1、Glassworm恶意软件利用VS Code插件传播 https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-in-third-wave-of-malicious-vs-code-packages/ Glassworm恶意软件通过恶意VS Code插件实施攻击。该恶意软件再度活跃，利用开发者常用的VS Code，通过伪装成正常插件诱导开发者下载。该恶意软件会部署SOCKS代理，并安装HVNC客户端，以便攻击者能够隐蔽地进行远程访问。 2、新型Mirai变种ShadowV2在AWS中断期间测试物联网漏洞利用 https://securityaffairs.com/185135/malware/new-mirai-variant-shadowv2-tests-iot-exploits-amid-aws-disruption.html 2025年10月下旬AWS服务中断期间，FortiGuard Labs发现新型Mirai变种ShadowV2针对IoT设备发起攻击，疑为后续攻击测试。该恶意软件利用D-Link、TP-Link等厂商设备漏洞，从81.88.18.108下载脚本适配多架构设备，支持多种DDoS攻击，影响全球多国家及科技、零售等多行业。 3、Android TV SmartTube应用遭入侵推送恶意更新 https://www.bleepingcomputer.com/news/security/smarttube-youtube-app-for-android-tv-breached-to-push-malicious-update/ Android TV开源YouTube客户端SmartTube在攻击者获取开发者签名密钥后遭到入侵，导致恶意更新被推送给用户。攻击者通过入侵该应用相关渠道，意图推送恶意更新，该恶意程序在后台静默运行，无需用户交互，即可识别主机设备，将其注册到远程后端，并通过加密通信通道定期发送指标并检索配。。 4、韩电商平台Coupang遭大规模数据泄露近3400万用户受影响 https://thecyberexpress.com/coupang-data-breach/ 韩国电商巨头Coupang确认发生大规模数据泄露，近3370万用户的个人信息遭到泄露，成为近年来韩国最大的网络安全事件之一。该公司承认此次数据泄露源于未经授权的访问，而这种访问可能已持续数月之久。泄露信息含姓名、电话、邮箱、收货地址及部分订单记录，无支付或登录凭证。 5、安卓紧急安全警报：框架组件严重漏洞及两个遭利用的0Day需立即修补 https://securityonline.info/android-emergency-critical-dos-flaw-and-2-exploited-zero-days-in-framework-require-immediate-patch/ 谷歌发布Android安全公告，披露两个正被利用的0Day漏洞（CVE-2025-48633、CVE-2025-48572）和一个关键远程DoS漏洞（CVE-2025-48631），以及多个内核级高危漏洞。安全补丁分两阶段推送，涵盖核心组件和硬件特定修复，建议用户尽快升级至2025-12-05补丁级别。 6、启动过程遭入侵：高通骁龙8Gen3及5G调制解调器曝出高危漏洞 https://securityonline.info/boot-process-compromised-critical-flaw-cve-2025-47372-hits-snapdragon-8-gen-3-5g-modems/ 高通发布2025年12月安全更新，修复11个漏洞，包括启动过程高危漏洞CVE-2025-47372（CVSS 9.0）及影响音频、摄像头、汽车系统的关键问题，涉及骁龙8 Gen 3等多款芯片，敦促OEM立即部署补丁。 7、微软确认新版 Outlook 存在阻止 Excel 附件打开的新漏洞 https://cybersecuritynews.com/microsoft-new-outlook-bug/ 微软确认新版Outlook存在Excel附件文件名含非ASCII字符时无法打开的故障，已开发修复程序但尚未全面推送，建议用户临时使用网页版或下载本地文件解决。 8、Apache Struts 框架DoS漏洞可能导致磁盘耗尽 https://securityonline.info/cve-2025-64775-apache-struts-file-leak-vulnerability-threatens-disk-exhaustion/ Apache Struts框架曝DoS漏洞（CVE-2025-64775），攻击者通过multipart请求耗尽磁盘空间导致服务瘫痪，影响2.0.0-6.7.0和7.0.0-7.0.3版本，建议升级至6.8.0或7.1.1修复。 9、430万Chrome与Edge用户遭ShadyPanda恶意软件七年攻击 https://cybersecuritynews.com/4-3-million-chrome-and-edge-users-hacked/ 高级威胁组织"ShadyPanda"利用浏览器扩展程序信任机制，七年内感染430万用户，通过静默更新植入RCE后门，窃取浏览历史、搜索记录等敏感数据，暴露浏览器安全模型静态信任缺陷。 10、恶意VS Code扩展伪装图标主题攻击Windows与macOS用户 https://cybersecuritynews.com/malicious-vs-code-extension-as-icon-theme/ 恶意VS Code扩展伪装成图标主题，内含Rust后门程序，通过官方市场分发，可连接远程服务器获取指令，利用Solana区块链钱包和Google Calendar事件传递加密载荷，攻击Windows和macOS用户。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Tomiris团伙使用公共服务作为C2攻击多国政府 https://thehackernews.com/2025/12/tomiris-shifts-to-public-service.html 近期，研究人员发现Tomiris黑客团伙针对俄罗斯及中亚多国政府、国际组织等进行攻击，其战术转向利用Telegram、Discord等公共服务作为隐蔽C2服务器。通过含加密RAR文件的钓鱼邮件传播，文件伪装成Word文档，释放反向shell、自定义植入等恶意程序，可收集系统信息、持久化驻留并下载后续工具。 2、安卓恶意软件Albiriox攻击400多个应用程序 https://thehackernews.com/2025/12/new-albiriox-maas-malware-targets-400.html 近期，研究人员发现新的安卓恶意软件Albiriox，以 “恶意软件即服务（MaaS）”模式运作，针对400+金融类应用程序实施设备端欺诈与屏幕控制。疑为俄语使用者的攻击者，通过社会工程诱饵、仿冒谷歌商店页面传播dropper APK，还借Golden Crypt服务规避安全检测。该恶意程序用未加密TCP作C2，支持VNC远程控制，利用无障碍服务绕过Android FLAG_SECURE防护，发起overlay攻击窃取凭证。 3、Outlook CVE-2024-21413漏洞PoC已公开 https://cybersecuritynews.com/outlook-remote-code-execution-vulnerability-2/ 微软Outlook存在高危远程代码执行（RCE）漏洞CVE-2024-21413，CVSS 评分 9.8。该漏洞因Outlook解析 “Moniker Links”时存在缺陷，可通过含file://协议加感叹号的特制链接绕过 “Protected View”，无需用户额外操作，点击后可能触发SMB连接泄露NTLM凭证，甚至实现远程代码执行。