文章总结： 汇总近期安全动态：EDRStartupHinder工具劫持系统启动绕过Windows防护；H3C与思科设备曝严重配置及解析漏洞；GoBruteforcer僵尸网络与Astaroth木马活跃；攻击者利用假更新界面传播恶意软件；罗技macOS软件因证书过期瘫痪；1750万Instagram数据疑泄露；欧洲刑警打击黑斧团伙；暗网BreachForums遭黑吃黑致数据库泄露。 综合评分： 80 文章分类： 威胁情报,漏洞预警,恶意软件,数据泄露,安全大事件

新的EDRStartupHinder工具在系统启动时劫持安全服务，内核级防护遭恶意绕过

汇能云安全

2026年1月15日 09:44 广东

01月15日，星期四，您好！中科汇能与您分享信息安全快讯：

01

新的EDRStartupHinder工具在系统启动时劫持安全服务，内核级防护遭恶意绕过

安全研究机构TwoSevenOneT发布了一款名为“EDRStartup Hinder”的新工具，该工具能在Windows 11 25H2等系统启动时，成功阻止微软Defender等杀毒和终端检测响应（EDR）服务运行。其原理是利用Windows的Bindlink重定向功能，将EDR服务启动所需的关键系统文件（System32 DLL）指向被破坏的无效副本，从而在服务加载阶段即导致其崩溃。该技术克服了传统用户模式攻击难以绕过EDR进程增强保护（PPL）的难题。

此工具的演示成功突显了红队利用操作系统底层机制进行防御规避的高级能力。由于攻击发生在服务启动初期且针对核心系统组件，使得常规监控手段难以察觉。这一技术对依赖PPL机制的安全软件构成了严重威胁，迫使厂商和安全团队必须重新审视并加固DLL加载依赖性与服务启动顺序的监控与保护策略，以应对此类旨在“先发制人”的新型攻击手法。

02

H3C无线设备曝严重配置疏漏，匿名FTP上传竟可获取最高控制权

H3C公司部分无线控制器及接入点被曝存在一个严重的配置缺陷（CVE-2025-60262），其CVSS评分高达9.8。该漏洞并非复杂代码问题，而是由于研发人员错误配置了设备内置的vsftpd服务，导致其匿名上传功能存在致命缺陷。在错误配置下，任何通过匿名FTP上传的文件，其所有者都会被自动设置为最高权限的root用户。

这一低级失误将常规的文件上传通道，瞬间转变为权限提升的攻击路径。远程攻击者无需认证，仅需通过FTP匿名上传恶意脚本或配置文件，即可利用这些root属主的文件，以设备的最高权限执行任意命令，从而完全控制受影响设备。该漏洞影响了M102G无线控制器和BA1500L无线接入点等特定型号，管理员需立即核查固件版本并等待厂商修复补丁。

03

GoBruteforcer僵尸网络持续肆虐，数万Linux服务器成暴力破解目标

一个名为GoBruteforcer的僵尸网络正对暴露在互联网上的Linux服务器发起大规模暴力破解攻击，目标涵盖FTP、MySQL、PostgreSQL和phpMyAdmin等服务。据Check Point Research估计，超过5万台服务器或因凭证薄弱或配置错误而面临风险。该恶意软件自2023年被记录以来不断进化，新变种完全使用Go语言编写，并增强了代码混淆与进程隐藏能力，以躲避检测。

攻击者并非利用零日漏洞，而是持续不断地尝试诸如“admin/password”等常见或默认凭据。由于暴露在公网且使用弱密码的服务器数量庞大，即使成功率低，这种“广撒网”式攻击仍能带来可观收益。被攻陷的服务器会转变为新的攻击节点，继续扫描感染其他主机，可能引发数据盗窃、后门植入或成为僵尸网络的一部分。此事件再次警示，强化凭证管理与安全配置是防御此类基础但高效攻击的关键。

04

银行木马借WhatsApp蠕虫自动传播，巴西用户遭遇复合型金融欺诈

长期活跃的Astaroth银行木马近日通过一种新型WhatsApp蠕虫在巴西大规模传播。攻击链始于一条包含恶意ZIP文件的WhatsApp消息，打开后会执行VBScript下载器。此次攻击的特殊之处在于包含了一个完全用Python编写的蠕虫模块，该模块能自动收集受害者的全部WhatsApp联系人，并向他们发送相同的恶意文件，从而实现自我复制与快速扩散。

与此同时，另一个Delphi编写的银行木马模块则在后台静默运行，专门监控受害者的浏览器活动。一旦探测到用户访问银行或金融相关网站，便会激活以窃取登录凭证、会话cookie等敏感信息。这种将自动化社交工程传播与精准金融窃密相结合的模式，代表了银行恶意软件的演化趋势。它不仅利用即时通讯工具的信任关系快速扩大感染面，还实现了对目标的高效金融掠夺，危害性显著增强。

05

罗技macOS软件因证书过期大面积瘫痪，用户需手动下载补丁修复

由于软件签名证书意外过期，罗技旗下用于管理外设的Options+和G Hub应用程序在多个版本的macOS系统上突然无法启动，其内置的自动更新功能也因此失效。罗技确认该问题不影响Windows用户。为解决此问题，公司发布了独立的手动补丁安装程序，要求受影响的macOS用户自行下载并运行，而非通过应用内更新完成修复。

证书过期导致软件启动所必需的安全验证失败，这是引发故障的直接原因。罗技建议用户尽量避免卸载应用，以免丢失个人设置与配置文件。目前，补丁已覆盖macOS 13至26的系统，针对macOS 12 Monterey的专用修复正在开发中。此次事件暴露了软件供应链中证书管理的重要性，一次看似简单的证书失效，即可导致大规模用户体验中断，并迫使企业采取紧急的线下补救措施。

