2026-02-02 00:20:54 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 近期安全热点聚焦微软Office与FortiCloudSSO零日漏洞在野利用，及GNUInetUtils与SmarterMail严重漏洞遭攻击。此外，VMwarevCenter漏洞被列入KEV，NPM防御失效，Crunchbase与SoundCloud数据泄露，波兰电网遭攻击，TA584利用新恶意软件，eScan更新服务器遭入侵。 综合评分： 85 文章分类： 威胁情报,漏洞预警,恶意软件,数据泄露,供应链安全

cover_image

近期安全热点国家APT 网空动向

原创

ZM ZM

暗镜

2026年2月1日 07:04 北京

1、微软发布补丁修复被积极利用了Office的零日漏洞

微软已发布紧急带外安全更新，以修复已被攻击者利用的高危MicrosoftOffice零日漏洞。

该安全功能绕过漏洞（编号为CVE-2026-21509）会影响多个Office版本，包括MicrosoftOffice2016、MicrosoftOffice2019、MicrosoftOfficeLTSC2021、MicrosoftOfficeLTSC2024和Microsoft365企业应用版（该公司的云订阅服务）。但是，正如今天的公告中所述，MicrosoftOffice2016和2019的安全更新尚未发布，微软表示将尽快发布。虽然预览窗格不是攻击途径，但未经身份验证的本地攻击者仍然可以通过需要用户交互的低复杂度攻击成功利用该漏洞。

微软解释说：“在MicrosoftOffice的安全决策中依赖不受信任的输入，使得未经授权的攻击者能够绕过本地安全功能。攻击者必须向用户发送恶意Office文件，并诱骗他们打开该文件。”

“此次更新修复了一个漏洞，该漏洞绕过了Microsoft365和MicrosoftOffice中的OLE缓解措施，而这些措施旨在保护用户免受易受攻击的COM/OLE控件的侵害。”“使用Office2021及更高版本的客户将通过服务端更改自动受到保护，但需要重新启动Office应用程序才能使更改生效，”声明补充道。尽管Office2016和2019没有立即修复针对攻击的漏洞，但微软提供了一些令人困惑的缓解措施，这些措施可能会“降低攻击的严重性”。其中包括一个已被积极利用的漏洞和两个已公开披露的零日漏洞。本月修复的另一个正在被积极利用的零日漏洞是桌面窗口管理器中的信息泄露漏洞，微软将其标记为“重要严重性”，该漏洞可能允许攻击者读取与远程ALPC端口关联的内存地址。上周，微软还发布了多个Windows紧急更新，以修复1月份“周二补丁日”更新引发的关机和云PC漏洞，以及另一组紧急更新，以解决导致经典Outlook电子邮件客户端冻结或卡顿的问题。

2、黑客利用telnetd身份验证绕过漏洞获取root权限

安全公司已发现有针对GNUInetUtilstelnetd服务器中存在11年之久的严重漏洞的协同攻击活动，该漏洞最近才被披露。

该安全问题编号为CVE-2026-24061，于1月20日报告。该漏洞很容易被利用，并且有多个漏洞利用示例已公开。该漏洞自2015年以来一直存在

开源贡献者SimonJosefsson解释说，GNUInetUtils的telnetd组件存在远程身份验证绕过漏洞，这是由于在生成“/usr/bin/login”时未清理环境变量处理造成的。

该漏洞的产生是因为telnetd会将用户控制的USER环境变量直接传递给login(1)函数，而没有进行任何清理。攻击者可以通过将USER设置为-froot并使用telnet-a命令连接，从而绕过身份验证并获得root权限。

该问题影响GNUInetUtils版本1.9.3（2015年发布）至2.7，并在版本2.8中进行了修复。对于无法升级到安全版本的用户，缓解策略包括禁用telnetd服务或在所有防火墙上阻止TCP端口23。

GNUInetUtils是由GNU项目维护的一系列经典网络客户端和服务器工具（telnet/telnetd、ftp/ftpd、rsh/rshd、ping、traceroute），并在多个Linux发行版中使用。

尽管Telnet是一种不安全的旧式组件，并且已被SSH基本取代，但许多Linux和Unix系统仍然保留它，以兼容其他系统或满足特殊用途的需求。由于其简单易用且开销低，Telnet在工业领域尤其普遍。

