每日安全简讯(20250228)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 UAC-0173组织利用DCRat攻击乌克兰公证机构

乌克兰计算机应急响应小组（CERT-UA）近日警告称，编号为UAC-0173的组织正在利用DCRat（DarkCrystal RAT）远程访问木马攻击乌克兰公证机构。攻击始于2025年1月中旬，通过伪装成乌克兰司法部的网络钓鱼邮件，诱使受害者下载恶意可执行文件。该文件托管在Cloudflare的R2云存储服务中，一旦执行，将部署DCRat恶意软件。攻击者还使用RDPWRAPPER、FIDDLER、NMAP和XWorm等工具进一步渗透系统，窃取凭证和敏感数据，并通过受感染系统发送恶意邮件扩大攻击范围。

https://cert.gov.ua/article/6282536

---

2 新型Linux后门Auto-Color利用规避技术躲避检测

研究人员近期发现了一种名为Auto-Color的新型Linux后门恶意软件。该恶意软件通过使用看似无害的文件名、隐藏网络活动以及部署专有加密算法等手段，成功规避了传统安全检测。Auto-Color允许攻击者完全远程控制受感染机器，并通过挂钩libc函数隐藏其活动。恶意软件还利用自定义加密算法保护其命令和控制（C2）通信，确保每次部署时使用不同的配置。受攻击目标主要集中在北美和亚洲的大学及政府机构。

https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color/

---

3 僵尸网络PolarEdge利用TLS后门攻击全球设备

研究团队发现了一个名为PolarEdge的僵尸网络，该网络利用CVE-2023-20118漏洞攻击思科小型企业路由器，并通过TLS后门控制全球超过2000台设备。攻击者通过部署Webshell和TLS后门，成功感染了华硕、QNAP和Synology等品牌的设备。PolarEdge僵尸网络自2023年底开始活跃，其基础设施分布在新加坡、拉脱维亚等地，攻击者通过FTP分发恶意载荷，并使用TLS加密通信隐藏其活动。该僵尸网络的目标尚不明确，但可能用于发起分布式网络攻击。

https://blog.sekoia.io/polaredge-unveiling-an-uncovered-iot-botnet/

---

4 黑客利用Krpano框架漏洞向多个网站注入垃圾广告

近日，黑客组织利用Krpano VR库中的反射型XSS漏洞，对数百个网站发起大规模攻击。攻击者通过注入恶意脚本，劫持谷歌搜索索引，分发垃圾广告和虚假内容。受影响的网站包括政府门户、顶尖大学、新闻媒体等知名机构。攻击者利用SEO优化技术，将恶意链接推至搜索结果前列，甚至伪装成合法内容（如CNN文章）以增加可信度。此次攻击不仅影响了网站的正常运营，还可能导致用户隐私泄露和信任危机。

https://olegzay.com/360xss/

---

5 思科修复OpenH264编解码器高危漏洞

思科披露OpenH264编解码器库中存在一个高危漏洞（CVE-2025-27091），CVSSv4评分为8.6。该漏洞源于解码函数中的竞争条件，可能导致堆溢出，进而允许远程攻击者执行任意代码。攻击者可通过制作恶意视频比特流，诱使受害者处理该视频，从而触发漏洞。思科已在2.6.0版本中修复该漏洞，并强烈建议用户尽快升级以规避风险。

https://securityonline.info/openh264-codec-vulnerability-cve-2025-27091-remote-code-execution-possible/?&web_view=true

---

6 美国DISA公司遭遇网络攻击致330万用户信息泄露

美国背景调查公司DISA Global Solutions宣布发生重大数据泄露事件，超过330万人的个人信息被泄露，其中包括1.5万名缅因州居民。泄露事件发生在2024年2月9日至4月22日之间，攻击者未经授权访问了DISA的网络，并获取了包括姓名、社会保险号、驾驶执照号、财务账户信息等敏感数据。DISA表示，目前尚未发现数据被滥用的情况，并已采取措施加强网络安全，同时为受影响个人提供为期12个月的信用监控服务。

https://hackread.com/us-background-check-firm-data-breach-exposes-records/

---