06

网络攻击纷纷伪装“合法”更新界面，社会工程结合商业化恶意软件成新威胁

惠普最新威胁研究报告指出，网络攻击者正越来越多地使用高度仿真的假更新界面和登录弹窗，诱使用户亲手安装恶意软件。这些界面拥有精致的动画效果，如虚假的进度条，令其看起来与Adobe等合法软件更新无异。攻击者将此类社会工程手段，与可从黑市订阅的、更新频繁的现成恶意软件（如PureRAT、Phantom Stealer）相结合，大大提升了攻击的成功率和隐蔽性。

报告揭示了多种利用该手法的攻击活动，包括伪装成哥伦比亚检察院的法律威胁邮件、虚假Adobe PDF阅读器更新网站，以及通过Discord分发窃取信息的“幻影窃取者”。这些恶意软件功能强大，能绕过内存完整性保护，窃取凭证、金融数据和浏览器Cookie。超过一半的常见恶意软件家族已是信息窃取类，这反映出攻击者正从直接破坏转向长期潜伏与数据窃取，利用用户对熟悉品牌和流程的信任来突破防线。

07

思科身份服务引擎漏洞遭概念验证公开，企业核心认证系统面临潜在外泄风险

思科修复了其身份服务引擎（ISE）和ISE被动身份连接器中的一个安全漏洞（CVE-2026-20029）。该漏洞源于基于网页的管理界面存在XML文件解析不当问题，可使拥有有效管理员凭证的攻击者读取底层操作系统的任意文件。尽管思科将其评为中等严重性，但一个可公开获取的概念验证漏洞利用代码的出现，显著增加了该漏洞被实际利用的风险。

身份服务引擎是企业网络访问控制和安全策略执行的核心组件，管理着大量敏感的身份信息和设备凭证。攻击者通过此漏洞可能窃取到本应受严格保护的配置文件、管理密码等关键数据，进而危及整个企业的身份认证体系安全。此事件再次提醒，对于承载关键身份服务的基础设施，即使需要管理员权限才能利用的漏洞也应被高度重视，尤其是在攻击细节已公开的情况下，打补丁的紧迫性急剧上升。

08

1750万Instagram用户数据疑遭泄露暗网售卖，平台称系统未入侵但风险犹存

网络安全公司Malwarebytes报告称，约1750万个Instagram账户的敏感信息正在暗网论坛上被出售，泄露数据包括用户名、电子邮件、电话号码乃至部分物理地址。多名用户随即报告收到可疑的密码重置请求，表明攻击者可能正利用这些信息尝试劫持账户。此类详细的个人资料组合，使受影响用户面临精准网络钓鱼、身份盗窃和社会工程攻击的严重风险。

对此，Instagram官方回应称其系统并未被入侵，用户密码也未被泄露。平台解释称，部分用户收到的密码重置邮件是由于一个已修复的外部触发问题所致。然而，该声明并未完全解释暗网上大规模数据集的来源，安全专家怀疑数据可能通过“抓取”等聚合手段获得。无论原因为何，大量真实用户联系信息的公开已成事实，迫使用户必须采取启用双重认证、更新复杂密码等措施以自我保护。

09

欧洲刑警组织牵头多国联合行动，“黑斧”网络犯罪团伙核心遭重创

在欧洲刑警组织的协调下，西班牙与德国警方展开联合执法行动，成功逮捕了34名与国际网络犯罪组织“黑斧”相关的嫌疑人。该组织以西非为根源，已发展成为全球性犯罪网络，长期从事商业邮件诈骗、恋爱诈骗、钓鱼攻击等多种网络欺诈活动，仅在西班牙造成的损失估计就接近600万欧元。此次行动成功冻结和查获了大量涉案资金。

本次行动精准打击了“黑斧”在西班牙运营的核心层，旨在瓦解其组织结构并截断资金流。欧洲刑警组织通过情报分析与现场支援，协助应对该组织分散化、跨境化以及将犯罪行为伪装为普通地方犯罪的挑战。此次成功打击不仅重创了“黑斧”的运营能力，也向类似的有组织网络犯罪集团发出了强烈威慑信号，展示了国际执法合作在应对全球性网络威胁上的关键作用。

10

暗网知名数据交易论坛遭黑客“黑吃黑”，全部用户数据库泄露暴露行业讽刺

暗网世界发生戏剧性事件：知名数据交易与黑客论坛BreachForums被一名自称“James”的黑客攻破，其完整的用户数据库遭泄露。该论坛是继RaidForums之后最活跃的非法数据交易市场之一。此次泄露涉及近32.4万用户的详细信息，包括用户名、哈希密码、邮箱、IP地址乃至部分管理员的PGP密钥，使这个本应为犯罪分子提供匿名的场所瞬间暴露在阳光之下。

泄露数据的地理分析显示用户遍布全球，以美国、欧洲居多。攻击者“James”发布宣言，声称此举是对论坛运营者的报复，并自诩为“掠食者”。这一“黑吃黑”事件极具讽刺意味，它揭示了即便是在网络犯罪生态内部，安全漏洞同样无处不在。此次泄露不仅令大量不法分子面临被执法部门“人肉”的风险，也为调查与BreachForums关联的各类网络犯罪活动提供了宝贵线索，是对地下犯罪生态的一次重大打击。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《新的EDRStartupHinder工具在系统启动时劫持安全服务，内核级防护遭恶意绕过》