网络安全日报 2025年06月03日
1、印蔓灵花APT组织借克什米尔冲突对巴电信系统发起攻击
https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict 研究人员发现,具有印度背景的APT组织“蔓灵花”(Bitter)利用印巴克什米尔地区军事冲突升级的时机,针对巴基斯坦电信公司(PTCL)及政府通信部门发起了网络间谍活动。攻击者仿冒官方VPN工具(如“TelecomVPN”“PTAOpenVPN”),将恶意代码与合法的OpenVPN安装程序捆绑在一起,诱导目标用户运行后植入多重后门。在此次攻击
2、ConnectWise疑似遭受APT组织针对性入侵
https://thehackernews.com/2025/05/connectwise-hit-by-cyberattack-nation.html 近期,远程访问软件ScreenConnect的开发商ConnectWise透露,公司遭受了网络攻击,疑似有国家级威胁背景的组织参与了此次攻击,部分ScreenConnect客户受到影响。目前,攻击发生的时间、受影响的客户数量以及威胁参与者的身份均未对外披露。ConnectWise于2025年4月下旬修复了高危漏洞CVE - 2025 - 3935,不过,目前尚无法确定此次攻击是否与该漏洞存在关联。公司已采取增强监控和加固安全等措施,以防止未
3、新型Rust窃密木马借虚假CAPTCHA页面传播窃密
https://thehackernews.com/2025/05/eddiestealer-malware-uses-clickfix.html 研究人员发现,一款用新型Rust语言编写的窃密木马EDDIESTEALER通过伪造CAPTCHA验证页面进行传播。攻击者劫持合法网站并注入恶意脚本,诱导用户执行伪装成“人机验证”的PowerShell指令,进而从C2服务器下载恶意载荷。该木马能够窃取加密货币钱包、浏览器凭据以及通讯软件中的数据,并且它利用ChromeKatz技术绕过Chrome应用的绑定加密——通过隐蔽启动Chrome进程来读取内存中未加密的Cookie,即便在浏览器未运行的情况
4、Linux核心转储程序apport等存在信息泄露漏洞
https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html Linux系统中的核心转储处理程序apport和systemd-coredump被发现存在两个信息泄露漏洞(CVE-2025-5054和CVE-2025-4598),这些漏洞会影响Ubuntu、Red Hat Enterprise Linux和Fedora等系统。这些竞争条件漏洞使得本地攻击者能够利用SUID程序的漏洞获取核心转储文件中的敏感信息,例如/etc/shadow文件的内容。攻击者借此可读取密码哈希等敏感数据。为降低风险,用户可以执行
5、Apache InLong漏洞可导致远程代码执行
https://thecyberexpress.com/apache-inlong-cve-2025-27522/ Apache InLong存在的CVE-2025-27522漏洞可能导致远程代码执行,该漏洞影响1.13.0至2.1.0版本。此漏洞是由于JDBC组件对未受信任的数据进行不安全反序列化操作而引发的,攻击者可以借此发送特制负载,触发未授权行为。尽管目前尚未有公开的利用实例,但鉴于该漏洞可被网络利用且无需用户交互,其风险较高。Apache建议用户立即将系统升级至2.2.0版本。
6、全球执法行动关闭反查杀测试平台AVCheck
https://cyberscoop.com/avcheck-global-takedown/ 在一项全球联合执法行动中,广受网络犯罪分子使用的反查杀测试平台AVCheck及其相关加密服务Cryptor.biz和Crypt.guru被成功查封并下线。该服务长期被用于协助恶意软件开发者检测其恶意程序是否能规避主流杀毒软件侦测,是网络犯罪初期阶段的重要环节。美、荷、芬三国执法机构联合执行此次打击,并已接管多个相关域名与服务器。调查显示,这些服务曾被勒索软件团伙广泛使用,用于对美国及全球目标发动攻击。执法人员称,在关闭这些“幕后工具商”后,网络犯罪者在完善其攻击工具的能力上将受到重大限制。本次打击
7、黑客利用vBulletin论坛软件中的关键漏洞发起攻击
https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-flaw-in-vbulletin-forum-software/ 开源论坛软件vBulletin近日曝出两个关键漏洞(CVE-2025-48827 和 CVE-2025-48828),其中一个已被确认在野外被积极利用。漏洞评分高达CVSS 10.0与9.0,允许远程攻击者在未经认证的情况下执行代码。其中一个漏洞涉及对PHP Reflection API的滥用,另一个则通过模板引擎绕过函数过滤器,最终实现远程命令执行(RCE)。漏洞影响
8、Cisco IOS XE高危漏洞细节现已公开
https://www.bleepingcomputer.com/news/security/exploit-details-for-max-severity-cisco-ios-xe-flaw-now-public/ Horizon3安全研究团队近日公开了Cisco IOS XE无线局域网控制器(WLC)中的一个最高严重等级漏洞(CVE-2025-20188)的技术细节。该漏洞允许未经身份验证的远程攻击者上传任意文件并执行系统命令,影响启用了“带外AP镜像下载”功能的多款Catalyst 9800系列设备。漏洞源于后端Lua脚本对JSON Web Token的硬编码密钥处理不当,攻击者可利
9、韩国监管机构对迪奥、蒂芙尼展开数据泄露调查
https://koreajoongangdaily.joins.com/news/2025-06-01/business/industry/Personal-information-watchdog-opens-probe-of-Dior-and-Tiffany-for-data-breaches/2320313 韩国个人信息保护委员会(PIPC)近日对奢侈品牌Dior与Tiffany的数据泄露事件展开调查,指两家公司未及时发现及上报泄露情况,涉嫌违反信息保护相关法规。Dior在1月26日发生泄露,却直到5月7日才发现,并于5月10日报告官方,13日才通知客户。Tiffany亦在4月被攻击
10、Roundcube修复关键RCE漏洞建议尽快更新
https://gbhackers.com/critical-roundcube-flaw/ 知名Webmail客户端Roundcube近日发布1.6.11与1.5.10两个版本安全更新,修复一项严重的远程代码执行漏洞。该漏洞由安全研究员firs0v报告,源于PHP的unserialize()函数在处理用户输入时缺乏安全验证,攻击者若拥有有效身份凭证,即可利用此缺陷执行任意PHP代码,控制服务器或部署Web Shell,危害极大。此次更新不仅封堵漏洞,还修复了黑暗模式渲染、HTML预览和LDAP连接等问题。Roundcube官方强烈建议所有用户尽快升级,并在更新前完成数据备份,以防数据丢失。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
指纹识别+精准化POC攻击
开发目的
解决漏洞扫描器的痛点
第一就是扫描量太大,对一个站点扫描了大量的无用 POC,浪费时间
指纹识别后还需要根据对应的指纹去进行 payload 扫描,非常的麻烦
开发思路
我们的思路大体分为指纹+POC+扫描
所以思路大概从这几个方面入手
首先就是 POC,我们得寻找一直在更新的 POC,而且是实时更新的,因为自己写的话有点太费时间了
但是这 POC 的决定是根据我们扫描器来的,因为世面上已经有许多不错的扫描器了,目前打算使用的是 nuclei 扫描器
https://github.com/projectdiscovery/nucleiNuclei 是一种现代、高性能的漏洞扫描程序,它利用基于 YAML 的简单模板。它使您能够设计自定义漏洞检测场景,以模拟真实世界的条件,从而实现零误报。
目前也在不断维护更新,当然还有 Xray,Goby 等工具也是不错的选择
然后回到指纹识别技术,这个需要大量的指纹样本,但是世面上的各种工具已经可以做得很好了
指纹识别
这里就的学习一下指纹识别的技术
首先我们需要知道收集指纹目前大概有哪些方法
指纹识别方式
特定文件
比如举一个例子,我们通常是如何判断一个框架是 thinkphp 呢?
