每日安全简讯(20260124)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现一起传播PURELOGS窃密木马的攻击活动

瑞士邮政网络安全团队发现并分析了一起隐蔽的PURELOGS信息窃取攻击活动，该攻击以伪装医药发票的钓鱼邮件为入口，借助合法平台与无文件执行技术规避检测。邮件附件为带混淆的Windows Script Host（WSH）JScript文件，执行后通过WMI启动隐藏PowerShell进程，内存运行Base64解码载荷。攻击者利用archive.org的合法声誉，让PowerShell脚本下载多态PNG文件——该文件在图像数据结束区块后嵌入带自定义标记的Base64载荷，脚本通过正则提取后，经.NET反射直加载入内存，全程无文件落地，绕开传统文件级安全检测，其规避设计具有典型研究价值。

https://www.swisspost-cybersecurity.ch/news/purelogs-infostealer-analysis-dont-judge-a-png-by-its-header

---

2 攻击者利用文件共享服务针对多家能源企业发起攻击

不明攻击者利用微软SharePoint文件共享服务，针对多家能源企业发起攻击，通过窃取凭证接管企业邮箱后，群发钓鱼邮件扩大攻击范围。攻击者疑似利用已泄露邮箱获取初始访问权，发送含SharePoint验证链接的邮件，以“新提案-NDA”等主题伪装合法内容，诱导用户输入凭证。接管账户后，攻击者切换IP登录并设置邮箱规则删除邮件掩盖痕迹，单起案例中发送超600封钓鱼邮件至受害用户联系人及邮件列表，还实时监控邮箱、回复疑问强化伪装，进一步窃取更多账户权限。

https://www.theregister.com/2026/01/22/crims_compromised_energy_firms_microsoft/

---

3 约旦政府被曝使用Cellebrite手机破解技术监控特定人群

加拿大多伦多大学公民实验室（Citizen Lab）发布调查报告称，约旦政府部门在国内抗议活动期间，使用以色列公司Cellebrite提供的手机取证破解技术，对本国活动人士和人权捍卫者实施非授权监控。研究人员对四名被扣押后归还手机的活动人士设备进行分析，发现这些设备高度可信地遭到Cellebrite取证工具的数据提取操作，并结合约旦2023年网络犯罪法相关司法文件确认了执法机构的参与。

https://cyberscoop.com/researchers-find-jordan-government-used-cellebrite-phone-cracking-tech-against-activists/

---

4 研究人员发现一类新型安卓点击欺诈木马家族

研究人员发现一类新型安卓点击欺诈木马家族，其摒弃传统脚本式点击技术，采用TensorFlow.js机器学习模型实现广告视觉识别与自动点击，大幅提升对动态广告的规避能力。该木马通过小米应用商店（GetApps）及第三方APK平台传播，前者依托深圳锐人网络科技有限公司的多款手游植入——这些游戏初始版本无恶意代码，于2025年9月下旬更新时嵌入Android.Phantom.2.origin木马，10月中旬再次更新添加Android.Phantom.5下载器，可加载更多依赖JavaScript脚本的简易点击模块。

https://securityaffairs.com/187215/malware/machine-learning-powered-android-trojans-bypass-script-based-ad-click-detection.html

---

5 美国运动品牌安德玛调查一起数据泄露事件

美国运动品牌安德玛（Under Armour）正联合外部网络安全专家调查一起数据泄露事件，此前有网络犯罪分子在黑客论坛公开了7200万条用户记录。该事件与2025年11月珠峰勒索软件团伙（Everest ransomware gang）声称的攻击相关，当时该团伙宣称获取了343GB数据并试图勒索赎金，2026年1月相关用户数据被公开披露。泄露数据经平台确认，包含用户姓名、出生日期、性别、地理位置、电子邮箱及购买记录等，还涉及数百万条购买记录和员工邮箱地址，数据样本已提交给TechCrunch验证。安德玛方面表示，支付系统与密码未受影响，仅极少数用户可能泄露敏感信息，否认数千万条敏感记录遭泄露，目前调查仍在进行中。

https://securityaffairs.com/187229/data-breach/investigation-underway-after-72m-under-armour-records-surface-online.html

---

6 勒索软件团伙头目承认实施勒索软件攻击

俄罗斯公民伊亚尼斯·亚历山德罗维奇·安特罗彭科（Ianis Aleksandrovich Antropenko）近日在美国得克萨斯州北区联邦地区法院认罪，承认在2018年至2022年的四年间领导勒索软件阴谋，攻击至少50名受害者。他被控合谋洗钱、合谋计算机欺诈与滥用，面临最高25年监禁、75万美元罚款，同时需向受害者支付赔偿金并没收非法所得财产，此案因嫌犯在美境内实施多数犯罪行为而显得尤为特殊。安特罗彭科移居美国前后均参与勒索软件攻击，在佛罗里达和加州居住期间犯下多起罪行，2024年被捕后罕见获准保释，却在去年四个月内三次违反审前释放条件，含两次因吸毒酗酒引发危险行为被捕。

https://cyberscoop.com/ianis-antropenko-russian-ransomware-leader-guilty/

---