每日安全简讯(20250301)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT组织Erudite Mogwai利用定制工具发起隐蔽攻击

APT组织Erudite Mogwai（也称Space Pirates）被发现使用定制版的Stowaway多层代理工具，针对俄罗斯政府机构和IT组织发起隐蔽攻击。该组织自2017年以来一直活跃，专注于窃取机密信息和间谍活动。此次攻击中，攻击者通过入侵可公开访问的Web服务进入目标网络，并利用修改后的Stowaway工具隐藏通信，避免被检测。

https://rt-solar.ru/solar-4rays/blog/5261/

---

2 Android银行木马TgToxic新变种升级反分析功能

发现的Android银行木马TgToxic经历了重大更新。这一新版本被称为ToxicPanda，旨在窃取用户凭证和数字货币。研究表明，该恶意软件运营者正计划扩展其攻击范围，新的目标包括欧洲和拉丁美洲的银行。更新后的木马采用了更复杂的模拟器检测技术，能够有效避开自动分析。同时，恶意软件的C2连接方式也发生了变化，从硬编码服务器转向使用域生成算法（DGA），增强了隐蔽性和生存能力。

https://intel471.com/blog/android-trojan-tgtoxic-updates-its-capabilities

---

3 虚假视频链接成恶意软件传播新诱饵

研究机构发现网络犯罪分子利用虚假视频链接作为诱饵，通过多层次的社交工程手段传播恶意软件。攻击者通过带有点击诱饵的PDF文件，将用户重定向至多个恶意网站，最终引导用户下载受密码保护的ZIP文件，其中包含恶意软件负载。该攻击利用用户对独家内容的好奇心，通过虚假视频页面和误导性下载按钮，诱使用户主动参与恶意软件的传播。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/the-dark-side-of-clickbait-how-fake-video-links-deliver-malware/

---

4 LCRYX勒索软件再次针对Windows系统发起攻击

LCRYX勒索软件是一种使用VBScript编写的恶意程序，于2024年11月首次出现，并于2025年2月再次活跃。该勒索软件通过加密用户文件并添加“.lcryx”扩展名，要求受害者支付500美元的比特币赎金以换取解密工具。LCRYX在执行过程中会获取管理员权限，修改系统注册表，禁用任务管理器、命令提示符和防病毒软件，以确保其持久性和隐蔽性。此外，它还会通过加密文件、删除卷影副本和修改文件属性来阻碍用户恢复数据。

https://labs.k7computing.com/index.php/lcryx-ransomware-how-a-vb-ransomware-locks-your-system/

---

5 因AMS配置错误全球超49000台门禁信息暴露

研究人员发现，全球有超过49000台配置错误的访问管理系统（AMS）暴露在互联网上，危及隐私和物理安全。这些系统用于控制员工通过生物识别、身份证或车牌进入建筑物和禁区，但因安全身份验证配置错误，大量敏感数据被暴露，包括个人身份信息、生物特征数据、照片、工作时间表和访问日志。研究人员还发现，攻击者可编辑员工记录、添加虚假员工、更改访问凭据或操纵建筑入口系统，导致未经授权的物理访问。意大利、墨西哥和越南是暴露系统最多的国家。

https://www.modat.io/post/doors-wide-open-critical-risks-in-ams

---

6 跨国联合行动逮捕GHOSTR网络犯罪分子

安全机构协助泰国皇家警察和新加坡警察部队开展联合行动，成功逮捕了一名涉嫌90多起数据泄露事件的网络犯罪分子。该犯罪分子以多个化名（如ALTDOS、DESORDEN、GHOSTR和0mid16B）活动，自2020年以来一直活跃，主要攻击目标包括亚太、欧洲、北美和中东的医疗、金融、电子商务等行业。他通过SQL注入和RDP攻击入侵系统，利用修改版的CobaltStrike工具控制服务器，并将数据泄露到云服务器用于勒索或出售。

https://www.group-ib.com/media-center/press-releases/joint-operation-with-royal-thai-police-and-singapore-police-force/

---