文章最后更新时间2025年08月11日,若文章内容或图片失效,请留言反馈!
2025年8月2日至2025年8月8日,国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计21条。 01
APT组织UAC-0099利用MATCHBOIL恶意程序对乌克兰目标用户实施网络攻击近日,安全研究人员监测发现APT组织UAC-0099以“法庭传票”为话题制作钓鱼邮件,诱使乌克兰政府机构、国防工业公司等目标用户点击实施渗透入侵。攻击成功后,邮件内的恶意HTA文件会自动向用户设备植入混淆后的VBScript,进而调用PowerShell模块创建临时文本文件,执行名为“PdfOpenTask”的计划任务,并释放诱饵PDF文件。然后,该VBScript脚本会执行另一个名为“UpdateAnimalSoftware”的计划任务,向受控设备部署MATCHBOIL恶意加载器程序,进而利用其部署MATCHWOK和DRAGSTARE功能性载荷。其中,MATCHWOK为C#后门程序,可利用.NET、powershell与STDIN执行恶意指令,并将命令执行结果通过HTTPS泄露到APT组织指定的C2服务器上;DRAGSTARE为C#开发的信息窃取程序,在植入用户设备后会收集计算机名称、操作系统版本、RAM、网络接口、ARP表、TCP连接等多项系统数据,同时通过DPAPI对用户设备logins.json等文件进行解密,以此窃取各类浏览器登录凭证。综上,相关攻击事件凸显该APT组织的模块化攻击方法,攻击策略混合了加载器、后门和信息窃取程序,以此实现对用户设备的持续访问和数据窃取,存在较大潜在安全威胁。
链接:https://gbhackers.com/uac-0099-hackers-weaponize-hta-files/ 02
APT组织APT36对印度政府实体目标实施网络攻击近日,安全研究人员监测发现可能与巴基斯坦有关的APT组织APT36仿冒印度官方政府平台制作钓鱼页面,诱使目标用户点击,以试图窃取用户电子邮件账户密码及Kavach身份验证码。据称,Kavach是由印度国家信息中心(NIC)开发的MFA应用程序,旨在增强政府电子邮件服务的安全性,该程序可生成基于时间的OTP,与用户密码一起使用,对官方电子邮件帐户登录行为进行验证。同时,安全人员在对钓鱼页面分析时发现,该域名与远程服务器存在HTTPS通联行为,以此判断,在该钓鱼页面捕获用户输入的同时,还会同时将其进行上传,以便攻击者即时利用相关信息扩大攻击面,窃取用户敏感信息。
链接:https://www.cyfirma.com/research/apt36-a-phishing-campaign-targeting-indian-government-entities/ 01
美国战略与国际研究中心与保卫民主基金会合作成立“网络部队建设委员会”8月4日,美国CSIS官方网站发文称,由战略与国际研究中心(CSIS)与保卫民主基金会(FDD)的“网络日光浴委员会2.0”项目合作成立的“网络部队生成委员会”(the Commission on Cyber Force Generation),于2025年8月4日正式启动。该委员会旨在解决美军在网络战备方面长期存在的关键缺口。同时,该委员会还负责以下核心任务:一是侧重关注于网络部队组建过程中涉及的组织结构、核心职能及相关权限,以加快部队成立项目的执行速度,降低过渡风险,确保政策决策转化为作战优势;二是该委员会将召集政府官员、独立专家、业界专家等利益相关者,广泛收集意见并以此制定政策建议;三是该委员会本身成员由国防、国家安全和科技行业的高级专家组成,其多元化视角将会为美国防部如何应对网络空间领域威胁,以及独立网络部队各项职责提出具体建议。链接:https://www.csis.org/news/csis-launches-commission-cyber-force-generation 02
微软公司推出Project Ire人工智能代理平台,以推进恶意软件检测工作近日,微软公司宣布推出一款名为Project Ire的自主人工智能代理平台,可自动化对软件、文件进行完全逆向工程分析,利用多个反编译器、内存分析沙箱和其他工具,从二进制分析、控制流重建到高级代码行为解释,对样本进行审查,以确定是否为恶意样本。综上,该平台实现了大规模恶意软件的自动分析与分类,加速威胁响应过程,减少了分析师手工检测样本的时间。
