每日安全简讯(20260320)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《海莲花组织针对我国重点目标钓鱼攻击活动分析》

2025下半年起，安天CERT持续发现海莲花APT组织疑似继续通过鱼叉式攻击邮件向我国重点单位的核心工作人员投递内含镜像文件的压缩包钓鱼文件，受害者大多属于与国防、政治、外交、智库等领域相关的部门机构。攻击者初始通过高诱导性钓鱼邮件联系目标，以“十五五规划”等时事热点作为钓鱼主题，附件包裹内含如IMG后缀格式的镜像文件。在Windows系统中镜像文件可直接双击挂载为虚拟光驱方便用户访问内容，但这一便利特性也被攻击者利用将恶意文件伪装成正常文件放入镜像，利用用户习惯性双击执行来绕过部分安全扫描，并通过社会工程学目标执行恶意文件。攻击流程目前发现有利用诱导点击LNK文件触发MST转换技巧、篡改合法软件安装实现隐蔽执行内存态RUST远控载荷的类型，而该远控载荷则是海莲花组织近年长期使用的RUST远控特马。相关流程与海莲花组织在2025年的攻击活动非常相似，仅有在隐蔽执行如MST转换和DLL劫持的手段细节有所改变。

https://www.antiy.cn/research/notice&report/research_report/APT-TOCS_Analysis_202603.html

---

2 Interlock勒索组织利用思科防火墙零日漏洞发动攻击

Interlock勒索组织自1月底以来，一直利用思科安全防火墙管理中心软件中的一个远程代码执行漏洞发动零日攻击。思科于3月4日修复了该安全漏洞（CVE-2026-20131），并警告称该漏洞允许未经身份验证的攻击者在未修补的设备上，远程以root权限执行任意Java代码。

https://www.bleepingcomputer.com/news/security/interlock-ransomware-exploited-secure-fmc-flaw-in-zero-day-attacks-since-january/

---

3 ConnectWise警告ScreenConnect存在加密漏洞

ConnectWise正在向ScreenConnect用户发出预警，称该平台存在一个加密签名验证漏洞，可能导致未经授权的访问及权限提升。该漏洞追踪编号为CVE-2026-3564，影响26.1版本之前的所有ScreenConnect实例。ConnectWise已通过加强机器密钥保护（包括加密存储和改进处理逻辑）修复了此问题，受影响用户应更新至ScreenConnect 26.1或更高版本。

https://www.bleepingcomputer.com/news/security/connectwise-patches-new-flaw-allowing-screenconnect-hijacking/

---

4 Marquis证实遭受勒索软件攻击

总部位于德克萨斯州的金融服务提供商Marquis本周透露，2025年8月发生的一场勒索软件攻击不仅导致超过67万个人数据被盗，还造成全美74家银行的业务中断。今年1月，Marquis将此次勒索软件攻击归咎于SonicWall在9月17日披露的一起安全违规事件。当时SonicWall曾警告客户重置MySonicWall账户凭据。今年2月，Marquis对SonicWall提起诉讼，指控这家网络安全公司存在严重疏忽和虚假陈述，导致了2025年8月其系统遭到勒索软件攻击。

https://www.bleepingcomputer.com/news/security/marquis-ransomware-gang-stole-data-of-672-000-people-in-2025-cyberattack/

---

5 Aura证实一起数据泄露事件

身份保护公司Aura已证实，一名未经授权的第三方获取了近90万条包含客户姓名和电子邮件地址的记录。该公司表示，此次事件是由针对其一名员工的语音钓鱼攻击引起的，导致20000名现任客户和15000名原客户的敏感数据泄露。ShinyHunters组织在其数据勒索网站上声称对此次攻击负责，并表示他们窃取了12GB的文件，其中包含客户的个人身份信息以及公司内部数据。Aura拒绝就ShinyHunters的说法发表进一步评论。目前，Aura正在外部网络安全专家的协作下进行深入的内部审查。

https://www.bleepingcomputer.com/news/security/aura-confirms-data-breach-exposing-900-000-marketing-contacts/

---

6 Nordstrom客户接收到来自官方邮箱的欺诈邮件

高端连锁百货公司Nordstrom的客户近日收到了来自该公司官方合法邮箱的欺诈邮件。这些邮件借促销之名进行加密货币诈骗。欺诈邮件声称，收件人在接下来的两小时内向特定的钱包地址存入加密货币，即可获得双倍返还。多名客户在社交媒体上反映收到了此类邮件。邮件确实是从官方邮箱地址发出的，该地址通常用于发送营销、销售和促销信息。这表明Nordstrom的系统遭到了安全入侵。Nordstrom虽未直接回应媒体置评请求，但已向会员发送了警告邮件。

https://www.bleepingcomputer.com/news/security/nordstroms-email-system-abused-to-send-crypto-scams-to-customers/

---