1、APT组织Konni对乌克兰及欧盟外交机构发起网络间谍攻击 https://thehackernews.com/2025/05/north-korean-konni-apt-targets-ukraine.html APT组织Konni近期针对乌克兰政府机构及欧盟外交实体发起网络间谍活动。攻击者通过发送伪装成欧盟政策文件的鱼叉式钓鱼邮件，诱导目标下载恶意LNK文件，进而部署定制化远程控制木马（RAT）。该木马可窃取敏感文件、键盘记录及系统信息，并通过加密通道回传至C2服务器。分析显示，此次攻击主要用于获取俄乌冲突相关情报及欧盟对俄制裁决策细节。目前至少3个乌克兰政府部门和2个欧盟驻外机构受影响，攻击活动最早可追溯至2023年5月。 2、APT37发起名为“Think Tank”的鱼叉式网络钓鱼活动 https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story APT37发起了名为“Think Tank”的鱼叉式网络钓鱼活动，其目标锁定为关注朝鲜的活动人士。攻击者伪装成韩国国家安全智囊团发出邀请，通过邮件分发嵌入了Dropbox链接的压缩档案，该档案中包含恶意LNK文件。攻击者利用与韩国国家安全相关的主题以及实际事件“特朗普2.0时代：前景与韩国的应对”来吸引目标注意，并通过Dropbox云平台分发这些恶意LNK文件。当LNK文件被执行后，它会被配置为通过嵌入参数运行PowerShell命令。该命令触发后，会启动一个 3、摩尔多瓦执法机关逮捕涉嫌DoppelPaymer勒索攻击的嫌疑人 https://thehackernews.com/2025/05/moldovan-police-arrest-suspect-in-45m.html 摩尔多瓦执法机关逮捕了一名45岁的外国男子，怀疑其参与了2021年针对荷兰公司的勒索软件攻击事件。警方查获了超过84,000欧元的现金、电子钱包、两台笔记本电脑、一部手机、一台平板电脑、六张银行卡、两个数据存储设备以及六张内存卡。据调查，该嫌疑人涉嫌与多起网络犯罪活动有关，其中包括针对荷兰公司的勒索软件攻击、勒索及洗钱等行为。其中一起攻击事件针对荷兰科学研究组织（NWO），造成了约450万欧元的损失。该攻击发生在2021年2月，在荷兰科学研 4、Anonymous称窃取了美国航空公司GlobalX的航班数据 https://hackread.com/anonymous-hackers-flight-data-us-deportation-airline-globalx/ 黑客组织Anonymous宣称已成功入侵美国包机航空公司GlobalX，窃取了大量敏感数据，并揭露该公司参与了非法驱逐行动。攻击者通过获取GlobalX开发者的AWS云存储访问令牌，侵入了该公司的数字基础设施，进而窃取了2025年1月19日至5月1日期间的航班日志、乘客名单以及行程细节。这些数据中包含了数百名委内瑞拉移民的驱逐记录，部分乘客在被驱逐时甚至仍在法律申诉阶段。此外，黑客还篡改了GlobalX网站的子域名，发布了一张盖 5、像素隐匿：.NET恶意软件将载荷藏身位图资源 https://www.freebuf.com/articles/430807.html Palo Alto Networks旗下Unit 42团队发现了一种利用隐写术（steganography）的高级混淆技术，攻击者将恶意软件隐藏在看似合法的.NET应用程序位图资源中。这种不断演变的攻击方式正通过恶意垃圾邮件（malspam）活动扩散，主要针对土耳其金融机构和亚洲物流企业。 6、GNU Screen 曝多漏洞：本地提权与终端劫持风险浮现 https://securityonline.info/multiple-cves-in-gnu-screen-local-root-exploit-and-tty-hijacking-discovered/ GNU Screen存在多个高危漏洞，包括本地提权至root（CVE-2025-23395）、终端劫持（CVE-2025-46802）和全局可写PTY（CVE-2025-46803），影响4.9.x和5.0.0版本。SUSE建议避免以setuid-root权限安装，并重构权限模型。 7、黑客开始针对Linux系统测试ClickFix攻击技术 https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/ 安全研究发现APT36组织正将ClickFix攻击技术扩展到Linux系统，通过伪造网站诱导用户执行恶意命令，可能测试感染链有效性。该技术已覆盖Windows、macOS和Linux三大平台，用户需警惕不明命令执行以防数据泄露。 8、macOS远程视图服务沙箱逃逸高危漏洞PoC已公开 https://securityonline.info/poc-released-cve-2025-31258-sandbox-escape-in-macos-via-remoteviewservices/ 苹果修复macOS高危漏洞CVE-2025-31258，该漏洞可突破沙箱限制获取未授权访问。已在Sequoia 15.5版本中修复，PoC代码已公开，建议用户立即更新。 9、Roblox被控秘密采集未成年用户数据 https://hackread.com/roblox-lawsuit-hidden-tracking-monetize-kids-data/ Roblox被控秘密采集未成年用户数据，涉嫌违反儿童隐私保护法，通过隐蔽追踪工具记录键盘输入等敏感信息并分享给第三方。案件若成立将面临重罚，凸显青少年平台数据安全风险。 10、谷歌将因其位置追踪行为向德克萨斯州支付 14 亿美元 https://www.anquanke.com/post/id/307311 谷歌将向美国德克萨斯州支付 14 亿美元，以解决有关未经授权的位置跟踪和面部识别数据保留的诉讼。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、微软Entra ID遗留协议漏洞致多行业管理员账号遭遇攻击 https://hackread.com/legacy-login-microsoft-entra-id-breach-cloud-accounts/ 微软Entra ID的遗留登录协议存在漏洞，攻击者利用这一漏洞绕过了多因素认证（MFA），对金融、医疗和科技行业的管理员账户发起了攻击。攻击者利用了基本认证版本2 - 资源所有者密码凭证（BAV2ROPC）这一遗留登录方法，该方法允许旧应用程序仅使用简单的用户名和密码进行认证。与现代交互式登录流程不同，BAV2ROPC以非交互式方式运行，这使得攻击者能够完全绕过MFA、条件访问策略等安全措施。此次攻击活动发生在2025年3月18日至4月7日期 2、Linux nftables子系统存在漏洞可导致提权 https://thecyberexpress.com/cve-2024-26809-nftables-vulnerability/ Linux内核的nftables子系统被发现存在一个严重的安全漏洞，编号为CVE-2024-26809。该漏洞属于双释放漏洞，本地攻击者可利用此漏洞提升权限并执行任意代码。nftables是现代Linux发行版中用于网络数据包过滤的子系统，它借助表格、集合、链和规则等组件，能够进行规则匹配。此漏洞存在于nft_set_pipapo的实现中，具体是nft_pipapo_destroy()函数。当集合被标记为“脏”（即已修改但未提交）时，该函数会尝试销毁集合中的所 3、PhaaS网络钓鱼工具包生成伪造的网络钓鱼页面 https://gbhackers.com/phishing-scams-on-the-rise-with-sophisticated-phaas/ 研究人员针对日益复杂的网络钓鱼技术发出警告。当前，这些技术借助专门的网络钓鱼即服务（PhaaS）工具包可以生成伪造的网页。这些工具包让攻击者即便毫无技术经验，也能实时生成伪造的网页。通常，攻击会以一封精心设计的钓鱼邮件开始，从而诱使收件人点击链接。