链接:https://thehackernews.com/2025/08/microsoft-launches-project-ire-to.html近日,澳大利亚数字化转型局(DTA)发布《政府人工智能技术标准》(Australian Government AI technical standard)。该标准是现有面向澳大利亚公共服务的人工智能指南套件的补充部分,概述了AI系统全生命周期的核心技术标准,涵盖从采购、设计、开发到部署、运营和停用的全过程,旨在支持各机构通过使用人工智能提供高质量的服务。
链接:https://fst.net.au/government-news/dta-releases-new-technical-standard-for-responsible-ai-in-govt/ 04
可绕过C2安全检测的“Ghost Calls”新型攻击技术被披露Praetorian安全人员在美国黑帽安全会议上提出了一种名为“Ghost Calls”的新型攻击技术,可在不依赖漏洞利用的情况下绕过大多数现有的防御和反滥用安全机制。据称,该攻击技术以“Traversal Using Relays around NAT”(TURN)网络协议为基础,当Zoom或Teams客户端加入会议时,会自动收到临时TURN凭证,“Ghost Calls”可劫持该凭证,并以此建立攻击者与目标用户间的WebRTC通信隧道,然后该隧道将会用于代理任意数据,或通过Zoom、Teams等使用的可信基础设施,将C2流量伪装成常规视频会议流量。由于该流量经由合法域名和IP进行路由,因此恶意通信流量可绕过防火墙,以及针对代理和TLS的安全检测。
链接:https://www.bleepingcomputer.com/news/security/new-ghost-calls-tactic-abuses-zoom-and-microsoft-teams-for-c2-operations/8月6日,英国国家网络安全中心(NCSC)发布了网络评估框架第四版(CAF v4.0),旨在帮助关键服务提供商增强网络安全性和整体韧性。该框架通过GovAssure网络安全保障计划在各个部门进行整体实施,且为跟进攻击方法迭代演变等安全态势,CAF 4.0版本引入了四项更新:一是新增内容深入分析攻击者入侵策略与动机,以便更好地做出网络风险决策;二是新增内容确保软件开发过程中针对安全性的全生命周期管理;三是对原有安全监控与威胁搜寻的部分内容进行更新,以提高对网络安全事件的发现及检测能力;四是在整个CAF框架的网络风险覆盖范围进行延展,以适应人工智能技术的快速发展。
链接:https://www.ncsc.gov.uk/blog-post/caf-v4-0-released-in-response-to-growing-threatPortSwigger研究总监James Kettle在美国黑帽安全会议上展示了一种新的攻击方法,利用Web服务器处理HTTP请求方式的不一致性,使得攻击者能够通过创建特制请求的方式,由前端服务器转发到后端服务器,致使后端服务器被欺骗,认为该请求的长度比实际长度短,进而服务器会将请求的剩余部分留在连接缓冲区中,并将其附加在合法用户的下一个请求中。攻击者可利用该攻击方式将用户浏览器重定向至钓鱼页面,或大规模窃取用户登录凭证。同时,根据上述攻击方法,共演变出四类攻击变体,包括:基于原生Expect标头的0.CL/CL.0异步攻击方式,以及基于混淆Expect标头的0.CL/CL.0异步攻击方式。安全人员声称,上述攻击方式影响T-Mobile、Gitlab、Netlify CDN、Akamai CDN等主流厂商和数百万量级的网站,用户可通过将上游HTTP/1.1协议更替为HTTP/2的方式降低安全风险。
链接:https://portswigger.net/research/http1-must-die近日,安全研究人员发现可帮助用户管理Linux服务器应用、网站、文件、数据库的1Panel平台存在远程命令注入漏洞(CVE-2025-54424),是由该平台证书校验过程存在缺陷所导致,允许未经身份验证的攻击者访问目标设备并结合相关接口实施远程任意命令执行。漏洞影响ersion <= v2.0.5等版本,目前用户可通过版本升级修复上述安全漏洞。近日,安全研究人员发现人工智能代码编辑器Cursor存在被称为“CurXecute”的提示词注入攻击漏洞(CVE-2025-54135),允许攻击者通过使用“外部托管”方式的提示词注入,重写项目目录中的mcp.json 文件,进而实现以开发者权限远程执行任意代码。漏洞影响Cursor version < 1.3等版本,目前用户可通过版本升级修复上述安全漏洞。