2026-03-12 22:59:10 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周安全快报汇总八起安全事件：东南亚关键基础设施遭CL-UNK-1068组织攻击，伊朗MuddyWater与俄罗斯APT28针对美乌进行间谍活动，巴基斯坦APT36利用AI恶意软件攻击印度。ShinyHunters窃取400家公司Salesforce数据，俄罗斯黑客劫持Signal和WhatsApp账户，美国出现冒充社保局的钓鱼木马，爱立信美国分公司发生数据泄露。报告揭示APT攻击、数据泄露及社会工程学威胁严峻，建议关注相关风险。 综合评分： 68 文章分类： 威胁情报,安全大事件,恶意软件,数据泄露,社会工程学

cover_image

安全快报 | 东南亚多国关键基础设施行业组织遭CL-UNK-1068黑客组织使用恶意软件入侵

天懋信息

2026年3月12日 09:30 广东

本周安全事件速览

03月05日-03月11日

东南亚多国关键基础设施行业组织遭CL-UNK-1068黑客组织使用恶意软件入侵

简要介绍

位于南亚、东南亚和东亚多国关键基础设施行业组织已成为黑客行动新攻击目标，该活动主要针对航空、能源、政府、执法、制药、科技和电信行业，帕洛阿尔托网络第42单位将其归因于黑客组织CL-UNK-1068，其中“CL”代表“集群”，“UNK”代表未知动机。据悉，这套工具涵盖了自定义恶意软件、修改过的开源工具以及离地生活二进制文件（LOLBINs），这些为攻击者提供了一种在目标环境中持续存在的简单有效的方式。这些工具设计目标是Windows和Linux环境，攻击者依赖开源工具和恶意软件家族，如哥斯拉、ANTSWORD、Xnote和快速反向代理（FRP）。CL-UNK-1068组织主要使用开源工具、社区共享恶意软件和批量处理脚本，成功维持了隐秘行动，同时渗透进关键组织。

文章来源：The Hacker News

与伊朗政府结盟的黑客组织利用新型Dindoor后门持续收集美国政府和私营部门情报数据

简要介绍

威胁猎人团队的网络安全研究人员表示，一个伊朗网络间谍组织在今年早些时候开始的攻势中入侵了多个美国组织。该活动与MuddyWater有关，后者是一个与伊朗结盟的高级可持续威胁组织，据信隶属于该国情报与安全部。这些黑客以网络间谍行动闻名，专注于持续访问网络并收集政府和私营部门的敏感数据。调查人员表示，该组织成功在多个环境中建立了立足点，包括银行、航空以及以色列的公司。在多个案例中，攻击者在企业网络中保持隐蔽的持续存在，使他们能够收集情报并逐步深入系统。一旦进入网络，会部署名为Dindoor的定制后门，使他们能够与被攻破的系统通信并远程下达命令。该恶意软件设计为与合法流量合并，帮助攻击者在避免被发现的同时保持长期访问权限。

文章来源：Hack Read

俄罗斯官方支持的APT28黑客组织植入BEARDSHELL和COVENANT恶意软件持续监视乌克兰军方人员

简要介绍

俄罗斯国家支持的黑客组织APT28被观察到使用名为BEARDSHELL和COVENANT的一对植入物，针对乌克兰军方人员开展长期监控。ESET在一份与《黑客新闻》分享的新报告中表示，这两个恶意软件家族自2024年4月起已被使用。APT28隶属于俄罗斯联邦军事情报机构GRU的26165部队，也被称为蓝色雅典娜、蓝色三角洲、花式熊、战斗熊、森林暴风雪、冰湖、铁暮光、ITG05、兵风暴、塞德尼特、索法西和TA422。该黑客组织的恶意软件武器库包括BEARDSHELL和COVENANT等工具，以及另一个代号SLIMAGENT的程序，能够记录键盘输入、截图和收集剪贴板数据。SLIMAGENT首次公开记录于2025年6月，由乌克兰计算机应急响应小组（CERT-UA）公开发布。SLIMAGENT的间谍日志以HTML格式发布，应用程序名称、记录的按键和窗口名称分别以蓝色、红色和绿色表示。

