威胁日报：WhatsApp劫持、MCP泄露、AI侦察、React2Shell漏洞利用及其他15个相关新闻

本周的《威胁日报》追踪了攻击者如何不断改造旧工具，并在熟悉的系统中寻找新的攻击角度。策略上的细微变化正在迅速累积，每一次变化都暗示着下一次重大安全漏洞可能来自何处。

从基础设施的转移到巧妙的社交手段，本周的活动表明，威胁形势已经变得多么瞬息万变。

以下是本周网络世界发生的重大事件的完整概述。

国际诈骗团伙被捣毁
乌克兰打击诈骗呼叫中心
捷克、拉脱维亚、立陶宛和乌克兰当局与欧洲司法组织联合对一个犯罪网络采取了行动。该犯罪网络在第聂伯罗、伊万诺-弗兰科夫斯克和基辅设有呼叫中心，诈骗了欧洲各地400多名受害者，涉案金额超过1000万欧元（约合1170万美元）。欧洲司法组织表示：“该犯罪团伙建立了一个专业组织，其员工可以从每起诈骗案的赃款中抽取一定比例的佣金。诈骗分子使用各种手段，例如冒充警察，利用受害者的银行卡和个人信息取款；或者谎称受害者的银行账户被盗。他们诱骗受害者将大笔资金从‘被盗’的银行账户转移到该犯罪网络控制的‘安全’银行账户。他们还诱骗受害者下载远程访问软件并输入银行信息，从而使该犯罪团伙能够访问和控制受害者的银行账户。”这些呼叫中心雇佣了大约100名员工，他们来自捷克、拉脱维亚、立陶宛和其他国家。这些员工扮演着不同的角色，包括拨打电话、伪造警方和银行的官方证明，以及向受害者收取现金。成功从受害者那里骗取钱财的员工可以获得高达7%的提成，以此鼓励他们继续行骗。该犯罪团伙还承诺，如果员工的诈骗金额超过10万欧元，就会获得现金奖励、汽车或基辅的公寓。2025年12月9日，警方在一次行动中逮捕了12名嫌疑人。当局还缴获了现金、21辆汽车以及各种武器弹药。

英国推动裸露过滤
英国将鼓励苹果和谷歌在手机上安装裸露内容拦截系统
据报道，英国政府将“鼓励”苹果和谷歌限制手机显示裸露图片，除非用户验证其为成年人。英国《金融时报》最新报道称，这项裸露检测措施“目前”并非法律强制要求，但据称是政府打击针对妇女和女童暴力行为战略的一部分。报道称：“英国政府希望科技公司默认屏蔽手机和电脑上的露骨图片，以保护儿童，成年人必须验证年龄才能创建和访问此类内容。” “部长们希望苹果和谷歌等公司在其设备操作系统中加入裸露检测算法，以防止用户在未验证其为成年人的情况下拍摄或分享生殖器照片。”

模块化信息窃取器出现
新圣诞老人窃贼现身
一种名为 SantaStealer 的新型模块化信息窃取程序正在 TelegRAM 和 Lolz 等地下论坛上由俄语用户推广。Rapid7 指出：“该恶意软件会从各种应用程序中收集并窃取敏感文档、凭证、钱包和数据，并旨在完全在内存中运行以规避基于文件的检测。窃取的数据随后会被压缩，分割成 10 MB 的数据块，并通过未加密的 HTTP 协议发送到 C2 服务器。” SantaStealer 使用 14 个独立的数据收集模块，每个模块都在自己的线程中运行并窃取信息。它还使用嵌入式 DLL 来绕过 ChROMe 的应用程序加密保护，并窃取浏览器凭证，包括密码、Cookie 和已保存的信用卡信息。据评估，该恶意软件是 BluelineStealer 的更名版本。其基础套餐每月收费 175 美元，高级套餐每月收费 300 美元。高级套餐允许用户编辑执行延迟，并启用剪贴板功能，将复制到剪贴板的钱包地址替换为攻击者控制的地址，从而重新路由交易。该威胁行为者至少从 2025 年 7 月起就在 Telegram 上活跃。