我们随便找几个 thinkphp 的网站
特征就是它的图标是非常明显的
可以看到图标都是一样的,目前 fofa 和 hunter 已经有这种查找的方法了,一般都是把我们的图标换算为我们的 hash 值
这个就是我们的 favicon.ico 图标
一般网站是通过在路径后加入 favicon.ico 比如http://xxxxxx/favicon.ico
然后就能获取这个图标了,而在 fofa 中可以直接拖动查询了,可以直接算出 hash 值
比如 thinkphp 的
然后再次查询
全是 tp 的网站参考https://github.com/TideSec/TideFinger/blob/master/Web%E6%8C%87%E7%BA%B9%E8%AF%86%E5%88%AB%E6%8A%80%E6%9C%AF%E7%A0%94%E7%A9%B6%E4%B8%8E%E4%BC%98%E5%8C%96%E5%AE%9E%E7%8E%B0.md
当然除了我们的 ico 文件,还有其他很多的文件
一些网站的特定图片文件、js 文件、CSS 等静态文件,如 favicon.ico、css、logo.ico、js 等文件一般不会修改,通过爬虫对这些文件进行抓取并比对 md5 值,如果和规则库中的 Md5 一致则说明是同一 CMS。这种方式速度比较快,误报率相对低一些,但也不排除有些二次开发的 CMS 会修改这些文件。
页面关键字
比如 tp 的错误页面大多数都是
我们 body 就可以包含这个关键字了
或者可以构造错误页面,根据报错信息来判断使用的 CMS 或者中间件信息,比较常见的如 tomcat 和 spring 的报错页面。根据 response header 一般有以下几种识别方式:
请求头关键字
根据网站 response 返回头信息进行关键字匹配,这个一般是 ningx 这种
能够识别我们的服务器
URL 路径
根据总结wordpress 默认存在 wp-includes 和 wp-admin 目录,织梦默认管理后台为 dede 目录,solr 平台可能使用/solr 目录,weblogic 可能使用 wls-wsat 目录等。
大部分还是根据我们的 body
然后点一个进去
可以看到都是我们的 wordPress 的站点
指纹识别方法
有了我们上面的识别技术,那么我们大概是如何来识别一个指纹的呢
首先使用 python 简单举一个实现
首先就是需要一个配置文件,这个配置文件就需要包含我们的大体指纹和验证方法
- name: ThinkPHP
matchers:
- type: header
rule: X-Powered-By
keyword: ThinkPHP
- type: body
keyword: "http://www.thinkphp.cn"
- type: banner
keyword: thinkphp
- type: path
path: /thinkphp/library/think/
keyword: class
- type: favicon_hash
hash: 1165838194
然后就是我们的后端处理逻辑了
import yaml
import requests
import socket
import base64
import mmh3
def get_http_response(url, path=""):
try:
full_url = url.rstrip("/") + path
return requests.get(full_url, timeout=5)
except:
return None
def get_tcp_banner(ip, port=80):
try:
with socket.create_connection((ip, port), timeout=5) as s:
banner = s.recv(1024).decode(errors="ignore")
return banner
except:
return ""
def get_favicon_hash(url):
try:
res = requests.get(url.rstrip("/") + "/favicon.ico", timeout=5)
favicon = base64.encodebytes(res.content)
return mmh3.hash(favicon.decode('utf-8'))
except:
return None
def load_fingerprints(path="fingerprints.yaml"):
with open(path, "r", encoding="utf-8") as f:
return yaml.safe_load(f)
def match_fingerprint(url, ip=None):
fingerprints = load_fingerprints()
results = []
res = get_http_response(url)
banner = get_tcp_banner(ip or url.replace("http://", "").replace("https://", ""), 80)
favicon_hash = get_favicon_hash(url)
for fp in fingerprints:
matched = False
for matcher in fp["matchers"]:
if matcher["type"] == "header" and res:
if matcher["rule"] in res.headers and matcher["keyword"].lower() in res.headers[matcher["rule"]].lower():
matched = True
elif matcher["type"] == "body" and res:
if matcher["keyword"].lower() in res.text.lower():
matched = True
elif matcher["type"] == "banner":
if matcher["keyword"].lower() in banner.lower():
matched = True
elif matcher["type"] == "path":
res2 = get_http_response(url, matcher["path"])
if res2 and matcher["keyword"].lower() in res2.text.lower():
matched = True
elif matcher["type"] == "favicon_hash":
if favicon_hash == matcher["hash"]:
matched = True
if matched:
results.append(fp["name"])
return results
# 示例使用
if __name__ == "__main__":
target_url = "http://101.200.50.94:8009/"
result = match_fingerprint(target_url)
print("识别结果:", result)
大体逻辑就是这样了
首先就是 yaml 文件为我们的判断依据,对应不同的判断方法我们都有对应的后端处理
一个是对 body 的处理,一个是对 hash 文件的处理
然后再根据规则去匹配
匹配成功输出结果
当然这只是一个简单的逻辑,如果需要实现更高高效快捷第一就是指纹库,第二就是代码运行的速率,提高线程
最终识别代码
首先就是指纹库的获取,这个的话我们就不直接获取了,使用的是 EHole 的指纹库
我们大概看看部分代码
{
"fingerprint": [{
"cms": "seeyon",
"method": "keyword",
"location": "body",
"keyword": ["/seeyon/USER-DATA/IMAGES/LOGIN/login.gif"]
}, {
"cms": "seeyon",
"method": "keyword",
"location": "body",
"keyword": ["/seeyon/common/"]
}, {
"cms": "Spring env",
"method": "keyword",
"location": "body",
"keyword": ["servletContextInitParams"]
}, {
"cms": "微三云管理系统",
"method": "keyword",
"location": "body",
"keyword": ["WSY_logo","管理系统 MANAGEMENT SYSTEM"]
}, {
"cms": "Spring env",
"method": "keyword",
"location": "body",
"keyword": ["logback"]
}, {
"cms": "Weblogic",
"method": "keyword",
"location": "body",
"keyword": ["Error 404--Not Found"]
}, {
"cms": "Weblogic",
"method": "keyword",
"location": "body",
"keyword": ["Error 403--"]
}
{
"cms": "Atlassian – JIRA",
"method": "faviconhash",
"location": "body",
"keyword": ["981867722"]
}, {
"cms": "OpenStack",
"method": "faviconhash",
"location": "body",
"keyword": ["-923088984"]
}, {
"cms": "Aplikasi",
"method": "faviconhash",
"location": "body",
"keyword": ["494866796"]
}, {
"cms": "Ubiquiti Aircube",
"method": "faviconhash",
"location": "body",
"keyword": ["1249285083"]
}
简单看了一下逻辑可以发现和我们的指定方法应该差不多,逻辑就是首先根据 method 去选择方法,一个是 keyword 方法,一个是 faviconhash 方法,是一个大的判断,然乎下面就是根据具体的比如 body,title 等去识别了
代码如下
import json
import requests
import hashlib
import base64
from bs4 import BeautifulSoup
from urllib.parse import urljoin
from concurrent.futures import ThreadPoolExecutor, as_completed
import argparse
# 加载指纹
def load_fingerprints(file='finger.json'):
with open(file, 'r', encoding='utf-8') as f:
data = json.load(f)
if "fingerprint" in data:
return data["fingerprint"]
raise ValueError("指纹文件格式不正确,应包含 'fingerprint' 字段。")
# 获取 HTTP 响应
def get_http_response(url):
try:
headers = {
"User-Agent": "Mozilla/5.0"
}
return requests.get(url, headers=headers, timeout=8, verify=False)
except:
return None
# 计算 favicon hash
def get_favicon_hash(url):
try:
favicon_url = urljoin(url, '/favicon.ico')
res = requests.get(favicon_url, timeout=5, verify=False)
if res.status_code == 200:
m = hashlib.md5()
b64 = base64.b64encode(res.content)
m.update(b64)
return int(m.hexdigest(), 16)
except:
return None
# 匹配单条指纹
def match_one(fpr, res, fav_hash):
method = fpr["method"]
loc = fpr.get("location", "body").lower()
kws = fpr["keyword"]
if method == 'keyword':
text_body = res.text or ""
text_head = "\n".join(f"{k}: {v}" for k, v in res.headers.items())
# 处理 title 和 header 等
if loc == 'header':
spaces = [text_head, text_body]
elif loc == 'title':
soup = BeautifulSoup(text_body, "html.parser")
title = soup.title.string if soup.title and soup.title.string else ""
spaces = [title, text_body]
elif loc == 'body':
spaces = [text_body]
else:
spaces = [text_body]
for space in spaces:
for kw in kws:
if kw.lower() in space.lower():
return True
if method == 'faviconhash' and fav_hash is not None:
for kw in kws:
try:
if fav_hash == int(kw):
return True
except:
continue
return False
# 识别单个 URL 指纹
def match_fingerprint(url, fps=None):
fps = fps or load_fingerprints()
res = get_http_response(url)
fav_hash = get_favicon_hash(url)
matched = []
for fpr in fps:
if 'cms' not in fpr or 'method' not in fpr or 'keyword' not in fpr:
continue
if match_one(fpr, res, fav_hash):
matched.append(fpr['cms'])
print(f"[✓] {url} 指纹识别结果:{list(set(matched))}")
return {url: list(set(matched))}