目前GitHub已公开Python版PoC，建议用户立即安装微软官方补丁、更新Office、阻断445 4、Apache bRPC CVE-2025-59789漏洞致服务器崩溃 https://cybersecuritynews.com/apache-brpc-framework-vulnerability/ Apache bRPC框架存在高危漏洞CVE-2025-59789，全平台下版本低于1.15.0 均受影响。该漏洞源于json2pb组件，其依赖rapidjson默认递归解析JSON，攻击者发送深度嵌套的特制 JSON 数据，会导致解析器栈溢出，引发服务器崩溃，造成拒绝服务（DoS）。仅当bRPC服务器处理不可信网络的HTTP+JSON请求（含protobuf消息），或用JsonToProtoMessage转换不可信JSON时，才面临风险。建议用户升级至1.1 5、朝日啤酒遭攻击导致191万条个人信息泄露 https://www.bleepingcomputer.com/news/security/japanese-beer-giant-asahi-says-data-breach-hit-15-million-people/ 日本朝日集团遭Qilin勒索软件团伙攻击，11月27日披露约191.4万条个人信息或泄露（含 152 万 + 客户、10.7 万员工及家属、11.4 万外部联系人信息，无信用卡数据）。攻击致其日本境内系统瘫痪，生产物流中断，员工手工处理订单，全国啤酒、饮料短缺，三季度及全年业绩发布延迟。该集团拒绝与黑客谈判，此次攻击还引发日本啤酒行业供应链连锁压力，其他企业被迫调整供应 6、英国电信公司Brsk确认23万+记录数据泄露 https://www.theregister.com/2025/11/28/brsk_breach/ 英国电信公司Brsk确认发生数据库泄露，此前黑客在cybercrime论坛发帖，声称盗取230,105条用户记录，通过Telegram邀请买家竞价。泄露数据含用户全名、邮箱、家庭地址、安装详情、位置数据、手机号，及 “是否为易受伤害人群” 标识。Brsk回应称，泄露仅涉及基本联系信息，无财务数据、密码或登录凭证，目前无证据显示数据被滥用；已通知受影响用户，提供Experian的12个月免费监控服务，聘请安全伙伴调查，并上报ICO、警方及监管机构。其核心网络与宽带服务未受影响，但未回应 “易 7、200多个CVE漏洞遭利用，谷歌云OAST服务成复杂攻击跳板 https://www.freebuf.com/news/459823.html 安全研究人员发现一项复杂的漏洞利用活动，该活动利用托管于谷歌云基础设施上的私有带外应用安全测试（OAST, Out-of-band Application Security Testing）服务发起攻击。此攻击活动主要针对巴西境内的系统，目标涉及超过200个通用漏洞披露（CVE）。 8、OpenAI承认数据泄露事件：分析合作伙伴遭钓鱼攻击 https://www.csoonline.com/article/4097488/openai-admits-data-breach-after-analytics-partner-hit-by-phishing-attack-2.html OpenAI因分析伙伴Mixpanel遭钓鱼攻击导致客户数据泄露，涉及API账户元数据，但敏感信息未受影响。双方已终止合作并通知客户，建议加强安全措施。事件凸显次级平台安全风险，企业需全面评估AI平台安全。 9、黑客组织暗网兜售iOS 26全链0Day漏洞利用工具 https://cybersecuritynews.com/ios-26-full%E2%80%91chain-0%E2%80%91day-exploit/ 黑客ResearcherX在暗网出售针对iOS 26的全链0Day漏洞工具，利用消息解析器内存损坏漏洞，可零点击获取root权限，绕过多层防护窃取敏感数据。若属实，将是苹果安全架构的重大突破。专家建议关注紧急更新，但需警惕暗网欺诈风险。 10、恶意日历订阅每日攻击超400万台苹果设备 https://securityonline.info/silent-threat-how-malicious-calendars-promptware-target-4m-devices-daily/ 攻击者利用日历订阅功能向400万台iOS/macOS设备推送恶意内容，通过过期域名持续攻击。AI助手可能解析日历中的恶意指令触发越狱，执行未授权操作，用户难以察觉订阅风险。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT组织Bloody Wolf针对中亚发起钓鱼攻击 https://www.group-ib.com/blog/bloody-wolf/ 自2025年6月以来，以“血狼”（Bloody Wolf）为名的高级持续性威胁（APT）组织在中亚地区的网络钓鱼活动激增。该组织通过伪装成政府机构，尤其是司法部，利用诱人的PDF文档和合法域名，诱使受害者下载安装恶意的NetSupport远程管理工具（RAT）。分析显示，攻击者首先通过鱼叉式网络钓鱼邮件传播带有恶意链接的文档，随后诱导用户下载包含Java归档（JAR）文件的压缩包。尽管该组织尚未明确归属，但其活动已扩展至哈萨克斯坦、吉尔吉斯斯坦和乌兹别克斯坦等国。 2、韩国金融业遭麒麟RaaS供应链攻击 https://www.bitdefender.com/en-us/blog/businessinsights/korean-leaks-campaign-targets-south-korean-financial-services-qilin-ransomware 近日，韩国金融服务行业遭遇了一场复杂的供应链攻击，名为“韩国泄密”。该事件涉及著名的勒索软件即服务（RaaS）组织“麒麟”，并可能与朝鲜关联的黑客组织“月光石冰雹”有关。数据显示，韩国在短时间内成为勒索软件攻击的重点目标，尤其集中在金融行业，受害企业数量在迅速增加。攻击者通过入侵托管服务提供商（MSP）获得多个企业的访问权限， 3、恶意Chrome扩展操控Solana并隐秘收费 https://socket.dev/blog/malicious-chrome-extension-injects-hidden-sol-fees-into-solana-swaps 研究团队近日揭露了一款名为“Crypto Copilot”的恶意Chrome扩展，该程序通过操控Solana网络的Raydium交易，悄悄注入未公开的SOL转账，向攻击者的钱包转移交易费用。自2024年6月发布以来，该扩展自称为便捷的交易工具，然而其背后隐藏着复杂的恶意逻辑。在用户进行交易时，扩展会在合法的交易指令中插入一条附加指令，转移一定比例的SOL到攻击者的硬编码钱包。虽然扩展的宣传文案未提及这笔额外费 4、微软Teams访客聊天漏洞致用户面临风险 https://hackread.com/microsoft-teams-guest-chat-flaw-malware/ 研究人员揭示了其B2B来宾访问功能中的一个重大安全漏洞。该漏洞使攻击者能够仅凭一次邀请便可绕过企业的Microsoft Defender保护，带来严重的安全隐患。研究显示，当员工接受外部邀请加入其他公司的聊天时，他们的安全防护将不再由其所属公司控制，而是完全依赖于托管环境。攻击者利用这一点，通过创建基本帐户轻松搭建“无防护区”，使其能够在没有安全防护的情况下进行攻击。这种简化的邀请方式，加上许多组织默认接受来自全球公司的访客邀请，导致大量公司面临潜在的恶意软件攻击和数据 5、新型RelayNFC恶意软件针对巴西发起攻击 https://cyble.com/blog/relaynfc-nfc-relay-malware-targeting-brazil/ 研究人员揭示了一款名为RelayNFC的新型恶意软件，专门针对巴西用户，利用近场通信（NFC）技术进行欺诈性非接触式支付。该恶意软件通过网络钓鱼诱骗用户下载，能够隐蔽地捕获银行卡信息并实时转发到攻击者控制的服务器。