在传统设备和嵌入式设备上，它可以无需更新运行超过十年，这解释了它在物联网设备、摄像头、工业传感器和运营技术(OT)网络中的应用。

Zerotak是一家渗透测试和网络安全服务公司，其负责人CristianCornea告诉科技媒体BleepingComputer，在OT/ICS环境中，关键系统很难被替换。

研究人员表示，有时这是不可能的，因为升级会伴随重启操作。“因此，我们仍然会遇到运行Telnet服务器的系统，即使尝试用更安全的协议（例如SSH）替换它们，由于遗留系统仍在运行，这也不可行。”

一些技术用户仍然依赖Telnet来完成某些项目：另一位用户证实，使用telnet连接到早已“停止支持”的旧款Cisco设备也存在同样的SSH问题。

然而，在公共互联网上暴露的、仍然启用Telnet的设备很少，这促使许多研究人员认为CVE-2026-24061漏洞的严重性较低。

威胁监控公司GreyNoise报告称，已检测到利用CVE-2026-24061漏洞对少量易受攻击的终端进行实际攻击活动。

记录于1月21日至22日期间的活动来自18个不同的攻击者IP地址，通过60个Telnet会话发起，所有会话均被认定为100%恶意，共发送了1,525个数据包，总计101.6KB。

这些攻击利用TelnetIAC选项协商机制注入“USER=-f”参数，从而在未经身份验证的情况下授予shell访问权限。GreyNoise表示，大部分攻击活动似乎是自动化的，但也发现了一些“人工操作”的案例。

攻击的终端速度、类型和X11DISPLAY值各不相同，但在83.3%的情况下，它们的目标是“root”用户。

在渗透后阶段，攻击者进行了自动化侦察，并试图持久化SSH密钥和部署Python恶意软件。GreyNoise报告称，由于缺少二进制文件或目录，这些尝试在被观察到的系统中均告失败。

虽然此次攻击活动的范围和成功程度似乎有限，但在攻击者优化其攻击链之前，应按照建议对可能受影响的系统进行修补或加固。

3、CISA将已被积极利用的VMwarevCenter漏洞CVE-2024-37079添加到KEV目录中

美国网络安全和基础设施安全局(CISA)周五将影响BroadcomVMwarevCenterServer的一个严重安全漏洞（该漏洞已于2024年6月修复）添加到其已知利用漏洞(KEV)目录中，理由是该漏洞已被积极利用。

该漏洞为CVE-2024-37079（CVSS评分：9.8），它指的是DCE/RPC协议实现中的堆溢出漏洞，该漏洞可能允许具有vCenterServer网络访问权限的恶意行为者通过发送特制的网络数据包来实现远程代码执行。

该漏洞已于2024年6月由博通公司修复，同时修复的还有CVE-2024-37080，后者是DCE/RPC协议实现中的另一个堆溢出漏洞，可能导致远程代码执行。中国网络安全公司奇安信传奇的研究人员郝铮和李梓波因发现并报告了这些问题而受到赞誉

在2025年4月举行的BlackHatAsia安全大会上，研究人员表示，这两个漏洞是DCE/RPC服务中发现的四个漏洞之一，这四个漏洞还包括三个堆溢出漏洞和一个权限提升漏洞。另外两个漏洞，CVE-2024-38812和CVE-2024-38813，已于2024年9月由博通公司修复。

他们特别发现，其中一个堆溢出漏洞可以与权限提升漏洞（CVE-2024-38813）链接起来，从而实现未经授权的远程root访问，并最终控制ESXi。

目前尚不清楚CVE-2024-37079的利用方式，也不清楚是否为已知威胁行为者或组织所为，以及此类攻击的规模。不过，博通公司已更新其安全公告，正式确认该漏洞已被实际利用。

“博通掌握的信息表明，CVE-2024-37079漏洞已被实际利用，”该公司在最新通报中表示。鉴于该漏洞已被积极利用，联邦民事行政部门(FCEB)各机构必须在2026年2月13日之前更新到最新版本，以获得最佳保护。

4、ClickFix的新型攻击利用HYPER-V脚本推送恶意软件

项新的恶意活动将ClickFix方法与伪造的CAPTCHA和已签名的Microsoft应用程序虚拟化(App-V)脚本相结合，最终目的是传播Amatera信息窃取恶意软件。