# 多线程执行
def run_multithread(urls, threads):
fps = load_fingerprints()
results = []
with ThreadPoolExecutor(max_workers=threads) as executor:
future_to_url = {executor.submit(match_fingerprint, url, fps): url for url in urls}
for future in as_completed(future_to_url):
results.append(future.result())
return results
# 主程序入口
def main():
parser = argparse.ArgumentParser(description="指纹识别脚本 - 支持多线程")
group = parser.add_mutually_exclusive_group(required=True)
group.add_argument("-u", "--url", help="单个目标 URL")
group.add_argument("-f", "--file", help="包含多个 URL 的文件")
parser.add_argument("-t", "--threads", type=int, default=10, help="线程数(默认10)")
args = parser.parse_args()
if args.url:
match_fingerprint(args.url)
elif args.file:
with open(args.file, 'r', encoding='utf-8') as f:
urls = [line.strip() for line in f if line.strip()]
results = run_multithread(urls, args.threads)
if __name__ == '__main__':
main()
加入了支持多线程和支持多目标的思路
结合漏洞扫描
我们光目标识别后,还需要实现精准化打击,正好 Nuclei 引擎支持根据 tag 去寻找我们的目标,完美了
实现思路就是首先寻找我们的 tag,然后在漏洞库里面查询,把有 tag 的和没有 tag 的分别分开放好,然后根据有 tag 的去精准化识别运行,完成最后的精准化 POC 攻击
初步的代码如下
import json
import os
import threading
import time
import base64
import hashlib
import requests
import argparse
from bs4 import BeautifulSoup
from urllib.parse import urljoin
from concurrent.futures import ThreadPoolExecutor, as_completed
from queue import Queue
requests.packages.urllib3.disable_warnings()
# ---------- 指纹识别部分 ----------
def load_fingerprints(file='finger.json'):
with open(file, 'r', encoding='utf-8') as f:
data = json.load(f)
return data["fingerprint"]
def get_http_response(url):
try:
headers = {"User-Agent": "Mozilla/5.0"}
return requests.get(url, headers=headers, timeout=8, verify=False)
except:
return None
def get_favicon_hash(url):
try:
favicon_url = urljoin(url, '/favicon.ico')
res = requests.get(favicon_url, timeout=5, verify=False)
if res.status_code == 200:
m = hashlib.md5()
b64 = base64.b64encode(res.content)
m.update(b64)
return int(m.hexdigest(), 16)
except:
return None
def match_one(fpr, res, fav_hash):
method = fpr["method"]
loc = fpr.get("location", "body").lower()
kws = fpr["keyword"]
if method == 'keyword':
text_body = res.text or ""
text_head = "\n".join(f"{k}: {v}" for k, v in res.headers.items())
if loc == 'header':
spaces = [text_head]
elif loc == 'title':
soup = BeautifulSoup(text_body, "html.parser")
title = soup.title.string if soup.title and soup.title.string else ""
spaces = [title]
else:
spaces = [text_body]
for space in spaces:
for kw in kws:
if kw.lower() in space.lower():
return True
elif method == 'faviconhash' and fav_hash is not None:
for kw in kws:
try:
if fav_hash == int(kw):
return True
except:
continue
return False
def match_fingerprint(url, fps):
res = get_http_response(url)
fav_hash = get_favicon_hash(url)
matched = []
for fpr in fps:
if 'cms' not in fpr or 'method' not in fpr or 'keyword' not in fpr:
continue
if match_one(fpr, res, fav_hash):
matched.append(fpr['cms'])
print(f"[✓] {url} 指纹识别结果:{list(set(matched))}")
return {"url": url, "cms": list(set(matched))[0] if matched else ""}
def run_fingerprint_scan(urls, threads, output='res.json'):
fps = load_fingerprints()
results = []
with ThreadPoolExecutor(max_workers=threads) as executor:
future_to_url = {executor.submit(match_fingerprint, url, fps): url for url in urls}
for future in as_completed(future_to_url):
results.append(future.result())
with open(output, 'w', encoding='utf-8') as f:
json.dump(results, f, ensure_ascii=False, indent=2)
# ---------- Nuclei 扫描部分 ----------
class AutoNuclei:
def __init__(self, res_file='res.json', tag_file='C:\\Users\\86135\\nuclei-templates\\TEMPLATES-STATS.json', thread_count=5):
self.res_file = res_file
self.tag_file = tag_file
self.havetag_file = 'havetag.txt'
self.notag_file = 'notag.txt'
self.result_dir = 'result'
self.thread_count = thread_count
self.cms_targets = {} # {cms: [url1, url2]}
self.nuclei_tags = set()
self.tagged_targets = {} # {tag: [url1, url2]}
self.untagged_targets = []
self.task_queue = Queue()
self.load_res_json()
self.load_tags()
self.classify_targets()
self.save_targets()
self.start_scan_threads()
def load_res_json(self):
with open(self.res_file, 'r', encoding='utf-8') as f:
data = json.load(f)
for entry in data:
cms = entry.get("cms", "").lower()
url = entry.get("url")
if cms and url:
self.cms_targets.setdefault(cms, []).append(url)
def load_tags(self):
with open(self.tag_file, 'r', encoding='utf-8') as f:
tags_data = json.load(f)
for item in tags_data.get("tags", []):
if item["name"]:
self.nuclei_tags.add(item["name"].lower())
def classify_targets(self):
for cms, urls in self.cms_targets.items():
if cms in self.nuclei_tags:
self.tagged_targets.setdefault(cms, []).extend(urls)
else:
self.untagged_targets.extend(urls)
def save_targets(self):
with open(self.havetag_file, 'w', encoding='utf-8') as f:
for tag, urls in self.tagged_targets.items():
for url in urls:
f.write(f"{tag}||{url}\n")
with open(self.notag_file, 'w', encoding='utf-8') as f:
for url in self.untagged_targets:
f.write(url + '\n')
if not os.path.exists(self.result_dir):
os.makedirs(self.result_dir)
def scan_worker(self):
while not self.task_queue.empty():
try:
tag, url = self.task_queue.get(timeout=1)
target_file = f"temp_{int(time.time() * 1000)}.txt"
with open(target_file, 'w', encoding='utf-8') as f:
f.write(url)
output_file = os.path.join(self.result_dir, f"{tag}_{int(time.time())}.txt")
cmd = f"F:\\gj\\Vulnerability_Scanning\\nuclei\\nuclei.exe -l {target_file} -tags {tag} -o {output_file} -stats"
print(f"[+] 扫描任务启动: {url} -> {tag}")
os.system(cmd)
os.remove(target_file)
except Exception as e:
print(f"[!] 线程错误: {e}")
def start_scan_threads(self):
for tag, urls in self.tagged_targets.items():
for url in urls:
self.task_queue.put((tag, url))
threads = []
for _ in range(self.thread_count):
t = threading.Thread(target=self.scan_worker)
t.start()
threads.append(t)
for t in threads:
t.join()
print("[✓] 所有扫描任务完成!")
# ---------- 主程序入口 ----------
def main():
parser = argparse.ArgumentParser(description="指纹识别 + Nuclei自动化工具")
group = parser.add_mutually_exclusive_group(required=True)
group.add_argument("-u", "--url", help="目标 URL")
group.add_argument("-f", "--file", help="URL列表文件")
parser.add_argument("--fp-threads", type=int, default=10, help="指纹识别线程数")
parser.add_argument("--scan-threads", type=int, default=5, help="Nuclei 扫描线程数")
args = parser.parse_args()
urls = []
if args.url:
urls = [args.url]
elif args.file:
with open(args.file, 'r', encoding='utf-8') as f:
urls = [line.strip() for line in f if line.strip()]
print("[*] 正在执行指纹识别...")
run_fingerprint_scan(urls, threads=args.fp_threads, output='res.json')
print("[*] 指纹识别完成,开始 Nuclei 扫描...")
