1、Lazarus组织针对韩国企业发起“水坑攻击” https://www.bleepingcomputer.com/news/security/lazarus-hackers-breach-six-companies-in-watering-hole-attacks/ 2025年4月24日，研究人员披露，朝鲜黑客组织Lazarus在2024年11月至2025年2月期间针对韩国软件、IT、金融、半导体制造及电信行业发起代号为“Operation SyncHole”的水坑攻击。攻击者利用韩国广泛使用的文件传输客户端漏洞，植入恶意代码入侵至少六家机构。研究人员指出，由于该软件在韩国的普及性，实际受害企业可能更多。尽管漏洞在攻击前已被厂商知晓，但L 2、攻击者利用Ivanti零日漏洞在日本部署恶意软件 https://thehackernews.com/2025/04/dslogdrat-malware-deployed-via-ivanti.html 2025年4月25日，研究人员披露，攻击者利用Ivanti Connect Secure（ICS）的零日漏洞（CVE-2025-0282）在日本部署新型恶意软件DslogdRAT及一个WebShell。据研究报告表示，该漏洞在2024年12月被用于针对日本机构的攻击，攻击者可借此实现未授权远程代码执行。Ivanti已于2025年1月初发布补丁修复该漏洞。目前，受影响机构需排查历史日志以确认是否遭入侵。 3、黑客利用配置不当的K8s集群部署挖矿软件 https://cybersecuritynews.com/threat-actors-taking-advantage-of-unsecured-kubernetes-clusters/ 2025年4月24日，研究人员发现，黑客正大规模利用配置不当的Kubernetes（K8s）集群部署加密货币挖矿恶意软件。攻击者通过弱密码爆破、认证绕过等方式入侵集群，创建非法容器并劫持受害组织的计算资源进行门罗币（Monero）等加密货币挖矿。此类攻击不仅导致企业云资源成本激增，还可能影响关键业务应用的性能。 4、美国医疗机构遭勒索攻击致近百万患者数据泄露 https://www.bleepingcomputer.com/news/security/frederick-health-data-breach-impacts-nearly-1-million-patients/ 2025年4月24日，美国马里兰州大型医疗机构Frederick Health披露，其于1月27日遭受勒索软件攻击，导致近百万患者敏感信息泄露，泄露数据包括患者姓名、住址、出生日期、社会安全号码、驾照号码、医疗保险信息及临床诊疗记录。Frederick Health在3月底向患者发出通知，并联合执法部门及第三方取证公司展开调查，但未透露是否支付赎金或攻击者身份。 5、研究人员披露Redis存在高危拒绝服务漏洞 https://gbhackers.com/redis-dos-flaw/ 2025年4月24日，研究人员披露，Redis开源数据库被发现存在高危拒绝服务漏洞（CVE-2025-21605），影响2.6及以后所有版本。攻击者可利用未受限制的输出缓冲区，通过未授权请求耗尽服务器内存或直接导致服务崩溃。官方已在6.2.18、7.2.8和7.4.3版本中发布修复补丁。鉴于Redis在缓存、会话管理等关键业务中的广泛应用，建议立即升级至安全版本。 6、代号为ToyMaker的勒索组织开展双重勒索攻击 https://thehackernews.com/2025/04/toymaker-uses-lagtoy-to-sell-access-to.html 2025年4月26日，研究人员披露，一个代号为ToyMaker的初始访问中介（IAB）正通过定制恶意软件LAGTOY（又名HOLERUN）入侵企业网络，并将访问权限转售给CACTUS等实施双重勒索的勒索软件组织。该恶意软件具备反向Shell连接及远程命令执行能力，使攻击者能完全控制受感染终端。ToyMaker主要出于经济利益，专门扫描并利用系统漏洞建立初始入侵点，为下游勒索攻击铺路。 7、英国零售巨头玛莎百货（M&S）因网络攻击停摆 https://www.infosecurity-magazine.com/news/ms-shuts-down-online-orders/ 2025年4月25日，英国零售巨头玛莎百货（M&S）因遭遇网络安全事件，宣布暂停其官网（M&S.com）及移动应用的在线订单服务，恢复时间尚未确定。该公司未透露具体攻击细节，但此举可能是由于后端系统遭受入侵，需全面排查影响范围。目前尚不清楚攻击是否涉及数据泄露或勒索软件，但该事件已对消费者在线购物造成直接影响。 8、Commvault被发现可致远程接管漏洞 https://hackread.com/critical-commvault-flaw-allows-full-system-takeover/ 2025年4月25日，企业级备份解决方案Commvault Command Center曝出高危漏洞（CVE-2025-34028），攻击者可利用该漏洞在未认证的情况下远程执行任意代码，完全控制目标系统。漏洞存在于deployWebpackage.do接口，因对外部服务器交互缺乏严格验证，导致预认证SSRF攻击风险。目前Commvault已发布补丁，建议使用Innovation Release版本的企业立即更新。 9、钓鱼即服务平台Darcula引入生成式AI 大幅降低网络犯罪门槛 https://thehackernews.com/2025/04/darcula-adds-genai-to-phishing-toolkit.html 网络安全公司Netcraft报告显示，钓鱼平台Darcula新增生成式AI功能，可快速创建多语言钓鱼页面，大幅降低犯罪门槛。该平台已关联全球超2.5万次攻击，使无技术背景者也能轻松发动大规模网络诈骗。 10、微软悬赏最高3万美元征集AI系统漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-now-pays-up-to-30-000-for-some-ai-vulnerabilities/ 微软将Dynamics 365和Power Platform的AI漏洞赏金最高提至3万美元，涵盖推理操纵等关键漏洞，奖励基于严重性和提交质量。此前已支付600万美元奖金，并扩展AI安全研究激励措施。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客组织UNC2428借虚假招聘投递MURKYTOUR后门 https://thehackernews.com/2025/04/iran-linked-hackers-target-israel-with.html 2025年4月23日，研究人员披露伊朗黑客组织UNC2428于2024年10月对以色列发起钓鱼攻击。攻击者伪装成以色列国防承包商Rafael的招聘人员，通过虚假职位诱骗目标下载名为"RafaelConnect.exe"的恶意安装程序（LONEFLEET）。该程序呈现仿真的图形界面（GUI）诱导受害者填写个人信息，实则暗中部署MURKYTOUR后门，并通过LEAFPILE启动器维持持久化访问。 2、研究人员发现针对俄罗斯军方的Android间谍软件 https://securityaffairs.com/176886/malware/android-spyware-hidden-in-mapping-software-targets-russian-soldiers.html 2025年4月24日，研究人员发现针对俄罗斯军方的Android间谍软件。