1、瑞典200个市政因IT供应商遭袭受影响 https://www.aftonbladet.se/nyheter/a/dRXkqO/befarad-cyberattack-mot-flera-kommun-och-regionsystem 瑞典IT系统供应商Miljödata近日遭遇网络攻击，导致全国超过200个市政系统出现访问中断。Miljödata为约八成瑞典市政提供工作环境与人力资源管理系统，广泛用于医疗证明、工伤与事件报告等关键业务。攻击者疑似窃取敏感数据，并向公司勒索约1.5枚比特币（约16.8万美元），否则将公开信息。多地政府已发布公告，警告可能存在个人数据泄露风险。瑞典民防部长表示，政府正联合CERT-SE和警方展开调查 2、开源PBX平台FreePBX零日漏洞遭利用 https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203 开源PBX平台FreePBX近日曝出零日漏洞，攻击者正大规模利用暴露在公网的管理员控制面板入侵系统。Sangoma安全团队已确认自8月21日起存在在野攻击，并紧急发布EDGE模块补丁，完整安全更新预计随后推送。已遭利用的服务器出现配置文件异常、恶意脚本、可疑日志及数据库异常用户等迹象，部分用户报告数千SIP分机和数百中继受影响。专家警告，该漏洞可让攻击者执行Asterisk用户权限下的任意命令。 3、TransUnion数据泄露影响440万人 https://www.bleepingcomputer.com/news/security/transunion-suffers-data-breach-impacting-over-44-million-people/ 美国三大征信机构之一TransUnion确认遭遇数据泄露，约440万美国用户个人信息受影响。事件源于其Salesforce账户被黑，攻击者疑为ShinyHunters或UNC6395组织，实际窃取数据量或超1300万条。泄露信息包含姓名、住址、电话、邮箱、出生日期及完整社保号等高度敏感数据，还涉及客户申请信用报告等交易原因及客服工单内容。公司强调核心信用报告未受影响，并为 4、MathWorks遭勒索攻击致1万人数据外泄 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/7c84e106-7404-4ea6-bbae-3642bff30457.html MATLAB与Simulink开发商MathWorks确认其网络在今年4月遭勒索软件攻击，导致10476名个人敏感信息被窃取。公司5月曾披露该事件，并将部分内部与客户服务中断（如MFA认证、SSO、许可证中心及云服务）归因于此次攻击。根据提交给美国多州检方的通知，泄露数据可能包括姓名、住址、出生日期、社会安全号或其他国家身份证号码。尽管事件已过去数月，但 5、VS Code扩展命名漏洞被滥用 https://www.reversinglabs.com/blog/malware-vs-code-extension-names 安全研究人员发现Visual Studio Code Marketplace存在漏洞，攻击者可重新使用已删除扩展的名称发布恶意扩展。ReversingLabs分析发现，一款名为“ahbanC.shiba”的恶意扩展与今年3月被下架的“ahban.shiba”等扩展行为相似，均可下载外部PowerShell载荷，对用户桌面“testShiba”文件夹进行加密，并要求以柴犬币支付赎金。研究表明，该漏洞允许删除的扩展名再次被注册，而不像“取消发布”的扩展那样受限。这 6、美财政部制裁朝鲜IT远程骗薪计划 https://home.treasury.gov/news/press-releases/sb0230 美国财政部外国资产控制办公室（OFAC）宣布对两名个人及两家实体实施新制裁，指其参与朝鲜远程IT工作者计划，为该国大规模杀伤性武器及导弹项目筹资。涉事对象包括俄罗斯公民Vitaliy Andreyev、朝鲜官员金雄善，以及沈阳金丰里网络科技有限公司和朝鲜新进贸易公司。调查显示，该计划通过伪造身份在美国等地企业就职，利用GitHub、Freelancer等平台获取岗位，并借助AI工具打造虚假履历、完成工作任务，部分情况下还暗中植入恶意软件窃取和勒索数据。自2021年以来，该计划通过加密货币 7、Passwordstate修复紧急访问绕过漏洞 https://www.clickstudios.com.au/passwordstate-changelog.aspx 企业密码管理软件Passwordstate的开发商Click Studios宣布已修复一处高危身份验证绕过漏洞，该漏洞存在于紧急访问页面，可通过构造特定URL实现绕过。该问题在2025年8月28日发布的Passwordstate 9.9（Build 9972）版本中得到修补。此次更新还增强了浏览器扩展的防护，以应对近期研究人员披露的基于DOM的点击劫持攻击，防止用户在访问恶意站点时敏感数据（包括登录凭证和TOTP码）被窃取。Passwordstate目前拥有约2.9万客户 8、FBI与荷兰警方取缔假证平台VerifTools https://www.justice.gov/usao-nm/pr/us-government-seizes-online-marketplaces-selling-fraudulent-identity-documents-used FBI与荷兰警方联合行动，成功关闭了知名假证交易平台VerifTools，并在阿姆斯特丹查获其服务器。该平台长期提供伪造的驾驶证、护照等身份文件，以协助用户绕过身份验证系统，从事银行诈骗、钓鱼、福利欺诈及逃避追责等犯罪活动，甚至被年轻人用于规避年龄限制。调查显示，VerifTools自2022年起提供假证服务，价格低至9美元，并主要通过加密货币收款，非法收益 9、攻击者滥用Velociraptor与Teams进行渗透 https://news.sophos.com/en-us/2025/08/26/velociraptor-incident-response-tool-abused-for-remote-access/ 网络安全研究人员披露，不明威胁行为者正滥用开源取证工具Velociraptor，在受害系统中下载并执行Visual Studio Code，用于建立指向攻击者控制的C2隧道。攻击链利用Windows msiexec从Cloudflare Workers下载MSI文件安装Velociraptor，再通过PowerShell加载VS Code隧道功能实现远程访问和代码执行。研究指出，这类行为或 10、 国家育儿补贴政策遭利用，黑产组织借机窃取敏感数据 https://cybersecuritynews.com/utg-q-1000-group-weaponizing-subsidy-schemes/ UTG-Q-1000组织利用中国育儿补贴政策实施金融诈骗，通过专业分工和复杂技术手段（如动态加载器、加密URL）绕过安全检测，窃取个人信息。该组织会员制运作，攻击成功率可追踪，凸显网络安全防御的紧迫性。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Salesloft OAuth漏洞致Salesforce数据泄露 https://trust.salesloft.com/?uid=Drift%2FSalesforce+Security+Update 安全研究人员披露，黑客利用Salesloft平台中与Drift AI聊天代理相关的OAuth与刷新令牌，发起大规模数据窃取行动，影响超700家组织。攻击活动由UNC6395实施，目标为Salesforce实例，攻击者导出大量企业数据，包括AWS密钥、密码及Snowflake访问令牌，并具备较强的反取证意识，曾删除查询记录以规避追踪。Salesloft已在8月20日确认问题并主动撤销Drift与Salesforce的连接，Salesforce随后也宣布已使相关 2、首例AI驱动勒索软件PromptLock现身 https://www.welivesecurity.com/en/ransomware/first-known-ai-powered-ransomware-uncovered-eset-research/ ESET披露首个由人工智能驱动的勒索软件“PromptLock”，该程序基于OpenAI新发布的开源模型gpt-oss:20b，通过Ollama API在本地实时生成Lua脚本，用于文件枚举、数据窃取与加密。