每周网安资讯 （2.25-3.3）|Splunk存在输出编码或转义不恰当漏洞

1、Ghostwriter新行动瞄准白俄反对派与乌克兰政军

SentinelLABS观察到一场针对白俄罗斯反对派活动人士以及乌克兰军事和政府组织的活动，经评估后认为，这组威胁活动是之前公开报告中确定的长期Ghostwriter活动的延伸。自2016年起，Ghostwriter这一长期运行的攻击活动可能就已存在。2024年7-8月开始准备针对白俄罗斯反对派及乌克兰军事和政府组织的攻击活动，2024年11-12月进入活跃阶段，近期该活动仍在进行。

2、恶意PyPI包滥用Deezer凭证进行非法音乐下载

Socket研究人员发现了一个恶意的PyPI包automslc，该包允许从Deezer（一种2007年在法国成立的流行流媒体服务）进行有组织的、未经授权的音乐下载，被下载超过100,000次。它表面上是一个音乐自动化工具，实际却通过嵌入硬编码凭证和与外部C2服务器通信，绕过Deezer的访问限制，进行未经授权的音乐下载。

3、攻击者利用虚假WordPress插件注入垃圾信息影响SEO

2025年2月，攻击者利用虚假的WordPress插件向网站footer注入赌场垃圾信息，影响SEO。攻击者采用多种隐蔽手段，如给插件起一个看似无害的名字并隐藏在WordPress插件目录中，以绕过检测。该插件使用XOR加密、cURL等技术从远程URL获取数据，并将垃圾链接注入受害者网站footer。

4、Lotus Blossom间谍组织使用多种黑客工具攻击多个行业

2012年起，Lotus Blossom间谍组织积极开展网络间谍活动，持续至今。该组织使用Sagerunex及其他黑客工具，针对政府、制造业、电信业和媒体等多个行业进行攻击。他们利用多种技术手段，如在系统注册表中安装Sagerunex后门并将其配置为服务，使用第三方云服务作为C2隧道，以及运用多种黑客工具进行信息窃取和系统控制等。

5、Njrat滥用微软Dev Tunnels进行隐蔽C2通信

安全研究人员发现了一个新的攻击活动，攻击者利用Njrat远程访问木马（RAT）滥用微软面向开发者的Dev Tunnels服务进行隐蔽的命令与控制（C2）通信。该恶意软件以往与凭证窃取和基于USB的传播有关，现在利用微软的基础设施，通过伪装成合法的开发者活动来规避传统网络防御。恶意软件通过HTTP POST请求将系统元数据传输到C2服务器，其USB传播模块进一步使其能够在隔离环境中横向移动。