Bulletproof 主机暴露
深入了解良性前列腺增生症（BPH）服务提供商
Silent Push 在一份针对防弹主机 (BPH) 服务的最新详尽分析报告中指出，利用 BPH 提供商的威胁行为者行动速度远超防御者的反应速度，他们往往能在攻击后数小时内迁移业务、重新注册域名并恢复服务。“如果不了解这些基础设施的转移方向，攻击就无法起到应有的持久性，”Silent Push 表示。 “如果监管压力和执法行动不能协调一致地加大对这些提供商的打击力度，那么防弹主机服务将继续蓬勃发展，而建立在其上的恶意攻击也将如此。”

跟踪C2服务器
DDOSia基础设施分析
对DDOSia多层指挥控制（C2）基础设施 的分析显示，平均任何时候都有6台控制服务器处于活动状态。“然而，这些服务器的寿命通常相对较短，平均只有2.53天，”Censys表示。“我们观察到一些服务器的活动时间超过一周，但大多数情况下，它们的活动时间不到几个小时。”DDOSia是由俄罗斯黑客组织于2022年构建的参与式分布式拒绝服务（DDoS）攻击系统，当时正值俄乌战争初期。该系统由亲俄黑客组织NoName057(16)运营，该组织于今年7月初被查封，但之后又卷土重来。DDoSia的攻击目标主要集中在乌克兰、欧洲盟国和北约国家的政府、军事、交通、公共事业、金融和旅游业等领域。

WhatsApp劫持活动
GhostPairing攻击劫持WhatsApp账号。
攻击者正利用一种新的社交工程技术劫持 WhatsApp 账户。这种名为 GhostPairing 的新型攻击会从被盗账户发送包含 Facebook 式预览链接的消息来诱骗受害者。点击链接后，受害者会被引导到一个模仿 Facebook 查看器的页面，并被要求进行验证才能查看内容。在这个过程中，受害者会被要求扫描一个二维码，该二维码会将攻击者的浏览器与受害者的 WhatsApp 账户关联起来，从而使攻击者获得对受害者账户的未授权访问权限。Gen DigITal 表示：“为了滥用这一流程，攻击者会在自己的浏览器中打开 WhatsApp Web，截取其中显示的二维码，并将其嵌入到伪造的 Facebook 查看器页面中。然后，受害者会被指示打开 WhatsApp，进入‘已关联的设备’，并扫描该二维码以‘查看照片’。” 或者，受害者会被指示在虚假页面上输入他们的手机号码，该号码随后会被转发到 WhatsApp 合法的“通过手机号码关联设备”功能。 WhatsApp 生成配对数字代码后，会将其连同输入代码以确认登录的说明一起转发回虚假页面。这种攻击滥用了平台上的合法设备关联功能，是俄罗斯国家支持的黑客组织今年早些时候用于拦截 Signal 消息的技术的变种。用户可以前往“设置”->“已关联的设备”来检查是否存在任何入侵迹象。

RuTube恶意软件诱饵
RuTube 成为恶意软件传播的途径
有不法分子被发现利用俄罗斯视频分享平台 RuTube 上传视频，宣传 Roblox 的作弊方法，诱骗用户点击链接，最终导致用户感染木马和窃取恶意软件，例如 Salat Stealer。值得注意的是，类似的伎俩在 YouTube 上也屡见不鲜。

传统密码已停用
微软计划弃用 RC4
微软宣布将弃用 Kerberos 中的 RC4（Rivest CIPher 4）加密算法，以加强 windows 身份验证。到 2026 年年中，Windows server 2008 及更高版本上的 Kerberos 密钥分发中心 (KDC) 的域控制器默认设置将更新，仅允许使用 AES-SHA1 加密。RC4 默认将被禁用，仅在域管理员明确配置帐户或 KDC 以使用 RC4 的情况下才会启用。微软表示：“RC4 曾经是兼容性的标配，但它容易受到 Kerberoasting 等攻击，这些攻击可用于窃取凭据并入侵网络。停止使用 RC4 至关重要。” 此前，美国参议员罗恩·怀登 (Ron Wyden )呼吁美国联邦贸易委员会 (FTC) 对微软使用这种过时的加密算法展开调查。

