据Thecyberexpress消息，两名爱沙尼亚人承认参与加密货币庞氏骗局。2015 - 2019 年，他们运营 HashFlare，以虚假加密货币挖矿服务骗全球超十万投资者，销售额超 5.77 亿美元。二人伪造数据，将收益用于购置奢侈资产。作为认罪协议，他们承诺没收超 4 亿美元资产赔偿投资者。两人各面临最高 20 年监禁，判决定于 5 月 8 日。

据Thecyberexpress消息，谷歌在 Android 16 Beta 2 中推出一项关键安全更新，旨在抵御电话诈骗。此功能可在通话期间阻止用户进行侧载应用或授予无障碍访问权限等敏感操作，这些操作常被诈骗分子利用以控制受害者设备。 随着 AI 语音合成等工具的发展，网络诈骗日益猖獗，诈骗者通过心理操控诱导用户分享信息、转账或安装恶意软件。Google 此次更新，通过阻止敏感设置变更，为用户增加一道安全防线。当用户通话中尝试相关操作时，系统会弹出警告，提示谨防诈骗。

据Cybersecuritynews消息，ExHub 平台存在严重 IDOR 漏洞。ExHub 用于 hulia 开发，攻击者利用这一漏洞，无需授权就能修改项目的网站托管配置。 研究人员 Abhi Sharma 发现该漏洞并指出攻击者获取项目 ID 后，用工具向特定 API 端点发送 POST 请求，就能随意更改关键托管参数，执行高权限操作，可能导致服务中断、权限提升等严重后果。此漏洞最初评级为严重，后因获取 ID 难度降为高危。 目前，ExHub 已采取严格授权检查、随机化 ID、重组用户角色等措施修复漏洞。

近日，微软威胁情报发现，XCSSET 恶意软件进化版正针对 macOS 开发者，通过感染 Xcode 项目发动攻击。 该模块化后门最早于 2020 年出现，如今手段升级。它采用多层编码策略，随机变换 Base64 和十六进制转储操作，躲避检测，运行时还动态调整编码循环，增加分析难度，它把恶意组件藏在伪造应用包，放在特殊目录绕过检查。微软 Defender 已能识别相关异常行为。组织要验证 Xcode 依赖项签名，监控 SSH 密钥生成；开发者需审核项目文件。

据Cybersecuritynews消息，施乐企业级 Versalink C7025 多功能打印机现重大安全隐患。攻击者利用 CVE-2024-12510，篡改 LDAP 服务器 IP，诱骗打印机将明文凭据传输到恶意主机，威胁依赖 LDAP 认证的企业。利用 CVE-2024-12511，修改扫描设置，窃取 SMB 的 NetNTLMv2 哈希或 FTP 明文凭据，甚至能攻陷域管理员账户。目前，施乐已发布 57.69.92 + 版本的修补固件。企业若无法及时更新，需换密码、禁用危险协议、做好网络分段并启用多因素认证，尽快堵住漏洞，避免损失。

据Cybersecuritynews消息，RansomHub 已成为2024-2025年最猖獗的勒索软件组织之一。它利用先进技术和企业漏洞，在全球攻击Windows、ESXi、Linux和FreeBSD系统。Group-IB发现，该组织已入侵超 600 家机构。其勒索软件变体针对不同系统，有独特加密方法和配置文件。成员利用多种漏洞获取访问权，入侵后部署恶意工具，还通过定制赎金通知、威胁违规报告等逼受害者就范。 CISA 呼吁机构立即修复相关漏洞、审计远程服务。检测时可借助 YARA 规则等，机构也要强化端点安全和备份隔离，防止被攻击。

据Cybersecuritynews消息，网络安全公司 Huntress 的 2025 威胁报告显示勒索软件团伙的攻击策略发生重大变化。在初始网络入侵后，他们平均仅需 17 小时就能对系统进行加密，Akira 和 RansomHub 等团伙甚至只需 4 - 6 小时。攻击者利用 Mimikatz 等工具获取凭证，通过远程工具漏洞入侵，还优化加密速度。如今 38% 的事件涉及纯数据勒索，医疗和教育行业受影响严重。企业应限制远程工具访问、阻止系统工具滥用，采取快速响应安全措施，以应对这一严峻威胁。

