安全简讯（2026.03.11）

1. 攻击者滥用FortiGate防火墙作为网络入侵跳板

3月10日，网络安全研究人员近期监测到针对FortiGate下一代防火墙（NGFW）的新型攻击活动，威胁行为者正利用该设备作为入侵受害者网络的入口点。SentinelOne报告指出，攻击者通过近期披露的漏洞（如CVE-2025-59718、CVE-2025-59719、CVE-2026-24858）或弱凭据入侵设备，窃取包含服务账户凭据和网络拓扑信息的配置文件，目标集中于医疗保健、政府及托管服务提供商等敏感环境。FortiGate设备因集成防火墙安全控制与AD/LDAP等身份验证基础设施访问权限，常被部署于关键网络节点。攻击者入侵后，可创建本地管理员账户（如“support”），设置无区域限制的防火墙策略，实现全网自由遍历。在2025年11月的一起事件中，攻击者通过此类操作建立持久化立足点，并于2026年2月提取加密的LDAP服务账户凭据，解密后使用该凭据对AD进行身份验证，注册恶意工作站，启动网络扫描，最终被检测并阻止横向移动。

https://thehackernews.com/2026/03/fortigate-devices-exploited-to-breach.html

2. 俄语威胁行为者利用BlackSanta EDR杀手攻击HR部门

3月10日，一年多以来，讲俄语的威胁行为者针对人力资源部门发起精心策划的攻击活动，通过鱼叉式网络钓鱼邮件传播伪装成简历的ISO镜像文件。该恶意软件集成社会工程学与先进规避技术，窃取敏感信息并部署名为BlackSanta的新型EDR杀手。攻击链中，ISO文件包含伪装成PDF的LNK快捷方式、PowerShell脚本、图像及ICO文件。LNK启动PowerShell执行脚本，利用隐写术从图像提取数据并在内存运行，随后下载含合法SumatraPDF与恶意DWrite.dll的ZIP包，通过DLL侧加载加载恶意代码。该恶意软件执行系统指纹识别，将信息发送至C2服务器，并检测沙箱、虚拟机或调试工具以规避分析。BlackSanta的核心功能是使端点安全解决方案失效：通过添加Microsoft Defender排除项、修改注册表减少遥测数据提交、抑制Windows通知，并终止安全进程。其通过枚举进程并与防病毒/EDR/SIEM工具列表比对，获取进程ID后使用加载的驱动程序在内核级解锁并终止进程。

https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/

3. BeatBanker伪装成Starlink应用实施攻击

3月10日，卡巴斯基研究人员近日发现针对巴西用户的BeatBanker新型Android恶意软件，该软件通过伪装成Starlink应用诱导用户访问假冒的Google Play商店网站进行安装，集银行木马与门罗币挖矿功能于一体。其最新版本部署了BTMOB RAT通用远程访问木马，具备设备全控、键盘记录、屏幕录制、摄像头访问、GPS跟踪及凭证捕获等能力。BeatBanker以APK文件分发，利用本地库解密隐藏的DEX代码直接加载到内存以规避检测。安装前会进行环境检查，通过后显示伪造的Play商店更新页面，诱骗用户授予安装其他恶意程序的权限。为避免触发警报，该恶意软件会延迟恶意操作，并通过持续播放几乎听不见的5秒中文MP3录音维持持久性。在挖矿方面，BeatBanker使用专为ARM设备编译的XMRig 6.17.0修改版，通过加密TLS连接攻击者控制的矿池进行门罗币挖矿，并支持主地址故障时回退到代理地址。挖矿模块会根据设备状况动态启动或停止，操作人员通过Firebase云消息传递（FCM）持续监控设备电池电量、温度、充电状态及使用情况，在设备使用时停止挖矿以减少物理影响，保持隐蔽性。

https://www.bleepingcomputer.com/news/security/new-beatbanker-android-malware-poses-as-starlink-app-to-hijack-devices/

4. 僵尸ZIP技术：篡改文件头绕安全扫描

3月10日，安全研究员Chris Aziz设计的“僵尸ZIP”技术通过篡改ZIP文件头，将压缩数据伪装成未压缩数据，成功绕过51个杀毒引擎中的50个（VirusTotal测试）。该技术利用防病毒软件对ZIP文件“方法字段”的信任，当方法字段标记为“存储（Method=0）”时，安全工具会直接扫描原始字节，但实际数据是经过DEFLATE压缩的，导致扫描器仅看到“压缩噪声”而无法检测恶意特征码。威胁行为者可创建专用加载器，忽略被篡改的标头，直接以DEFLATE算法解压文件，完美恢复有效载荷。而标准解压工具（如WinRAR、7-Zip）尝试解压时会因文件头错误报错或数据损坏，形成“安全工具误判、解压工具失效”的双重隐蔽效果。CERT/CC建议安全工具供应商需验证压缩方法字段与实际数据一致性，增加归档结构一致性检测，并采用更积极的解压检查模式；用户则需谨慎处理未知来源的压缩文件，若解压时出现“不支持的方法”错误，应立即删除文件。

https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/

5. KadNap僵尸网络利用Kademlia协议感染华硕路由器

3月10日，新型僵尸网络KadNap自2025年8月起已感染14,000台华硕路由器及其他边缘设备，通过自定义Kademlia分布式哈希表（DHT）协议构建点对点网络，连接C2基础设施。该网络近半设备关联华硕专用C2，其余与两个独立控制服务器通信，60%的受感染设备位于美国，台湾、香港、俄罗斯亦占显著比例。感染始于从212.104.141[.]140下载恶意脚本aic.sh，通过每55分钟运行的cron任务建立持久化，最终安装kad ELF二进制文件作为客户端。激活后，恶意软件获取主机外部IP，联系NTP服务器获取时间及系统运行时间，并利用修改后的Kademlia DHT协议定位节点与C2，据分散存储使C2识别与破坏更困难。然而，其Kademlia实现存在缺陷：在到达C2前与两个特定节点持续连接，降低了去中心化程度，使控制基础设施可被识别。

https://www.bleepingcomputer.com/news/security/new-kadnap-botnet-hijacks-asus-routers-to-fuel-cybercrime-proxy-network/

6. Cal AI遭黑客入侵致300万用户数据泄露

3月10日，化名“vibecodelegend”的黑客通过网络犯罪平台BreachForums宣称入侵Cal AI，这是一款利用AI分析食物图片追踪卡路里与营养信息的热门健康应用，并泄露超300万用户的12GB个人数据。Cal AI近期因收购健身应用MyFitnessPal进一步扩大市场份额，而MyFitnessPal在2018年曾因前所有者Under Armour披露遭遇大规模数据泄露，超1.5亿用户信息被窃。据黑客声称，泄露数据涵盖用户出生日期、姓名、性别、用户名、社交媒体资料、PIN码、订阅详情、身高体重等生物特征，以及超280万个电子邮件地址，其中近120万使用Apple私有中继服务@privaterelay.appleid.com以隐藏真实邮箱。此外，数据还包含膳食记录、进餐时间及卡路里追踪等行为信息，可能暴露用户饮食模式与健康习惯。目前，相关数据已在俄语平台及多个Telegram频道流传，引发隐私安全担忧。

https://hackread.com/cal-ai-myfitnesspal-data-breach-3m-users/