新闻速览

•马斯克DOGE一获得CISA内部访问权限员工曾“涉黑”

•黑客内讧？Black Basta勒索软件团伙聊天记录被泄露

•试管婴儿巨头Genea确认遭黑客攻击，敏感数据或泄露

•自由开发者注意！虚假招聘广告可能分发恶意软件

•警惕Darcula 3.0威胁，可自动生成任何品牌的钓鱼工具包

•揭秘新型钓鱼攻击: 利用不可见 Unicode掩盖恶意 JavaScript 代码

•Citrix修复NetScaler控制台权限升级漏洞

•赛门铁克修复诊断工具漏洞，防止攻击者提权

热点观察

马斯克DOGE一获得CISA内部访问权限员工曾“涉黑”

亿万富翁埃隆·马斯克DOGE（政府效率部）19岁的员工Edward Coristine最近获得了进入美国网络安全与基础设施安全局(CISA)大楼的物理访问权限，引发了争议。据报道，Coristine曾与黑客团伙有过互动， 而将他安置在CISA意味着他现在被安插到了一个掌握全球网络威胁情报的机构。

据知情人士透露，Coristine登记的是一个国土安全部(DHS)的电子邮件地址，并被目击出现在CISA内部，但尚不清楚他能访问哪些系统。Coristine还和另一名GOGE员工出现在美国国务院的内部名录中。

Coristine曾是马斯克旗下另一家公司Neuralink(脑植入芯片初创公司)的实习生。多家媒体报道，Coristine与网络犯罪团伙有过互动：他曾与网络犯罪集团The Com有联系；曾使用”Rivage”的化名频繁出现在网络犯罪社区；一个与Coristine有关的Telegram账号曾在2022年招募黑客旨在发起DDos攻击。Coristine还曾因向竞争对手泄露公司内部机密而被Path Networks公司解雇。

原文链接：

https://www.nextgov.com/cybersecurity/2025/02/doge-employee-edward-coristine-lands-cisa-dhs-email/403126/

黑客内讧？Black Basta勒索软件团伙聊天记录被泄露

近日，不明身份者ExploitWhispers声称获取了Black Basta勒索软件运营团伙的Matrix 内部聊天记录档案，并将其发布。ExploitWhispers曾将被盗消息上传到MEGA文件共享平台(现已被删除)，现在则将其上传到了一个专门的Telegram频道。

泄露的存档包含了2023年9月18日至2024年9月28日期间，Black Basta内部聊天室的消息记录，包含了大量信息，如钓鱼模板和发送邮件、加密货币地址、数据泄露、受害者凭据，以及之前报道过的策略确认等。泄露的聊天记录还包含367个唯一的ZoomInfo链接，这可能是该期间内该团伙锁定的公司数量。勒索软件团伙通常使用ZoomInfo网站在内部或与受害者谈判时共享目标公司信息。ExploitWhispers还分享了一些Black Basta成员的信息。

Black Basta是一个于2022年4月出现的勒索软件服务(RaaS)运营团伙。根据美国CISA和FBI的一份联合报告，Black Basta的附属机构在2022年4月至2024年5月期间入侵了超过500家组织。目前尚不清楚ExploitWhispers是获取了该团伙内部聊天服务器访问权限的安全研究人员，还是一名心怀不满的内部成员。但根据网络威胁情报公司PRODAFT的说法，这次泄露可能直接源于该勒索软件团伙据称是针对俄罗斯银行的攻击。

原文链接：

https://cybersecuritynews.com/new-zhong-malware-exploit-anydesk-tool/

网络攻击

试管婴儿巨头Genea确认遭黑客攻击，敏感数据或泄露

澳大利亚试管婴儿巨头Genea在2月19日的一份网站声明中证实，该公司遭遇了一个网络安全事件。该事件扰乱了患者服务，并导致潜在的敏感信息被访问。

Genea是澳大利亚三大试管婴儿服务提供商之一，拥有21家诊所。Genea在其网站上表示，它收集患者的高度敏感的健康信息、医疗、护理和科学信息，以及在Genea或其他地方进行的程序和测试。在公开声明中，Genea确认发动此次网络攻击的黑客”访问了Genea的数据”。另据ABC报道，由于此次事件，Genea的MyGenea应用程序被暂时下线，该应用程序允许患者跟踪周期并查看生育数据。

Genea首席执行官Tim Yeoh在一份声明中确认该公司正在”紧急调查”此次网络安全事件，并表示如果调查发现任何个人信息受到影响， Genea将根据法律和监管义务与受影响的个人进行沟通。

原文链接：

https://techcrunch.com/2025/02/19/australian-ivf-giant-genea-confirms-hackers-accessed-data-during-cyberattack/

自由开发者注意！虚假招聘广告可能分发恶意软件

近日，威胁行为者正在发起一场新的针对自由开发者的恶意软件活动，通过欺骗性的工作广告诱使自由开发者下载伪装成合法工具的恶意软件。

该恶意软件主要通过GitHub仓库传播，利用了自由开发者对远程工作机会的渴望。威胁行为者伪装成知名公司，向自由开发者提供诱人的工作机会。为使欺骗更加可信，他们设立了虚假网站，并将恶意软件伪装成专业开发工具进行分发。一旦下载，恶意软件就可能危及受害者系统的安全，允许攻击者窃取凭据或安装额外的恶意载荷。