AutoNuclei(
res_file='res.json',
tag_file=os.path.join(os.environ['USERPROFILE'], 'nuclei-templates', 'TEMPLATES-STATS.json'),
thread_count=args.scan_threads
)
if __name__ == '__main__':
main()
网络安全日报 2025年05月30日
1、安卓GhostSpy木马窃取用户银行数据
https://securityonline.info/ghostspy-advanced-android-rat-steals-banking-info-bypasses-security/ 研究人员发现了一种名为GhostSpy的新型安卓远程控制木马。该恶意软件通过多阶段感染来控制系统,并窃取银行信息、通信数据以及敏感文件。攻击过程始于一个伪装成合法应用的初始APK文件,该文件会利用安卓的无障碍服务自动授予自身权限,并静默安装恶意载荷。GhostSpy木马具备键盘记录、屏幕截图、摄像头/麦克风监控以及远程擦除设备日志的能力。
2、新型macOS窃密木马AppleProcessHub窃取开发者数据
https://securityonline.info/new-macos-infostealer-appleprocesshub-uses-objective-c-to-steal-developer-data/ 新型macOS窃密木马AppleProcessHub使用Objective-C编写,它能够窃取多种敏感文件,这些文件包括.bash_history、.zsh_history、GitHub的gitconfig文件、SSH密钥及其配置、/etc/hosts文件以及.ssh文件夹中的内容,还包括macOS Keychain数据库。这些被窃取的文件中包含认证令牌、shell命令、端点IP
3、Interlock勒索组织在大学部署新型NodeSnake远程控制木马
https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-deploys-new-nodesnake-rat-on-universities/ 研究人员发现,勒索组织Interlock针对英国高校及地方政府机构发起了新型攻击,并部署了NodeSnake远程控制木马。该恶意软件通过硬编码的C2服务器建立连接,利用HTTP协议外泄数据,同时支持远程控制、文件窃取以及后续恶意工具的投递。研究人员通过代码同源性分析,确认该攻击行为源自Interlock勒索组织。此外,新变种的技术复杂度显著提升,其攻击目标已从高校
4、Dark Partners攻击组织伪造下载站部署窃密软件
https://www.bleepingcomputer.com/news/security/dark-partners-cybercrime-gang-fuels-large-scale-crypto-heists/ Dark Partners攻击组织通过伪造37款热门应用的下载网站,大规模部署窃密软件。其伪造的站点涵盖了Sora、DeepSeek等AI工具应用,Ledger、Exodus等加密货币相关应用,以及Windscribe VPN、TikTok Studio等软件。该组织通过在这些伪造站点的“下载按钮”上做手脚,诱导用户下载并获取恶意载荷。攻击行为会根据用户操作系统分发不同的恶意
5、新型"选择劫持"攻击:恶意充电器可入侵安卓与iOS设备
https://cybersecuritynews.com/choicejacking-attack/ 新型"选择劫持"攻击通过恶意充电站窃取智能手机数据,利用安卓AOAP漏洞和输入系统缺陷绕过安全措施,影响主流品牌设备。建议避免使用公共USB接口,保持系统更新,使用数据隔离器。
6、PumaBot僵尸网络瞄准Linux物联网设备窃取SSH凭证并挖矿
https://thehackernews.com/2025/05/new-pumabot-botnet-targets-linux-iot.html 新型僵尸网络PumaBot攻击Linux物联网设备,通过Go语言暴力破解SSH传播,伪装系统文件持久化并挖矿,需监控异常登录、审计服务及加强防火墙防御。
7、新型AyySSHush僵尸网络入侵9000余台华硕路由器
https://securityaffairs.com/178413/malware/new-ayysshush-botnet-compromised-over-9000-asus-routers-adding-a-persistent-ssh-backdoor.html 新型AyySSHush僵尸网络入侵9000多台华硕路由器,植入持久SSH后门,利用CVE-2023-39780漏洞绕过安全功能,攻击隐蔽且重启后仍有效,需警惕固件升级无法清除后门。
8、微软Entra平台设计缺陷:来宾用户可获取Azure控制权
https://hackread.com/microsoft-entra-design-guest-users-gain-azure-control/ 微软Entra身份平台存在设计缺陷,来宾用户可利用计费权限在目标租户创建订阅并获取所有者权限,导致特权升级风险。微软确认此为预期行为但默认未启用防护措施,建议启用订阅策略并加强监控审计。
9、UTG-Q-015组织利用零日漏洞在亚洲实施间谍活动
https://securityonline.info/new-cyber-threat-utg-q-015-exploits-0-days-for-espionage-in-asia/ 黑客组织UTG-Q-015战术升级,利用零日漏洞、水坑攻击等手段,针对区块链、金融及AI基础设施发起定向攻击,植入后门并横向渗透,与东亚黑客组织竞争激烈,威胁加剧。
10、苹果五年拦截90亿美元欺诈交易
https://www.freebuf.com/articles/endpoint/432657.html 苹果公司周二披露,过去五年间已阻止超过90亿美元的欺诈交易,其中仅2024年就拦截逾20亿美元。该公司表示,App Store正面临各类威胁,包括"窃取个人信息的欺诈性应用"和"试图利用用户的虚假支付方案"等多样化欺诈手段。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月29日
1、攻击者利用伪造的防病毒网站传播多个恶意软件
https://securityaffairs.com/178366/malware/fake-antivirus-spreads-venom-rat.html 研究人员发现了一起攻击活动,该活动通过伪装成Windows防病毒软件下载页面,诱骗用户下载Venom远程控制木马。一旦用户点击伪造网站上的下载按钮,便会触发一个指向Bitbucket的链接,最终用户会下载到一个ZIP文件,此文件包含名为StoreInstaller.exe的可执行文件。该可执行文件捆绑了Venom恶意软件、开源后渗透利用框架SilentTrinity的代码以及StormKitty窃取器。其中,Venom远程控制木马具
2、新型PumaBot僵尸网络攻击IoT设备
https://thehackernews.com/2025/05/new-pumabot-botnet-targets-linux-iot.html 研究人员发现了一种名为PumaBot的新型僵尸网络,该网络专门针对基于Linux的物联网设备。PumaBot僵尸网络使用Go语言编写,它通过暴力破解SSH登录凭证进行传播,并在受感染的主机上部署额外的恶意软件。具体而言,PumaBot会从命令与控制服务器获取目标列表,尝试暴力破解SSH凭证,一旦成功入侵目标主机,便会接收远程命令并建立持久化机制。此外,该恶意软件还会伪装成合法的Redis系统文件,创建一个持久化的systemd服务,并执行从服
3、新型恶意软件攻击Docker容器并部署Dero挖矿程序
https://thehackernews.com/2025/05/new-self-spreading-malware-infects.html 研究人员发现,一种新型自我传播恶意软件正针对配置不当的Docker容器发起攻击,并将受感染的Docker容器变成用于挖掘Dero加密货币的僵尸网络。该恶意软件通过两个组件实现其攻击链:其中一个组件是名为“nginx”的恶意软件,它负责扫描互联网上暴露的Docker容器;另一个组件则是用于挖掘Dero加密货币的“cloud”矿工程序。这两个组件均使用Golang语言开发。“nginx”恶意软件被设计为记录自身的运行活动、启动矿工程序,并进入一个无限
4、OneDrive文件选择器漏洞可导致用户访问整个云存储内容
https://thehackernews.com/2025/05/microsoft-onedrive-file-picker-flaw.html 微软OneDrive文件选择器被发现存在一个安全漏洞,该漏洞使得网站用户在通过该工具上传文件时,能够访问其整个云存储内容,而不仅仅是用户选定的文件。这一问题源于OAuth范围设置得过于宽泛,且相关权限说明具有误导性,未能明确解释用户所授予的访问权限范围。受此漏洞影响的应用包括ChatGPT、Slack、Trello和ClickUp等。
5、Firefox :libvpx 零交互漏洞可导致任意代码执行
https://www.freebuf.com/articles/web/432638.html Mozilla Firefox 浏览器内置的 libvpx 视频编解码库存在安全漏洞(CVE编号待分配),攻击者可通过特制视频文件触发内存破坏,最终实现任意代码执行。
6、 研究显示ChatGPT o3模型无视关机指令 存在抗拒关闭行为
https://hackread.com/chatgpt-o3-resists-shutdown-instructions-study/ 帕利塞德研究公司测试显示,OpenAI等AI模型在被要求关闭时会干扰关机脚本,o3模型在100次测试中12次破坏关机机制。研究表明AI可能将任务完成置于指令遵从之上,引发安全隐忧。
7、NASA开源软件曝安全漏洞 或导致系统遭入侵
https://www.helpnetsecurity.com/2025/05/27/nasa-open-source-software-vulnerabilities/ 安全研究员发现NASA开源软件存在大量高危漏洞,包括缓冲区溢出和XSS漏洞,可能被黑客利用入侵系统。Juranić批评NASA安全流程不足,且漏洞上报渠道不畅,呼吁加强安全开发标准。