RelayNFC使用React Native和Hermes字节码构建，增加了被检测的难度，并且在安全检测平台VirusTotal上尚未被识别，显示出其低可见度和持续开发的潜力。此外，研究还发现了该恶意软件的多种变种，攻击者正在探索实现主机卡模拟（H 6、恶意LLM助力新手黑客发起高级攻击 https://www.bleepingcomputer.com/news/security/malicious-llms-empower-inexperienced-hackers-with-advanced-tools/ 近期出现的恶意大型语言模型（LLM），如WormGPT 4和KawaiiGPT，正在提升网络犯罪分子的攻击能力。这些模型提供自动生成恶意代码的功能，使得经验不足的黑客也能轻松实施复杂的网络攻击。研究表明，WormGPT 4能够生成勒索软件脚本，该脚本使用AES-256算法加密特定文件，并通过Tor网络泄露数据。同时，它还可以创建真实有效的赎金信，声称使用了“军用级加密” 7、HashJack针对AI助手的新型注入攻击 https://www.catonetworks.com/blog/cato-ctrl-hashjack-first-known-indirect-prompt-injection/ 最新研究揭示了一种名为“HashJack”的新型间接提示注入攻击，该攻击针对AI浏览器助手，利用合法URL中的“#”符号隐藏恶意指令。当用户与AI助手交互时，这些隐藏的提示便会被执行，攻击者因此能够实施多种恶意活动。研究表明，HashJack可以通过合法网站操控AI助手，导致数据窃取、虚假信息传播、回调式网络钓鱼和凭证窃取等多种攻击场景。特别是在Comet（Perplexity）、Edge（微软）和Chrome 8、GitLab代码库泄露上万个密钥信息 https://www.bleepingcomputer.com/news/security/public-gitlab-repositories-exposed-more-than-17-000-secrets/ 研究机构对GitLab Cloud上的560万个公共存储库进行了深入扫描，使用TruffleHog工具发现了超过17000个已验证的实时密钥。这些密钥的泄露使得GitLab相较于Bitbucket等其他平台显得更为脆弱，其每个存储库泄露的密钥密度高出约35%。研究机构通过自动化系统将所有存储库名称发送到AWS SQS队列，并使用AWS Lambda函数进行扫描，整个过程耗时约24 9、Handala黑客组织公布以色列高科技专家名单 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/handalas-latest-publication-targets-israeli-high-tech-specialists/ Handala黑客组织曝光了一份以色列高科技和航空航天领域专业人士的名单，伴随带有攻击性且误导性的描述，将这些个人标记为“罪犯”。这份名单大部分数据疑似来自LinkedIn，缺乏任何证据支持其不当行为，部分信息甚至尚未得到核实。分析显示，Handala的活动已从简单的宣传转向更具攻击性的人肉搜索和情报收集，所发布的数据存在明显矛盾，部 10、伦敦多个市政委员会因网络攻击服务中断 https://www.bleepingcomputer.com/news/security/multiple-london-councils-it-systems-disrupted-by-cyberattack/ 伦敦的肯辛顿和切尔西皇家自治市（RBKC）及威斯敏斯特市议会（WCC）遭遇网络攻击，导致IT系统中断，影响了电话线路和其他服务。两家机构因共享IT基础设施而同步受到影响，紧急启动应急预案以确保居民能获得关键服务。尽管事件仍在处理中，尚无确定的责任方或数据泄露的证据。安全专家认为这是一场针对市政委员会服务提供商的勒索软件攻击，但截至发稿时，没有任何勒索软件组织对此次攻击公开宣称负 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、盗版《战地6》游戏被用于传播恶意软件 https://www.bitdefender.com/en-us/blog/labs/fake-battlefield-6-pirated-games-trainers 研究机构发现，网络犯罪分子利用广受欢迎的EA游戏《战地6》的盗版版本和虚假修改器进行恶意软件传播。这一游戏自10月发布以来，便成为攻击者的目标，他们通过种子网站和论坛散布经过篡改的游戏安装程序，这些程序实际上植入了窃取器和命令与控制（C2）代理。分析发现，这些伪装的“修改器”并不具备实际游戏功能，反而意在窃取用户的敏感信息，包括浏览器数据和加密钱包。专家建议用户仅通过官方渠道下载游戏，避免使用种子文件和第三方工具，以防受害 2、亲俄黑客组织“黑暗风暴”扩展攻击范围 https://thecyberexpress.com/dark-storm-threat-actor-profile/ “黑暗风暴”是一个近年来活跃的亲俄黑客组织，已成为针对欧洲和俄罗斯多个政府机构的主要威胁。该组织以其激进的分布式拒绝服务（DDoS）攻击而闻名，近期更是扩展了攻击范围，包括对关键基础设施如机场和交通网络的直接攻击。作为亲俄联盟Matryoshka 424的一部分，黑暗风暴不仅与其他黑客团体分享资源和情报，还利用网络紧张局势来增强其颠覆能力。其攻击策略通常始于对公共应用程序的漏洞利用，随后实施大规模DDoS和端点拒绝服务攻击，目标包括政府门户网站和在线公民服务。 3、Exchange Online服务中断影响Outlook登录 https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-online-outage-blocks-access-to-outlook-mailboxes/ 微软目前正在调查一起Exchange Online服务的中断事件，导致客户无法通过经典Outlook桌面客户端访问其邮箱。此次故障主要影响亚太和北美地区的用户，用户可能无法连接到其Exchange Online邮箱。虽然具体受影响用户数量尚未披露，但该事件已经在管理中心标记为重大服务问题。作为临时解决方案，微软建议受影响用户使用Outlook网页版访问邮箱。 4、OnSolve CodeRED平台遭网络攻击致服务中断 https://www.bleepingcomputer.com/news/security/onsolve-codered-cyberattack-disrupts-emergency-alert-systems-nationwide/ OnSolve CodeRED平台近日遭遇网络攻击，导致美国多个州和地方政府、警察及消防部门的紧急通知系统中断。攻击使得平台被迫停用，影响了紧急警报和天气预警的发送。虽然Crisis24表示此次攻击仅限于CodeRED环境，并未影响其他系统，但调查发现攻击期间盗取了用户数据，包括姓名、地址、电子邮件和电话号码等。尽管尚无证据显示被盗数据已公开，德克萨斯州大 5、Next.js框架DoS漏洞可致服务器单请求崩溃 https://www.freebuf.com/articles/web/459339.html Next.js框架中新发现的一个高危漏洞，允许攻击者仅通过一次HTTP请求即可使自托管服务器崩溃，且执行攻击所需的资源几乎可以忽略不计。 6、20年老协议NTLM仍威胁全球网络安全 https://www.freebuf.com/articles/system/459198.html 自首次发现二十多年后，NTLM（新技术局域网管理器）认证协议仍在全球范围内威胁着Windows系统的安全。2001年还只是理论上的漏洞，如今已演变成广泛的安全危机，攻击者正积极利用多个NTLM漏洞危害不同地区的网络。 