蚁景网安 - 网络安全人才培养服务提供商

网络安全日报 2025年04月30日

1、日立集团子公司遭Akira勒索软件攻击 https://www.bleepingcomputer.com/news/security/hitachi-vantara-takes-servers-offline-after-akira-ransomware-attack 2025年4月28日，日本日立集团（Hitachi）旗下IT服务子公司Hitachi Vantara确认遭受Akira勒索软件攻击，被迫采取断网措施以遏制攻击扩散。该公司为全球政府机构及多家跨国企业提供核心数据存储、云管理及网络安全服务，此次事件可能对下游客户业务连续性造成潜在影响。Hitachi Vantara在公开声明中表示，已联合第三方网络安全公司开展取证调查 2、Outlaw组织利用SSH弱口令部署门罗币挖矿程序 https://securelist.com/outlaw-botnet/116444/ 2025年4月29日，卡巴斯基披露网络犯罪团伙Outlaw（又名“Dota”）正通过SSH弱口令爆破攻击全球Linux系统，部署基于Perl的加密货币挖矿僵尸网络。该团伙近期在巴西某企业环境成功渗透，利用默认或脆弱SSH凭证植入恶意脚本，劫持计算资源进行门罗币（Monero）挖矿。遥测数据显示，攻击主要针对南美、东南亚及东欧地区，能源、教育行业受害显著。 3、Lazarus组织利用"Tsunami"恶意软件框架挖矿行动 https://cybersecuritynews.com/tsunami-malware-actively-attacking-users/ 2025年4月29日，研究人员发现新型恶意软件框架"Tsunami"正被朝鲜黑客组织Lazarus用于"Contagious Interview"攻击行动。该恶意软件采用多阶段感染链，同时具备窃取凭证和加密货币挖矿功能，主要针对软件开发环境实施攻击。此次攻击活动最早可追溯至2024年秋季，攻击者通过复杂的社会工程手段植入恶意软件，旨在窃取加密货币相关敏感信息。 4、Apache Tomcat存在触发拒绝服务漏洞 https://cybersecuritynews.com/apache-tomcat-vulnerability-let-bypass-rules/ 2025年4月29日，Apache软件基金会披露Apache Tomcat存在高危漏洞（CVE-2025-31650），攻击者可通过构造恶意HTTP Priority头绕过安全规则并触发拒绝服务（DoS）。该漏洞源于对HTTP优先级头的输入验证不当，导致内存泄漏，影响多个Tomcat版本。作为广泛使用的Java应用服务器，此漏洞可能危及依赖Tomcat的企业系统安全。 5、微软Telnet服务器曝零点击NTLM认证绕过漏洞，暂无补丁 https://www.freebuf.com/articles/system/429159.html 网络安全研究人员发现微软Telnet服务器存在严重漏洞，远程攻击者无需有效凭证即可完全绕过认证机制，获取管理员权限。根据Hacker Fantastic发布的报告，该漏洞涉及微软Telnet认证协议(MS-TNAP)，对传统Windows系统构成重大安全威胁，且目前尚无官方补丁。 6、Kali Linux 因丢失仓库签名密钥发出更新失败警告 https://www.freebuf.com/articles/system/429113.html Offensive Security（简称OffSec）警告Kali Linux用户需手动安装新的仓库签名密钥，以避免出现更新失败问题。此次公告源于OffSec丢失了旧版仓库签名密钥（ED444FF07D8D0BF6），被迫创建由Kali Linux开发者通过Ubuntu OpenPGP密钥服务器签名的新密钥（ED65462EC8D5E4C5）。由于旧密钥并未遭到泄露，因此未被从密钥环中移除。 7、BreachForums论坛发布关停声明归因于MyBB零日漏洞 https://www.freebuf.com/articles/web/429115.html 2025年4月初，知名网络犯罪和数据泄露论坛BreachForums在毫无预警的情况下从互联网消失。这个由黑客组织ShinyHunters运营的论坛突然下线，既未发布告别声明也未作出解释，引发外界对执法部门查封的广泛猜测。2025年4月28日，访问Breachforums.st的用户发现首页出现新变化——论坛管理员发布了一份经PGP密钥签名的详细声明。声明称，管理员在确认论坛使用的MyBB软件存在零日漏洞（0day vulnerability）后，决定立即关停运营。该漏洞可能导致执法机构渗透入侵 8、iOS高危漏洞一行代码即可让iPhone变砖 https://cybersecuritynews.com/ios-critical-vulnerability-brick-iphones/ iOS高危漏洞CVE-2025-24091允许恶意应用通过Darwin通知机制永久禁用iPhone，仅需一行代码即可触发无限重启循环。苹果已在iOS 18.3修复漏洞，建议用户立即升级。 9、Linux安全盲区曝光：io_uring机制可绕过主流检测工具 https://securityonline.info/critical-flaw-exposes-linux-security-blind-spot-io_uring-bypasses-detection/ ARMO团队发现Linux的io_uring接口可被rootkit利用绕过主流安全工具监控，包括Falco、Tetragon和Microsoft Defender。该漏洞源于工具依赖系统调用监控，而io_uring通过共享缓冲区规避检测。建议采用KRSI等更深入的内核监控技术应对。 10、勒索软件攻击日趋智能化，防御难度持续升级 https://www.helpnetsecurity.com/2025/04/28/companies-impacted-ransomware-attacks/ 勒索软件攻击更精密普遍，69%企业仍受威胁，仅10%能恢复90%数据。数据窃取攻击激增，赎金支付比例下降36%。企业需强化网络弹性，采用3-2-1-1-0规则，提升备份恢复能力应对快速演变的威胁。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2025年04月29日

