一、APT与国家级威胁
黑客利用复杂鱼叉式钓鱼攻击美国及盟友关键部门
黑客组织正在针对美国及其盟国的关键部门发起复杂的鱼叉式钓鱼攻击。攻击目标包括国防工业、学术机构和政府组织。攻击者使用高度定制化的钓鱼邮件,伪装成合法的会议邀请和学术合作提案,诱骗目标点击恶意链接或打开受感染文档。CISA和FBI联合发布了关于该威胁活动的警告,提供了攻击指标和缓解建议。
APT组织Webworm战术进化,扩展至欧洲目标
APT组织Webworm被发现其攻击战术发生显著进化,并将攻击范围从亚太扩展至欧洲目标。Webworm此前主要针对东南亚政府和技术部门,现在开始使用更复杂的攻击链,包括利用合法云服务进行命令控制和数据渗透。新发现的攻击活动针对欧洲的国防承包商和电信提供商。该组织的工具集也进行了更新,包括新型后门和改进的持久化机制。
二、漏洞预警
Microsoft Defender曝两个零日漏洞已获修补
Microsoft修补了其Defender安全产品中的两个零日漏洞。其中一个漏洞允许攻击者绕过Defender的恶意软件检测,另一个可被用于提升本地权限。Microsoft已在月度安全更新中发布了修复补丁,并确认其中一个漏洞已被有限度利用。Defender作为Windows生态中最广泛部署的安全产品,其漏洞的影响范围极为广泛。安全专家建议所有组织立即部署最新补丁。
9年Linux内核漏洞泄露SSH密钥和密码哈希
安全研究人员发现Linux内核中一个存在9年之久的漏洞,可导致SSH密钥和密码哈希泄露。该漏洞存在于内核的内存管理模块中,允许本地用户通过特定的系统调用读取本不应访问的内核内存区域,从中提取其他用户的SSH私钥和密码哈希值。该漏洞影响自2017年以来的所有Linux内核版本。Linux内核团队已发布修复补丁,各主流发行版正在推送更新。鉴于SSH密钥泄露可导致攻击者横向移动至整个基础设施,该漏洞的严重性不容忽视。
Cisco Secure Workload曝最高严重等级漏洞
Cisco Secure Workload(原Tetration)中披露了一个评级为最高严重等级的漏洞,CVSS评分达10.0满分。该漏洞允许未经认证的远程攻击者在受影响设备上以root权限执行任意代码。Secure Workload是Cisco零信任安全架构的核心组件,用于工作负载微分段和安全策略执行。Cisco已发布安全更新,但由于该产品的部署通常涉及关键生产环境,补丁部署可能需要更长的维护窗口。
SonicWall SSL-VPN补丁绕过漏洞遭攻击利用
安全研究人员发现,SonicWall SSL-VPN先前修补的漏洞可通过补丁绕过方式再次被利用。攻击者利用补丁不完整的问题,绕过安全修复继续利用原始漏洞获取VPN访问权限。该漏洞允许未经认证的攻击者在SMA 100系列设备上执行任意代码。SonicWall已发布新的安全更新来彻底修复该问题。此事件凸显了补丁质量审计的重要性,不完整的补丁可能给用户带来虚假的安全感。
Microsoft正开发BitLocker YellowKey攻击补丁
Microsoft正在为BitLocker磁盘加密的YellowKey攻击开发安全补丁。YellowKey是一种绕过BitLocker加密的新技术,攻击者通过物理访问目标设备,利用DMA(直接内存访问)漏洞在系统启动阶段注入恶意代码来获取加密密钥。该攻击需要在目标设备上插入特制硬件设备,但一旦成功即可完全绕过BitLocker的磁盘加密保护。Microsoft表示将在未来更新中加强BitLocker的预启动认证机制。
三、AI安全
ChromaDB未修补漏洞致服务器开放远程代码执行
