每日安全简讯(20260106)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布报告分析美军入侵委内瑞拉背后的网络作业能力

当地时间2026年1月3日凌晨，美军入侵委内瑞拉首都加拉加斯，打击多个目标，强行控制委内瑞拉马杜罗总统夫妇并移送到美国境内。安天战略情报中心和安天安全研究与应急处理中心（安天CERT）尝试基于对于相关行为体的历史研究成果，从对应行为体的行为范式出发，基于能力体系评估和推断进行相对谨慎的分析。从战术层面：网络空间层面的情报获取（CE），在美方在本次行动中，构成重要的（但未必是决定性的）情报层次，并在情报汇聚分析中扮演重要的交叉验证作用。网络攻击（CA）有可能扮演了阶段性切断电力供应的角色，从而为美方军事行动隐蔽性提供了最大化安全掩护。不排除美方在本次行动中进行了基于网络攻击让对手防空武器系统失效能力的尝试。从战略层面：本次行动是叠加在必然性中的突发事件，是美国“防御性战略收缩（张文木先生语）”趋势下的新门罗主义产物。


https://mp.weixin.qq.com/s/C08kjDhQDiVNpjhSFUk-ZA

---

2 VVS窃密木马利用Pyarmor混淆逃避检测

一款名为VVS（又称VVS $tealer）的窃密木马以Discord用户为攻击目标，核心能力包括窃取Discord账号凭证、令牌等数据，通过注入拦截活跃会话，以及提取多款浏览器的Cookie、密码、浏览历史和自动填充信息。该窃取器基于Python开发，早在2025年4月便已在Telegram平台售卖并处于活跃开发阶段，还能通过自动安装至启动项实现持久化，同时显示虚假错误信息、截取屏幕以隐蔽运行。其代码通过Pyarmor工具混淆，阻碍静态分析和特征检测，Pyarmor本可合法使用，却被恶意用于构建隐蔽恶意软件。

https://unit42.paloaltonetworks.com/vvs-stealer/

---

3 攻击者伪造WordPress域名续订的钓鱼邮件窃取信用卡信息

研究人员发现一类伪造WordPress域名续订通知的钓鱼邮件，以“域名续费即将到期，即将面临服务中断”为由催促收件人立即行动。该邮件存在多处红色预警信号，包括未提及具体域名、使用“立即行动”等紧迫话术、采用通用问候语，且号召性按钮会将用户导向攻击者搭建的虚假支付平台而非WordPress官方站点。尽管话术专业精致以规避垃圾邮件过滤，但核心目的是诱导用户进入仿冒页面。

https://malwr-analysis.com/2025/12/31/fake-wordpress-domain-renewal-phishing-email-stealing-credit-card-and-3-d-secure-otp/

---

4 攻击者利用开源Sliver C2框架对FortiWeb设备开展攻击活动

研究人员发现攻击者针对FortiWeb设备开展针对性攻击活动，借助开源Sliver C2框架维持持久访问。该活动在2025年12月22日至30日的八天内，成功入侵30台独特受害者设备。攻击者利用高影响力漏洞实施攻击，已确认借助React2Shell（CVE-2025-55182）部署Sliver C2，但入侵FortiWeb设备的具体方法因未找到漏洞验证代码暂未确认。进入系统后，攻击者部署快速反向代理（FRP）远程暴露受害者主机本地服务以绕过防火墙、维持控制；还将microsocks工具二进制文件重命名为cups-lpd，绑定至515端口（Linux CUPS打印机守护进程常用端口），伪装成合法打印机通信流量以隐蔽活动。

https://ctrlaltintel.com/threat%20research/FortiWeb-Sliver/

---

5 伊顿UPS软件曝任意代码执行漏洞

伊顿公司于2025年12月24日发布公告，警告其UPS Companion（EUC）软件用户立即更新。公告披露两款严重漏洞，可让本地攻击者劫持软件并在主机系统执行任意代码，可能危及监控关键电源的计算机。其中CVE-2025-59887为不安全库加载漏洞（DLL劫持），攻击者将恶意文件放入安装程序同目录即可诱导软件加载恶意程序；CVE-2025-59888为未加引号搜索路径漏洞，Windows可能误读路径执行恶意程序。两款漏洞影响3.0版本前的所有EUC软件，整体风险等级为“高”，最高CVSS评分8.6，升级至3.0版本可修复这两个漏洞。

https://securityonline.info/eaton-ups-software-flaws-expose-systems-to-high-risk-code-execution/

---

6 QNAP修复高危SQL注入与路径遍历漏洞

网络存储公司QNAP发布系列安全公告，修复多款软件中的高危漏洞，这些漏洞可能导致攻击者窃取敏感数据、注入恶意代码或瘫痪核心服务。公告重点提及两个CVSS评分8.1的高危漏洞：Qfiling的路径遍历漏洞（CVE-2025-59384），远程攻击者可读取意外文件或系统数据，3.13.1及以上版本可修复；多应用恢复服务（MARS）的SQL注入漏洞（CVE-2025-59387），远程攻击者可执行未授权代码，1.2.1.1686及以上版本可修复。此外，Mac端Qfinder Pro等三款工具存在路径遍历漏洞（CVE-2025-53594，CVSS 4.4），许可证中心存在越界读取（CVE-2025-52871）和缓冲区溢出（CVE-2025-53597）漏洞，均已推出对应修复版本。

https://securityonline.info/qnap-patches-high-severity-sql-injection-and-path-traversal-flaws/

---