每日安全简讯(20260112)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Astaroth银行木马利用WhatsApp在巴西传播

恶意软件Astaroth通过名为“Boto Cor-de-Rosa”的新活动，借助WhatsApp网页版以蠕虫形式传播。攻击始于含恶意ZIP文件的WhatsApp消息，用户打开后会运行伪装的VBScript脚本，下载并安装Astaroth木马及Python编写的WhatsApp传播模块。该恶意软件分为两大模块：传播模块窃取受害者WhatsApp联系人列表，自动发送含恶意ZIP的葡萄牙语本地化消息，形成持续感染循环；银行模块后台监控浏览行为，窃取网银凭证实施金融诈骗。Astaroth通过MSI加载器结合合法工具规避检测，此次采用多语言开发提升模块化程度，凸显银行木马融合社会工程与自动化传播的进化趋势。

https://securityaffairs.com/186685/malware/astaroth-banking-trojan-spreads-in-brazil-via-whatsapp-worm.html

---

2 研究人员分析LockBit 5.0的技术特点与加密机制

LockBit 5.0勒索软件具备高度灵活性，无需参数即可运行，通过终止VSS服务、加壳混淆阻碍分析，采用ChaCha20-Poly1305加密算法与X25519+BLAKE2b密钥交换机制。其加密逻辑随文件大小调整，小文件经哈希处理生成密钥流加密，大文件分块加密并附加哈希值；会动态生成100种8字节自定义文件扩展名，且排除系统关键文件保障自身运行。攻击后通过赎金通知施压，宣称利用企业漏洞入侵，警告受害者自主恢复或求助第三方将致永久数据丢失，威胁泄露、出售数据或删除解密密钥。

https://asec.ahnlab.com/en/91945/

---

3 Veeam发布安全更新修复其备份与复制软件中的多个漏洞

Veeam发布安全更新修复其Backup & Replication软件中的多个漏洞，含高危远程代码执行（RCE）漏洞CVE-2025-59470，该漏洞影响13.0.1.180及更早13系列版本，授权操作员可通过恶意参数执行代码。此次更新还修复另两个高危（CVE-2025-55125）和中危漏洞，攻击者可通过恶意备份配置文件或密码参数实现RCE。Veeam备份软件广泛应用于大中型企业，全球超55万客户使用，却常成勒索软件团伙目标，此前Cuba、Frag等团伙曾利用其漏洞攻击。

https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/

---

4 攻击者利用漏洞利用工具突破虚拟机隔离夺取主机控制权

攻击者利用“MAESTRO”工具包实现VMware ESXi虚拟机逃逸，夺取底层虚拟机管理程序控制权。攻击始于SonicWall VPN账号泄露，经横向移动后部署工具包，通过禁用VMware驱动、BYOVD技术加载恶意驱动突破防御。逃逸后，攻击者不再依赖防火墙可能捕捉到的标准网络连接，而是部署“VSOCKpuppet”后门，利用VSOCK通道隐蔽通信规避网络监控，VSOCK是一种用于主机-访客通信的高速接口。通过劫持该通道，攻击者创建了一个隐秘的命令行，完全绕过了传统的网络监控。

https://securityonline.info/vm-isolation-is-not-absolute-researchers-unmask-sophisticated-esxi-maestro-exploit/

---

5 伊利诺伊州卫生部门多年来泄露了超过70万居民的个人数据

美国伊利诺伊州公共服务部（IDHS）证实，因长期安全疏漏，超70万州居民个人数据遭泄露。涉事的内部地图网站用于协助分配州资源，自2021年4月起至2025年9月漏洞被发现期间，竟被意外公开可访问。泄露数据涵盖67.2万余名医疗补助计划受益人的地址、案例编号等信息（无姓名），以及3.2万余名康复服务申请者的姓名、地址、案例状态等详情。IDHS表示，无法确定这四年间是否有人查看过这些公开的地图数据，相关事件于2026年1月2日正式披露。

https://techcrunch.com/2026/01/08/illinois-health-department-exposed-over-700000-residents-personal-data-for-years/

---

6 美国男子利用VPN隐匿行踪实施三年网络跟踪行动

美国蒙大拿州25岁男子耶利米·丹尼尔·斯塔尔因实施近三年的网络跟踪行动，被判处46个月联邦监禁，刑满后还需接受三年监督释放。斯塔尔利用50余个电话号码及NordVPN隐匿行踪，向其自称“挚友”的受害者发送威胁信息，甚至于2025年2月伪造枪击事件恐吓受害者。FBI调查人员梳理1100个不同IP地址后，成功锁定斯塔尔身份。斯塔尔已于2025年8月认罪，该案凸显高科技跟踪已成为执法部门重点打击领域，也警示网络匿名性无法成为犯罪避风港。

https://hackread.com/us-man-jailed-fbi-ip-addresses-cyberstalking-case/

---