该恶意代码被植入篡改版Alpine Quest地图应用，通过俄罗斯第三方应用商店传播。间谍软件可窃取通讯录、定位数据及设备文件，并支持远程下载附加模块。攻击者利用俄军人员对专业地形规划软件的需求，将恶意程序伪装成"Alpine Quest Pro"高级功能免费版分发。 3、Docker环境成为加密挖矿活动目标 https://securityaffairs.com/176877/malware/crypto-mining-campaign-targets-docker-environments-with-new-evasion-technique.html 2025年4月23日，研究人员披露针对Docker环境的恶意挖矿活动。攻击者利用Docker Hub上的"kazutod/tene:ten"镜像部署恶意节点，连接至去中心化基础设施网络Teneo。该恶意软件通过运行社区节点，秘密抓取Facebook、X（原Twitter）、Reddit及TikTok等社交平台公开数据以获取Teneo积分（可兑换 4、2025年第一季度159个CVE漏洞遭利用28.3%在披露24小时内被攻击 https://www.freebuf.com/articles/network/428660.html 2025年第一季度共有159个CVE编号漏洞被确认在野利用，较2024年第四季度的151个有所上升。网络安全公司VulnCheck向《黑客新闻》提供的报告指出："我们发现漏洞利用速度持续加快，28.3%的漏洞在其CVE披露后24小时内就遭到利用。"这意味着有45个安全漏洞在公开披露当天就被用于实际攻击。另有14个漏洞在一个月内遭利用，还有45个漏洞在一年内被滥用。 5、Google Forms被恶意利用，多行业面临凭证泄露风险 https://www.anquanke.com/post/id/306858 Google Forms — 科技巨头广受欢迎的调查工具，已成为网络犯罪分子武器库中的得力工具。它使犯罪分子能够绕过复杂的电子邮件安全过滤器，并获取敏感的用户凭证。 6、XRPL官方NPM包遭恶意篡改，私钥窃取威胁波及数十万加密货币应用 https://www.anquanke.com/post/id/306856 一场针对加密货币用户的重大供应链攻击事件发生了。XRP Ledger 的 JavaScript SDK 的官方 XRPL NPM 包遭到了恶意代码的篡改，这些恶意代码旨在窃取加密货币的私钥，有可能影响到成千上万的应用程序。 7、Redis高危漏洞CVE-2025-21605，多版本补丁紧急修复 https://www.anquanke.com/post/id/306847 在广受欢迎的开源内存数据结构存储系统 Redis 中发现了一个严重高危漏洞，该漏洞可能使未经身份验证的用户耗尽服务器内存，并导致拒绝服务（DoS）情况的发生。这个漏洞被追踪编号为 CVE-2025-21605，影响从 2.6 版本起的所有 Redis 版本，通用漏洞评分系统（CVSS）评分为 7.5 分。 8、Grafana 高危漏洞可致关键业务数据泄露 https://www.anquanke.com/post/id/306841 Grafana Labs 已针对多个产品版本发布了安全更新，修复了一个高危和两个中危级别的漏洞，这些漏洞影响了Grafana OSS 和 Grafana Enterprise。其中最严重的漏洞是 CVE-2025-3260，通用漏洞评分系统（CVSS）评分为 8.3（高危），该漏洞可能导致未经授权的用户访问和修改仪表盘，即使是权限极低的用户也能做到。 9、Linux 'io_uring' 安全盲点允许隐蔽的后门攻击 https://www.bleepingcomputer.com/news/security/linux-io-uring-security-blindspot-allows-stealthy-rootkit-attacks/ Linux 运行时安全中的一个重大安全漏洞由'io_uring'接口引起，允许根 kit 在系统上运行而不被高级企业安全软件检测到，从而绕过安全防护。 10、黑客利用OAuth 2.0工作流劫持Microsoft 365账户 https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/ 俄罗斯威胁行为者一直在利用合法的 OAuth 2.0 身份验证工作流劫持与乌克兰和人权组织相关的组织的员工的 Microsoft 365 账户。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、俄机构遭伪装成ViPNet软件更新包的后门攻击 https://securelist.com/new-backdoor-mimics-security-software-update/116246/ 2025年4月22日，研究人员发现一起针对俄罗斯政府、金融及工业领域大型机构的复杂网络攻击。攻击者将后门程序伪装成ViPNet安全网络软件的更新包（LZH压缩格式），通过该软件的更新渠道进行传播。ViPNet是俄罗斯广泛使用的安全组网解决方案，此次攻击利用其信任链实施供应链攻击。该后门可控制受感染主机，但攻击者的具体意图尚在调查中。 2、SK电讯遭恶意攻击致用户USIM数据泄露 https://securityaffairs.com/176802/data-breach/sk-telecom-data-breach.html 2025年4月22日，韩国最大电信运营商SK电讯（SK Telecom）遭遇恶意软件攻击，导致客户通用用户识别模块（USIM）数据外泄。USIM卡存储包括国际移动用户识别码（IMSI）及加密密钥在内的关键用户信息。SK电讯在发现入侵后立即向韩国互联网振兴院（KISA）报告，并于4月20日对受影响系统进行清理隔离。 3、MalenuStealer木马利用Discord平台实施网络钓鱼 https://www.binarydefense.com/resources/blog/a-look-at-a-novel-discord-phishing-attack/ 2025年4月22日，研究人员披露一种通过Discord平台传播的窃密木马MalenuStealer。攻击者利用已入侵的Discord账号向好友发送伪装成"游戏测试邀请"的钓鱼消息，诱导用户下载所谓"测试版游戏"，实则植入恶意软件。该木马专门窃取受害者的账号密码、支付信息等敏感数据。 4、SSL的.com站漏洞允许主要域名使用欺诈性SSL证书 https://hackread.com/ssl-com-vulnerability-fraud-ssl-certificates-domains/ 2025年4月22日，研究人员披露SSL.com存在严重漏洞，攻击者可利用其电子邮件验证机制的缺陷，为任意主要域名签发合法SSL/TLS证书。该问题源于SSL.com的域名控制验证（DCV）流程缺陷，SSL证书是保障HTTPS加密通信的核心，而证书颁发机构（CA）的信任体系一旦被破坏，可能导致中间人攻击、钓鱼网站仿冒等风险。目前SSL.com已紧急修复该漏洞，但尚未公布受影响证书的吊销情况。 5、新型恶意软件采用独特混淆技术劫持Docker镜像 https://www.freebuf.com/articles/428513.html 安全研究人员发现新型恶意软件正在攻击Docker环境，该软件采用复杂的多层混淆技术逃避检测，通过劫持计算资源进行加密货币挖矿（cryptojacking）。 6、三星One UI安全漏洞：剪贴板数据明文存储且永不过期 https://cybersecuritynews.com/samsung-one-ui-security-flaw/ 三星One UI系统存在重大安全漏洞，剪贴板数据以明文永久存储，包括密码等敏感信息，且无自动删除机制。