1、APT组织对东南亚多国政府及电信部门发起攻击 https://thehackernews.com/2025/04/earth-kurma-targets-southeast-asia-with.html 2025年4月28日，研究人员披露，一个名为“Earth Kurma”的高级持续性威胁（APT）组织自2024年6月起针对东南亚多国政府及电信部门发起攻击。该组织使用定制化恶意软件、内核级Rootkit及云存储服务窃取数据，菲律宾、越南、泰国和马来西亚为主要受害国。研究人员指出，攻击者通过Rootkit维持持久驻留，并利用受信任的云平台外泄数据，构成严重商业风险，且攻击手法复杂，涉及定向间谍活动、凭证窃取及隐蔽数据渗透。 2、研究人员发现针对WooCommerce用户的大规模钓鱼攻击 https://thehackernews.com/2025/04/woocommerce-users-targeted-by-fake.html 2025年4月28日，研究人员发现针对WooCommerce用户的大规模钓鱼攻击。攻击者通过伪造的“安全警报”邮件，诱骗用户下载所谓“关键补丁”，实则植入后门程序。钓鱼邮件声称目标网站存在虚构的“未授权管理访问漏洞”，诱导用户访问伪装成WooCommerce官网的钓鱼页面。 3、黑客在暗网出售高级版HiddenMiner挖矿木马 https://cybersecuritynews.com/hackers-selling-advanced-stealthy-hiddenminer-malware/ 2025年4月28日，研究人员发现黑客组织正在暗网论坛出售高级版HiddenMiner恶意软件。该木马专门针对门罗币（XMR）进行隐蔽挖矿，采用高级规避技术并配备用户友好界面，可能降低网络犯罪的技术门槛。与普通挖矿木马不同，新版HiddenMiner通过多项技术优化实现更高收益，同时大幅降低被检测和清除的风险。其模块化设计允许攻击者自定义功能，包括进程隐藏、反分析和持久化机制。 4、黑客利用Critical Craft CMS漏洞致数百台服务器被入侵 https://thehackernews.com/2025/04/hackers-exploit-critical-craft-cms.html 2025年4月28日，研究人员披露，攻击者正在利用Craft CMS中两个新发现的高危漏洞（CVE-2024-58136和CVE-2025-32432）发起零日攻击，可能导致数百台服务器遭入侵。这两个漏洞中，CVE-2024-58136是Yii PHP框架的路径保护缺陷，而CVE-2025-32432是Craft CMS内置图像转换功能中的远程代码执行漏洞。攻击者通过组合利用这两个漏洞，可突破系统限制并执行任意代码。 5、云端部署的NVIDIA Riva API端点存在暴露风险 https://www.trendmicro.com/en_us/research/25/d/nvidia-riva-vulnerabilities.html 2025年4月28日，研究人员发现多个组织在云端部署的NVIDIA Riva API端点存在暴露风险，部分实例甚至未启用身份验证，可能被攻击者利用。研究人员确认了两个相关漏洞（CVE-2025-23242和CVE-2025-23243），错误配置可能导致未经授权的访问。 https://www.trendmicro.com/en_us/research/25/d/nvidia-riva-vulnerabilities.html 6、FastCGI存在嵌入式设备执行任意代码漏洞 https://cybersecuritynews.com/fastcgi-integer-overflow-flaw/ 2025年4月28日，研究人员披露FastCGI库中存在一个高危漏洞（CVE-2025-23016，），可能允许攻击者在嵌入式设备上执行任意代码。该漏洞影响fcgi2（又称fcgi）2.x至2.4.4的所有版本，对使用该轻量级Web服务器开发库的设备构成重大威胁。FastCGI作为广泛应用于嵌入式系统的Web开发接口，其漏洞可能影响路由器、物联网设备等关键基础设施。 7、新型"电力寄生虫"网络钓鱼攻击瞄准能源企业与知名品牌 https://cybersecuritynews.com/new-power-parasites-phishing-attack/ "电力寄生虫"网络钓鱼活动冒充西门子等能源巨头，通过虚假投资和招聘骗局，利用150+域名和多语言策略针对亚洲用户，窃取财务数据。攻击采用统一模板和共享基础设施，YouTube和Telegram也被利用传播。 8、mavinject.exe遭利用，黑客绕过安全防线入侵系统 https://www.anquanke.com/post/id/306961 威胁行为者越来越多地利用 mavinject.exe（一款 Microsoft 的合法工具）来绕过安全控制并入侵系统。这种复杂的攻击技术使黑客能够将恶意活动隐藏在受信任的 Windows 进程背后。 9、Storm-1977 使用 AzureChecker 对教育云进行挖矿攻击 https://thehackernews.com/2025/04/storm-1977-hits-education-clouds-with.html 微软透露，名为 Storm-1977 的威胁行为者在过去一年对教育领域的云租户进行了密码喷洒攻击。微软威胁情报团队在分析中表示，“该攻击涉及使用 AzureChecker.exe，这是一个命令行界面（CLI）工具，被广泛使用的各种威胁行为者所使用。” 10、Viasat 调制解调器零日漏洞使攻击者能够执行远程代码 https://gbhackers.com/viasat-modems-zero-day-vulnerabilities/ 在多个 Viasat 卫星调制解调器型号中发现了一个严重的零日漏洞，包括 RM4100、RM4200、EM4100、RM5110、RM5111、RG1000、RG1100、EG1000 和 EG1020。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2025年04月28日