有效载荷数据通过LSB隐写术提取，解密后进行GZip解压缩，并在内存中完全执行。最后，PowerShell阶段解密并启动原生shellcode，该shellcode映射并执行Amatera信息窃取程序。

MicrosoftApp-V脚本充当一个利用系统资源运行的二进制文件，它通过受信任的Microsoft组件代理PowerShell的执行，以掩盖恶意活动。

MicrosoftApplicationVirtualization是Windows的一项企业功能，它允许将应用程序打包并在隔离的虚拟环境中运行，而无需实际安装在系统上。

虽然过去曾有人利用App-V脚本来规避安全解决方案，但这是首次在ClickFix攻击中发现此类文件，该攻击会传播信息窃取程序。据提供威胁搜寻、检测和响应服务的公司BlackPointCyber称，该攻击始于一个伪造的CAPTCHA人机验证检查，该检查指示受害者通过Windows运行对话框手动粘贴并执行命令。

粘贴的命令滥用了合法的SyncAppvPublishingServer.vbsApp-V脚本，该脚本通常用于发布和管理虚拟化企业应用程序。

该脚本使用受信任的wscript.exe二进制文件执行，并启动PowerShell。

在初始阶段，该命令会验证用户是否手动执行了该命令，执行顺序是否按预期进行，以及剪贴板内容是否保持不变，以确保恶意软件加载程序不会在沙箱机器上运行。

BlackPointCyber的研究人员表示，如果检测到分析环境，执行过程会悄无声息地无限期暂停，这可能是为了浪费自动化分析资源。

当满足条件时，恶意软件会从包含特定事件中base64编码配置值的公共Google日历文件中检索配置数据。在攻击的后期阶段，通过Windows管理规范(WMI)框架生成一个32位隐藏的PowerShell进程，并将多个嵌入式有效载荷解密并加载到内存中。

感染链随后转向使用隐写术隐藏有效载荷，即将加密的PowerShell有效载荷嵌入到托管在公共CDN上的PNG图像中，并通过解析的WinINetAPI动态检索。

一旦在主机上激活，恶意软件就会连接到硬编码的IP地址以检索端点映射，并等待通过HTTPPOST请求传递的其他二进制有效载荷。

BlackPointCyber将Amatera恶意软件归类为标准的信息窃取程序，它可以从受感染的系统中收集浏览器数据和凭据，但并未详细说明其数据窃取功能。

根据代码重叠情况来看，Amatera源自ACR信息窃取程序，目前仍在积极开发中，并以恶意软件即服务(MaaS)的形式提供。Proofpoint的研究人员在去年的一份报告中指出，Amatera的每次更新都使其变得更加复杂。

Amatera运营商过去曾通过ClickFix方法传播该病毒，诱骗用户直接执行PowerShell命令。

为了防御这些攻击，研究人员建议通过组策略限制对Windows运行对话框的访问，在不需要时删除App-V组件，启用PowerShell日志记录，并监控出站连接是否存在HTTPHost标头或TLSSNI与目标IP之间的不匹配。

5、黑客可以通过Git依赖项绕过npm的Shai-Hulud防御机制

NPM在“Shai-Hulud”供应链攻击后引入的防御机制存在漏洞，威胁行为者可以通过Git依赖项绕过这些机制。

这些漏洞统称为PackageGate，它们存在于JavaScript生态系统中多个用于管理依赖项的实用程序中，例如pnpm、vlt、Bun和NPM。终端和供应链安全公司Koi的研究人员发现了这些问题，并已向供应商报告。他们表示，除NPM外，所有工具都已解决这些问题。NPM则关闭了该报告，声称其行为“符合预期”。

自我传播的Shai-Hulud供应链攻击最初于2025年9月中旬影响了npm，并导致187个软件包被攻破。一个月后，该攻击卷土重来，新一轮攻击了500个软件包，后经评估，此次攻击暴露了超过30,000个自动生成的GitHub存储库中的400,000个开发者机密信息。

针对Shai-Hulud攻击和其他供应链事件（例如“s1ngularity”和“GhostAction”），NPM的运营商GitHub宣布了一项实施额外安全措施的计划，并提出了几项缓解措施。其中包括建议在安装期间禁用生命周期脚本（’–ignore-scripts=true’）以及启用锁定文件完整性和依赖项锁定。