一旦收件人点击链接，就会被导向一个凭证收集的网站。该网站能够动态检索被模仿公司的品牌元素，利用Clearbit等合法的第三方营销服务API，实时获取企业标志和视觉标识符。这种技术营造出了极具迷惑性的假 4、德警方关闭涉及洗钱的eXch加密货币交易所 https://thehackernews.com/2025/05/germany-shuts-down-exch-over-19b.html 德国联邦刑事警察局（BKA）关闭了与洗钱和运营犯罪交易平台有关的eXch加密货币交易所，并扣押了8TB的数据以及价值3400万欧元（约合3825万美元）的加密货币资产，这些资产包括比特币、以太坊、莱特币和达世币。eXch自2014年起开始运营，提供加密货币交换服务，且同时在明网和暗网上开展业务。自eXch成立以来，估计有19亿美元的加密货币资产通过该平台进行转移，其中还包括今年早些时候朝鲜威胁行为者通过攻击Bybit交易所获得的部分非法收益。荷兰财政 5、华硕DriverHub曝严重安全漏洞 用户需立即更新 https://securityonline.info/critical-security-flaws-found-in-asus-driverhub-update-immediately/ 华硕DriverHub曝两大高危漏洞（CVE-2025-3462/3463），攻击者可远程操控主板驱动管理软件。华硕紧急发布1.0.6.0版本修复，用户需立即升级。 6、新型.NET恶意软件"PupkinStealer"窃取浏览器凭证 https://www.freebuf.com/articles/database/430594.html 网络安全公司CYFIRMA向网络安全新闻网站披露，新发现一款名为PupkinStealer的信息窃取型恶意软件。这款基于.NET框架开发的C#程序虽然轻量但功能完备，专门窃取浏览器凭证、桌面文件、即时通讯会话和屏幕截图等敏感数据。 7、AI生成虚假漏洞报告污染漏洞赏金平台 https://cybersecuritynews.com/ai-polluting-bug-bounty-platforms/ AI伪造漏洞报告冲击赏金计划，利用专业术语制造虚假威胁，尤其危害资源不足的开源项目。典型案例显示攻击者通过虚构功能骗取赏金，专家呼吁加强审核以应对日益增长的AI欺诈风险。 8、脸书虚假加密货币交易所广告传播恶意软件 https://hackread.com/fake-crypto-exchange-ads-facebook-spread-malware/ 不法分子通过脸书广告冒用加密货币平台和名人形象，诱导用户下载恶意软件，采用多层攻击架构和精准投放策略，24小时投放超百条广告。Bitdefender提醒用户警惕此类欺诈广告，加强防护措施。 9、Chrome 137 引入设备端 Gemini Nano AI 对抗技术支持诈骗 https://securityonline.info/chrome-137-uses-on-device-gemini-nano-ai-to-combat-tech-support-scams/ Google推出Chrome 137新功能，集成设备端Gemini Nano AI实时拦截技术支持诈骗，弥补云端防护滞后问题，保护隐私同时提升响应速度，标准模式用户也能共享防护成果。 10、微软修复Azure和Power Apps四大高危漏洞 https://securityonline.info/microsoft-patches-four-critical-azure-and-power-apps-vulnerabilities-including-cvss-10-privilege-escalation/ 微软修复Azure和Power Apps四大高危漏洞，包括CVSS满分10.0的Azure DevOps令牌劫持漏洞，凸显云服务安全风险。所有漏洞已平台级修复，用户无需操作。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、以色列NSO因Pegasus攻击WhatsApp被美国罚款1.68亿美元 https://hackread.com/israeli-nso-group-fine-pegasus-spyware-attack-whatsapp/ 美国加州联邦陪审团裁定以色列间谍软件公司NSO Group需向WhatsApp支付总计约1.68亿美元的赔偿金，包括1.67亿美元惩罚性赔偿及44.47万美元补偿性赔偿。此案源于2019年NSO利用WhatsApp语音通话漏洞（CVE-2019-3568）部署Pegasus间谍软件，非法监控全球1400名用户。被监听的用户包括记者、人权活动家及外交官等。 2、南非航空公司遭受网络攻击 https://thecyberexpress.com/saa-cyberattack-system-restored-same-day/ 南非航空公司（SAA）遭遇网络攻击导致其网站、移动应用程序及部分内部系统出现临时中断，其响应团队迅速采取行动遏制了中断并启动了全面调查。SAA在声明中表示，事件发生后立即启动了灾难管理和业务连续性协议，确保了核心航班运营的稳定，并维持了客户服务中心和销售办公室等关键客户服务渠道的正常运作。目前，SAA已引入独立的数字取证调查人员来确定事件根源，并评估数据泄露的范围，目前尚未确认是否存在客户和员工数据是泄露。 3、Azure存储工具AZNFS-mount漏洞可导致Linux系统权限提升 https://cybersecuritynews.com/azure-storage-utility-vulnerability/ 微软Azure的AZNFS-mount工具（用于通过NFS协议挂载Azure Blob存储）存在权限提升漏洞。该漏洞影响所有版本≤2.0.10的AZNFS-mount组件，主要涉及预装该工具的Azure高性能计算/人工智能（HPC/AI）镜像的Linux系统，攻击者可从未授权用户权限提升至root权限，完全控制系统。 4、攻击者利用仿冒的AI视频生成平台传播Noodlophile窃密木马 https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/ 攻击者利用公众对人工智能的兴趣，通过仿冒的AI视频生成平台传播Noodlophile窃密木马。这些平台通过Facebook等社交媒体宣传吸引用户，诱骗用户上传图片或视频进行处理，实际下载的文件中包含Noodlophile窃密木马。攻击链包括多个阶段和组件，包括伪装成视频文件的可执行文件、隐藏文件夹和恶意DLL等，Noodlophile窃密木马可窃取受害者浏览器凭证、加密货币钱包等敏感数据，同时还具备部署其他木马的 5、APT35组织伪造德国模特经纪网站窃取用户设备指纹数据 https://cybersecuritynews.com/iranian-hackers-impersonate-as-model-agency/ 由伊朗支持的黑客组织APT35伪造了德国模特经纪公司的官方网站，并借助高仿的钓鱼网站开展精准网络间谍活动。具体而言，该钓鱼网站会动态加载恶意JavaScript代码。当访问者进入网站时，这些代码便会发挥作用，收集访问者的浏览器配置信息、屏幕分辨率、本地及公网IP地址（其中公网IP地址的获取利用了WebRTC漏洞），还会收集设备指纹。此外，攻击者利用Canvas指纹技术为每个设备生成唯一的标识。随后，他们将IP地址与浏览器指纹相结合，构建出受害者 6、美荷联合执法端掉7000台IoT设备组成的代理僵尸网络 https://thehackernews.com/2025/05/breaking-7000-device-proxy-botnet-using.html 美国与荷兰执法部门联合开展了代号为“Operation Moonlander”的行动，成功摧毁了一个由7000台感染设备（包括物联网设备及已到生命周期（EoL）的系统）构成的代理僵尸网络。该僵尸网络依赖恶意软件TheMoon感染设备，它通过扫描开放端口并利用未修补的漏洞进行传播。