每日安全简讯(20260104)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Careto黑客组织沉寂十年后使用新的攻击技术卷土重来

沉寂十年的APT组织Careto（又称The Mask）携新一波精密网络攻击回归。该组织2014年被Kaspersky曝光，以针对全球政府机构、外交组织等的精准攻击闻名。Kaspersky研究人员在第34届病毒公报国际会议披露，Careto自2019年起重新活跃，2024年仍有攻击活动，新攻击采用非常规技术且保留早期工具特征。2022年其攻击某拉美组织，攻陷MDaemon邮件服务器植入恶意扩展获取持久访问权，还滥用HitmanPro Alert驱动注入FakeHMP植入程序实现监控；2024年改用Google Updater感染系统。研究人员通过多特征匹配，确认新活动与2019年Careto使用Careto2、Goreto框架的攻击同源，置信度中高。

https://cyberpress.org/careto-hacker-group/

---

2 Handala黑客组织入侵以色列官员Telegram账户

黑客组织Handala通过Telegram账户入侵而非设备攻击的方式瞄准以色列官员，疑似借助会话劫持和社会工程学手段，暴露了会话管理中的关键漏洞，亟需多因素认证等更强防御措施。2025年12月，该组织宣称完全入侵两名以色列知名政治人物的移动设备，但KELA分析显示，入侵仅局限于Telegram账户，未获取完整手机访问权。首个目标是前总理纳夫塔利·贝内特，Handala宣称入侵其iPhone 13并泄露联系人列表、音视频及约1900条聊天记录，贝内特后续确认Telegram账户遭未授权访问，但手机安全。随后该组织称入侵内塔尼亚胡办公室主任扎奇·布拉弗曼的iPhone，宣称掌握加密通信等资料，总理办公室否认入侵。

https://www.kelacyber.com/blog/handala-hack-telegram-breach-israeli-officials/

---

3 攻击者利用信息窃取程序获取合法企业域名传播恶意软件

2024至2025年，名为ClickFix的恶意攻击手段日趋成熟，该技术利用用户对系统界面的信任通过剪贴板传播恶意软件。Hudson Rock威胁情报团队分析发现，这并非简单攻击链，而是形成“今日受害者沦为明日攻击载体”的自我维持反馈循环，即网络犯罪的“衔尾蛇”模式。研究基于ClickFix Hunter平台追踪的1635个活跃域名与数百万受感染设备取证数据，证实大量攻击域名并非攻击者搭建的恶意基础设施，而是管理员凭证被其分发的信息窃取软件（Infostealer）窃取的合法企业域名。ClickFix通过仿冒验证码、浏览器错误等诱导用户执行快捷键操作，将恶意PowerShell脚本植入剪贴板并触发执行，最终加载Infostealer。

https://www.infostealers.com/article/from-victim-to-vector-how-infostealers-turn-legitimate-businesses-into-malware-hosts/

---

4 研究人员在GNU Wget2中发现安全漏洞

GNU Wget2曝出两项重大安全漏洞，攻击者只需诱骗用户下载文件，即可实现任意文件覆盖或系统崩溃。这两项漏洞编号为CVE-2025-69194和CVE-2025-69195，均瞄准工具核心文件处理逻辑，将常规下载操作转化为安全隐患。其中CVE-2025-69194为路径遍历漏洞，攻击者可通过构造含遍历序列或绝对路径的恶意Metalink文件，迫使工具突破下载目录限制，创建、截断或覆盖用户可写的任意文件，甚至可通过覆盖.bashrc等启动配置文件实现后续远程代码执行。CVE-2025-69195为栈缓冲区溢出漏洞，存在于文件名清理安全功能中，当启用相关限制选项处理攻击者控制的URL路径时，工具会向固定1024字节栈缓冲区写入清理后的文件名却未检查数据长度，特制URL路径或HTTP重定向可触发内存损坏，导致系统崩溃或进一步漏洞利用。两项漏洞均无需认证即可远程利用，安全机构强烈建议GNU Wget2用户立即检查更新。

https://securityonline.info/critical-wget2-flaws-expose-users-to-arbitrary-file-overwrites-and-memory-crashes/

---

5 Covenant Health数据泄露事件影响47.8万人

美国马萨诸塞州Covenant Health公司2025年5月遭遇数据泄露，影响超47.8万名个人。该公司在多州运营十余家医疗服务机构，此次攻击发生于5月18日，5月26日被发现，调查于12月完成。Covenant Health于7月首次向缅因州总检察长办公室披露时称仅7800人受影响，12月31日更新通知显示实际受影响人数为478188人。Qilin勒索软件团伙6月认领此次攻击，声称窃取130多万份文件（总大小850GB），包含姓名、出生日期、社会安全号码、病历号等敏感信息。目前该团伙已公开窃取数据，推测Covenant Health未支付赎金。

https://www.securityweek.com/covenant-health-data-breach-impacts-478000-individuals/

---

6 AI驱动的NeuroSploit v2增强了漏洞检测和利用规划能力

AI驱动的渗透测试框架NeuroSploit v2问世，该框架整合大型语言模型（LLMs）与专用代理角色，自动化完成漏洞检测、利用规划及防御分析，同时保障伦理标准与操作安全。其核心优势在于模块化代理系统，支持部署适配红队操作、漏洞赏金狩猎等任务的专用AI代理，兼容Gemini、Claude等多类LLM提供商，并通过接地技术、自我反思等机制缓解模型幻觉问题，内置防护措施确保内容合规。框架集成Nmap、Metasploit、SQLmap等行业标准安全工具，支持命令行与交互两种模式，可生成JSON结果与HTML报告简化文档工作。平台预设9类跨安全领域的代理角色，支持自定义配置，基于Python 3部署，配置驱动架构便于快速定制。

https://cyberpress.org/ai-powered-neurosploit-v2-enhances-vulnerability-detection-and-exploitation-planning/

---