1、"Power Parasites"钓鱼攻击瞄准全球能源巨头 https://cybersecuritynews.com/new-power-parasites-phishing-attack/ 2025年4月26日，研究人员披露名为“Power Parasites”的长期钓鱼攻击活动，该活动自2024年起持续针对西门子能源、施耐德电气、EDF能源等全球能源巨头及知名品牌。攻击者注册了150多个仿冒域名，通过虚假投资平台和高薪职位诱骗受害者，主要覆盖亚洲多国（孟加拉、尼泊尔、印度等），并采用多语言提升欺骗性。投资诈骗以“高回报能源项目”为饵，而招聘诈骗则伪造名企职位，诱骗受害者提交银行账户、身份证件等敏感信息。 2、Ruby服务器组件漏洞可致数据泄露 https://thehackernews.com/2025/04/researchers-identify-rackstatic.html 2025年4月25日，研究人员披露了Ruby服务器接口Rack::Static中的三个高危漏洞（CVE-2025-27610、CVE-2025-27111、CVE-2025-25184），攻击者可利用这些漏洞窃取敏感文件、注入恶意数据并篡改日志。其中最严重的CVE-2025-27610允许未授权攻击者通过路径遍历访问服务器根目录下的任意文件，包括配置文件、凭证等机密数据。另外两个漏洞涉及CRLF注入，可被用于伪造日志记录或植入恶意代码，掩盖攻击痕迹。若 3、黑客利用SAP NetWeaver漏洞实现远程代码执行 https://thehackernews.com/2025/04/sap-confirms-critical-netweaver-flaw.html 2025年4月25日，研究人员证实，黑客正在利用SAP NetWeaver中新发现的漏洞（CVE-2025-31324）上传恶意JSP WebShell，来实现未授权的文件上传和远程代码执行。该漏洞最初被怀疑是远程文件包含（RFI）问题，但经确认，实为无限制文件上传漏洞，允许攻击者绕过认证直接向系统上传恶意文件。研究人员在4月22日的调查报告中首次披露了相关恶意活动，并观察到攻击者利用该漏洞部署了Brute Ratel框架等高级攻击工具。 4、Plant工业交换机存在可被控制设备的漏洞 2025年4月26日，研究人员披露了普莱德科技多款工业交换机和网络管理系统的高危漏洞，攻击者可利用这些漏洞完全控制设备。此次调查起因是美国网络安全与基础设施安全局（CISA）在2024年12月发布的漏洞预警。研究团队通过分析WGS-80HPT-V2和WGS-4215-8T2S等型号设备的固件，发现除CISA已通报的漏洞外，还存在多个未公开的严重缺陷。这些漏洞涉及设备远程管理接口，可能允许攻击者绕过认证、执行任意代码或窃取敏感数据。 https://hackread.com/planet-technology-industrial-switch-flaws-full-takeover/ 5、RustoBot僵尸网络恶意软件威胁网络安全 https://www.anquanke.com/post/id/306930 一种使用 Rust 编程语言编写的复杂新型僵尸网络恶意软件已被发现，其目标是全球范围内存在漏洞的路由器设备。由于该恶意软件是基于 Rust 语言编写的，因此被命名为 “RustoBot”。它利用了 TOTOLINK 和 DrayTek 路由器型号中的严重漏洞来执行远程命令注入，这有可能影响到日本、越南和墨西哥的科技产业。 6、SonicWall SSLVPN高危漏洞无需认证即可致防火墙崩溃 https://www.anquanke.com/post/id/306910 SonicWall 已披露其 SSL 虚拟专用网络（SSLVPN）服务中存在一个严重的安全漏洞，该漏洞允许未经身份验证的远程攻击者使受影响的防火墙设备崩溃，这有可能对企业网络造成重大干扰。该漏洞编号为 CVE-2025-32818，通用漏洞评分系统（CVSS）评分为 7.5，属于高严重性等级，影响运行特定固件版本的众多 SonicWall 防火墙型号。 7、MITRE ATT&CK v17.0发布新增ESXi攻击战术 https://attack.mitre.org/resources/updates/updates-april-2025/ MITRE发布了ATT&CK框架最新版本v17.0，新增专门针对VMware ESXi虚拟化平台的攻击战术、技术与程序（TTPs）矩阵。该矩阵详细梳理了攻击者针对ESXi管理程序的典型攻击手法。 8、蚂蚁集团等16家互联网平台签署网络数据安全自律公约 https://www.freebuf.com/news/428930.html 近日，在第二届武汉网络安全创新论坛的个人信息保护分论坛上，在中国网络空间安全协会的组织下，蚂蚁集团、阿里巴巴、美团、腾讯、微博、京东、百度、滴滴出行、拼多多、科大讯飞等16家平台型企业共同签署了《网信企业网络数据安全自律公约》，旨在积极落实数据安全和个人信息保护责任，提升网络数据安全风险管理水平。 9、新型越狱攻击可突破ChatGPT、Gemini等主流AI服务防护 https://www.freebuf.com/news/428850.html 研究人员最新发现的两项越狱技术暴露了当前主流生成式AI服务的安全防护存在系统性漏洞，受影响平台包括OpenAI的ChatGPT、谷歌的Gemini、微软的Copilot、深度求索（DeepSeek）、Anthropic的Claude、X平台的Grok、MetaAI以及MistralAI。 10、朝鲜Lazarus APT组织利用"one-day漏洞"攻击全球机构 https://www.freebuf.com/articles/ics-articles/428802.html 网络安全专家发现，朝鲜政府支持的Lazarus APT（高级持续性威胁）组织正在对全球关键基础设施和金融机构发起复杂攻击活动。该组织改变策略，利用企业尚未及时修复的"一日漏洞"（one-day vulnerabilities）实施攻击。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2025年04月27日