此僵尸网络通过anyproxy.net和5socks.net进行运营，为黑客提供匿名代理服务，订阅费用为每月9.95美元至110美元不等，攻击者通过该网络累计非 7、恶意npm包伪装开发工具窃取macOS Cursor IDE用户权限 https://socket.dev/blog/malicious-npm-packages-hijack-cursor-editor-on-macos 研究人员发现一起针对macOS Cursor IDE用户的恶意攻击活动。攻击者通过伪装成开发工具的恶意npm包实施攻击，用于窃取用户凭据并修改文件，从而获得持久的后门访问权限。在本次活动中，研究人员共发现三个恶意npm包。这些包的目标锁定为macOS版的热门Cursor AI代码编辑器。它们伪装成提供Cursor API的开发者工具，诱导用户进行安装使用。一旦用户安装并使用这些npm包，攻击者的恶意行为便会启动。它们会窃取用户凭证，从攻击者 8、黑客使用Blob URI伪造登录页实施精准钓鱼 https://hackread.com/phishing-attack-blob-uri-fake-login-pages-browser/ 安全研究人员发现了一种新型钓鱼攻击，该攻击利用浏览器的Blob URI特性，通过伪造银行、社交媒体等可信域名下的登录页面，诱导用户输入敏感信息。浏览器能够使用Blob来处理临时数据，典型的Blob数据包括图片、音频和PDF文件等二进制内容，用户可以使用Blob URI来访问这些Blob数据。攻击者将恶意代码嵌入到通过JavaScript生成的Blob对象中，从而生成伪合法URL，并利用浏览器同源策略的漏洞绕过传统的域名检测机制。在此次攻击活动中，攻击 9、攻击者通过SEO投毒技术攻击IT管理员 https://cybersecuritynews.com/hackers-attacking-it-admins-by-poisoning-seo/ 安全研究人员发现了一种针对IT管理员的复杂攻击活动。攻击者利用SEO投毒技术，将恶意软件的链接推到搜索引擎结果的顶部。当管理员搜索常用工具时，可能会下载到伪装成合法版本的恶意软件，这些恶意软件含有隐藏的恶意载荷。攻击载荷通常伪装成管理员搜索的合法管理软件，并与后门代码一起运行，以此建立命令和控制渠道而不引起怀疑。在此次攻击活动中，一旦恶意软件被执行，就会部署一个基于.NET框架开发的SMOKEDHAM后门木马程序，该后门木马程序为攻击者提供了 10、PupkinStealer窃密木马窃取浏览器凭据 https://cybersecuritynews.com/pupkinstealer-a-new-net-based-malware-steals-browser-credentials-exfiltrate-via-telegram/ 研究人员发现了一款由新型.NET框架开发的窃密木马PupkinStealer，该木马专门窃取用户浏览器的凭据、桌面文件以及通信应用的会话数据，并通过Telegram Bot实现数据的隐蔽外泄。这款木马自2025年4月起开始活跃，由开发者“Ardent”编写。其主要攻击目标包括基于Chromium内核的Chrome、Edge、Opera等浏览器，能够解密浏览 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Play勒索组织利用0day漏洞部署恶意软件 https://securityaffairs.com/177573/cyber-crime/play-ransomware-affiliate-leveraged-zero-day-to-deploy-malware.html 微软证实，Windows通用日志文件系统中的Use-After-Free漏洞（CVE-2025-29824）被用于0day攻击，攻击者可借此漏洞获得系统权限。Play勒索组织利用该漏洞在攻击中部署了Grixba窃密工具。攻击者利用Cisco ASA防火墙的公开漏洞作为突破口，一旦获得Windows系统的访问权限，他们就会部署Grixba和CVE-2025-29824 2、LockBit勒索组织遭入侵受害者谈判信息曝光 https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/ LockBit勒索组织的暗网联盟平台被入侵并被篡改，攻击者留下了一个指向MySQL数据库转储的链接。该数据库包含近6万个比特币地址、谈判消息、用户信息等，其中的谈判消息涵盖了从2024年12月19日至2025年4月29日之间的4442条交流记录。这些信息暴露了LockBit勒索组织与受害者的沟通细节。LockBit勒索组织的操作员LockBitSupp确认了这次入侵事件，但声称没有 3、多国联合执法行动查获六个DDoS租用网站 https://cyberscoop.com/poland-ddos-arrests-europol-operation-poweroff/ 波兰警方在Operation PowerOFF国际联合执法行动中，逮捕了4名涉嫌运营6个DDoS租用平台（Cfxapi、Cfxsecurity、neostress、jetstress、quickdown、zapcut）的犯罪嫌疑人。这些平台自2022年起以低至10欧元的价格提供“一键式”分布式拒绝服务（DDoS）攻击，导致全球数千起针对学校、政府网站、企业和游戏平台的网络瘫痪事件。本次行动由波兰中央网络犯罪局主导，联合美国、德国、荷兰及欧洲刑警组织协同 4、SonicWall SMA100漏洞被利用 https://www.helpnetsecurity.com/2025/05/08/sonicwall-sma100-vulnerability-exploited-cve-2025-32819/ SonicWall修复了影响其SMA100系列设备的多个漏洞，其中CVE-2025-32819可能被用于实际攻击。这些设备为中小企业提供统一的安全访问（VPN）网关，经常成为攻击目标。漏洞CVE-2025-32819允许远程攻击者在获得低权限SMA用户账户后删除任意文件，CVE-2025-32820允许攻击者向SMA设备的任何目录注入路径遍历序列使特定目录可写入恶意文件，CVE-2025-328 5、风险投资公司Insight Partners确认个人数据泄露 https://techcrunch.com/2025/05/08/vc-firm-insight-partners-confirms-personal-data-stolen-during-january-hack/ 风险投资公司Insight Partners证实，在今年1月的网络攻击中，其当前和前任员工的个人信息以及有限合伙人的信息被盗，被盗数据包括银行信息和税务信息等。此前Insight Partners曾将此次黑客攻击归因于网络钓鱼攻击，但尚未提供详细攻击过程。Insight Partners管理超过900亿美元的资产，是全球最大的科技初创企业投资者之一。 6、Diamorphine Rootkit的蠕虫式攻击窃取SSH密钥并提权 https://cybersecuritynews.com/wormable-diamorphine-rootkit-attack-multiple-linux-systems/ Linux系统遭Diamorphine rootkit攻击，利用开源工具部署加密货币挖矿程序，通过多阶段渗透、持久化技术和SSH密钥窃取实现隐蔽攻击，凸显Linux环境安全威胁升级。建议加强监控、密钥管理和代码审计。 7、朝鲜黑客通过入侵macOS开发者环境窃取6.25亿美元加密货币 https://cybersecuritynews.com/dprks-largest-cryptocurrency-heist-via-a-compromised-macos-developer/ 朝鲜黑客通过入侵macOS开发者环境，利用AWS凭证窃取6.25亿美元加密货币，展现高超技术协调能力。攻击采用多阶段恶意软件和复杂C2基础设施，18天内未被发现，凸显朝鲜对金融系统的重大威胁。 