Koi安全研究人员发现，当NPM从Git存储库安装依赖项时，恶意“.npmrc”之类的配置文件可以覆盖git二进制文件路径，即使“–ignore-scripts”标志设置为“true”，也会导致代码完全执行。研究人员警告说：“我们有证据表明，过去曾有演员发布概念验证，滥用这种技术来创建反向外壳”，并强调这个问题不仅仅是理论上的。对于其他JavaScript包管理器，可以通过单独的机制绕过脚本执行安全措施；此外，对于pnpm和vlt，还可以绕过lockfile完整性。Bun在1.3.5版本中修复了影响它的缺陷，pnpm发布了针对CVE-2025-69263和CVE-2025-69264下跟踪的两个缺陷的修复程序。

6、ShinyHunters声称窃取了200万条Crunchbase记录

Crunchbase证实发生数据泄露事件，此前网络犯罪组织ShinyHunters声称从其系统中窃取了超过200万条个人记录。

由于勒索未遂，该组织在其网站上泄露了一个402MB的压缩文件。

该公司表示，运营未受影响，安全漏洞现已得到控制。Crunchbase已通知联邦当局，并正在外部专家的协助下调查此次事件。该公司正在审查泄露的数据，以确定是否需要发出任何法律通知。

Crunchbase告诉SecurityWeek：“Crunchbase检测到一起网络安全事件，有攻击者从我们的企业网络中窃取了某些文件。此次事件并未对任何业务运营造成干扰。我们已经控制了该事件，我们的系统是安全的。”

“检测到该事件后，我们立即聘请了网络安全专家协助处理，并联系了联邦执法部门。Crunchbase已知悉攻击者已在网上发布了某些信息。作为事件响应流程的一部分，我们正在审查受影响的信息，以确定是否需要根据适用的法律要求发布任何通知。”

ShinyHunters组织最近恢复了其Tor数据泄露网站，列出了SoundCloud、Betterment和Crunchbase的数据泄露事件。这两家公司此前均已证实发生数据泄露。

7、利用飞塔FortiCloudSSO零日漏洞的攻击持续在野，亟待补丁发布

飞塔已确认存在一个新的、正在被积极利用的FortiCloud单点登录(SSO)身份验证绕过漏洞，编号为CVE-2026-24858，并表示已通过阻止运行易受攻击固件版本的设备建立FortiCloudSSO连接来缓解零日攻击。

该漏洞允许攻击者滥用FortiCloudSSO来获取对其他客户注册的FortiOS、FortiManager和FortiAnalyzer设备的管理权限，即使这些设备已针对先前披露的漏洞进行了完全修补。

此前，Fortinet客户于1月21日报告称其FortiGate防火墙遭到入侵，攻击者通过FortiCloudSSO在运行最新可用固件的设备上创建新的本地管理员帐户。随后，Fortinet证实了这一消息。

最初人们认为这些攻击是通过绕过CVE-2025-59718的补丁实现的，CVE-2025-59718是一个之前被利用的严重FortiCloudSSO身份验证绕过漏洞，该漏洞已于2025年12月修复。

Fortinet管理员报告称，黑客使用电子邮件地址[email protected]通过FortiCloudSSO登录到FortiGate设备，然后创建新的本地管理员帐户。

受影响客户分享的日志显示了与12月份攻击期间观察到的类似迹象。

1月22日，网络安全公司ArcticWolf证实了这些攻击，并表示攻击似乎是自动化的，攻击者在几秒钟内就创建新的恶意管理员账户和启用VPN的账户，并窃取了防火墙配置。ArcticWolf称，此次攻击与去年12月利用CVE-2025-59718漏洞发起的攻击类似。