1、Lazarus组织针对韩国企业发起“水坑攻击” https://www.bleepingcomputer.com/news/security/lazarus-hackers-breach-six-companies-in-watering-hole-attacks/ 2025年4月24日，研究人员披露，朝鲜黑客组织Lazarus在2024年11月至2025年2月期间针对韩国软件、IT、金融、半导体制造及电信行业发起代号为“Operation SyncHole”的水坑攻击。攻击者利用韩国广泛使用的文件传输客户端漏洞，植入恶意代码入侵至少六家机构。研究人员指出，由于该软件在韩国的普及性，实际受害企业可能更多。尽管漏洞在攻击前已被厂商知晓，但L 2、攻击者利用Ivanti零日漏洞在日本部署恶意软件 https://thehackernews.com/2025/04/dslogdrat-malware-deployed-via-ivanti.html 2025年4月25日，研究人员披露，攻击者利用Ivanti Connect Secure（ICS）的零日漏洞（CVE-2025-0282）在日本部署新型恶意软件DslogdRAT及一个WebShell。据研究报告表示，该漏洞在2024年12月被用于针对日本机构的攻击，攻击者可借此实现未授权远程代码执行。Ivanti已于2025年1月初发布补丁修复该漏洞。目前，受影响机构需排查历史日志以确认是否遭入侵。 3、黑客利用配置不当的K8s集群部署挖矿软件 https://cybersecuritynews.com/threat-actors-taking-advantage-of-unsecured-kubernetes-clusters/ 2025年4月24日，研究人员发现，黑客正大规模利用配置不当的Kubernetes（K8s）集群部署加密货币挖矿恶意软件。攻击者通过弱密码爆破、认证绕过等方式入侵集群，创建非法容器并劫持受害组织的计算资源进行门罗币（Monero）等加密货币挖矿。此类攻击不仅导致企业云资源成本激增，还可能影响关键业务应用的性能。 4、美国医疗机构遭勒索攻击致近百万患者数据泄露 https://www.bleepingcomputer.com/news/security/frederick-health-data-breach-impacts-nearly-1-million-patients/ 2025年4月24日，美国马里兰州大型医疗机构Frederick Health披露，其于1月27日遭受勒索软件攻击，导致近百万患者敏感信息泄露，泄露数据包括患者姓名、住址、出生日期、社会安全号码、驾照号码、医疗保险信息及临床诊疗记录。Frederick Health在3月底向患者发出通知，并联合执法部门及第三方取证公司展开调查，但未透露是否支付赎金或攻击者身份。 5、研究人员披露Redis存在高危拒绝服务漏洞 https://gbhackers.com/redis-dos-flaw/ 2025年4月24日，研究人员披露，Redis开源数据库被发现存在高危拒绝服务漏洞（CVE-2025-21605），影响2.6及以后所有版本。攻击者可利用未受限制的输出缓冲区，通过未授权请求耗尽服务器内存或直接导致服务崩溃。官方已在6.2.18、7.2.8和7.4.3版本中发布修复补丁。鉴于Redis在缓存、会话管理等关键业务中的广泛应用，建议立即升级至安全版本。 6、代号为ToyMaker的勒索组织开展双重勒索攻击 https://thehackernews.com/2025/04/toymaker-uses-lagtoy-to-sell-access-to.html 2025年4月26日，研究人员披露，一个代号为ToyMaker的初始访问中介（IAB）正通过定制恶意软件LAGTOY（又名HOLERUN）入侵企业网络，并将访问权限转售给CACTUS等实施双重勒索的勒索软件组织。该恶意软件具备反向Shell连接及远程命令执行能力，使攻击者能完全控制受感染终端。ToyMaker主要出于经济利益，专门扫描并利用系统漏洞建立初始入侵点，为下游勒索攻击铺路。 7、英国零售巨头玛莎百货（M&S）因网络攻击停摆 https://www.infosecurity-magazine.com/news/ms-shuts-down-online-orders/ 2025年4月25日，英国零售巨头玛莎百货（M&S）因遭遇网络安全事件，宣布暂停其官网（M&S.com）及移动应用的在线订单服务，恢复时间尚未确定。该公司未透露具体攻击细节，但此举可能是由于后端系统遭受入侵，需全面排查影响范围。目前尚不清楚攻击是否涉及数据泄露或勒索软件，但该事件已对消费者在线购物造成直接影响。 8、Commvault被发现可致远程接管漏洞 https://hackread.com/critical-commvault-flaw-allows-full-system-takeover/ 2025年4月25日，企业级备份解决方案Commvault Command Center曝出高危漏洞（CVE-2025-34028），攻击者可利用该漏洞在未认证的情况下远程执行任意代码，完全控制目标系统。漏洞存在于deployWebpackage.do接口，因对外部服务器交互缺乏严格验证，导致预认证SSRF攻击风险。目前Commvault已发布补丁，建议使用Innovation Release版本的企业立即更新。 9、钓鱼即服务平台Darcula引入生成式AI 大幅降低网络犯罪门槛 https://thehackernews.com/2025/04/darcula-adds-genai-to-phishing-toolkit.html 网络安全公司Netcraft报告显示，钓鱼平台Darcula新增生成式AI功能，可快速创建多语言钓鱼页面，大幅降低犯罪门槛。该平台已关联全球超2.5万次攻击，使无技术背景者也能轻松发动大规模网络诈骗。 10、微软悬赏最高3万美元征集AI系统漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-now-pays-up-to-30-000-for-some-ai-vulnerabilities/ 微软将Dynamics 365和Power Platform的AI漏洞赏金最高提至3万美元，涵盖推理操纵等关键漏洞，奖励基于严重性和提交质量。此前已支付600万美元奖金，并扩展AI安全研究激励措施。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

