1、 新型.NET后门CAPI攻击俄汽车与电商业 https://www.seqrite.com/blog/seqrite-capi-backdoor-dotnet-stealer-russian-auto-commerce-oct-2025/ Seqrite Labs披露一项针对俄罗斯汽车与电商领域的网络钓鱼行动，攻击者通过含ZIP压缩包的邮件投递名为“CAPI Backdoor”的新型.NET恶意软件。压缩包内含伪装为税收法规通知的俄文诱饵文档及同名LNK快捷方式，后者利用系统合法程序rundll32.exe加载后门DLL“adobe.dll”，实现“借壳执行”。该后门具备检测管理员权限、识别防病毒软件、窃取浏览器数据、截图、收集系统信 2、131款Chrome扩展劫持WhatsApp进行大规模垃圾信息活动 https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store 安全公司Socket揭露，一场针对巴西用户的协调性滥用活动利用了131个伪装为WhatsApp Web自动化工具的Chrome扩展，用于大规模垃圾信息发送。这些扩展共享相同代码与基础设施，合计拥有约2万活跃用户，由“WL Extensão”及其变体账户发布，源自巴西公司DBX Tecnologia的白标授权计划。攻击者通过这些扩展在WhatsApp Web中直接注入代码，自动批量发送信息、绕过反垃圾机制，并以“CR 3、TikTok视频蔓延ClickFix窃密攻击 https://www.bleepingcomputer.com/news/security/tiktok-videos-continue-to-push-infostealers-in-clickfix-attacks/ 安全研究者发现，犯罪分子在TikTok上发布伪装为“免费激活”指南的视频，利用ClickFix社工手法诱导用户在PowerShell中运行一行命令以下载并执行恶意脚本，从而感染信息窃取器（如Aura Stealer）并窃取浏览器凭证、钱包及其它敏感数据。ISC与BleepingComputer的分析指出，攻击链会从远程站点（例如 slmgr[.]win）检索脚本并进一步从 4、微软警告十月更新导致智能卡认证故障 https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-25h2#3697msgdesc 微软发布通告称，2025年10月的Windows安全更新引发了智能卡认证与证书相关问题，影响范围涵盖所有版本的Windows 10、Windows 11及Windows Server。该问题源于微软为增强加密安全性而默认启用的一项更改，将RSA智能卡证书从CSP迁移至KSP机制，以防止CVE-2024-30098漏洞利用。然而，该调整导致部分系统出现无法识别智能卡、签名失败及“invalid provider 5、CISA 警告称苹果、Kentico、微软多个漏洞已被利用 https://www.securityweek.com/cisa-warns-of-exploited-apple-kentico-microsoft-vulnerabilities/ 美国网络安全机构 CISA 于周一警告称，最近公开的 Windows SMB 客户端和 Kentico Xperience CMS 漏洞已在野外被利用。CVE-2022-48503（CVSS 评分为 8.8），一个在苹果产品中的任意代码执行问题，已经在野外被滥用。 6、无印良品因物流合作伙伴遭勒索攻击暂停线上销售 https://www.freebuf.com/articles/es/453589.html 日本零售巨头无印良品（Muji）在其物流合作伙伴Askul遭受勒索软件攻击后，暂停了线上销售业务。此次网络事件导致配送服务和线上商店功能中断，包括订单处理和应用服务。 7、TP-Link Omada网关曝高危漏洞，可未授权远程执行命令 https://www.freebuf.com/articles/es/453472.html TP-Link Systems 已发布新版固件，修复其广受欢迎的 Omada 网关系列产品中四个高危漏洞，这些产品包括 ER605、ER7206、ER8411 等在企业和小型商业网络中广泛部署的型号。编号为 CVE-2025-6541、CVE-2025-6542、CVE-2025-7850 和 CVE-2025-7851 的漏洞可使攻击者在受影响设备上执行任意操作系统命令，某些情况下甚至无需认证。 8、杜比解码器零点击漏洞曝光，安卓用户可能遭RCE https://www.freebuf.com/articles/system/453416.html 杜比DDPlus解码器中被披露存在一处关键零点击漏洞，攻击者可通过看似无害的音频消息远程执行恶意代码。谷歌Project Zero团队的Ivan Fratric与Natalie Silvanovich发现，DDPlus解码器在处理音频文件演进数据时存在越界写入缺陷。 9、GlassWorm蠕虫利用隐形Unicode与区块链实现隐蔽C2通信 https://securityonline.info/glassworm-supply-chain-worm-uses-invisible-unicode-and-solana-blockchain-for-stealth-c2/ 全球首个VS Code扩展恶意软件GlassWorm被发现，结合隐形Unicode注入、区块链C2和RAT功能，已感染3.58万次安装。它能自主传播、窃取凭证并控制设备，代表供应链攻击新高度，目前仍在活跃扩散。 10、微软WSUS曝高危漏洞PoC 利用代码已公开 https://cybersecuritynews.com/poc-wsus-rce-vulnerability/ 微软WSUS(Windows Server Update Services )曝高危漏洞CVE-2025-59287（CVSS 9.8），允许未授权攻击者以SYSTEM权限远程执行代码，影响2012-2025所有版本。PoC已公开，建议立即应用10月补丁并隔离WSUS服务器，防范供应链攻击风险。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、 虚假Homebrew恶意软件借谷歌广告推广诱导macOS用户感染 https://hunt.io/blog/macos-odyssey-amos-malware-campaign 研究人员称，一起针对macOS开发者的恶意活动通过伪造Homebrew、LogMeIn与TradingView网站并借助Google Ads推广，诱导用户复制粘贴终端命令（“ClickFix”手法）来安装恶意软件。伪站点提供看似正常的下载入口，但复制按钮实际将base64编码的安装命令写入剪贴板，运行后会下载并执行install.sh，绕过Gatekeeper、移除隔离标记并以sudo提权。载荷为AMOS（已商业化的MaaS）或Odyssey Stealer，先检测虚拟机/分析环 2、欧盟破获跨国SIM卡犯罪网络 https://www.europol.europa.eu/media-press/newsroom/news/cybercrime-service-takedown-7-arrested 在代号为“SIMCARTEL”的行动中，欧洲刑警组织（Europol）联合多国警方摧毁了一个非法SIM盒服务网络，该网络租售虚假电话号码供网络犯罪使用，涉及3200多起诈骗案，造成损失超450万欧元。该服务通过网站gogetsms.com与apisim.com运营，拥有约1200台SIM盒设备和4万张SIM卡，为用户提供全球80多个国家注册的电话号码，用于开设和验证虚假账户，从而隐藏真实身份。警方指出，该 3、微软修复史上最严重ASP.NET漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-highest-severity-aspnet-core-flaw-ever/ 微软近日修复了一个被评为“ASP.NET Core史上最高严重等级”的漏洞（CVE-2025-55315），该漏洞存在于Kestrel Web服务器中，可被认证攻击者利用实施HTTP请求走私，从而劫持其他用户凭证或绕过前端安全控制。