攻击者可轻易获取数据，建议手动清除或使用自动填充功能。该问题多年未解决，引发用户强烈担忧。 7、谷歌云Composer漏洞允许攻击者提升权限 https://cybersecuritynews.com/google-cloud-composer-vulnerability/ 谷歌云平台(GCP)的Cloud Composer服务存在"ConfusedComposer"权限提升漏洞，攻击者可通过注入恶意PyPI包获取高权限服务账户控制权。谷歌已修复该漏洞，改用更安全的服务账户执行安装操作，并更新相关文档。 8、伪装成Alpine Quest的恶意地图应用被曝监控俄军动向 https://hackread.com/fake-alpine-quest-mapping-app-spying-russian-military/ 伪造Alpine Quest应用植入间谍软件，窃取俄军定位数据、通讯录及文件。通过Telegram传播，伪装为"专业版"，可远程扩展功能。建议避免非官方渠道下载，警惕模块化恶意软件。幕后组织尚未确认。 9、"Cookie-Bite"攻击手法可绕过多重验证并维持持久访问权限 https://cybersecuritynews.com/cookie-bite-attack/ 网络安全研究人员发现"Cookie-Bite"攻击技术，通过窃取浏览器cookie绕过MFA保护，持久访问云环境。攻击者利用中间人攻击、恶意扩展等手段窃取会话令牌，无需凭证即可冒充用户。建议企业监控异常行为、限制浏览器扩展并部署令牌保护机制应对威胁。 10、GPT4在公开漏洞利用代码发布前成功生成CVE有效攻击程序 https://cybersecuritynews.com/chatgpt-creates-working-exploit-for-cves/ AI成功生成高危漏洞攻击程序，改写网络安全格局。GPT-4仅凭CVE描述即完成代码分析、漏洞定位、攻击编写及调试全过程，大幅缩短漏洞利用开发时间。这一突破既提升研究效率，也加剧安全风险，迫使组织加速补丁部署。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Kimsuky APT利用BlueKeep漏洞攻击日韩 https://securityaffairs.com/176756/apt/kimsuky-apt-exploited-bluekeep-rdp-flaw-in-attacks-against-south-korea-and-japan.html 2025年4月21日，韩国AhnLab研究人员发现，朝鲜背景的APT组织Kimsuky（追踪代号Larva-24005）近期利用已修补的Microsoft远程桌面协议（RDP）漏洞BlueKeep（CVE-2019-0708）入侵目标系统。此外，Kimsuky还通过钓鱼邮件及Microsoft Office Equation Editor漏洞（C 2、黑客利用WinDbg Preview绕过Windows Defender防护 https://gbhackers.com/hackers-bypassed-windows-defender-policies 2025年4月21日，研究人员披露，攻击者可利用WinDbg Preview调试工具绕过Windows Defender应用程序控制(WDAC)策略。该漏洞被称为为"WinDbg Preview Exploit"，利用调试器的高级功能执行代码并实现远程进程注入，成功规避了企业环境中针对未签名或未授权代码的防护措施。 3、黑客兜售可绕过主流AV/EDR的"Baldwin Killer"恶意工具 https://gbhackers.com/hackers-claim-to-sell-baldwin-killer-malware/ 2025年4月21日，某知名威胁攻击者在暗网论坛公开出售名为"Baldwin Killer"的高级恶意软件工具包。据称该工具能够有效绕过包括Windows Defender、卡巴斯基、Bitdefender和Avast在内的主流杀毒软件及终端检测响应(EDR)系统。安全专家对此表示高度关注，认为该工具的出现可能显著降低攻击门槛，使更多威胁行为者能够突破企业基础安全防护。 4、WordPress恶意插件日均生成14亿广告请求 https://www.bleepingcomputer.com/news/security/scallywag-ad-fraud-operation-generated-14-billion-ad-requests-per-day/ 2025年4月，安全公司HUMAN曝光一起代号"Scallywag"的大规模广告欺诈活动。攻击者通过定制WordPress插件，在盗版和URL缩短网站上植入恶意代码获利，最高峰时每日产生14亿次虚假广告请求。经调查，该犯罪网络涉及407个域名，通过伪造广告展示和点击非法牟利。 5、HPE集群管理器被发现允许远程绕过身份验证 https://cybersecuritynews.com/hpe-performance-cluster-manager-vulnerability/ 2025年4月22日，研究人员在HPE Performance Cluster Manager（HPCM）中发现一个高危认证绕过漏洞（CVE-2025-27086）。该漏洞存在于HPCM图形用户界面(GUI)的远程方法调用(RMI)通信机制中，影响包括1.12版本在内的所有HPCM版本。攻击者可利用此漏洞远程绕过身份验证机制，直接访问受保护的系统资源。HPE已获知该漏洞详情，建议使用HPCM的企业立即采取缓解措施。 6、严重性10分的Erlang SSH漏洞已出现公开利用代码 https://www.freebuf.com/articles/ics-articles/428263.html 网络安全专家正紧急呼吁企业立即修复Erlang/OTP安全外壳（SSH）协议中的一个高危漏洞（CVE-2025-32433）。该远程代码执行（RCE）漏洞的CVSS评分为满分10分，攻击者无需认证即可完全控制受影响设备。该漏洞于4月16日被发现后，研究人员已迅速开发出利用代码。 7、新型钓鱼攻击：SVG文件中植入恶意HTML文件 https://www.freebuf.com/articles/web/428247.html 网络安全专家发现了一种利用SVG（可缩放矢量图形）文件格式的新型钓鱼技术，攻击者通过该技术向不知情的受害者投递恶意HTML内容。这种于2025年初首次被发现的威胁手段，标志着钓鱼战术的显著升级——攻击者利用SVG文件的双重特性绕过安全防护措施，诱骗用户泄露敏感信息。 8、RustoBot利用路由器漏洞发动DDoS跨境攻击 https://www.anquanke.com/post/id/306777 FortiGuard Labs 最近发现了名为 RustoBot 的恶意程序，它是用 Rust 语言编写的。Rust 是一种以性能和安全性著称的内存安全型语言。RustoBot 是一个复杂的僵尸网络，它利用了 TOTOLINK 和 DrayTek 路由器中的漏洞，从而在日本、越南和墨西哥的技术基础设施中占据了一席之地。 9、美国美中委员会发布DeepSeek调查报告称其威胁美国国家安全 https://www.secrss.com/articles/77880 近日，美国美中战略竞争特别委员会发布了一份DeepSeek调查报告，指控DeepSeek涉嫌数据窃取、信息操控、技术盗用及规避美国出口管制，威胁美国国家安全。 