7、麒麟勒索软件攻击韩国28家金融机构 https://www.freebuf.com/articles/es/459244.html 韩国金融业近期遭遇一起复杂的供应链攻击，导致麒麟（Qilin）勒索软件被部署。Bitdefender在向The Hacker News提供的报告中指出："此次攻击结合了主要勒索软件即服务（RaaS）组织麒麟的能力，并可能有朝鲜国家背景的黑客组织Moonstone Sleet参与，以托管服务提供商（MSP）入侵作为初始攻击媒介。" 8、NVIDIA DGX Spark漏洞或致AI机密遭窃取与系统沦陷 https://securityonline.info/critical-patch-nvidia-dgx-spark-flaw-cve-2025-33187-cvss-9-3-exposes-ai-secrets-to-takeover/ NVIDIA紧急修复DGX Spark平台14个漏洞，其中CVE-2025-33187（CVSS 9.3分）可致系统完全沦陷，威胁AI研究数据安全。用户须立即升级至OTA0版本，防止硬件控制权被窃取或数据遭篡改。 9、Apache Syncope漏洞允许攻击者访问内部数据库内容 https://cybersecuritynews.com/apache-syncope-vulnerability/ Apache Syncope多个版本因硬编码加密密钥存在高危漏洞(CVE-2025-65998)，攻击者可恢复明文密码。建议启用AES加密的用户立即升级至3.0.15或4.0.3版本修复漏洞，防止大规模凭证泄露。 10、华硕MyASUS漏洞可使攻击者提升至SYSTEM级权限 https://cybersecuritynews.com/asus-myasus-flaw/ 华硕MyASUS应用曝高危漏洞（CVE-2025-59373），攻击者可本地提权至SYSTEM级别，完全控制设备。CVSS 4.0评分8.5，全球数百万设备受影响。华硕已发布修复版本，建议用户立即更新。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、俄黑客利用Blender传播StealC V2窃密器 https://www.morphisec.com/blog/morphisec-thwarts-russian-linked-stealc-v2-campaign-targeting-blender-users-via-malicious-blend-files/ 安全团队披露，发现一起与俄罗斯关联的威胁组织针对Blender用户的StealC V2窃密攻击活动。该活动持续至少六个月，攻击者将恶意Python脚本植入.blend 3D模型文件，上传至CGTrader等资源平台，诱导用户下载。文件打开后自动执行多阶段攻击链：通过PowerShell下载器获取包含StealC V2及辅助窃取器 2、在线格式化工具 JSONFormatter和CodeBeautify泄露8万密钥 https://labs.watchtowr.com/stop-putting-your-passwords-into-random-websites-yes-seriously-you-are-the-problem/ 根据网络安全机构最新研究，多个行业的组织正在无意中将敏感凭据粘贴到在线工具 JSONFormatter 和 CodeBeautify 中，从而导致数千个密码和API密钥的泄露。这项研究捕获了超过80,000个文件的数据集，涵盖了用户的用户名、密码、存储库身份验证密钥、Active Directory凭据等敏感信息。泄露的信息包括来自国家关键基础设施、政府、金融、医疗等行业的 3、ClickFix利用隐写术将恶意代码藏于图片中 https://www.huntress.com/blog/clickfix-malware-buried-in-images 近期ClickFix社会工程学攻击活动采用高级隐写术，将LummaC2与Rhadamanthys窃密木马直接编码于PNG图像像素数据中。自2025年10月初起，攻击者通过"机器人验证"页面及高度仿真的"Windows更新"全屏界面诱骗用户执行Win+R快捷键粘贴恶意命令。该攻击链历经mshta执行、PowerShell加载、.NET反射程序集、隐写提取及Donut封装shellcode五阶段，利用Blob URL注入、AES/XOR加密和冗长变量名混淆等手段规避检测 4、间谍软件RadzaRat伪装文件管理器进行窃密 https://hackread.com/radzarat-spyware-hijack-android-devices/ 一款名为RadzaRat的Android远程控制木马，伪装成普通文件管理器应用，在VirusTotal上实现0/66的零检出率。此RAT具备键盘记录、文件浏览与下载功能，支持传输高达10GB数据，由地下论坛用户"Heron44"于2025年11月8日起公开销售。攻击者仅需利用Render.com服务器和Telegram机器人即可低成本部署，恶意程序通过激进手段防止系统关闭并实现开机自启。 5、FBI警告ATO网络欺诈损失达2.62亿美元 https://thehackernews.com/2025/11/fbi-reports-262m-in-ato-fraud-as.html 美国联邦调查局（FBI）发布的报告显示，网络犯罪分子通过冒充金融机构实施账户接管（ATO）欺诈，造成的损失高达2.62亿美元。自年初以来，FBI已收到超过5100起相关投诉，受害者包括各行各业的个人和企业。该报告指出，攻击者通过社交工程手段，利用短信、电话和电子邮件诱骗用户提供登录凭据，并通过恶意手段获取敏感信息。网络犯罪分子还利用搜索引擎优化（SEO）投毒和恶意广告来引导用户点击虚假链接，进一步增加了攻击的隐蔽性。FBI呼吁用户在分享个人信息时保持 6、房地产金融服务商SitusAMC发生数据泄露事件 https://www.bleepingcomputer.com/news/security/real-estate-finance-services-giant-situsamc-breach-exposes-client-data/ 房地产金融服务商SitusAMC披露近日发现一起数据泄露事件，导致部分客户及其终端客户的数据遭到未经授权访问。该公司为1500余家金融机构提供抵押贷款后台服务，年收入约10亿美元，客户包括摩根大通、花旗集团和摩根士丹利等银行业巨头。泄露信息涉及企业会计记录、法律协议及部分客户个人信息。事件未部署加密恶意软件，业务运营保持正常。公司在发现后三天内确认漏洞性质， 7、Cobalt Strike 4.12发布新增进程注入技术、UAC绕过与可定制C2选项 https://www.freebuf.com/articles/459123.html 最新版本采用完全重新设计的图形界面，提供多种主题选项（包括Dracula、Solarized和Monokai）。所有可视化组件均已更新，改进后的Pivot Graph现在可显示监听器名称和传输类型，便于基础设施管理。 8、黑客利用新型黑产AI工具KawaiiGPT发起网络攻击 https://www.freebuf.com/articles/ai-security/459002.html KawaiiGPT是一款免费恶意大语言模型（LLM），最早于2025年7月被发现，目前版本已升级至2.5。该工具为网络犯罪新手提供了生成钓鱼邮件、勒索软件说明文档和攻击脚本的能力，大幅降低了网络犯罪的技术门槛。 9、零检出RelayNFC安卓恶意软件将手机变为远程读卡器 https://www.freebuf.com/articles/endpoint/459054.html 2025年11月26日，Cyble研究与情报实验室（CRIL）发现针对巴西移动支付用户的NFC中继恶意软件攻击活动正在快速演变。新发现的RelayNFC恶意软件家族可将受害者的安卓设备变成远程读卡器，使攻击者能够实施非接触式欺诈交易，如同物理卡片就在手中。 