IMSI捕手逮捕
塞尔维亚公布两名涉嫌短信钓鱼攻击的中国公民名单
塞尔维亚警方逮捕了两名中国公民，他们涉嫌在车内安装自制IMSI捕获器，该捕获器可充当虚假移动基站。据称，两人发送钓鱼短信，诱骗人们访问伪装成移动运营商、政府网站和大型企业的钓鱼网站，从而窃取支付卡信息。窃取的卡信息随后被滥用于境外，用于支付商品和服务。被捕人员的姓名尚未公布，但他们被怀疑是某个有组织犯罪团伙的成员。

暴露的人工智能服务器风险
发现约 1000 台暴露的 MCP 服务器
BITsight 的一项最新研究发现，互联网上大约有 1000 台模型上下文协议 (MCP) 服务器未经授权暴露在外，导致敏感数据泄露。其中一些服务器可能允许管理 Kubernetes 集群及其 Pod、访问客户关系管理 (CRM) 工具、发送 WhatsApp 消息，甚至执行远程代码。BITsight表示：“虽然 Anthropic 制定了 MCP 规范，但他们没有义务强制执行每台服务器的授权流程。由于授权是可选的，因此在从演示环境迁移到实际部署时很容易忽略它，从而可能导致敏感工具或数据泄露。许多 MCP 服务器设计用于本地使用，但一旦通过 HTTP 暴露，攻击面就会急剧扩大。” 为了应对这种风险，用户必须确保除非绝对必要，否则不要暴露 MCP 服务器，并实施 OAuth授权保护。此前，信息安全管理公司 Intruder披露，对约 500 万个单页应用程序进行扫描后发现，其代码中泄露了超过 42,000 个令牌。这些令牌涵盖 334 种类型的密钥。

虚假税务诈骗利用远程访问技术
以税务为主题的网络钓鱼活动传播远程访问木马
一项冒充印度所得税部门的网络钓鱼活动被发现，该活动利用与所谓税务违规相关的主题，制造虚假的紧迫感，诱骗用户点击恶意链接。这些链接会部署诸如 LogMeIn Resolve（原名 GoTo Resolve）之类的合法远程访问工具，使攻击者能够未经授权控制受感染的系统。Raven ai 表示：“该活动部署了一个两阶段的恶意软件链，包括一个打包在 ZIP 文件中的基于 shellcode 的远程访问木马 (RAT) 加载器和一个伪装成 GoTo Resolve 更新程序的恶意远程管理可执行文件。传统的安全电子邮件网关防御系统未能检测到这些邮件，因为发件人身份验证正确，附件受密码保护，且内容模仿了真实的政府通信。”

印度中央调查局破获短信诈骗团伙
印度中央调查局捣毁钓鱼短信工厂
印度中央调查局（CBI）表示，他们捣毁了一个大型网络诈骗团伙，该团伙利用该团伙向全国发送钓鱼信息，诱骗民众参与虚假网络逮捕、贷款诈骗和投资诈骗等骗局。在“查克拉行动V”（Operation Chakra V）中，已有三人因涉案被捕。调查发现，一个有组织的网络犯罪团伙在国家首都辖区（NCR）和昌迪加尔地区活动，违反电信部（DoT）的规定，非法获取了约21000张SIM卡。CBI表示：“该团伙向网络犯罪分子提供群发短信服务。调查发现，甚至有外国网络犯罪分子也利用这项服务诈骗印度公民。这些SIM卡通过一个在线平台进行控制，用于发送群发短信。短信中提供虚假贷款、投资机会和其他经济利益，目的是窃取无辜民众的个人和银行信息。”此外，该机构还对17名个人（包括4名外国公民）和58家公司提起诉讼，指控他们参与了一个在印度多个邦活动的跨国网络诈骗团伙。印度中央调查局（CBI）表示：“这些网络犯罪分子采用了一种高度分层且技术驱动的作案手法，涉及使用谷歌广告、群发短信、基于SIM卡盒的即时通讯系统、云基础设施、金融科技平台以及多个洗钱账户。从诱骗受害者到资金的收集和转移，该犯罪团伙的每个环节都经过精心设计，旨在隐藏实际控制者的身份，并逃避执法机构的侦查。”