8、思科IOS XE无线控制器漏洞可使攻击者完全控制设备 https://cybersecuritynews.com/cisco-ios-xe-wireless-controllers-vulnerability/ 思科IOS XE无线控制器曝高危漏洞（CVE-2025-20188），攻击者可远程上传文件并以root权限执行命令，影响多款产品。思科已发布补丁，建议立即升级或禁用带外AP镜像下载功能。目前未发现野外利用。 9、2025年医疗行业成为网络攻击的主要目标 https://cybersecuritynews.com/healthcare-sector-emerges-as-a-prime-target/ 2025年医疗行业面临严峻网络威胁，攻击者利用GitHub等受信任云平台传播恶意软件，81%违规涉及患者数据。攻击手法高度专业化，模仿合法医疗项目，需加强代码审查和隔离技术防护。 10、安装量超10万的OttoKit WordPress插件遭利用多漏洞攻击 https://thehackernews.com/2025/05/ottokit-wordpress-plugin-with-100k.html OttoKit WordPress插件曝出高危漏洞CVE-2025-27007（CVSS 9.8），攻击者可利用权限提升漏洞创建管理员账户，并与CVE-2025-3102漏洞组合攻击。10万+用户需立即升级至1.0.83版本。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、恶意PyPI包伪装开发工具劫持Discord开发者 https://socket.dev/blog/malicious-pypi-package-targets-discord-developers-with-RAT 开源软件供应链平台PyPI出现恶意软件包，伪装成Discord开发者工具（如discord-dev-tools），通过虚假功能诱导用户下载。攻击者利用Python包管理系统的信任机制传播远程控制木马（RAT），可窃取用户敏感信息并完全控制受感染设备。该恶意包通过混淆代码逃避静态检测，运行时释放隐蔽的RAT模块，与C2服务器通信下载额外攻击载荷。攻击目标包括Discord开发者令牌、浏览器Cookie、加密货币钱包密钥等高价值数据 2、Linux磁盘擦除恶意软件藏匿于GitHub的Go模块 https://socket.dev/blog/wget-to-wipeout-malicious-go-modules-fetch-destructive-payload 网络安全研究人员发现一种供应链攻击瞄准Linux服务器，其磁盘擦除恶意软件被隐藏在GitHub上的Golang模块中。攻击主要依赖三个带有高度混淆代码的恶意Go模块，这些恶意Go模块运行后检查它们的操作系统是否为Linux，如果是，则使用wget从远程服务器检索下一阶段的载荷。该载荷是一个shell脚本，主要用零覆盖整个主磁盘（“ /dev/sda ”），从而阻止机器启动。 3、Molatori伪造社保邮件诱骗用户安装远程工具 https://www.malwarebytes.com/blog/news/2025/04/fake-social-security-statement-emails-trick-users-into-installing-remote-tool 网络钓鱼组织Molatori伪装成美国社会保障管理局，发送虚假电子邮件诱骗用户安装ScreenConnect远程访问工具。安装后，攻击者可远程控制受害计算机窃取敏感信息，如银行账户、个人识别号码等，从而实施身份盗窃和金融欺诈。这些电子邮件通常是从被入侵的WordPress网站发送，链接内容在图片中显示，用于躲避安全设备。 4、黑客组织NoName057(16)对罗马尼亚发动DDoS攻击 https://therecord.media/hackers-target-romanian-websites-election 罗马尼亚总统选举首轮投票期间，黑客组织NoName057(16)对罗马尼亚政府及总统候选人网站发起大规模分布式拒绝服务（DDoS）攻击。受攻击目标包括宪法法院、政府主门户、外交部网站，以及执政联盟候选人克琳·安东内斯库和独立候选人布加勒斯特市长尼古索尔·丹等四名竞选者的官方网站。攻击者通过Telegram频道宣称对事件负责，称已向罗马尼亚内政部及司法部网站发送“DDoS”，导致上述网站在投票日上午短暂瘫痪。 5、黑客利用三星GeoVision IoT漏洞部署Mirai僵尸网络 https://isc.sans.edu/diary/rss/31920 安全研究人员发现，自2025年4月30日公开三星MagicINFO9服务器高危漏洞CVE-2024-7399漏洞技术细节和PoC后，该漏洞被大规模利用。该漏洞允许未经身份验证的攻击者通过路径遍历上传恶意JSP文件，进而实现远程代码执行（RCE）。攻击者通过未经验证的/MagicInfo/servlet/SWUpdateFileUploader端点上传特制JSP文件，触发命令执行以下载并运行Mirai变种，最终在被控制设备上部署Mirai僵尸网络。 6、迪士尼遭前员工破坏+黑客AI钓鱼，1.1TB数据泄露 https://www.freebuf.com/articles/es/430065.html 2024年，迪士尼公司接连遭遇两起重大网络安全事件——前员工恶意破坏与黑客AI钓鱼攻击，暴露出内部系统漏洞并导致1.1TB敏感数据泄露。 7、AI开发工具Langflow高危漏洞遭活跃利用 https://www.freebuf.com/articles/ai-security/430068.html 美国网络安全和基础设施安全局（CISA）证实，AI代理开发工具Langflow上月修复的一个高危漏洞（CVE-2025-3248）正在被广泛利用。该漏洞允许未授权用户通过未受保护的API端点在服务器上执行任意Python代码，已被列入CISA已知被利用漏洞（KEV）目录，政府机构和私营组织需立即修补。 8、Apache Parquet Java漏洞可导致攻击者执行任意代码 https://cybersecuritynews.com/apache-parquet-java-vulnerability/ Apache Parquet Java组件曝高危漏洞CVE-2025-46762，攻击者可通过恶意Parquet文件执行任意代码，影响1.15.1及之前版本。漏洞存在于parquet-avro模块，CVSS评分9.8。建议立即升级至1.15.2或设置SERIALIZABLE_PACKAGES属性缓解风险。 9、OttoKit WordPress插件高危漏洞遭利用，超10万网站面临风险 https://securityonline.info/cve-2025-27007-critical-ottokit-wordpress-plugin-flaw-exploited-after-disclosure-100k-sites-at-risk/ WordPress插件OttoKit曝高危漏洞（CVE-2025-27007，CVSS 9.8），攻击者可未授权创建管理员账户完全控制网站，漏洞公开1小时内遭利用。建议立即升级至1.0.83+版本并检查异常API请求和用户账户。 10、iOS 出现新严重漏洞，仅需一行代码即可导致 iPhone 崩溃 https://www.anquanke.com/post/id/307112 iOS 中的一个严重漏洞可能允许恶意应用程序仅使用一行代码即可永久禁用 iPhone。该漏洞的编号为 CVE-2025-24091，利用操作系统的 Darwin 通知系统触发无限重启循环，导致设备“变砖”，需要进行完整的系统还原。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Lazarus尝试攻击加密货币交易所Kraken平台 https://cybersecuritynews.com/north-korean-hackers-infiltrate-kraken/ 加密货币交易所Kraken披露一起朝鲜黑客渗透事件。