10、 高危Windows更新堆栈漏洞可导致代码执行与权限提升 https://cybersecuritynews.com/windows-update-stack-vulnerability/ 微软Windows更新堆栈高危漏洞CVE-2025-21204允许攻击者通过操控更新流程获取SYSTEM权限，影响Win10/11及Server多个版本。漏洞利用文件系统信任而非内存破坏，传统工具难检测。微软已发布补丁修复，建议立即更新并限制相关目录访问。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、FOG勒索软件伪装DOGE发起钓鱼攻击 https://cybersecuritynews.com/new-fog-ransomware-attack-mimic-as-doge-attacking-organization/ 2025年4月21日，研究人员发现，FOG勒索软件攻击活动呈现新型攻击特征，攻击者伪装成美国"政府效率部（DOGE）"名义实施社会工程攻击。该活动通过精心制作的钓鱼邮件进行传播，邮件附件伪装成政府公文，当受害者点击该附件后，会启动复杂的感染链，从而导致数据加密和勒索要求。 2、Google OAuth被利用于伪造DKIM认证钓鱼邮件 https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/ 2025年4月20日，研究人员披露，在一起网络钓鱼攻击中，攻击者通过利用Google OAuth授权流程与邮件协议漏洞，构造了显示发件人为"no-reply@google.com"的欺诈邮件。该邮件利用DKIM签名验证机制缺陷，在通过常规反垃圾邮件检测的同时，将用户重定向至攻击者控制的仿冒Google支持页面，诱导受害者提交账户凭证。 3、GitHub针对企业产品版发布紧急安全更新 https://cybersecuritynews.com/github-enterprise-server-vulnerabilities/ 2025年4月21日，GitHub针对企业版产品发布紧急安全更新，修复包含关键远程代码执行漏洞（CVE-2025-3509）在内的多个安全缺陷，该漏洞影响3.13.0至3.16.1版本。攻击者可通过构造恶意HTTP请求在服务端执行任意命令，同时结合跨站脚本漏洞（CVE-2025-3511）窃取私有仓库访问令牌及敏感代码资产。 4、Facebook开发的PyTorch模型被发现存在RCE漏洞 https://securityonline.info/critical-pytorch-vulnerability-cve-2025-32434-allows-remote-code-execution/ 2025年4月21日，研究人员披露，PyTorch深度学习框架存在远程命令执行（RCE）漏洞（CVE-2025-32434），该漏洞影响2.5.1版本之前的PyTorch。如果攻击者利用此缺陷制作了一个模型文件，他们就可以在目标计算机上执行任意命令，这可能导致数据泄露、系统泄露，甚至在云托管的 AI 环境中横向移动。目前PyTorch已在发布2.6版本修复该漏洞， 5、Meshtastic开源通信协议栈存在远程代码执行漏洞 https://securityonline.info/critical-meshtastic-rce-vulnerability-cve-2025-24797-requires-urgent-update/ 2025年4月21日，研究人员披露，Meshtastic开源通信协议栈存在远程代码执行漏洞（CVE-2025-24797），该漏洞影响固件版本2.6.2之前的所有设备。该漏洞源于不正确地处理含有无效协议缓冲区（protobuf）数据错误格式的网状数据包。受影响设备涉及基于ESP32、nRF52等硬件平台的便携式节点设备，主要应用于野外救援、灾害应急通信等离网场景。Meshtastic官 6、新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备 https://www.freebuf.com/articles/428204.html Cleafy安全研究人员发现名为"超级卡X"（SuperCard X）的新型恶意软件即服务（MaaS），该恶意软件通过NFC（近场通信）中继攻击针对安卓设备实施资金窃取。 7、朝鲜APT组织利用实时深度伪造技术通过远程工作渗透组织 https://www.freebuf.com/articles/ai-security/428243.html 网络安全渗透手段出现令人担忧的新发展——朝鲜APT组织开始在远程工作面试中使用复杂的实时深度伪造（deepfake）技术，以此获取全球各地组织的职位。 8、 微软Entra新安全功能引发大规模账户锁定事件 https://www.bleepingcomputer.com/news/microsoft/widespread-microsoft-entra-lockouts-tied-to-new-security-feature-rollout/ 微软Entra ID新功能"MACE"部署故障引发大规模误报，导致大量用户账户被锁定。受影响账户未现入侵迹象且启用了MFA，微软确认问题源于静默部署的凭证撤销应用。建议管理员排查异常警报。 9、Qrator Labs成功抵御今年最大规模DDoS攻击 峰值达965Gbps https://hackread.com/qrator-labs-mitigating-largest-ddos-attack-to-date/ 2025年4月，Qrator Labs成功抵御峰值965 Gbps的DDoS攻击，创年度纪录。攻击针对相关在线平台，与NHL球星破纪录进球时间重合，采用多向量复合模式。研究显示体育赛事期间相关平台成高危目标，企业需提前强化防护。 10、Interlock 勒索软件肆虐，全球企业面临数据加密与泄露双重风险 https://www.anquanke.com/post/id/306737 Sekoia 威胁检测与研究团队（TDR）的一份新报告详细阐述了 Interlock 勒索软件的入侵活动。Interlock 首次被发现于 2024 年 9 月，以实施 Big Game Hunting 和双重勒索活动而闻名。尽管它不被归类为勒索软件即服务（RaaS）组织，但 Interlock 运营着一个名为 Worldwide Secrets Blog 的数据泄露网站，以此向受害者施压。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、勒索软件使用被盗的AWS密钥攻击S3存储桶 https://hackread.com/mass-ransomware-campaign-s3-buckets-stolen-aws-keys/ 2025年4月17日，研究人员发现针对AWS云存储的大规模勒索攻击，攻击者利用1,229个被盗的AWS访问密钥对S3存储桶实施静默加密。通过滥用AWS服务端加密功能（SSE-C），攻击者使用自生成的AES-256密钥加密数据，且未触发常规告警或文件变更日志，使数据所有者难以察觉异常。此次攻击的AWS密钥或源于GitHub代码泄露、CI/CD工具配置缺陷及老旧IAM凭证，攻击流程高度自动化且身份不明。 2、关岛医院因勒索事件数据泄露被HIPAA罚款 https://www.govinfosecurity.com/guam-hospital-pays-feds-25k-to-settle-hipaa-investigation-a-28037 2025年4月17日，关岛纪念医院管理局（GMHA）因涉嫌违反《健康保险流通与责任法案》（HIPAA）与美国卫生与公众服务部民权办公室（HHS OCR）达成和解协议，支付2.5万美元罚款并执行整改计划。