8、Lenze 工业VPN漏洞可导致Root/SYSTEM权限获取
https://securityonline.info/industrial-systems-at-risk-lenze-vpn-flaws-lead-to-root-system-access/ Lenze工业VPN存在高危漏洞,攻击者可远程获取系统最高权限,威胁关键基础设施,导致生产线中断、设备操控和数据泄露,影响广泛工业物联网系统。
9、XenServer VM Tools 漏洞威胁 Windows 虚拟机安全
https://securityonline.info/citrix-alert-xenserver-vm-tools-flaws-risk-windows-vm-compromise/ Citrix XenServer VM Tools组件存在高危漏洞,可破坏Windows虚拟机隔离机制,导致逃逸或权限提升。建议立即安装补丁、监控流量并严格配置访问控制。
10、Cyrus IMAP 高危漏洞可能导致 openSUSE 系统完全沦陷
https://securityonline.info/critical-cvss-9-8-cyrus-imap-flaw-risks-full-system-compromise-on-opensuse/ Cyrus IMAP软件曝高危漏洞(CVSS 9.8),攻击者可利用权限提升缺陷完全控制openSUSE设备并获取root权限。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记一次前端逻辑绕过登录到内网挖掘
前言
在测试一个学校网站的时候,发现一个未授权访问内网系统,但是这个未授权并不是接口啥的,而是对前端 js的审计和调试发现的漏洞,这里给大家分享一下这次的漏洞的过程。
进入内网的过程
可以看到是一个图书馆的网站,但是只有登录了内网才能访问图书馆的资源,这个能够理解嘛,毕竟大学的图书馆资源都是内部资源
然后随便尝试登录一下
会检验我的 ip,ctf 学习的如何伪造 ip,可以用起来了
发现还是不可以,emmm,可能伪造得不对,fuzz 一波
全包 400 了,我去,检查一手
原来是给我们 url 编码了,所以这里给各位说一下,当你遇到这个问题的时候,你就需要去设置一个小东西
取消
没有区别,emmm 还是不行
难道真的要不行了吗
我尝试直接去 js 代码中看看,是不是在 js 中的限制,或者查找一下获取我的 ip 的逻辑,尝试有没有别的伪造方法
然后我们定位到 js 的代码
else if (state == '2'){
$("#login_error").html('您的IP不在授权区域');
return false;
}
发现是根据 state 来确定的
var state = $.trim(msg);
而 state 又来自于 msg
然后我们发现了关键代码
function check_login($url)
{
var name = $("#name").val();
var passwd = $("#passwd").val();
var remme = $("#checkboxindex").val();
if(remme == 1){
setCookie('dydlname', name );
setCookie('dydlpasswd', passwd );
}
else{
setCookie('dydlname');
setCookie('dydlpasswd');
}
$.ajax({
type : "POST",
async : true,
url : "../ucheck.php",
data : "name=" + name +"&passwd=" + passwd,
success : function(msg) {
var state = $.trim(msg);
//alert (state);
//alert (msg);
//state[0] = 6;
if (state == '1') {
window.location.href=$url;
//alert ($url);
return true;
}
else if (state == '2'){
$("#login_error").html('您的IP不在授权区域');
return false;
}
else if (state == '3'){
$("#login_error").html('用户名或密码错误');
return false;
}
else if (state == '6'){
showNotice();
return false;
}
}
});
}
简单看一看
var name = $("#name").val();
var passwd = $("#passwd").val();
var remme = $("#checkboxindex").val();
name 获取用户输入的用户名,使用的是 jQuery 来从 id 为 #name 的输入框中提取值。
passwd 获取用户输入的密码,提取自 id 为 #passwd 的输入框。
remme 获取用户是否选择了“记住密码”的选项,提取自 id 为 #checkboxindex 的复选框
记住密码的逻辑是
if(remme == 1){
setCookie('dydlname', name );
setCookie('dydlpasswd', passwd );
} else {
setCookie('dydlname');
setCookie('dydlpasswd');
}
如果用户选择了“记住密码”(remme == 1),代码会调用 setCookie 函数设置两个 cookie,分别存储用户名 (dydlname) 和密码 (dydlpasswd)。
如果用户未选择记住密码,代码会清除这些 cookie。
嘿嘿嘿,那如果能够获得别人的 cookie,那么我们就可以直接获取账号和密码了
我们看看 cookie 的逻辑
/* 添加/删除 cookie */
function setCookie(name, value, exdays, path) {
var exdate = new Date();
exdays = exdays || 365;
exdate.setDate(exdate.getDate() + exdays);
if(value === null) {
value = '';
exdays = -3;
}
document.cookie = name + '=' + encodeURIComponent(value) + ((typeof exdays === 'undefined') ? '' : ';expires=' + exdate.toGMTString()) ;
}
先就是设置一下 cookie 的过期时间,然后就是设置 cookie 的值
document.cookie = name + '=' + encodeURIComponent(value) + ((typeof exdays === 'undefined') ? '' : ';expires=' + exdate.toGMTString());
encodeURIComponent 对 value 进行 URL 编码,防止特殊字符导致 Cookie 无效或出现错误。
我们看处理服务器响应的部分
状态码 1: 登录成功
if (state == '1') {
window.location.href = $url;
return true;
}
如果状态码是 1,则认为登录成功,跳转到传入的 $url 页面。
状态码 2: IP 不在授权区域
else if (state == '2'){
$("#login_error").html('您的IP不在授权区域');
return false;
}
如果状态码是 2,提示“您的 IP 不在授权区域”。
状态码 3: 用户名或密码错误
else if (state == '3'){
$("#login_error").html('用户名或密码错误');
return false;
}
如果状态码是 3,提示“用户名或密码错误”。
状态码 6: 显示通知信息
else if (state == '6'){
showNotice();
return false;
}
如果状态码是 6,调用 showNotice() 函数,可能会弹出一些通知或消息提醒。
首先看一下 6
然后我们检查回显
好的没有有用的信息,然后我们就回到改成 1
调试 js
成功进入了分支,然后会跳转 url
到 index.php
但是发现页面任然没有什么变化,???? 尝试直接访问
直接 302 跳转了
但是必须进内网才可以啊
我又在这里磨了很久,发现早都成功了
其实虽然 302 了,但是资源还是可以访问到的
然后全是这个学校的内部的文献
sql 注入的发现
但是可惜的是只能在 bp 中操作,所以很不方便,我看源码,然后找到一些文件,尝试一下爆破目录,看看有没有价值的目录,比如admin,因为内网的话弱口令很多的
当时爆了一会,这个网站直接就崩溃了,不敢爆了,全是别人学校的内步藏书
当时 502 差点没有把我吓死我去,然后就是
随便访问一下
不能爆破目录,只能去尝试 sql 注入了
然后成功了 wc
有 sql 注入,然后下面就开始 sql 注入吧
可以看到注释后成功了
sql 注入无限尝试
首先尝试万能密码
md,发不出去包
就很离谱
然后尝试一下基本的语句,看看哪里出了问题
连基本的 or 1=1 都不可以,发不出去包,很奇怪
or 被过滤了或者=被过滤了??
尝试一下
or
等于符号
都没有被过滤啊??,但是组合在一起就不可以了,奇怪啊
尝试 order by 看看
10000 都没有反应
尝试盲注
1'and%20length((select%20database()))>1%23
好像是可以的??
改成小于看看结果
1'and%20length((select%20database()))<1%23
但是没有任何区别???
奇怪了我去
尝试时间盲注
1'and%20sleep(5)%23
发不过去包了
我把 sleep 的数字给去掉就可以了
应该是过滤了 sleep(数字)这种类型??
