研究人员近期发现一种复杂的新网络钓鱼活动已经出现，通过武器化.LNK快捷方式文件，它们利用合法的Windows二进制文件，采用一种称为“Living off the Land”（LOLBin） 的技术。该恶意软件伪装成名为“Report.lnk”的合法PDF文档，同时秘密执行复杂的多阶段攻击链，利用合法的Microsoft HTML应用程序主机实用程序mshta.exe。这种方法利用了安全系统对合法作系统组件的固有信任，使检测更具挑战性。目前仍在进一步研究之中。

据外媒最新报道，一种针对国防和航空航天企业的复杂网络钓鱼活动已经出现，通过冒充TUSAŞ的欺诈性电子邮件提供高度规避的Snake Keylogger恶意软件变体。该恶意活动伪装成合同文件分发文件来欺骗收件人执行有效负载。据介绍，Snake Keylogger变体展示了先进的持久性和复杂的规避技术，使其能够在受感染的系统中不被发现地运行。一旦执行，恶意软件会立即建立多层持久性，同时实施反检测机制以确保长期访问受害者系统，因此需要特别警惕。

CrushFTP 最近警告称，威胁行为者正在积极利用编号为CVE-2025-54309的零日漏洞，该漏洞允许攻击者通过服务器上的Web界面获得管理访问权限。官方之前已经修复了HTTP(S)中与AS2相关的漏洞，无意中也阻止了这个零日漏洞。机构猜测威胁行为者对其软件进行了逆向工程，发现了这个新漏洞，并开始在未更新补丁的设备上利用它。使用DMZ CrushFTP实例隔离其主服务器的企业客户不会受到此漏洞的影响。建议怀疑系统已遭入侵的管理员从7月16日之前的备份中恢复默认用户配置。

研究人员最近发现两个严重的 Grafana 漏洞可能允许攻击者将用户重定向到恶意网站并执行任意 JavaScript 代码，分别为 CVE-2025-6023（7.6）和 CVE-2025-6197（4.2），影响 Grafana 的多个版本。前者利用客户端路径遍历和开放重定向机制，使攻击者能够将用户重定向到可以在脚本仪表板内执行任意代码的恶意网站。后者需要Grafana 实例必须支持多个组织才能利用，因此 Grafana Cloud 用户不会受到此特定漏洞的影响，但该漏洞仍有可能被利用进行联合攻击。目前官方已经发布安全补丁。

安全研究人员近期发现流行文件归档器7-Zip中发现了一个严重的内存损坏漏洞，该漏洞允许攻击者通过制作恶意RAR5归档文件来触发拒绝服务条件。该漏洞的编号为 CVE-2025-53816（5.5）和GHSL-2025-058，影响7-Zip 25.00之前的所有版本。虽然该漏洞不太可能导致任意代码执行，但它对处理不受信任的存档文件的系统造成拒绝服务攻击的重大风险。该漏洞源于 7-Zip 的 RAR5 解码器实现中基于堆的缓冲区溢出。目前该漏洞已在最新版本中得到修复。

据外媒近期报道，Microsoft SharePoint中的关键零日漏洞自至少18日以来就一直被积极利用，且没有可用的补丁。尽管微软在7月补丁星期二修补了漏洞，但现在威胁行为者能够利用新的漏洞绕过修复程序。这些新漏洞被追踪为 CVE-2025-53770（绕过 CVE-2025-49704）和CVE-2025-53771（CVE-2025-49706），并且是针对内部SharePoint服务器的主动攻击。Microsoft 365中的SharePoint Online不受影响。微软现已发布针对Microsoft SharePoint订阅版的KB5002768更新来修复这些漏洞。