10、Firefox曝出严重漏洞，致1.8亿用户面临安全风险 https://www.anquanke.com/post/id/313385 Firefox 中一个 隐蔽但危险的内存漏洞 在被安全研究人员发现前已静默存在六个月，影响超过 1.8 亿用户。该漏洞允许攻击者通过 恶意构造的 WebAssembly 负载 破坏内存，甚至可能执行任意代码。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、安全机构联合预警Sha1-Hulud第二波供应链攻击 https://thehackernews.com/2025/11/second-sha1-hulud-wave-affects-25000.html 多家安全机构联合预警第二波"Sha1-Hulud"npm供应链攻击。攻击者于11月21日至23日通过预安装脚本入侵数百个npm包，受影响仓库超25,000个，涉及约350名GitHub用户。该恶意载荷通过setup_bun.js执行，窃取开发者NPM令牌及AWS/GCP/Azure云凭证，并将失窃数据上传至攻击者控制的GitHub仓库。与第一波不同，新版本具备破坏性擦除功能：当无法窃取凭证或建立持久化时，会清除受害者主目录所有可写文件。 2、新型安卓恶意软件运用多阶段技术规避检测 https://asec.ahnlab.com/ko/91104/ 安全研究人员发现一款采用高级规避技术的新型Android恶意软件，在发现时多数杀毒软件无法检测。该应用将恶意功能分离存储，通过多阶段载荷投放技术实现动态解密与执行。为绕过检测，攻击者定制了软件包安装程序替换系统默认组件，并将恶意代码深度混淆压缩。应用还设置交互式触发机制，启动时要求用户输入特定文本，验证后伪装成Google Play商店更新界面，仅在满足条件时激活恶意行为。这种"条件唤醒"策略使其能长期潜伏。 3、FluentBit曝严重漏洞云环境可被远程接管 https://www.oligo.security/blog/critical-vulnerabilities-in-fluent-bit-expose-cloud-environments-to-remote-takeover 研究团队披露开源日志收集工具Fluent Bit存在五处严重安全漏洞，编号为CVE-2025-12969至CVE-2025-12972及CVE-2025-12977、CVE-2025-12978。这些缺陷可导致攻击者绕过身份验证、执行路径遍历、实现远程代码执行及拒绝服务攻击。作为部署超150亿次的核心云原生组件，该工具被AWS、谷歌云、微软Azure等平台广泛集成 4、美国电信与汽车服务巨头遭Cl0p勒索攻击 https://www.bleepingcomputer.com/news/security/cox-enterprises-discloses-oracle-e-business-suite-data-breach/ 美国电信与汽车服务巨头Cox Enterprises于2025年11月22日披露，其系统因Oracle E-Business Suite零日漏洞遭Cl0p勒索软件团伙入侵，导致9479名个人数据泄露。攻击发生于8月9日至14日，但直至9月29日才被发现。Cl0p声称利用CVE-2025-61882漏洞在补丁发布前实施攻击，该团伙惯用零日漏洞攻击企业软件。入侵后，Cox已通知受 5、vLLM存在高危漏洞可致远程代码执行 https://securityonline.info/vllm-flaw-cve-2025-62164-risks-remote-code-execution-via-malicious-prompt-embeddings/ vLLM 0.10.2+存在高危漏洞CVE-2025-62164（CVSS 8.8），恶意提示嵌入可致服务器崩溃或远程代码执行，源于PyTorch 2.8.0稀疏张量检查缺陷。建议立即升级并审计接口。 6、CISA警告：Oracle身份管理器RCE漏洞正遭攻击者积极利用 https://cybersecuritynews.com/oracles-identity-manager-rce-vulnerability/ CISA紧急警告Oracle身份治理套件12c存在严重前认证RCE漏洞（CVE-2025-61757），攻击者可绕过认证执行任意代码，完全控制系统。建议立即打补丁或隔离服务，防范勒索软件等攻击。 7、 攻击者利用微软WSUS漏洞传播恶意软件获取系统控制权 https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html 攻击者利用微软WSUS漏洞(CVE-2025-59287)传播ShadowPad恶意软件，通过PowerCat获取系统权限，使用合法工具下载后门程序，实现远程代码执行和持久化攻击。 8、腾达路由器曝两大命令注入漏洞 https://securityonline.info/cert-cc-warns-of-unpatched-root-level-command-injection-flaws-in-tenda-4g03-pro-and-n300-routers-cve-2025-13207-cve-2024-24481/ 腾达4G03 Pro和N300路由器存在未修复命令注入漏洞(CVE-2025-13207等)，攻击者可利用默认凭证以root权限完全控制设备。厂商暂无补丁，建议用户更换设备或限制网络访问，并关注固件更新。 9、Kimsuky与Lazarus联手利用0Day漏洞攻击全球关键行业 https://cybersecuritynews.com/north-korean-kimsuky-and-lazarus-join-forces/ 朝鲜黑客组织Kimsuky和Lazarus联手发动协同攻击，结合钓鱼邮件与0Day漏洞窃取敏感情报和加密货币。攻击采用新型InvisibleFerret后门规避检测，已造成3200万美元损失，国防、金融等行业风险最高。 10、APT35组织内部文件泄露，暴露其攻击目标与方法 https://www.freebuf.com/news/458795.html 2025年10月，一次重大数据泄露事件曝光了APT35（又称"迷人小猫"）黑客组织的内部运作细节。该网络攻击单位隶属于伊朗情报组织。数千份泄露文件显示，该组织对中东和亚洲地区的政府与企业实施系统性攻击。泄露内容包含绩效报告、技术指南和操作记录，清晰展现了这一国家支持的黑客组织如何开展大规模网络间谍活动。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、S3勒索软件新变种威胁AWS云存储安全 https://www.trendmicro.com/en_us/research/25/k/s3-ransomware.html 最新研究显示，勒索软件攻击正从传统系统转向AWS云环境，其中Amazon S3存储桶成为首要目标。攻击者利用配置错误和失窃凭证，通过五种主要变种实施攻击：使用默认KMS密钥加密后删除密钥、利用客户提供的密钥（SSE-C）使数据永久不可访问、窃取并删除数据以双重勒索、导入外部密钥材料设置短期过期，以及部署外部密钥库（XKS）完全掌控加密。这些攻击均可在无需直接部署恶意软件的情况下完成，传统安全工具难以检测。 2、汽车SoC芯片存在严重漏洞可获远程控制权 https://ics-cert.kaspersky.com/publications/reports/2025/11/20/god-mode-on-researchers-run-doom-on-a-vehicles-head-unit-after-remotely-attacking-its-modem/ 研究机构发现汽车SoC芯片存在严重远程代码执行漏洞。该漏洞（CVE-2024-39432）位于3G RLC协议栈，攻击者通过移动网络发送特制数据包即可触发缓冲区溢出，在调制解调器执行任意代码。