成功利用后，攻击者可访问敏感信息、篡改文件内容或导致服务器崩溃。微软已为Visual Studio 2022、ASP.NET Core 2.3、8.0与9.0 4、ConnectWise修复可被利用的Automate漏洞 https://www.connectwise.com/company/trust/security-bulletins/connectwise-automate-2025.9-security-fix ConnectWise发布安全更新，修复其远程监控与管理平台Automate中的两项严重漏洞，其中编号为CVE-2025-11492的漏洞严重度高达9.6，因代理可通过未加密的HTTP通信，可能被攻击者实施“中间人攻击”（AiTM），拦截或篡改指令、凭证及更新数据。另一漏洞CVE-2025-11493缺乏更新包完整性验证，攻击者可借此伪造合法服务器推送恶意更新。两者结合可使攻击者在高权限环境 5、美航子公司Envoy遭Clop窃取Oracle数据 https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/ 美国航空旗下地区航空公司Envoy Air证实，其Oracle E-Business Suite系统遭到数据窃取，此前Clop勒索团伙在其泄露网站上公布了所谓被盗数据。Envoy表示事件发生后立即展开调查并报警，经审查确认未涉及客户或敏感信息，仅部分业务资料与商业联系方式受影响。该事件与Clop于今年8月发起的Oracle数据盗取行动有关，攻击者利用零日漏洞CV 6、银狐组织攻击范围扩展至日本和马来西亚 https://www.freebuf.com/articles/453198.html 网络安全研究人员发现，被称为Winos 4.0（又名ValleyRAT）的恶意软件家族背后的威胁行为者已将其攻击范围从中国大陆和台湾地区扩展到日本和马来西亚，此次攻击使用了另一个远程访问木马（RAT）——HoldingHands RAT（又名Gh0stBins）。 7、Spring两大漏洞可导致泄露敏感信息及安全防护绕过 https://securityonline.info/spring-patches-two-flaws-spel-injection-cve-2025-41253-leaks-secrets-stomp-csrf-bypasses-websocket-security/ Spring发布两项高危漏洞修复：CVE-2025-41253影响Spring Cloud Gateway，可能导致SpEL注入泄露敏感数据；CVE-2025-41254影响Spring Framework，允许WebSocket CSRF绕过发送未授权消息。建议用户立即升级或采取临时防护措施。 8、思科修复桌面及IP电话高危DoS漏洞 https://securityonline.info/cisco-patches-high-severity-cve-2025-20350-dos-flaw-in-desk-and-ip-phones/ 思科修复两款高危漏洞（CVE-2025-20350和CVE-2025-20351），影响9800、7800、8800和8875系列电话，可能导致DoS或XSS攻击。漏洞利用需启用Web访问（默认禁用）。思科已发布固件更新，建议用户尽快升级。 9、CISA警告Windows访问控制漏洞正遭攻击者利用 https://cybersecuritynews.com/windows-improper-access-control-vulnerability/ CISA警告Windows高危漏洞CVE-2025-59230正被利用，该漏洞允许本地提权控制整个网络，影响Win10/11及Server版本。微软已发布补丁，联邦机构须在11月5日前修复，否则面临数据泄露风险。建议立即更新并限制远程访问。 10、神秘象APT组织渗透亚太政府机构窃取敏感信息 https://cybersecuritynews.com/mysterious-elephant-apt-hackers-infiltrate-organization/ 神秘象APT组织针对亚太政府机构，利用钓鱼邮件触发Office漏洞（CVE-2017-11882），部署BabShell和MemLoader HidenDesk加载器窃取WhatsApp数据，采用XOR加密外传，技术成熟且隐蔽性强。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、SAP NetWeaver漏洞可使攻击者无需登录即可接管服务器 https://onapsis.com/blog/sap-security-patch-day-october-2025/ SAP发布10月安全更新，修复13项漏洞，其中最严重的CVE-2025-42944（CVSS 10.0）存在于NetWeaver AS Java中，源于RMI-P4模块的不安全反序列化，攻击者可在无需登录的情况下通过开放端口提交恶意载荷，实现任意系统命令执行，完全控制服务器。此次更新在原有修复基础上新增JVM级过滤机制（jdk.serialFilter），防止敏感类被反序列化。此外，SAP还修复了打印服务目录遍历漏洞（CVE-2025-42937，CVSS 9.8）与供 2、Red Lion RTU中的两个漏洞可能使黑客获得完全工业控制权 https://claroty.com/team82/research/roaring-access-exploiting-a-pre-auth-root-rce-on-sixnet-rtus 研究人员披露，Red Lion SixTRAK与VersaTRAK系列RTU存在两处最高评分漏洞（CVE-2023-42770、CVE-2023-40151），可被未认证攻击者绕过验证并以根权限执行任意命令，影响能源、水务、交通等工业控制场景。厂商与CISA已发布通告并提供修补建议；建议用户尽快打补丁、启用设备用户认证并阻断对受影响设备的TCP访问以降低被链式利用的风险。 3、黑客利用思科SNMP漏洞在“Zero Disco”攻击中部署恶意软件 https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html 研究人员披露，代号“Zero Disco”的攻击利用Cisco IOS/IOS XE中的SNMP栈溢出漏洞CVE-2025-20352（CVSS 7.7）在未打补丁的旧设备（9400、9300、3750G 等）上部署Linux根套件。入侵者通过构造的SNMP包触发代码执行，随后在IOSd内存植入钩子、设置包含“disco”字样的通用密码、并通过UDP控制器开启后门、禁用日志与篡改配置 4、朝鲜黑客利用区块链“EtherHiding”技术投递恶意软件 https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding Google威胁情报组（GTIG）发现，朝鲜国家级黑客组织UNC5342自2025年2月起在“Contagious Interview”行动中采用“EtherHiding”技术，通过智能合约在以太坊和币安智能链上隐藏并投递恶意代码。这是首次发现国家级攻击者使用该方法。该技术可将载荷嵌入区块链智能合约中，凭借匿名性和抗下架性实现隐蔽传播。攻击者伪装成招聘人员，诱骗开发者在“面试考核”中运行JavaScript下载器，加载名为“JADE 5、微软阻断针对Teams用户的勒索攻击 https://www.bleepingcomputer.com/news/microsoft/microsoft-disrupts-ransomware-attacks-targeting-teams-users/ 微软近日成功阻止一系列由威胁组织“Vanilla Tempest”（又称 Vice Society、VICE SPIDER）发起的Rhysida勒索软件攻击。