研究人员最新发现一种名为LameHug的新型恶意软件正在使用大型语言模型（LLM）生成要在受感染的Windows系统上执行的命令。机构收到有关从受感染帐户发送的恶意电子邮件中发现了该软件。在观察到的攻击中LameHug的任务是执行系统侦察和数据盗窃命令，这些命令是通过向 LLM 发出的提示动态生成的。LameHug 使用这些 AI 生成的命令来收集系统信息并将其保存到文本文件，同时搜索关键Windows 目录上的文档，并使用SFTP或HTTP POST请求泄露数据。组织需要对电子邮件保持高度警惕

VMware近日修复了VMware ESXi、Workstation、Fusion和Tools中的 4 个漏洞。其中三个已修补的缺陷的严重性等级为 9.3，因为它们允许在来宾虚拟机中运行的程序在主机上执行命令。这些缺陷被跟踪为 CVE-2025-41236、CVE-2025-41237 和 CVE-2025-41238。第四个漏被跟踪为 CVE-2025-41239（7.1），是信息披露漏洞。VMware目前没有提供任何解决方法，修复这些漏洞的唯一方法是安装新版本的软件。

安全研究团队近日发现了Cisco 的 Unified Intelligence Center （CUIC） 基于 Web 的管理界面中的一个严重漏洞，允许具有报告设计者权限的经过身份验证的远程攻击者将任意文件上传到受影响的系统。该漏洞被跟踪为 CVE-2025-20274（6.3），源于对文件上传的服务器端验证不足，使攻击者能够在易受攻击的设备上存储恶意负载并在根级别执行任意命令。目前官方已发布CUIC版本12.5（1）SU ES05、12.6（2） ES05及更高版本的软件更新，建议尽快完成更新。

安全研究人员近期发现Oracle Cloud Infrastructure（OCI）代码编辑器中的一个关键远程代码执行（RCE）漏洞，允许攻击者通过静默方式劫持受害者的Cloud Shell环境。该漏洞源于Oracle Code Editor与Cloud Shell的深度集成，虽然这种紧密耦合旨在提供无缝体验，但攻击者也可以创建恶意HTML页面，当经过身份验证的OCI用户访问这些页面时，这些页面会在受害者不知情的情况下自动将恶意文件上传到受害者的Cloud Shell环境。Oracle建议通过实施额外的安全措施来应对漏洞，目前该漏洞已经得到修复。

据外媒近日报道，模糊了加密劫持和勒索软件之间界限的H2Miner僵尸网络，其最新活动利用廉价的虚拟专用服务器（VPS）和大量商品恶意软件同时危害Linux主机、Windows工作站和容器工作负载。通过链接云感知shell脚本、交叉编译的二进制文件和live-off-the-land命令，运营商可以迅速从最初的立足点在防御者注意到GPU负载激增之前转向门罗币挖矿。加上频繁的更新程序脚本，即使在部分驱逐后，僵尸网络也能让矿工重生。因此组织需要格外警惕。

据外媒最新报道，美国阿尔伯马尔县遭受了勒索软件攻击，该攻击泄露了该县居民、政府雇员和学校工作人员的个人信息。网络犯罪活动成功渗透到该县的网络基础设施，此次攻击破坏了市政网络安全防御，黑客未经授权访问了包含个人身份信息的敏感数据库。研究人员指出，攻击媒介利用了该县网络边界的漏洞，允许威胁行为者在多个管理域中部署其有效载荷展开攻击。作为预防措施，阿尔伯马尔县与身份风险缓解公司Kroll合作，为受影响的个人提供免费身份监控服务。

据媒体近日报道，香港的金融业正在应对新一轮的 SquidLoader 样本攻击，这些样本能轻易突破常规防御且不被发现。该加载程序通过鱼叉式网络钓鱼电子邮件发送，电子邮件以简体中文编写，并带有受密码保护的RAR附件，伪装成合法的文件。一旦用户提取存档并双击看似 Microsoft Word 图标的内容，执行就会转向一个设计类似于AMD的 恶意PE文件，从而悄悄地入侵。专家建议对未知来源的电子邮件保持警惕。

