研究人员最新发现一种名为LameHug的新型恶意软件正在使用大型语言模型（LLM）生成要在受感染的Windows系统上执行的命令。机构收到有关从受感染帐户发送的恶意电子邮件中发现了该软件。在观察到的攻击中LameHug的任务是执行系统侦察和数据盗窃命令，这些命令是通过向 LLM 发出的提示动态生成的。LameHug 使用这些 AI 生成的命令来收集系统信息并将其保存到文本文件，同时搜索关键Windows 目录上的文档，并使用SFTP或HTTP POST请求泄露数据。组织需要对电子邮件保持高度警惕

VMware近日修复了VMware ESXi、Workstation、Fusion和Tools中的 4 个漏洞。其中三个已修补的缺陷的严重性等级为 9.3，因为它们允许在来宾虚拟机中运行的程序在主机上执行命令。这些缺陷被跟踪为 CVE-2025-41236、CVE-2025-41237 和 CVE-2025-41238。第四个漏被跟踪为 CVE-2025-41239（7.1），是信息披露漏洞。VMware目前没有提供任何解决方法，修复这些漏洞的唯一方法是安装新版本的软件。

安全研究团队近日发现了Cisco 的 Unified Intelligence Center （CUIC） 基于 Web 的管理界面中的一个严重漏洞，允许具有报告设计者权限的经过身份验证的远程攻击者将任意文件上传到受影响的系统。该漏洞被跟踪为 CVE-2025-20274（6.3），源于对文件上传的服务器端验证不足，使攻击者能够在易受攻击的设备上存储恶意负载并在根级别执行任意命令。目前官方已发布CUIC版本12.5（1）SU ES05、12.6（2） ES05及更高版本的软件更新，建议尽快完成更新。

安全研究人员近期发现Oracle Cloud Infrastructure（OCI）代码编辑器中的一个关键远程代码执行（RCE）漏洞，允许攻击者通过静默方式劫持受害者的Cloud Shell环境。该漏洞源于Oracle Code Editor与Cloud Shell的深度集成，虽然这种紧密耦合旨在提供无缝体验，但攻击者也可以创建恶意HTML页面，当经过身份验证的OCI用户访问这些页面时，这些页面会在受害者不知情的情况下自动将恶意文件上传到受害者的Cloud Shell环境。Oracle建议通过实施额外的安全措施来应对漏洞，目前该漏洞已经得到修复。

据外媒近日报道，模糊了加密劫持和勒索软件之间界限的H2Miner僵尸网络，其最新活动利用廉价的虚拟专用服务器（VPS）和大量商品恶意软件同时危害Linux主机、Windows工作站和容器工作负载。通过链接云感知shell脚本、交叉编译的二进制文件和live-off-the-land命令，运营商可以迅速从最初的立足点在防御者注意到GPU负载激增之前转向门罗币挖矿。加上频繁的更新程序脚本，即使在部分驱逐后，僵尸网络也能让矿工重生。因此组织需要格外警惕。

据外媒最新报道，美国阿尔伯马尔县遭受了勒索软件攻击，该攻击泄露了该县居民、政府雇员和学校工作人员的个人信息。网络犯罪活动成功渗透到该县的网络基础设施，此次攻击破坏了市政网络安全防御，黑客未经授权访问了包含个人身份信息的敏感数据库。研究人员指出，攻击媒介利用了该县网络边界的漏洞，允许威胁行为者在多个管理域中部署其有效载荷展开攻击。作为预防措施，阿尔伯马尔县与身份风险缓解公司Kroll合作，为受影响的个人提供免费身份监控服务。

据媒体近日报道，香港的金融业正在应对新一轮的 SquidLoader 样本攻击，这些样本能轻易突破常规防御且不被发现。该加载程序通过鱼叉式网络钓鱼电子邮件发送，电子邮件以简体中文编写，并带有受密码保护的RAR附件，伪装成合法的文件。一旦用户提取存档并双击看似 Microsoft Word 图标的内容，执行就会转向一个设计类似于AMD的 恶意PE文件，从而悄悄地入侵。专家建议对未知来源的电子邮件保持警惕。

网络安全研究人员最近发现了复杂的恶意软件活动，该活动通过巧妙的基于ZIP存档的攻击机制针对WordPress网站。一旦获得访问权限，攻击者就会注入恶意代码，利用PHP的包装器功能来执行隐藏的有效负载，同时将访问者重定向到恶意域。该恶意软件的主要目标远不止简单的重定向方案。它通过未经授权的内容注入、站点地图操纵以及创建垃圾邮件页面来提升恶意网站的搜索结果排名，从而对搜索引擎排名发起全面攻击，因此需要格外警惕。

据外媒近期报道，Episource 数据泄露事件导致全美540万患者数据泄露。调查显示，攻击者能够从 Episource 系统中查看和复制各种类型的患者和会员数据，并且在公告中提及此次泄露是由勒索软件引起的。被盗信息范围广泛，包括敏感的个人和健康信息，包括姓名、邮政地址、电子邮件地址和电话号码等基本联系信息。目前该公司已采取措施加强其计算机系统，并与执法部门合作调查此事件。同时Episource将通过 IDX 提供两年的免费信用监控和身份盗窃保护服务。

思科最近披露了其身份服务引擎(ISE)和ISE被动身份连接器(ISE-PIC)中的多个严重安全漏洞，这些漏洞可能允许未经身份验证的远程攻击者在受影响的系统上以root权限执行任意命令。这些漏洞的编号分别为 CVE-2025-20281（10）、CVE-2025-20282（10）和 CVE-2025-20337（10），风险级别最高。这三个漏洞源于思科 ISE 和 ISE-PIC 系统中特定 API 的输入验证不足。这些缺陷不需要任何身份验证，攻击者不需要有效的凭证即可利用它们。思科已发布软件更新以修复所有三个漏洞，建议组织尽快完成更新。