该组织通过伪造的Teams安装网站（如teams-install[.]top等）和恶意广告投放传播伪造的“MSTeamsSetup.exe”文件，利用签名恶意证书分发Oyster后门（又名Broomstick或CleanU 6、CISA警告Adobe严重漏洞已被攻击者利用 https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerability-catalog CISA近日警告称，攻击者正积极利用Adobe Experience Manager（AEM）中的严重漏洞（CVE-2025-54253）发起攻击。该漏洞源自AEM Forms在JEE 6.5.23及更早版本中的配置缺陷，允许未认证的攻击者绕过安全机制并执行远程代码。成功利用该漏洞无需用户交互，攻击复杂度低。该漏洞于2025年4月由Searchlight Cyber的研究员发现，并报告给A 7、超过26.6万F5 BIG-IP实例暴露于远程攻击风险中 https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/ 2025年10月16日，BleepingComputer报道指出，超过26.6万台F5 BIG-IP设备暴露于远程攻击风险，可能遭遇严重的网络攻击。这些设备广泛应用于企业数据中心中，负责管理应用程序流量和负载均衡。然而，多个F5 BIG-IP版本中存在未修复的高危漏洞，黑客可以通过这些漏洞远程执行恶意命令，危及企业的网络安全。该问题源自F5 BIG-IP系统中的多个漏洞，其中最严重 8、WatchGuard VPN漏洞可导致攻击者远程接管设备 https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015 2025年10月17日，网络安全研究人员披露了一项已修复的WatchGuard Fireware漏洞（CVE-2025-9242），该漏洞可能允许未经身份验证的远程攻击者执行任意代码，严重威胁VPN服务的安全。该漏洞影响了多个版本的Fireware OS，包括11.10.2至12.11.3和2025.1，CVSS评分高达9.3。攻击者可以通过利用该漏洞，在VPN隧道建立过程中的IKE_SA_AUTH阶段触发缓冲区溢出，从而实现远程代码执行。漏洞的根源在于“ike2_P 9、丝绸诱饵行动：中国金融科技企业遭恶意简历LNK文件攻击 https://securityonline.info/operation-silk-lure-chinese-espionage-targets-fintech-with-malicious-resume-lnk-to-implant-valleyrat/ Seqrite实验室发现"丝绸诱饵行动"网络活动，攻击者伪装求职者发送恶意简历.LNK文件，针对中国金融科技企业。攻击链包含多阶段载荷、计划任务持久化和ValleyRAT木马，具备数据窃取和反检测能力，C2服务器位于美国。 10、国安破获美国NSA入侵中国国家授时中心案 https://www.ithome.com/0/890/556.htm 2022 年 3 月 25 日起，美国安局利用某境外品牌手机短信服务漏洞，秘密网攻控制国家授时中心多名工作人员的手机终端，窃取手机内存储的敏感资料。2023 年 4 月 18 日起，美国安局多次利用窃取的登录凭证，入侵国家授时中心计算机，刺探该中心网络系统建设情况。2023 年 8 月至 2024 年 6 月，美国安局专门部署新型网络作战平台，启用 42 款特种网攻武器，对国家授时中心多个内部网络系统实施高烈度网攻，并企图横向渗透至高精度地基授时系统，预置瘫痪破坏能力。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、威胁行为者通过OpenVSX平台投放恶意VSCode扩展 https://www.koi.ai/blog/tiger-jack-malicious-vscode-extensions-stealing-code 安全研究机构Koi Security发现，名为TigerJack的威胁行为者再次通过OpenVSX平台投放恶意VSCode扩展，针对开发者窃取加密货币并植入后门。此前已在微软VSCode市场下架的扩展 “C++ Playground” 和 “HTTP Format” 仍在OpenVSX上可下载。前者通过监听编辑事件实时外传源代码，后者则在后台运行CoinIMP挖矿程序，占用全部主机算力。此外，部分扩展还能从远程服务器周期性加载并执行Java 2、近20万台Framework笔记本曝Secure Boot绕过风险 https://eclypsium.com/blog/bombshell-the-signed-backdoor-hiding-in-plain-sight-on-framework-devices/ 固件安全公司Eclypsium报告称，美国电脑厂商Framework约20万台运行Linux的笔记本和桌面系统存在Secure Boot绕过风险。问题源于其出厂固件中包含签名的UEFI Shell组件，其中的 “mm” 命令 可直接读写系统内存。攻击者可利用该命令篡改关键变量gSecurity2，将其置空以禁用签名验证，从而加载恶意bootkit（如 BlackLotus、HybridPety 3、美司法部查获150亿美元“杀猪盘”加密资产 https://www.justice.gov/usao-edny/pr/chairman-prince-group-indicted-operating-cambodian-forced-labor-scam-compounds-engaged 美国司法部宣布，从柬埔寨犯罪组织 “Prince Group” 首领陈志（又名Vincent）处查获约150亿美元比特币。该集团自2015年起在全球三十余国设立百余家空壳公司，通过社交媒体与交友平台实施“杀猪盘”式加密投资诈骗，诱骗受害者投入虚假项目后转移资金。调查显示，组织在柬埔寨设有封闭园区，强迫数千人从事诈骗并以暴力威胁控制。陈志涉嫌贿赂官员 4、F5遭国家级黑客入侵泄露BIG-IP源代码与漏洞信息 https://my.f5.com/manage/s/article/K000154696 美国网络安全公司F5披露，其系统遭国家级黑客入侵，导致BIG-IP产品源代码及未公开漏洞信息被窃取。事件最早于2025年8月9日被发现，调查显示攻击者长期潜伏于F5的产品开发与工程知识平台中，外泄部分客户配置与实现细节。尽管尚无证据表明被盗漏洞被利用或源代码遭篡改，F5强调软件供应链安全未受影响。公司已重置凭据、强化访问控制，并委托NCC Group、IOActive、CrowdStrike与Mandiant独立审查。为防范潜在风险，F5发布多项安全更新及威胁狩猎指南，建议用户及时升级BIG-IP、F 5、黑客假冒LastPass与Bitwarden邮件诱导用户下载远控木马 https://blog.lastpass.com/posts/october-13-2025-phishing-campaign 安全通报指出，一波冒充LastPass与Bitwarden的钓鱼邮件谎称发生泄露，诱导用户下载“更安全”的桌面客户端。实际上，所下载二进制会安装Syncro MSP代理并进一步部署ScreenConnect远程访问工具——隐藏托盘、定期回连、并尝试禁用安全软件。攻击者可借此远程控制受害主机、部署恶意载荷并窃取密码管理器凭证。LastPass已声明未遭入侵，Cloudflare已屏蔽相关落地页；安全研究建议用户仅通过官方网站获取更新，切勿运行来路不明的安装包。 6、Rockwell RAT路由器存在严重漏洞可完全接管 https://www.anquanke.com/post/id/312605 罗克韦尔自动化（Rockwell Automation）发布新安全公告，警告客户其1783-NATR网络地址转换（NAT）路由器存在三个漏洞，其中包括一个严重的认证绕过缺陷，可能导致受影响设备被完全接管管理员权限。 