从字节码开始到ASM的gadgetinspector源码解析

网络安全日报 2025年04月25日

1、黑客组织UNC2428借虚假招聘投递MURKYTOUR后门 https://thehackernews.com/2025/04/iran-linked-hackers-target-israel-with.html 2025年4月23日，研究人员披露伊朗黑客组织UNC2428于2024年10月对以色列发起钓鱼攻击。攻击者伪装成以色列国防承包商Rafael的招聘人员，通过虚假职位诱骗目标下载名为"RafaelConnect.exe"的恶意安装程序（LONEFLEET）。该程序呈现仿真的图形界面（GUI）诱导受害者填写个人信息，实则暗中部署MURKYTOUR后门，并通过LEAFPILE启动器维持持久化访问。 2、研究人员发现针对俄罗斯军方的Android间谍软件 https://securityaffairs.com/176886/malware/android-spyware-hidden-in-mapping-software-targets-russian-soldiers.html 2025年4月24日，研究人员发现针对俄罗斯军方的Android间谍软件。该恶意代码被植入篡改版Alpine Quest地图应用，通过俄罗斯第三方应用商店传播。间谍软件可窃取通讯录、定位数据及设备文件，并支持远程下载附加模块。攻击者利用俄军人员对专业地形规划软件的需求，将恶意程序伪装成"Alpine Quest Pro"高级功能免费版分发。 3、Docker环境成为加密挖矿活动目标 https://securityaffairs.com/176877/malware/crypto-mining-campaign-targets-docker-environments-with-new-evasion-technique.html 2025年4月23日，研究人员披露针对Docker环境的恶意挖矿活动。攻击者利用Docker Hub上的"kazutod/tene:ten"镜像部署恶意节点，连接至去中心化基础设施网络Teneo。该恶意软件通过运行社区节点，秘密抓取Facebook、X（原Twitter）、Reddit及TikTok等社交平台公开数据以获取Teneo积分（可兑换 4、2025年第一季度159个CVE漏洞遭利用28.3%在披露24小时内被攻击 https://www.freebuf.com/articles/network/428660.html 2025年第一季度共有159个CVE编号漏洞被确认在野利用，较2024年第四季度的151个有所上升。网络安全公司VulnCheck向《黑客新闻》提供的报告指出："我们发现漏洞利用速度持续加快，28.3%的漏洞在其CVE披露后24小时内就遭到利用。"这意味着有45个安全漏洞在公开披露当天就被用于实际攻击。另有14个漏洞在一个月内遭利用，还有45个漏洞在一年内被滥用。 5、Google Forms被恶意利用，多行业面临凭证泄露风险 https://www.anquanke.com/post/id/306858 Google Forms — 科技巨头广受欢迎的调查工具，已成为网络犯罪分子武器库中的得力工具。它使犯罪分子能够绕过复杂的电子邮件安全过滤器，并获取敏感的用户凭证。 6、XRPL官方NPM包遭恶意篡改，私钥窃取威胁波及数十万加密货币应用 https://www.anquanke.com/post/id/306856 一场针对加密货币用户的重大供应链攻击事件发生了。XRP Ledger 的 JavaScript SDK 的官方 XRPL NPM 包遭到了恶意代码的篡改，这些恶意代码旨在窃取加密货币的私钥，有可能影响到成千上万的应用程序。 7、Redis高危漏洞CVE-2025-21605，多版本补丁紧急修复 https://www.anquanke.com/post/id/306847 在广受欢迎的开源内存数据结构存储系统 Redis 中发现了一个严重高危漏洞，该漏洞可能使未经身份验证的用户耗尽服务器内存，并导致拒绝服务（DoS）情况的发生。这个漏洞被追踪编号为 CVE-2025-21605，影响从 2.6 版本起的所有 Redis 版本，通用漏洞评分系统（CVSS）评分为 7.5 分。 8、Grafana 高危漏洞可致关键业务数据泄露 https://www.anquanke.com/post/id/306841 Grafana Labs 已针对多个产品版本发布了安全更新，修复了一个高危和两个中危级别的漏洞，这些漏洞影响了Grafana OSS 和 Grafana Enterprise。其中最严重的漏洞是 CVE-2025-3260，通用漏洞评分系统（CVSS）评分为 8.3（高危），该漏洞可能导致未经授权的用户访问和修改仪表盘，即使是权限极低的用户也能做到。 9、Linux 'io_uring' 安全盲点允许隐蔽的后门攻击 https://www.bleepingcomputer.com/news/security/linux-io-uring-security-blindspot-allows-stealthy-rootkit-attacks/ Linux 运行时安全中的一个重大安全漏洞由'io_uring'接口引起，允许根 kit 在系统上运行而不被高级企业安全软件检测到，从而绕过安全防护。 10、黑客利用OAuth 2.0工作流劫持Microsoft 365账户 https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/ 俄罗斯威胁行为者一直在利用合法的 OAuth 2.0 身份验证工作流劫持与乌克兰和人权组织相关的组织的员工的 Microsoft 365 账户。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2025年04月24日