此次调查源于HHS OCR对两起安全事件的审查：2018年12月发生的勒索软件攻击事件导致5000人受保护健康信息泄露，以及2019年1月相关投诉中发现的违规行为。调查显示，该医院未按要求开展全面的安 3、Windows NTLM hash泄露漏洞被用于政府钓鱼攻击 https://www.bleepingcomputer.com/news/security/windows-ntlm-hash-leak-flaw-exploited-in-phishing-attacks-on-governments/ 2025年4月17日，微软在3月份修复了Windows系统中因.library-ms文件触发NTLM哈希泄露的漏洞（CVE-2025-24054），但该漏洞在补丁发布后迅速遭黑客利用。攻击者自3月20日起针对政府机构及私营企业发起钓鱼攻击，通过诱导目标访问恶意文件窃取NTLM认证哈希值，进而横向渗透内网。尽管攻击流量中检测到与俄罗斯APT28（Fancy 4、攻击者仿冒CapCut下载站传播远程控制程序 https://www.welivesecurity.com/en/scams/capcut-copycats-prowl/ 2025年4月17日，研究人员披露新型钓鱼攻击活动，攻击者仿冒CapCut、Adobe Express及Canva等AI内容生成工具，通过伪造“高级版”下载页面分发恶意远程控制程序。虚假网站诱导用户上传素材并下载名为“Creation_Made_By_CapCut.mp4”的可执行文件，实际为预配置的ConnectWise ScreenConnect、AnyDesk等工具，可在用户授权后直接控制设备，恶意远程工具可绕过管理员权限，实现数据窃取、勒索软件部署及横向渗透。 5、攻击者利用AI演示工具Gamma构建多阶段欺诈流程 https://thehackernews.com/2025/04/ai-powered-gamma-used-to-host-microsoft.html 2025年4月16日，Abnormal Security披露新型钓鱼攻击链，攻击者利用AI演示工具Gamma构建多阶段欺诈流程。攻击者通过钓鱼邮件投递含超链接的PDF附件，点击后跳转至Gamma平台仿造的“安全文档审阅”页面。受害者需通过Cloudflare验证码后进入伪造的Microsoft SharePoint登录界面，攻击者使用中间人（AiTM）技术实时校验凭证，若密码错误则触发动态提示以增强欺骗性。 6、勒索团伙伪造IT工具实施社工攻击 https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-pushes-fake-it-tools-in-clickfix-attacks/ 2025年4月18日，研究人员披露Interlock勒索团伙升级攻击手段，通过伪造IT支持工具实施ClickFix社会工程攻击。攻击者向企业员工发送“系统故障修复指南”，诱导其复制执行恶意PowerShell指令，成功渗透后，攻击者在FreeBSD服务器与Windows系统横向移动，部署自研勒索软件加密文件，勒索金额达数十万至数百万美元。 7、攻击者利用Zoom远程控制权限植入恶意软件 https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/ 2025年4月18日，研究人员披露针对Zoom的攻击手法。攻击者利用视频会议平台的“远程控制”功能实施恶意操作，黑客通过伪造企业培训、客户支持等钓鱼会议链接，诱导用户点击“允许远程控制”权限。一旦授权，攻击者可直接在受害者设备执行命令，植入Agent Tesla、Remcos RAT等窃密木马，或劫持摄像头与麦克风进行数据窃取。 8、恶意npm包模仿Telegram Bot API在Linux上植SSH后门 https://thehackernews.com/2025/04/rogue-npm-packages-mimic-telegram-bot.html 2025年4月19日，研究人员披露，npm仓库中三个伪装成热门Telegram Bot API（Telegram机器人应用程序接口）的恶意软件包（node-telegram-utils、node-telegram-bots-api、node-telegram-util）被用于攻击Linux开发环境。这些软件包仿冒合法库node-telegram-bot-api，通过“星劫持”（starjacking）手段伪造GitHub仓库关联性，诱导开发 9、Gorilla安卓木马拦截并窃取短信验证码 https://cybersecuritynews.com/new-gorilla-android-malware-intercept-sms-messages/ 2025年4月19日，研究人员发现Android恶意程序“Gorilla”，该恶意程序通过拦截包含短信验证码（OTP）的SMS消息针对银行及Yandex用户发起攻击。该恶意程序通过精细化权限滥用与通信隐蔽技术，构建针对金融账户的OTP窃取链条。其利用WebSocket实时传输数据，并规避常规检测API的行为。Catalyst警告，此类攻击可能破坏多因素认证（MFA）安全性，直接威胁用户资金与隐私。 10、SonicWall SMA设备远程代码漏洞被恶意利用 https://securityaffairs.com/176706/security/attackers-exploited-sonicwall-sma-appliances-since-january-2025.html 2025年4月19日，研究人员披露，自1月起，攻击者持续利用SonicWall Secure Mobile Access（SMA）设备漏洞（CVE-2021-20035）实施入侵。该漏洞为SMA100管理界面的操作系统命令注入缺陷，允许远程认证攻击者以“nobody”用户权限执行任意代码，并可引发拒绝服务（DoS）攻击。研究发现，攻击者重点针对SMA 200/210/4 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT组织利用GrapeLoader钓鱼攻击欧洲使馆 https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/ 2025年4月15日，研究人员揭露俄罗斯APT组织Midnight Blizzard（APT29/Cozy Bear）针对欧洲外交机构发起钓鱼攻击，其恶意软件GrapeLoader首次曝光。攻击自2025年1月起持续活跃，黑客伪造欧洲多国"外交部"名义发送主题为"品酒会邀请"的钓鱼邮件，诱导目标下载含恶意程序的ZIP压缩包。该压缩包内嵌合法PPT程序与恶意DL 2、朝鲜黑客借Python编程测试投递窃密程序 https://thehackernews.com/2025/04/crypto-developers-targeted-by-python.html 2025年4月15日，研究人员披露披露朝鲜黑客组织Slow Pisces（Jade Sleet）针对加密货币开发者发起精密供应链攻击。攻击者通过LinkedIn伪装招聘方，以"编程能力测试"为名诱骗开发者下载托管于GitHub的恶意Python项目。项目内嵌RN Loader加载器，通过YAML反序列化漏洞执行内存驻留攻击链，最终部署可窃取iCloud密钥、SSH凭证及云平台配置的RN Stealer窃密程序。