新闻速览

•韩国称DeepSeek与字节跳动共享数据？我外交部回应•仿冒 DeepSeek 官方App的手机木马病毒被捕获

•报告显示：网络攻击者越来越依赖可信服务

•美国国防部一承包商和一大型金融机构虚拟专用网络疑被攻破

•两人狂赚5.77亿美元后被指控诈骗罪，加密货币庞氏骗局曝光

•当心假冒Outlook故障排除电话骗局，防范勒索软件入侵

•新型恶意软件滥用微软Graph API传播恶意软件

•新型Golang后门来袭，利用Telegram进行C2通信

•施乐打印机漏洞曝光，攻击者可窃取LDAP和SMB认证数据

特别关注

韩国称DeepSeek与字节跳动共享数据？我外交部回应

2月18日，在外交部发言人郭嘉昆主持例行记者会上，西班牙埃菲社记者提问，韩国方面今天表示，DeepSeek会搜集用户信息与另一家中国公司字节跳动共享。中方对此有何回应？

郭嘉昆表示：“关于你提到的涉及企业的具体问题，请向企业或主管部门进行了解。我想强调的是，中国政府高度重视并依法保护数据隐私和安全。”

此前，参考消息援引韩联社2月17日报道，韩国政府17日表示，出于对中国人工智能应用程序DeepSeek的担忧，已暂停这款应用程序的下载。韩国个人信息保护委员会表示，该服务已于15日18时暂停，并将在根据韩国个人信息保护法规进行“改进和修补”后恢复。此前，韩国多个政府部门和机构内部阻止了对DeepSeek服务的访问。

对此，中国外交部发言人郭嘉昆17日在例行记者会上回答记者提问时表示：“具体问题请向中方主管部门询问，我要强调的是，中国政府一贯要求中国企业在严格遵守当地法律法规的基础上开展海外运营。我们也希望有关国家避免采取将经贸科技问题泛安全化、政治化的做法。”

原文链接：
https://mp.weixin.qq.com/s/G7_1b3N3Vu7f3A1bzj-wYg

热点观察

仿冒 DeepSeek 官方App的手机木马病毒被捕获

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（virus.cverc.org.cn）在我国境内捕获发现针对我国用户的仿冒我国国产人工智能大模型“DeepSeek”官方APP的安卓平台手机木马病毒。

用户一旦点击运行仿冒APP，该APP会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。

同时，该恶意APP还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析，该恶意APP为金融盗窃类手机木马病毒的新变种。

国家计算机病毒应急处理中心提醒，DeepSeek的流行现象被网络犯罪分子所利用。除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外，国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”、“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件，由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序，因此相关文件均为仿冒程序。

原文链接：

https://thehackernews.com/2025/02/new-golang-based-backdoor-uses-telegram.html

报告显示：网络攻击者越来越依赖可信服务

研究人员近日警告，网络威胁越来越多地将合法服务纳入其攻击链中。电子邮件安全平台Mimecast在最新的威胁情报报告中指出，2024年下半年，“生存于可信服务”(LOTS)攻击日益增长，因为攻击者越来越多地将合法IT工具纳入其攻击手法，以避免被检测。

Mimecast表示，大量这类威胁利用主要云服务提供商进行各种攻击，但也利用其他云服务的单个方面用于攻击链的特定部分。报告警告，微软、谷歌和Evernote的云服务通常被用于托管威胁者的攻击载荷和登陆页面；随着这些大型提供商努力根除对其平台的滥用，攻击者已被观察到使用Airtable、Publuu和Wave Compliance等小型服务提供商的服务。

原文链接：

https://www.itpro.com/security/cyber-crime/threat-actors-are-leaning-on-trusted-services-more-than-ever

网络攻击

美国国防部一承包商和一大型金融机构虚拟专用网络疑被攻破

近日，自称Miyako的黑客组织在暗网出售与美国国防部(DoD)一家专门从事电磁脉冲(EMP)防御系统的承包商，以及一家管理13亿美元资产的美国投资公司相关网络的未经授权的虚拟专用网络访问权限。这起疑似入侵事件引发了人们对国防和金融机构所依赖的加密网络协议的抗风险能力的强烈质疑。