开源AI向量数据库ChromaDB中存在一个未修补的严重漏洞,可允许远程攻击者在服务器上执行任意代码。该漏洞源于ChromaDB默认配置中缺乏认证机制,任何能访问服务端口的攻击者都可以发送特制请求来执行命令。随着AI应用的爆发式增长,ChromaDB被广泛用于存储和检索AI模型的向量嵌入数据。研究人员已公开漏洞细节以推动修复,并建议用户在网络层面限制ChromaDB的访问。
Project Glasswing发现10000个漏洞:Anthropic参与安全研究
Anthropic参与的Project Glasswing安全研究计划已发现超过10000个安全漏洞。该项目利用AI模型自动分析开源代码库,识别潜在的安全缺陷。发现的漏洞涵盖了从内存安全错误到逻辑缺陷的广泛范围。项目展示了AI在安全审计中的巨大潜力,但也引发了关于漏洞披露责任的讨论。部分安全专家担心,如此大规模的漏洞发现可能超出社区的修补能力。
AI时代正在创造漏洞狩猎军备竞赛
AI正在创造一场漏洞狩猎的军备竞赛。攻击者和防御者都在竞相使用AI来发现和利用或修补安全漏洞。AI模型可以在数小时内发现传统方法需要数周才能找到的漏洞,但同样的技术也被攻击者用于加速漏洞武器化。这场竞赛正在改变网络安全的基本范式,修补速度成为决定安全态势的关键因素。文章指出,AI驱动的漏洞发现正在使传统的补丁管理周期变得过时。
Microsoft发布开源工具推进AI代理安全运营
Microsoft发布了开源工具集,帮助组织安全地运营AI代理。该工具集包括代理行为审计框架、提示注入检测器和权限边界控制器等组件。Microsoft表示,随着企业加速采用AI代理,需要标准化的安全运营工具来管理代理的权限和行为。该工具集是Microsoft更广泛的AI安全战略的一部分,旨在使AI代理在企业环境中的部署既安全又可控。
四、恶意软件与勒索软件
Android恶意软件活动使用数百个虚假应用暗中扣费
一项大型Android恶意软件活动被发现使用数百个虚假应用对用户进行暗中扣费。这些应用伪装成实用工具、游戏和系统优化器,在安装后悄悄订阅高价付费服务。恶意软件使用了高级规避技术,包括延迟激活、检测安全扫描环境以及动态从服务器加载恶意载荷。Google已从Play Store中移除了大部分涉事应用,但部分应用在被下架前已被数百万用户下载。
五、供应链安全
GitHub确认3800个内部仓库遭恶意VS Code扩展入侵
GitHub确认攻击者通过恶意VS Code扩展Nx Console入侵了其内部仓库,导致约3800个私有代码仓库的源代码泄露。该恶意扩展在Visual Studio Code市场中以合法工具面目出现,但内含后门代码,能够窃取开发者的GitHub访问令牌。攻击者利用窃取的令牌访问了GitHub员工的内部仓库,并下载了大量源代码。GitHub已从市场中移除该恶意扩展,并通知受影响的用户。此事件是继TanStack供应链攻击后,针对开发者工具链的又一起重大供应链安全事件。
黑客组织以前所未有规模投毒开源代码
一个黑客组织正在以前所未有的规模向开源软件生态系统投毒,通过在npm、PyPI等包管理器中发布恶意包来感染下游项目。研究人员发现该组织已发布了数千个恶意包,采用与合法包名高度相似的命名策略来诱骗开发者安装。这些恶意包主要窃取环境变量中的API密钥、数据库凭据和云服务访问令牌。该组织使用了自动化工具大规模生成和发布恶意包,使包管理器的安全审核机制不堪重负。开源社区正在加强包验证和签名机制来应对这一威胁。
Mini Shai-Hulud攻击波及AntV生态系统数百个npm包
名为Mini Shai-Hulud的供应链攻击活动波及了AntV生态系统中的数百个npm包。AntV是蚂蚁集团开发的数据可视化工具库,被大量前端项目依赖。攻击者通过依赖混淆和命名混淆技术在npm中发布恶意版本,这些恶意包在安装时执行后门代码,窃取开发者机器上的敏感信息。该攻击展示了开源生态系统中依赖链的脆弱性,以及大型企业开源项目面临的安全风险。