攻击采用多阶段载荷触发机制，仅当 3、Node.js 恶意攻击瞄准加密货币用户 https://thehackernews.com/2025/04/nodejs-malware-campaign-targets-crypto.html 2025年4月17日，微软披露一起持续半年的恶意广告活动，攻击者利用Node.js框架伪造加密货币交易平台Binance及TradingView的安装程序，针对全球加密用户实施数据窃取。自2024年10月起，黑客通过仿冒网站诱导用户下载含恶意DLL文件的安装包，该组件通过Windows计划任务建立持久化机制，并利用PowerShell脚本绕过Microsoft Defender端点防护，窃取系统信息、硬件配置及应用程序数据。攻击链后期通过 4、上月修补的Windows NTLM 漏洞遭多起攻击活动利用 https://www.freebuf.com/articles/system/427892.html 微软上月已发布补丁的 Windows NTLM 哈希泄露漏洞 CVE-2025-24054，近期被威胁分子用于针对波兰和罗马尼亚政府及私营机构的攻击活动。Check Point 研究人员表示："自 2025 年 3 月 19 日起已观测到该漏洞的野外活跃利用，攻击者可能借此泄露 NTLM 哈希或用户密码，进而入侵系统。" 5、苹果紧急修复两个已被利用的iOS漏洞 https://www.freebuf.com/news/427783.html 苹果公司已发布iOS 18.4.1和iPadOS 18.4.1更新，修复两个被用于针对特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。这两个漏洞存在于CoreAudio和RPAC组件中，攻击者可利用它们在受影响设备上执行任意代码或绕过安全保护机制。 6、Windows 11高危漏洞：300毫秒即可提权至管理员 https://www.freebuf.com/articles/427686.html Windows 11 存在一个严重漏洞，攻击者可在短短 300 毫秒内从低权限用户提升至系统管理员权限。该漏洞编号为 CVE-2025-24076，通过精密的 DLL 劫持技术利用 Windows 11“移动设备”功能的缺陷。安全研究人员于 2024 年 9 月发现此漏洞，并于 2025 年 4 月 15 日公开披露，其攻击目标是 Windows 11 摄像头功能加载的 DLL 文件。 7、研究人员成功揭露 Medusa 勒索软件组织的暗网服务器真实身份 https://www.freebuf.com/articles/427773.html 网络安全研究人员近日成功揭露了当今最臭名昭著的勒索软件运营服务器之一的真实身份。Medusa 勒索软件组织长期通过 Tor 隐藏服务保持相对匿名性，但研究人员通过利用其基础设施中的漏洞，成功破解了该组织的伪装。这一发现具有特殊意义，因为这是少数通过技术漏洞（而非操作安全失误）成功突破 Tor 网络匿名性保护的网络犯罪案例。 8、美国CISA紧急拨款维持CVE漏洞数据库运转 https://cybersecuritynews.com/cisa-provides-last-minute-support/ CISA紧急续签MITRE合同，确保CVE项目11个月资金支持，避免全球漏洞管理停摆风险。CVE基金会成立推动项目独立，解决单一政府资助的可持续性问题。CVE作为关键漏洞标识系统，中断将破坏安全公告、工具厂商和关键基础设施运作。 9、攻击者滥用AI平台仿冒微软登录 多阶段钓鱼攻击窃取实时凭证 https://cybersecuritynews.com/hackers-weaponize-gamma-tool-via-cloudflare-turnstile/ 网络安全专家发现攻击者利用AI工具Gamma发起多阶段钓鱼攻击，通过合法平台托管恶意内容窃取微软账户凭证。攻击链结合中间人技术，仿冒微软登录页面实时验证凭证并绕过多因素认证，凸显钓鱼攻击日益精密，需部署高级安全解决方案应对。 10、新型BPFDoor助力攻击者在Linux服务器中实现隐蔽横向移动 https://thehackernews.com/2025/04/new-bpfdoor-controller-enables-stealthy.html 网络安全研究人员发现Earth Bluecrow组织使用新型BPFDoor控制器组件攻击多国电信、金融及零售业，该Linux后门利用BPF技术绕过防火墙，通过密码验证实现隐蔽横向渗透，支持多协议控制并加密通信，威胁长期潜伏。专家呼吁加强BPF代码分析以防御此类攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Storm-1811组织通过微软Teams聊天社工攻击金融领域 https://gbhackers.com/hackers-use-microsoft-teams-to-deliver-malware 2025年4月15日，研究人员披露一起针对金融及专业服务领域的高级供应链攻击。黑客通过伪造微软Teams内部IT支持账号，固定时间定向联系企业高管，诱骗其启动Windows快速协助工具（Quick Assist），进而部署基于TypeLib组件劫持的新型持久化恶意程序。攻击者篡改IE浏览器COM注册表项，使系统启动时自动执行托管于Google Drive的脚本，最终投放具备Telegram C2通信能力的PowerShell后门。 2、汽车租赁公司Hertz数据泄露影响多国客户 https://www.helpnetsecurity.com/2025/04/15/hertz-data-breach-customers-in-us-eu-uk-australia-and-canada-affected/ 2025年4月15日，美国汽车租赁巨头Hertz披露其因第三方服务商Cleo文件传输平台零日漏洞发生重大数据泄露，影响美国、欧盟、英国、加拿大及澳大利亚客户。泄露数据包括客户姓名、联系方式、出生日期、信用卡/驾照信息，部分用户社保号、护照、医疗及工伤索赔记录等敏感信息遭窃。尽管Hertz未公布总受影响人数，但仅美国缅因州已有3409名居民确认受害，推测全球规模较大。 3、SectopRAT通过伪造的恶意PDF转DOCX工具窃密 https://www.cloudsek.com/blog/byte-bandits-how-fake-pdf-converters-are-stealing-more-than-just-your-documents 2025年4月15日，研究人员披露一起针对全球用户的精密供应链攻击事件。黑客伪造PDFCandy.com界面，通过仿冒域名诱导用户下载恶意PDF转DOCX工具。受害者执行伪造工具时，会被诱骗运行恶意PowerShell指令，进而部署Arechclient2窃密木马（SectopRAT变种）。该恶意程序可窃取浏览器凭证、加密货币钱包、系统敏感文件等数据。安全团队溯源发现攻击者利 4、CVE漏洞数据库项目面临停摆危机 https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html 美国国土安全部终止与MITRE的CVE漏洞数据库合同，25年网络安全基石面临崩塌。业界痛斥此举将破坏全球漏洞追踪体系，威胁防御生态。尽管CISA承诺缓解影响，私营领域或需紧急填补空缺，但过渡挑战巨大。政治预算削减或为主因，专家警告将引发连锁反应。 5、Chrome曝高危漏洞：攻击者可窃取数据并获取未授权访问权限 https://cybersecuritynews.com/critical-chrome-vulnerability-steal-data/ 谷歌紧急修复Chrome两个高危漏洞（CVE-2025-3619堆溢出和CVE-2025-3620释放后使用），攻击者可远程窃取密码、财务数据或控制设备。