该勒索软件由Golang编写，具备跨平台能力，可运行在Windows、Linux及macOS系统上，并使用SPECK 128位加密算法。与传统勒索软件不同，PromptLock生成的 3、盲眼鹰组织多集群攻击哥伦比亚 https://www.recordedfuture.com/research/tag-144s-persistent-grip-on-south-american-organizations 网络安全研究人员披露，威胁组织“盲眼鹰”（Blind Eagle）在2024年5月至2025年7月间开展了五个独立攻击集群，主要针对哥伦比亚各级政府机构，并波及金融、能源、教育、医疗等多个行业。该组织使用钓鱼邮件冒充政府部门，结合URL缩短服务和被入侵邮箱投递恶意文档，植入多种远控木马（RAT），如Lime RAT、AsyncRAT和Remcos RAT。攻击基础设施依赖动态DNS、VPN、以及Dis 4、全球性UpCrypter钓鱼攻击针对Windows用户 https://www.anquanke.com/post/id/311523 网络安全研究人员发现针对Windows设备的钓鱼邮件数量激增。据Fortinet旗下FortiGuard实验室监测，黑客正在利用UpCrypter加载器展开攻击活动，该工具可安装多种远程访问工具（RAT），使攻击者能长期维持对受感染机器的控制。 5、CISA紧急警告：Git代码执行漏洞正遭黑客利用 https://www.anquanke.com/post/id/311567 美国网络安全与基础设施安全局（CISA）近日警告称，黑客正在利用分布式版本控制系统 Git 中存在的任意代码执行漏洞发动攻击。该漏洞已被纳入 CISA 的“已知被利用漏洞（KEV）”目录，并要求美国联邦机构最迟于 9 月 15 日前完成修补。Git 是目前主流的软件版本控制工具，广泛应用于软件开发团队进行代码变更管理，也是 GitHub、GitLab、Bitbucket 等协作平台的核心基础。 6、新型AI攻击将数据窃取指令隐藏于缩小图像中 https://www.anquanke.com/post/id/311537 研究人员开发了一种新型攻击，通过在AI系统处理的图片中注入恶意提示，从而盗取用户数据。这种方法依赖于全分辨率的图片，这些图片在经降质处理后，肉眼无法察觉其中的指令，但当图像质量因重新采样算法而降低时，隐藏的内容便会显现出来。 7、CrushFTP被发现存在身份验证绕过漏洞 https://www.secrss.com/articles/82432 CrushFTP 是由 CrushFTP LLC 开发的文件传输服务器软件。CrushFTP 的主要用途是提供安全、可靠的文件传输服务。近日，奇安信CERT监测到官方修复CrushFTP 身份验证绕过漏洞(CVE-2025-54309)，该漏洞产生于CrushFTP在处理AS2证书时存在缺陷，未正确实施DMZ代理功能，导致远程攻击者可以通过条件竞争获得管理员访问权限。目前该漏洞POC已在互联网上公开且已经存在在野利用，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。 8、卫星网络遭精准攻击，伊朗关键货运船队海上失联细节披露 https://www.secrss.com/articles/82399 黑客组织Lab-Dookhtegan连续数月对伊朗基础设施展开系统性攻击。近日，他们主动联系独立网络间谍调查员Nariman Gharib，披露了一起最新行动的细节。就在8月，他们发动了一轮大规模打击。今年3月，他们曾对116艘伊朗船只发起攻击破坏通信，以此展示了自己的实力。他们公布的新一轮行动证据更为惊人：64艘船彻底与外界失联，导航系统被清空，数字化破坏如此严重，以至于部分船只可能数月内都无法恢复。 9、思科Nexus交换机存在高危拒绝服务漏洞 https://www.freebuf.com/articles/network/446309.html 思科系统公司发布安全公告，详细披露了影响运行NX-OS系统的Cisco Nexus 3000和9000系列交换机的高危拒绝服务（Denial of Service，DoS）漏洞。该漏洞编号为CVE-2025-20241，CVSS评分为7.4分，可能允许未经认证的相邻攻击者破坏核心网络运行。 10、NVIDIA发布NeMo框架安全更新修复多个高危漏洞 https://www.freebuf.com/articles/ai-security/446175.html NVIDIA已为其NeMo框架发布新版软件更新，修复了多个可能允许攻击者执行任意代码、提升权限、窃取敏感信息及篡改数据的高危漏洞。这些漏洞影响所有平台，依赖NeMo进行AI和自然语言处理(NLP)工作流程的组织及开发者需立即安装补丁。 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1.前言 半个月前，我在对Wavlink品牌WL-NU516U1型号路由器进行安全测试时，发现其管理界面存在一处命令注入漏洞。 该漏洞源于系统对用户输入过滤不严，攻击者可通过特制的HTTP请求在设备中执行任意系统命令，从而完全控制设备。 经过深入分析与验证，确认该漏洞具有高危害性，可导致设备被完全接管。 我写了详细的技术报告，包括漏洞成因、利用方式和修复建议，并通过正规渠道向Wavlink厂商及CVE机构提交。 近日，该漏洞已正式获得CVE编号CVE-2025-9149。 https://www.wavlink.com/en_us/index.html2.漏洞概述 Wavlink是一家专注于网络设备和通信解决方案的公司，提供优质的路由器、扩展器和网络配件。其下的WAVLINK-NU516U1型号的固件，功能用于提供打印机服务器网卡，其管理后台存在命令注入漏洞，允许攻击者完成os命令执行。 固件下载地址： https://docs.wavlink.xyz/Firmware/fm-516u1/ 3.漏洞详情 对固件binwalk -Me [固件位置] 解包 binwalk -Me WAVLINK-NU516U1-WO-A-2024-04-25-b516aec-GDBYFM.bin 获得其解包文件，而我们要找到/squashfs-root/etc/lighttpd/www/cgi-bin中的wireless.cgi二进制文件， 它的位置在 cgi-bin目录下，它是Lighttpd Web服务器的一个后端CGI程序。 当用户通过浏览器访问路由器的管理界面，比如说随便点击“无线设置”页面提交表单时，Lighttpd Web服务器会接收到这个HTTP请求。 Web服务器根据请求的URL，判断需要由哪个CGI程序来处理，对于无线设置相关的请求，它就会找到并执行这个 wireless.cgi文件。 wireless.cgi程序开始运行，它解析HTTP请求中的数据，比如你提交的表单项，然后可能会调用其他系统工具，如内置的 iwconfig、wpa_supplicant，或者直接读写配置文件， /etc/config/wireless来执行具体的无线网络配置更改。 处理完毕后，wireless.cgi会生成一个HTTP响应，比如一个成功响应的HTML页面，并将其输出到标准输出。 Web服务器捕获到这个输出，并将其打包成完整的HTTP响应，发送回给用户的浏览器。 与用户浏览器直接进行网络通信的是 Lighttpd Web服务器。 wireless.cgi是一个被Web服务器调用的后台程序，负责处理具体的业务逻辑。它是间接与外界通信的关键环节。 所以，这个wireless.cgi虽不直接与外界进行通信，但是它却负责处理用户从外部输入的数据，比如说HTTP请求参数，如果它对这些输入的处理不当，例如没有经过严格过滤就直接拼接成系统命令，就非常容易产生命令注入、缓冲区溢出等漏洞。 找到之后，拿IDA打开，观察其函数，先看main函数，首先用了fgets函数获取标准输入，拿到了用户提交的page参数值。 sub_405EA8函数将page参数值设置为GuestWifi，会跳转进入sub_4032E4函数。 sub_4032E4函数内，获取了Guest_ssid参数值，该值可以post传参可控，而且这段代码是典型的“功能开关”设计，程序在处理HTTP请求参数时，会依次读取多个配置值。 