每日安全简讯(20250214)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Sandworm分支组织对全球15个国家发起BadPilot攻击活动

安全团队披露俄罗斯支持的黑客组织Sandworm的分支Seashell Blizzard（APT44）在全球15个国家发起“BadPilot”攻击行动，目标涵盖能源、航运和政府机构等关键领域。该行动利用多个已知漏洞，旨在获取初始访问权限并维持长期持久性。攻击手段涵盖合法远程软件部署、自定义Web Shell以及伪装的Windows更新程序。

https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/

---

2 APT组织Kimsuky利用PowerShell实施新型网络攻击

与朝鲜关联黑客组织Kimsuky近期采用新策略，通过鱼叉式网络钓鱼攻击诱骗目标以管理员身份运行PowerShell并执行恶意代码。这种攻击手法伪装成韩国政府官员发送的邮件，邮件附带PDF文档和链接，指导用户完成Windows注册步骤。一旦目标运行代码，恶意程序会下载基于浏览器的远程桌面工具和加密证书，随后通过远程服务器注册设备，允许攻击者远程访问并窃取数据。

https://x.com/MsftSecIntel/status/1889407814604296490

---

3 研究人员揭示NVIDIA容器逃逸漏洞新细节

研究人员近日对NVIDIA容器工具包的关键漏洞CVE-2024-0132进行了技术分析，揭示了其可导致容器逃逸和主机入侵的操作方式。该漏洞源于容器初始化阶段的文件挂载机制，攻击者可操纵符号链接和目录结构将主机的根文件系统挂载到容器内，并通过访问主机的Docker套接字提升权限，生成特权容器。虽然该漏洞主要影响Docker环境，但Google gVisor等增强隔离技术同样未能幸免。

https://www.wiz.io/blog/nvidia-ai-vulnerability-deep-dive-cve-2024-0132

---

4 恶意软件FinStealer窃取印度银行用户登录凭证

FinStealer恶意软件正通过伪造银行应用程序活跃攻击印度主要银行的移动用户。该恶意软件针对用户的银行凭证和个人信息，采用高度复杂的技术隐匿活动，包括混淆代码、双重C2基础设施以及WebView凭证收集。研究人员还发现其C2服务器中存在SQL注入漏洞。

https://www.cyfirma.com/research/finstealer/

---

5 利用ThinkPHP和ownCloud漏洞攻击活动显著增加

研究人员发现针对ThinkPHP和ownCloud漏洞的攻击活动显著增加。CVE-2022-47945是ThinkPHP中的本地文件包含（LFI）漏洞，尽管其EPSS评分较低（7%）且未被CISA列入已知漏洞目录（KEV），但攻击频率大幅上升，过去10日内有572个独立IP尝试利用。CVE-2023-49103是一个影响ownCloud GraphAPI的信息泄露漏洞，已被CISA列为高风险目标，自去年以来持续遭到攻击，观察到的利用IP达484个。

https://www.greynoise.io/blog/new-exploitation-surge-attackers-target-thinkphp-and-owncloud-flaws-at-scale

---

6 OpenSSL修复CVE-2024-12797高危漏洞

OpenSSL项目近日发布安全更新，修复了编号为CVE-2024-12797的漏洞。此漏洞允许攻击者通过中间人攻击（MitM）窃取通信数据。问题出在客户端使用原始公钥（RPK）功能时未能正确验证服务器身份，从而导致安全隐患。尽管RPK功能默认未启用，但受影响的版本包括OpenSSL 3.4、3.3和3.2。项目维护团队建议所有使用这些版本的用户立即升级至最新版本3.4.1、3.3.2和3.2.4，以避免潜在风险。

https://openssl-library.org/news/secadv/20250211.txt

---