影响Windows/Mac 135.0.7049.95/.96前版本及Linux 135.0.7049.95前版本。用户需立即通过菜单"帮助关于"更新至最新版，未修补系统面临极高风险。 6、新型PasivRobber恶意软件窃取macOS系统与应用数据 https://cybersecuritynews.com/new-pasivrobber-malware-steals-data/ 复杂间谍软件"PasivRobber"针对macOS设备，专门窃取中国用户微信、QQ等通讯数据。采用高级混淆技术、多组件架构及28个插件，全面监控聊天记录、密码等敏感信息。其开发者疑与中国公司相关，建议更新系统并监控可疑活动以防范威胁。 7、Exchange 2016与2019版本将于六个月后终止支持 https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-2016-and-2019-reach-end-of-support-in-six-months/ 微软警告Exchange 2016/2019将于2025年10月14日终止支持，届时未升级的服务器将无法获取安全补丁，面临攻击风险。微软不提供延期支持方案，强烈建议用户立即升级。 8、WordPress热门插件SureTriggers曝高危漏洞，4小时内遭大规模利用 https://www.freebuf.com/articles/web/427574.html 2025年4月10日，热门WordPress插件SureTriggers曝出严重漏洞，在公开披露后仅四小时内就遭到攻击者大规模利用。该高危身份验证绕过漏洞影响1.0.78及之前所有版本，全球安装量超过10万次。攻击者可借此在未经验证的情况下，在受影响网站上创建管理员账户，可能导致整个网站沦陷。 9、4chan遭入侵？竞争对手Soyjak论坛黑客宣称泄露其源代码 https://www.freebuf.com/news/427639.html 知名图片论坛4chan正面临重大安全事件。在竞争对手Soyjak.st论坛用户宣称入侵该网站并泄露其源代码后，4chan目前处于宕机状态，相关调查仍在进行中。用户和研究人员发现，4chan定制化源代码（广为人知的Yotsuba系统）可能已遭泄露。颇具讽刺意味的是，攻击者自称与Soyjak.st有关联——这是一个知名度较低但与4chan存在竞争关系的图片论坛社区。 10、微软提醒Windows 11用户勿删除神秘的"inetpub"文件夹 https://www.freebuf.com/articles/system/427629.html 近期安全更新后在Windows系统上出现的一个看似空白的文件夹引发了用户担忧，微软证实这是有意为之的安全措施，不应被删除。该目录通常位于C:\inetpub，即使对于不运行Web服务器软件的用户，它也是修补最近漏洞的关键组件。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、哈尔滨市公安局悬赏通缉3名美国NSA特工 https://mp.weixin.qq.com/s/E4ADnai-nWHLbvxG_RKZFA 2025年4月15日，记者从黑龙江省哈尔滨市公安局获悉，为依法严厉打击境外势力对我网络攻击窃密犯罪，切实维护国家网络空间安全和人民生命财产安全，哈尔滨市公安局决定对3名隶属于美国国家安全局（NSA）的犯罪嫌疑人凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J. Snelling）、斯蒂芬·约翰逊（Stephen W. Johnson）进行通缉。因其和两所美国高校参与实施了针对亚冬会的网络攻击活动。 2、全球透析巨头DaVita遭勒索攻击致运营中断 https://www.govinfosecurity.com/ransomware-attack-disrupts-global-dialysis-provider-divita-a-27995 2025年4月14日，全球最大透析服务提供商DaVita披露，其网络系统因遭遇勒索软件攻击导致部分业务中断。攻击发生于4月12日，攻击者对该公司网络“特定组件”实施加密，迫使DaVita紧急隔离受感染系统并启用备份方案维持患者治疗。尽管该公司称已联合第三方安全团队调查并恢复服务，但尚无法评估事件持续周期及最终影响范围。 3、恶意软件ResolverRAT瞄准全球医疗制药行业 https://securityaffairs.com/176537/malware/new-malware-resolverrat-targets-healthcare-pharmaceutical-firms.html 2025年4月14日，研究人员披露一款名为“ResolverRAT”的新型远程访问木马自2024年3月10日起持续针对医疗及制药企业发起定向攻击。该恶意软件通过伪装为法律文件的钓鱼邮件传播，利用本地化语言诱骗用户下载恶意文件，并采用DLL侧加载触发感染。ResolverRAT与Rhadamanthys和Lumma RAT存在重叠，但因其独特的证书认证绕过、弹性C2架构及基 4、警惕！黑客出租可完全控制 macOS 系统的恶意软件 https://www.freebuf.com/articles/endpoint/427563.html 网络安全领域出现了一种针对苹果用户的新型威胁。地下论坛上正在宣传一款名为"iNARi Loader"的macOS恶意软件即服务（MaaS）产品。这款高价窃密软件代表了macOS专用恶意软件的惊人进化，它结合了远程桌面功能和高级数据窃取技术。据网络安全新闻观察到的暗网帖子显示，iNARi Loader背后的威胁行为者提供的这款私有macOS窃密软件具有超越以往类似恶意软件的广泛功能集。 5、Meta将恢复使用欧洲用户公开内容训练AI模型 https://www.bleepingcomputer.com/news/technology/meta-to-resume-ai-training-on-content-shared-by-europeans/ Meta将使用欧洲成年用户在Facebook和Instagram的公开内容训练AI模型，不包括私密对话及未成年人数据。用户可通过表单反对数据使用。欧盟监管机构批准该计划，认为其符合隐私法规。Meta强调此举将提升AI对欧洲文化的理解，同时尊重用户选择权。 6、美国DHS终止资助，CVE漏洞数据库项目面临停摆危机 https://www.freebuf.com/articles/network/427648.html 美国非营利研发组织MITRE宣布，其与美国国土安全部（DHS）签订的"通用漏洞披露（CVE）"数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱，因DHS未说明具体原因拒绝续约而面临终止。 7、微软警告：WinServer 2025 重启可能导致部分域控制器连接中断 https://www.freebuf.com/articles/system/427472.html 微软近日向IT管理员发出警告，部分Windows Server 2025域控制器（Domain Controllers，简称DC）在重启后可能无法访问，导致相关应用和服务出现故障或无法连接。微软解释称，该问题源于服务器重启后错误加载了标准防火墙配置文件，而非域防火墙配置文件。"