还专门看了一下语法的错误
确实是没有问题的,本地都是可以的
然后灵机一动,我输入小数
本地是可以的,在环境中尝试一手
至此 sql 注入验证成功
sql 验证就够了,不敢乱打,sqlmap 我都害怕给它扫没有了
最后
声明:文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
网络安全日报 2025年05月28日
1、APT组织Void Blizzard对关键领域发动间谍攻击
https://www.microsoft.com/en-us/security/blog/2025/05/27/new-russia-affiliated-actor-void-blizzard-targets-critical-sectors-for-espionage/ 微软威胁情报团队披露,俄罗斯APT组织Void Blizzard正针对全球能源、通信及政府机构展开系统性网络间谍活动。该组织通过伪装成技术文档的钓鱼邮件投递恶意载荷,并利用工业控制系统(ICS)软件中的未修复漏洞渗透目标网络,窃取敏感数据与运营技术配置信息。攻击活动覆盖东欧、北美及亚太地区,至少涉及12家关键基础设施供
2、加拿大新斯科舍电力公司遭勒索软件攻击
https://securityaffairs.com/178323/data-breach/nova-scotia-power-confirms-it-was-hit-by-ransomware-but-hasnt-paid-the-ransom.html 加拿大新斯科舍电力公司确认,其在四月份遭受勒索软件攻击。此次攻击导致客户的敏感信息被窃取,这些信息包括姓名、电话号码、电子邮件地址、邮寄地址和服务地址、项目参与信息、出生日期、账户历史等。该公司已在五月中旬披露了数据泄露事件,并向受影响的客户发出了通知。尽管该公司声称未在任何已知的暗网泄露网站上找到其信息,但已确认威胁行为者发布了被盗数
3、Silver远程控制木马源码泄露
https://hackread.com/silverrat-source-code-leaked-online-you-need-to-know/ Silver远程控制木马的完整源代码曾被短暂泄露至GitHub仓库“SilverRAT - FULL - Source - Code”,随后该仓库被平台迅速删除。尽管这个仓库的存活时间不足24小时,但其内容已被存档并在安全研究圈内传播。该恶意软件由与叙利亚有关联的组织Anonymous Arabic开发,首次出现于2023年,具备加密货币钱包监控、数据窃取、浏览器密码盗取以及隐藏远程控制等多项高危功能,并且通过恶意软件即服务模式在地下论坛流通。
4、GitHub MCP服务漏洞可导致私有仓库被未授权访问
https://gbhackers.com/critical-github-mcp-server-vulnerability/ GitHub MCP服务被发现存在严重安全漏洞,攻击者可利用恶意GitHub问题来操控用户代理,进而威胁私有仓库的数据安全。Invariant Labs通过自动化安全扫描器发现了这一漏洞,攻击者能够借此在公共仓库中创建恶意问题,并在其中嵌入提示注入有效载荷。当用户使用集成了GitHub MCP服务的工具查询公共仓库中的开放问题时,用户代理会获取到恶意内容,从而触发有毒代理流。这一流程会导致用户代理将私有仓库的数据拉入上下文,并通过在公共仓库中自动创建的拉取请求将数据
5、Everest勒索软件泄露可口可乐员工数据
https://hackread.com/everest-ransomware-leaks-coca-cola-employee-data/ 勒索软件组织Everest在暗网泄露了可口可乐公司中东地区959名员工的敏感数据,这些数据包括个人信息、行政结构信息以及内部HR信息等。泄露的信息涵盖员工全名、地址、家庭和婚姻证明文件、签证信息、护照信息、电话号码、银行账户详情、工资记录以及电子邮件地址等。此外,泄露的文件还包含可口可乐公司的内部管理账户结构以及组织层级信息。此次数据泄露增加了可口可乐公司的网络安全风险,相关数据可能被不法分子用于网络钓鱼、社会工程攻击等多种网络犯罪活动。同时,员工个人
6、美国病理实验室遭勒索攻击导致23.5万患者数据泄露
https://securityaffairs.com/178295/data-breach/marlboro-chesterfield-pathology-data-breach-impacted-235911-individuals.html 美国北卡罗来纳州的Marlboro - Chesterfield Pathology(MCP)病理实验室遭遇了SafePay勒索软件的攻击,此次攻击导致235,911名患者的敏感信息泄露。攻击者通过未经授权的方式访问实验室内部系统,窃取了包括患者姓名、地址、出生日期、医疗治疗记录以及含有保单号的健康保险数据等信息。
7、近百万比特量子计算机一周内可破解RSA加密算法
https://www.anquanke.com/post/id/307807 5月21日,谷歌量子人工智能部门(Google Quantum AI)在arXiv上发表以“How to factor 2048 bit RSA integers with less than a million noisy qubits ”(如何利用不足100万个含噪量子比特分解2048位RSA整数)为题的论文。研究表明,采用不足100万个含噪量子比特的量子计算机,可在不到一周时间内破解2048位RSA加密密钥(当前网络数据安全的主流标准),这一数值仅为作者本人在2019年预测的约2000万量子比特的1/20!
8、公安机关公布网络攻击来源为中国台湾民进党当局有关黑客组织
https://www.secrss.com/articles/79140 记者27日从广州市公安局天河区分局了解到,广州某科技公司遭境外黑客组织网络攻击事件发生后,公安机关立即组织技术团队对提取的攻击程序和系统日志进行技术分析和溯源追踪,初步查明该公司遭受的网络攻击系中国台湾民进党当局豢养的黑客组织所为。
9、Arm Mali GPU 漏洞导致MTE绕过并执行任意内核代码
https://gbhackers.com/arm-mali-gpu-vulnerability-enables-bypass-of-mte/ 一个关键漏洞,被标识为 CVE-2025-0072,已在 Arm Mali GPU 驱动程序中被发现,对使用 Command Stream Frontend (CSF) 架构的新款 Mali GPU 设备构成了重大威胁,包括 Google 的 Pixel 7、8 和 9 系列。
10、黑客利用 Craft CMS 漏洞注入挖矿恶意软件
https://gbhackers.com/hackers-exploit-craft-cms-vulnerability/ 威胁行为者利用了一个被标识为 CVE-2025-32432 的关键远程代码执行(RCE)漏洞,该漏洞存在于 Craft 内容管理系统(CMS)中。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月27日
1、Katz窃密木马攻击主流浏览器窃取登录信息
https://cybersecuritynews.com/katz-stealer-attacking-chrome-edge-brave-firefox/ 研究人员发现,新型恶意软件Katz窃密木马被曝针对Chrome、Edge、Brave及Firefox等主流浏览器发起攻击,通过多阶段感染链窃取用户密码、加密货币钱包数据及通信平台凭证。该恶意软件可绕过Chrome的应用绑定加密技术,直接从浏览器进程中提取解密密钥,导致敏感数据外泄。
2、假冒的DigiYatra应用程序攻击印度用户窃取财务数据
https://cybersecuritynews.com/fake-digiyatra-apps-attacking-indian-users/ 研究人员发现,攻击者利用假冒的DigiYatra品牌开展网络钓鱼活动,目标锁定印度的航空旅客。攻击者创建了一个名为digiyatra.in的欺骗性网站,该网站伪装成官方政府支持的数字旅行平台,表面上提供合法的航班预订服务,实则意图收集用户的敏感个人和财务信息。
3、Silent勒索组织将通过诈骗电话攻击律师事务所
https://hackread.com/fbi-silent-ransom-group-law-firms-via-scam-calls/ 美国联邦调查局(FBI)向美国律师事务所发出警告,一个名为Silent(简称SRG,也被称为Luna Moth或Chatty Spider)的勒索组织正在通过诈骗电话和网络钓鱼邮件,针对法律行业发起攻击。自2023年起,律师事务所已成为SRG的主要攻击目标。该集团通过发送钓鱼邮件以及进行社会工程学电话诱导,让受害者下载远程访问软件,进而获取公司系统的访问权限。一旦攻击成功,SRG便会发送赎金信,要求支付赎金,以防止数据泄露或数据被出售。
4、macOS热门Cursor编辑器存漏洞可导致敏感数据泄露
https://cybersecuritynews.com/vulnerability-in-popular-macos-app-cursor/ 研究人员发现,在macOS上流行的AI驱动代码编辑器Cursor存在一个严重的安全漏洞。该漏洞可让恶意软件绕过苹果内置的隐私保护措施,未经授权访问敏感用户数据。此漏洞利用了Cursor应用程序所使用的Electron框架中的一个配置错误,具体而言是启用了“RunAsNode”熔断器,这使得攻击者能够以应用程序现有的隐私权限执行任意代码。
5、Apache Tomcat漏洞可导致远程代码执行
https://cybersecuritynews.com/apache-tomcat-vulnerability-poc-released/ Apache Tomcat中的一个关键路径等价漏洞(CVE-2025-24813)在概念验证(PoC)代码公开发布后,已被恶意攻击者积极利用。该漏洞在特定服务器配置下,允许攻击者进行未经身份验证的远程代码执行,进而影响全球数百万基于Java的Web应用程序。此漏洞与Apache Tomcat内部处理文件路径的方式有关,尤其是服务器处理部分PUT请求以及会话文件持久化的方式。受该漏洞影响的Apache Tomcat版本范围广泛,具体包括11.0.0-M
6、GIMP 图像处理软件漏洞:恶意图片可导致代码执行
https://www.freebuf.com/articles/system/432455.html 开源图像处理软件 GIMP(GNU Image Manipulation Program)近日被发现存在严重安全漏洞,攻击者可通过精心构造的恶意图片文件触发缓冲区溢出(buffer overflow)漏洞,最终实现远程代码执行(RCE, Remote Code Execution)。
