers-exploit-cityworks-rce-bug-to-breach-microsoft-iis-servers/

---

5 印度储备银行推出专属bank.in域名以打击金融欺诈

印度储备银行 (RBI) 宣布将为该国银行机构推出专属的“bank.in”互联网域名，旨在减少网络钓鱼等数字金融欺诈行为，并提升公众对数字银行服务的信任。此项域名服务将由银行技术发展与研究学院 (IDRBT) 独家管理，注册工作预计于2025年4月启动。同时，RBI还计划为其他非银行金融实体推出专属域名“fin.in”。

https://www.rbi.org.in/Scripts/BS_PressReleaseDisplay.aspx?prid=59693

---

6 意大利披露Paragon间谍软件攻击欧洲多国受害者

意大利政府披露，以色列间谍软件公司Paragon Solutions通过WhatsApp对欧洲多国的数十名受害者发动了攻击。此次攻击涉及七名意大利人及其他欧洲国家的受害者，包括记者、移民倡导者和活动人士。攻击者利用了Paragon的零点击间谍软件，通过恶意PDF文件感染目标设备。WhatsApp已采取措施阻止了此次攻击，并向意大利国家网络安全局（ANC）提供了受害者信息。

https://www.governo.it/it/articolo/nota-di-palazzo-chigi/27601

---