1月23日，Fortinet证实，攻击者正在利用即使在完全打过补丁的系统中仍然存在的备用身份验证路径。

Fortinet首席信息安全官CarlWindsor表示，该公司观察到一些运行最新固件的设备遭到入侵，这表明一种新的攻击途径正在被利用。

虽然Fortinet表示目前只在FortiCloudSSO中发现了这种利用漏洞的情况，但它警告说，该问题也适用于其他基于SAML的SSO实现。

“值得注意的是，虽然目前只观察到FortiCloudSSO被利用，但这个问题适用于所有SAMLSSO实现，”Fortinet解释道。

当时，Fortinet建议客户限制对其设备的管理访问权限，并禁用FortiCloudSSO作为缓解措施。

该公告指出，Fortinet已采取措施缓解攻击，同时也在开发补丁程序。

·1月22日，Fortinet停用了被攻击者滥用的FortiCloud帐户。

·1月26日，Fortinet在全球范围内禁用了FortiCloudSSO，以防止进一步滥用。

·1月27日，FortiCloudSSO访问已恢复，但受到限制，因此运行易受攻击固件的设备无法再通过SSO进行身份验证。

Fortinet表示，即使受影响的设备上仍然启用FortiCloudSSO，此服务器端更改也能有效阻止利用，因此在补丁发布之前，客户端无需执行任何操作。

1月27日，Fortinet还发布了一份正式的PSIRT公告，将该漏洞的编号为CVE-2026-24858，并将其评为严重级别，CVSS评分为9.4。

该漏洞为“使用备用路径或通道绕过身份验证”，是由FortiCloudSSO中访问控制不当引起的。根据该公告，如果启用了FortiCloud单点登录，拥有FortiCloud帐户和已注册设备的攻击者可以对其他客户的设备进行身份验证。

虽然FortiCloudSSO默认情况下未启用，但Fortinet表示，当设备在FortiCare注册时，它将自动启用，除非之后手动禁用。Fortinet证实，以下两个恶意FortiCloudSSO帐户已在实际环境中利用了该漏洞，这两个帐户已于1月22日被锁定。

[email protected]

Fortinet表示，一旦设备遭到入侵，他们会下载客户配置文件并创建以下管理员帐户之一：

audit

backup

itadmin

secadmin

support

backupadmin

deploy

remoteadmin

security

svcadmin

system

检测到来自以下IP地址的连接：

104.28.244.115

104.28.212.114

104.28.212.115

104.28.195.105

104.28.195.106

104.28.227.106

104.28.227.105

104.28.244.114

AdditionalIPsobservedbyathirdparty,notFortinet:

37[.]1.209.19

217[.]119.139.50

该公司表示，补丁程序仍在开发中，包括针对FortiOS、FortiManager和FortiAnalyzer的补丁。在此之前，FortiCloudSSO会阻止来自易受攻击设备的登录，因此管理员无需禁用该功能即可防止漏洞利用。然而，Fortinet表示，这可能会被滥用于其他SAMLSSO实现，管理员可能需要暂时使用以下命令禁用SSO功能：Fortinet还表示，他们仍在调查FortiWeb和FortiSwitchManager是否受到该漏洞的影响。该公司警告称，如果客户在其日志中发现上述入侵迹象，则应将自己的设备视为已完全入侵。Fortinet建议检查所有管理员帐户，从已知干净的备份中恢复配置，并轮换所有凭据。

8、超过6000台SmarterMail服务器遭受自动化劫持攻击

非营利安全组织Shadowserver发现超过6,000台SmarterMail服务器暴露在网络上，很可能容易受到利用关键身份验证绕过漏洞的攻击。

网络安全公司watchTowr于1月8日向开发商SmarterTools报告了该安全漏洞，SmarterTools于1月15日发布了修复程序，但没有分配标识符。

该漏洞后来被分配了CVE-2026-23760编号，并被评为严重级别，因为它允许未经身份验证的攻击者劫持管理员帐户并获得主机上的远程代码执行权限，从而使他们能够控制易受攻击的服务器。

根据周四添加到NIST国家漏洞数据库的一份公告，“9511版本之前的SmarterToolsSmarterMail版本在密码重置API中存在身份验证绕过漏洞”。

“强制重置密码端点允许匿名请求，并且在重置系统管理员帐户时不会验证现有密码或重置令牌。未经身份验证的攻击者可以提供目标管理员用户名和新密码来重置帐户，从而导致SmarterMail实例的管理权限完全被攻破。”

watchTowr在发现SmarterMail中另一个严重的预认证漏洞(CVE-2025-52691)两周后，发现了这个身份验证绕过漏洞。该漏洞可能允许攻击者在未打补丁的服务器上获得远程代码执行权限。

周一，Shadowserver透露，它正在追踪超过6000台SmarterMail服务器（北美超过4200台，亚洲近1000台），这些服务器被标记为“可能容易受到”持续的CVE-2026-23760攻击。

