每日安全简讯(20250203)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Phorpiex僵尸网络传播LockBit勒索软件

近日Phorpiex僵尸网络与LockBit勒索软件的合作模式引发安全研究人员关注，Phorpiex被用于自动化分发LockBit勒索软件，减少了人类操作的介入。LockBit凭借快速加密与双重勒索策略，持续对多个行业构成严重威胁，包括金融、运输和能源等领域。与此同时，Phorpiex通过网络钓鱼邮件传播，利用恶意附件部署勒索软件，展现其代码混淆、反沙盒检测及持久性机制等特点。尽管Phorpiex代码库自2021年后变化不大，但其攻击方式仍具高度隐蔽性。

https://www.cybereason.com/blog/threat-analysis-phorpiex-downloader

---

2 TAG-124组织入侵多个WordPress网站并嵌入负载

TAG-124利用被入侵的WordPress网站、攻击者控制的有效负载服务器和管理面板，为多种恶意软件提供初始感染链服务，包括Rhysida和Interlock勒索软件、SocGholish、D3F@CK Loader等。TAG-124通过注入恶意JavaScript代码和伪造的Google Chrome更新页面欺骗受害者，显示了其逃避检测的高超技术，如频繁更新URL和采用ClickFix技术。报告强调了TAG-124在网络犯罪生态系统中的重要角色，尤其是在推动勒索软件运营商间的合作方面。研究还发现，与TAG-124相关的基础设施和活动分布在全球多个地区，可能通过漏洞利用或凭证获取攻陷网站。

https://www.recordedfuture.com/research/tag-124-multi-layered-tds-infrastructure-extensive-user-base

---

3 Web Skimmer网络窃取器攻击多家网站

2025年1月，研究人员发现卡西欧英国官网（casio.co.uk）及至少16个其他网站受到网络窃取器（Web Skimmer）感染。攻击者通过漏洞利用Magento平台中的易受攻击组件，在多个页面植入恶意脚本，窃取用户支付信息。卡西欧网站的感染活动在1月14日至24日间活跃，研究团队于1月28日检测到威胁并通知卡西欧，感染在24小时内被清除。此次攻击采用多阶段窃取流程，利用用户在支付页面外的行为捕获敏感信息，包括账单地址、信用卡信息等。攻击者还通过AES-256加密手段隐藏窃取数据，利用旧域名提高伪装性。研究发现卡西欧的内容安全策略（CSP）仅处于报告模式，未能主动阻止攻击。专家建议企业使用自动化监控工具，提高网站安全性，防止类似事件重复发生。

https://jscrambler.com/blog/stealing-seconds-web-skimmer-compromises-websites

---

4 微软广告客户遭恶意广告钓鱼攻击

安全研究人员近日揭露了一场针对微软广告商的网络钓鱼攻击。攻击者通过伪装的谷歌广告将用户诱导至恶意网站，窃取账户凭据。这些广告通过复杂的技术手段绕过检测，包括隐藏页面、Cloudflare验证和重定向链路，最终呈现一个与“Microsoft Ads”极为相似的钓鱼页面。受害者在页面输入登录信息后，可能被进一步诱骗重置密码，钓鱼工具甚至可处理两步验证相关操作。调查显示，该攻击活动可追溯至数年前，并涉及多个恶意域名，部分与巴西有关联。此次事件揭示了广告生态系统中的网络安全弱点，提醒用户谨慎核对URL，使用两步验证，并定期检查账户活动以防止被盗用。

https://www.malwarebytes.com/blog/news/2025/01/microsoft-advertisers-phished-via-malicious-google-ads

---

5 Saim Raza组织运营的39个域名及服务器被查封

美国司法部联合荷兰警方采取行动，成功查封了由巴基斯坦犯罪组织Saim Raza运营的39个网络域名及相关服务器。该组织通过其在线平台销售网络钓鱼工具包、诈骗页面和其他恶意工具，并提供详细使用教程，帮助犯罪分子实施商业电子邮件诈骗。这些诈骗活动自2020年以来共造成全球范围内超过300万美元损失。执法部门表示，此次打击将有效限制相关工具的传播，并遏制跨国网络犯罪活动的蔓延。

https://www.justice.gov/opa/pr/justice-department-announces-seizure-cybercrime-websites-selling-hacking-tools-transnational

---

6 WhatsApp指控Paragon进行零点击间谍攻击

WhatsApp于2025年2月确认，以色列间谍软件公司Paragon Solutions通过“零点击”攻击瞄准包括记者和民间社会成员在内的约90名用户。此次攻击通过WhatsApp群组分发恶意PDF文件，用户无需点击链接即可感染。Meta旗下的WhatsApp已通知受害者并发布安全更新修复漏洞，同时向Paragon发出法律警告信。Paragon，自2019年成立以来首次卷入黑客争议，此前与美国移民和海关执法局签署合同后已受到严格审查。

https://hackread.com/israeli-spyware-firm-paragon-whatsapp-zero-click-attack/

---