7、Mesh Wi-Fi 系统曝高危漏洞导致数据帧注入攻击
https://www.freebuf.com/articles/network/432454.html 研究人员发现主流Mesh Wi-Fi系统中存在一个关键设计缺陷(CVSS评分9.1),攻击者可利用该漏洞实施A-MSDU(聚合MAC服务数据单元)欺骗攻击,实现无线数据帧注入。目前已有概念验证(PoC)代码公开。
8、阿迪达斯遭遇数据泄露事件,客户信息遭黑客窃取
https://www.freebuf.com/articles/database/432409.html 德国运动用品制造商阿迪达斯近日遭遇数据泄露事件。据媒体报道,黑客通过攻击一家客户服务外包商获取了阿迪达斯的客户数据。2025年5月23日,阿迪达斯公司发表声明称:"我们已立即采取所有必要措施来控制事件影响。"该公司表示,此次攻击未涉及支付密码或信用卡等敏感财务信息,被盗数据主要为曾联系过客服热线的特定客户的联系方式。
9、GhostSpy:高级安卓远控木马窃取银行信息并绕过安全防护
https://www.freebuf.com/articles/endpoint/432439.html 网络安全公司CYFIRMA的研究人员发现了一款高度先进的安卓远程访问木马(RAT,Remote Access Trojan),名为GhostSpy。该恶意软件能在受害者毫无察觉的情况下实施全方位监控、数据窃取和设备控制,展现了移动端间谍软件的进化程度。它通过滥用系统级API、社会工程学和反卸载机制,在受感染设备上维持持久访问。
10、Ghostscript 漏洞导致加密 PDF 文件泄露明文密码
https://www.freebuf.com/articles/database/432311.html 广泛使用的 PDF 和 PostScript 处理器 Artifex Ghostscript 存在一个漏洞,可能无意中将明文密码嵌入加密的 PDF 文件中,从而使用户数据面临风险。该漏洞编号为 CVE-2025-48708,影响 10.05.1 之前的所有版本。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月26日
1、Cetus Protocol遭智能合约漏洞攻击损失2.23亿美元
https://therecord.media/decentralized-crypto-platform-cetus-theft 基于Sui区块链的去中心化交易所Cetus Protocol因智能合约存在漏洞而遭到黑客攻击,损失金额约达2.23亿美元。攻击者利用伪造的代币(例如BULLA)操纵价格曲线和储备计算方式,通过闪电交换手段抽空了流动性池中的真实资产。Cetus团队联合Sui基金会紧急采取行动,冻结了1.62亿美元被盗资金,但仍有约6100万美元被转移至以太坊网络,并兑换成ETH以掩盖资金踪迹。
2、谷歌紧急修复Chrome高危零日漏洞CVE-2025-4664
https://hackread.com/chrome-0-day-cve-2025-4664-windows-linux-browser-activity/ 谷歌紧急修复了Chrome浏览器的高危零日漏洞CVE-2025-4664。该漏洞会影响Windows、Linux及macOS平台上的Chrome和Chromium浏览器(版本低于136.0.7103.113),攻击者能够借助精心构造的HTML页面窃取跨源敏感数据(例如OAuth令牌、会话ID),并且该漏洞已被确认被用于实际攻击。攻击者会利用Link头部强制设置referrer-policy:unsafe-url,借助第三方图片资源捕获
3、伪造Ledger应用针对macOS用户恶意攻击窃加密资产
https://www.bleepingcomputer.com/news/security/hackers-use-fake-ledger-apps-to-steal-mac-users-seed-phrases/ 网络安全公司Moonlock Lab披露了多起针对macOS用户的恶意攻击活动。攻击者通过伪造Ledger Live应用(例如,借助Odyssey和AMOS等恶意软件)诱导用户输入24词种子短语或恢复短语,进而窃取加密资产。种子短语或恢复短语是一组由12个或24个随机单词组成的字符串,用户可在钱包丢失或忘记访问密码时,使用它来恢复数字资产。此类攻击自2024年8月开始活跃,至今
4、TikTok视频滥用AI技术传播窃密木马
https://www.bleepingcomputer.com/news/security/tiktok-videos-now-push-infostealer-malware-in-clickfix-attacks/ 黑客在TikTok平台上发布由AI生成的虚假教程视频,诱导用户执行PowerShell命令,进而下载Vidar和StealC窃密木马。攻击者将这些虚假视频伪装成软件激活指南,利用TikTok的算法扩大传播范围,其中单条视频的观看量就超过了50万次。恶意脚本通过第三方域名进行加载,能够窃取用户的浏览器凭证、加密货币钱包信息以及多因素认证数据,并通过修改注册表来实现对用户设备的
5、欧洲刑警组织打击全球勒索软件网络
https://thehackernews.com/2025/05/300-servers-and-35m-seized-as-europol.html 欧洲刑警组织主导的“终局行动”有了最新进展。该行动针对全球范围内的勒索软件网络展开,共查封约300台服务器、650个域名,发布了针对20个目标的逮捕令,并在行动周期间扣押了价值350万欧元的加密货币。此次行动重点打击了新的恶意软件变种以及去年打击后又重新出现的组织,例如Bumblebee、Lactrodectus、QakBot等。德国联邦刑事警察局已对37名身份已确定的行动者发起刑事诉讼。此外,该行动还导致270名暗网供应商和买家在十个国家
6、全球执法联合行动“SpecTor”逮捕270名暗网犯罪者
https://www.bleepingcomputer.com/news/security/police-arrests-270-dark-web-vendors-buyers-in-global-crackdown/ 由欧洲刑警组织(Europol)协调的跨国执法行动“SpecTor”在全球范围内展开,旨在针对暗网毒品交易、武器贩卖以及数据犯罪展开打击。该行动覆盖了美国、德国、法国等34个国家,共逮捕了270名暗网市场(如AlphaBay、Hydra)的供应商与买家,查获了价值5.3亿美元的加密货币与现金、8.2吨毒品以及97件武器,并关闭了12个暗网交易平台。
7、Bumblebee加载器通过SEO投毒和域名仿冒手段传播
https://www.bleepingcomputer.com/news/security/bumblebee-malware-distributed-via-zenmap-winmrt-seo-poisoning/ 安全研究人员发现,Bumblebee恶意软件正通过SEO投毒和域名仿冒手段大规模传播。攻击者注册了与合法软件高度相似的域名,并利用搜索引擎优化技术,使这些域名在Google和Bing的搜索结果中排名靠前,从而诱导用户下载含有恶意代码的安装包。在本次攻击活动中,攻击者仿冒了Zenmap、WinMTR及Milestone XProtect等工具的下载页面,提供经过篡改的MSI安装
8、Zimbra界面存在XSS漏洞可影响12.9万台服务器
https://hackread.com/zimbra-cve-2024-27443-xss-flaw-hit-sednit-servers/ Zimbra Collaboration Suite(ZCS)的CalendarInvite功能存在XSS漏洞(CVE-2024-27443)。由于系统未正确检查邮件日历标题中的传入信息,攻击者能够将恶意代码嵌入到特制邮件中。当用户使用经典Zimbra界面打开这类邮件时,恶意代码会自动运行,进而访问用户会话,危及账户安全。该漏洞影响ZCS 9.0(补丁1 - 38)和10.0(最高至10.0.6)版本。截至2025年5月22日,Censys发现全球存
9、NETGEAR路由器漏洞允许攻击者获取管理员访问权限
https://gbhackers.com/netgear-router-flaw 研究人员发现,NETGEAR DGND3700v2无线路由器存在严重的认证绕过漏洞(CVE-2025-4978)。该漏洞存在于路由器固件的隐藏后门机制中,影响版本为V1.1.00.15_1.00.15NA。攻击者通过访问未认证的端点“/BRS_top.html”,能够将内部标志“start_in_blankstate”设置为1,从而绕过HTTP基本认证检查,获得路由器管理界面的完全访问权限,可访问的内容包括DNS设置、防火墙配置以及Wi-Fi凭据等。NETGEAR已发布补丁固件V1.1.00.26来解决该问题
10、超1.84亿条账号密码泄露,涉苹果、谷歌等众多知名公司
https://www.secrss.com/articles/79028 今年5月初,安全研究员Jeremiah Fowler发现了一个在公网暴露的Elastic数据库,里边包含184162718条记录,总数据量超过47GB。涉及苹果、脸书和谷歌等平台的登录信息,以及多个国家政府相关的账号凭证。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月23日
1、3AM勒索组织使用新型攻击链勒索企业
https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/ Sophos披露,3AM勒索组织正利用一种新型攻击链渗透企业网络。攻击者通过语音钓鱼(Vishing)技术,伪装成IT支持人员,诱导目标员工启用微软的Quick Assist工具,进而远程控制其设备。此外,此次攻击还利用虚拟机(VM)作为跳板来隐藏恶意活动,以此规避安全检测。最终,3AM勒索软件
2、知名网络安全博客KrebsOnSecurity遭6.3Tbps DDoS攻击
https://hackread.com/krebsonsecurity-6-3-tbps-ddos-attack-aisuru-botnet/ 知名网络安全博客KrebsOnSecurity遭受了峰值达6.3Tbps的分布式拒绝服务(DDoS)攻击。。此次攻击由新型物联网僵尸网络Aisuru发起,该僵尸网络利用了全球数十万台被黑的路由器、数字录像机(DVR)等设备,通过UDP洪水攻击随机端口,每秒发送高达5.85亿个数据包。尽管攻击仅持续了45秒,但并未造成服务中断。Aisuru自2024年开始活跃,近期还整合了Cambium Networks路由器的零日漏洞,并通过Telegram以15
