每日安全简讯(20250129)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 GamaCopy模仿Gamaredon战术针对俄罗斯实体发起网络间谍活动

近日，一个名为GamaCopy的未知威胁组织被曝模仿克里姆林宫支持的Gamaredon黑客组织的战术，针对俄罗斯语实体发起网络间谍活动。据Knownsec 404高级威胁情报团队分析，GamaCopy与另一个名为Core Werewolf（也称Awaken Likho和PseudoGamaredon）的黑客组织存在重叠。攻击者利用与军事设施相关的内容作为诱饵，投放UltraVNC远程访问工具，以控制受感染主机。GamaCopy的战术、技术与程序（TTP）与Gamaredon高度相似，后者以攻击乌克兰而闻名。攻击链的起点是通过7-Zip创建的自解压（SFX）文件，释放下一阶段的有效载荷，包括用于投放UltraVNC的批处理脚本以及诱饵PDF文档。UltraVNC被伪装为“OneDrivers.exe”，以规避检测。

http://m3r.cn/q286I

---

2 MintsLoader通过钓鱼邮件传播StealC恶意软件

研究人员近日披露，一种名为MintsLoader的恶意软件加载程序正通过钓鱼邮件传播，用于投放StealC信息窃取器和合法的开源网络计算平台BOINC。MintsLoader基于PowerShell，通过垃圾邮件中的链接或JScript文件传播。攻击者利用虚假的CAPTCHA验证页面诱骗用户复制并执行PowerShell脚本，绕过安全检查。攻击链始于用户点击钓鱼邮件中的链接，下载并执行混淆的JavaScript文件，进而下载MintsLoader。MintsLoader通过C2服务器获取中间PowerShell载荷，执行反沙箱和分析规避检查，并最终部署StealC恶意软件。StealC自2023年初以恶意软件即服务（MaaS）模式出售，能够避免感染俄罗斯、乌克兰等国的设备。此外，研究人员还发现GootLoader恶意软件利用SEO中毒技术，将受害者重定向至被攻陷的WordPress站点，下载恶意文件。

https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery

---

3 勒索团伙利用SSH隧道隐秘访问VMware ESXi

近日，网络安全公司Sygnia报告称，勒索软件团伙正利用SSH隧道技术隐秘访问VMware ESXi裸机虚拟机管理程序，以在系统中持久驻留并保持隐蔽。VMware ESXi在虚拟化环境中扮演关键角色，能够在一台物理服务器上运行多个虚拟机。然而，由于其通常缺乏有效监控，成为黑客攻击的目标。攻击者通过利用已知漏洞或窃取管理员凭证，滥用ESXi内置的SSH服务，建立持久性访问、横向移动并部署勒索软件。由于许多组织未主动监控ESXi的SSH活动，攻击者能够隐秘操作。Sygnia指出，ESXi日志分散在多个文件中，导致监控存在盲区，攻击者常通过清除日志或修改时间戳掩盖痕迹。

https://www.sygnia.co/blog/esxi-ransomware-ssh-tunneling-defense-strategies/

---

4 Meta Llama框架漏洞暴露AI系统远程代码执行风险

近日，Meta的Llama大语言模型（LLM）框架中发现了一个高危安全漏洞（CVE-2024-50050），攻击者可利用该漏洞在llama-stack推理服务器上执行任意代码。该漏洞由Oligo Security研究员Avi Lumelsky披露，涉及Llama Stack组件中的Python推理API实现问题，其使用不安全的pickle格式反序列化数据，导致远程代码执行（RCE）风险。Meta已于2024年10月10日发布0.0.41版本修复该漏洞，并将序列化格式从pickle切换为JSON。

https://www.oligo.security/blog/cve-2024-50050-critical-vulnerability-in-meta-llama-llama-stack

---

5 Clone2Leak攻击利用Git漏洞窃取凭证

研究人员发现了一组名为“Clone2Leak”的攻击，利用Git及其凭证助手处理认证请求的漏洞，可能导致GitHub Desktop、Git LFS、GitHub CLI/Codespaces和Git Credential Manager中的密码和访问令牌泄露。攻击通过恶意仓库克隆或交互触发，具体包括三种方式：利用回车符（\r）注入（CVE-2025-23040和CVE-2024-50338），GitHub Desktop和Git Credential Manager错误解析URL中的%0D，将凭证发送至攻击者控制的服务器；利用换行符（\n）注入（CVE-2024-53263），Git LFS允许.lfsconfig文件中包含换行符，绕过安全限制；凭证检索逻辑缺陷（CVE-2024-53858），GitHub CLI和Codespaces的凭证助手过于宽松，将认证令牌发送至错误主机。

https://flatt.tech/research/posts/clone2leak-your-git-credentials-belong-to-us/

---

6 Phemex遭黑客攻击致8500万美元加密货币被盗

加密货币交易所Phemex遭遇重大安全漏洞，黑客从其热钱包中窃取了价值超过8500万美元的加密货币。Phemex首席执行官Federico Variola表示，此次事件仅影响热钱包，冷钱包未受影响。事件发生后，Phemex立即暂停了存款和提款功能，并公布了储备证明以增强透明度。初步估计损失为2900万美元，但随后由PeckShield和MetaMask的Taylor Monahan修正为8500万美元。Phemex已启动应急响应机制，隔离受影响的设备，并聘请第三方安全公司和执法部门协助调查。目前，Phemex逐步恢复了ETH、USDT、USDC等加密货币的提款功能，并提醒用户停止使用旧存款地址。

https://phemex.com/announcements/phemex-hot-wallet-security-incident-update-and-timeline

---