一名自称Steven Smith的求职者申请工程职位时，被安全团队发现其使用与简历不符的假名，视频面试中频繁切换声调且疑似接受实时指导。行业合作伙伴此前已警告朝鲜黑客正通过求职渠道渗透加密企业，Kraken通过比对共享的黑客关联邮箱列表，确认该申请邮箱与已知拉撒路APT组织存在关联。调查发现，该黑客构建了包含多个伪造身份的网络，其中一个身份涉及国际制裁名单上的外国代理人。其提交的身份证件疑似篡改自两年前 2、Golden Chickens组织部署TerraStealerV2窃取数据 https://thehackernews.com/2025/05/golden-chickens-deploy-terrastealerv2.html 网络安全机构Recorded Future披露，以“黄金鸡”（Golden Chickens，又名Venom Spider）著称的恶意组织近期推出升级版窃密工具TerraStealerV2及键盘记录器TerraLogger，目标瞄准用户浏览器凭证与加密货币钱包数据。其中，TerraStealerV2可窃取Chrome等浏览器登录信息、钱包私钥及扩展程序数据，通过EXE、DLL、MSI等多种格式文件传播，利用regsvr32.exe等系统工具 3、StealC窃密软件升级强化了多平台渗透能力 https://www.zscaler.com/blogs/security-research/i-stealc-you-tracking-rapid-changes-stealc 窃密软件StealC的V2版本已完成多项关键升级，提升了数据窃取与远程控制能力。新版本支持通过MSI安装包、PowerShell脚本等多格式Payload传播，新增RC4加密通信协议保护数据传输，并配备可定制化控制面板，允许攻击者根据地理位置、硬件ID（HWID）及目标软件环境精准投放恶意载荷。StealC新增多显示器截图、统一文件抓取功能，针对加密货币钱包、游戏平台、邮件客户端等敏感数据深度扫描，同时增加服务器 4、ADOdB PHP库曝高危SQL注入漏洞 https://securityonline.info/critical-sql-injection-vulnerability-found-in-adodb-php-library-cve-2025-46337-cvss-10-0/ ADOdB PHP库存在严重SQL注入漏洞（CVE-2025-46337），风险等级达CVSS 10.0满分。漏洞位于PostgreSQL驱动的pg_insert_id()方法，因未对用户可控的$fieldname参数进行有效转义，攻击者可借此注入任意SQL命令，操控数据库执行数据窃取、删除或远程代码执行等高危操作。该漏洞影响postgres64、postgr 5、钓鱼邮件仿冒澳航窃取用户信用卡信息 https://hackread.com/phishing-emails-impersonate-qantas-credit-card-info/ 澳大利亚航空（Qantas）用户遭遇大规模钓鱼邮件攻击，诈骗分子伪造航空公司品牌标识及邮件模板，以“机票退款”“里程积分兑换”等话术诱导用户点击恶意链接。受害者被导向仿冒的Qantas支付页面，输入信用卡信息后遭实时窃取。据网络安全公司Group-IB分析，攻击者利用被盗企业邮箱列表定向发送钓鱼邮件，部分邮件甚至包含真实订单号以增强欺骗性。 6、英国多个行业遭遇RomCom远程控制木马攻击 https://cybersecuritynews.com/romcom-rat-attacking-uk-organizations/ RomCom远程控制木马通过客户反馈门户对英国组织发起了攻击。自2023年4月初以来，英国金融服务、医疗保健和政府承包商等行业受到了影响。攻击者利用精心设计的反馈提交，其中嵌入了恶意代码。当客服代表打开这些提交时，恶意软件会利用反馈处理应用程序中的漏洞来建立持久性。据分析，已有超过30家组织被攻破，攻击者获取了敏感的客户数据和内部网络资源。该恶意软件具有独特的命令和控制基础设施，采用加密通信渠道，模仿合法的HTTPS流量。 7、新型ClickFix攻击模仿多国国防部网站 https://cybersecuritynews.com/new-clickfix-attack-mimics-ministry-of-defense-website/ 一种被称为“ClickFix”的新型复杂恶意软件活动，利用先进的社会工程技巧，同时攻击Windows和Linux系统。攻击者创建多国国防部网站的逼真副本，诱骗用户下载看似为必需的安全更新或官方文件的恶意内容。恶意软件执行后，会在受感染系统上建立持久访问并使用多种规避技术隐藏自身。分析表明，该活动始于2025年4月初，主要通过定向网络钓鱼邮件中的欺诈网站链接，针对政府承包商、国防行业员工和军事人员。这些伪造网站使用有效的SS 8、微软Telnet零点击漏洞可窃取Windows凭据 https://www.freebuf.com/articles/system/429950.html 微软Telnet服务器存在一个高危漏洞，攻击者可借此完全绕过身份验证机制，无需有效凭据即可获取管理员权限。由于官方尚未发布补丁，建议仍在使用旧版Windows系统的组织立即采取防护措施。 9、Meta推出LlamaFirewall框架，防御AI越狱与不安全代码生成 https://www.freebuf.com/news/429459.html Meta发布开源框架LlamaFirewall，提供三重防护机制抵御AI攻击，同步升级安全工具并启动"Llama for Defenders"计划，强化AI系统安全防护。 10、微软宣布Windows Server热补丁功能将转为订阅制 https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-server-hotpatching-to-require-subscription/ 微软宣布Windows Server 2025热补丁功能7月起转为付费订阅，每核心每月0.5美元，需Azure Arc连接。该技术免重启安装安全更新，但非安全更新仍需重启。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、日本国际物流巨头KWE遭勒索攻击 https://therecord.media/kintetsu-world-express-ransomware-attack-japan 2025年4月30日，日本知名国际物流企业近铁环球快运（Kintetsu World Express，KWE）公开证实遭遇勒索软件攻击，部分系统运行中断。该公司总部位于东京，隶属于日本近铁集团控股公司，业务覆盖全球30余个国家的空运及海运货运代理服务。KWE声明称，目前尚未锁定具体攻击组织，正全力修复受影响的系统，并承诺若确认客户数据泄露将第一时间通知相关方。 2、Gremlin Stealer木马突破Chrome防护窃取数据 https://cybersecuritynews.com/new-germlin-stealer-advertised-on-hacker-forums/ 2025年4月30日，研究人员披露，一款名为Gremlin Stealer的新型信息窃取木马自3月起在地下黑客论坛及Telegram渠道公开售卖。该木马针对Windows系统，可窃取浏览器数据、加密货币钱包密钥、即时通讯应用及VPN登录凭证，并首次实现自动化提取用户存储的信用卡信息。该木马的多模块化设计集成了多种窃密功能，极大提高了攻击效率。 3、黑客利用GetShared共享服务绕过防御部署恶意软件 https://cybersecuritynews.com/hackers-leveraging-getshared-to-deploy-malware/ 2025年4月30日，研究人员发现黑客正在利用合法文件共享服务GetShared作为新的攻击媒介。