研究团队利用DMA控制器等硬件级漏洞，突破调制解调器与应用处理器(AP)的内存隔离，实现SoC 3、西班牙国航因供应商漏洞致客户数据泄露 https://www.bleepingcomputer.com/news/security/iberia-discloses-customer-data-leak-after-vendor-security-breach/ 西班牙国家航空公司伊比利亚航空于2025年11月23日披露，其第三方供应商发生安全漏洞，导致部分客户信息泄露。受影响数据包括客户姓名、电子邮件地址及伊比利亚航空俱乐部会员卡识别号码，但官方强调账户密码和支付信息未被访问。该事件披露前夕，一名网络威胁行为者曾在黑客论坛声称窃取了77GB航空公司数据并索价15万美元，但尚未证实与本次供应商事件存在直接关联。伊比利亚航空已启动 4、Windows图形组件曝严重漏洞，单张图片即可接管系统 https://www.zscaler.com/blogs/security-research/cve-2025-50165-critical-flaw-windows-graphics-component 研究人员披露编号为CVE-2025-50165的Windows图形组件高危漏洞，CVSS评分达9.8。该漏洞存在于windowscodecs.dll中，攻击者通过构造恶意JPEG图像，诱使用户在Office等应用中打开即可触发远程代码执行。威胁研究证实，此缺陷影响Windows 11 24H2、Windows Server 2025等主流版本，微软已于2025年8月12日发布补丁。技术层 5、Wireshark漏洞可通过注入畸形数据包导致程序崩溃 https://www.freebuf.com/articles/network/458697.html Wireshark 基金会已为其广泛使用的网络协议分析工具发布重要安全更新，修复了多个可能导致拒绝服务状态的漏洞。最新版本 4.6.1 专门针对 Bundle Protocol version 7（BPv7）和 Kafka 解析器中发现的安全缺陷。这些漏洞若未修补，攻击者可通过向网络流或跟踪文件注入恶意数据强制使应用程序崩溃。 6、代码注入漏洞威胁NVIDIA Isaac-GROOT机器人平台安全 https://www.freebuf.com/articles/ai-security/458671.html 2025年11月24日，NVIDIA发布安全更新，修复其Isaac-GROOT软件中两个高危漏洞。Isaac-GROOT是面向通用人形机器人推理与技能开发的开放基础模型，这一安全缺陷对快速发展的机器人行业开发者和研究人员构成潜在威胁。 7、md-to-pdf高危漏洞可通过Markdown前置元数据实现JS注入攻击 https://www.freebuf.com/articles/458665.html 2025年11月24日，广受欢迎的npm包md-to-pdf（每周下载量超47,000次的命令行工具）曝出高危漏洞（CVE-2025-65108）。该漏洞获得CVSS满分10分评级，攻击者可通过恶意前置元数据解析执行任意JavaScript代码。任何使用该包处理不可信Markdown内容的应用程序、构建系统或云服务均面临严重风险。 8、Xillen v4通过多态与DevOps窃取技术攻击上百款浏览器及70多种钱包 https://www.freebuf.com/articles/database/458657.html Darktrace 分析师近日对一款快速演变的跨平台信息窃取恶意软件家族 Xillen Stealer 发出警告。该恶意软件新发布的 v4 和 v5 版本显著扩展了攻击目标范围，引入了高级规避机制，并采用多种现代化 C2（命令与控制）和数据外泄技术。 9、黑客论坛惊现微软Office 0Day RCE漏洞交易 https://cybersecuritynews.com/microsoft-office-0-day-rce-claim/ 黑客Zeroplayer出售Office和Windows高危0Day漏洞，含沙箱逃逸功能，标价3万美元，可突破最新防护系统。该漏洞通过恶意文档传播，威胁企业安全，微软尚未修复。建议禁用宏、启用受保护视图并部署防护工具。 10、Ollama漏洞允许攻击者通过解析恶意模型文件执行任意代码 https://cybersecuritynews.com/ollama-vulnerabilities-code-execution/ Ollama开源项目曝严重漏洞，0.7.0前版本解析恶意GGUF模型文件时可触发越界写入，导致远程代码执行。漏洞已通过Go重写代码修复，用户需立即升级至0.7.0版本。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型僵尸网络利用Node.js扩展攻击 https://securelist.com/tsundere-node-js-botnet-uses-ethereum-blockchain/117979/ 2025年年中发现新型Tsundere僵尸网络，该威胁基于Node.js开发，通过伪装成《Valorant》等热门游戏的MSI安装器或PowerShell脚本感染Windows用户。该恶意程序刻意避开独联体地区，感染后借助pm2工具实现持久化驻留。其控制面板"Tsundere Netto"采用开放注册模式，集成黑市交易功能，允许攻击者买卖僵尸节点使用权。研究人员将该网络归因于俄语黑客"koneko"，其同期运营123 Stealer窃 2、黑客通过网络侦察引导导弹袭击货轮 https://aws.amazon.com/cn/blogs/security/new-amazon-threat-intelligence-findings-nation-state-actors-bridging-cyber-and-kinetic-warfare/ 与伊朗关联的黑客组织通过预先网络侦察为物理导弹袭击提供精确目标数据，开创了"网络赋能的动能目标定位"新范式。报告显示，疑似伊朗革命卫队支持的Imperial Kitten组织自2021年12月起持续入侵海上船舶自动识别系统与监控设备，2024年1月27日针对特定货轮AIS数据进行定向搜索，数日后该货轮即遭胡塞武装导弹袭击。 3、TamperedChef恶意广告活动滥用数字签名伪装合法应用 https://www.acronis.com/en/tru/posts/cooking-up-trouble-how-tamperedchef-uses-signed-apps-to-deliver-stealthy-payloads/ 名为TamperedChef的全球恶意广告活动通过伪造数字签名应用程序传播隐蔽恶意载荷。攻击者伪装成浏览器、PDF编辑器和游戏等日常软件，利用恶意广告与SEO优化诱骗用户下载运行。该活动采用美国空壳公司网络获取代码签名证书，建立工业化商业运作体系，证书吊销后立即注册新实体轮换身份。其攻击链通过投放XML配置文件创建计划任务实现持久化，每24小时执行高度混淆 4、D-Link停产路由器曝远程代码执行漏洞 https://www.bleepingcomputer.com/news/security/d-link-warns-of-new-rce-flaws-in-end-of-life-dir-878-routers/ D-Link已停产的DIR-878路由器存在三个可远程利用的命令执行漏洞（CVE-2025-60672、CVE-2025-60673、CVE-2025-60676），相关技术细节与概念验证代码已公之于众。该型号于2021年停产，但二手市场仍以75至122美元价格流通。D-Link明确表示不会为此发布安全更新，建议用户立即更换为仍在支持的产品。漏洞分别存在于动态DNS设置、DMZ 5、黑客公开售三星麦迪逊医疗数据 https://hackread.com/hacker-samsung-medison-data-breach-3rd-party/ 近日，化名为"888"的黑客在网络犯罪论坛兜售据称通过第三方承包商入侵窃取的三星麦迪逊医疗数据。