7、Chrome修复安全浏览组件中的高危UAF漏洞 https://www.anquanke.com/post/id/312611 谷歌已发布面向桌面端的新稳定版更新，将在未来几天至几周内逐步推送至Windows、macOS和Linux系统。此次更新将Windows和Mac版Chrome升级至141.0.7390.107/.108，Linux版升级至141.0.7390.107，修复了一个高严重性安全漏洞，该漏洞可能允许攻击者利用Chrome的安全浏览（Safe Browsing）组件发起攻击。 8、Veeam Backup 中被发现存在严重RCE漏洞 https://www.anquanke.com/post/id/312608 Veeam Software已发布补丁，修复三个新披露的漏洞，其中包括Veeam Backup & Replication中的两个严重远程代码执行（RCE）漏洞，以及Veeam Agent for Microsoft Windows中的一个权限提升漏洞。 9、Microsoft IIS 漏洞允许未授权攻击者执行恶意代码 https://www.freebuf.com/articles/web/452780.html 微软近日披露其互联网信息服务（IIS）平台存在一个关键的远程代码执行漏洞，该漏洞对依赖Windows服务器进行网络托管的企业构成安全风险。该漏洞编号为CVE-2025-59282，影响处理全局内存的Inbox COM Objects组件，源于竞态条件（race condition）和释放后使用（use-after-free）错误。微软于2025年10月14日发布公告，将其CVSS 3.1基础评分定为7.0，评级为"重要"。 10、Altamides监控平台曝光：全球上万位政要、记者与高管遭秘密追踪 https://www.secrss.com/articles/84023 最近，一项国际调查揭露了一个名为Altamides的电话跟踪平台，这个平台已秘密运作20年，利用电信协议漏洞，仅凭一个电话号码就能实时定位全球任何人的位置。根据泄露的记录，这个平台被用于监视超过14,000个电话号码，目标包括政治人物、知名高管、记者和活动人士。这不仅仅是技术漏洞的滥用，更是全球监视产业的黑暗一角。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Astaroth银行木马利用GitHub发起攻击 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/ 网络安全研究人员报告称，Astaroth银行木马在新一轮活动中利用GitHub作为配置后备，通过托管隐写图片来更新配置，使得在传统C2被查封后仍能继续运行。攻击链始于仿DocuSign的钓鱼邮件，受害者下载并打开被压缩的.lnk快捷方式，内含混淆JavaScript以拉取额外代码并下载AutoIt脚本，随后执行shellcode、加载Delphi DLL并注入RegSvc.exe 2、研究人员揭露TA585的MonsterV2恶意软件功能和攻击链 https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal 研究人员披露，名为TA585的威胁组织通过钓鱼、网页注入与伪造GitHub告警等多种自持交付手段，独立掌控完整攻击链以传播MonsterV2木马。MonsterV2为即付即用的远控/信息窃取/加载器，支持HVNC、剪贴板替换、按键记录、屏幕截取与远程命令执行，常用PowerShell或ClickFix社会工程触发，通常由SonicCrypt加壳并带有反调试、反沙箱与持久化功能；其控制端按地理位置 3、开发者包被滥用向Discord泄密 https://socket.dev/blog/weaponizing-discord-for-command-and-control 研究人员发现，多款npm、PyPI和RubyGems恶意软件包利用Discord webhook作为C2渠道，将开发者敏感数据发送至攻击者控制的频道。例如，mysql-dumpdiscord窃取配置文件，sqlcommenter_rails收集系统信息发送至固定webhook。此类攻击可在安装或构建阶段悄然获取.env、API密钥及主机信息，绕过运行时监控。同时，北朝鲜相关组织通过“Contagious Interview”运动上传数百个恶意或拼写相似包，目 4、Android系统存在Pixnapping漏洞可窃取2FA代码 https://www.pixnapping.com/ 研究人员披露名为Pixnapping的新型像素侧信道攻击，能在Android（在测验的Google/Samsung设备上为Android 13–16）上在不需特殊权限的情况下，利用意图与半透明Activity叠加将目标像素送入渲染流水线，并通过GPU压缩侧效应逐像素窃取2FA验证码、Google Maps时间线等敏感信息。攻击依赖先前的GPU.zip技术并可在30秒内提取验证码；需诱导用户安装并运行恶意应用。谷歌以CVE‑2025‑48561在2025年9月发布部分修补，并计划在12月推更全面补丁；研究者亦指出存在通过调整时序绕过缓解措 5、AMD CPU漏洞可导致机密虚拟机被绕过与窃取 https://rmpocalypse.github.io/#abstract ETH Zürich研究人员披露名为“RMPocalypse”的缺陷，攻击者仅需在逆向映射表（RMP）中写入8字节即可破坏AMD SEV‑SNP的机密计算保障，导致机密虚拟机（CVM）完整性与机密性被完全绕过与窃取。AMD已将该问题标为CVE‑2025‑0033（CVSS 5.9），并发布补丁与缓解建议；受影响的EPYC系列、Supermicro主板与Azure机群已着手修复，部分嵌入式型号的修补计划在2025年11月发布。研究者警告称，此漏洞可被有管理权限的恶意管理程序利用以注入代码、伪造证明与回放攻击，严重削 6、近半数地球同步卫星传输未加密数据，可低成本窃听通信 https://securityaffairs.com/183404/hacking/unencrypted-satellites-expose-global-communications.html 研究发现近半数地球同步卫星传输未加密数据，敏感通信易被截获。仅用800美元设备即可窃听私人通话、短信及军事通信，暴露全球网络安全漏洞。部分企业已加密，但关键基础设施仍存风险。 ７、甲骨文EBS两周内连爆高危漏洞，可导致敏感数据泄露 https://www.csoonline.com/article/4072174/oracle-issues-second-emergency-patch-for-e-business-suite-in-two-weeks.html 甲骨文两周内第二次紧急修补EBS高危漏洞(CVE-2025-61884)，该漏洞允许远程窃取数据。专家警告ERP系统正成为勒索软件新目标，建议企业立即打补丁并排查入侵迹象，同时重新评估ERP安全策略，实施最小权限和零信任原则。 ８、Windows远程访问连接管理器0Day漏洞已被用于攻击利用 https://cybersecuritynews.com/remote-access-connection-manager-0-day/ 微软确认Windows远程访问连接管理器存在高危0Day漏洞CVE-2025-59230，攻击者可借此提升至SYSTEM权限。该漏洞影响多个Windows版本，CVSS评分7.8，已遭主动利用。微软紧急发布补丁，未修复系统面临勒索软件等高风险。 ９、西门子高危漏洞可致SIMATIC CP配置遭未授权远程访问 https://securityonline.info/critical-siemens-flaw-cve-2025-40771-cvss-9-8-allows-unauthenticated-remote-access-to-simatic-cp-config/ 西门子发布SIMATIC ET 200SP通信处理器关键安全更新，修复高危漏洞CVE-2025-40771（CVSS 9.8），该漏洞允许未授权远程访问配置数据，影响多款设备V2.4.24之前版本。