每日安全简讯(20260105)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT36发起针对印度政府及学术界的新一轮攻击

透明部落（APT36）发起针对印度政府、学术及战略实体的新一轮攻击。该组织至少自2013年起活跃，惯于开展网络间谍活动，拥有CapraRAT等多款RAT木马武器库。此次攻击以鱼叉式钓鱼邮件为入口，附件含伪装成PDF的恶意LNK文件，打开后通过HTA脚本加载RAT负载，同时显示诱饵PDF规避怀疑。其恶意软件可根据目标系统杀毒软件类型调整持久化策略，相关DLL文件具备远程控制、数据窃取等完整功能。近几周，该组织还利用伪装政府咨询PDF的快捷方式发起攻击，虽关联C2服务器暂未激活，但注册表持久化使其具备复活的可能。

https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html

---

2 网络安全公司Resecurity宣称攻击者仅入侵了模拟环境

网络安全公司Resecurity称攻击者实际访问的是含虚假数据的蜜罐，未损害真实系统及客户信息。2026年1月3日，ShinyHunters通过Telegram频道宣称完全入侵Resecurity内部系统，获取员工记录、客户数据等敏感信息，并发布截图佐证，称此举是对Resecurity此前伪装买家实施社会工程学攻击的报复。Resecurity回应称，攻击者交互的是专门设计的模拟环境，含合成员工账户、虚假应用等隔离基础设施，相关蜜罐通过暗网市场诱饵账户部署。该公司还提供了攻击者交互日志等证据，显示其多次访问虚假账户，部分IP因代理失效暴露。Resecurity强调未影响真实资产，使用合成数据和欺骗策略是识别威胁行为者的常见反情报手段，并指出攻击或与该公司持续曝光ShinyHunters等组织相关。

https://hackread.com/resecurity-shinyhunters-honeypot-breach/

---

3 Apache StreamPipes高危漏洞致普通用户可获取管理员权限

Apache软件基金会为其工业物联网自助工具StreamPipes发布高危漏洞修复补丁，该漏洞编号CVE-2025-47411，可被普通用户利用夺取完全管理员控制权。该漏洞评级为“重要”，影响0.69.0至0.97.0版本的Apache StreamPipes，成因是应用程序用户身份创建与验证的逻辑错误。攻击者可借助合法非管理员账户，通过操纵JWT会话令牌替换用户名，伪装成管理员绕过权限校验。鉴于StreamPipes用于工业物联网数据管理，管理员权限被夺取可能导致数据篡改、未授权访问等严重问题，破坏工业环境分析数据与信息流转。目前开发团队已在0.98.0版本中修复该漏洞，官方建议受影响用户优先升级，以防普通用户或恶意内部人员提升权限。

https://securityonline.info/cve-2025-47411-critical-apache-streampipes-flaw-allows-standard-users-to-seize-admin-control/

---

4 Aflac通知2265万人其敏感信息可能在数据失窃事件中泄露

美国最大补充健康保险公司Aflac正通知2265万人，其社保号码等敏感健康和个人信息可能在2025年6月的数据失窃事件中泄露。该事件于2025年6月12日被发现，可疑活动数小时内得到控制，未涉及勒索软件且系统保持运行。Aflac随后采取了保障账户、重置密码等措施，调查确认未授权人员获取了客户、受益人等相关人员信息，但并非每人信息都完整泄露。目前Aflac为受影响者提供24个月免费信用监控等服务，暂未发现信息被欺诈使用。据悉，该事件或为2025年美国上报联邦监管机构的最大健康数据泄露事件，有猜测称黑客组织Scattered Spider为幕后黑手，目前已有约24起相关集体诉讼合并至佐治亚州联邦法院。

https://www.govinfosecurity.com/aflac-notifies-226-million-people-june-data-theft-attack-a-30434

---

5 法国调查X平台上利用Grok生成的性相关深度伪造内容

法国当局将调查X平台上利用马斯克旗下xAI公司研发的Grok聊天机器人生成的性相关深度伪造内容，此前数百名女性及青少年举报个人照片被篡改生成“脱衣”图像在网上传播。1月2日，法国议员Arthur Delaporte和Eric Bothorel就数千条非自愿性相关深度伪造内容向检察官报案，巴黎检察官办公室表示已将该案纳入对X的现有调查，此类违法行为最高可判两年监禁及6万欧元罚款。法国三名部长已举报相关非法内容并要求快速删除，儿童事务高级专员也对此行为予以谴责。Grok方面承认存在用户生成未成年人暴露图像的个别案例，称已设有防护措施且正持续改进以彻底拦截此类请求。

https://securityaffairs.com/186460/ai/french-authorities-investigate-ai-undressing-deepfakes-on-x.html

---

6 加州居民可使用DROP平台要求经纪人删除个人信息

美国加州为居民推出新工具，助力限制数据经纪人存储和出售个人信息的能力。自2020年起加州居民便有权要求企业停止收集和出售其数据，但需逐一向各企业申请退订，流程繁琐。2023年通过的《删除法案》旨在简化流程，允许居民一键要求500余家注册数据经纪人删除信息，如今“删除请求与退订平台”（DROP）正式落地实现该功能。居民验证身份后，提交的删除请求将覆盖当前及未来所有州内注册的数据经纪人。不过数据不会立即删除，经纪人需自2026年8月起开始处理，90天内完成并反馈，未删除时居民可补充信息协助定位。企业可保留一手数据，仅数据经纪人需删除交易类数据；车辆登记、选民记录等公共信息豁免删除，敏感医疗信息受HIPAA等其他法律约束。

https://techcrunch.com/2026/01/03/california-residents-can-use-new-tool-to-demand-brokers-delete-their-personal-data/

---