该黑客声称掌握源代码、私钥、SMTP凭证、配置文件及从医疗备份中提取的用户个人身份信息，并已导出MSSQL数据库和AWS S3存储桶内容，同时提供持续访问权限作为附加服务。三星麦迪逊隶属三星集团，主营超声等医学影像设备。交易要求买家通过Keybase提交报价，并以门罗币支付。经研究分析，泄露截图显示后端数据库、员工记录及云存储日志等敏感信息。 6、Matrix Push C2通过浏览器实施钓鱼攻击 https://www.blackfog.com/new-matrix-push-c2-deliver-malware/ 网络犯罪分子利用新型命令与控制平台Matrix Push C2，通过浏览器通知实施无文件的跨平台钓鱼攻击。攻击者通过社会工程学手段，诱使用户在恶意或已被攻陷的网站上同意接收通知，从而利用浏览器的推送通知机制，发送伪装成操作系统警报的消息。这些通知通常涉及可疑登录或浏览器更新，用户一旦点击链接，便可能被引导至虚假网站。Matrix Push C2作为一种恶意软件即服务工具，以分层订阅方式提供给其他犯罪分子，吸引力在于其允许攻击者实时追踪受害者行为，并根据知名品牌自定义钓鱼通 7、Everest勒索组织声称入侵巴西石油巨头 https://hackread.com/everest-ransomware-brazil-petrobras-breach/ 近日，Everest勒索软件组织在其暗网泄露网站上声称已成功入侵巴西国有石油公司Petrobras的系统，窃取了超过180GB的地震勘测数据。该组织在两份公告中指出，首批泄露的数据包含超过176GB的地震导航数据，其中90GB直接属于Petrobras。泄露的数据包括船舶定位、设备配置和深度测量等敏感信息，这些信息对石油和天然气行业至关重要，可能被竞争对手利用。Everest要求Petrobras在四天内通过加密通讯平台Tox与其联系，并设置了倒计时警告。Petr 8、意大利铁路IT服务商Almaviva遭窃2.3TB数据 https://www.bleepingcomputer.com/news/security/hacker-claims-to-steal-23tb-data-from-italian-rail-group-almaviva/ 黑客声称从意大利国家铁路运营商FS Italiane集团的IT服务商Almaviva窃取2.3TB数据，并已泄露至暗网论坛。此次泄露数据为近期产生，包含2025年第三季度文件，涉及内部共享文档、技术资料、公共实体合同、人力资源档案、会计数据及多家FS集团完整数据集。专家认为该事件作案手法与2024-2025年活跃的勒索软件组织特征相符，排除系2022年Hive攻击遗留 9、SonicWall SonicOS漏洞可致防火墙崩溃 https://www.bleepingcomputer.com/news/security/new-sonicwall-sonicos-flaw-allows-hackers-to-crash-firewalls/ SonicWall发布安全公告，提醒客户修复SonicOS SSLVPN高危漏洞CVE-2025-40601。该漏洞源于基于堆栈的缓冲区溢出，可导致远程未认证攻击者实施拒绝服务攻击，使Gen7和Gen8硬件及虚拟防火墙崩溃。尽管官方未发现实际利用案例或公开PoC代码，但仍强烈建议用户立即升级至7.3.1-7013或8.0.3-8011及以上版本。无法及时更新的管理员应禁用SSL 10、黑客组织ShinyHunters声称窃取近千家Salesforce客户数据 https://hackread.com/shinyhunters-breach-gainsight-salesforce-1000-firms/ 黑客组织ShinyHunters声称对Gainsight应用数据泄露事件负责，窃取近千家Salesforce客户数据。攻击者利用先前攻击中窃取的凭证和被入侵的API令牌，绕过安全过滤器访问集成应用，影响F5、GitLab、Verizon、LinkedIn等知名企业。泄露数据可能包含业务联系人和许可信息。Salesforce已紧急撤销所有受影响的访问令牌，并将Gainsight从AppExchange平台移除。Gainsight确认检测到来自未经授 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客利用Tuoni C2框架实施隐蔽攻击 https://cybersecuritynews.com/hackers-using-leverage-tuoni-c2-framework-tool/ 安全研究人员披露，攻击者正利用新型Tuoni命令与控制框架实施隐蔽攻击。该框架通过钓鱼邮件或失陷网站传播初始代码，随后采用内存执行技术，将恶意载荷直接注入svchost.exe等合法Windows进程，规避传统文件扫描检测。Tuoni运用VirtualAllocEx与WriteProcessMemory等API实现进程注入，并以AES-256加密C2通信，使其网络流量混杂于正常业务中难以识别。攻击者可借此投递凭证窃取程序、勒索软件及远程访 2、W3 Total Cache插件曝严重PHP注入漏洞 https://www.bleepingcomputer.com/news/security/w3-total-cache-wordpress-plugin-vulnerable-to-php-command-injection/ WordPress知名缓存插件W3 Total Cache被曝存在高危PHP命令注入漏洞CVE-2025-9501，影响2.8.13之前所有版本。该漏洞位于_parse_dynamic_mfunc()函数，允许未经身份验证的攻击者通过发布恶意评论在服务器上执行任意PHP命令，从而完全控制网站。该插件安装量超百万，尽管开发者已于10月20日发布修复版本，但约43万次 3、7-Zip远程代码执行漏洞遭积极利用 https://thehackernews.com/2025/11/hackers-actively-exploiting-7-zip.html 英国国家医疗服务体系（NHS）英格兰数字部门11月18日发布安全公告称，文件压缩工具7-Zip近期修复的远程代码执行漏洞CVE-2025-11001已遭公开利用。该漏洞CVSS评分为7.0，源于ZIP文件符号链接处理缺陷，攻击者可诱导进程跳转至非预期目录，进而以服务账户身份执行任意代码。安全研究员已发布概念验证代码，并指出该漏洞仅影响Windows系统，需提升权限或启用开发者模式方能利用，NHS数字部门敦促用户立即升级至最新版本。 4、新一代勒索软件瞄准AWS S3进行不可逆数据销毁 https://securityonline.info/next-gen-ransomware-targets-aws-s3-five-cloud-native-variants-exploit-misconfigurations-for-irreversible-data-destruction/ 勒索软件转向云原生环境，重点攻击Amazon S3，利用配置错误和凭证泄露实施五种变种攻击，导致数据不可逆丢失，云安全失误是主因。 5、Apache Causeway 框架存在高危RCE漏洞 https://securityonline.info/critical-apache-causeway-rce-flaw-cve-2025-64408-allows-authenticated-code-execution-via-java-deserialization/ Apache Causeway框架存在高危反序列化漏洞CVE-2025-64408，攻击者可利用该漏洞通过URL参数执行任意代码，影响2.0.0至3.4.0及4.0.0-M1版本，建议升级至3.5.0修复 6、华芸NAS严重漏洞可导致本地DLL劫持实现权限提升 https://securityonline.info/critical-asustor-flaw-cve-2025-13051-allows-local-dll-hijacking-for-system-privilege-escalation/ 华芸科技警告Windows版备份与同步客户端存在严重DLL劫持漏洞（CVE-2025-13051，CVSS 9.3），攻击者可提升至SYSTEM权限执行任意代码。