1、俄机构遭伪装成ViPNet软件更新包的后门攻击 https://securelist.com/new-backdoor-mimics-security-software-update/116246/ 2025年4月22日，研究人员发现一起针对俄罗斯政府、金融及工业领域大型机构的复杂网络攻击。攻击者将后门程序伪装成ViPNet安全网络软件的更新包（LZH压缩格式），通过该软件的更新渠道进行传播。ViPNet是俄罗斯广泛使用的安全组网解决方案，此次攻击利用其信任链实施供应链攻击。该后门可控制受感染主机，但攻击者的具体意图尚在调查中。 2、SK电讯遭恶意攻击致用户USIM数据泄露 https://securityaffairs.com/176802/data-breach/sk-telecom-data-breach.html 2025年4月22日，韩国最大电信运营商SK电讯（SK Telecom）遭遇恶意软件攻击，导致客户通用用户识别模块（USIM）数据外泄。USIM卡存储包括国际移动用户识别码（IMSI）及加密密钥在内的关键用户信息。SK电讯在发现入侵后立即向韩国互联网振兴院（KISA）报告，并于4月20日对受影响系统进行清理隔离。 3、MalenuStealer木马利用Discord平台实施网络钓鱼 https://www.binarydefense.com/resources/blog/a-look-at-a-novel-discord-phishing-attack/ 2025年4月22日，研究人员披露一种通过Discord平台传播的窃密木马MalenuStealer。攻击者利用已入侵的Discord账号向好友发送伪装成"游戏测试邀请"的钓鱼消息，诱导用户下载所谓"测试版游戏"，实则植入恶意软件。该木马专门窃取受害者的账号密码、支付信息等敏感数据。 4、SSL的.com站漏洞允许主要域名使用欺诈性SSL证书 https://hackread.com/ssl-com-vulnerability-fraud-ssl-certificates-domains/ 2025年4月22日，研究人员披露SSL.com存在严重漏洞，攻击者可利用其电子邮件验证机制的缺陷，为任意主要域名签发合法SSL/TLS证书。该问题源于SSL.com的域名控制验证（DCV）流程缺陷，SSL证书是保障HTTPS加密通信的核心，而证书颁发机构（CA）的信任体系一旦被破坏，可能导致中间人攻击、钓鱼网站仿冒等风险。目前SSL.com已紧急修复该漏洞，但尚未公布受影响证书的吊销情况。 5、新型恶意软件采用独特混淆技术劫持Docker镜像 https://www.freebuf.com/articles/428513.html 安全研究人员发现新型恶意软件正在攻击Docker环境，该软件采用复杂的多层混淆技术逃避检测，通过劫持计算资源进行加密货币挖矿（cryptojacking）。 6、三星One UI安全漏洞：剪贴板数据明文存储且永不过期 https://cybersecuritynews.com/samsung-one-ui-security-flaw/ 三星One UI系统存在重大安全漏洞，剪贴板数据以明文永久存储，包括密码等敏感信息，且无自动删除机制。攻击者可轻易获取数据，建议手动清除或使用自动填充功能。该问题多年未解决，引发用户强烈担忧。 7、谷歌云Composer漏洞允许攻击者提升权限 https://cybersecuritynews.com/google-cloud-composer-vulnerability/ 谷歌云平台(GCP)的Cloud Composer服务存在"ConfusedComposer"权限提升漏洞，攻击者可通过注入恶意PyPI包获取高权限服务账户控制权。谷歌已修复该漏洞，改用更安全的服务账户执行安装操作，并更新相关文档。 8、伪装成Alpine Quest的恶意地图应用被曝监控俄军动向 https://hackread.com/fake-alpine-quest-mapping-app-spying-russian-military/ 伪造Alpine Quest应用植入间谍软件，窃取俄军定位数据、通讯录及文件。通过Telegram传播，伪装为"专业版"，可远程扩展功能。建议避免非官方渠道下载，警惕模块化恶意软件。幕后组织尚未确认。 9、"Cookie-Bite"攻击手法可绕过多重验证并维持持久访问权限 https://cybersecuritynews.com/cookie-bite-attack/ 网络安全研究人员发现"Cookie-Bite"攻击技术，通过窃取浏览器cookie绕过MFA保护，持久访问云环境。攻击者利用中间人攻击、恶意扩展等手段窃取会话令牌，无需凭证即可冒充用户。建议企业监控异常行为、限制浏览器扩展并部署令牌保护机制应对威胁。 10、GPT4在公开漏洞利用代码发布前成功生成CVE有效攻击程序 https://cybersecuritynews.com/chatgpt-creates-working-exploit-for-cves/ AI成功生成高危漏洞攻击程序，改写网络安全格局。GPT-4仅凭CVE描述即完成代码分析、漏洞定位、攻击编写及调试全过程，大幅缩短漏洞利用开发时间。这一突破既提升研究效率，也加剧安全风险，迫使组织加速补丁部署。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2025年04月23日

1、Kimsuky APT利用BlueKeep漏洞攻击日韩 https://securityaffairs.com/176756/apt/kimsuky-apt-exploited-bluekeep-rdp-flaw-in-attacks-against-south-korea-and-japan.html 2025年4月21日，韩国AhnLab研究人员发现，朝鲜背景的APT组织Kimsuky（追踪代号Larva-24005）近期利用已修补的Microsoft远程桌面协议（RDP）漏洞BlueKeep（CVE-2019-0708）入侵目标系统。此外，Kimsuky还通过钓鱼邮件及Microsoft Office Equation Editor漏洞（C 2、黑客利用WinDbg Preview绕过Windows Defender防护 https://gbhackers.com/hackers-bypassed-windows-defender-policies 2025年4月21日，研究人员披露，攻击者可利用WinDbg Preview调试工具绕过Windows Defender应用程序控制(WDAC)策略。