每日安全简讯(20260321)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员分析两种新型恶意软件

研究人员捕获了两种此前从未被记录过的恶意软件样本。CondiBot是源自Mirai的Condi DDoS僵尸网络的进化版。它是一个使用C语言编写的多架构二进制文件，旨在将被攻破的Linux设备转变为大规模网络攻击的节点。Monaco是一个活跃的、跨架构的挖矿木马。它针对服务器、物联网设备、路由器和网络设备进行SSH暴力破解。该恶意软件会搜集数百台SSH服务器的信息，并将凭据发送回其C2服务器。

https://eclypsium.com/blog/condibot-monaco-malware-network-infrastructure/

---

2 APT28利用Zimbra协作平台中的XSS漏洞进行攻击

研究人员发现一起针对性的网络钓鱼攻击活动，该活动利用Zimbra协作平台中的XSS漏洞，入侵了一家乌克兰政府实体。该钓鱼邮件中没有恶意附件，没有可疑链接，也没有宏代码。整个攻击链完全寄生在单封邮件的HTML正文中。攻击者利用一封经过社会工程学设计的“实习咨询”邮件，将混淆后的JavaScript载荷直接嵌入邮件正文。当受害者在存在漏洞的Zimbra Webmail会话中打开该邮件时，便会触发CVE-2025-66376漏洞。恶意脚本会在浏览器中静默执行，随后开始收集用户凭据与会话令牌、备份的双因素认证代码、浏览器保存的密码、受害者过去90天内的邮箱内容。所有窃取的数据均通过DNS和HTTPS协议进行外泄。

https://www.seqrite.com/blog/operation-ghostmail-zimbra-xss-russian-apt-ukraine/

---

3 研究人员发现新型恶意安卓软件Perseus

研究人员识别出一种正在活跃传播的新型恶意安卓软件，该恶意软件家族被命名为Perseus，是在Cerberus和Phoenix等早期恶意代码家族的代码基础上进行构建及更改的。该恶意软件通过基于无障碍服务的远程会话，能够对受感染设备进行实时监控和精确交互，实现完全的设备接管。其目标覆盖多个地区，重点针对土耳其和意大利。除了传统的凭据窃取外，Perseus还会监控用户笔记，表明其重点在于提取高价值的个人或财务信息。

https://www.threatfabric.com/blogs/perseus-dto-malware-that-takes-notes

---

4 研究人员发现GNU Inetutils telnetd远程代码执行漏洞

研究人员在GNU Inetutils的telnetd守护进程中发现了一个新的缓冲区溢出漏洞（CVE-2026-32746），具体存在于处理LINEMODE SLC选项协商的代码中。未经身份验证的远程攻击者可以在初始连接握手阶段（即出现任何登录提示之前）发送特制消息来利用此漏洞。成功利用该漏洞可导致以root权限执行远程代码。研究人员发现该漏洞后，已将初步报告提交给GNU Inetutils安全团队。鉴于该漏洞利用门槛极低且可导致系统完全失陷，在官方修复补丁发布之前，必须禁用telnetd服务。

https://dreamgroup.com/vulnerability-advisory-pre-auth-remote-code-execution-via-buffer-overflow-in-telnetd-linemode-slc-handler/

---

5 Payload勒索组织声称入侵巴林皇家医院

Payload勒索组织声称已入侵巴林皇家医院，并窃取了110GB的数据。该勒索组织已将该医疗机构列入其Tor数据泄露网站，并发布了据称被入侵系统的截图作为攻击证明。该组织威胁称，如果到3月23日仍未支付赎金，将公开所有被盗数据。

https://securityaffairs.com/189467/cyber-crime/payload-ransomware-claims-the-hack-of-royal-bahrain-hospital.html

---

6 Navia证实发生数据泄露事件

Navia Benefit Solutions, Inc.（Navia）正在通知近270万名个人，告知其敏感信息已在一次数据泄露事件中泄露给攻击者。调查显示，攻击者在2025年12月22日至2026年1月15日期间拥有该公司系统的访问权限。该公司于1月23日发现了可疑活动。Navia表示已立即做出响应，并启动调查以确定事件的潜在影响。调查确认，攻击者访问并可能窃取了以下类型的数据：全名与出生日期、社会安全号码、电话号码与电子邮件地址、HRA参与情况、FSA信息以及COBRA参保信息。

https://www.bleepingcomputer.com/news/security/navia-discloses-data-breach-impacting-27-million-people/

---