攻击者通过该平台分发恶意软件和开展钓鱼活动，成功规避了传统电子邮件安全检测。这种攻击手法利用了用户对知名平台通知的信任，代表了一种绕过邮件网关安全控制的新型威胁。专家警告，这种利用可信服务的攻击方式正在成为网络安全防御的新挑战。 4、三星MagicINFO平台被发现远程代码执行漏洞 https://cybersecuritynews.com/samsung-magicinfo-vulnerability/ 2025年4月30日，三星电子数字标牌管理平台MagicINFO被曝存在高危路径遍历漏洞（CVE-2024-7399）。该漏洞影响MagicINFO 9 Server 21.1050之前版本，攻击者可利用未经验证的/MagicInfo/servlet/SWUpdateFileUploader端点上传恶意JSP文件，以系统权限执行任意代码。研究人员指出，该端点未实施身份验证、文件名校验及扩展名检查，导致攻击者完全控制目标服务器。三星暂未公开修复方案，建议用户立即升级至最 5、攻击者利用伪造的验证码网页部署NodeJS远程控制木马 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/yet-another-nodejs-backdoor-yanb-a-modern-challenge/ 2025年4月29日，Trustwave SpiderLabs安全研究团队披露攻击者通过伪造的验证码(CAPTCHA)网页引诱用户执行NodeJS后门，进而部署复杂的NodeJS远程控制木马。该攻击活动自2024年9月持续至今，用户访问被入侵的合法网站后，攻击者通过注入恶意代码加载外部JavaScript文件，该文件会收集用户系统信息并回传至攻击者控制的服务器。 6、SonicWall多款设备漏洞遭在野利用 https://thehackernews.com/2025/05/sonicwall-confirms-active-exploitation.html 2025年4月29日，SonicWall确认其SMA100系列安全移动访问设备的两个漏洞（CVE-2023-44221、CVE-2024-38475）正遭在野利用。CVE-2023-44221是因SSL-VPN管理界面未正确处理特殊元素，允许攻击者注入任意命令。CVE-2024-38475则是因Apache HTTP Server的mod_rewrite未正确转义输出，攻击者可将URL映射到服务器允许访问的文件系统位置。目前这两个漏洞分别 7、TensorRT-LLM高危漏洞可导致攻击者远程执行代码 https://cybersecuritynews.com/nvidia-tensorrt-llm-high-severity-vulnerability/ NVIDIA在其TensorRT-LLM框架中披露并修补了一个高危漏洞（CVE-2025-23254），该漏洞影响低于0.18.2版本的Windows、Linux和macOS平台，攻击者通过本地访问利用该漏洞可执行恶意代码、篡改数据，进而危及AI系统。漏洞源于Python执行器组件的套接字IPC系统中对Python pickle序列化/反序列化机制的不安全处理，属于CWE-502（不信任数据的反序列化）类别，可致远程代码执行。NVIDI 8、恶意PyPI包滥用Gmail的SMTP服务器执行命令 https://cybersecuritynews.com/gmails-smtp-protocol-abused/ Socket威胁研究团队发现7个恶意PyPI包，这些包利用Gmail的SMTP服务器和WebSocket进行数据窃取与远程命令执行，其下载量超 1.8 万次。这些包使用硬编码凭证与Gmail服务器建立SMTP连接，创建双向隧道，使攻击者可执行命令并窃密数据。主要包Coffin-Codes-Pro建立初始连接后，创建WebSocket 作为命令与控制通道。可能令攻击者访问内部仪表板、API和管理面板、传输文件、执行shell命令、收集凭证和敏感信息、建立持久性以进一步渗透网络。 9、Magento供应链攻击致数百电商支付功能遭劫持 https://www.bleepingcomputer.com/news/security/magento-supply-chain-attack-compromises-hundreds-of-e-stores/ 网络安全公司Sansec披露一起针对Magento电商平台的供应链攻击事件。攻击者通过篡改第三方应用市场中的合法扩展模块，向全球数百家在线商店注入恶意代码，用户在下载安装后触发自动感染，劫持用户支付流程以窃取信用卡信息。恶意脚本通过伪造支付页面收集敏感数据，并将信息回传至攻击者控制的服务器，部分受害网站被植入代码长达数月未被察觉。受影响平台覆盖零售、物流等多个领域。 10、Netgear EX6200漏洞可导致远程代码执行 https://gbhackers.com/netgear-ex6200-flaw/ 安全研究人员披露Netgear EX6200无线扩展器存在高危漏洞（CVE-2025-11384），攻击者可利用未授权访问漏洞远程执行恶意代码，完全控制设备。该漏洞影响固件版本V1.4.0.98及更早型号。漏洞利用链通过UPnP服务端口（TCP/5000）触发缓冲区溢出，攻击者无需认证即可植入后门程序，劫持网络流量或部署僵尸网络。目前全球仍有超12万台设备在线运行，主要分布在家用及中小型企业网络环境。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、日立集团子公司遭Akira勒索软件攻击 https://www.bleepingcomputer.com/news/security/hitachi-vantara-takes-servers-offline-after-akira-ransomware-attack 2025年4月28日，日本日立集团（Hitachi）旗下IT服务子公司Hitachi Vantara确认遭受Akira勒索软件攻击，被迫采取断网措施以遏制攻击扩散。该公司为全球政府机构及多家跨国企业提供核心数据存储、云管理及网络安全服务，此次事件可能对下游客户业务连续性造成潜在影响。Hitachi Vantara在公开声明中表示，已联合第三方网络安全公司开展取证调查 2、Outlaw组织利用SSH弱口令部署门罗币挖矿程序 https://securelist.com/outlaw-botnet/116444/ 2025年4月29日，卡巴斯基披露网络犯罪团伙Outlaw（又名“Dota”）正通过SSH弱口令爆破攻击全球Linux系统，部署基于Perl的加密货币挖矿僵尸网络。该团伙近期在巴西某企业环境成功渗透，利用默认或脆弱SSH凭证植入恶意脚本，劫持计算资源进行门罗币（Monero）挖矿。遥测数据显示，攻击主要针对南美、东南亚及东欧地区，能源、教育行业受害显著。 3、Lazarus组织利用"Tsunami"恶意软件框架挖矿行动 https://cybersecuritynews.com/tsunami-malware-actively-attacking-users/ 2025年4月29日，研究人员发现新型恶意软件框架"Tsunami"正被朝鲜黑客组织Lazarus用于"Contagious Interview"攻击行动。该恶意软件采用多阶段感染链，同时具备窃取凭证和加密货币挖矿功能，主要针对软件开发环境实施攻击。此次攻击活动最早可追溯至2024年秋季，攻击者通过复杂的社会工程手段植入恶意软件，旨在窃取加密货币相关敏感信息。 4、Apache Tomcat存在触发拒绝服务漏洞 https://cybersecuritynews.com/apache-tomcat-vulnerability-let-bypass-rules/ 2025年4月29日，Apache软件基金会披露Apache Tomcat存在高危漏洞（CVE-2025-31650），攻击者可通过构造恶意HTTP Priority头绕过安全规则并触发拒绝服务（DoS）。