从参数名可以推断，guestEn代表 “Guest Enable”，即访客网络功能的总开关，代码首先获取这个开关的值 (v2 = sub_405EA8("guestEn", a1,0));，并将其保存到变量 v4中，而Guest_ssid是依赖项，Guest_ssid是访客网络功能下的一个子配置项，它的逻辑处理必然依赖于总开关 guestEn是否开启。 随后Guest_ssid参数值被传入sub_407504函数内。 而往上看会发现，必须v4为1，才会去执行sub_407504函数，否则就会跳到label_11的地方去，而v4在往上看则能够发现是字符串guestEn的值。 所以构造poc的时候，必须将guestEn设置为1 而在sub_407504函数中，在其中拼接给v8变量，交给system函数执行，产生了命令注入。 所以我们只需要构造page=GuestWifi&guestEn=1&Guest_ssid=1.txt就可以产生命令注入漏洞。 4.漏洞验证 首先使用工具将Wavlink模拟起来，这里选择了FrimAE sudo ./run.sh -r Wavlink /home/fuzz/Wavlink/WAVLINK-NU516U1-WO-A-2024-04-25-b516aec-GDBYFM.bin 检查名为"httpd"的进程是否正在运行 设备正在运行 lighttpd Web服务器，其配置文件位于 /etc/lighttpd/lighttpd.conf 在浏览器打开F12，观察其Cookie，好帮助我们接下来发包的时候顺利。 接下来进行一个发包测试，将数值写入到poc.txt文件中，观察Wavlink路由器文件是否会出现poc.txt，且里面是否有我们注入的内容。 可以发现已经成功注入进去了，证明这里确实存在命令注入漏洞。

1、MixShell恶意软件瞄准美供应链制造商 https://research.checkpoint.com/2025/zipline-phishing-campaign/ 安全研究人员披露，一场名为“ZipLine”的社会工程攻击行动正在针对美国关键供应链制造企业投放内存型恶意软件MixShell。攻击者并非通过常见的钓鱼邮件，而是利用企业官网的“联系我们”表单发起交流，经过数周专业化沟通并伪造保密协议（NDA），最终递送含有武器化ZIP文件的恶意载荷。目标涵盖机械、金属加工、半导体、消费品、生物技术及制药等领域，并波及新加坡、日本和瑞士。MixShell通过LNK与PowerShell加载，具备DNS隧道通信、远程命令执行、持久化及 2、HOOK银行木马新增勒索功能扩展指令集 https://zimperium.com/blog/hook-version-3-the-banking-trojan-with-the-most-advanced-capabilities 研究人员发现Android银行木马HOOK出现新变种，新增全屏勒索覆盖功能，可向受害者显示动态生成的钱包地址与赎金金额，强迫其付款。该功能由C2命令“ransome”触发，“delete_ransome”可移除覆盖。HOOK源自ERMAC木马，具备窃取凭证、滥用辅助功能、远程操控、窃取加密货币钱包数据等能力。最新版本已支持107个远程指令，其中38个为新增，包括伪造NFC扫描、假冒解锁界面窃取PIN码 3、Sni5Gect攻击实现5G降级与手机崩溃 https://thehackernews.com/2025/08/new-sni5gect-attack-crashes-phones-and.html 新加坡科技设计大学ASSET研究组开发的开源工具Sni5Gect揭示了一种无需伪造基站即可攻击5G网络的新方法。该框架可在5G用户设备（UE）与基站建立连接前的未加密阶段，嗅探并实时解码通信信息，再注入恶意消息，从而导致手机基带崩溃、指纹识别或将5G降级至存在已知漏洞的4G网络。研究显示，该攻击在五款主流智能机上测试，信息嗅探准确率达80%，消息注入成功率70%-90%，有效距离可达20米。与此前发现的5Ghoul漏洞研究相关，Sni5G 4、Citrix修复三处NetScaler漏洞且确认已遭利用 https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938 Citrix发布安全更新，修复NetScaler ADC和NetScaler Gateway中的三处严重漏洞，其中CVE-2025-7775（CVSS 9.2）已被确认在野外遭到利用，可导致远程代码执行或拒绝服务。另两处漏洞为CVE-2025-7776（CVSS 8.8，内存溢出）及CVE-2025-8424（CVSS 8.7，管理接口访问控制不当）。受影响版本包括NetScaler 13.1、14.1、FIPS及NDcPP，官方已 5、法国零售巨头欧尚数十万客户信息泄露 https://www.zataz.com/nouveau-piratage-auchan-cartes-fidelite-exposees/ 法国零售集团欧尚（Auchan）披露一起数据泄露事件，数十万名客户的会员账户相关信息遭未授权访问。受影响数据包括姓名、称谓与客户状态、住址、邮箱、电话号码及会员卡号，但银行数据、密码和PIN码未受影响。公司已向受害客户发出通知，并报告法国数据保护监管机构CNIL。欧尚提醒客户警惕利用泄露信息实施的网络钓鱼攻击，并强调绝不会通过邮件、短信或电话索取登录凭证或卡片PIN码。欧尚在欧洲及非洲13国拥有2100余家分支，雇员超过15万人，此次事件突显法国大型 6、ShadowSilk利用TG机器人攻击中亚及亚太地区36个政府目标 https://www.freebuf.com/articles/database/446125.html 网络安全公司Group-IB近日披露，一个名为ShadowSilk的黑客组织对中亚和亚太地区(APAC)的政府机构发起了一系列新型攻击。该组织已入侵近36个目标，主要目的是窃取敏感数据。分析显示，ShadowSilk与已知的黑客组织YoroTrooper、SturgeonPhisher和Silent Lynx在工具集和基础设施方面存在重叠。 7、新型Zip Slip漏洞允许攻击者在解压过程中操纵ZIP文件 https://www.freebuf.com/articles/system/446128.html 网络安全研究人员发现了一种新型Zip Slip漏洞变种，威胁行为者可以利用该漏洞攻击广泛使用的解压工具中的路径遍历缺陷。攻击者通过构造包含特殊相对路径文件名的恶意压缩包来实施攻击。当不知情的用户或自动化系统解压这些文件时，恶意文件会被写入预期解压目录之外的位置，可能覆盖关键系统或应用程序二进制文件。 8、Chrome紧急修复AI发现的ANGLE高危漏洞 https://www.freebuf.com/articles/ai-security/446030.html 近日，谷歌为Chrome稳定版发布关键安全更新，修复了ANGLE（支撑WebGL及其他渲染任务的图形引擎）中的释放后重用（use-after-free）漏洞。该漏洞编号为CVE-2025-9478，于2025年8月11日被发现——发现者并非人类研究员，而是谷歌AI agent “Big Sleep”。 9、WinRAR 零日漏洞遭黑客大规模利用 https://cybersecuritynews.com/winrar-0-day-vulnerabilities/ WinRAR曝出两个高危零日漏洞（CVE-2025-6218和CVE-2025-8088），攻击者可通过恶意压缩包实现远程代码执行。全球5亿用户受影响，漏洞已被整合进APT工具包。建议立即更新软件，加强文件监控和用户培训，防范多阶段攻击。 10、首个“AI勒索软件”出现：恶意行为代码由大模型动态生成 https://www.secrss.com/articles/82443 一种新型勒索软件日前被发现。据称这是首个利用本地AI模型生成恶意组件的勒索软件变种。该恶意软件由ESET研究团队发现并命名为“PromptLock”。它通过Ollama API调用OpenAI的gpt-oss:20b模型，生成定制化、跨平台的Lua脚本，用于其攻击链。 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、UNC6384劫持门户投递PlugX攻击外交官 https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/ Google威胁情报团队披露，黑客组织UNC6384于2025年3月起发动针对东南亚外交官及全球部分机构的攻击活动。