5月5日，某250万粉丝级生活方式博主Instagram账号遭黑客组织入侵，黑客发送伪装成版权侵权通知的钓鱼邮件获取博主凭证，控制账号后筛选活跃粉丝实施精准推送，然后向粉丝发送含 "独家折扣 "的私信，诱导点击恶意链接，该链接通过伪造品牌促销页面窃取银行账户信息。

网络安全机构WatchTower确认，攻击者正组合利用SonicWall SMA 100系列设备中的两个高危漏洞（CVE-2024-38475和CVE-2023-44221）实施攻击，涉及200 210 400 410 500v等型号。美国CISA已发布紧急警报。文件读取漏洞（CVE-2024-38475）可用于提取敏感信息，例如管理员会话令牌，有效地绕过登录凭据的需要。一旦建立了这个初始立足点，命令注入漏洞（CVE-2023-44221）就可以被利用来执行任意命令，可能导致会话劫持和整个系统的危害。

近日，网络安全公司Seqrite发现，威胁者正在积极瞄准印度政府人员，利用引用最近Pahalgam攻击的诱饵文件。这些文件伪装成Pahalgam有关情况的官方简报或情报报告，提示用户“启用内容”以查看所谓受保护的信息，从而触发隐藏的恶意代码的执行。恶意软件活动似乎专门针对敏感的政府信息，特别关注国防，情报和执法机构。

Kelly & Associates Insurance Grou近日证实，网络罪犯在2024年12月12日至12月17日期间渗透了其计算机系统。暴露了超过41万人的敏感个人信息，远远超过最初报道的数字。调查显示，未经授权的行为者访问并泄露了包含高度敏感个人信息的文件。泄露的数据包括姓名、社会安全号码、出生日期、税号、财务账户信息、健康保险和医疗信息。

网络安全公司Bridewell近日披露，一款名为RomCom的模块化远程访问木马（RAT）正通过客户反馈门户对英国金融、医疗及政府承包商发起定向攻击。攻击者伪造个性化客户反馈提交，嵌入恶意代码利用门户应用漏洞，感染后建立仿HTTPS流量的加密C2通道，支持按需投放定制化攻击载荷，实现数据窃取与横向移动，已确认30余家机构沦陷。

Handle Hacker Fantastic的安全研究人员近日发现，Microsoft Telnet Server中的一个关键漏洞—“0-click”漏洞，攻击者能够利用该漏洞，完全绕过身份验证，在没有有效凭据的情况下获得管理员访问权限。攻击技术原理为服务器使用SECPKG_CRED_BOTH初始化NTLM，并搭配ASC_REQ_DELEGATE和ASC_REQ_MUTUAL_AUTH标志，导致认证逻辑反转。攻击者可诱使服务器向自身验证，从而完全绕过身份验证，直接获取管理员权限。

MITRE ATT&CK框架最新收录的T1555.003攻击技术正成为重大安全威胁，攻击者可利用该技术直接从web浏览器中提取用户名和密码，获得对个人和企业帐户的未经授权访问，从而增加了特权升级和目标网络内横向移动的风险。

5月2日，美国总统唐纳德·特朗普提议将网络安全和基础设施安全局（CISA）的预算削减17%（4.91亿美元），并将取消该机构在打击错误和虚假信息方面的工作。另一份白宫简报称，预算将通过“整合冗余的安全顾问和项目”来精简CISA。特朗普政府此前暂停了CISA的整个选举安全计划，包括该机构打击外国影响行动的努力，并解雇了近20名参与选举防御的员工。

近日，CISA已将Langflow缺失认证漏洞（CVE-2025-3248）列入其 "已知利用漏洞目录 "。这些类型的漏洞是恶意网络行为者经常攻击的载体，并对联邦企业构成重大风险。BOD 22-01要求联邦民事行政部门（FCEB）机构在截止日期前修复已识别的漏洞，以保护FCEB网络免受主动威胁。

网络安全公司Zscaler最新报告显示，知名信息窃取工具StealC已升级至2.2.4版本（2025年3月发布），新增多项隐匿渗透和数据窃取功能。该恶意软件自2023年以每月200美元暗网租售起。从优化kiosk模式锁定攻击到突破Chrome "应用绑定加密 "防御，可复活过期Cookie劫持谷歌账户再到近期版本修复漏洞并强化隐身能力，该工具窃取技术不断进化。

据外媒报道，以色列公司TeleMessage（母公司Smarsh）近日因遭遇黑客攻击已暂停所有服务。该公司提供非官方的Signal消息存档工具TM SGNL，被部分美国政府官员用于合规存档。黑客称仅用20分钟便入侵系统，获取政府官员联系方式、部分消息内容及后台凭证，但未泄露特朗普内阁敏感数据。安全专家发现TM SGNL存在硬编码凭证等漏洞。此次事件还波及美国海关、Coinbase等机构。Smarsh表示已启动调查并聘请外部网络安全公司协助，强调其他服务未受影响。