建议立即升级固件或限制可信IP访问。 10、PolarEdge后门定制攻击威胁思科、群晖及威联通设备 https://securityonline.info/sekoia-exposes-polaredge-backdoor-custom-mbedtls-c2-compromising-cisco-qnap-and-synology-devices/ Sekoia揭露PolarEdge后门利用CVE-2023-20118漏洞攻击思科等设备，通过定制TLS服务器执行命令，采用多层加密和反检测技术，支持多样化操作模式，威胁持续扩散。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、西班牙摧毁“GXC Team”网络犯罪集团 https://www.group-ib.com/media-center/press-releases/guardia-civil-gxc-team-takedown/ 西班牙国民警卫队成功捣毁名为“GXC Team”的网络犯罪组织，并逮捕其核心成员——25岁的巴西籍嫌犯“GoogleXcoder”。该团伙运营“犯罪即服务”（CaaS）平台，通过Telegram和俄语黑客论坛出售AI钓鱼工具包、安卓恶意软件及语音诈骗工具。调查显示，其攻击目标涵盖西班牙、英国、美国、斯洛伐克及巴西的银行、电商与交通企业，至少运营250个仿冒网站及9种拦截短信与一次性密码的恶意程序。警方在多地同步突袭中缴获源 2、SimonMed数据泄露致逾120万名患者受影响 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/db44458c-e230-4f17-88b4-0513fc890cc6.html 美国医学影像服务商SimonMed Imaging近日披露，其系统在年初遭黑客入侵，导致约120万名患者个人信息泄露。此次事件发生于1月21日至2月5日期间，黑客在三周内获得对公司网络的未经授权访问。公司在1月27日接获供应商警报后启动调查，并采取了重置密码、多因素认证、部署EDR监控及限制外部访问等措施。勒索组织Medusa随后声称对此次攻击负责，并泄 3、Sudo工具曝高危权限提升漏洞，PoC已公开 https://www.freebuf.com/articles/network/452573.html 广泛使用的 Sudo 工具中存在一个高危漏洞（CVE-2025-32463），随着概念验证（PoC）利用代码的公开，引发了全球 Linux 系统管理员的高度警惕。该漏洞影响 Sudo 1.9.14 至 1.9.17 版本的 chroot 功能，可使本地攻击者轻松将权限提升至 root 级别。 4、Clevo UEFI固件泄露英特尔Boot Guard私钥 https://www.freebuf.com/articles/system/452521.html CERT协调中心（CERT/CC）针对编号为CVE-2025-11577的关键供应链漏洞发布警告。研究人员发现，Clevo的UEFI固件更新包意外泄露了英特尔Boot Guard私钥，攻击者可利用这些密钥签署恶意固件，使其通过系统信任验证，从而破坏预启动环境并威胁平台完整性。 5、AMD安全加密虚拟化技术漏洞，致加密虚拟机可被完全攻破 https://www.freebuf.com/articles/system/452494.html 苏黎世联邦理工学院研究团队披露了一个被命名为RMPocalypse的关键漏洞（CVE-2025-0033），该漏洞影响了AMD Zen 3、Zen 4和Zen 5处理器系列的机密计算技术。攻击者可利用此漏洞完全攻破受SEV-SNP（安全加密虚拟化-安全嵌套分页）保护的虚拟机，使AMD这项旗舰级云安全功能的所有保密性和完整性保障全部失效。 6、Astaroth银行木马滥用GitHub维持运营以规避打击 https://thehackernews.com/2025/10/astaroth-banking-trojan-abuses-github.html Astaroth银行木马利用GitHub托管恶意配置规避打击，通过钓鱼邮件传播，针对拉美金融网站窃密，具备反分析能力。攻击链涉及JavaScript、AutoIt和Delphi，滥用GitHub作为备用C2基础设施。 7、澳洲航空数百万客户数据遭泄露 https://www.csoonline.com/article/4071394/daten-von-millionen-qantas-kunden-offentlich.html 澳航570万客户数据遭黑客窃取后被公开，含姓名、邮箱等个人信息。黑客勒索未果，数据已在暗网和公共网络流传。此次7月攻击波及全球约40家企业。 8、黑客滥用175个npm软件包与unpkg CDN发起大规模网络钓鱼 https://www.anquanke.com/post/id/312538 Socket威胁研究团队揭露了一场大规模供应链滥用活动，该活动利用npm公共注册表和unpkg.com 的CDN作为免费托管基础设施发起钓鱼攻击。这项代号为“Beamglea”的行动涉及175个恶意npm包，累计下载量超26,000次，目标覆盖全球工业、能源和科技领域的135家以上组织。 9、黑客利用Gladinet文件共享软件的零日漏洞发起在野攻击 https://www.anquanke.com/post/id/312552 威胁行为者正在利用Gladinet CentreStack和Triofox产品中的零日漏洞（CVE-2025-11371），该漏洞允许本地攻击者无需认证即可访问系统文件。目前已有至少三家公司成为攻击目标。尽管补丁尚未发布，但客户可采取缓解措施。 10、微软在新版中移除Win11离线安装选项，全面强制联网登录 https://www.anquanke.com/post/id/312487 微软已取消了在Windows 11安装过程中创建纯本地用户账户的最后途径，这意味着今后所有全新安装都必须连接互联网并登录微软账户。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ChaosBot利用Discord频道控制受害者电脑 https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control 网络安全公司eSentire报告称，研究人员在2025年9月底于一家金融服务客户环境中首次发现一款名为ChaosBot的Rust编写后门。攻击者通过被窃取的Cisco VPN凭据与过度权限的AD账户（serviceaccount），利用WMI横向传播并部署恶意DLL（msedge_elf.dll，借助 identity_helper.exe侧载）。该后门常通过含恶意LNK的钓鱼邮件分发，打开时会执行Power 2、研究人员发现175个恶意npm包用于凭证钓鱼 https://socket.dev/blog/175-malicious-npm-packages-host-phishing-infrastructure 安全研究机构Socket披露，一场代号“Beamglea”的大规模凭证钓鱼行动利用175个恶意npm包（累计下载约2.6万次）和unpkg CDN托管重定向脚本，针对135+家工业、科技与能源企业。攻击者借助redirect_generator.py自动发布名为redirect-xxxx的包，注入受害者邮箱与定制钓鱼URL，生成含beamglea.js的HTML诱饵（已发现630余个），邮件或其它途径传播后，受害者在浏览器打开即被重定 3、Stealit恶意软件通过游戏和VPN安装程序进行传播 https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application Fortinet FortiGuard Labs披露，名为Stealit的活跃恶意软件团伙利用Node.js的Single Executable Application（SEA）及部分Electron打包特性，通过伪装的游戏和VPN安装程序在Mediafire、Discord等文件站点传播。