该组织通过劫持网络“强制门户”（Captive Portal）流量并结合中间人攻击（AitM）、社交工程及合法代码签名证书投递恶意程序。攻击者伪装为“Adobe插件更新”网页，使用由Let's Encrypt签发的合法TLS证书增强可信度，引导目标下载伪造的AdobePlugins.exe 2、Google推出开发者实名制阻止恶意应用 https://android-developers.googleblog.com/2025/08/elevating-android-security.html Google宣布，自2026年9月起将在巴西、印尼、新加坡和泰国实施新规，要求所有Android开发者完成身份验证，不论其应用是否通过Google Play分发。该措施旨在防止恶意开发者利用虚假身份快速重新发布恶意应用，提升开发者责任追踪。自2025年10月起，Google将分阶段邀请开发者注册，至2026年3月全面开放。已在Play Console完成验证的开发者无需额外操作，而学生和业余开发者将有独立账户类型。Google指出 3、谷歌下架含恶意代码1900万次下载的应用 https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa Zscaler ThreatLabs披露，Google Play近日清除77款累计下载量超1900万次的恶意Android应用。这些应用涉及多类恶意代码，其中约三分之二含广告软件组件，最常见的是Joker木马，占比近25%。Joker可读取短信、截屏、拨号、窃取联系人及设备信息，并偷偷订阅付费服务。研究人员还发现其变种Harly伪装成游戏、壁纸、工具类应用，隐 4、CISA将Citrix与Git漏洞列入KEV目录 https://www.cisa.gov/news-events/alerts/2025/08/25/cisa-adds-three-known-exploited-vulnerabilities-catalog 美国网络安全与基础设施安全局（CISA）宣布，将三项已遭利用的安全漏洞纳入“已知被利用漏洞”（KEV）目录，涉及Citrix Session Recording与Git。其一是CVE-2024-8068，因权限管理不当，攻击者可在同域环境下提升至NetworkService权限；其二是CVE-2024-8069，源于反序列化漏洞，允许有限的远程代码执行；两者均已于2024年11月修 5、社交媒体定位追踪调查报告：X/Twitter成用户位置数据"跟踪狂" https://securityonline.info/revealed-the-social-media-app-thats-a-stalker-for-your-location-data/ 研究发现YouTube收集位置数据最少，X/Twitter最激进，七维度全追踪。应用通过GPS、Wi-Fi等技术隐蔽定位，VPN效果有限。建议关闭个性化设置、撤销GPS权限以保护隐私。 6、全球性攻击前兆：针对Windows RDP的扫描活动激增 https://securityonline.info/a-storm-is-coming-a-massive-coordinated-attack-is-probing-rdp-connections/ 安全警报：微软RDP遭全球性攻击，2000+恶意IP同步探测认证接口，利用时序攻击识别有效账户，教育机构成高危目标。攻击规模远超基准，或预示后续凭证攻击和新漏洞风险。 7、Tableau Server高危漏洞允许上传任意恶意文件 https://cybersecuritynews.com/tableau-server-vulnerability/ Tableau Server存在严重漏洞（CVE-2025-26496，CVSS 9.6），允许恶意文件上传和代码执行，影响多个版本。建议立即升级至最新维护版本，防止服务器沦陷和数据泄露。 8、国产开源BI工具DataEase曝光两个远程代码执行漏洞 https://securityonline.info/two-rce-vulnerabilities-found-in-open-source-bi-tool-dataease/ DataEase BI工具曝两高危漏洞(CVE-2025-57772/57773)，可致远程代码执行和任意文件写入，影响2.10.11及以下版本，建议立即升级至2.10.12修复。 9、Chrome 0day漏洞野外利用攻击曝光，代码已公开 https://www.freebuf.com/articles/445967.html 谷歌近日披露了Chrome浏览器V8 JavaScript引擎中存在一个关键零日漏洞（CVE-2025-5419）。在补丁尚未全面推送前，该漏洞的概念验证（PoC）利用代码已被公开，且已观测到有针对性的野外攻击活动。 10、新型隐蔽恶意软件利用TP-Link、思科等路由器漏洞获取远控权 https://www.freebuf.com/articles/network/445791.html 安全研究人员近期发现针对多品牌网络设备的新型恶意软件攻击活动，受影响设备包括DrayTek、TP-Link、Raisecom和思科等厂商的路由器。2025年7月期间，攻击者通过利用嵌入式Web服务中的未授权命令注入漏洞传播隐蔽加载程序。 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT36利用鱼叉式钓鱼攻击印度政府 https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/ 安全公司披露，巴基斯坦背景的APT组织Transparent Tribe（APT36）近期针对印度政府部门发动新一轮攻击。该组织通过鱼叉式钓鱼邮件投递伪装成PDF文件的恶意桌面快捷方式，分别针对Windows与印度自主研发的BOSS Linux系统。受害者一旦点击文件，将触发脚本下载恶意ELF二进制并连接至攻击者控制的C2服务器，以执行指令、窃取凭证和外泄数据。攻击链同时加载诱饵文档 2、恶意Go模块伪装SSH爆破工具进行窃密 https://socket.dev/blog/malicious-go-module-disguised-as-ssh-brute-forcer-exfiltrates-credentials 安全研究人员发现，一个名为“golang-random-ip-ssh-bruteforce”的恶意Go模块伪装成SSH爆破工具，却在成功登录后暗中将目标IP、用户名和密码发送至攻击者控制的Telegram机器人。该模块通过扫描随机IPv4地址寻找22端口开放的SSH服务，利用内置的弱口令字典尝试暴力破解，并关闭主机密钥验证以绕过身份校验。研究显示，该恶意包关联的GitHub账号“IllDieAnyw 3、虚假Mac修复程序诱骗用户安装Shamos信息窃取程序 https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/ 安全公司CrowdStrike发现，一款名为“Shamos”的新型信息窃取木马正在针对Mac用户展开攻击。该木马由网络犯罪组织COOKIE SPIDER开发，是AMOS（Atomic macOS Stealer）的变种，能窃取浏览器数据、Keychain凭证、Apple Notes及加密货币钱包信息。攻击者通过ClickFix攻击引诱受害者，利用恶意广告或伪造GitHub仓库发布“修复指南”，诱导用户在终端中执 4、Data I/O遭勒索攻击系统被迫下线 https://www.sec.gov/ix?doc=/Archives/edgar/data/351998/000165495425009925/daio_8k.htm 美国电子制造商Data I/O向SEC报告称，其内部IT系统于2025年8月16日遭遇勒索软件攻击，被迫关闭部分运营平台以防止扩散。该公司是全球领先的编程与安全配置设备供应商，客户涵盖汽车、物联网与工业控制行业。事件导致通信、收发货及制造生产等业务受到干扰，目前部分系统已恢复，但全面恢复时间尚未确定。公司已启动应急响应并聘请网络安全专家调查，计划按要求通报监管部门及相关人员。