该漏洞源于对HTTP优先级头的输入验证不当，导致内存泄漏，影响多个Tomcat版本。作为广泛使用的Java应用服务器，此漏洞可能危及依赖Tomcat的企业系统安全。 5、微软Telnet服务器曝零点击NTLM认证绕过漏洞，暂无补丁 https://www.freebuf.com/articles/system/429159.html 网络安全研究人员发现微软Telnet服务器存在严重漏洞，远程攻击者无需有效凭证即可完全绕过认证机制，获取管理员权限。根据Hacker Fantastic发布的报告，该漏洞涉及微软Telnet认证协议(MS-TNAP)，对传统Windows系统构成重大安全威胁，且目前尚无官方补丁。 6、Kali Linux 因丢失仓库签名密钥发出更新失败警告 https://www.freebuf.com/articles/system/429113.html Offensive Security（简称OffSec）警告Kali Linux用户需手动安装新的仓库签名密钥，以避免出现更新失败问题。此次公告源于OffSec丢失了旧版仓库签名密钥（ED444FF07D8D0BF6），被迫创建由Kali Linux开发者通过Ubuntu OpenPGP密钥服务器签名的新密钥（ED65462EC8D5E4C5）。由于旧密钥并未遭到泄露，因此未被从密钥环中移除。 7、BreachForums论坛发布关停声明 归因于MyBB零日漏洞 https://www.freebuf.com/articles/web/429115.html 2025年4月初，知名网络犯罪和数据泄露论坛BreachForums在毫无预警的情况下从互联网消失。这个由黑客组织ShinyHunters运营的论坛突然下线，既未发布告别声明也未作出解释，引发外界对执法部门查封的广泛猜测。2025年4月28日，访问Breachforums.st的用户发现首页出现新变化——论坛管理员发布了一份经PGP密钥签名的详细声明。声明称，管理员在确认论坛使用的MyBB软件存在零日漏洞（0day vulnerability）后，决定立即关停运营。该漏洞可能导致执法机构渗透入侵 8、iOS高危漏洞一行代码即可让iPhone变砖 https://cybersecuritynews.com/ios-critical-vulnerability-brick-iphones/ iOS高危漏洞CVE-2025-24091允许恶意应用通过Darwin通知机制永久禁用iPhone，仅需一行代码即可触发无限重启循环。苹果已在iOS 18.3修复漏洞，建议用户立即升级。 9、Linux安全盲区曝光：io_uring机制可绕过主流检测工具 https://securityonline.info/critical-flaw-exposes-linux-security-blind-spot-io_uring-bypasses-detection/ ARMO团队发现Linux的io_uring接口可被rootkit利用绕过主流安全工具监控，包括Falco、Tetragon和Microsoft Defender。该漏洞源于工具依赖系统调用监控，而io_uring通过共享缓冲区规避检测。建议采用KRSI等更深入的内核监控技术应对。 10、勒索软件攻击日趋智能化，防御难度持续升级 https://www.helpnetsecurity.com/2025/04/28/companies-impacted-ransomware-attacks/ 勒索软件攻击更精密普遍，69%企业仍受威胁，仅10%能恢复90%数据。数据窃取攻击激增，赎金支付比例下降36%。企业需强化网络弹性，采用3-2-1-1-0规则，提升备份恢复能力应对快速演变的威胁。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT组织对东南亚多国政府及电信部门发起攻击 https://thehackernews.com/2025/04/earth-kurma-targets-southeast-asia-with.html 2025年4月28日，研究人员披露，一个名为“Earth Kurma”的高级持续性威胁（APT）组织自2024年6月起针对东南亚多国政府及电信部门发起攻击。该组织使用定制化恶意软件、内核级Rootkit及云存储服务窃取数据，菲律宾、越南、泰国和马来西亚为主要受害国。研究人员指出，攻击者通过Rootkit维持持久驻留，并利用受信任的云平台外泄数据，构成严重商业风险，且攻击手法复杂，涉及定向间谍活动、凭证窃取及隐蔽数据渗透。 2、研究人员发现针对WooCommerce用户的大规模钓鱼攻击 https://thehackernews.com/2025/04/woocommerce-users-targeted-by-fake.html 2025年4月28日，研究人员发现针对WooCommerce用户的大规模钓鱼攻击。攻击者通过伪造的“安全警报”邮件，诱骗用户下载所谓“关键补丁”，实则植入后门程序。钓鱼邮件声称目标网站存在虚构的“未授权管理访问漏洞”，诱导用户访问伪装成WooCommerce官网的钓鱼页面。 3、黑客在暗网出售高级版HiddenMiner挖矿木马 https://cybersecuritynews.com/hackers-selling-advanced-stealthy-hiddenminer-malware/ 2025年4月28日，研究人员发现黑客组织正在暗网论坛出售高级版HiddenMiner恶意软件。该木马专门针对门罗币（XMR）进行隐蔽挖矿，采用高级规避技术并配备用户友好界面，可能降低网络犯罪的技术门槛。与普通挖矿木马不同，新版HiddenMiner通过多项技术优化实现更高收益，同时大幅降低被检测和清除的风险。其模块化设计允许攻击者自定义功能，包括进程隐藏、反分析和持久化机制。 4、黑客利用Critical Craft CMS漏洞致数百台服务器被入侵 https://thehackernews.com/2025/04/hackers-exploit-critical-craft-cms.html 2025年4月28日，研究人员披露，攻击者正在利用Craft CMS中两个新发现的高危漏洞（CVE-2024-58136和CVE-2025-32432）发起零日攻击，可能导致数百台服务器遭入侵。这两个漏洞中，CVE-2024-58136是Yii PHP框架的路径保护缺陷，而CVE-2025-32432是Craft CMS内置图像转换功能中的远程代码执行漏洞。攻击者通过组合利用这两个漏洞，可突破系统限制并执行任意代码。 5、云端部署的NVIDIA Riva API端点存在暴露风险 https://www.trendmicro.com/en_us/research/25/d/nvidia-riva-vulnerabilities.html 2025年4月28日，研究人员发现多个组织在云端部署的NVIDIA Riva API端点存在暴露风险，部分实例甚至未启用身份验证，可能被攻击者利用。研究人员确认了两个相关漏洞（CVE-2025-23242和CVE-2025-23243），错误配置可能导致未经授权的访问。 https://www.trendmicro.com/en_us/research/25/d/nvidia-riva-vulnerabilities.html 6、FastCGI存在嵌入式设备执行任意代码漏洞 https://cybersecuritynews.com/fastcgi-integer-overflow-flaw/ 2025年4月28日，研究人员披露FastCGI库中存在一个高危漏洞（CVE-2025-23016，），可能允许攻击者在嵌入式设备上执行任意代码。该漏洞影响fcgi2（又称fcgi）2.x至2.4.4的所有版本，对使用该轻量级Web服务器开发库的设备构成重大威胁。FastCGI作为广泛应用于嵌入式系统的Web开发接口，其漏洞可能影响路由器、物联网设备等关键基础设施。 