近日，网络安全研究人员披露一起利用Confluence关键漏洞（CVE-2023-22527，CVSS 10.0）的复杂勒索攻击事件。攻击者在初始入侵后仅两小时内就完成全网渗透，最终部署LockBit Black勒索软件。攻击者通过HTTP POST请求向 confluence端点注入恶意OGNL表达式，利用服务器端模板注入漏洞实现未授权远程代码执行，使用Python脚本执行初始侦察命令，并通过带有 "virus "关键词的Windows搜索操作禁用Defender防护，部署AnyDesk实现持久化访问，最后清除系统日志删除痕迹，利用PDQ Deploy全网部署勒索脚本。

据Cybersecuritynews消息，一场利用 OpenAI 的 ChatGPT 品牌的复杂钓鱼行动瞄准北美和欧洲超 1.2 万名用户。该行动冒充 ChatGPT 订阅续费通知，窃取登录凭证和支付细节，利用平台对 GPT-4 API 和 ChatGPT Plus 服务的限制访问模式。钓鱼邮件采用多层手段，包括制造紧迫感、品牌冒充和域名欺骗。邮件有诸多异常，如使用同形异义域名、Base64 混淆、会话 Cookie 注入等。

据Cybersecuritynews消息，去中心化金融协议 @0xinfini 遭遇严重安全漏洞，价值 4950 万美元的 USDC 被盗，成为年度最大规模稳定币被盗事件之一。黑客在 75 分钟内完成多阶段洗钱操作，将被盗 USDC 换成 DAI，再购入以太坊并转移资金。此次事件导致市场波动，USDC 短暂脱钩，DAI 需求上升，ETH 价格震荡，交易量剧增。黑客利用跨去中心化交易所流动性，还借助隐私池躲避追踪。该事件暴露了跨协议抵押的漏洞，引发了对稳定币发行方监管的思考。

据Cybersecuritynews消息，因英国政府援引监控法要求访问加密的 iCloud 数据，苹果为英国用户禁用了其高级数据保护（ADP）功能，于 2025 年 2 月 21 日生效。ADP 自 2022 年 12 月起在英国作为可选服务，采用椭圆曲线密码学加密数据。无 ADP 后，iCloud 数据受标准 AES-256 加密但苹果可依法律令访问。现有 ADP 用户将于 2025 年第二季度逐步失去该功能。

据Cybersecuritynews消息，安全研究人员发现 Eight Sleep 联网智能床存在漏洞，攻击者可借此渗透家庭网络并控制连接设备。专家 Dylan Ayrey 称，这款价值 2000 美元的调温睡眠系统有 SSH 后门和暴露的 AWS 访问密钥，成为横向网络攻击的网关。其 Pod 系统使用基于 Linux 的控制器，运行过时固件且保持 SSH 连接。分析发现工程人员可能有设备 root 权限，存在未认证隧道、私钥存储不当等问题。漏洞使攻击者能监控睡眠、禁用警报等，暴露的 AWS 密钥可让工程师远程运行代码。

据Cybersecuritynews消息，名为 “SpyLend” 的复杂安卓恶意软件活动潜入谷歌应用商店，伪装成金融实用程序应用针对印度用户。其伪装成 “Finance Simplified”，自 2025 年 2 月下载量超 10 万次。CYFIRMA 公司揭露，该应用先扮计算器，后针对印度用户加载非法贷款应用，获取多种权限，进行数据窃取、骚扰和敲诈。其利用 WebView API 和 C2 服务器，每 3 秒获取剪贴板数据，还窃取位置、应用等信息。CYFIRMA 提供检测规则，建议用户和企业采取防范措施。

据Cybersecuritynews消息，网络安全公司 Infrawatch 报告称，名为 GhostSocks 的新型恶意软件利用 SOCKS5 反向连接代理绕过反欺诈机制和地理限制。该基于 Golang 的恶意软件 2023 年 10 月在俄语论坛上首次亮相，现扩展至英语网络犯罪社区，以恶意软件即服务（MaaS）模式与 LummaC2 信息窃取器一同分发。付费 150 美元比特币可获取定制版。其主要功能是建立 SOCKS5 代理，掩盖恶意活动来源。还具备后门模块，Infrawatch 可用 YARA 规则检测，建议组织监控相关指标并阻断特定流量。

