每日安全简讯(20250227)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 间谍组织Ghostwriter攻击乌克兰和白俄罗斯反对派

研究人员发现长期活跃的网络间谍组织Ghostwriter再次发动攻击，目标包括乌克兰政府和军事机构以及白俄罗斯反对派。攻击者通过武器化的Excel文档，利用混淆的VBA宏和嵌入式.NET下载程序，试图在目标系统中植入恶意软件。诱饵文件包括“明斯克法院的政治犯”和“乌克兰政府反腐败倡议”等，显示攻击者对特定目标的精准定位。研究人员指出，此次攻击活动可能与即将到来的白俄罗斯总统选举有关。

https://www.sentinelone.com/labs/ghostwriter-new-campaign-targets-ukrainian-government-and-belarusian-opposition/

---

2 恶意软件GitVenom利用虚假GitHub窃取加密货币

GitVenom针对GitHub用户发起复杂网络攻击，攻击者通过创建数百个虚假开源项目，诱骗用户下载并执行恶意代码，从而窃取加密货币和敏感信息。这些虚假项目包括社交媒体工具、加密货币管理软件和游戏破解工具，涉及Python、JavaScript、C、C++和C#等多种编程语言。恶意代码会从攻击者控制的GitHub存储库下载更多组件，如Node.js信息窃取程序和剪贴板劫持程序，后者已导致攻击者控制的比特币钱包收到约5BTC（价值约45.6万美元）。该活动已持续两年，主要影响俄罗斯、巴西和土耳其。

https://securelist.com/gitvenom-campaign/115694/

---

3 恶意软件LightSpy扩展攻击范围至Facebook和Instagram

网络安全研究人员揭示了LightSpy恶意软件的新动态，LightSpy自2020年首次被发现以来，已经演变为一个模块化监控框架，能够收集和泄露多种操作系统和设备上的数据。最近的分析表明，LightSpy现已能够提取Facebook和Instagram的数据库文件，这标志着其监控能力的显著提升。此外，研究还监测到LightSpy基础设施的变化，Hunt.io检测到多个活跃IP，显示该恶意软件在不断进化并扩展其攻击面。

https://hunt.io/blog/lightspy-malware-targets-facebook-instagram

---

4 攻击者利用MSSQL服务器漏洞部署挖矿工具

研究人员近期发现攻击者利用MSSQL服务器漏洞部署加密货币挖矿工具，主要涉及PKT Classic和Monero两种加密货币。攻击者通过SQL注入漏洞，利用Windows系统工具和PowerShell脚本下载并执行挖矿程序，如PacketCrypt（用于PKT）和XMRIG（用于Monero）。这些工具消耗大量系统资源，降低系统性能并增加硬件损耗。攻击者通过默认钱包地址或自定义地址接收挖矿收益。

https://www.seqrite.com/blog/pkt-monero-mining-mssql-malware/

---

5 新型恶意软件ClickFix通过伪造reCAPTCHA传播

安全公司发现一种名为“ClickFix”的新型恶意软件，通过伪造的Google reCAPTCHA诱使用户执行恶意PowerShell命令，从而感染其计算机。攻击者利用恶意WordPress插件和主题文件注入的方式传播该恶意软件，目前已感染超过5200个网站。

https://blog.sucuri.net/2025/02/wordpress-clickfix-malware-causes-google-warnings-and-infected-computers.html?web_view=true

---

6 微软修复Entra ID DNS身份验证问题

近日，微软修复了由DNS更改导致的Microsoft Entra ID身份验证问题。此次问题影响了使用Seamless SSO和Microsoft Entra Connect Sync的用户，导致在2月25日17:18 UTC至18:35 UTC期间，autologon.microsoftazuread.sso.com域的DNS解析失败。微软表示，问题是由删除重复IPv6 CNAME引起的，现已恢复，客户不再遇到DNS解析失败。

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-entra-id-authentication-issue-caused-by-dns-change/

---