Grafana Labs确认代码泄露源于TanStack供应链攻击
Grafana Labs确认其GitHub环境遭入侵事件与此前曝光的TanStack npm供应链攻击直接相关。攻击者通过在npm包仓库中发布恶意TanStack包获取了GitHub访问令牌,进而下载了Grafana的内部源代码。Grafana拒绝了攻击者的赎金要求,并表示泄露的源代码不影响其云服务客户数据安全。该攻击链展示了供应链攻击的级联效应:一个恶意包可导致多个下游组织的源代码泄露。
被入侵的编码工具帮助黑客攻破数千GitHub仓库
一个被入侵的编码工具帮助黑客攻破了数千个GitHub仓库。攻击者通过在流行的开发者工具中植入后门,获取了使用该工具的开发者的GitHub访问凭据,进而获取了对大量代码仓库的访问权限。受影响的仓库包括开源项目和企业私有项目。GitHub正在通知受影响的用户并撤销泄露的凭据。该事件再次强调了开发者工具链安全的紧迫性,以及验证第三方开发工具完整性的重要性。
六、数据泄露与网络钓鱼
FBI警告Kali365钓鱼工具包劫持Microsoft 365 OAuth令牌
FBI发布警告称,名为Kali365的新型钓鱼工具包正在被用于劫持Microsoft 365的OAuth令牌。该工具包通过创建高度逼真的Microsoft登录页面,诱骗用户输入凭据并批准OAuth授权请求。一旦获得OAuth令牌,攻击者即可持久访问受害者的Microsoft 365账户,无需再次输入密码。该工具包在暗网以订阅模式出售,降低了网络犯罪的技术门槛。FBI建议组织启用条件访问策略和持续访问评估来缓解此类威胁。
假冒Gemini和Claude Code网站通过SEO投毒传播信息窃取器
安全研究人员发现,攻击者创建了假冒Google Gemini和Claude Code的下载网站,通过搜索引擎优化(SEO)投毒技术使这些恶意网站在搜索结果中排名靠前。用户在搜索AI工具时容易点击这些伪造网站,下载的所谓AI工具实际上包含信息窃取恶意软件。这些恶意软件专门窃取浏览器中保存的密码、加密货币钱包和API密钥。研究人员已向Google和搜索引擎运营商报告了这些恶意网站。
黑客绕过安全工具直接攻击终端用户
安全研究人员发现攻击者越来越多地采用绕过企业安全工具、直接针对终端用户的攻击策略。这种方法利用了社会工程学攻击不经过传统安全边界的特点,通过钓鱼邮件、即时消息和社交媒体直接接触用户。攻击者使用深度伪造和AI生成的内容增加攻击的可信度,使传统基于流量分析的安全工具无法检测。安全团队需要加强用户安全意识培训,并部署专门针对社会工程攻击的防护措施。
七、执法行动与政策动态
Microsoft打击为勒索软件提供Signaling服务的Fox Tempest
Microsoft宣布成功打击了为勒索软件团伙提供Signal协议通信基础设施的网络犯罪组织Fox Tempest。该组织运营的非法通信平台被多个勒索软件团伙用于协调攻击、谈判赎金和共享被盗数据。Microsoft的数字犯罪部门通过法律行动扣押了该平台使用的域名和基础设施。此次行动得到了国际执法合作伙伴的支持,是Microsoft持续打击网络犯罪生态系统系列行动的一部分。
Europol打击行动摧毁网络犯罪VPN服务
Europol宣布在一次国际执法行动中成功摧毁了一个专门为网络犯罪分子提供匿名VPN服务的平台。该VPN服务被广泛用于隐藏勒索软件攻击、数据盗窃和在线欺诈等犯罪活动的网络踪迹。执法部门查获了服务器基础设施,并识别了使用该服务的犯罪嫌疑人。此次行动涉及多个欧洲国家的执法机构,由Europol的欧洲网络犯罪中心协调。该行动向网络犯罪分子传递了明确信号:即使是专门的犯罪基础设施也无法免受执法打击。