Data I/O警告称，恢复和顾问费用可能对财务 5、Rowhammer技术可向AI模型植入隐蔽后门 https://www.freebuf.com/articles/ai-security/445709.html 乔治梅森大学的研究团队开发出一种名为"OneFlip"的新型攻击技术，通过利用已知的Rowhammer物理内存攻击手段，仅需翻转易受攻击DRAM模块中的单个比特位，即可在全精度AI模型中植入后门。这项技术能在推理阶段通过改变模型权重来操控深度神经网络的输出结果。 6、新型攻击可绕过EDR检测窃取Windows系统凭证 https://www.freebuf.com/articles/system/445535.html 网络安全研究人员发现一种新型攻击技术，可绕过大多数终端检测与响应（EDR）系统的监控，静默窃取Windows系统中的敏感凭证信息。该技术使已获取Windows系统初始访问权限的攻击者能够收集凭证进行横向移动，而不会触发常见安全警报。 7、苹果iOS/iPadOS/macOS零日漏洞遭主动利用 https://www.anquanke.com/post/id/311464 美国网络安全与基础设施安全局（CISA）就影响苹果iOS、iPadOS和macOS操作系统的关键零日漏洞发布紧急警告，确认威胁分子正在积极利用该漏洞。该漏洞被追踪为CVE-2025-43300，已被列入CISA已知被利用漏洞（KEV）目录，标志着机构和个人用户需立即采取行动保护系统。 8、安卓银行木马Anatsa全球蔓延 精准锁定831款金融应用 https://www.anquanke.com/post/id/311442 安卓生态系统持续面临精密银行木马的顽固威胁。Zscaler ThreatLabz团队通过持续监控谷歌Play商店分发的恶意应用，揭示了Anatsa（又名TeaBot）恶意软件的最新演变趋势。研究人员指出：”Anatsa恶意软件最初于2020年出现，是一种能够窃取凭证、记录键盘输入并实施欺诈交易的安卓银行木马。”虽然早期活动主要针对欧美地区650余家金融机构，但最新行动已显著扩大范围。ThreatLabz发现”Anatsa最新变种已瞄准全球831家金融机构，新增德国、韩国等目标国以及加密货币平台”。 9、Docker Desktop存在未授权访问漏洞 https://www.secrss.com/articles/82302 近日，奇安信CERT监测到官方修复Docker Desktop 未授权访问漏洞(CVE-2025-9074)，该漏洞源于 Docker Desktop 容器隔离机制不完善，本地运行的 Linux 容器可通过配置的 Docker 子网（默认 192.168.65.7:2375）访问 Docker Engine API。容器借此向 API 发送请求，执行控制其他容器、创建新容器、管理镜像等特权命令。在某些环境下（如 Docker Desktop for Windows 的 WSL 后端），攻击者可进一步挂载宿主机磁盘，完 10、新型Linux恶意软件利用文件名伪装实现隐蔽攻击 https://securityonline.info/a-new-linux-malware-hides-in-plain-sight-by-weaponizing-file-names/ Linux系统面临新型攻击，攻击者利用文件名和脚本处理漏洞植入恶意代码，通过内存加载后门程序实现隐蔽入侵，绕过传统防护措施，威胁服务器和IoT设备安全。 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1.前言 之前在网上随便逛逛的时候，发现一个有各种各样的PHP项目的管理系统，随便点进一个查看，发现还把mysql版本都写出来了，而且还是PHP语言。 https://itsourcecode.com/free-projects/php-project/online-tours-and-travels-management-system-project-in-php-and-mysql/那这可能存在sql注入漏洞，所以代码审计了一下，并上报了CVE，现在编号下来了 CVE-2025-9008，CVE-2025-8993，于是公开发现过程。 2.漏洞详情 1.1 CVE-2025-9008 下载其源代码之后，对“在线旅游及差旅管理系统”进行安全审查期间，发现“/admin/sms_setting.php””文件中存在一个高危SQL注入漏洞。 $sql = "UPDATE sms_setting SET uname='".$_POST['uname']."',    password='".$_POST['password']."',    sender_id='".$_POST['sender_id']."'       WHERE id='1'"; 这段sql代码一眼望过去就是，直接将用户通过 $_POST超全局数组提交的数据，未经任何过滤和转义，就拼接到了 SQL 查询字符串中，那这肯定就存在sql注入漏洞。 因为sql 注入的核心在于“混淆了代码和数据”，用户的输入本应被视为普通数据，但由于直接拼接，攻击者可以精心构造输入，让其成为 sql代码的一部分，从而篡改原SQL语句的意图。 比如说在密码 password 输入框中，攻击者输入了：' OR '1'='1 那么，最终拼接出来的 SQL 语句会变成： UPDATE sms_setting SET uname='hacker',  password='' OR '1'='1', sender_id='fake_sender' WHERE id='1' 这条语句的含义被彻底改变了。password字段的赋值不再是一个简单的字符串，而是变成了一个逻辑判断 '' OR '1'='1'。这个判断的结果是 永远为真。 更高级的攻击者甚至可以输入类似 '; DROP TABLE users; --的内容，从而执行任意sql命令，比如说删除数据库表，导出数据库数据之类的操作。 payload --- Parameter: uname (POST)   Type: boolean-based blind   Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause   Payload: uname=111111111111' RLIKE (SELECT (CASE WHEN (2321=2321) THEN 111111111111 ELSE 0x28 END)) AND 'QhkJ'='QhkJ&password=111111111111111111&sender_id=1111111111111111111&update=   Type: error-based   Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)   Payload: uname=111111111111' AND EXTRACTVALUE(9139,CONCAT(0x5c,0x7178627171,(SELECT (ELT(9139=9139,1))),0x716a787171)) AND 'CAQx'='CAQx&password=111111111111111111&sender_id=1111111111111111111&update= --- 我们也可以使用一些工具来进行查看，比如说sqlmap。 sqlmap -u "http:/http://127.0.0.1/code/admin/sms_setting.php" --data="uname" --batch --dbs 通过 HTTP POST 请求 提交的、名为 uname的表单字段，选择了布尔盲注的攻击类型。 布尔盲注这是一种高级注入技术，用于当网站不会直接显示数据库错误信息，并且查询结果也不会直接返回到页面上的情况。攻击者通过向数据库发送一个“问题”，然后根据页面返回的细微差异，一般来说都是通过观察页面是否可以正常加载来判断。 而图中的payload uname=111111111111' RLIKE (SELECT (CASE WHEN (2321=2321) THEN 111111111111 ELSE 0x28 END)) AND 'QhkJ'='QhkJ 111111111111：这是一个随机的无效用户名，目的是让原查询的uname匹配不到结果。 RLIKE： 这是MySQL的正则表达式匹配操作符，一般用它来触发一个条件判断。 (CASE WHEN (2321=2321) THEN ... ELSE ... END)： 这是一个SQL的CASE条件语句。