受影响版本为ABP 2.0.7.9050及更早、AES 1.0.6.8290及更早，建议立即升级至修复版本。 7、Cline AI 编程工具存在漏洞可导致提示注入、代码执行和数据泄露 https://cybersecuritynews.com/cline-ai-coding-agent-vulnerabilities/ Cline AI编程工具存在四个高危漏洞，可导致任意代码执行和数据泄露，攻击者通过恶意代码仓库即可利用。漏洞源于提示注入防护不足，厂商修复迟缓凸显AI工具安全响应滞后问题。 8、全球多个AI集群遭AI恶意软件劫持，被改造成挖矿僵尸网络 https://www.secrss.com/articles/85203 攻击者利用AI框架Ray缺乏身份验证机制的缺陷，利用AI增强恶意软件实施攻击，窃取算力资源进行加密货币挖矿，或实施进一步攻击；当前互联网上暴露的Ray服务器数量已超过23万台，其中隐藏着巨大的风险。 9、三星手机预装以色列公司开发的AppCloud应用遭争议 https://www.secrss.com/articles/85181 2025年11月，三星Galaxy手机预装以色列公司开发的AppCloud事件持续在社交媒体曝光，事件源头可追溯到2025年初黎巴嫩数字权利组织SMEX发布的调查报告和公开信。 10、新型Sturnus银行木马针对WhatsApp、Telegram、Signal等 https://www.securityweek.com/new-sturnus-banking-trojan-targets-whatsapp-telegram-signal-messages/ 据移动安全与欺诈检测公司 ThreatFabric 称，一种名为 Sturnus 的新型安卓银行木马程序旨在针对来自 WhatsApp、Telegram 和 Signal 等安全通讯应用程序的通讯。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ShadowRay 2.0利用AI形成自我传播僵尸网络 https://www.oligo.security/blog/shadowray-2-0-attackers-turn-ai-against-itself-in-global-campaign-that-hijacks-ai-into-self-propagating-botnet 研究人员揭露了ShadowRay 2.0的复杂网络攻击活动，这一活动利用了人工智能系统中的漏洞进行自我传播。攻击者通过CVE-2023-48022漏洞，获得了对Ray集群的控制权，并将这些集群转化为加密货币挖矿和数据窃取的工具。目前已有超过20万台Ray服务器暴露在互联网上，面临着网络攻击的风险。攻击者在各个阶 2、Fortinet警告FortiWeb出现新零日漏洞 https://fortiguard.fortinet.com/psirt/FG-IR-25-513 Fortinet发布安全更新，修复其Web应用程序防火墙FortiWeb中的一个新零日漏洞。该漏洞被标记为CVE-2025-58034，已被威胁行为体积极利用。根据报告，经过身份验证的攻击者可以通过操作系统命令注入漏洞执行未经授权的代码，攻击复杂度低且无需用户交互。Fortinet在公告中指出，他们已经观察到该漏洞在实际攻击中被利用，迄今为止约有2000次攻击被检测到。为防止潜在的攻击，Fortinet建议管理员及时升级FortiWeb设备至最新软件版本。 3、法国Pajemploi机构数据泄露影响120万人 https://www.urssaf.fr/accueil/actualites/pajemploi-vol-de-donnees.html 法国托儿服务机构Pajemploi披露一起数据泄露事件，影响约120万名注册专业护理人员。攻击者于11月14日窃取包括全名、社保号码、出生地、邮政地址及认证编号等个人信息，银行账号、邮箱和密码未被获取。该机构已通知法国数据保护局和国家信息安全局，并承诺单独联系每位受害者。事件未影响工资申报等核心业务运营。 4、900万次安装：恶意Chrome V*PN扩展劫持用户流量 https://securityonline.info/9-million-installs-malicious-chrome-vpn-extensions-hijack-user-traffic-via-remote-pac-proxy-injection/ 5、 D-Link DIR-878路由器终止支持：3个未修复漏洞可导致RCE https://securityonline.info/d-link-dir-878-reaches-eol-3-unpatched-rce-flaws-allow-unauthenticated-remote-command-execution/ D-Link警告DIR-878路由器用户，该产品已终止支持，存在四个未修复漏洞，其中三个允许未经认证的远程命令执行，可能导致设备完全沦陷。建议用户立即更换设备以避免重大安全风险。 6、WhatsApp严重漏洞致35亿用户电话号码泄露 https://cybersecuritynews.com/whatsapp-vulnerability-exposes-3-5-billion-users/ WhatsApp严重漏洞致35亿用户数据泄露，攻击者可获取号码、加密密钥等敏感信息，Meta虽修复但风险犹存，凸显便利功能与隐私保护的矛盾，监管或将加强。 7、Windows 11 新增三大恢复工具：时间点还原与网络化恢复环境支持 https://securityonline.info/new-windows-11-tools-point-in-time-restore-network-enabled-recovery-environment/ 微软将推出Windows 11新型恢复工具：时间点还原可回滚系统快照；WinRE恢复环境支持自动联网；企业级云重建功能可保留用户数据，并隐藏公共屏幕错误信息。 8、谷歌已修复2025年第7个被积极利用的Chrome零日漏洞 https://www.anquanke.com/post/id/313261 谷歌已发布 Chrome 浏览器安全更新，修复其 V8 JavaScript 引擎 中的两个高危漏洞，其中 CVE-2025-13223 已被证实存在 在野利用。这是今年修复的第 7 个 Chrome 零日漏洞。 9、Serv-U 中存在严重漏洞可导致远程代码执行 https://www.anquanke.com/post/id/313245 SolarWinds 已发布安全更新，修复其文件传输管理和 FTP 服务器平台 Serv-U 中的三个严重漏洞。每个漏洞的 CVSS 评分均为 9.1，经认证的管理员滥用这些漏洞时可实现远程代码执行（RCE）。这三个漏洞均影响 15.5.3 版本之前的 Serv-U，SolarWinds 强烈敦促客户立即更新。 10、欧盟EDPS发布《人工智能系统风险管理指南》 https://www.secrss.com/articles/85164 2025年11月11日，欧盟数据保护监督局（EDPS）发布了《人工智能系统风险管理指南》（以下简称为“该指南”），该指南重点聚焦人工智能系统在数据处理链条中引入的技术性风险，并提出全流程风险管理方法与合规建议。该指南旨在帮助数据控制者在根据《2018/1725号条例》（EUDPR）开发、采购和部署人工智能系统时进行数据保护风险评估。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。