微软安全团队近日发现，Kubernetes开源平台中广泛使用的Helm图表因默认配置存在严重安全风险，可能导致敏感数据暴露。研究人员Michael Katchinskiy和Yossi Weizman指出，许多开源Helm图表默认开放高危端口、禁用身份验证，并采用弱密码或硬编码凭证，易被攻击者利用。

安全研究人员近日发现，勒索软件团伙利用SentinelOne官方安装程序的漏洞，绕过其端点检测与响应（EDR）系统的防篡改保护，成功部署Babuk勒索软件。该技术通过合法安装程序终止EDR代理服务后强制中断安装流程，使设备处于无防护状态，无需依赖第三方工具。怡安（Aon）旗下Stroz Friedberg团队在事件响应中首次披露此攻击，指出攻击者滥用代理升级机制漏洞。SentinelOne建议客户启用默认关闭的“在线授权”功能以缓解风险，但调查显示许多用户仍未配置此设置。

据网络安全公司eClecciq的研究员近日披露，数据窃取勒索组织Luna Moth（又名Silent Ransom Group）加大了对美国法律和金融机构的回调网络钓鱼攻击力度。通过冒充IT服务台窃取数据并实施勒索。与传统勒索攻击不同，Luna Moth近期活动完全依赖社会工程手段，通过伪造邮件、虚假网站和电话诱导受害者，未部署勒索软件。eClecciq指出，截至2025年3月，该团伙疑似通过GoDaddy注册至少37个仿冒域名，伪装成美国律所和金融公司的IT支持门户，利用固定命名模式增强欺骗性。

乌克兰最大的家装零售商epicentrr4月29日表示，它遭受了有针对性的网络攻击，这是近几个月来乌克兰公司遭受的第三次重大网络攻击。该公司在乌克兰各地的数十家门店的运营受到影响，包括销售登记和物流服务在内的关键it系统陷入瘫痪。epicentrr还提醒道，发货可能会延迟，尤其是在线订单，并表示客户在其购物中心的包裹跟踪和取件服务可能会遇到问题。

微软近日宣布Windows Server 2025热补丁服务（Hotpatch）将转为付费订阅模式，2025年6月30日前可免费测试预览版，逾期未取消将自动订阅，自2025年7月1日起按1.5美元 CPU核心 月计费。该服务允许无需重启安装安全更新，原为Azure专属功能，现通过Azure Arc扩展至本地及多云环境。在启用了热补丁的设备上，Windows通过修补运行进程的内存代码来部署安全更新，而无需在每次安装后重新启动进程，也无需重新启动设备。

欧洲刑警组织近日成立 "OTF GRIMM "特别行动组，由瑞典牵头，联合7国执法机构，重点打击针对青少年的 "暴力即服务 "（VaaS）犯罪产业链。该犯罪模式通过社交平台 即时通讯工具，使用游戏化任务、表情包，编码语言等诱骗16-19岁群体，将暴力勒索、网络攻击（含DDoS）、毒品运输甚至谋杀明码标价作为 "服务项目 "。对于犯罪网络的负责人来说，该产业链是在利用青少年作为执行层，为上游组织提供犯罪缓冲。

安全公司Cybereason近日发现LockBit勒索软件正通过Phorpiex僵尸网络（又名Trik）实现自动化传播，突破传统手动渗透模式。攻击者发送携带ZIP附件的钓鱼邮件，根据不同的变种，这些ZIP文件要么包含用于LockBit下载器的SCR文件，要么包含用于phoenix TWIZT变种的LNK文件。网络安全团队还观察到LockBit下载程序试图联系一个已知的命令和控制（C2）服务器，该服务器先前托管了勒索软件二进制文件。虽然在分析时没有看到成功的连接，但二进制文件的行为与LockBit的已知方法一致。

近日，据外媒报道，英伟达的人工智能语音和翻译服务Riva框架存在严重的安全漏洞，导致云环境容易受到未经授权的访问和利用。两处关键漏洞分别为cve -2025-23242和cve -2025-23243，，影响2.18.0以下版本的Linux云部署。由于默认容器配置缺陷，gRPC（50051端口）和Triton推理服务器（8000-8002端口）端点暴露于公网，且缺乏强制身份验证机制。攻击者可借此绕过认证直接访问敏感API，滥用GPU资源执行任意推理请求以及窃取专有AI模型或发起DoS攻击。

Aqua Security的Nautilus团队近日在六个流行的AWS服务中发现了一个关键漏洞，可以让威胁者获得对云环境的控制。这个漏洞的根源在于AWS在新区域自动创建默认IAM角色的方式，可以在没有用户交互的情况下被利用，攻击者只需预先在自有账户创建同名资源，即可在受害者启用服务时获得该角色权限。该漏洞可能危及使用Glue、SageMaker、EMR、CloudFormation、Redshift和CodeBuild的组织。