这里它判断一个永恒成立的条件 2321=2321 如果条件为 True，那么整个RLIKE语句会匹配用户名111111111111，页面可能会返回一个找不到用户名存在的状态。 如果条件为 False，比如说什么1=2之类的常见语句，那么CASE语句会返回一个错误的结果，导致RLIKE匹配失败，页面可能会返回一个完全空白的状态。 把2321=2321换成 (SELECT COUNT(*) FROM information_schema.schemata) > 5），观察页面的反应，盲猜出数据库名称出来。 所以明确了这里存在sql注入漏洞。 1.2 CVE-2025-8993 接着，在“/admin/expense_report.php”文件中又发现了一个严重的SQL注入漏洞。该漏洞源于对“from_date”参数的用户输入验证不足，使得攻击者能够注入恶意SQL查询。因此，攻击者可以未经授权访问数据库，修改或删除数据，并获取敏感信息。 这段代码的核心逻辑其实就是，首先检查用户是否点击了提交按钮if (isset($_POST['submit']))，然后就去获取用户表单中输入的起始日期$from_date和结束日期$to_date，连接数据库之后用一条 sql 语句，查询 expense表中所有在用户指定日期范围内创建的记录。 而且还用了PDO，PDO最重要的就是预处理语句，从根本上防御sql注入，但是又没使用好。 它将 sql 语句的结构 和 数据 分开发送给数据库服务器处理。 比如说先把一个带“占位符”的 sql 模板发送给数据库,数据库会解析并编译这个模板，确定它的结构。 $stmt = $pdo->prepare("SELECT * FROM users WHERE name = ? AND pwd = ?"); 然后当执行阶段的时候，再把真实的数据，比如说什么用户输入的用户名和密码，发送给数据库，数据库只会把这些数据当正常数据值使用，不会把它当成 SQL 代码来解析。 这样就避免了，即使用户输入了恶意的数据比如说什么常见的 ' OR '1'='1，它也只会被当作一个普通的字符串字面值去进行匹配，而不会改变原sql语句的逻辑。从而彻底杜绝了 SQL 注入。 但是这条sql语句虽然也使用了PDO，但是它把用户要输入的from_date的值给它拼接到sql字符串了，代码和字符串直接拼接，完全绕过了PDO的安全保护，让PDO形同虚设。 $stmt = $conn->prepare("SELECT * FROM expense where created_date between '".$_POST['from_date']."' and '".$_POST['to_date']."' "); $_POST['from_date'] 和 $_POST['to_date'] 没有任何过滤/转义，直接拼接到了 SQL 中。 攻击者只要在表单输入里构造恶意 payload，就能注入 sql。 虽然用了 PDO，但没有真正用到参数化查询。 $conn->prepare(...) 本身可以防止注入，但是这里不知道怎么回事，开发者依然把变量拼接到了 sql 里，相当于没起作用。 所以漏洞源于“from_date”参数的用户输入验证不足，导致攻击者能够注入恶意sql查询。 payload --- Parameter: from_date (POST)   Type: error-based   Title: MySQL >= 5.6 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (GTID_SUBSET)   Payload: from_date=0111-11-11' AND GTID_SUBSET(CONCAT(0x71716a6271,(SELECT (ELT(8748=8748,1))),0x7162707071),8748)-- OwaD&to_date=0001-01-11&submit=   Type: time-based blind   Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)   Payload: from_date=0111-11-11' AND (SELECT 5860 FROM (SELECT(SLEEP(5)))KNEf)-- vyOX&to_date=0001-01-11&submit= --- 用sqlmap进行检测 sqlmap -u "http:/http://127.0.0.1/code/admin/expense_report.php" --data="from_date" --batch --dbs sqlmap 识别到 POST 参数 from_date 存在注入漏洞。 测试了多种方式，包括 基于报错注入 和 基于时间的盲注 ，都确认有效。 所谓的错误型注入，简单点说就是通过故意触发数据库错误，从而让数据库在报错信息中直接返回查询结果。 还有时间盲注 ，字面意思也就是通过让数据库执行延时函数，比如说什么 SLEEP(5)，然后根据页面响应时间来判断注入的sql是否有效。 from_date=0111-11-11' AND (SELECT 5860 FROM (SELECT(SLEEP(5)))KNEf)-- vy0X&... 如果注入成功，数据库将会执行 SLEEP(5)命令，导致页面响应时间延迟5秒。sqlmap就会根据这个延迟就能判断出漏洞存在。 而且sqlmap 成功获取了数据库名：information_schema，这是系统库，每个cms都会有的。 tour1，这个才是该cms特有的数据库名称。 所以明确了POST参数的from_date存在注入漏洞。 3.建议修复 使用准备好的语句和参数绑定：准备好的语句可以防止 SQL 注入，因为它们将 SQL 代码与用户输入数据分离。使用准备好的语句时，用户输入的值将被视为纯数据，不会被解释为 SQL 代码。 输入验证和过滤：严格验证和过滤用户输入数据，确保其符合预期的格式。 最小化数据库用户权限：确保用于连接数据库的账户具有必要的最低权限。避免使用具有高级权限的账户，比如“root”或“admin”进行日常操作。 定期安全审计：定期进行代码和系统安全审计，及时发现并修复潜在的安全漏洞。

1、恶意RAR文件名绕过检测投递Linux后门 https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/ 安全公司Trellix披露一起新型Linux攻击链，攻击者通过钓鱼邮件投递名为“yy.rar”的压缩包，内含恶意构造的文件名。该文件名嵌入Base64编码的Bash命令，可在shell解析时触发执行，从而绕过传统杀毒软件因其通常不扫描文件名的防护机制。攻击最终下载并运行Go语言编写的远控后门VShell，具备反弹Shell、文件操作、进程管理等功能。该手法利用Linux脚本中常见的命令注入隐患，实现全内存执行，增加检测难度。分析指出，这标志 2、黑客利用ADFS重定向窃取微软账号 https://pushsecurity.com/blog/phishing-with-active-directory-federation-services/ Push Security研究人员发现，黑客正滥用微软Active Directory Federation Services（ADFS）实施新型钓鱼攻击，窃取Microsoft 365登录凭据。攻击链始于受害者点击伪造的Google赞助搜索结果，随后通过合法的outlook.office.com链接重定向至攻击者控制的域名，再跳转至钓鱼页面。由于初始重定向依赖微软可信基础设施，传统URL检测与多因素认证难以阻止。攻击者创建自有M 3、AI建站平台Lovable遭黑客滥用 https://www.proofpoint.com/us/blog/threat-insight/cybercriminals-abuse-ai-website-creation-app-phishing 安全公司Proofpoint报告称，AI建站与托管平台Lovable正被大规模滥用于网络犯罪，黑客借助其便捷功能生成钓鱼页面、恶意下载站及仿冒知名品牌的欺诈网站。自今年2月以来，研究人员已监测到数万条Lovable相关恶意URL。