CISA呼吁安全社区报告漏洞利用情况
CISA呼吁网络安全社区主动报告已知的漏洞利用情况,以帮助该机构更准确地更新已知被利用漏洞(KEV)目录。CISA表示,其KEV目录主要依赖自身分析,但来自安全社区的利用情报可以加速漏洞的识别和通报。该请求反映了CISA在漏洞威胁情报收集方面对公私合作的重视,也凸显了在AI加速漏洞利用的背景下,及时共享威胁情报的重要性。
Microsoft打击伪装合法软件的网络犯罪行动
Microsoft宣布成功打击了一个将恶意软件伪装成合法软件的网络犯罪行动。该犯罪组织通过创建外观专业的网站和社交媒体广告,推广伪装成实用工具和系统优化器的恶意软件。受害者下载安装后,恶意软件窃取凭据、加密货币和银行信息。Microsoft通过法律行动获取了该组织使用的65个域名的控制权。该行动涉及多国执法机构协调,展示了科技公司与执法部门合作打击网络犯罪的模式。
八、行业动态
Verizon DBIR:漏洞利用首次超越凭据窃取成为首要入侵途径
Verizon年度数据泄露调查报告(DBIR)显示,漏洞利用首次超越凭据窃取成为导致数据泄露的首要攻击途径。这一标志性转变反映了AI加速漏洞发现和利用的影响,以及组织修补速度滞后于攻击速度的困境。报告还发现,勒索软件仍然是占比最大的威胁行动,但攻击者的入侵手法正在从凭据窃取向漏洞利用转变。报告建议组织将修补速度从月度缩短至周度,并优先处理面向公众的漏洞。
58%的CISO表示愿意支付勒索赎金
一项调查显示58%的CISO表示在遭遇勒索软件攻击时会考虑支付赎金,这一比例较去年有所上升。支持支付赎金的CISO认为,业务连续性和数据恢复的紧迫性超过了不向犯罪分子妥协的原则立场。然而,执法机构和安全专家持续建议不要支付赎金,指出支付赎金不保证数据恢复、助长犯罪生态,且可能违反制裁法规。调查还发现,拥有完善备份策略的组织支付赎金的可能性显著降低。
四分之三企业明知故犯交付含漏洞代码
一项令人震惊的调查显示,四分之三的企业在明知存在安全漏洞的情况下仍然交付软件代码。主要原因是发布期限压力、安全修复的资源不足以及漏洞修复与业务优先级的冲突。调查还发现,代理AI正在加速软件构建过程,但安全测试并未相应提速,导致漏洞被更快地推入生产环境。安全专家呼吁将安全左移真正落实,而非停留在口号层面。
Apple过去一年阻止了22亿美元App Store欺诈
Apple宣布在过去12个月中阻止了超过22亿美元的App Store欺诈交易,并拒绝了近170万个不符合隐私、安全和内容标准的应用提交。Apple通过机器学习模型和人工审核相结合的方式识别欺诈行为,包括虚假评论、钓鱼应用和恶意订阅。该公司还阻止了超过1400万张被盗信用卡的欺诈交易。Apple强调其封闭的应用生态系统为用户提供了比Android更安全的环境。
电信行业成立私营ISAC
电信行业宣布成立自己的私营信息共享与分析中心(ISAC),专注于电信领域的网络威胁情报共享。此举旨在加强电信运营商之间的协作,共同应对日益复杂的网络威胁。新ISAC将汇集威胁指标、攻击手法分析和最佳实践,供成员共享。此前电信行业依赖跨行业ISAC,但专用平台将提供更聚焦的情报。该举措反映了关键基础设施行业对专业化威胁情报共享日益增长的需求。
结语
本周全球网络安全态势依然严峻。APT组织的活跃度持续上升,关键基础设施成为主要攻击目标;漏洞披露数量保持高位,多个主流平台产品存在安全隐患;AI技术在网络攻击中的应用日益成熟,攻击自动化程度不断提升,传统的安全防御手段面临新的挑战。与此同时,供应链攻击和数据泄露事件依然高发,显示了数字生态系统中信任链条的脆弱性。建议各相关机构和企业持续关注最新威胁情报,加强漏洞管理和安全监测,及时更新防护策略,筑牢网络安全防线。
京公网安备 11010802033237号