文章来源：The Hacker News

与巴基斯坦关联的APT36通过使用AI生成的小众软件以规避印度政府传统杀毒防御

简要介绍

一家总部位于巴基斯坦的黑客组织正在向印度政府网络大量传播一种新型一次性恶意软件，这是一波平庸的AI生成代码Vibeware，旨在通过庞大的数量淹没安全系统。根据Bitdefender最新研究，发起攻击的组织APT36（或称Transparent Tribe）已从传统工具转向利用人工智能快速开发Nim、Zig和Crystal等小众编程语言的软件，以规避传统杀毒软件。我们通常信任桌面图标，但APT36正在利用这种信任，修改Google Chrome和Microsoft Edge的快捷方式。当官方点击浏览器时，他们会悄无声息地启动一个后台间谍，这通常始于一个假简历PDF，诱导用户点击“下载”按钮从而安装病毒。这种每日恶意软件策略针对印度政府及其外交使团。这是一种分布式拒绝检测，目标是简单地消耗防御方的精力。

文章来源：Hack Read

400家公司Salesforce敏感数据因安全漏洞遭ShinyHunters黑客组织窃取

简要介绍

臭名昭著的黑客组织ShinyHunters已向大约400家公司发出最终警告，声称已成功入侵其网络并窃取数据记录。该组织威胁若不满足敲诈要求，将泄露这些敏感信息到互联网。根据之前的研究公司Mandiant的说法，黑客专门针对使用Salesforce Experience Cloud构建的网站，该工具是企业常用来创建公共门户和帮助中心的工具。Salesforce提供了访客用户档案，方便随机访客无需登录即可查看基本信息。然而，如果公司的设置过于开放，实际上会留下安全漏洞。调查显示，黑客使用了一个名为Aura Inspector的改良版工具来扫描网络，发现这些漏洞。一旦进入，他们就能提取出姓名和电话号码等数据，这些信息已被用于虚拟攻击（也就是语音钓鱼，黑客会打电话给员工，诱使他们泄露更多企业机密）。

文章来源：Hack Read

荷兰情报机构警告称俄罗斯黑客将大规模劫持Signal和WhatsApp用户以窃取账户信息

简要介绍

荷兰最高情报机构荷兰总情报局（AIVD）和荷兰军事情报与安全局（MIVD）警告称，俄罗斯国家黑客正在发动大规模全球行动，将劫持Signal或WhatsApp账户。根据荷兰情报部门的警报，黑客冒充Signal客服聊天机器人，向政府官员、士兵或记者等目标发送信息称账户存在问题，然后要求用户发送六位数验证码以修复。一旦验证码被共享，黑客就可以将账户转移到自己的设备上。据报道，他们还滥用了“关联设备”功能，这正是用户用来查看桌面聊天记录的工具，黑客只需诱骗某人绑定新设备，就能阅读每一条私密消息或群聊，而拥有者从未收到任何警报。据悉，Signal长期以来一直是隐私保护的黄金标准，因其加密端到端的消息，且由于人们高度信任它，它已成为官员讨论敏感工作的首选场所。

文章来源：Hack Read

美国境内出现一种利用社会保障局名义发送诈骗邮件的新型木马入侵手法

简要介绍

美国一种新型诈骗手法利用社会保障局的名义欺骗成千上万毫无防备的用户。这种骗局通过发送看起来像官方政府通知的邮件来运作，这些信息使用带有“紧急”类型标题以吸引用户注意，如“重要披露”或“重要监管信息”。虽然发件人姓名可能写着社会保障局，但调查显示这些邮件实际上并非来自合法的政府域名。邮件通常包含一个链接或文件，看起来像标准的PDF陈述。然而，研究人员指出这不是普通文档，文件使用了一个名为Datto RMM的工具。通常，远程监控与管理（RMM）是IT专家远程修复计算机的有用工具，但在这里它被变成了一种武器，如果用户点击链接查看文档可能会安装远程访问木马（RAT）。一旦获得访问权限，他们就能监控用户的行为并窃取私人数据。

文章来源：Hack Read

瑞典电信巨头爱立信美国分公司服务提供商遭黑客攻击导致数据泄露

简要介绍

瑞典电信巨头爱立信美国分公司披露了一起数据泄露事件，原因是服务提供商遭到黑客攻击。此次攻击泄露了若干员工和客户的个人信息。爱立信是一家瑞典跨国网络和电信公司，提供移动和固定网络基础设施、软件及服务。它通过5G、物联网和云解决方案支持全球电信运营商，实现连接、数字化转型和先进通信技术。2025年4月17日至22日期间，爱立信美国分公司的一家服务提供商遭遇了对某些文件的潜在未经授权访问。泄露后，服务提供商通知了联邦调查局，并在网络安全专家的协助下开始调查此事件。调查发现部分数据被泄露，但迄今未发现滥用。事件发生后该公司通知了联邦调查局，目前，没有任何勒索软件组织宣称对此次泄露负责。

文章来源：Security Affairs

往期回顾：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天懋信息《安全快报 | 东南亚多国关键基础设施行业组织遭CL-UNK-1068黑客组织使用恶意软件入侵》