典型案例包括利用钓鱼即服务平台Tycoon开展的攻击，攻击邮件引导用户访问Lovable托管页面，先通过验证码过滤，再跳转至伪造的微软或Okta登录界面窃取凭据 4、国际刑警非洲行动抓捕1209名网络罪犯 https://www.interpol.int/en/News-and-Events/News/2025/African-authorities-dismantle-massive-cybercrime-and-fraud-networks-recover-millions 国际刑警组织（INTERPOL）宣布，在“塞伦盖蒂行动”第二阶段中，非洲18国警方联合逮捕1209名网络犯罪分子，涉及8.8万名受害者，挽回资金9740万美元，并拆除1.14万处恶意基础设施。行动重点包括：安哥拉查封25处非法加密货币挖矿中心，60名嫌疑人涉案，价值3700万美元的设备被没收用于民生供电；赞比亚捣毁大规 5、DaVita遭勒索攻击近270万患者信息泄露 https://www.bleepingcomputer.com/news/security/davita-ransomware-attack-exposed-data-of-nearly-27-million-people/ 美国知名肾脏透析公司DaVita确认，其网络在今年3月至4月间遭勒索软件攻击，约268万名患者的个人及健康数据被窃取。泄露信息包括姓名、住址、社保号、健康保险资料及透析实验室结果，部分受害者还涉及税号及支票影像。事件最初导致系统加密并干扰运营，随后发现黑客已窃取约1.5TB数据。尽管公司未公开指认攻击方，但勒索组织Interlock已声称负责，并在暗网泄露部分文件。D 6、黑客利用ClickFix投递CORNFLAKE.V3后门 https://cloud.google.com/blog/topics/threat-intelligence/analyzing-cornflake-v3-backdoor 谷歌旗下Mandiant披露，威胁组织UNC5518正通过“ClickFix”社工手法和伪造CAPTCHA页面投递多功能后门CORNFLAKE.V3。攻击链通常从搜索引擎投毒或恶意广告引导用户进入假验证页面开始，诱骗其在Windows运行框中执行恶意PowerShell脚本。该后门支持通过HTTP加载多种载荷，包括DLL、脚本和远控工具，并通过Cloudflare隧道隐藏通信。CORNFLAKE.V3较前代版本增加了 7、Commvault曝多漏洞可致远程代码执行 https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/ Commvault近日修复了四个严重漏洞（CVE-2025-57788至57791），影响11.36.60之前版本，可能被攻击者组合利用实现远程代码执行。这些漏洞涵盖未认证API调用、默认凭证滥用、路径遍历及命令行参数注入等问题。其中CVE-2025-57790被评为高危（CVSS 8.7）。研究人员指出，攻击者可构造两条“预认证”攻击链完成利用，若管 8、恶意软件伪装杀毒软件攻击俄罗斯用户 https://news.drweb.com/show/?i=15047&lng=en& 安全公司Doctor Web披露，一款伪装成“GuardCB”杀毒软件的恶意程序正在针对俄罗斯用户传播。该木马名为Android.Backdoor.916.origin，自2025年1月起活跃，具备窃取消息、录音录像、截取输入、实时屏幕和摄像头直播等强大间谍功能。研究人员指出，其主要目标并非普通安卓用户，而是俄罗斯商界代表。攻击者通过即时通讯消息分发应用，利用与央行或执法部门相关的假图标和扫描结果博取信任。安装后，程序会请求大量敏感权限，并通过多家主机服务保持命令控制。分析显示，该恶意软件可监控Gmai 9、澳洲iiNet泄露28万客户信息 https://wcsecure.weblink.com.au/pdf/TPG/02980096.pdf 澳大利亚电信巨头TPG Telecom确认，其子公司iiNet遭遇网络攻击，导致约28万名客户邮箱地址外泄，同时还包括2万条固定电话号、1万余条用户地址与电话信息，以及约1700个调制解调器设置密码。事件起因于一名员工凭证被盗，黑客借此进入iiNet的订单与追踪系统。TPG称攻击已于8月16日被遏制，未波及其他品牌和系统。公司已向澳交所报告并承诺逐一通知受影响客户，提供应对指导和支持，同时向未受影响的用户确认安全情况。 10、Windows 11更新引发 SSD 故障：微软调查关键存储缺陷 微软确认部分Win11用户安装KB5063878更新后遭遇SSD/HDD存储故障，持续写入大文件可能导致设备失效。微软与Phison正联合调查但尚未复现问题，呼吁用户提交日志协助分析。故障涉及Phison控制器硬盘，修复方案待定。 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、FBI警告俄黑客滥用思科旧漏洞 https://blog.talosintelligence.com/static-tundra/ 美国联邦调查局（FBI）警告，与俄罗斯联邦安全局（FSB）相关的黑客组织“Static Tundra”正利用思科IOS/IOS XE中长达七年的高危漏洞CVE-2018-0171开展网络间谍活动。该漏洞存在于Smart Install功能中，攻击者可远程执行代码并维持长期持久化访问。Cisco Talos披露，受害目标涉及北美、亚洲、非洲及欧洲的电信、高校和制造业组织，重点针对乌克兰及其盟国。攻击方式包括窃取配置文件、植入“SYNful Knock”恶意固件、修改设备配置以隐藏痕迹，并通过GR 2、GodRAT木马瞄准金融交易机构 https://securelist.com/godrat/117119/ 卡巴斯基披露，一种名为“GodRAT”的新型远控木马近期针对交易和券商等金融机构发动攻击。攻击者通过Skype传播伪装成金融文档的恶意屏保文件（.SCR），利用隐写术在图片中隐藏shellcode下载木马。GodRAT基于早期的Gh0st RAT代码，采用插件化设计，可窃取系统与安全软件信息，并扩展功能执行文件操作、窃取浏览器密码或投递AsyncRAT等二次载荷。其传播方式与2023年出现的“AwesomePuppet”木马相似。研究人员指出，攻击已波及阿联酋、黎巴嫩、马来西亚和约旦等地，提醒金融机构提高警惕，防范恶 3、黑客滥用ActiveMQ漏洞投放DripDropper https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware/ 安全公司Red Canary报告称，未知威胁行为者正利用Apache ActiveMQ中的高危漏洞CVE-2023-46604在云端Linux系统上部署新型恶意程序“DripDropper”。该漏洞自2023年10月被修复后仍遭广泛利用，曾被用于传播勒索软件、Rootkit和僵尸网络。攻击者在入侵后会修改sshd配置获取root权限，并投递DripDropper下载器，该程序通过Dropbox进行通信，具备抵抗分析的能力，并能投递额外文件实现进程 4、专家揭示PromptFix漏洞威胁AI浏览器安全 https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed Guardio Labs研究人员发现，新型提示注入手法“PromptFix”可欺骗生成式AI浏览器（如Comet），在网页中通过伪造CAPTCHA隐藏恶意指令，从而诱使AI执行未授权操作。该攻击无需强行干扰模型，而是利用其“快速帮助用户”的设计目标，令AI自动在钓鱼或仿冒商城中下单、填写地址及信用卡信息，甚至在虚假银行邮件中完成登录，用户全程不知情。研究者将此现象称为“Scamle 5、DOM点击劫持漏洞威胁密码管理器 https://defcon.org 在DEF CON 33大会上，安全研究员Marek Tóth披露，流行的浏览器密码管理器插件存在基于DOM的点击劫持漏洞，攻击者可借此窃取用户登录凭证、信用卡信息及双因素认证码（2FA）。攻击方式通过恶意脚本操纵扩展注入的UI元素（如自动填充提示），并将其隐藏在网页弹窗下方，诱导用户点击触发凭证自动填充，从而泄露敏感数据。测试显示，1Password、iCloud Passwords、Bitwarden、LastPass等11款主流插件均受影响，其中多数在子域名场景下也会泄露数据。当前已有部分厂商着手修复，但仍有漏洞未补。