每日安全简讯(20251008)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Rhadamanthys恶意软件新增设备指纹识别和PNG隐写术

Check Point报告称，Rhadamanthys窃取器在0.9.2版本加入设备与浏览器指纹收集、内置Lua插件运行器及通过WAV/JPEG/PNG隐写投递的载荷（PNG解密需在C2阶段协商密钥）等功能。作者以“RHAD security”/“Mythical Origin Labs” 品牌化并以MaaS模式商业化（起价$299/月），显示出专业化运营趋势。样本包含多项环境与HWID检测以回避沙箱，并通过弹窗机制减少明文可执行体泄露。报告建议分析者更新配置解析器、重点监控PNG隐写投递路径，并留意互斥体与bot ID格式的变化。

https://research.checkpoint.com/2025/rhadamanthys-0-9-x-walk-through-the-updates/

---

2 Detour Dog被发现利用DNS驱动恶意软件窃取Strela数据

Detour Dog被披露为Strela Stealer活动的幕后基础设施运营者。Infoblox指出，该组织控制大量托管首阶段后门StarFish的域名，并通过修改受感染网站的DNS解析（利用TXT记录）将远程执行命令下发与分发恶意载荷。调查发现自2020年有痕迹、自2023年8月起被持续跟踪；至少69%的StarFish暂存主机由其控制。攻击链还招募REM Proxy与Tofsee等僵尸网络投递垃圾邮件与加载器，且受害WordPress站点多半正常呈现，仅在少量访问时触发重定向或远程执行以规避检测。研究者称，该DNS-TXT编码响应（含Base64与关键字"down"）构成一种新型分阶段分发与C2模式，增强了攻击的隐蔽性与持久性，建议监测受损站点行为与基于DNS的异常解析流量。

https://blogs.infoblox.com/threat-intelligence/detour-dog-dns-malware-powers-strela-stealer-campaigns/

---

3 网络犯罪集团利用受感染的IIS服务器运营全球SEO欺诈活动

研究人员揭露，一个代号UAT-8099的网络犯罪团伙正利用受感染的Microsoft IIS服务器开展全球性SEO欺诈及凭证窃取行动。受害主机主要分布于印度、泰国、越南、加拿大与巴西的高校、科技与通信机构，攻击链始于利用服务器漏洞上传Web Shell进行侦察与提权，并通过启用RDP与部署Cobalt Strike、SoftEther VPN、FRP等工具维持持久控制。最终植入BadIIS恶意模块操纵搜索结果，仅在来自Googlebot的请求中触发欺诈行为。该组织以财务为动机，结合自动化脚本与开源黑客工具规避检测，并通过阻断他人访问确保独占受控主机。研究者指出，此类针对高信誉IIS平台的SEO滥用已成黑产集团的主要盈利模式之一。

https://blog.talosintelligence.com/uat-8099-chinese-speaking-cybercrime-group-seo-fraud/

---

4 Palo Alto Networks门户网站的扫描活动一天内激增500%

威胁情报公司GreyNoise报告称，10月3日针对Palo Alto Networks登录门户的扫描活动激增近500%，为近三个月最高水平。共有约1300个独立IP参与扫描，其中93%被判定为可疑，7%为恶意地址，主要来自美国，少量分布于英国、荷兰、加拿大及俄罗斯。该活动与过去48小时内的Cisco ASA扫描呈现工具与指纹重叠特征。Palo Alto Networks表示暂无入侵迹象，并强调Cortex XSIAM平台能每日阻断150万次攻击。GreyNoise警告，类似扫描激增常在六周内伴随相关漏洞披露，提醒用户及时更新PAN-OS以防潜在利用。

https://viz.greynoise.io/tags/palo-alto-networks-login-scanner?days=1

---

5 Signal增加了针对量子攻击的新加密防御能力

Signal宣布推出全新抗量子密码机制Sparse Post-Quantum Ratchet（SPQR），以提升对量子计算威胁的防御能力。该机制在现有双重棘轮（Double Ratchet）基础上叠加形成“三重棘轮”体系，通过与传统密钥同步生成混合密钥，实现前向保密与后妥协安全，即便密钥被窃，后续通信仍受保护。SPQR采用后量子密钥封装机制（ML-KEM）取代椭圆曲线Diffie-Hellman，并利用分块与擦除编码优化带宽占用。该设计由Signal与PQShield、日本AIST及纽约大学合作开发，经ProVerif与hax工具形式化验证，未来版本将持续验证。Signal表示，SPQR将逐步推送，用户只需保持客户端更新即可获得增强加密保护。

https://signal.org/blog/spqr/

---

6 Zimbra零日漏洞利用恶意ICS文件攻击巴西军方

StrikeReady Labs报告称，未知攻击者利用Zimbra Collaboration中编号为CVE-2025-27915的零日漏洞，对巴西军方发动网络攻击。该漏洞为存储型跨站脚本（XSS）缺陷，源于ICS日历文件中HTML内容过滤不充分，允许在用户查看含恶意ICS的邮件时执行嵌入式JavaScript。攻击者伪装为利比亚海军礼宾办公室发送邮件，脚本可窃取凭证、邮件与联系人，并设置过滤规则将信息转发至外部邮箱与服务器ffrk[.]net。恶意代码具备隐蔽机制，仅在三天后触发。Zimbra已于2025年1月发布补丁修复漏洞，但当时未披露其被实际利用。研究者提醒，类似攻击手法曾被APT28用于滥用多种Webmail平台。

https://nvd.nist.gov/vuln/detail/CVE-2025-27915

---