近日据外媒报道，微软Azure存储实用程序AZNFS-mount存在高危本地提权漏洞。攻击者可借此将普通用户权限提升至root权限。该漏洞影响2.0.10及更早版本，主要存在于预装该组件的Azure高性能计算 人工智能（HPC AI）镜像中。问题根源在于aznfs-mount安装时创建的SUID二进制文件mount.aznfs，该文件使用存在安全缺陷的execv函数调用Bash脚本，且未清理BASH_ENV环境变量，攻击者可通过设置恶意环境变量注入任意命令并以root权限执行。成功利用可导致攻击者操控存储容器、部署恶意软件或横向渗透云环境。

近日，麒麟勒索软件集团以74起全球攻击成为头号威胁，麒麟的崛起标志勒索软件即服务（RaaS）生态重组，其攻击覆盖北美、欧洲及亚太，重点针对软件、制造业和关键基础设施，实施双重勒索策略——4月从法国运输软件商及韩国工业集团分别窃取超1TB数据。攻击链采用多阶段渗透：通过钓鱼邮件漏洞植入加载程序，建立持久性后4小时内完成数据窃取与加密，且具备虚拟环境检测等反分析能力。

5月8日消息，美国医疗设备巨头迈心诺（Masimo）表示其遭遇网络攻击，导致部分生产设施停摆及客户订单交付延迟。该公司以非侵入式医疗监测设备闻名，主营产品涵盖脉搏血氧仪、远程病患监测平台等。攻击者侵入其本地网络系统后，公司紧急隔离受感染设备，但强调云端基础设施未受影响。此次事件显著扰乱制造流程，迫使部分生产线降级运行，短期内影响订单处理与物流发运能力。目前公司正协同外部网络安全团队调查事件性质、攻击路径及潜在数据泄露风险。

安天CERT近期披露，自2022年下半年持续活跃的“银狐”黑产团伙通过多渠道传播高变种恶意文件，实施窃密与诈骗攻击。该团伙主要利用微信、企业微信等即时通讯工具、搜索引擎SEO优化推广及钓鱼邮件投递恶意载荷当前活跃样本呈现两类特征：一类是伪装为文档的Qt库开发程序或篡改开源软件的“白加黑”后门程序，通过释放合法外壳加载恶意代码；另一类为捆绑正常软件的MSI安装包，在安装流程中植入隐蔽组件，最终执行远控木马实现系统入侵。

安全研究人员近日发现，埃隆·马斯克旗下人工智能公司xAI的一名开发人员在GitHub上意外公开了私有API密钥，导致SpaceX、特斯拉和Twitter X的敏感内部数据面临泄露风险。该密钥自2025年3月2日被GitGuardian检测到后，仍保持活跃状态近两个月，直至4月30日才被撤销。泄露的密钥可访问60多个核心数据集，包括未发布的 "Grok-2.5V "模型等。安全专家警告，这些凭证可能被用于查询经过内部数据微调的大型语言模型，存在重大商业机密外泄隐患。

5月7日，全球最多产的勒索软件组织之一LockBit的暗网服务器遭黑客攻击，攻击者在其官网留下挑衅信息并公开了包含敏感运营数据的MySQL数据库。该数据库包括大约60,000个用于支付赎金的唯一比特币钱包地址，从12月到4月下旬，LockBit运营商和受害者之间的4442条协商信息，以及为特定攻击创建的定制勒索软件构建的详细信息。

Symantec’s Threat 威胁猎人团队的研究人员近日报告，Play勒索软件团伙利用了Windows通用日志文件系统漏洞（CVE-2025-29824），在零日攻击中获得系统权限并在受损系统上部署恶意软件并攻击了一家美国组织。微软证实该漏洞已在攻击中被利用。

Kasada最新报告揭露，欺诈集团ALTSRUS通过窃取电子福利（EBT）、药房处方及消费者奖励计划账户，大规模剥削经济脆弱群体。该组织被称作“逆向罗宾汉”，专门窃取低收入人群资源以牟利。ALTSRUS倒卖美国连锁药房账户，涉及17类处方药（包括镇痛和精神类药物），阻碍患者正常获取治疗。2025年第一季度，其售出超22万个被盗账户，交易量同比激增2852%，业务已扩展至13个行业。

欧洲刑警组织近日宣布，在波兰、美国、德国和荷兰执法机构联合行动中，成功捣毁一个跨国DDoS攻击服务网络，逮捕了4名犯罪嫌疑人。调查显示，这些平台以 "服务器压力测试 "为幌子，实际提供按需DDoS攻击服务，其运营的6个平台在2022至2025年间发动了数千次网络攻击，目标包括学校、政府机构、企业及游戏平台。攻击者只需支付最低10欧元费用，输入目标IP地址，平台就会自动发起大规模流量攻击。欧洲刑警组织指出，这种 "攻击即服务 "模式极大降低了网络犯罪门槛。

知名营销软件平台ClickFunnels黑客组织 "Satanic "近日宣称，其于2025年4月29日成功入侵知名营销软件平台ClickFunnels系统，并泄露了包括51.4万条和46万条记录的两个大型数据表，内容涉及用户电子邮件、电话号码及公司信息。该组织此前以在BreachForums公布攻击成果闻名。ClickFunnels发言人表示，在被告知前公司并未发现系统异常，目前正在核实黑客宣称的内容是否属实。