该样本在运行前做反分析与沙箱检测，并将Base64编码的12字符认证密钥写入%temp%\c 4、SonicWall VPN遭大规模入侵 https://www.huntress.com/blog/sonicwall-sslvpn-compromise 网络安全公司Huntress警告称，自2025年10月4日起，黑客正大规模入侵SonicWall SSL VPN设备，已影响超100个账户、涉及16家客户。攻击者通过已掌握的有效凭证快速登录多台设备，部分仅短暂连接即断开，部分则执行网络扫描并尝试访问本地Windows账户。此次事件发生背景为SonicWall此前确认MySonicWall云备份服务泄露防火墙配置文件，虽尚无证据表明两起事件关联，但安全专家提醒，配置文件中包含可被利用的敏感凭证与设置信息。Huntress建议受影 5、Oracle EBS曝高危未授权漏洞 https://www.oracle.com/security-alerts/alert-cve-2025-61884.html Oracle发布安全警报，披露其E-Business Suite存在编号为CVE-2025-61884的高危漏洞（CVSS 7.5），受影响版本涵盖12.2.3至12.2.14。该漏洞可被远程攻击者经HTTP在无身份验证的情况下利用，直接访问或控制Oracle Configurator中的敏感数据。尽管目前暂无在野利用报告，Oracle敦促用户尽快安装修复更新。首席安全官Rob Duhart表示，该问题影响部分EBS部署，若被武器化可能导致敏感资源泄露。值得注意的 6、微软Defender for Endpoint漏洞3个月未修复 https://www.freebuf.com/articles/endpoint/452300.html 研究人员发现微软 Defender for Endpoint（DFE）与其云服务之间的网络通信存在严重漏洞，可使入侵后的攻击者绕过身份验证、伪造数据、泄露敏感信息，甚至将恶意文件上传至调查数据包。 7、7-Zip两大高危漏洞可导致任意代码执行 https://www.freebuf.com/articles/network/452293.html Zero Day Initiative（ZDI）近日披露了开源压缩工具 7-Zip 中两处高危漏洞的技术细节，攻击者可诱骗用户打开特制 ZIP 文件实现任意代码执行。目前这两个漏洞已在 7-Zip 25.00 版本中完成修复。 8、微软终修复 Win11 异常重启故障："更新并关机"功能恢复正常 https://securityonline.info/microsoft-finally-fixes-windows-11-bug-causing-pcs-to-auto-restart-instead-of-update-and-shut-down/ Windows 11修复"更新并关机"异常重启问题，此前该选项会错误执行重启导致夜间自动开机。补丁已在预览版推出，正式版将很快更新。 9、Happy DOM曝CVSS 9.4严重RCE漏洞 https://www.freebuf.com/articles/web/452325.html 流行的JavaScript包Happy DOM曝出严重安全漏洞，该漏洞可使攻击者逃逸Node.js虚拟机（VM）上下文并在主机系统上执行任意代码。该漏洞被追踪为CVE-2025-61927，CVSSv4评分为9.4。Happy DOM是一款用于测试、爬取和服务器端渲染（SSR）的浏览器模拟工具。据安全公告显示："Happy DOM v19及更低版本存在安全漏洞，可能导致系统遭受远程代码执行（RCE）攻击。" 10、新型“Mic-E-Mouse”攻击：光学鼠标秒变隐蔽窃听设备 https://www.anquanke.com/post/id/312479 加州大学欧文分校的研究人员展示了一种新颖且实用的侧信道攻击，名为”Mic-E-Mouse”。该攻击利用日常光学鼠标的传感器来还原可理解的人声，从而将普通鼠标变成一种粗糙但隐蔽的麦克风。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ClayRat间谍软件伪装热门应用攻击安卓用户 https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia 移动安全公司Zimperium披露，一种名为ClayRat的安卓间谍软件近期针对俄罗斯用户展开攻击，伪装成WhatsApp、TikTok、YouTube等热门应用，通过虚假网站和Telegram频道诱导下载。该恶意程序可窃取短信、通话记录、通知及设备信息，甚至可远程拍照、发送短信或拨打电话。ClayRat具备自我传播能力，会向受害者通讯录中的所有联系人发送恶意链接。研究人员在过去90天内检测到逾600个样本和50个投递器，每次迭代均强化混淆技术以 2、Cl0p关联黑客利用Oracle零日攻击数十机构 https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation Google威胁情报组与Mandiant联合报告称，自2025年8月起，多家组织因Oracle E-Business Suite（EBS）软件零日漏洞遭受入侵，攻击行为被认为与Cl0p勒索组织有关。攻击者利用编号为CVE-2025-61882的高危漏洞（CVSS 9.8），结合SSRF、CRLF注入及认证绕过等手法，远程执行代码并窃取敏感数据。9月下旬起，黑客从被盗账户向企业高管群发勒索邮件 3、SonicWall云防火墙备份遭入侵引发紧急排查 https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330 网络安全厂商SonicWall确认，其云备份服务遭未授权访问，所有使用该功能的客户防火墙配置备份文件均被黑客获取。文件虽含加密凭据，但其被窃取可能提升针对性攻击风险。公司已发布设备自检与修复工具，并敦促用户立即登录MySonicWall账户核查设备状态。此前，SonicWall曾要求客户重置凭据，称仅约5%客户受影响，但最新调查显示影响范围更广。攻击者通过暴力破解云备份API接口，获取防 4、Gladinet与TrioFox零日漏洞遭黑客主动利用 https://www.huntress.com/blog/gladinet-centrestack-triofox-local-file-inclusion-flaw 网络安全公司Huntress警告称，Gladinet CentreStack与TrioFox产品中存在的零日漏洞（CVE-2025-11371）已被黑客在野利用。该漏洞为未认证的本地文件包含（LFI）缺陷，影响16.7.10368.56560及更早版本，允许攻击者访问系统文件并提取Web.config中的机器密钥，从而结合旧漏洞CVE-2025-30406实现远程代码执行（RCE）。自9月27日起，Huntress已确认至少 5、RondoDox僵尸网络利用56个已知漏洞全球扩散 https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat Trend Micro研究人员披露，新型大型僵尸网络“RondoDox”正利用多达56个已知漏洞（n-day漏洞），攻击全球30余种设备类型，包括DVR、NVR、CCTV系统及Web服务器。该僵尸网络自2025年6月起活跃，采用“漏洞散射”（exploit shotgun）策略，同时利用多个漏洞扩大感染面，即便噪声明显也不加掩饰。分析显示，RondoDox密切关注Pwn2Own黑客竞赛中披露的漏洞，并迅速武 6、FileFix攻击变种以缓存走私绕过安全防护 https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/ 网络安全研究员Marcus Hutchins披露，一种名为“FileFix”的社交工程攻击新变种正利用缓存走私（cache smuggling）技术，绕过安全软件隐蔽下载恶意ZIP文件。