该国防部承包商支持旨在保护基础设施免受EMP攻击(能够破坏电子网格和通信网络的高能量脉冲)的军事系统，而投资公司则因管理巨额资产，成为高价值目标。据报道，虚拟专用网络通过建立加密隧道来实现安全数据传输，是现代远程访问架构的支柱。Miyako的漏洞利用针对使用OpenVPN、IPSec和WireGuard协议的虚拟专用网络配置，利用认证机制中的零日漏洞或错误配置。此类缺陷可能允许攻击者绕过多因素身份验证(MFA)保护措施，并获得对敏感网络的持久访问权限，包括存储受控的非密级信息(CUI)和专有金融数据的网络。

一旦虚拟专用网络被入侵，就可能导致数据外泄、勒索软件部署或对交易系统进行隐蔽监视。这正是网络安全成熟度模型认证(CMMC)等监管框架旨在通过严格的访问控制和网络分段来缓解的威胁。

原文链接：

Cyber Threat Targets Pentagon Contractor and Major Financial Institution

两人狂赚5.77亿美元后被指控诈骗罪，加密货币庞氏骗局曝光

近日，爱沙尼亚公民谢尔盖·波塔彭科和伊万·图罗金对与他们运营的加密货币挖矿服务HashFlare有关的指控认罪，承认参与策划一起大规模加密货币庞氏骗局，欺骗了包括全球数十万投资者。

2015年至2019年间，波塔彭科和图罗金运营HashFlare，向客户出售承诺分享该服务挖矿所得加密货币的合约。事实上，加密货币挖矿是他们欺诈行为的幌子，他们伪造了显示在HashFlare基于网络的仪表板上的数据，误导客户相信他们正在从投资中获利。塔彭科和图罗金将超过5.77亿美元的收益转移到豪华资产上，购买房地产、豪华汽车，并维持各种加密货币和投资账户。

根据美国法律，他们每人可能面临最高20年监禁。作为认罪协议的一部分，被告承诺没收价值超过4亿美元的资产，这标志着执法部门在打击日益严重的加密货币欺诈威胁方面取得重大胜利。

原文链接：

https://thecyberexpress.com/cryptocurrency-fraud-two-estonians/

当心假冒Outlook故障排除电话骗局，防范勒索软件入侵

近期出现了一种精心策划的网络威胁，针对的是毫无戒心的用户，以假冒Outlook故障排除电话的方式，在受害者系统中部署勒索软件。

德国电信CERT的网络安全研究人员指出，骗局始于自称来自微软或其他知名科技公司的人员打来电话，声称用户的Outlook账户出现问题，并主动提供故障排除服务。一旦用户允许访问计算机，攻击者就会下载并安装CITFIX#37.exe恶意二进制文件。该恶意软件的SHA256哈希值为247e6a648bb22d35095ba02ef4af8cfe0a4cdfa25271117414ff2e3a21021886，尽管经过签名，但并未得到微软的认证，而是使用了Cascade Tech-Trek Inc.、AM MISBAH Tech Inc.和KouisMoa MegaByte Information Technology Co.，Ltd.等恶意代码签名者。一旦安装，该恶意软件可能部署勒索软件，加密用户的文件，并要求支付赎金以换取解密密钥。

为了保护自己免受假冒Outlook故障排除骗局的侵害，安全专家提醒用户请务必验证来电者身份，因为像微软这样的合法公司不会主动联系你解决问题，同时谨慎授予远程访问权限。