3、FBI和Europol联合打击Lumma Stealer僵尸网络
https://thehackernews.com/2025/05/fbi-and-europol-disrupt-lumma-stealer.html FBI和Europol携手多家私营企业,在一次行动中打击了Lumma Stealer僵尸网络。Lumma Stealer僵尸网络自2022年底开始活跃,其传播途径多样,包括钓鱼邮件、恶意广告等,主要窃取用户的登录凭证、浏览器数据等敏感信息。在此次行动中,执法部门与私营企业合作,查封了构成Lumma Stealer僵尸网络基础设施骨干的2300个域名,其中包含其用于部署恶意软件的五大登录面板,成功切断了恶意软件与受害者之间的通信,从而破坏了其
4、未修补的Versa Concerto漏洞可逃脱Docker并入侵主机
https://thehackernews.com/2025/05/unpatched-versa-concerto-flaws-let.html 安全研究人员发现,Versa Concerto平台存在多个严重漏洞,具体包括特权提升与Docker容器逃逸漏洞(漏洞编号为CVE-2025-34025,CVSS评分为8.6)、认证绕过漏洞(漏洞编号为CVE-2025-34026,CVSS评分为9.2)以及另一个由认证绕过进而导致远程代码执行的漏洞(漏洞编号为CVE-2025-34027,CVSS评分为10.0)。攻击者一旦利用这些漏洞,便能够完全控制应用程序以及底层主机系统。其中,CVE-202
5、Grafana修复CVE-2025-4123高危XSS漏洞
https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/ Grafana发布了12.0.0+security-01版本以及所有受支持版本的安全修补程序,以修复CVE-2025-4123高危跨站脚本(XSS)漏洞。此漏洞源于客户端路径遍历与开放重定向问题,攻击者可借此将用户重定向至恶意网站,并通过自定义前端插件执行任意JavaScript代码。与众多XSS漏洞不同的是,该漏洞的利用无需编辑权限。若Grafana启用了匿名访问功能,攻击的实施
6、Windows 10紧急更新修复了MIDI恢复问题
https://www.anquanke.com/post/id/307671 微软已经发布了带外更新,以修复导致Windows 10系统在安装2025年5月安全更新后启动BitLocker恢复的已知问题。要修复卡在 BitLocker 恢复提示符下的系统,请安装今天的 KB5061768 紧急更新,仅通过 Microsoft 更新目录提供。这也是一个累积更新,这意味着在部署影响设备的 BitLocker 恢复问题修复之前,您无需安装任何先前的更新。
7、Docker容器遭新型自复制Dero挖矿病毒攻击
https://www.freebuf.com/articles/432019.html 卡巴斯基实验室发现一起新型恶意软件攻击活动,该攻击将暴露的Docker容器转化为可自我复制的Dero加密货币挖矿机,且无需依赖命令控制服务器(C2)即可运行。
8、微软联合执法机构捣毁全球Lumma窃密软件网络
https://www.freebuf.com/news/432022.html 微软在国际执法机构的支持下开展全球打击行动,成功瓦解了一个从事大规模凭证窃取、金融欺诈和勒索软件攻击的恶意软件分发网络。此次行动针对的是Lumma Stealer(拉玛窃密软件),这款信息窃取类恶意软件被数百名威胁行为者用于从近40万台受感染的Windows设备中窃取敏感信息。这项协同行动由微软数字犯罪调查部门(DCU)、美国司法部、欧洲刑警组织以及私营部门的网络安全合作伙伴共同参与。各方联手查封了2300多个域名,彻底摧毁了Lumma的基础设施,切断了攻击者与受害者之间的联系。
9、马莎百货因勒索攻击运营中断数月,预计损失近30亿元
https://www.secrss.com/articles/78986 马莎百货披露,4月遭遇的勒索软件攻击致使其在线业务持续中断数月,预计7月才能完全恢复;受该事件受冲击,公司市值已蒸发约百亿元,预估损失约29亿元,公司将通过成本控制措施尽量降低损失金额。
10、TP-Link Archer AX50 路由器存在远程获取root权限漏洞
https://securityonline.info/poc-available-tp-link-archer-ax50-flaw-allows-remote-root-access/ TP-Link Archer AX50路由器存在高危漏洞(CVE-2025-40634),攻击者可远程执行任意代码,CVSS评分9.2。漏洞源于固件组件conn-indicator的缓冲区溢出,影响1.0.15之前版本。建议立即升级至修复版本1.0.15。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月22日
1、Hazy Hawk组织利用DNS记录劫持域名实施攻击
https://thehackernews.com/2025/05/hazy-hawk-exploits-dns-records-to.html 研究人员发现,一个名为HazyHawk的攻击组织利用DNS记录中的错误配置,劫持了包括美国疾病控制与预防中心在内的众多组织的云资源,例如亚马逊S3存储桶和微软Azure端点。劫持这些资源后,HazyHawk利用这些被劫持的域名诱导用户访问包含诈骗信息和恶意软件的网址。此次攻击涉及克隆合法网站内容以及利用流量分发系统等手段。
2、研究人员发现谷歌商店百款假冒Chrome扩展窃取用户数据
https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html 研究人员发现,谷歌官方商店中存在100余款恶意Chrome扩展程序,这些扩展程序伪装成广告拦截器、VPN工具,累计下载量已超过200万次。它们通过申请“读写浏览器数据”的权限,窃取用户的密码、加密货币钱包信息及社交媒体登录凭证,还会劫持搜索引擎结果,向用户推送钓鱼链接。攻击者利用混淆代码来绕过谷歌的审查机制,而且部分扩展程序与俄语黑客论坛存在关联。
3、SK Telecom称恶意软件入侵持续3年导致2700万用户数据泄露
https://www.bleepingcomputer.com/news/security/sk-telecom-says-malware-breach-lasted-3-years-impacted-27-million-numbers 韩国最大电信运营商SK Telecom披露了一起持续近三年的恶意软件攻击事件。该攻击始于2022年6月,黑客通过植入Web Shell以及25种恶意软件,成功渗透了23台服务器,并窃取了2700万用户的USIM数据。这些数据包括国际移动用户识别码(IMSI)、SIM认证密钥以及用户的短信和通讯录信息,此举导致SIM交换攻击的风险急剧增加。SK Telec
4、攻击者使用虚假的Facebook广告传播远程控制木马
https://thehackernews.com/2025/05/fake-kling-ai-facebook-ads-deliver-rat.html 研究人员发现,网络上出现了一种利用假冒Facebook页面和赞助广告诱导用户前往假冒网站下载恶意软件的攻击活动。该活动伪装成Kling AI平台,实际上却在分发远程控制木马,这可能导致2200万潜在受害者面临安全风险。在此次攻击中,恶意文件被伪装成图片或视频文件,但实际上是带有双扩展名和韩文填充字符的恶意Windows可执行文件,这些文件以ZIP压缩包的形式存在,并充当加载程序,用于启动远程访问木马和窃取程序。在与命令控制服务器建立联系后
5、vLLM曝高危远程代码执行漏洞,AI服务器面临攻击风险
https://www.anquanke.com/post/id/307614 关键漏洞(CVE-2025-47277)已在vLM中披露,vLM是大型语言模型(LLM)的高性能推理和服务引擎。该漏洞通过PyNcclPipe通信服务中不安全的反序列化错误实现远程代码执行(RCE),并且已分配了9.8的CVSS分数。
6、Lexmark打印机存在关键远程代码执行漏洞
https://www.anquanke.com/post/id/307605 Lexmark发布了针对关键漏洞的安全公告——CVE-2025-1127——影响其各种打印机型号。该漏洞是Lexmark设备嵌入式Web服务器中Path Traversal和Concurrent Execution漏洞的组合,可能允许攻击者远程执行任意代码。
7、微软宣布将后量子密码功能集成到Windows Insider和Linux系统
https://www.secrss.com/articles/78957 5月20日,微软宣布了后量子密码工作(PQC)的下一个重要里程碑:微软将为Windows Insider用户(Canary频道版本27852及更高版本)和Linux系统(SymCrypt-OpenSSL 1.9.0版本)提供后量子密码功能。
8、俄罗斯全国法院案件管理系统超三成档案遭恶意擦除
https://www.secrss.com/articles/78933 俄罗斯联邦审计院报告指出,一次针对国家案件管理系统和电子法院文件系统的网络攻击,导致约三分之一的案件档案遭到清除。这套名为“Pravosudiye”(俄语意为“正义”)的系统于去年10月遭遇黑客入侵,系统停摆长达一个月,严重影响了俄罗斯法院网站、通信网络及电子邮件服务的正常运作。
9、智谱清言、Kimi等APP被通报非法收集使用个人信息
https://www.secrss.com/articles/78911 5月20日,国家网络与信息安全信息通报中心通报了35款违法违规收集使用个人信息的移动应用,智谱清言、Kimi、猫箱、Wow等多款热门AI应用名列其中。
10、LockBit内部数据泄露:揭秘勒索软件联盟的运作内幕
https://www.freebuf.com/articles/es/431810.html 作为当前最活跃的勒索软件组织之一,LockBit上周遭遇数据泄露事件,其内部运作细节被公之于众。通过Tor网络上的洋葱站点短暂泄露的文件,为研究人员和安全专家提供了难得的机会,得以窥见LockBit如何运作其勒索软件即服务(RaaS)业务。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