Macnica威胁研究员YutakaSejiyama也告诉科技媒体BleepingComputer，他的扫描结果显示，超过8,550个SmarterMail实例仍然容易受到CVE-2026-23760攻击。

watchTowr分享了一个概念验证漏洞利用程序，该程序只需要事先知道管理员帐户的用户名即可利用。watchTowr指出，他们于1月21日收到线报，称该漏洞已被恶意利用。网络安全公司Huntress在第二天证实了他们的报告，并指出恶意攻击表明存在大规模的自动化利用。

周一，CISA将CVE-2026-23760添加到其正在被利用的漏洞列表中，并命令美国政府机构在三周内（即2月16日之前）保护其服务器。

“这类漏洞是恶意网络攻击者常用的攻击途径，对联邦机构构成重大风险，”美国网络安全和基础设施安全局(CISA)警告说。“请按照供应商的说明采取缓解措施，遵循适用于云服务的BOD22-01指南，或者如果无法采取缓解措施，则停止使用该产品。”

昨天，Shadowserver还报告称，在针对GNUInetutilstelnetd服务器中一个关键身份验证绕过安全漏洞的持续攻击中，发现了近80万个具有Telnet指纹的IP地址。

9、SoundCloud数据泄露事件影响2980万个账户

黑客入侵音频流媒体平台SoundCloud的系统后，窃取了超过2980万SoundCloud用户帐户的个人和联系信息。

SoundCloud成立于2007年，是一个以艺术家为中心的平台，现在提供来自全球4000多万位艺术家的超过4亿首歌曲。

12月15日，该公司证实了此次数据泄露事件。此前，大量用户反映无法访问SoundCloud，并通过VPN连接时出现403“禁止访问”错误。SoundCloud当时告诉科技媒体BleepingComputer，在检测到涉及辅助服务仪表板的未经授权的活动后，它已启动了事件响应程序，SoundCloud表示：“我们了解到，一个疑似恶意组织访问了我们持有的部分有限数据。我们已完成对受影响数据的调查，确认没有敏感数据（例如财务数据或密码数据）被访问。涉及的数据仅包括电子邮件地址和已在公开的SoundCloud个人资料中显示的信息。”

虽然SoundCloud没有提供有关该事件的更多细节，但科技媒体BleepingComputer了解到，此次泄露事件影响了20%的SoundCloud用户，根据公开报道的用户数据，大约有2800万个帐户受到影响（SoundCloud后来发布了一份安全通知，证实了科技媒体BleepingComputer的消息来源提供的信息）。

事件发生后，科技媒体BleepingComputer还了解到，ShinyHunters勒索团伙应对此次攻击负责，消息人士称该团伙还试图勒索SoundCloud。SoundCloud在1月15日的更新中证实了这一点，更新中称，这些攻击者“提出了要求，并通过电子邮件大量发送骚扰邮件，骚扰用户、员工和合作伙伴”。

尽管SoundCloud尚未透露有多少用户数据被盗，但数据泄露通知服务HaveIBeenPwned周一披露了此次泄露事件的规模，报道称，此次事件影响了2980万个帐户，这些帐户的电子邮件地址、地理位置、姓名、用户名和个人资料统计数据均被窃取。

“2025年12月，SoundCloud宣布发现其平台上存在未经授权的活动。此次事件使得攻击者能够将公开的SoundCloud个人资料数据映射到其约20%用户的电子邮件地址，”数据泄露通知服务机构HaveIBeenPwned表示。

“受影响的数据包括3000万个唯一的电子邮件地址、姓名、用户名、头像、粉丝数和关注者数，在某些情况下还包括用户的国家/地区。攻击者随后试图勒索SoundCloud，并在次月公开了这些数据。”

10、黑客最初使用sundereBot进行勒索软件攻击后融合其他攻击手段开展后续攻击

TA584的活跃初始访问代理利用TsundereBot和XWorm远程访问木马获取网络访问权限，这可能导致勒索软件攻击。Proofpoint的研究人员自2020年以来一直在跟踪TA584的活动，并表示该威胁行为者最近大幅增加了其行动，引入了持续的攻击链，从而破坏了静态检测。TsundereBot最早由卡巴斯基实验室于去年记录在案，并被归咎于一名讲俄语的操作员，该操作员与123Stealer恶意软件有关联。尽管当时的目标和感染方法仍然不明朗，但Proofpoint表示，“该恶意软件可用于信息收集、数据泄露、横向移动以及安装其他有效载荷。”研究人员指出：“鉴于Proofpoint观察到TA584使用了这种恶意软件，研究人员高度确信TsundereBot恶意软件感染可能导致勒索软件。”