攻击伪装为“Fortinet VPN 合规检查器”，诱导受害者将伪造的网络路径粘贴至资源管理器地址栏。由于路径中隐藏了填充空格后的PowerShell命令，用户在回车后会在无界面模式下执行恶意脚本。该脚本从Chrome缓存中提取伪装为图像的ZIP文件并运行其 7、黑客利用“薪资劫持”攻击入侵多所美国大学 https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/ 微软威胁情报团队披露，网络犯罪团伙Storm-2657自2025年3月起发起“薪资劫持”（Payroll Pirate）攻击，针对美国高校员工窃取工资支付。攻击者通过钓鱼邮件窃取Workday等人事SaaS平台账户，部分还利用中间人钓鱼（AITM）链接窃取MFA验证码，实现账户接管。微软称，已有三所大学的11个账户被攻破，攻击邮件扩散至 8、苹果将RCE漏洞赏金提高至200万美元以应对商业间谍软件威胁 https://www.csoonline.com/article/4071044/apple-bumps-rce-bug-bounties-to-2m-to-counter-commercial-spyware-vendors.html 苹果大幅提高漏洞赏金至200万美元，对抗商业间谍软件攻击，新增内存安全技术提升漏洞利用难度，并向高风险人群提供安全设备。 9、首个利用GPT-4实时生成代码的"MalTerminal"恶意软件现世 https://cybersecuritynews.com/llm-enabled-malterminal-malware-gpt-4/ 首个利用GPT-4实时生成恶意代码的"MalTerminal"恶意软件被发现，标志着攻击技术重大转变：动态生成代码使传统静态检测失效。研究人员通过追踪API密钥和提示结构开发新型检测方法，揭示此类威胁依赖外部API的弱点，为防御未来自适应攻击提供关键窗口。 10、FBI第三次查封BreachForums服务器 https://www.csoonline.com/article/4071014/fbi-seizes-breachforums-servers-as-threatened-salesforce-data-release-deadline-approaches.html 黑客组织威胁泄露10亿条Salesforce数据，国际警方查封BreachForums但勒索仍在继续。SaaS服务成新攻击面，专家建议企业升级防护措施应对暗网威胁。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客在新一轮攻击中利用开源Nezha工具 https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool Huntress披露，攻击组织滥用开源监控工具Nezha，将其作为后门部署Gh0st RAT。攻击者通过暴露的phpMyAdmin面板实施日志投毒，把一行PHP web shell写入以.php结尾的日志文件并执行，继而使用ANTSWORD控制服务器、下发Nezha Agent并运行交互式PowerShell脚本以创建Defender排除项，最终启动Gh0st载荷。该活动自2025年6月起至少已感染逾100台主机，攻击目标以日本和韩国为主，并波及多国。研究者评估 2、黑客利用WordPress网站发动ClickFix网络钓鱼攻击 https://blog.sucuri.net/2025/10/malvertising-campaign-hides-in-plain-sight-on-wordpress-websites.html 安全研究人员披露，一波针对WordPress站点的攻击通过篡改主题文件（functions.php）注入恶意JavaScript，将访客重定向至ClickFix风格的钓鱼页面。攻击链通过远程加载器（brazilc[.]com）下发含有porsasystem[.]com脚本的动态载荷，并在1×1像素iframe中伪装为Cloudflare资产以规避检测。该活动与Kongtuke流量分发系统关联 3、Crimson Collective黑客瞄准AWS云实例窃取数据 https://www.rapid7.com/blog/post/tr-crimson-collective-a-new-threat-group-observed-operating-in-the-cloud/ 安全研究机构Rapid7披露，黑客组织“Crimson Collective”近期针对AWS云环境发起攻击，利用暴露的访问密钥与IAM账户进行权限提升和数据窃取。该组织声称对Red Hat攻击负责，从数千个私有GitLab仓库中窃取约570GB数据，并联合“Scattered Lapsus$ Hunters”施压勒索。攻击流程包括使用TruffleHog工具搜集凭证，创建具管理员权 4、黑客利用Service Finder主题漏洞获取管理员权限 https://www.wordfence.com/blog/2025/10/attackers-actively-exploiting-critical-vulnerability-in-service-finder-bookings-plugin/ 安全公司Wordfence警告称，黑客正积极利用WordPress高级主题“Service Finder”中的关键漏洞（CVE-2025-5947），通过认证绕过直接以管理员身份登录网站。该漏洞存在于6.0及更早版本中，由于original_user_id Cookie验证不当，攻击者可伪装任意用户实施控制。自8月以来，Wordfence已监 5、DraftKings遭凭证填充攻击致账户被入侵 https://www.mass.gov/doc/2025-1691-draftkings-inc/download 美国体育博彩巨头DraftKings近日警告称，其部分用户账户遭遇凭证填充攻击。攻击者利用从其他网站泄露的用户名与密码组合，通过自动化工具入侵DraftKings账户。公司在10月2日向受影响用户发出通知，称攻击者可能访问了姓名、地址、出生日期、联系方式及部分支付信息等，但未获取完整金融数据或政府身份证号。DraftKings要求潜在受害者重置密码并启用多因素认证，同时建议监控银行与信用报告，以防身份盗用。公司补充说明此次事件实际影响用户少于30人。FBI长期警告称，凭证填充 6、Salesforce拒绝向黑客支付数据勒索赎金 https://www.bloomberg.com/news/articles/2025-10-07/salesforce-tells-clients-it-won-t-pay-hackers-for-data-extortion 客户关系管理巨头Salesforce证实，将不会与黑客组织“Scattered Lapsus$ Hunters”谈判或支付任何赎金。该组织此前通过社会工程与OAuth滥用发动多轮攻击，从Salesforce客户实例中窃取近10亿条数据，并在数据泄露站上勒索包括谷歌、迪士尼、丰田、万豪、麦当劳等39家知名企业。攻击活动分两阶段进行：一是冒充IT人员诱骗员工授权恶意O 7、Linux内核TLS组件UAF漏洞：可异步解密实现远程代码执行 https://securityonline.info/linux-kernel-tls-uaf-flaw-allows-local-rce-via-async-decrypt-poc-available/ Linux内核TLS实现存在UAF漏洞(CVE-2024-26582)，本地攻击者可利用异步解密触发竞态条件，通过UAF实现内存破坏和权限提升，最终达成远程代码执行。PoC已公开。 