本文预计阅读时间30分钟
政策法规方面,美国战争部宣布实施新的“网络安全风险管理框架”;CISA及其合作伙伴发布资产清单指南,增强OT系统网络弹性。
漏洞预警方面,CISA披露联邦机构受GeoServer漏洞影响,敦促加强网络防御;思科修复影响路由器和交换机的零日漏洞;FSupermicro漏洞补丁被绕过,导致BMC遭黑客攻击;Cyble披露22个正在受到主动攻击的漏洞;最高严重程度的GoAnywhere MFT漏洞被利用为零日漏洞;SolarWinds发布第三个补丁修复Web Help Desk RCE漏洞。
安全事件方面,伊朗间谍组织瞄准欧洲电信、航空航天和国防公司;欧洲机场网络攻击与神秘勒索软件有关;美俄亥俄州联合县发生数据泄露事件;汽车制造商巨头Stellantis证实Salesforce遭黑客攻击后数据泄露;沃尔沃北美公司披露其供应商遭受勒索软件攻击。
风险预警方面,DDoS攻击峰值破纪录,达22Tbps和10Bpps;RainyDay、Turian和新的PlugX变体滥用DLL搜索顺序劫持;Obscura鲜为人知的新型勒索软件变种;Nimbus Manticore瞄准欧洲部署新恶意软件;SonicWall备份文件泄露后敦促用户紧急重置凭证;攻击者利用思科防火墙零日漏洞部署RAYINITIATOR和LINE VIPER恶意软件;LockBit 5.0勒索软件:跨平台演进,攻击Windows、Linux和ESXi。
2025年9月24日,美国战争部宣布实施变革性的“网络安全风险管理框架”(CSRMC),旨在以作战速度为美军提供实时网络防御。新框架秉承十项核心原则:一是自动化,旨在提高效率和规模;二是关键控制,旨在识别和跟踪对网络安全最重要的控制;三是持续监控和操作授权,旨在实现实时态势感知,确保持续的操作状态;四是开发、安全和运维,旨在支持安全、敏捷的开发和部署;五是网络生存能力,旨在支持在对抗环境中开展行动;六是培训,旨在提升人员技能以应对不断变化的挑战;七是体系服务和继承,旨在减少重复和合规负担;八是操作化,旨在确保利益攸关方近乎实时地了解网络安全风险态势;九是互惠,旨在跨系统重复使用评估;十是网络安全评估,旨在整合威胁知情测试以验证安全性。
资料来源:
2025年9月26日,美国网络安全与基础设施安全局(CISA)及其合作伙伴于周三发布了一份资源指南,旨在帮助运营技术(OT)系统所有者和运营商通过创建清晰的资产清单和分类来加强基础设施安全。通过有效地识别、组织和管理OT资产,组织机构可以增强网络安全,同时提高运营的可靠性、安全性和弹性。在现有的工业格局中,OT系统不再是孤立的,而是与 IT 和业务网络深度集成,使其成为网络攻击的主要目标。鉴于这一日益增长的风险,该文件指导组织机构如何缓解漏洞并保护关键运营。该资源名为《OT网络安全基础:资产清单所有者和运营商指南》,概述了OT所有者和运营商创建资产清单和OT分类法的流程。该流程包括定义清单的范围和目标、识别资产、收集属性、创建分类法、管理数据以及实施资产生命周期管理。这些步骤定义了创建和维护OT资产清单和OT分类法的全面而系统的方法,使组织能够维护其OT资产的准确且最新的记录。
资料来源:
https://industrialcyber.co/cisa/cisa-partners-release-asset-inventory-guidance-to-protect-ot-systems-from-cyberattacks-bolster-resilience/
2025年9月25日,美国网络安全和基础设施安全局 (CISA) 发布了一份网络安全咨询报告,概述了联邦民事行政部门 (FCEB) 机构在一次事件响应中汲取的经验教训。该机构因未能及时修补GeoServer漏洞(CVE-2024-36401),导致威胁行为者利用此漏洞入侵系统。此次响应源于该机构通过其端点检测和响应 ( EDR ) 工具的安全警报检测到的潜在恶意活动。CISA 指出了三个关键缺陷,这些缺陷凸显了如何更好地降低风险、预防和响应事件。漏洞未得到及时修复,事件响应计划 (IRP) 未经过测试或演练,并且 EDR 警报未得到持续审查。CISA强调,组织必须立即修补已知被利用漏洞(KEV)目录中的漏洞,并优先处理高风险系统。应制定并定期通过演练测试IRP,明确关键人员职责、第三方访问权限及应急通信流程。同时,需加强安全监控,实施全面的日志管理和分析,确保安全运营中心能有效响应威胁。