链接:https://www.bleepingcomputer.com/news/security/ai-powered-cursor-ide-vulnerable-to-prompt-injection-attacks/近日,安全研究人员发现大华安防摄像头系列产品存在2个安全漏洞。其中,第一个安全漏洞是摄像头ONVIF协议缓冲区溢出漏洞(CVE-2025-31700),允许攻击者通过发送大量垃圾数据的方式覆盖设备内存正常数据,进而无需登录摄像头即可执行恶意指令;第二个安全漏洞是全局变量覆盖漏洞(CVE-2025-31701),是由相关摄像头产品会错误复制数据头所导致,允许未经身份验证的攻击者覆盖摄像头相邻全局变量,进而劫持摄像头控制权并远程执行任意指令。漏洞影响大华Hero C1 (DH-H4C)型号及IPC-1XXX、IPC-2XXX、IPC-WX和SD系列摄像机产品,目前用户可通过固件版本升级的方式修复上述安全漏洞。链接:https://hackread.com/bitdefender-update-dahua-cameras-critical-flaws/近日,安全研究人员发现曾在8月初披露的开源Node.js框架NestJS远程代码执行漏洞(CVE-2025-54782)PoC在互联网上被曝光,攻击者可通过恶意网站触发CSRF攻击,利用沙箱逃逸在开发者本地机器上实现远程代码执行。漏洞影响nestjs/devtools-integration<0.2.1等版本,目前用户可通过版本升级修复上述安全漏洞。链接:https://rocket-boys.co.jp/security-measures-lab/chatgpt-nestjs-developer-tools-rce-vulnerability-cve-2025-54782/ 05
ADOdb sqlite3数据库存在SQL注入漏洞近日,安全研究人员发现广泛使用的PHP数据库抽象库ADOdb存在SQL注入漏洞(CVE-2025-54119),是由metaColumns()、metaForeignKeys()、metaIndexes()方法中表名参数转义不当处理所导致,允许攻击者在目标数据中注入并执行任意SQL语句。目前,用户可通过将ADOdb SQLite3驱动版本升级至5.22.10版本的方式修复上述安全漏洞。链接:https://www.tenable.com/cve/CVE-2025-54119 06
Anthropic Claude Code存在2个安全漏洞近日,安全研究人员发现Anthropic Claude Code AI编程助手存在2个安全漏洞。其中,第一个安全漏洞是路径限制绕过漏洞(CVE-2025-54794),是由Claude Code验证文件路径存在缺陷所导致,允许攻击者未授权访问目标沙盒环境以外的用户文件;第二个安全漏洞是命令注入漏洞(CVE-2025-54795),是由Claude Code对白名单命令输入数据清理不当所导致,允许攻击者通过注入恶意命令的方式执行任意指令。漏洞影响Claude Code version < 0.2.111等版本,目前用户可通过版本升级修复上述安全漏洞。链接:https://cybersecuritynews.com/claude-vulnerabilities/近日,安全研究人员发现Dell Unity svc_nfssupport应用程序存在命令注入漏洞,允许经过初步身份验证的攻击者绕过受限Shell,并以root权限执行任意系统命令。漏洞影响Dell Unity OS<5.5等版本,目前用户可通过版本升级等方式修复上述安全漏洞。链接:https://secalerts.co/vulnerability/CVE-2025-36606 08
NVIDIA Triton Inference Server存在一组安全漏洞近日,安全研究人员发现NVIDIA开源人工智能平台Triton Inference Server存在一组安全漏洞。其中,第一个安全漏洞为CVE-2025-23319,允许攻击者通过发送恶意请求的方式造成越界写入;第二个安全漏洞为CVE-2025-23320,允许攻击者通过发送过大请求数据的方式超出共享内存上限,以此实现内存溢出;第三个安全漏洞为CVE-2025-23334,允许攻击者通过发送恶意请求的方式造成越界读取。上述三个安全漏洞可被攻击者联合利用,实现远程任意代码执行。漏洞影响version<25.07等版本,目前用户可通过版本升级修复上述安全漏洞。链接:https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html8月6日,Sweet Security安全人员Naor Haziz在美国黑帽安全会议上公布研究成果,披露了一种称为ECS-cape的安全漏洞,允许具有低权限IAM角色恶意容器的攻击者无需主机根访问权限,即可窃取同一个EC2实例上其他高权限容器AWS凭证,进而实现横向移动和权限提升。目前,用户可通过避免在同一个实例上部署多个高权限容器,采用AWS Fargate隔离机制,禁用或限制任务IMDS访问权限等方式降低安全风险。链接:https://www.blackhat.com/us-25/briefings/schedule/#ecs-cape--hijacking-iam-privileges-in-amazon-ecs-45686 10
