文章总结： 简报涵盖云凭证窃取、Struts高危漏洞及僵尸网络攻击等事件。攻击者利用MFA缺失、弱配置及供应链漏洞入侵，如恶意npm包窃取凭证。此外，自动化ClickFix及WhatsApp蠕虫等社会工程攻击升级。事件警示企业需强制启用MFA、修补漏洞并严控供应链安全，防范复杂威胁。 综合评分： 90 文章分类： 威胁情报,漏洞预警,恶意软件,数据安全,社会工程学

威胁组织利用信息窃取器窃取企业云凭证，多因素认证缺失成最大安全漏洞

汇能云安全

2026年1月16日 10:07 广东

01月16日，星期五，您好！中科汇能与您分享信息安全快讯：

01

威胁组织利用信息窃取器窃取企业云凭证，多因素认证缺失成最大安全漏洞

网络安全公司哈德逊岩发现，一个名为“Zestix”的威胁行为体利用RedLine、Lumma等恶意软件，在全球范围内窃取企业员工凭证，并成功入侵了约50家知名组织的文件共享与协作平台（如ShareFile、Nextcloud）。攻击并非利用软件漏洞，而是直接使用从受感染设备日志中窃取的有效用户名和密码登录。其成功的关键原因在于，所有被入侵的组织均未在相关云平台上启用多因素认证（MFA）。

此次大规模入侵事件暴露了企业普遍存在的“凭证卫生”问题。许多被盗凭证已在日志中存放多年，因密码未定期更换、会话未及时注销而持续有效。攻击者无需任何高级漏洞利用技术，仅凭这些过时的密码便“从正门进入”，访问并窃取了大量敏感商业数据。事件为所有企业敲响警钟，凸显了在关键云网关强制执行MFA的极端重要性，这是防御此类简单却高效的凭证填充攻击最基本、最有效的防线。

02

亚美尼亚政府通知系统数据疑遭泄露暗网售卖，公民面临高仿真社会工程攻击风险

亚美尼亚当局正调查一起大规模数据泄露事件，有黑客在犯罪论坛上以2500美元的价格出售据称包含约800万条政府记录的数据库。卖家声称数据来自政府官方通知系统，涉及警方与司法机构的通讯。尽管亚美尼亚官方否认政府邮箱系统被入侵，但初步调查指向“电子民事诉讼”等其他政府平台可能是数据来源。化名“dk0m”的卖家是暗网知名数据经纪人，惯用手法是通过信息窃取器获取政府门户访问权限。

如果数据属实，泄露后果极为严重。包含真实案件编号、罚款信息或执法行动细节的官方数据，为攻击者实施高精准度的社会工程攻击提供了绝佳素材。公民可能收到极具说服力的诈骗信息，因其中引用了真实个人数据而更容易恐慌并遵从指示，导致财产损失或进一步信息泄露。此事件表明，即便是非核心的政府数字平台，一旦安全防护不足，也可能成为危及公民安全的入口。

03

GoBruteforcer僵尸网络利用AI生成配置弱点，暴力破解超5万台Linux服务器

Check Point研究人员发现，升级版GoBruteforcer僵尸网络正积极攻击暴露在互联网上的Linux服务器，通过暴力破解FTP、MySQL等服务弱密码进行入侵。攻击者疑似利用了大量由人工智能生成的服务器部署示例，这些示例普遍传播如“appuser”、“myuser”等常见用户名和“123321”等弱默认密码，使得服务器极易被攻破。被攻陷的服务器会转变为攻击节点，继续扫描感染其他主机。

此次攻击浪潮由两个趋势驱动：一是AI辅助开发在降低部署门槛的同时，也大规模复制了不安全的默认配置；二是大量遗留网络栈（如XAMPP）仍以最小安全配置运行。虽然中小企业和个人项目因常复制粘贴代码片段而风险更高，但任何存在配置错误或暴露测试环境的大型组织同样无法幸免。防御此类攻击不仅需要入侵检测，更需从根本上重视安全的配置实践、严格的凭证管理和持续的暴露面管控。

04

Everest黑客组织宣称入侵日产汽车，窃取900GB数据危及供应链安全

据早期报告，被称为“Everest”的黑客组织声称成功入侵了日本汽车巨头日产汽车，并窃取了约900GB的敏感数据。该组织在地下论坛上分享了据称是泄露数据的样本，以支持其说法。虽然入侵的具体范围和数据的真实性仍在核实中，但如此庞大的数据量暗示攻击者可能广泛访问了日产的内部系统、工程文档或客户信息存储库。此次事件再次凸显了大型制造业企业已成为勒索软件和数据窃取团伙的高价值目标。

此类攻击通常遵循双重勒索模式：窃取数据后，威胁者会以公开数据为要挟勒索赎金。对于日产这样的全球性制造商，泄露的数据可能包含核心技术蓝图、供应链信息、商业合同或员工及客户个人信息，一旦公开将造成巨大的商业损失和声誉危机。事件提醒所有工业企业，必须将保护核心知识产权和运营数据置于网络安全战略的中心，防范旨在窃密而非单纯破坏的高级持续性威胁。

05

Apache Struts 2框架曝高危XXE漏洞，可致敏感数据泄露与服务器瘫痪

安全研究人员在广泛使用的Java Web框架Apache Struts 2中发现一个高危漏洞（CVE-2025-68493）。该漏洞存在于框架核心的XWork组件中，由于对XML配置文件解析不当，未进行有效验证，导致容易受到XML外部实体注入攻击。攻击者通过提交特制的XML文件，可诱骗服务器执行恶意指令，影响范围覆盖Struts 2.0.0至6.1.0的多个版本，包括已停止维护的旧版。

