每日安全简讯(20260223)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CRESCENTHARVEST活动利用伊朗社会新闻发起钓鱼攻击

研究人员披露名为“CRESCENTHARVEST”的恶意软件活动，其利用与伊朗抗议相关内容实施社交工程攻击。感染链通过包含媒体内容的恶意压缩包文件传播，其中包含伪装为视频或图像的LNK文件。执行后释放远程访问木马开展信息窃取，同时显示诱饵内容以降低目标怀疑。

https://www.acronis.com/en/tru/posts/crescentharvest-iranian-protestors-and-dissidents-targeted-in-cyberespionage-campaign/

---

2 攻击者滥用AtlassianCloud发动定向垃圾邮件诈骗

攻击者利用Atlassian Cloud的合法功能与高信誉域名基础设施，绕过SPF、DKIM等邮件认证安全检查，向政府与企业目标发送定向垃圾邮件。该活动针对多语种群体（英语、法语、德语、意大利语、葡萄牙语、俄语），通过Keitaro TDS将流量重定向至欺诈性投资页面，实现诈骗与非法广告变现。研究人员指出该活动在2025年12月至2026年1月期间显著活跃。

https://www.trendmicro.com/en_gb/research/26/b/spam-campaign-abuses-atlassian-jira.html

---

3 Matanbuchus3.0借助ClickFix技术部署远控木马

Matanbuchus是一款先进的恶意软件即服务加载器，在近一年的停摆后于2026年2月推出3.0版本，完成代码层面重写，订阅费用最高达每月15000美元，显示其商业定位于高价值定向攻击需求。该版本利用lickFix社会工程策略诱导受害者手动执行PowerShell命令，并通过静默MSI安装部署AstarionRAT，绕过传统安全防护，因此更倾向依赖人为操作而非漏洞利用实现入侵。

https://www.huntress.com/blog/clickfix-matanbuchus-astarionrat-analysis

---

4 虚假Triton应用GitHub仓库传播Windows恶意软件

一个伪装为合法macOS应用Triton的恶意GitHub分支被发现传播Windows恶意软件。该仓库由账户“JaoAureliano”创建，复制了开发者OtávioC的原始Triton项目，但在README中嵌入恶意下载链接，引导用户下载名为Software_3.1.zip的压缩包。恶意文件被隐藏在Xcode色彩集目录结构中，下载后实际释放Windows可执行恶意程序。该异常仓库最初由安全研究员Brennan在IRC讨论中发现。

https://brennan.day/the-curious-case-of-the-triton-malware-fork/

---

5 恶意二维码活动用于移动端钓鱼与恶意APP应用传播

攻击者利用二维码作为重定向载体，在邮件、海报等场景中传播钓鱼页面和恶意应用下载链接。二维码本身无害，但可隐藏复杂重定向链、触发深度链接或绕过应用商店审查直接下载应用（“quishing”）。研究人员监测到每日约75000个二维码样本，其中约15%指向恶意页面，意味着每日超过11000次恶意检测。由于多数扫描发生在个人移动设备上，攻击更易绕过其防护手段。

https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/

---

6 阿迪达斯门户网站疑似泄露超81万条客户记录

阿迪达斯确认正在调查一起涉及其第三方合作伙伴的疑似数据泄露事件，攻击组织“LAPSUS-GROUP”在BreachForums论坛声称未经授权访问了Adidas Extranet外网门户网站，窃取了约81.5万条记录，数据包括姓名、电子邮件、密码、生日及公司信息等，并声称还掌握约420GB的阿迪达斯法国市场相关数据。

https://cybersecuritynews.com/adidas-investigates-data-breach/

---