据Cybersecuritynews消息，网络安全研究人员发现一场复杂的网络犯罪活动，名为 ScreamedJungle 的威胁行为者自 2024 年 5 月起，利用过时 Magento 电商平台漏洞，注入恶意脚本窃取用户浏览器指纹。浏览器指纹包含诸多设备特征，攻击者借此模仿合法用户活动，绕过如多因素认证等安全防护，实施自动化攻击。仅九个意大利电商网站每月就有超 20 万用户信息暴露，全球或已被盗取数百万指纹。建议企业及时修补漏洞，用户使用隐私浏览器和反指纹扩展防范。

近日，CISA 与 FBI 联合发布公告，深入揭露了 Ghost 勒索软件令人担忧的运作方式。Ghost 勒索软件的攻击行动十分隐蔽且高效。其攻击者会先展开广泛的情报收集，通过各种网络扫描工具和技术，对潜在目标进行细致探测，精准定位系统中存在的漏洞。一旦发现可利用的漏洞，便迅速发动攻击，利用精心构造的恶意代码，突破目标系统的防线。成功进入组织内部网络后，它不会立刻暴露行踪，而是悄悄潜伏，进一步挖掘关键数据存储位置。在确认目标数据位置后，Ghost 便开始疯狂加密。

据scworld消息，安全合规自动化公司 Drata 以 2.5 亿美元收购了专注软件安全审查的初创公司 SafeBase。SafeBase 成立于 2020 年，借助经安全文档培训的人工智能，助力组织简化安全调查问卷，其平台能自动响应、实施基于规则的客户访问并提供安全态势分析，拥有超 1000 家客户，此前已获 5310 万美元融资。 Drata 自 2020 年推出后发展迅猛，面对企业委托第三方敏感数据增多及监管压力增大，其欲强化信任管理生态系统。此次收购前，Drata 已收购 Harmonize.io 和 Oak9，持续拓展合规与安全解决方案。

据securitybrief消息，Microsoft 在 2025 年 2 月的 Patch Tuesday 版本中修复了 56 个漏洞，包括 4 个零日漏洞，其中 2 个正被广泛利用。修复的漏洞类型涵盖远程代码执行、权限提升、安全功能绕过等。例如，CVE-2025-21418 是 Windows 辅助函数驱动程序中的漏洞，可授予 SYSTEM 权限；CVE-2025-21391 会影响 Windows 存储服务，能让攻击者删除系统目标文件。此外，SQL Server 2019 将于 2 月 28 日从主要支持过渡到扩展支持。

OPSWAT 在博客中披露开源 Mongoose ODM 库的两个关键漏洞（CVE-2024-53900 和 CVE-2025-23061）及概念验证（PoC）利用代码。它们的CVSS 3 评分分别为9.1和9.0。 CVE-2024-53900于2024年11月发现并修复，可通过搜索注入在 Node.js 应用服务器上实现远程代码执行（RCE）；CVE-2025-23061是对其补丁的绕过，上月修复，稍改利用代码即可实现 RCE。 这两个漏洞都与 操 作 符 有 关 ， 攻 击 者 控 制 该 操作符后的输入 ， 可使恶意代码在应用服务器本地执行 ，此漏洞在 8.9.5 版本修复，OPSWAT 建议开发者升级到最新版本。

据CISA消息，，CISA 基于主动利用的证据，在已知已利用漏洞目录中新增 CVE-2025-24989，即 Microsoft Power Pages 访问控制不当漏洞。这类漏洞常被恶意网络行为者利用，对联邦企业风险重大。 约束性操作指令 BOD 22-01 建立此目录，它是对联邦企业构成重大风险的 CVE 动态列表，要求联邦民事行政部门机构限期修复漏洞，保障网络安全。虽然 BOD 22-01 仅针对联邦民事行政部门机构，但 CISA 强烈建议所有组织在漏洞管理工作中，优先及时修复目录中的漏洞，降低网络攻击风险。