据Hackread消息，名为 DEEP DRIVE 的钓鱼攻击瞄准韩国实体，疑为 “金素姬” 组织黑客所为。攻击者用韩语定制钓鱼诱饵，伪装成工作文档，以常见格式在 Dropbox 等平台分发，借 PowerShell 脚本完成渗透、侦察及持久化部署。攻击链从伪装的.lnk 文件开始，利用脚本下载恶意程序、收集系统信息。其手法隐蔽，与 “金素姬” 过往攻击相似。

据Veriti Research 报告显示，随着 JFK（约翰・F・肯尼迪）、RFK（小罗伯特・F・肯尼迪）和 MLK（马丁・路德・金）相关文件的解密与发布，网络犯罪分子趁机利用公众对这些历史文件的关注，实施恶意软件分发、网络钓鱼及漏洞利用等活动。文件发布公告后不久，多个可疑域名被注册，如 “hejfkfiles.com”“jfk - files.com” 等，其注册时间及命名方式暗示这些域名或被用于窃取用户凭证等恶意行为。

据CISA消息，CISA 发布 Qardio 产品漏洞警示。Qardio Heart Health IOS 和 Android 应用及 QardioARM A100 存安全隐患，CVSS v4 评分 7.2，攻击难度低。 漏洞包括：iOS 应用在 plist 文件暴露敏感信息，攻击者可借此登录并利用工程后门；特制脚本通过蓝牙致设备拒绝服务；攻击者还能获取固件文件。这些漏洞或致敏感信息泄露、服务中断及硬件安全受损。 Qardio 未回应 CISA 的漏洞缓解请求。用户应停用闲置蓝牙、避免在危险环境使用、选用可信应用。目前虽无公开利用情况且不可远程利用，但仍需警惕。

据CISA消息，西门子 SCALANCE W700 设备存在诸多漏洞，涵盖双重释放、通信通道限制不当等 72 种类型，CVSS v3 评分最高达 9.8 ，可被远程利用且攻击复杂度低。 受影响产品包括 Siemens SCALANCE WAB762 - 1 等多款，涉及工业控制系统，全球范围内关键基础设施行业均可能受影响。成功利用这些漏洞，攻击者可注入代码、提升权限、执行任意代码，导致系统完整性受损及拒绝服务。 西门子已报告这些漏洞，并建议用户更新到 V3.0.0 或更高版本，同时采取保护网络访问等安全措施。

据Cybersecuritynews消息，与 APT41 相关的 Winnti 组织，发起 “RevivalStone” 行动，利用新恶意软件攻击日本制造、材料和能源领域机构。 该组织 2010 年起从游戏行业扩大攻击范围，此次活动始于对目标 ERP 系统的 SQL 注入，部署 WebShell 收集信息，再植入 Winnti 恶意软件。其新恶意软件执行流程复杂，借助 DLL 劫持等技术，且通过复制合法 DLL、混淆代码躲避检测。

据Cybersecuritynews消息，近期黑客组织 APT4通过利用暴露的凭证获取未经授权的访问权限，正积极攻击全球学术机构。该组织擅长战略情报收集与经济利益驱动的活动，别名众多，别名众多，目标广泛，涵盖政府、外交及医疗组织，涉及间谍活动与金融网络犯罪。 其攻击手段多样，包括凭证收集、利用漏洞及高级社会工程技术，还使用 RftRAT 等多种恶意软件渗透系统。近期，APT43 重点针对韩国涉及朝鲜政治研究的学术机构。

