每日安全简讯(20250201)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus组织利用React控制面板对全球发起网络攻击

Lazarus组织在其全球网络攻击活动中，采用了一种基于React的Web管理面板，控制其指挥与控制（C2）基础设施，从而实现了对所有攻击行动的集中监管。根据研究人员报告，这一Web管理面板通过React应用和Node.js API构建，广泛部署在各个C2服务器上，即使攻击者使用不同的有效载荷和混淆技术以逃避检测，但管理平台的结构保持一致。此平台不仅帮助攻击者组织和管理被盗数据，还能监控其控制的受害主机，处理有效载荷的传递。该平台与名为“幽灵电路行动”（Operation Phantom Circuit）的供应链攻击活动相关，攻击对象主要是加密货币行业和开发者，受害者通过运行嵌入恶意代码的合法软件包而被植入后门。

https://securityscorecard.com/wp-content/uploads/2025/01/Operation-Phantom-Circuit-Report_012725_03.pdf

---

2 Aquabotv3恶意软件利用Mitel漏洞扩展攻击范围

研究人员发现，Mirai变种恶意软件Aquabot的最新版本Aquabotv3正在利用Mitel SIP电话中的CVE-2024-41710命令注入漏洞进行攻击。此漏洞影响Mitel 6800系列、6900系列及6900w系列SIP电话，允许攻击者在未正确清理参数的情况下，通过认证后进行远程命令执行。Aquabotv3相比前两个版本加入了新的功能，其能够检测到终止信号并将信息回传给指挥与控制（C2）服务器，这一机制有助于攻击者更好地监控其攻击活动。此外，Aquabotv3还利用了一个通过GitHub发布的概念验证代码（PoC），这是首次记录到该漏洞被利用进行攻击。一旦成功入侵设备，Aquabotv3会下载并安装恶意载荷，确保持久性后，通过C2接收命令，并尝试利用其他漏洞扩展传播范围，包括TP-Link、Linksys和Dasan路由器等设备的漏洞。此外，Aquabotv3还会通过暴力破解SSH/Telnet凭证来感染同一网络中的其他设备。该恶意软件的目标是将感染的设备用于分布式拒绝服务（DDoS）攻击，操作员还通过Telegram宣传其DDoS攻击能力，向外界展示其在网络安全测试中的应用。

https://www.akamai.com/blog/security-research/2025-january-new-aquabot-mirai-variant-exploiting-mitel-phones

---

3 Tria Stealer恶意软件利用婚礼邀请攻击安卓用户

自2024年中期以来，一项名为“Tria Stealer”的恶意Android应用程序（APK）活动开始在马来西亚和文莱蔓延，主要通过伪装成婚礼邀请的社交工程手段诱骗用户安装该恶意软件。该活动通过Telegram机器人将用户的个人信息、短信、通话记录、邮件和应用信息等窃取数据传送至攻击者的控制服务器。调查发现，该活动的背后可能是一个讲印尼语的威胁行为者，因为在恶意软件样本和控制服务器的Telegram机器人命名中发现了印尼语相关的痕迹。Tria Stealer能够窃取受害者的WhatsApp、Telegram及其他账户的信息，进而劫持这些通讯账号，通过向受害者联系人发送伪造的转账请求进行诈骗。此外，恶意软件还能够捕捉并利用来自短信中的安全码（如TAC和OTP）来接管其他在线账户。

https://securelist.com/tria-stealer-collects-sms-data-from-android-devices/115295/

---

4 黑客劫持WordPress网站传播Windows和Mac恶意软件

安全研究人员发现，黑客正在利用过时的WordPress版本和插件，篡改数千个网站，试图诱导访问者下载并安装恶意软件。此次攻击仍在持续进行中，黑客通过这一“喷洒支付”（spray and pay）式的攻击，广泛传播能够窃取Windows和Mac用户密码及其他个人信息的恶意软件。受攻击的WordPress网站中，有些是互联网上访问量极大的知名网站。当用户访问这些网站时，网页内容会迅速改变，显示一个虚假的Chrome浏览器更新页面，要求用户下载并安装更新以继续浏览网站。若用户同意，网站会诱导用户下载伪装成更新的恶意文件，文件根据访问者使用的操作系统（Windows或Mac）不同而有所不同。

https://cside.dev/blog/10-000-wordpress-websites-found-delivering-macos-and-microsoft-malware

---

5 Laravel管理包Voyager存在一键远程代码执行漏洞

研究人员发现，开源PHP包Voyager（用于管理Laravel应用程序）存在三个漏洞，其中包括一个可被攻击者利用的远程代码执行（RCE）漏洞。这些漏洞未得到修复，攻击者只需诱使已认证的Voyager用户点击恶意链接，即可发动攻击。SonarSource的安全研究团队在对Voyager进行常规扫描时，发现了第一个漏洞——任意文件写入漏洞，进而发现了其他安全问题。尽管SonarSource团队从2024年9月起多次向Voyager维护者报告这些问题，但在90天的披露期内未收到回复。考虑到漏洞仍未修复，研究人员建议Voyager用户仅限可信用户访问，限制“browse_media”权限，使用基于角色的访问控制（RBAC），并加强服务器级别的安全措施，如禁用PHP文件执行和严格的MIME类型验证。

https://www.sonarsource.com/blog/the-tainted-voyage-uncovering-voyagers-vulnerabilities/

---

6 IT服务供应商遭黑客攻击导致29.3万患者数据泄露

宾夕法尼亚州的阿勒格尼健康网络（AHN）及其IT服务供应商IntraSystems正面临至少七起联邦集体诉讼，起因是1月17日爆发的黑客事件，导致约29.3万名患者的信息被盗。此次事件涉及IntraSystems管理的AHN系统，该系统支持AHN的家庭医疗设备和家庭输液服务。黑客事件始于2024年10月11日，AHN直到2024年11月19日才发现此事件。未经授权的用户访问了AHN通过IntraSystems托管的系统，并盗取了患者的敏感信息，可能包括姓名、出生日期、地址、社会安全号码、财务账户信息、健康保险号码、治疗信息以及医疗设备序列号等。事件发生后，AHN立即采取了措施，包括关闭受影响系统、断开与其他系统的连接以防止进一步入侵，并通知执法部门。

https://www.govinfosecurity.com/services-vendor-hack-affects-293000-ahn-patients-a-27401

---