网络安全研究人员最近发现了复杂的恶意软件活动，该活动通过巧妙的基于ZIP存档的攻击机制针对WordPress网站。一旦获得访问权限，攻击者就会注入恶意代码，利用PHP的包装器功能来执行隐藏的有效负载，同时将访问者重定向到恶意域。该恶意软件的主要目标远不止简单的重定向方案。它通过未经授权的内容注入、站点地图操纵以及创建垃圾邮件页面来提升恶意网站的搜索结果排名，从而对搜索引擎排名发起全面攻击，因此需要格外警惕。

据外媒近期报道，Episource 数据泄露事件导致全美540万患者数据泄露。调查显示，攻击者能够从 Episource 系统中查看和复制各种类型的患者和会员数据，并且在公告中提及此次泄露是由勒索软件引起的。被盗信息范围广泛，包括敏感的个人和健康信息，包括姓名、邮政地址、电子邮件地址和电话号码等基本联系信息。目前该公司已采取措施加强其计算机系统，并与执法部门合作调查此事件。同时Episource将通过 IDX 提供两年的免费信用监控和身份盗窃保护服务。

思科最近披露了其身份服务引擎(ISE)和ISE被动身份连接器(ISE-PIC)中的多个严重安全漏洞，这些漏洞可能允许未经身份验证的远程攻击者在受影响的系统上以root权限执行任意命令。这些漏洞的编号分别为 CVE-2025-20281（10）、CVE-2025-20282（10）和 CVE-2025-20337（10），风险级别最高。这三个漏洞源于思科 ISE 和 ISE-PIC 系统中特定 API 的输入验证不足。这些缺陷不需要任何身份验证，攻击者不需要有效的凭证即可利用它们。思科已发布软件更新以修复所有三个漏洞，建议组织尽快完成更新。

安全研究人员近期发现威胁行为者一直在部署一种名为OVERSTEP的恶意软件，该恶意软件会修改已完全修补但不再受支持的SonicWall Secure Mobile Access设备的启动过程。该后门是一个用户模式的rootkit，允许黑客隐藏恶意组件、保持对设备的持续访问并窃取敏感凭据。黑客的目标是寿命终止(EoL)的SonicWall SMA 100系列设备，这些设备可提供对本地网络、云端或混合数据中心中的企业资源的安全远程访问。据观察，威胁行为者已经在目标设备上拥有本地管理员凭据，组织应提高警惕。

英国零售商Co-op最近证实，今年4月的大规模网络攻击导致其系统瘫痪并造成其杂货店食品短缺，650万会员的个人数据被盗。虽然此次攻击并未泄露任何财务或交易信息，但其成员的联系信息却被盗。此次信息泄露据推测可能与参与玛莎百货的攻击者有关。

据外媒近日报道，全球各地的企业和个人收件箱中出现了新一波承诺提供红牛“社交媒体经理”职位的网络钓鱼电子邮件。这些消息伪装成个性化邀请，来自官方地址，并通过了 SPF、DKIM和DMARC检查，因此传统过滤器没有理由不信任它们。但实则为虚假电子邮件，当受害者点击邮件里面的链接时，受害者会被重定向到伪造的 Facebook 登录页面，其中凭证会窃取。因此求职者需要提高警惕。

近期研究人员在博通的赛门铁克端点管理套件中发现了一个严重的安全漏洞CVE-2025-5333（9.5），该漏洞允许未经身份验证的远程代码执行，影响广泛部署的端点管理解决方案的多个版本。该漏洞源于通过将TypeFilterLevel设置为Full 的 BinaryServerFormatterSinkProvider对.NET对象进行不安全的反序列化，这使得攻击者可以制作恶意的 .NET 对象，当目标服务器处理这些对象时，会触发任意代码执行。专家建议确保防火墙阻止通知服务器上的端口4011，从而有效防止远程攻击。