专家建议用户在修复前禁用自动填充 6、苹果紧急修复iOS/iPadOS/macOS中被利用的零日漏洞 https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html 苹果修复iOS/iPadOS/macOS高危零日漏洞CVE-2025-43300，该漏洞通过恶意图像可导致内存损坏，已被用于针对性攻击。受影响设备需升级至最新版本，今年苹果已修复7个零日漏洞。 7、联想GPT-4客服系统因XSS漏洞遭攻击 https://www.csoonline.com/article/4043005/lenovo-chatbot-breach-highlights-ai-security-blind-spots-in-customer-facing-systems.html 联想GPT-4客服系统因XSS漏洞遭攻击，恶意提示词可窃取会话cookie，暴露AI系统输入过滤缺陷。专家建议将AI纳入安全管道，防范提示词注入，平衡创新与安全。联想已修复漏洞。 8、麒麟勒索软件团伙宣称窃取日产汽车4TB设计数据 https://www.freebuf.com/articles/database/445339.html 麒麟（Qilin）勒索软件团伙宣称入侵了日产汽车旗下设计子公司Creative Box Inc.（CBI），窃取超过4TB数据，并公开了汽车设计文件、财务数据、3D模型和VR设计图像作为证据。该组织在其暗网泄露网站上表示，从日产CBI复制了405,882个文件，包含与日产汽车项目相关的3D设计数据、报告、照片、视频及各类内部文档。 9、新型MITM6+NTLM中继攻击可提权控制域环境 https://www.freebuf.com/articles/445273.html 一种结合MITM6（中间人攻击）与NTLM（NT LAN管理器）中继技术的复杂攻击链，可实现Active Directory（活动目录）域的完全控制。该攻击利用Windows默认的IPv6自动配置行为，使攻击者能在数分钟内从普通网络访问权限提升至域管理员权限。 10、微软限制中国企业获取网络安全漏洞预警通知 https://www.freebuf.com/news/445224.html 2025 年 8 月 21 日，微软在调查了一起数据泄露事件是否导致一系列利用其 SharePoint 软件漏洞的黑客攻击后，现已限制中国企业获取其技术中网络安全漏洞预警通知的权限。 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ERMAC木马源码泄露暴露基础设施 https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak 研究人员发现，安卓银行木马ERMAC 3.0的完整源码近日泄露，暴露了其恶意软件即服务（MaaS）平台的内部机制与基础设施。源码包含后端、前端面板、数据窃取服务器、木马生成器和混淆器，显示其攻击范围扩展至700余款银行、购物及加密货币应用。ERMAC由“BlackRock”黑客组织运营，最早于2021年被发现，后续版本以高价出租给网络犯罪分子。此次泄露还揭示了操作方存在严重安全失误，如硬编码凭据、默认管理员账号及无注册保护的控制面板，导致其C2服务器与管理后台暴露。专家 2、超过800台N-able服务器未修补高危漏洞 https://status.n-able.com/2025/08/13/announcing-the-ga-of-n-central-2025-3-1/ 研究显示，超过800台N-able N-central服务器仍未修补两个被积极利用的高危漏洞（CVE-2025-8875与CVE-2025-8876）。N-central是广泛应用于托管服务供应商和IT部门的网络与设备集中管理平台。漏洞允许攻击者通过输入注入与不安全反序列化方式执行命令，威胁严重。N-able已在2025.3.1版本中发布补丁，并确认部分本地环境已遭利用，尽管其托管云环境暂未受影响。美国CISA已将漏洞加入已知被利用漏洞目 3、美制药公司Inotiv遭勒索攻击业务受扰 https://www.sec.gov/Archives/edgar/data/720154/000162828025040658/notv-20250808.htm 美国制药企业Inotiv确认，其部分系统与数据于8月8日遭勒索软件加密，导致业务运营受到干扰。公司已向美国证券交易委员会提交报告，并在外部安全专家协助下展开调查，同时通报执法机构。勒索组织Qilin声称窃取了约16.2万份文件，总计176GB，并在泄露网站公开部分样本。Inotiv总部位于印第安纳州，主营药物研发与安全评估，雇员约2000人，年营收超5亿美元。此次事件导致数据库和内部应用等核心系统中断，部分业务被迫转移至离线环 4、Capsule Kubernetes多租户框架存在严重漏洞 https://securityonline.info/cve-2025-55205-critical-flaw-in-capsule-kubernetes-exposes-clusters-to-cross-tenant-attacks/ Capsule Kubernetes多租户框架曝高危漏洞（CVE-2025-55205，CVSS 9.1），允许租户通过标签注入攻击绕过隔离机制，访问系统命名空间和其他租户资源，导致特权提升和数据泄露。影响v0.10.3及更早版本，建议立即更新。 5、黑客组织ShinyHunters涉嫌公开SAP零日漏洞利用代码 https://cybersecuritynews.com/exploit-for-sap-0-day-vulnerability/ ShinyHunters公开SAP关键漏洞利用代码，可致系统完全接管和远程代码执行，CVSS评分10.0。企业须立即应用补丁3594142和3604119，并监控相关组件请求，限制互联网访问权限。 6、朝鲜APT组织利用GitHub攻击各国使馆 https://securityonline.info/spies-in-plain-sight-how-north-korean-hackers-used-github-to-attack-embassies/ 朝鲜黑客组织利用GitHub等合法平台发起钓鱼攻击，针对全球外交机构窃取敏感数据。攻击者发送伪装成外交信件的恶意邮件，部署XenoRAT木马窃取信息。行动高度情境化，使用多语言诱饵，技术特征指向朝鲜APT43组织。 7、谷歌Chrome紧急修复V8引擎高危漏洞 https://securityonline.info/google-chrome-issues-high-severity-fix-for-v8-engine-vulnerability-cve-2025-9132/ 谷歌紧急修复Chrome高危漏洞CVE-2025-9132，涉及V8引擎越界写入风险，可能被利用执行恶意代码。所有用户应立即更新至139.0.7258.138/.139版本，基于Chromium的浏览器也需警惕。 8、Windows高权限零日漏洞在暗网被开价12.5万美元售卖 https://www.freebuf.com/articles/vuls/445122.html 一名自称 adrmc21 的威胁行为者在暗网论坛上公开出售一个针对 Windows 系统的零日远程代码执行（RCE）漏洞。该漏洞声称可在最新的 Windows 10、Windows 11 及 Windows Server 2022 系统上实现内核级或高权限执行，攻击成功率超过95%，并可绕过防病毒（AV）和端点检测与响应（EDR）解决方案。出售价格为 125,000 美元。 9、安装超10万的"合法"Chrome VPN扩展暗中截屏窃取敏感数据 https://www.freebuf.com/articles/database/445104.html 一款安装量超过10万次且获得谷歌认证徽章的Chrome VPN扩展程序，近日被发现实为高级间谍软件，会在未经用户同意的情况下持续截取屏幕截图并窃取敏感数据。 10、USB威胁卷土重来：新型多阶段挖矿攻击通过感染设备传播 https://www.freebuf.com/articles/endpoint/444995.html CyberProof公司的MDR（托管检测与响应）分析师发现了一种通过受感染USB设备传播的多阶段加密货币挖矿攻击，这再次证明了可移动介质在企业环境中构成的持续威胁。 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。