运行Active Directory域控制器角色的Windows Server 2025服务器在重启后可能出现网络流量管理异常，"微软在周五的Windows版本健康仪表盘更新中表示。 8、廉价安卓手机预装恶意软件 通过伪造WhatsApp窃取加密货币 https://hackread.com/pre-installed-malware-cheap-android-phones-crypto-fake-whatsapp/ 廉价安卓手机预装恶意软件，通过伪造WhatsApp等应用劫持加密货币交易，替换钱包地址窃取资金。攻击发生在生产阶段，涉及中国小型品牌。恶意软件还扫描设备获取助记词，涉案金额巨大。建议避免购买来源不明设备，勿存敏感信息为图片，使用官方应用商店。 9、技术服务商Conduent确认客户数据遭窃取 https://www.bleepingcomputer.com/news/security/govtech-giant-conduent-confirms-client-data-stolen-in-january-cyberattack/ 2025年4月14日，技术服务商Conduent确认其1月遭受的网络攻击导致客户数据外泄。该公司为全球超600家政府及运输机构提供数字平台服务，此次事件中攻击者窃取的文件包含客户终端用户的个人敏感信息。Conduent表示，因数据复杂性已聘请网络安全数据挖掘专家评估泄露内容，初步确认涉及大量个人数据，但尚未发现暗网流通痕迹。 10、攻击者通过实时邮箱验证机制实施定向窃密 https://thehackernews.com/2025/04/phishing-campaigns-use-real-time-checks.html 2025年4月15日，研究人员披露,攻击者正采用“精准验证钓鱼”技术提升攻击效率。攻击者通过实时邮箱验证机制实施精准定向窃密。攻击者通过在钓鱼工具包中集成API或JavaScript验证服务，实时核验受害者输入的邮箱是否存在于其预先获取的高价值账户库中。仅当邮箱通过验证时，才会展示伪造的登录页面窃取凭证；若未匹配，则跳转至维基百科等无害页面以规避安全分析。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、RansomHub勒索团伙对全球84家机构发起攻击 https://cybersecuritynews.com/ransomhub-ransomware-group-compromised-84-organization/ 2025年4月13日，勒索组织RansomHub对全球84家机构发起攻击，成为三月最活跃的勒索团伙，攻击主要针对欧美地区的制造、医疗及金融行业。RansomHub定制的Betruger后门通过模块化设计实现凭证提取、内网侦察与C2通信功能集成，较传统分阶段攻击减少75%的IoC暴露风险；攻击链优先利用未修复的VPN及RDP漏洞，结合合法系统工具进行提权操作；基础设施采用动态IP池及加密代理链规避封锁。 2、南非电信巨头Cell C遭黑客组织数据勒索 https://securityaffairs.com/176509/data-breach/south-african-telecom-provider-cell-c-disclosed-a-data-breach.html 2025年4月14日，南非第四大电信运营商Cell C确认其2024年遭RansomHouse团伙网络攻击，导致2TB用户敏感数据泄露。攻击者通过未授权访问窃取包括姓名、身份证号、银行账户、医疗记录及护照详情等数据，并在暗网公开施压。Cell C已启动应急响应，联合网络安全专家加固系统，通报监管机构，并向受影响用户提供反钓鱼和信用保护指南。 3、Chrome 136修复存在20年的历史记录泄露漏洞 https://www.bleepingcomputer.com/news/security/chrome-136-fixes-20-year-browser-history-privacy-risk/ 2025年4月13日，谷歌发布Chrome 136版本，修复存在20年的浏览器历史隐私漏洞。该漏洞允许网站通过CSS的:visited伪类检测用户历史访问记录，攻击者可结合定时、像素追踪等技术推断用户浏览行为，导致钓鱼攻击与用户画像风险。新版采用"三重密钥分区"机制，将访问记录按链接URL、顶级域名及框架来源隔离，确保历史状态仅在同源页面生效。谷歌保留同站内已访问链接的视觉提示以维持用户体验 4、iOS设备遭受钓鱼攻击的频率是Android设备的两倍 https://www.helpnetsecurity.com/2025/04/11/mobile-cybersecurity-challenges/ 鉴于复杂恶意软件的增多、国家资助移动恶意软件的发展、大量iOS零日漏洞的出现以及对移动社交工程的严重依赖，移动设备安全现在必须成为安全团队的首要任务。 5、甲骨文承认"淘汰服务器"遭入侵 坚称核心云平台未受影响 https://www.csoonline.com/article/3959636/oracle-admits-breach-of-obsolete-servers-denies-main-cloud-platform-affected.html 甲骨文声称，事件仅涉及"两台淘汰服务器"，与OCI或任何客户云环境无关，并着重强调没有OCI客户数据被查看或窃取，OCI服务也未受到任何形式的中断或破坏。 6、Foxmail邮件客户端存在跨站脚本攻击漏洞 https://mp.weixin.qq.com/s/2spz-3jU7Sk15G44EuA9qg 攻击者利用该漏洞作为攻击入口，向目标用户对象发送包含恶意代码的电子邮件，用户仅浏览邮件即被植入木马，其主机终端即被控。 7、npm恶意软件瞄准Atomic与Exodus钱包 https://hackread.com/npm-malware-atomic-exodus-wallets-hijack-crypto/ 网络安全公司ReversingLabs发现名为"pdf-to-office"的恶意npm软件包，该程序会静默篡改Atomic和Exodus加密货币钱包的本地文件，通过替换收款地址劫持交易。 8、俄罗斯APT组织利用设备码钓鱼技术绕过多因素认证 https://cybersecuritynews.com/russian-apt-hackers-using-device-code-phishing/ 俄罗斯国家支持的APT组织Storm-2372近期发起了一场复杂的网络攻击活动，利用设备码钓鱼（Device Code Phishing）技术绕过多因素认证（MFA）安全措施。 9、思科设备曝出七年旧漏洞 攻击者可远程执行代码 https://www.freebuf.com/articles/network/427372.html 思科网络设备中存在一个长达七年的安全漏洞，至今仍对未打补丁的系统构成重大风险，攻击者可利用该漏洞远程执行代码。该漏洞编号为CVE-2018-0171，最初于2018年发现，针对思科的Smart Install（智能安装）功能。该功能是一种即插即用配置工具，旨在简化网络设备部署。 10、OWASP发布生成式AI安全治理清单 https://www.freebuf.com/articles/ai-security/427411.html 随着OpenAI、Anthropic、Google和微软等公司的生成式AI及大语言模型(LLM)用户量呈指数级增长，企业IT安全决策者正努力跟上AI技术的快速发展步伐。非营利组织OWASP最新发布的《LLM AI网络安全与治理清单》(PDF)正是为此而生。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。