7、 新型"电力寄生虫"网络钓鱼攻击瞄准能源企业与知名品牌 https://cybersecuritynews.com/new-power-parasites-phishing-attack/ "电力寄生虫"网络钓鱼活动冒充西门子等能源巨头，通过虚假投资和招聘骗局，利用150+域名和多语言策略针对亚洲用户，窃取财务数据。攻击采用统一模板和共享基础设施，YouTube和Telegram也被利用传播。 8、mavinject.exe遭利用，黑客绕过安全防线入侵系统 https://www.anquanke.com/post/id/306961 威胁行为者越来越多地利用 mavinject.exe（一款 Microsoft 的合法工具）来绕过安全控制并入侵系统。这种复杂的攻击技术使黑客能够将恶意活动隐藏在受信任的 Windows 进程背后。 9、Storm-1977 使用 AzureChecker 对教育云进行挖矿攻击 https://thehackernews.com/2025/04/storm-1977-hits-education-clouds-with.html 微软透露，名为 Storm-1977 的威胁行为者在过去一年对教育领域的云租户进行了密码喷洒攻击。微软威胁情报团队在分析中表示，“该攻击涉及使用 AzureChecker.exe，这是一个命令行界面（CLI）工具，被广泛使用的各种威胁行为者所使用。” 10、Viasat 调制解调器零日漏洞使攻击者能够执行远程代码 https://gbhackers.com/viasat-modems-zero-day-vulnerabilities/ 在多个 Viasat 卫星调制解调器型号中发现了一个严重的零日漏洞，包括 RM4100、RM4200、EM4100、RM5110、RM5111、RG1000、RG1100、EG1000 和 EG1020。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、"Power Parasites"钓鱼攻击瞄准全球能源巨头 https://cybersecuritynews.com/new-power-parasites-phishing-attack/ 2025年4月26日，研究人员披露名为“Power Parasites”的长期钓鱼攻击活动，该活动自2024年起持续针对西门子能源、施耐德电气、EDF能源等全球能源巨头及知名品牌。攻击者注册了150多个仿冒域名，通过虚假投资平台和高薪职位诱骗受害者，主要覆盖亚洲多国（孟加拉、尼泊尔、印度等），并采用多语言提升欺骗性。投资诈骗以“高回报能源项目”为饵，而招聘诈骗则伪造名企职位，诱骗受害者提交银行账户、身份证件等敏感信息。 2、Ruby服务器组件漏洞可致数据泄露 https://thehackernews.com/2025/04/researchers-identify-rackstatic.html 2025年4月25日，研究人员披露了Ruby服务器接口Rack::Static中的三个高危漏洞（CVE-2025-27610、CVE-2025-27111、CVE-2025-25184），攻击者可利用这些漏洞窃取敏感文件、注入恶意数据并篡改日志。其中最严重的CVE-2025-27610允许未授权攻击者通过路径遍历访问服务器根目录下的任意文件，包括配置文件、凭证等机密数据。另外两个漏洞涉及CRLF注入，可被用于伪造日志记录或植入恶意代码，掩盖攻击痕迹。若 3、黑客利用SAP NetWeaver漏洞实现远程代码执行 https://thehackernews.com/2025/04/sap-confirms-critical-netweaver-flaw.html 2025年4月25日，研究人员证实，黑客正在利用SAP NetWeaver中新发现的漏洞（CVE-2025-31324）上传恶意JSP WebShell，来实现未授权的文件上传和远程代码执行。该漏洞最初被怀疑是远程文件包含（RFI）问题，但经确认，实为无限制文件上传漏洞，允许攻击者绕过认证直接向系统上传恶意文件。研究人员在4月22日的调查报告中首次披露了相关恶意活动，并观察到攻击者利用该漏洞部署了Brute Ratel框架等高级攻击工具。 4、Plant工业交换机存在可被控制设备的漏洞 2025年4月26日，研究人员披露了普莱德科技多款工业交换机和网络管理系统的高危漏洞，攻击者可利用这些漏洞完全控制设备。此次调查起因是美国网络安全与基础设施安全局（CISA）在2024年12月发布的漏洞预警。研究团队通过分析WGS-80HPT-V2和WGS-4215-8T2S等型号设备的固件，发现除CISA已通报的漏洞外，还存在多个未公开的严重缺陷。这些漏洞涉及设备远程管理接口，可能允许攻击者绕过认证、执行任意代码或窃取敏感数据。 https://hackread.com/planet-technology-industrial-switch-flaws-full-takeover/ 5、RustoBot僵尸网络恶意软件威胁网络安全 https://www.anquanke.com/post/id/306930 一种使用 Rust 编程语言编写的复杂新型僵尸网络恶意软件已被发现，其目标是全球范围内存在漏洞的路由器设备。由于该恶意软件是基于 Rust 语言编写的，因此被命名为 “RustoBot”。它利用了 TOTOLINK 和 DrayTek 路由器型号中的严重漏洞来执行远程命令注入，这有可能影响到日本、越南和墨西哥的科技产业。 6、SonicWall SSLVPN高危漏洞无需认证即可致防火墙崩溃 https://www.anquanke.com/post/id/306910 SonicWall 已披露其 SSL 虚拟专用网络（SSLVPN）服务中存在一个严重的安全漏洞，该漏洞允许未经身份验证的远程攻击者使受影响的防火墙设备崩溃，这有可能对企业网络造成重大干扰。该漏洞编号为 CVE-2025-32818，通用漏洞评分系统（CVSS）评分为 7.5，属于高严重性等级，影响运行特定固件版本的众多 SonicWall 防火墙型号。 7、MITRE ATT&CK v17.0发布 新增ESXi攻击战术 https://attack.mitre.org/resources/updates/updates-april-2025/ MITRE发布了ATT&CK框架最新版本v17.0，新增专门针对VMware ESXi虚拟化平台的攻击战术、技术与程序（TTPs）矩阵。该矩阵详细梳理了攻击者针对ESXi管理程序的典型攻击手法。 8、蚂蚁集团等16家互联网平台签署网络数据安全自律公约 https://www.freebuf.com/news/428930.html 近日，在第二届武汉网络安全创新论坛的个人信息保护分论坛上，在中国网络空间安全协会的组织下，蚂蚁集团、阿里巴巴、美团、腾讯、微博、京东、百度、滴滴出行、拼多多、科大讯飞等16家平台型企业共同签署了《网信企业网络数据安全自律公约》，旨在积极落实数据安全和个人信息保护责任，提升网络数据安全风险管理水平。 9、新型越狱攻击可突破ChatGPT、Gemini等主流AI服务防护 https://www.freebuf.com/news/428850.html 研究人员最新发现的两项越狱技术暴露了当前主流生成式AI服务的安全防护存在系统性漏洞，受影响平台包括OpenAI的ChatGPT、谷歌的Gemini、微软的Copilot、深度求索（DeepSeek）、Anthropic的Claude、X平台的Grok、MetaAI以及MistralAI。 10、朝鲜Lazarus APT组织利用"one-day漏洞"攻击全球机构 https://www.freebuf.com/articles/ics-articles/428802.html 网络安全专家发现，朝鲜政府支持的Lazarus APT（高级持续性威胁）组织正在对全球关键基础设施和金融机构发起复杂攻击活动。该组织改变策略，利用企业尚未及时修复的"一日漏洞"（one-day vulnerabilities）实施攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。