CISA将两个较早的SonicWall漏洞添加到已知利用漏洞（KEV）目录中，这些漏洞被追踪为CVE-2023-44221和CVE-2024-38475，影响了SonicWall的SMA 200、SMA 210、SMA 400、SMA 410和SMA 500v安全远程访问产品。攻击者可以远程利用它们注入操作系统命令并将url映射到文件系统位置。

网络安全研究人员近日披露，企业级IT服务管理平台SysAid On-Premise存在严重安全漏洞链，攻击者无需认证即可实现远程命令执行（RCE），完全控制系统。该漏洞链包含三个XML外部实体（XXE）漏洞（CVE-2025-2775至2777），结合命令注入漏洞，可提取包含明文管理员密码的系统文件，获取平台完全控制权限。受影响版本包括23.3.40及之前的所有SysAid On-Premise安装。厂商已在2025年3月发布的24.4.60版本中修复漏洞，强烈建议用户立即升级。

5月6日，美国法院陪审团表示，以色列监控公司NSO集团须支付近1.68亿美元的赔偿金，指控原因为该公司利用WhatsApp在全球范围内部署了Pegasus间谍软件。该案件源于2019年5月，WhatsApp工程师发现NSO开发了一种零点击、零日攻击（zero-click, zero-day attack），可以通过一个简单的电话悄无声息地安装飞马（Pegasus）间谍软件，目标只需打开设备即可采取任何行动，大约1400个WhatsApp账户遭到了攻击。

微软2025年4月Windows安全更新（KB5055523）修复了Kerberos证书存储漏洞（CVE-2025-26647），但该补丁意外导致Windows Server 2016域控制器（DC）出现身份验证问题。受影响的场景包括使用Windows Hello for Business（WHfB）密钥信任或设备公钥认证（Machine PKINIT）的环境，可能导致Kerberos登录或证书委派失败。微软解释称，该补丁本应仅将可信证书存储在NTAuth安全存储库，但却允许部分特权认证在根存储中处理，造成兼容性问题。此漏洞仅影响企业级Active Directory环境，家庭用户不受波及。

近日，加拿大两大电力公司Emera和新斯科舍省电力公司宣布遭遇网络攻击，被迫关闭部分业务应用服务器。两家公司在发现未经授权访问后，立即启动应急协议，隔离受影响系统并聘请第三方进行网络取证，同时向执法部门报告。尽管发电和配电未受实质影响，但预防性措施导致在线门户和客服热线中断，影响了客户服务。

Mindgard的最近研究显示，恶意载荷可以隐藏在表情符号中，以绕过人工智能的护栏（包括微软、英伟达、Meta和Protect AI）。该技术对Vijil、Protect AI等主流防护系统的攻击成功率最高达100%，微软Azure提示盾的攻击成功率也超过70%。Mindgard指出，当前AI防护过度依赖静态模式识别，缺乏运行时动态检测能力。尽管已向相关厂商披露漏洞，但尚未获得CVE编号。

网络安全团队BadByte近日发现，超过2800个被黑网站正针对Mac用户发起 "MacReaper "攻击行动，传播Atomic Stealer（AMOS）信息窃取程序。当用户访问一个受感染的网站时，会出现一个虚假的reCAPTCHA界面。恶意软件会悄悄将恶意代码复制到他们的剪贴板上，并指示他们打开终端并粘贴命令。这个执行会下载并安装Atomic Stealer，然后从Keychain、浏览器凭据、加密货币钱包和敏感文件中获取密码。

网络安全公司Aon Stroz Friedberg近日发现一种新型 "自带安装程序 "(BYOI)攻击技术，攻击者通过滥用SentinelOne终端检测与响应(EDR)系统的升级机制漏洞，成功绕过其防篡改保护并部署Babuk勒索软件。研究人员在事件调查中发现，攻击者获取本地管理员权限后，利用未启用本地升级 降级授权的环境缺陷，通过MSI安装程序触发代理更新流程，在升级过程中强制终止Windows安装程序(msiexec.exe)，致使EDR防护失效。实验证实，该技术可在SentinelOne 23.4.6.223版本上实现，全程无需使用恶意驱动程序。

德克萨斯州阿尔文独立学区（AISD）近日证实，2024年6月遭遇勒索软件攻击，导致47,606名师生及员工的个人信息外泄，包括社保号、财务信息、医疗记录等。勒索团伙Fog声称窃取了60GB数据并威胁公开，但AISD未证实是否支付赎金。该事件是Fog团伙针对教育系统的系列攻击之一，该组织自2024年7月以来已声称攻击20起，其中12起针对学校。美国教育机构正成为勒索软件重灾区——2024年共发生79起类似事件，影响超280万条记录，平均赎金要求达82.7万美元。

攻击者正利用三星MagicINFO平台路径遍历漏洞（CVE-2024-7399）部署Mirai网络。该漏洞影响v9服务器21.1050及更早版本，主要威胁商业显示系统（交通枢纽 医疗机构 金融机构等）。该缺陷会对文件名输入进行错误消毒。执行此过程时不验证文件扩展名也不检查执行请求的用户是否经过身份验证。因此，未经身份验证的威胁参与者可以上传JSP文件并在易受攻击的服务器上使用系统权限执行任意代码。