每日安全简讯(20250319)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者通过SocGholish攻击框架部署RansomHub勒索软件

研究人员2018年首次观察到使用SocGholish（也称为 FakeUpdates）框架的攻击活动。SocGholish的特点是其高度混淆的JavaScript加载器，它采用一系列规避技术，使其能够有效地绕过传统的基于签名的检测方法。SocGholish的主要传播方法涉及入侵合法网站，攻击者将恶意脚本注入这些网站以劫持用户流量。当用户访问这些被入侵的网站时，他们会被重定向到伪装成合法浏览器更新通知的欺骗性网页，并被诱导下载含有SocGholish加载器的恶意ZIP文件。研究人员发现攻击者通过SocGholish框架投放第二阶段有效载荷，其中含有后门组件，这些后门为RansomHub勒索软件相关组织提供初始访问权限，并最终用于部署勒索软件。

https://www.trendmicro.com/en_us/research/25/c/socgholishs-intrusion-techniques-facilitate-distribution-of-rans.html

---

2 APT组织Squid Werewolf伪装招聘人员进行网络钓鱼攻击

研究人员发现了一项新的网络间谍活动，并将该活动归因于APT组织Squid Werewolf，也称为APT37、Ricochet Chollima、ScarCruft和Reaper Group。该组织利用虚假的招聘信息，诱骗目标组织的员工打开恶意附件，从而执行恶意代码并保持持久访问。恶意附件是一个ZIP压缩包文件，其中包含一个LNK快捷方式，若用户点击该快捷方式将会触发一系列复杂的攻击链，最终在内存中解密并执行恶意载荷。

https://bi.zone/eng/expertise/blog/sotni-tysyach-rubley-za-vashi-sekrety-kibershpiony-squid-werewolf-maskiruyutsya-pod-rekruterov/

---

3 研究人员发现一种名为StilachiRAT的新型远控木马

研究人员发现了一种名为StilachiRAT的新型远控木马，它具有规避检测、保持持久性以及窃取敏感数据等恶意功能。研究人员对具有远控功能的WWStartupCtrl64.dll模块分析后发现，它会从目标系统中窃取多种信息，包括存储在浏览器中的凭据、数字钱包信息、存储在剪贴板中的数据以及系统信息。研究人员尚未将StilachiRAT归因于特定的攻击组织，并且该恶意软件目前还没有被广泛传播。

https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/

---

4 Apache Tomcat中的一个远程代码执行漏洞正被攻击者恶意利用

Apache Tomcat中一个被标识为CVE-2025-24813的远程代码执行（RCE）漏洞正在被恶意利用，攻击者可以通过发送简单的PUT请求接管服务器。研究人员已证实相关恶意活动，他们警告说，传统的安全工具无法检测到它，因为PUT请求看起来正常，并且恶意内容经过base64编码进行混淆。Apache建议所有用户升级到Tomcat版本11.0.3+、10.1.35+ 或9.0.99+，这些版本已修复CVE-2025-24813漏洞。

https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/

---

5 Babuk勒索组织声称攻击法国电信运营商Orange

Babuk勒索组织声称对法国电信运营商Orange进行攻击。该组织表示，他们于3月16日入侵了Orange，声称窃取了4.5TB的详细信息，并列出窃取的数据包括电子邮件地址、客户记录、源代码、内部文档、发票、合同、项目、工单、用户数据、员工数据、消息、信用卡、通话记录以及其他个人身份信息（PII）。

https://cybernews.com/security/hackers-threaten-release-of-orange-clients-data/

---

6 医疗保健供应商Ascom遭受网络攻击

医疗保健供应商Ascom遭受网络攻击，其技术票务系统受到此次网络攻击的破坏。Ascom在发现攻击后，立即关闭了其票务系统。Ascom表示其他信息技术系统和客户系统未受影响。Hellcat勒索组织声称入侵了Ascom的IT基础设施。Ascom的IT网络安全团队正在对此事件进行调查。

https://www.marketwatch.com/story/ascom-ticketing-system-hit-by-cyber-attack-9a9cab1a

---