据Cybersecuritynews消息，近期针对 ThinkPHP 的 CVE - 2022 - 47945 和 ownCloud 的 CVE - 2023 - 49103 这两个关键漏洞的利用活动激增。 CVE - 2022 - 47945 是 ThinkPHP 6.0.14 之前版本的本地文件包含漏洞，可致未认证攻击者执行系统命令，近 10 天活动显著增加，该漏洞未列入 CISA 已知利用漏洞目录，EPSS 评分低。 CVE - 2023 - 49103 影响 ownCloud graphapi 特定版本，因依赖第三方库致敏感 PHP 环境信息泄露，自 2023 年 11 月披露后被持续利用，曾被多机构列为 2023 年高发漏洞。

据Hackread消息，SlashNext 威胁研究人员发现新型网络钓鱼工具包 Astaroth，能绕过 2FA 窃取 Gmail、Yahoo 和 Microsoft 登录凭据。 Astaroth 运用 evilginx 风格反向代理，在受害者与合法身份验证服务间充当中介，它动态拦截所有身份验证数据，实时捕获登录凭据、身份验证令牌及会话 cookie，即便用户启用 2FA，输入的第二因素代码也会被捕获。

据Hackread消息，Doxbin 遭黑客组织Tooda攻击，13.6 万用户记录等信息泄露。Tooda 破坏 Doxbin 基础设施，清除用户账户、锁定管理员，还公布含 136814 个 Doxbin 用户 ID、用户名和邮箱的数据库，以及 “Doxbin 黑名单” 文件。此外，Tooda 还曝光管理员 River个人信息并警告其远离。 对 Doxbin 用户而言，此次信息泄露风险大，虽仅用户名和邮箱暴露，但或可与其他泄露信息交叉引用，致身份暴露。事发时，Doxbin 已下线。

据VulnCheck 研究显示，2024 年被利用的 CVE 数量增长 20%，近四分之一（24%）已知被利用漏洞在 CVE 公开披露当日或之前就遭滥用，多数漏洞在补丁发布很久后被攻击，其中半数在 192 天内。 研究还发现漏洞披露透明度增加及监测改善，使被利用漏洞记录增多。专家指出，多种因素致漏洞利用增加，组织需投资观测工具、采用零信任策略等手段。同时，也有部分厂商认为相比漏洞，受损凭证才是安全漏洞主因。

据CRN消息，解决方案提供商 Consortium 收购网络风险量化初创公司 Metrics That Matter，旨在为客户提供更客观、持续更新的网络安全风险视图，打造 “下一代 VAR”。收购条款未披露，此次收购为 Consortium 引入 11 名员工，员工总数达 70 人。通过利用网络保险索赔数据和建立客户档案，该技术可预测网络风险，改变以往主观决策方式。且每月更新安全供应商工具目录，快速评估新方案。Consortium 高管表示，这种由 VAR 拥有和运营的风险量化模式，目前尚无其他 VAR 采用。

据Computing消息，黑客组织 Lazarus Group 开展新网络攻击活动 “Operation Marstech Mayhem”，将恶意软件藏于 GitHub 存储库及 NPM 包中，以窃取加密货币。恶意软件 Marstech1 针对 MetaMask 等加密货币钱包，通过扫描与操纵浏览器配置文件拦截交易。 自 2024 年 7 月起，其恶意 JavaScript 代码就已活跃，SecurityScorecard 确认美、欧、亚有 233 名受害者。这是两个月内 GitHub 用户第二次遭攻击，1 月也曾有不良行为者借此传播恶意软件。

据CRN消息，Palo Alto Networks 首席产品官 Lee Klarich 称，周四推出的 Cortex Cloud 统一多种云安全工具，是 Prisma Cloud 继任者，将 Cortex 云检测响应与 Prisma CNAPP 功能结合。它能减少评估威胁工作量，连接第三方工具，为 SOC 分析师提供必要上下文，使响应从数小时缩短至几分钟。Cortex Cloud 还为渠道合作伙伴带来新增长机会，将在 4 月底提供给客户，通过整合技术与功能，有望改变云安全领域格局。