成功利用此漏洞可能引发三重严重风险：一是数据泄露，攻击者可读取服务器上的任意文件；二是拒绝服务攻击，通过耗尽系统资源使应用瘫痪；三是服务器端请求伪造，从而攻击内网其他系统。Apache官方已发布Struts 6.1.1版本修复该漏洞，并强调更新具有向后兼容性。对于无法立即升级的用户，可通过配置自定义解析器或设置JVM参数来禁用外部实体功能作为临时缓解措施。

06

银行木马Astaroth新增WhatsApp蠕虫模块，“熟人”社交链成自动传播渠道

长期活跃的巴西银行木马Astaroth在最新的“粉河豚”攻击活动中，新增了一个基于Python编写的WhatsApp蠕虫模块。攻击始于受害者通过WhatsApp收到恶意ZIP文件，解压运行后，恶意软件不仅会窃取银行凭证，其蠕虫模块还会自动劫持受害者的网页版WhatsApp会话，获取联系人列表并向所有联系人发送同样的恶意文件，实现指数级扩散。

这种传播方式的演变标志着银行恶意软件进入了更危险的阶段。它利用即时通讯工具中天然的熟人信任关系，极大提高了诱骗成功率。同时，该蠕虫模块具备高度自动化特性，能统计发送成功率、计算传播速率，并将窃取的联系人列表上传至攻击者服务器，为后续攻击储备目标。这一案例警示，安全防护必须超越传统的邮件钓鱼范畴，对社交平台中来自“熟人”的可疑文件保持同等甚至更高的警惕。

07

涉勒索软件案俄篮球运动员在俄法换囚中被释放，网络犯罪卷入地缘政治博弈

被美国指控参与勒索软件团伙、并在法国被捕的俄罗斯篮球运动员丹尼尔·卡萨特金，已在俄罗斯与法国之间的囚犯交换中获释，用以换回一名被俄判刑的法国研究员。卡萨特金被美方指控在2020年至2022年间，作为一个未具名勒索软件团伙（疑似Conti）的谈判代表，参与了针对约900个组织的攻击。他于今年6月在巴黎应美国引渡请求被捕。

此次换囚事件凸显了网络犯罪与地缘政治的交织日益紧密。被指控的网络犯罪分子可能成为国家间谈判的筹码，使得跨国司法合作复杂化。尽管法国当局据称事先通知了美国，但此举仍可能对未来的国际网络犯罪执法协作产生影响。事件表明，打击具有国家背景或受地缘政治庇护的网络犯罪团伙，已超出单纯的技术与法律范畴，成为一项涉及国际关系的综合挑战。

08

zlib untgz工具曝严重缓冲区溢出漏洞，命令行参数即可触发内存损坏

在广泛使用的数据压缩库zlib的配套工具untgz（v1.3.1.2）中发现了一个严重的全局缓冲区溢出漏洞。该漏洞源于TGZfname()函数在处理用户通过命令行输入的文件名时，使用了不安全的strcpy()操作，且未对输入长度进行任何检查。攻击者只需提供一个长度超过1024字节的归档文件名作为参数，即可触发溢出，导致内存损坏。

由于溢出发生在程序初期，且影响的是全局内存区域，该漏洞危害显著。攻击者可能利用此漏洞造成程序崩溃（拒绝服务）、破坏相邻的关键内存数据，或在特定条件下实现任意代码执行。漏洞利用复杂度低，无需特殊权限，对任何使用此版本untgz工具处理不可信命令行输入的系统都构成严重威胁。用户应及时检查并更新受影响工具，或避免使用其处理来源不明的归档文件。

09

恶意npm包渗透n8n社区节点生态，窃取开发者高阶OAuth凭证

攻击者通过向npm仓库上传伪装成Google Ads集成工具的恶意软件包，成功渗透了流行工作流自动化平台n8n的社区节点生态系统。该恶意包诱导开发者在n8n编辑器内看似正常的表单中输入其Google Ads的OAuth凭证，随后在后台将这些高权限凭证窃取并发送至攻击者控制的服务器。由于n8n平台集中存储了大量服务的连接凭证，单一点被攻破即可危及整个企业数字生态。

此次供应链攻击利用了开发者对社区贡献内容的信任，以及n8n社区节点拥有与核心平台相近的高权限这一架构特点。研究人员已发现至少8个此类恶意包，其中一个在被下架前周下载量超过3400次。事件警示，在使用高度集成化、支持第三方扩展的自动化平台时，组织必须严格审核社区组件的安全性，优先使用官方节点，并对自动化平台本身的网络出向流量和权限进行严格监控与限制。

10

新型工具ErrTraffic自动化“ClickFix”攻击，伪造网站故障诱骗用户执行恶意命令

一款名为ErrTraffic的新型网络犯罪工具正在地下论坛销售，其功能是将“ClickFix”社会工程攻击完全自动化。攻击者将一行代码植入被黑的网站，当符合条件（如特定国家、操作系统）的访客访问时，网站会动态呈现出文本乱码、字体错误等逼真的“故障”界面，并提示用户通过复制粘贴PowerShell命令等方式“修复”。用户一旦执行，便会下载并运行针对其系统的恶意软件（如Lumma窃密木马、Cerberus银行木马等）。

这种攻击手段极其狡诈，它不依赖漏洞，而是利用用户遇到技术问题时寻求快速解决的心理，诱使其主动绕过安全防护执行恶意代码。ErrTraffic工具宣称转化率高达60%，并支持根据受害者设备类型（Windows、安卓、macOS、Linux）投递不同的恶意载荷。其内置排除独联体国家访问的机制，可能暗示开发者地域背景。这标志着社会工程攻击正在走向专业化、工具化和高精准化，对普通用户的安全意识和警惕性提出了更高要求。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《威胁组织利用信息窃取器窃取企业云凭证，多因素认证缺失成最大安全漏洞》