该漏洞被称为为"WinDbg Preview Exploit"，利用调试器的高级功能执行代码并实现远程进程注入，成功规避了企业环境中针对未签名或未授权代码的防护措施。 3、黑客兜售可绕过主流AV/EDR的"Baldwin Killer"恶意工具 https://gbhackers.com/hackers-claim-to-sell-baldwin-killer-malware/ 2025年4月21日，某知名威胁攻击者在暗网论坛公开出售名为"Baldwin Killer"的高级恶意软件工具包。据称该工具能够有效绕过包括Windows Defender、卡巴斯基、Bitdefender和Avast在内的主流杀毒软件及终端检测响应(EDR)系统。安全专家对此表示高度关注，认为该工具的出现可能显著降低攻击门槛，使更多威胁行为者能够突破企业基础安全防护。 4、WordPress恶意插件日均生成14亿广告请求 https://www.bleepingcomputer.com/news/security/scallywag-ad-fraud-operation-generated-14-billion-ad-requests-per-day/ 2025年4月，安全公司HUMAN曝光一起代号"Scallywag"的大规模广告欺诈活动。攻击者通过定制WordPress插件，在盗版和URL缩短网站上植入恶意代码获利，最高峰时每日产生14亿次虚假广告请求。经调查，该犯罪网络涉及407个域名，通过伪造广告展示和点击非法牟利。 5、HPE集群管理器被发现允许远程绕过身份验证 https://cybersecuritynews.com/hpe-performance-cluster-manager-vulnerability/ 2025年4月22日，研究人员在HPE Performance Cluster Manager（HPCM）中发现一个高危认证绕过漏洞（CVE-2025-27086）。该漏洞存在于HPCM图形用户界面(GUI)的远程方法调用(RMI)通信机制中，影响包括1.12版本在内的所有HPCM版本。攻击者可利用此漏洞远程绕过身份验证机制，直接访问受保护的系统资源。HPE已获知该漏洞详情，建议使用HPCM的企业立即采取缓解措施。 6、严重性10分的Erlang SSH漏洞已出现公开利用代码 https://www.freebuf.com/articles/ics-articles/428263.html 网络安全专家正紧急呼吁企业立即修复Erlang/OTP安全外壳（SSH）协议中的一个高危漏洞（CVE-2025-32433）。该远程代码执行（RCE）漏洞的CVSS评分为满分10分，攻击者无需认证即可完全控制受影响设备。该漏洞于4月16日被发现后，研究人员已迅速开发出利用代码。 7、新型钓鱼攻击：SVG文件中植入恶意HTML文件 https://www.freebuf.com/articles/web/428247.html 网络安全专家发现了一种利用SVG（可缩放矢量图形）文件格式的新型钓鱼技术，攻击者通过该技术向不知情的受害者投递恶意HTML内容。这种于2025年初首次被发现的威胁手段，标志着钓鱼战术的显著升级——攻击者利用SVG文件的双重特性绕过安全防护措施，诱骗用户泄露敏感信息。 8、RustoBot利用路由器漏洞发动DDoS跨境攻击 https://www.anquanke.com/post/id/306777 FortiGuard Labs 最近发现了名为 RustoBot 的恶意程序，它是用 Rust 语言编写的。Rust 是一种以性能和安全性著称的内存安全型语言。RustoBot 是一个复杂的僵尸网络，它利用了 TOTOLINK 和 DrayTek 路由器中的漏洞，从而在日本、越南和墨西哥的技术基础设施中占据了一席之地。 9、美国美中委员会发布DeepSeek调查报告称其威胁美国国家安全 https://www.secrss.com/articles/77880 近日，美国美中战略竞争特别委员会发布了一份DeepSeek调查报告，指控DeepSeek涉嫌数据窃取、信息操控、技术盗用及规避美国出口管制，威胁美国国家安全。 10、高危Windows更新堆栈漏洞可导致代码执行与权限提升 https://cybersecuritynews.com/windows-update-stack-vulnerability/ 微软Windows更新堆栈高危漏洞CVE-2025-21204允许攻击者通过操控更新流程获取SYSTEM权限，影响Win10/11及Server多个版本。漏洞利用文件系统信任而非内存破坏，传统工具难检测。微软已发布补丁修复，建议立即更新并限制相关目录访问。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2025年04月22日

1、FOG勒索软件伪装DOGE发起钓鱼攻击 https://cybersecuritynews.com/new-fog-ransomware-attack-mimic-as-doge-attacking-organization/ 2025年4月21日，研究人员发现，FOG勒索软件攻击活动呈现新型攻击特征，攻击者伪装成美国"政府效率部（DOGE）"名义实施社会工程攻击。该活动通过精心制作的钓鱼邮件进行传播，邮件附件伪装成政府公文，当受害者点击该附件后，会启动复杂的感染链，从而导致数据加密和勒索要求。 2、Google OAuth被利用于伪造DKIM认证钓鱼邮件 https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/ 2025年4月20日，研究人员披露，在一起网络钓鱼攻击中，攻击者通过利用Google OAuth授权流程与邮件协议漏洞，构造了显示发件人为"no-reply@google.com"的欺诈邮件。该邮件利用DKIM签名验证机制缺陷，在通过常规反垃圾邮件检测的同时，将用户重定向至攻击者控制的仿冒Google支持页面，诱导受害者提交账户凭证。 3、GitHub针对企业产品版发布紧急安全更新 https://cybersecuritynews.com/github-enterprise-server-vulnerabilities/ 2025年4月21日，GitHub针对企业版产品发布紧急安全更新，修复包含关键远程代码执行漏洞（CVE-2025-3509）在内的多个安全缺陷，该漏洞影响3.13.0至3.16.1版本。