欧洲的APT网络钓鱼攻击
俄罗斯黑客对波罗的海国家和巴尔干地区进行网络钓鱼攻击。
StrikeReady Labs披露了一起针对德涅斯特河沿岸地区政府机构的网络钓鱼活动详情。该活动通过伪装成德涅斯特河沿岸摩尔达维亚共和国，向其发送带有凭证钓鱼附件的电子邮件。该HTML附件包含一个模糊的诱饵文档，并弹出一个窗口提示受害者输入凭证。输入的信息将被传输到攻击者控制的服务器。据信，该活动至少从2023年就开始了。其他可​​能的攻击目标包括乌克兰、波斯尼亚和黑塞哥维那、马其顿、黑山、西班牙、立陶宛、保加利亚和摩尔多瓦的实体。

虚假验证码会传播恶意软件。
ClickFix 攻击使用手指工具
新一轮ClickFix攻击利用虚假的验证码（CAPTCHA）诱骗用户在windows运行对话框中粘贴内容，从而运行finger.exe工具来获取恶意PowerShell代码。这些攻击已被归因于名为KongTuke和SmartApeSG的攻击集群。finger命令已有数十年历史，用于通过Finger协议在Unix和linux系统上查找本地和远程用户的信息。后来，该命令也被添加到windows系统中。在Point Wild检测到的另一起ClickFix攻击中，虚假的浏览器通知会提示用户点击“如何修复”或复制粘贴PowerShell命令，从而通过恶意HTA文件部署DarkGate恶意软件。

滥用谷歌服务
网络钓鱼攻击滥用谷歌应用集成服务窃取凭证
威胁行为者正在滥用谷歌的应用集成服务，从真实的@google.com地址发送钓鱼邮件，绕过SPF、DKIM和DMARC验证。据xorlab称，这种技术已被广泛用于攻击组织机构，其诱饵极具迷惑性，模仿谷歌账户的新登录提醒，诱骗用户点击可疑链接。该公司表示：“为了逃避检测，攻击者使用多跳重定向链，在多个合法服务之间跳转。每一跳都利用了可信的基础设施——谷歌、微软、AWS——使得攻击难以在任何单一节点被检测或阻止。无论入口点如何，受害者最终都会到达Microsoft 365登录页面，从而暴露了攻击者的主要目标：窃取M365凭据。”

AI驱动的ICS扫描
侦察行动的目标是Modbus设备
Cato Networks表示，他们观察到针对Modbus设备的大规模侦察和攻击尝试，其中包括直接控制太阳能电池板输出的串监控盒。“在这种情况下，攻击者只需连接互联网并使用免费工具，即可发出简单的‘关闭’命令，在晴朗无云的日子里切断电源，”该公司表示。“过去需要时间、耐心和人工技能才能完成的操作，现在可以通过自动化规模化和加速。随着人工智能工具的兴起，攻击者现在可以自动执行侦察和攻击，将执行此类攻击所需的时间从几天缩短到几分钟。”

勒索软件加入攻击浪潮
React2Shell 被用于勒索软件攻击
React2Shell (CVE-2025-55182) 漏洞的影响持续蔓延，多个威胁行为者纷纷利用该漏洞传播各种恶意软件。公开漏洞利用程序和隐蔽后门的激增，与来源和动机各异的攻击相辅相成。网络安全公司 S-RM 披露，该漏洞曾被用作 2025 年 12 月 5 日 Weaxor 勒索软件攻击的初始访问途径。“这标志着与之前报道的漏洞利用方式有所不同，”S-RM表示，“这表明，那些以网络勒索为作案手法的威胁行为者也在成功利用该漏洞，尽管规模要小得多，而且很可能是以自动化方式进行的。” Weaxor 被认为是 Mallox 勒索软件的更名版本。该勒索软件二进制文件在首次访问系统后不到一分钟内就被投放并执行，这表明这很可能是一次自动化攻击活动的一部分。据 Palo Alto Networks 42 号部门称，已有超过 60 家机构受到利用该漏洞的攻击事件的影响。微软表示，他们发现“数百台分布在不同机构的机器”因 React2Shell 漏洞而遭到入侵。

这些案例背后的模式不断重复出现——更快的代码、更巧妙的诱饵，以及从发现到滥用之间更短的停顿。每个案例都为攻击如何在注意力分散时进行调整这一更广泛的图景增添了新的内容。

下周将迎来一系列新的变化，但就目前而言，以下这些信号值得关注。保持敏锐，理清思路，密切关注接下来的变化。