原文链接：

https://cybersecuritynews.com/beware-of-fake-outlook-troubleshooting-calls/

新型恶意软件滥用微软Graph API传播恶意软件

近日，研究人员发现一种新型的数据窃取恶意软件家族利用微软Outlook作为通信渠道，滥用Graph API，并规避哈希密码，给安全主管带来了新的挑战。

Elastic Security的研究人员揭示，该恶意软件由一个未命名的黑客组织所创建，曾针对一个南美国家的外交部门，还与东南亚地区一所大学和电信公司的系统入侵事件有关联。该黑客组织采用了”生存于土地”(Living off the Land)的策略，包括滥用Windows的certutil应用程序下载文件。

该恶意软件有Windows和Linux两个版本，主要组件包括:

• Pathloade：一种轻量级Windows可执行文件，用于从远程服务器下载和执行加密的shellcode，采用技术规避沙箱立即执行；
• FinalDraf：用C++编写的64位恶意软件，侧重于数据渗透和进程注入。它能收集受感染系统的详细信息，并具有类似Mimikatz的通行哈希工具包来处理窃取的NTLM哈希。该恶意软件能捕获Graph API令牌，FinalDraft可通过Outlook邮件服务和Microsoft Graph API进行通信，后者允许开发者访问微软云服务资源。此外，FinalDraft能安装TCP监听器、删除文件并覆盖数据防止恢复等。

原文链接：

https://www.csoonline.com/article/3826217/new-family-of-data-stealing-malware-leverages-microsoft-outlook.html

新型Golang后门来袭，利用Telegram进行C2通信

近日，Netskope Threat Labs发现了一种新的基于Golang的后门程序，利用Telegram进行C2通信。这款恶意软件虽然还处于开发阶段，但已经具备了基本功能，并利用云应用来逃避检测。

该恶意软件在执行时会将自身复制到”C:\Windows\Temp\svchost.exe”，然后启动一个新的副本，再终止原有进程。它使用开源的Go包连接到Telegram，创建一个bot实例，检索更新并监听命令。

该恶意软件支持四种不同的命令，但实际上只实现了其中三种。”/cmd”命令是唯一需要两条聊天消息的命令，第一条消息是命令本身，第二条消息是要执行的PowerShell命令。恶意软件会等待来自Telegram的PowerShell命令并执行它，还可以重新启动自身、发送虚假的截图消息，以及通过删除自身文件和终止进程来自毁。

Netskope的报告指出，攻击者意识到使用云应用给防御者带来了复杂的挑战，设置和使用应用程序的便捷性是攻击者在不同攻击阶段使用Telegram等应用的原因。

原文链接：

New Golang-based backdoor relies on Telegram for C2 communication

安全漏洞

施乐打印机漏洞曝光，攻击者可窃取LDAP和SMB认证数据

近日，施乐企业级多功能打印机VersalinkC7025被发现存在多个漏洞，使攻击者能够拦截来自轻量级目录访问协议(LDAP)和服务器消息块(SMB)服务的认证凭据，影响施乐广泛部署的企业打印机固件版本57.69.91及更早版本。

这些被指定为CVE-2024-12510和CVE-2024-12511的漏洞，允许恶意行为者执行”传递回攻击” ：

• LDAP传递回攻击漏洞(CVE-2024-12510)使得获得打印机网页界面管理权限的攻击者，能够将LDAP服务器IP地址重新配置为恶意主机。一旦修改，任何通过打印机的”用户映射”功能发起的LDAP认证尝试，都会将明文凭据传输至攻击者服务器。
• SMB/FTP凭据拦截漏洞(CVE-2024-12511)  针对打印机的”扫描到网络”功能。攻击者修改设备地址簿中的SMB/FTP服务器条目，可将文件扫描重定向到恶意主机，从而捕获使用SMB时的NetNTLMv2哈希值，可用于对Active Directory进行中继攻击。研究人员的测试显示，当打印机使用特权服务账户进行”扫描到文件夹”工作流时，成功获取域管理员账户。

目前，施乐发布了修补固件(版本57.69.92+)以解决这两个漏洞。

原文链接：

https://cybersecuritynews.com/xerox-printers-vulnerability-ldap-smb/