每日安全简讯(20250213)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT组织Sandworm使用伪装KMS激活工具攻击乌克兰

俄罗斯军事黑客组织Sandworm（APT44）被发现利用伪装成微软KMS激活工具的恶意软件攻击乌克兰Windows用户。攻击自2023年底开始，通过木马化的KMS工具传递BACKORDER加载程序，最终部署DarkCrystal RAT (DcRAT)。DcRAT可窃取系统凭据、键盘记录、浏览器数据及屏幕截图等敏感信息。乌克兰因盗版软件广泛使用而成为攻击目标，政府机构也深受其害。

https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns

---

2 远控木马SystemBC RAT扩展至Linux平台

SystemBC RAT（远程访问木马）现已扩展至Linux平台，为攻击者提供更广的攻击面与隐秘的C2通信能力。该恶意软件此前主要针对Windows，现通过加密流量、代理植入及横向移动技术专门针对企业服务器、云基础设施及物联网设备。分析发现，Linux版本的SystemBC具备沙盒逃避和防御规避能力，极难检测，且可与勒索软件如Ryuk和Conti协同工作，进一步扩大攻击影响。

https://hackread.com/systembc-rat-targets-linux-ransomware-infostealers/

---

3 研究人员对GitHub SAML漏洞进行技术分析

安全研究员曝光了影响GitHub Enterprise SAML身份验证漏洞（CVE-2025-23369），该漏洞允许攻击者通过伪造SAML响应绕过身份验证，冒充任意账户访问系统。利用此漏洞，攻击者可能获得对私有代码库的访问权限或在组织环境中提升权限。GitHub已发布修复补丁，建议企业用户立即更新系统以防范潜在攻击。

https://repzret.blogspot.com/2025/02/abusing-libxml2-quirks-to-bypass-saml.html

---

4 Flesh Stealer窃取器技术分析及防御建议

Flesh Stealer是一种专为窃取敏感信息设计的恶意软件，首次出现在2024年，现已成为网络犯罪分子利用的重要工具。该窃取程序以反调试、反虚拟化及混淆技术为特点，使其更难被检测。开发者利用Telegram和地下论坛推广该程序，随着其功能不断更新，Flesh Stealer对隐私和网络安全构成了重大威胁。

https://www.cyfirma.com/research/flesh-stealer-unmasking-the-blue-masked-thief/?web_view=true

---

5 Progress发布安全更新修复多个漏洞

Progress Software修复了其LoadMaster软件中的多个高严重性漏洞，这些漏洞可能被攻击者利用执行任意系统命令或下载系统文件。漏洞编号包括CVE-2024-56131至CVE-2024-56135，CVSS评分高达8.4。虽然目前无证据表明这些漏洞已被利用，但鉴于以往漏洞曾被威胁者攻击，Progress强烈建议用户尽快更新至最新版本以避免风险。

https://thehackernews.com/2025/02/progress-software-patches-high-severity.html

---

6 国际行动捣毁8Base勒索软件团伙

国际执法行动“Operation Phobos Aetor”成功捣毁了8Base勒索软件团伙，关闭了其暗网数据泄露和谈判网站。警方在泰国普吉岛逮捕了四名欧洲公民，他们涉嫌通过Phobos勒索软件攻击了至少17家瑞士公司，并窃取了价值超1600万美元的比特币，受害者超过1000人。8Base自2022年活跃以来，利用Phobos新变种勒索软件，通过SmokeLoader分发恶意负载，专注于攻击中小企业，包括金融、制造业和IT行业。

https://www.nationthailand.com/news/general/40046122

---