ESET研究人员将该活动与威胁行为者DeceptiveDevelopment联系起来。专家建议开发者在网上申请自由职业工作时谨慎行事，验证工作机会并调查潜在雇主有助于降低风险。同时，避免从不熟悉的GitHub仓库下载内容，并使用可靠的安全软件保持系统更新。

原文链接：

https://www.infosecurity-magazine.com/news/malicious-ads-target-freelance/

警惕Darcula 3.0威胁，可自动生成任何品牌的钓鱼工具包

研究人员近日发现，钓鱼工具包服务Darcula即将发布其第三个主要版本，其中一个突出的新功能是能够针对任何品牌自动生成定制的钓鱼工具包。

Darcula在2024年利用了2万个域名冒充知名品牌，在100多个国家盗取安卓和iOS用户的凭据。Darcula新版本提供通过有限数量的预制钓鱼工具包，并允许任何人创建自己的定制工具包，消除了目标范围的限制。Darcula使用Puppeteer工具克隆合法网站，复制HTML、CSS、图像和JavaScript，以保持原始设计。威胁行为者可以选择修改哪些元素，用钓鱼页面替换它们，使用自定义错误消息或修改JavaScript以窃取输入数据。Darcula提供了预制的模板，如假的密码重置页面、信用卡支付表单和2FA代码输入提示。一旦配置完成，钓鱼网站就会被打包成一个”.cat-page”包，其中包含攻击所需的所有文件。该工具包随后上传到Darcula管理面板，以实现集中管理、实时数据窃取和性能监控。

Netcraft研究人员通过对Darcula 3.0测试版的实际分析，证实了这些新功能的真实性， 并表示与Darcula相关的Telegram群组已经开始出售预装了多张被盗卡的一次性手机。

原文链接：

https://www.bleepingcomputer.com/news/security/darcula-phaas-can-now-auto-generate-phishing-kits-for-any-brand/

揭秘新型钓鱼攻击: 利用不可见 Unicode掩盖恶意 JavaScript 代码

近日，一种新型的JavaScript混淆技术正在被用于针对美国政治行动委员会附属机构的钓鱼攻击中。该技术利用不可见的Unicode字符(如半宽和全宽韩文字母)来表示二进制值，从而使JavaScript恶意代码在脚本中”隐形”。

该攻击具有以下明显特性：使用个性化的非公开信息锁定受害者；利用调试器断点和时间检查来逃避检测；递归包装的Postmark跟踪链接以隐藏最终的钓鱼目的地。攻击者会将ASCII字符转换为二进制，再用不可见韩文字符替换二进制值，存储为对象属性。一个引导脚本可检索并重建原始代码。此外，攻击者还使用base64编码和反调试检查等手段进一步隐藏恶意代码。这种技术使得恶意代码很难被安全扫描器发现，并且易于实现，不需要高级知识。

研究人员发现，此前与Tycoon 2FA钓鱼工具包相关的域名也在使用这种新技术。预计未来会有更多攻击者采用这种”隐形”混淆方式。

原文链接：

https://www.bleepingcomputer.com/news/security/phishing-attack-hides-javascript-using-invisible-unicode-trick/

安全漏洞

Citrix修复NetScaler控制台权限升级漏洞

Citrix近日发布了安全更新，修复了影响NetScaler控制台(前身为NetScaler ADM)和NetScaler Agent的一个高危安全漏洞（CVE-2024-12284）。该漏洞可能会在特定条件下导致权限升级。

该漏洞源于不当的权限管理，经过身份验证的恶意行为者可能会利用该漏洞在无需额外授权的情况下执行命令。不过，只有具有现有NetScaler控制台访问权限的经过身份验证的用户才能利用此漏洞。

该漏洞影响NetScaler控制台14.1版本低于14.1-38.53、NetScaler控制台13.1版本低于13.1-56.18、NetScaler Agent 14.1版本低于14.1-38.53、NetScaler Agent 13.1版本低于13.1-56.18。Citrix已在NetScaler控制台14.1-38.53及更高版本、NetScaler控制台13.1-56.18及13.1的更高版本、NetScaler Agent 14.1-38.53及更高版本、NetScaler Agent 13.1-56.18及13.1的更高版本中修复了该漏洞。Citrix强烈建议NetScaler控制台和NetScaler Agent的客户尽快安装相关的更新版本。

原文链接：

https://thehackernews.com/2025/02/citrix-releases-security-fix-for.html

赛门铁克修复诊断工具漏洞，防止攻击者提权

近日，博通公司旗下的赛门铁克修复了其诊断工具SymDiag中一个严重的安全漏洞(CVE-2025-0893)。该漏洞可能允许攻击者在受影响的系统上提升权限。

SymDiag是一种用于排查赛门铁克产品(如Web安全服务代理WSS Agent)故障的实用程序。该漏洞源于SymDiag不当的权限管理。攻击者可利用该漏洞，即使只有低权限访问，也能执行任意代码并获得提升的权限，从而绕过安全控制。

该漏洞存在于SymDiag在收集诊断数据时处理进程权限提升的方式，影响SymDiag与WSS Agent交互的系统，成功利用可能导致未经授权访问敏感系统资源、修改安全配置或中断终端保护服务。WSS Agent是赛门铁克安全Web网关(SWG)解决方案的一个组件，用于流量重定向和云安全执行。

该漏洞影响了3.0.79版本之前的SymDiag。赛门铁克已在SymDiag 3.0.79版本中解决了此问题，并通过赛门铁克终端保护管理器(SEPM)自动将其部署到所有受影响的终端。

原文链接：

https://cybersecuritynews.com/symantec-diagnostic-tool-vulnerability/