安全研究人员近期发现威胁行为者一直在部署一种名为OVERSTEP的恶意软件，该恶意软件会修改已完全修补但不再受支持的SonicWall Secure Mobile Access设备的启动过程。该后门是一个用户模式的rootkit，允许黑客隐藏恶意组件、保持对设备的持续访问并窃取敏感凭据。黑客的目标是寿命终止(EoL)的SonicWall SMA 100系列设备，这些设备可提供对本地网络、云端或混合数据中心中的企业资源的安全远程访问。据观察，威胁行为者已经在目标设备上拥有本地管理员凭据，组织应提高警惕。

英国零售商Co-op最近证实，今年4月的大规模网络攻击导致其系统瘫痪并造成其杂货店食品短缺，650万会员的个人数据被盗。虽然此次攻击并未泄露任何财务或交易信息，但其成员的联系信息却被盗。此次信息泄露据推测可能与参与玛莎百货的攻击者有关。

据外媒近日报道，全球各地的企业和个人收件箱中出现了新一波承诺提供红牛“社交媒体经理”职位的网络钓鱼电子邮件。这些消息伪装成个性化邀请，来自官方地址，并通过了 SPF、DKIM和DMARC检查，因此传统过滤器没有理由不信任它们。但实则为虚假电子邮件，当受害者点击邮件里面的链接时，受害者会被重定向到伪造的 Facebook 登录页面，其中凭证会窃取。因此求职者需要提高警惕。

近期研究人员在博通的赛门铁克端点管理套件中发现了一个严重的安全漏洞CVE-2025-5333（9.5），该漏洞允许未经身份验证的远程代码执行，影响广泛部署的端点管理解决方案的多个版本。该漏洞源于通过将TypeFilterLevel设置为Full 的 BinaryServerFormatterSinkProvider对.NET对象进行不安全的反序列化，这使得攻击者可以制作恶意的 .NET 对象，当目标服务器处理这些对象时，会触发任意代码执行。专家建议确保防火墙阻止通知服务器上的端口4011，从而有效防止远程攻击。

安全研究人员近期发现Git CLI中的一个严重漏洞允许在Linux和macOS系统上进行任意文件写入，漏洞编号为CVE-2025-48384（8.1），当用户执行某些命令时，攻击者可以通过恶意制作的存储库实现远程代码执行。该漏洞源于Git读取和写入包含控制字符的配置值的方式存在严重不匹配。组织必须立即使用各自的包管理器将受影响的 Git CLI 安装升级到修补版本。若无法升级，建议macOS上的GitHub Desktop用户应暂时避免使用客户端进行 Git 操作，而是使用修补后的Git CLI进行存储库管理。

安全研究人员近期新披露Apache Tomcat的Coyote引擎中的一个缺陷，编号为 CVE-2025-53506（6.3）。通过该漏洞反复启动永不关闭的流，远程攻击者可以耗尽服务器的线程池并迫使容器进入长时间的拒绝服务状态，即使机密性和完整性不受影响，同时防火墙不会察觉异常。Apache 已发布修复版本 11.0.9、10.1.43 和 9.0.107，建议尽快完成更新。

谷歌近期发布了Chrome的紧急安全更新，修复了攻击者在实际攻击中积极利用的一个严重零日漏洞。该公司证实CVE-2025-6558正被威胁行为者利用，促使其立即在所有受支持的平台上部署补丁。该漏洞源于ANGLE和GPU组件中对不受信任输入的错误验证。除此之外，还修复Chrome JavaScript引擎V8中的一个整数溢出漏洞和涉及WebRTC功能中的释放后使用的漏洞。谷歌建议用户尽快完成安全更新。

研究人员在近期证明 Nvidia A6000 GPU 可能被类似攻击成功攻破，之后 Nvidia 向应用程序开发商、计算机制造商发出安全提醒，称图形处理器中的现代内存芯片可能容易受Rowhammer漏洞的攻击。攻击者可以利用该漏洞获得存储在内存单元中的特定受害者机密信息，并更改内存中的值。此类攻击不仅仅会毒害数据，还可能干扰AI数据模型。目前NVIDIA建议用户遵循现有的DRAM缓解措施来遵循安全最佳实践，以防止或减少Rowhammer攻击的可能性。

安全研究人员最近发现Konfety Android恶意软件的新变种出现了，它具有畸形的 ZIP 结构以及其他混淆方法，可以使其逃避分析和检测。Konfety伪装成一个合法的应用程序，模仿Google Play上提供的无害产品。该恶意软件的功能包括将用户重定向到恶意网站、推送不需要的应用程序安装以及虚假的浏览器通知，并窃取已安装的应用程序、网络配置和系统信息等信息。研究人员建议避免安装来自第三方Android应用商店APK文件，并且只信任来自您熟悉的发布商的软件。

CISA于本月10日发布了13份关键工业控制系统(ICS)警告，强调了影响主要工业自动化供应商的重大漏洞。这一全面的安全警报涵盖了针对重要基础设施组件的多种攻击媒介，同时揭露了西门子、台达电子、研华、KUNBUS 和 IDEC 等知名供应商生产的系统中存在广泛的安全漏洞。受影响的产品涵盖各种工业应用，从西门子的 SINEC 网络管理系统到专用铁路通信协议，表明工业运营面临的潜在威胁范围广泛，各大供应商应提高警惕。