每日安全简讯（20251212）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CastleLoader恶意软件使用Python加载器增强隐匿性

安全研究人员发现，CastleLoader恶意软件出现新变种，通过使用Python加载器提升攻击的隐匿性。该变种延续使用“ClickFix”社交工程手段，诱骗受害者在Windows运行框中输入命令，从而下载初始组件。此次升级的核心在于后续阶段：攻击者利用无窗口的pythonw.exe执行一个小型Python脚本。该脚本在内存中直接重建并运行最终的CastleLoader负载，避免了将恶意可执行文件写入磁盘。该技术结合了Python字节码、内存中shellcode执行及“PEB Walking”等方式，有效绕过了传统基于文件扫描的安全防护。研究发现，此次攻击最终用于投放多种远控木马（RAT）和信息窃取程序。

https://hackread.com/castleloader-malware-python-loader-bypass-security/

---

2 ValleyRAT利用签名驱动绕过Win11内核防护

安全研究人员发现，Winos后门程序ValleyRAT正对全球机构构成严重威胁，其最新攻击能有效绕过已完全更新的Windows 11系统防护。该恶意软件最核心的威胁在于其“驱动插件”模块中嵌入的内核模式Rootkit驱动程序。该驱动保有有效签名，可在Win11系统上正常加载，并利用此权限强制删除诸如360、腾讯等安全厂商的终端防护驱动，为攻击者创造可自由操作的“无安全软件”环境。此外，由于ValleyRAT的构建工具和开发框架已发生公开泄露，其已从一个与特定攻击团伙关联的威胁，转变为任何攻击者均可修改、编译和部署的公开恶意软件框架，预计未来相关攻击活动将显著增加。

https://cybersecuritynews.com/valleyrat-malware-uses-stealthy-driver-install/

---

3 攻击者利用游戏平台虚假更新分发Lumma窃密木马

安全研究人员发现，游戏平台itch.io正遭受一场精密的恶意软件攻击。威胁行为者通过大量新注册的账户，在热门游戏的评论区刷屏发布虚假的“游戏更新”通知，将用户诱导至托管在Patreon上的恶意链接。受害者下载的压缩包中，包含一个看似正常的文件，实为使用nexe工具编译的Node.js恶意加载器。该加载器无需预先安装Node.js环境即可直接运行，并通过一个名为modules.node的桥接文件，利用Node.js API反射性地将最终的有效载荷——臭名昭著的Lumma窃密木马——加载到内存中执行。Lumma Stealer会窃取浏览器Cookies、密码、加密货币钱包信息及系统数据，并回传至攻击者的服务器。

https://securityonline.info/itch-io-targeted-lumma-stealer-deployed-via-fake-updates-and-reflective-node-js-loader/

---

4 安卓勒索软件DroidLock针对西班牙语言用户进行攻击

安全研究人员发现，一款针对西班牙语用户的新型安卓恶意软件“DroidLock”正在通过仿冒合法应用的恶意网站分发。该恶意软件通过“加载器”应用诱导用户安装包含实际恶意功能的主载荷，并滥用“设备管理员”和“无障碍服务”权限获得极高控制权。其核心危害在于：一方面，能够执行锁定屏幕、更改PIN码/密码、恢复出厂设置、抹除数据等15种指令，实施勒索；另一方面，能通过屏幕覆盖层窃取用户的设备解锁图案。攻击者利用窃取的图案，可在设备空闲时通过VNC系统进行远程控制，完全接管设备。勒索赎金的方式并非加密文件，而是通过WebView弹出覆盖层，威胁用户在24小时内联系指定邮箱付款，否则将永久销毁文件。

https://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/?&web_view=true

---

5 针对俄罗斯的攻击活动FrostBeacon

安全研究人员发现，一场针对俄罗斯联邦境内企业的复杂恶意软件活动“Operation FrostBeacon”。攻击由俄语金融犯罪团伙发起，通过两种独立的初始感染集群渗透企业的法律和财务部门，旨在部署Cobalt Strike信标以长期控制企业网络。第一种方式通过网络钓鱼邮件投递包含恶意LNK文件的压缩包，该LNK文件通过双重扩展名伪装成PDF，点击后会执行PowerShell命令下载下一阶段载荷。第二种方式则更为技术化，利用了未被修补的遗留漏洞链，通过恶意Office文档实现代码执行。无论通过哪种路径，攻击最终都会执行一个远程HTA文件，该文件会启动一个经过三重编码的PowerShell加载器，用于在内存中部署Cobalt Strike信标。

https://securityonline.info/frostbeacon-hits-russian-b2b-cobalt-strike-deployed-via-lnk-and-chained-legacy-exploits/

---

6 印度多品牌摄像头被曝存在高危漏洞

美国网络安全和基础设施安全局发布警报，披露一个影响多个印度摄像头制造商的严重漏洞。该漏洞被追踪为CVE-2025-13607，其CVSS v4评分为9.3分，属于严重级别。漏洞根源在于“对关键功能缺少身份验证”，远程攻击者无需任何权限即可利用特定的URL端点，未经授权访问摄像头配置数据，直接窃取管理员账户凭证并查看实时视频流。已确认受影响的设备包括D-Link印度公司的DCS-F5614-L1型号（特定固件版本），同时Sparsh Securitech和Securus CCTV品牌的多个型号也存在相同风险。

https://cybersecuritynews.com/vulnerability-india-based-cctv-cameras/

---