Microsoft Exchange Server存在权限提升漏洞近日,安全人员在黑帽网络安全会议上披露称,微软Exchange Server存在权限提升漏洞(CVE-2025-53786),是由混合部署架构中本地Exchange服务器与Exchange Online间身份验证机制存在缺陷所导致,允许拥有本地管理访问权限的攻击者将其权限提升至云环境,进而影响Exchange Online服务的身份完整性。目前,美国CISA已发布该漏洞的安全警报并建议称,用户可通过安装2025年4月份微软Exchange Server修补程序等方式降低安全风险。链接:https://cybersecuritynews.com/microsoft-exchange-server-vulnerability/近日,北极狼实验室(Arctic Wolf Labs)研究人员发布报告称,监测发现攻击者利用SonicWall SSL VPN安全漏洞对用户设备实施入侵并部署Akira勒索软件,且推测该SonicWall SSL VPN疑似存在零日漏洞,因为即使是已进行漏洞修复,采用MFA身份验证机制,同时定期轮换凭证的相关设备依然遭到入侵。此外,报告称,该勒索软件自2023年3月份以来一直十分活跃,且攻击目标涉及教育、金融、房地产等多个领域,近期该勒索软件也进行了迭代更新,新增了Linux加密器模块,可针对VMware ESXi服务器实施加密勒索。报告建议称,相关用户应考虑禁用SonicWall SSL VPN 服务,直到补丁发布并部署为止。
链接:https://securityaffairs.com/180724/cyber-crime/akira-ransomware-targets-sonicwall-vpns-in-likely-zero-day-attacks.html
近日,安全研究人员捕获到可隐藏在Linux PAM模块中的Plague新型Linux后门程序样本。经分析发现,该样本具有以下特点:一是可绕过身份验证机制,对受控设备实施持久性的SSH访问;二是该样本具有反调试功能,其载荷数据、静态访问密码均进行了字符串混淆,早期版本依赖于简单的XOR加密,后期样本均采取KSA/PRGA加密算法与DRBG(确定性随机位生成器)层相结合的方式进行混淆,其规避安全检测能力较强;三是该样本具备反调试功能,可在植入目标设备后实施关键环境变量修改,清空Shell历史记录,以及检查ld.so.preload等操作,确保自身隐秘性和持久性驻留。
链接:https://securityaffairs.com/180701/malware/new-linux-backdoor-plague-bypasses-auth-via-malicious-pam-module.html
近日,安全研究人员捕获到PXA Stealer新型信息窃取程序样本。经分析发现,该样本采用具备合法签名的Microsoft Word 2013钓鱼文件作为网络钓鱼诱饵,以实现自身的广泛传播。当用户点击钓鱼文档时,受控设备将会自动加载恶意msvcr100.dll文件,进而开启一系列多阶段活动链,最终部署PXA Stealer载荷。该载荷是一款基于Python的信息窃取程序,首现于2024年,在植入受控设备后会自动识别用户系统应用程序及大量接口,进而对敏感数据进行窃取后,通过Cloudflare Worker中继转发至特定的Telegram机器人,以此实现敏感信息的外泄。目前,已有美国、韩国、荷兰等62个国家的4,000多名用户遭受此类攻击。
链接:https://www.sentinelone.com/labs/ghost-in-the-zip-new-pxa-stealer-and-its-telegram-powered-ecosystem/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om
还没有评论,来说两句吧...