8、NVIDIA GPU驱动修复多个高危漏洞 https://securityonline.info/nvidia-gpu-driver-patches-multiple-high-severity-flaws-risking-rce-and-privilege-escalation/ NVIDIA发布GPU驱动安全更新，修复Windows/Linux/vGPU/云游戏组件中多个高危漏洞，涉及代码执行、权限提升等风险，影响GeForce/RTX/Quadro/Tesla产品线，建议立即更新至最新版本。 9、联发科修复Wi-Fi和GNSS芯片组多个高危漏洞 https://securityonline.info/mediatek-issues-october-2025-security-bulletin-addressing-multiple-high-severity-vulnerabilities-across-wi-fi-and-gnss-chipsets/ 联发科披露2025年10月安全公告，其Wi-Fi和GNSS芯片组存在高危漏洞，包括缓冲区溢出和越界写入，可致设备崩溃或执行任意代码。建议用户及时更新固件修复漏洞。 10、7-Zip曝高危漏洞：远程攻击者可执行任意代码 https://cybersecuritynews.com/7-zip-vulnerabilities/ 7-Zip曝高危漏洞(CVE-2025-11001/11002)，恶意ZIP文件可导致任意代码执行，影响25.00前所有版本。CVSS评分7.0，建议立即升级至25.00修复版本。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、XWorm新变种带有勒索软件模块和超过35个插件 https://www.trellix.com/blogs/research/xworms-evolving-infection-chain-from-predictable-to-deceptive/ 近期网络安全公司Trellix报告称，XWorm远控木马在经历开发者XCoder去年放弃项目后再次活跃，最新版本6.0、6.4与6.5正被多方威胁行为者用于钓鱼攻击传播。新版XWorm拥有超过35个插件，功能涵盖数据窃取、远程控制、文件加解密等多种恶意操作，并新增勒索模块“Ransomware.dll”，可加密用户文档并显示赎金要求。研究发现，该模块与2021年出现的NoCry勒索软件在加密 2、Steam和微软警告Unity漏洞可能使游戏玩家面临攻击 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59489 微软与Valve近日共同警告，一项编号为CVE-2025-59489的Unity游戏引擎远程代码执行漏洞可能被用于在Android设备上执行恶意代码或在Windows系统上提升权限。研究员RyotaK在Meta安全会议上发现该漏洞存在于自Unity 2017.1以来的多个版本中，主要源于运行时组件对文件加载与命令行参数缺乏验证。攻击者可通过恶意应用或修改库路径实现任意代码执行。受影响游戏包括《炉石传说》《辐射：避难所》《毁灭战士（2019）》等多款热门作品 3、Redis警告存在严重缺陷影响数万在线暴露实例 https://redis.io/blog/security-advisory-cve-2025-49844/ Redis安全团队近日修复了编号为CVE-2025-49844的关键漏洞，该漏洞源于Redis源码中长达13年的Use-After-Free缺陷，CVSS评分高达10.0，可能导致远程代码执行。攻击者可通过精心构造的Lua脚本绕过沙箱限制，在受害主机上建立反向Shell并获取系统控制权，从而窃取凭证、植入挖矿程序或勒索软件，并在云环境中横向移动。研究机构Wiz在Pwn2Own Berlin上发现该漏洞并命名为“RediShell”，其分析指出全球约有33万个Redis实例暴露在线， 4、OpenAI阻止多国黑客滥用ChatGPT进行网络攻击 https://openai.com/global-affairs/disrupting-malicious-uses-of-ai-october-2025/ OpenAI近日宣布，已阻断来自俄罗斯和朝鲜等多起黑客活动，这些威胁行为者滥用ChatGPT以开发恶意软件、开展钓鱼攻击及信息操控。报告指出，俄语黑客利用多个ChatGPT账号迭代开发远控木马与凭证窃取工具；朝鲜攻击者则借助模型编写Xeno RAT相关组件与钓鱼邮件，攻击韩国外交机构；其他攻击团伙则利用ChatGPT生成多语种钓鱼内容、优化远程执行脚本，并开展针对半导体行业的攻击行动。除网络攻击外，OpenAI还封禁了多个从事诈骗与舆 5、LockBit、Qilin和DragonForce宣布结成联盟 https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q3-2025 ReliaQuest报告显示，LockBit、Qilin与DragonForce三大勒索组织近日宣布结成联盟，意图整合资源、共享基础设施，以提升攻击效率并巩固在勒索生态中的主导地位。此次合作紧随LockBit在2024年被取缔后重返网络之际，被视为其重建声誉、恢复与加盟者信任的重要举措。分析指出，联盟可能引发针对关键基础设施的新一轮攻击潮，扩大威胁范围。Qilin在2025年第三季度单季攻击超200起，成为最活跃的勒索组 6、Figma MCP存在严重漏洞可导致黑客远程执行代码 https://github.com/GLips/Figma-Context-MCP 研究人员披露，Figma的开源MCP服务器存在命令注入漏洞CVE-2025-53967（CVSS 7.5），源于在回退逻辑中使用child_process.exec构造curl命令时未对URL与头部值做过滤或转义。攻击者可通过特制请求、同网攻击或DNS重绑定诱导客户端触发该缺陷，在服务进程权限下执行任意系统命令。Imperva于2025年7月报告该问题，开发者已在figma-developer-mcp 0.6.3（2025-09-29）发布补丁。安全建议包括立即升级、避免用exec处理不受信输入并改用exe 7、微软365全球服务中断：Exchange Online及管理平台瘫痪 https://www.freebuf.com/articles/es/451877.html 微软365平台于2025年10月8日晚间发生重大服务中断事件，导致全球用户无法访问Microsoft Teams、Exchange Online以及微软365管理中心等关键服务。此次故障使众多依赖该平台开展日常工作的组织机构陷入通信与管理系统瘫痪状态。 8、VMware vCenter与NSX漏洞可致用户名枚举及通知篡改 https://cybersecuritynews.com/vmware-vcenter-and-nsx-vulnerabilities/ VMware披露vCenter和NSX三个高危漏洞（CVE-2025-41250至41252），CVSS评分7.5-8.5，涉及用户名枚举和邮件篡改，影响多款产品。NSA警告威胁国家安全，企业需立即打补丁。 9、CISA警告Linux/Unix系统中Sudo高危漏洞正遭活跃利用 https://thehackernews.com/2025/09/cisa-sounds-alarm-on-critical-sudo-flaw.html CISA警告Linux系统Sudo高危漏洞（CVE-2025-32463）正被活跃利用，攻击者可绕过sudoers文件以root权限执行任意命令。同期KEV目录新增四个高危漏洞，包括Adminer和Cisco的漏洞。 10、Copilot 提示注入漏洞导致私有仓库敏感数据泄露 https://www.freebuf.com/articles/ai-security/451828.html 网络安全公司Legit Security的研究人员发现，攻击者可通过隐藏在拉取请求（Pull Request）中的注释，诱使GitHub Copilot聊天机器人泄露私有代码仓库中的AWS密钥等敏感数据。这再次证明了提示注入攻击（prompt injection）可能带来的安全风险。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。