2025年末，TA584的活动量比同年第一季度增长了三倍，并且扩大到北美和英国/爱尔兰的标准目标范围之外，包括德国、欧洲各国和澳大利亚。

目前普遍存在的攻击链始于从数百个被入侵的老旧账户发送的电子邮件，这些电子邮件通过SendGrid和AmazonSimpleEmailService(SES)发送。

这些电子邮件包含针对每个目标的唯一URL、地理围栏和IP过滤，以及重定向链机制，通常涉及Keitaro等第三方流量检测系统(TDS)。

通过筛选的用户将进入CAPTCHA页面，然后进入ClickFix页面，该页面指示目标用户在其系统上运行PowerShell命令。

roofpoint表示，TA584多年来使用了大量的有效载荷，包括Ursnif、LDR4、WarmCookie、XenoRAT、CobaltStrike和DCRAT，其中DCRAT在2025年的一个案例中仍然可见。TsundereBot是一个恶意软件即服务平台，具备后门和加载器功能。它需要Node.js才能运行，该恶意软件会使用其命令和控制面板生成的安装程序将Node.js添加到受害者系统中。

该恶意软件使用EtherHiding技术的变体从以太坊区块链中检索其命令和控制(C2)地址，安装程序中还包含一个硬编码的备用地址。它通过WebSocket与其C2服务器通信，并包含检查系统区域设置的逻辑，如果系统使用的是独联体国家语言（主要是俄语），则中止执行。TsundereBot会收集系统信息以分析受感染的机器，可以执行从C2服务器接收的任意JavaScript代码，并支持将受感染的主机用作SOCKS代理。该恶意软件平台还内置了一个市场，用户可以在该市场买卖僵尸程序。研究人员预计TA584将尝试攻击更广泛的目标，并认为威胁行为者会继续尝试各种有效载荷。

11、波兰电网遭受网络攻击，约30个基础设施受到影响

12月下旬，波兰电网遭到协同攻击，目标是全国多个分布式能源资源(DER)站点，包括热电联产(CHP)设施以及风能和太阳能调度系统。

尽管攻击者破坏了运营技术(OT)系统，损坏了“无法修复的关键设备”，但他们未能中断电力供应，总共损失了1.2吉瓦，占波兰能源供应的5%。

根据公开报道，至少有12个已确认受影响的地点。然而，关键工业基础设施（OT）和控制系统（ICS）安全公司Dragos的研究人员表示，受影响的地点数量约为30个。关键工业基础设施(OT)和控制系统(ICS)安全公司Dragos的研究人员公布了有关此次攻击的更多细节，并表示没有停电并不意味着事件不令人担忧，而应该被视为对分散式能源系统脆弱性的警告。

“任何时候攻击电网都是不负责任的，但在严冬进行攻击则可能对依赖电网的平民造成致命威胁，”德拉戈斯报告写道。

“令人遗憾的是，那些攻击这些系统的人似乎故意选择能够最大限度影响平民人口的时机。”

Dragos以中等程度的信心将此次攻击归因于其追踪的名为Electrum的俄罗斯威胁行为体。尽管Electrum与Sandworm(APT44)有重叠，但研究人员强调，这是一个独立的活动集群。

几天前，ESET发布了一份关于APT44的报告，将其与使用名为DynoWiper的恶意软件对波兰电网发起的失败破坏性攻击联系起来。Dragos将Electrum与其他针对乌克兰网络部署的擦除器联系起来，包括Caddywiper和Industroyer2等电源单元，并指出该威胁组织的行动最近已扩展到更多国家。

Electrum攻击的目标是分布式能源站点的调度和面向电网的通信、远程终端单元(RTU)、网络边缘设备、监控系统和基于Windows的机器等暴露且易受攻击的系统。

