每日安全简讯(20250208)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT组织UAC-0006针对乌克兰银行用户发起网络钓鱼攻击

以经济利益为目标的APT威胁组织UAC-0006再次出现，并针对乌克兰国有银行PrivatBank客户发起了网络钓鱼攻击。攻击者通过发送受密码保护的恶意档案，诱导用户打开嵌入的JavaScript或VBScript文件。这些脚本会利用PowerShell代码加载SmokeLoader恶意软件，最终实现凭证窃取和持续控制受感染系统。UAC-0006的手段显示出与俄罗斯APT组织FIN7的高度一致性，可能与多个已知黑客集团共享资源或技术。目前，此类攻击已导致敏感数据泄露和部分行业的信任危机。专家建议机构加强网络安全防护，包括威胁情报监控、员工安全培训以及事件响应机制，以减缓攻击带来的潜在损害。

https://www.cloudsek.com/blog/getsmoked-uac-0006-returns-with-smokeloader-targeting-ukraines-largest-state-owned-bank

---

2 APT组织Kimsuky利用RDP Wrapper持续攻击韩国用户

Kimsuky组织近期持续通过鱼叉式网络钓鱼攻击威胁韩国目标。研究显示，威胁行为体通过分发伪装成文档文件的快捷方式（.LNK）恶意软件，诱使用户运行PowerShell或Mshta脚本，从而下载并执行PebbleDash后门和自研RDP Wrapper等恶意工具。RDP Wrapper允许威胁者通过远程桌面功能控制受感染的设备，并通过代理恶意软件绕过网络限制。此外，该组织还部署了键盘记录器和信息窃取工具，用于窃取用户凭据和敏感信息；同时使用加载器和注入器在受感染系统中执行恶意代码。

https://asec.ahnlab.com/en/86098/

---

3 XE犯罪集团实现从信用卡盗刷到零日漏洞利用的进化

近日，网络安全研究团队揭示了XE集团的最新活动。自2013年以来活跃的XE集团已从信用卡盗刷逐步转向利用零日漏洞实现信息窃取。研究显示，该组织利用VeraCore软件中的两个零日漏洞（CVE-2024-57968和CVE-2025-25181），成功部署Webshell并长期保持对目标系统的访问权限。通过供应链攻击和复杂的网络漏洞利用，XE集团在制造和分销行业中造成了严重威胁。其最新的技术改进包括增强文件操作、网络扫描和SQL查询功能，并通过重新激活2020年部署的Webshell，展现了其隐蔽且持久的攻击能力。

https://intezer.com/blog/research/xe-group-exploiting-zero-days/?&web_view=true

---

4 微软警告称攻击者利用公开ASP.NET密钥部署恶意软件

2025年2月6日微软发布了一份安全报告，揭示了威胁行为体利用公开披露的ASP.NET机器密钥进行ViewState代码注入攻击的新威胁。通过这些公开密钥，攻击者生成恶意ViewState负载并注入目标服务器，在未经授权的情况下实现远程代码执行能力，并传播Godzilla后利用框架，用以执行命令或注入shellcode。微软调查发现，超过3000个公开披露的密钥可能面临滥用风险，这些密钥甚至可能来自公开的代码存储库和文档。为应对此类威胁，微软建议开发者避免使用公开资源中的密钥、定期轮换机器密钥，并加密配置文件中的敏感信息。

https://www.microsoft.com/en-us/security/blog/2025/02/06/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys/

---

5 黑客利用RMM软件漏洞部署Sliver恶意软件

安全团队近期发现，威胁行为体利用RMM客户端漏洞，成功渗透受害者网络，并通过创建管理员账户和部署Sliver后门实现持久访问。分析显示，攻击者的后门程序具备多种网络攻击能力，并通过隐蔽的C2路径进行指令传输。虽然这些攻击手段与Akira勒索软件组织的策略类似，但尚无明确证据表明两者相关。

https://thehackernews.com/2025/02/hackers-exploit-simplehelp-rmm-flaws.html

---

6 DayZ与Arma两款游戏疑遭遇DDoS攻击导致持续网络中断

近期Bohemia旗下的DayZ和Arma Reforger两款游戏服务器出现大面积连接问题，玩家无法进行在线游戏。尽管官方承认了问题并表示正在加紧修复，但尚未透露具体技术细节或恢复的时间表。一些玩家对公司处理问题的透明度提出批评，部分用户甚至要求退款。与此同时，一个自称为“styled squad reborn”的组织在社交媒体上声称对此次攻击负责。目前，关于攻击的动机存在经济赎金和政治抗议的双重猜测，但Bohemia尚未公开证实攻击的真实原因。玩家社区正密切关注事件进展，并期待问题尽快解决。

https://www.bleepingcomputer.com/news/security/ddos-attacks-reportedly-behind-dayz-and-arma-network-outages/

---