据DarkReading消息，谷歌公布实施美国 NIST 新后量子密码学（PQC）标准的路线图，并为云密钥管理服务（Cloud KMS）增加抗量子数字签名支持。新 PQC 功能已作为基于软件的客户管理加密密钥（CMEK）进入预览阶段。 NIST 去年 8 月发布首批三个 PQC 标准，谷歌初始版本实施 FIPS 204 和 FIPS 205 算法，今年晚些时候将支持 FIPS 203。结合使用这些算法可助组织解决 PKI 证书迁移问题。

据Cybersecuritynews消息，CL0P 勒索软件组织利用 Cleo 集成软件的零日漏洞（CVE-2024-50623），在 2025 年 2 月对电信和医疗行业发起大规模攻击，仅当月就入侵超 80 家机构，已泄露超 22TB 数据，包括大量患者信息、5G 网络拓扑图等。美国 CISA 敦促将 Cleo 软件升级到 5.8.0.21 版本，网络防御者需监控相关可疑命令和流量。CL0P 的攻击手段类似国家支持的攻击，凸显关键基础设施互联存在的风险。

据Cybersecuritynews消息，Darcula 组织推出的 “darcula-suite 3.0” 是一个网络钓鱼即服务平台，能让犯罪分子几分钟内自动生成假冒任何品牌的网站。该平台利用无头浏览器自动化和云基础设施，通过 Puppeteer 风格编排浏览器克隆网站资产和结构，无需手动编码就能复制各类页面。

据Cybersecuritynews消息，一种名为 ACRStealer 的恶意软件正利用谷歌文档实施攻击。它借助谷歌基础设施的可信声誉，将其当作命令与控制（C2）服务器，通过在谷歌云端硬盘分享的文档中嵌入恶意脚本，窃取用户登录凭证，已导致超 12000 个企业账户遭殃。 该恶意软件滥用谷歌 OAuth 2.0 框架，用特定脚本获取并执行恶意命令，还把窃取数据伪装成正常流量经谷歌表单传输。目前，谷歌已撤销 43 个相关文档的访问权限。企业安全团队需监控谷歌 Drive API 活动，实施多因素认证等措施。

据Cybersecuritynews消息，自 2024 年末起 “盐台风” 组织对美国电信基础设施发起复杂网络间谍活动。他们主要通过窃取凭证入侵，至少一次利用了 Cisco 的 CVE - 2018 - 0171 漏洞。在一些网络中，攻击者凭借高级的 LOTL 技术持续访问超三年，还利用窃取凭证和设备配置错误在运营商系统间渗透。 该组织用 JumbledPath 工具加密数据包传输，结合修改配置绕过安全控制。多数入侵依赖未修补的旧系统和凭证管理不善。防范需立即修补相关漏洞，强化 TACACS+ RADIUS 设置，禁用非必要服务并加强加密。

据Cybersecuritynews消息，Sitevision CMS 10.3.1 及更旧版本存在严重安全漏洞（CVE-2022-35202），导致 SAML 身份验证签名密钥暴露，可能被用于绕过身份验证和劫持会话。该漏洞源于 Java 密钥库自动生成的弱密码，攻击者可提取并暴力破解私钥。Sitevision 在瑞典公共部门和企业环境广泛使用，依靠 SAML 进行安全认证。由于 WebDAV 配置不当，可访问目录从而暴露包含密钥的文件。Sitevision 10.3.2 版本已修复此漏洞，相关组织应升级版本、手动更换密码、审核 WebDAV 配置并与身份提供商协调加强 URL 验证。

据Cybersecuritynews消息，Hudson Rock 发布了一款由 ChatGPT 支持的人工智能聊天机器人 BlackBastaGPT。它对 Black Basta 勒索软件团伙超 100 万条内部消息进行训练，研究人员能借此通过自然语言查询，深入了解该组织的运营、财务策略及攻击方法。 借助 BlackBastaGPT，研究人员可追溯其双重勒索策略，如优先攻击行业、谈判方式等。同时，泄密也验证了 FBI 和 CISA 的相关建议，还提供了漏洞利用优先级、工具集适应性等技术见解 。