根据对其中一个受影响设施的事件响应证据，Dragos指出，攻击者表现出对这些设备的部署和操作方式的深刻了解和理解，反复入侵多个站点的类似RTU和边缘设备配置。

Electrum成功使多个站点的通信设备失效，导致远程监控和控制功能丧失，但这些装置的发电功能却未中断。

某些OT/ICS设备被禁用，其配置已损坏到无法恢复，同时站点上的Windows系统也被擦除。

即使这些袭击成功切断了电力供应，但由于攻击目标范围相对较窄，不足以导致波兰全国范围内的停电。

然而，它们可能导致系统频率严重不稳定。“此类频率偏差已在其他电力系统中引发连锁故障，包括2025年伊比利亚电网崩溃事件，”研究人员表示。

12、eScan确认更新服务器遭到入侵，推送恶意更新

eScan防病毒产品制造商MicroWorldTechnologies已证实，其一个更新服务器遭到入侵，并被用于在本月初向一小部分客户分发未经授权的更新，该更新后来被分析为恶意更新。该文件已于2026年1月20日的两个小时窗口期内交付给从区域更新集群下载更新的客户。eScan表示，受影响的基础设施已被隔离和重建，身份验证凭证已轮换，并且已向受影响的客户提供补救措施.

安全公司Morphisec单独发布了一份技术报告，分析了在客户终端上观察到的恶意活动，并将这些活动与eScan的更新基础设施在同一时间段内提供的更新联系起来。

Morphisec声称于2026年1月20日检测到恶意活动，随后联系了eScan。MicroWorldTechnologies告诉BleepingComputer，该公司对Morphisec声称其是第一个发现或报告该事件的公司的说法提出异议。据eScan称，该公司于1月20日通过监控和客户报告在内部发现了该问题，并在数小时内隔离了受影响的基础设施，并于1月21日发布了安全公告。eScan表示，Morphisec在公开披露该事件后联系了该公司。eScan还反驳了受影响客户对该问题毫不知情的说法，并表示在补救措施最终确定期间，公司已主动通知并直接联系了受影响的客户。

eScan在其公告中将该事件归类为更新基础架构访问事件，并指出未经授权访问区域更新服务器配置允许将未经授权的文件放置在更新分发路径中。

“未经授权访问我们的一个区域更新服务器配置导致一个错误的文件（补丁配置二进制文件/损坏的更新）被放置在更新分发路径中，”MicroWorldTechnologies与BleepingComputer分享的一份公告中写道。

“该文件于2026年1月20日在限定时间内分发给从受影响的服务器集群下载更新的客户。”

该公司强调，该事件与eScan产品本身的漏洞无关。

eScan强调，只有那些从特定区域集群更新软件的用户才会受到影响，而其他所有客户均不受影响。

然而，eScan表示，安装了恶意更新的用户可能会在他们的系统上看到这种现象：

§更新服务故障通知

§修改后的系统hosts文件阻止了与eScan更新服务器的连接

§eScan更新配置文件修改

§无法接收新的安全定义更新

§客户端计算机上的更新不可用弹出窗口

BleepingComputer已联系eScan，询问其系统最初何时遭到入侵，如果收到回复，我们将更新报道。

Morphisec的安全公告称，恶意更新推送了一个修改版的eScan更新组件“Reload.exe”。

Morphisec的公告称：“恶意更新通过eScan的合法更新基础设施进行分发，导致多阶段恶意软件被部署到全球企业和消费者终端。”

虽然修改后的Reload.exe似乎使用了eScan的代码签名证书进行签名，但Windows和VirusTotal都显示该签名无效。

据Morphisec称，Reload.exe文件[VirusTotal]用于启用持久性、执行命令、修改WindowsHOSTS文件以阻止远程更新，以及连接到C2基础架构以下载更多有效载荷。

研究人员表示，他们观察到了以下指挥控制服务器：

hxxps[://]vhs[.]delrosal[.]net/i

hxxps[://]tumama[.]hns[.]to

hxxps[://]blackice[.]sol-domain[.]org

hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts

504e1a42.host.njalla[.]net

185.241.208[.]115

最后部署的有效载荷是一个名为CONSCTLX.exe的文件[VirusTotal]，Morphisec将其用作后门和持久下载器。Morphisec表示，这些恶意文件创建了诸如“CorelDefrag”之类的计划任务以实现持久化。

eScan创建了一个修复更新程序，客户可以运行该程序来执行以下操作：

§自动识别并纠正错误的修改

§重新启用eScan的正常更新功能

§验证恢复成功

§需要重启系统

eScan和Morphisec都建议客户屏蔽上述命令和控制服务器，以提高安全性。

2024年，有报道称朝鲜黑客利用eScan防病毒软件的更新机制，在企业网络中植入后门。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《近期安全热点国家APT 网空动向》