攻击者可通过构造恶意HTTP请求在服务端执行任意命令，同时结合跨站脚本漏洞（CVE-2025-3511）窃取私有仓库访问令牌及敏感代码资产。 4、Facebook开发的PyTorch模型被发现存在RCE漏洞 https://securityonline.info/critical-pytorch-vulnerability-cve-2025-32434-allows-remote-code-execution/ 2025年4月21日，研究人员披露，PyTorch深度学习框架存在远程命令执行（RCE）漏洞（CVE-2025-32434），该漏洞影响2.5.1版本之前的PyTorch。如果攻击者利用此缺陷制作了一个模型文件，他们就可以在目标计算机上执行任意命令，这可能导致数据泄露、系统泄露，甚至在云托管的 AI 环境中横向移动。目前PyTorch已在发布2.6版本修复该漏洞， 5、Meshtastic开源通信协议栈存在远程代码执行漏洞 https://securityonline.info/critical-meshtastic-rce-vulnerability-cve-2025-24797-requires-urgent-update/ 2025年4月21日，研究人员披露，Meshtastic开源通信协议栈存在远程代码执行漏洞（CVE-2025-24797），该漏洞影响固件版本2.6.2之前的所有设备。该漏洞源于不正确地处理含有无效协议缓冲区（protobuf）数据错误格式的网状数据包。受影响设备涉及基于ESP32、nRF52等硬件平台的便携式节点设备，主要应用于野外救援、灾害应急通信等离网场景。Meshtastic官 6、新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备 https://www.freebuf.com/articles/428204.html Cleafy安全研究人员发现名为"超级卡X"（SuperCard X）的新型恶意软件即服务（MaaS），该恶意软件通过NFC（近场通信）中继攻击针对安卓设备实施资金窃取。 7、朝鲜APT组织利用实时深度伪造技术通过远程工作渗透组织 https://www.freebuf.com/articles/ai-security/428243.html 网络安全渗透手段出现令人担忧的新发展——朝鲜APT组织开始在远程工作面试中使用复杂的实时深度伪造（deepfake）技术，以此获取全球各地组织的职位。 8、微软Entra新安全功能引发大规模账户锁定事件 https://www.bleepingcomputer.com/news/microsoft/widespread-microsoft-entra-lockouts-tied-to-new-security-feature-rollout/ 微软Entra ID新功能"MACE"部署故障引发大规模误报，导致大量用户账户被锁定。受影响账户未现入侵迹象且启用了MFA，微软确认问题源于静默部署的凭证撤销应用。建议管理员排查异常警报。 9、Qrator Labs成功抵御今年最大规模DDoS攻击峰值达965Gbps https://hackread.com/qrator-labs-mitigating-largest-ddos-attack-to-date/ 2025年4月，Qrator Labs成功抵御峰值965 Gbps的DDoS攻击，创年度纪录。攻击针对相关在线平台，与NHL球星破纪录进球时间重合，采用多向量复合模式。研究显示体育赛事期间相关平台成高危目标，企业需提前强化防护。 10、Interlock 勒索软件肆虐，全球企业面临数据加密与泄露双重风险 https://www.anquanke.com/post/id/306737 Sekoia 威胁检测与研究团队（TDR）的一份新报告详细阐述了 Interlock 勒索软件的入侵活动。Interlock 首次被发现于 2024 年 9 月，以实施 Big Game Hunting 和双重勒索活动而闻名。尽管它不被归类为勒索软件即服务（RaaS）组织，但 Interlock 运营着一个名为 Worldwide Secrets Blog 的数据泄露网站，以此向受害者施压。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

MIPS栈溢出漏洞实战解析：从DVRF题目看ROP链构造

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页第62页第63页第64页第65页第66页第67页第68页第69页第70页第71页第72页第73页第74页第75页第76页第77页第78页第79页第80页第81页第82页第83页第84页第85页第86页第87页第88页第89页第90页第91页第92页第93页第94页第95页第96页第97页第98页第99页第100页第101页第102页第103页第104页第105页第106页第107页第108页第109页第110页第111页第112页第113页第114页第115页第116页第117页第118页第119页第120页第121页第122页第123页第124页第125页第126页第127页第128页第129页第130页第131页第132页第133页第134页第135页第136页第137页第138页第139页第140页第141页第142页第143页第144页第145页第146页第147页第148页第149页第150页第151页第152页第153页第154页第155页第156页第157页第158页第159页第160页第161页第162页第163页第164页第165页第166页第167页第168页第169页第170页第171页第172页第173页第174页第175页第176页第177页第178页第179页第180页第181页第182页第183页第184页第185页第186页第187页第188页第189页第190页第191页第192页第193页第194页第195页第196页第197页第198页第199页第200页第201页第202页第203页第204页第205页第206页第207页