每日安全简讯(20250221)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现Snake键盘记录器新变种

最近检测到一个新变种的Snake键盘记录器（又称404 Keylogger），其恶意软件标识为AutoIt/Injector.GTY!tr。这一变种通过网络钓鱼邮件传播，旨在静默记录用户击键、捕获浏览器凭据并监控剪贴板信息。在全球范围内，已发现超过2.8亿次感染尝试，受影响地区包括中国、土耳其、印度尼西亚和西班牙。

https://www.fortinet.com/blog/threat-research/fortisandbox-detects-evolving-snake-keylogger-variant

---

2 StaryDobry利用破解游戏传播挖矿木马

研究人员近期发现代号为“StaryDobry”的大规模网络攻击活动，攻击者通过篡改热门游戏安装包传播XMRig挖矿程序。该活动利用节假日用户警惕性降低的时机，提前上传恶意安装程序至种子网站，以降低被发现的风险。用户下载这些安装程序后，恶意软件会通过复杂的感染链收集系统信息，并在满足条件时启动挖矿程序。此次攻击主要影响俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦的用户。研究人员提醒用户仅从官方渠道下载软件，并保持安全防护工具更新，以避免类似攻击。

https://securelist.com/starydobry-campaign-spreads-xmrig-miner-via-torrents/115509/

---

3 黑客使用隐形混淆技术发起网络钓鱼攻击

研究人员一种新的JavaScript混淆方法被黑客广泛应用于针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中。攻击者利用不可见的Unicode字符，特别是韩文半角（U+FFA0）和韩文全角（U+3164），将每个ASCII字符转换为8位二进制表示形式，并用这些不可见字符替代二进制值，隐藏恶意代码。这种混淆技术使得有效负载在JavaScript代码中看似为空，降低了被安全扫描程序标记为恶意的可能性。攻击者还使用了调试器检测和Postmark跟踪链接的递归包装等手段，以逃避分析和掩盖最终的钓鱼目的地。

https://blogs.juniper.net/en-us/threat-research/invisible-obfuscation-technique-used-in-pac-attack

---

4 CISA和FBI联合发布Ghost勒索软件威胁报告

FBI、CISA及多州信息共享与分析中心（MS-ISAC）联合发布了针对Ghost (Cring) 勒索软件的警告，建议立即采取行动以减轻与此勒索软件相关的网络威胁。该勒索软件自2021年初开始攻击多个国家的组织，并利用多种已知漏洞进行渗透，受影响的领域包括关键基础设施、医疗、教育、宗教机构及中小企业。Ghost攻击者使用Cobalt Strike等工具进行攻击，通常在入侵后仅停留几天即进行勒索。攻击者通过加密文件索要赎金，金额通常达到数万至数十万美元的加密货币。联邦机构建议组织实施多项防护措施，包括定期备份、及时更新系统和软件、网络分段以及使用多重身份验证 (MFA) 来保护特权账户。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-050a

---

5 OpenSSH曝出高危漏洞影响全球服务器安全

研究人员披露了OpenSSH中的两个高危漏洞：CVE-2025-26465和CVE-2025-26466。CVE-2025-26465允许攻击者在启用VerifyHostKeyDNS选项时对OpenSSH客户端发起中间人攻击，攻击者可以篡改或拦截SSH会话。CVE-2025-26466则允许攻击者对OpenSSH客户端和服务器发起拒绝服务攻击，导致内存和CPU资源耗尽，阻止合法用户访问。OpenSSH 9.9p2已修复这些漏洞，并建议用户尽快升级以确保安全。

https://blog.qualys.com/vulnerabilities-threat-research/2025/02/18/qualys-tru-discovers-two-vulnerabilities-in-openssh-cve-2025-26465-cve-2025-26466

---

6 澳大利亚生育服务公司Genea遭遇黑客攻击

澳大利亚最大的生育服务提供商之一Genea披露，其网络系统遭遇未知攻击者的入侵，导致部分数据被访问。Genea在声明中表示，正在紧急调查此次网络事件，以确定受影响数据的性质和范围，以及其中是否包含个人信息。该公司正在努力恢复受影响的服务器，以控制漏洞并保护系统。尽管Genea尚未透露攻击是否扰乱了其运营，但已确认患者的治疗计划如有变化将及时通知。

https://www.bleepingcomputer.com/news/security/australian-fertility-services-giant-genea-hit-by-security-breach/

---