资料来源:
2025年9月25日,思科周三宣布修复IOS和IOS XE中的14个漏洞,其中包括一个已被野外利用的漏洞。该漏洞编号为 CVE-2025-20352(CVSS 评分为 7.7),是IOS和IOS XE的简单网络管理协议(SNMP)子系统中的堆栈溢出情况,可以通过向易受攻击的路由器或交换机发送精心设计的SNMP数据包来利用该漏洞。思科解释称,低权限攻击者可利用该漏洞引发拒绝服务(DoS)攻击。高权限攻击者可利用该漏洞以 root 用户身份远程执行任意代码。所有运行易受攻击的IOS和IOS XE 版本的设备都会受到影响,运行Meraki CS 17及更早版本的Meraki MS390和Catalyst 9300系列交换机也会受到影响。思科敦促用户尽快将其设备更新到修补版本,因为攻击者已经利用泄露的管理员凭据在野外利用了该安全缺陷。
资料来源:
https://www.securityweek.com/cisco-patches-zero-day-flaw-affecting-routers-and-switches/
2025年9月23日,Supermicro已修补两个BMC 漏洞,这些漏洞可被利用对受影响的设备执行恶意固件更新。BMC(基板管理控制器)是一种专用芯片,通常存在于服务器和高端计算机的主板上,它提供带外管理功能,允许管理员远程监控和管理设备,即使操作系统关闭或电源关闭。Nvidia的一名研究人员发现了几个BMC固件漏洞,包括CVE-2024-10237,这是一个图像认证问题,可能允许攻击者进行恶意固件更新。Supermicro解释说:“攻击者可以修改固件以绕过BMC检查并绕过签名验证过程。”恶意固件更新将使攻击者能够完全且持续地控制BMC和操作系统。Binarly对 CVE-2024-10237 漏洞进行了分析,发现Supermicro发布的补丁可以被绕过。因此,Supermicro分配了新的CVE标识符CVE-2025-7937,并于本月再次尝试修复该漏洞。在调查过程中,Binarly还发现了另一个类似的漏洞,其CVE标识符 CVE-2025-6198。Supermicro也已通过最新更新修补了此漏洞,并指出没有证据表明这两个漏洞被野外利用。
资料来源:
2025年9月23日,Cyble研究人员在今天的博客文章中详细介绍了22个受到主动攻击的漏洞-其中9个不在CISA的已知被利用漏洞(KEV)目录中。Cyble博客中提到的12个漏洞是该公司蜜罐传感器检测到的攻击尝试所针对的。在这12个漏洞中,只有4个被列入了CISA的KEV目录中。 Cyble还详细介绍了勒索软件团体攻击的10个漏洞;其中9个位于KEV目录中。SolarWinds发布了针对SolarWinds Web Help Desk中新CVE ( CVE-2025-26399 )的修补程序,该修补程序绕过了CVE-2024-28988的漏洞,而CVE-2024-28988本身又绕过了CVE-2024-28986的漏洞。由于CVE-2024-28986已收录在CISA的KEV目录中,因此这个新的 9.8级CVE很可能会引起威胁行为者的注意。Cyble还列出了10个勒索软件组织利用的漏洞,这些漏洞来自Cyble的观察和OSINT来源。只有一个漏洞不在KEV目录中,即ThrottleStop.sys中的CVE-2025-7771,据报道该漏洞已成为MedusaLocker的攻击目标。
资料来源:
https://thecyberexpress.com/vulnerabilities-under-attack/?&web_view=true
2025年9月26日,黑客正在积极利用Fortra的GoAnywhere MFT中最高严重性漏洞(CVE-2025-10035),该漏洞允许在未经身份验证的情况下远程注入命令。该漏洞是GoAnywhere管理文件传输软件的许可证Servlet中的一个反序列化漏洞,可被“具有有效伪造许可证响应签名的参与者”利用来注入命令。WatchTowr Labs的安全研究人员表示,他们收到了“可靠证据”,证明Fortra GoAnywhere CVE-2025-10035被用作零日漏洞。鉴于该漏洞的活跃利用状态,建议尚未采取行动的系统管理员升级到修补版本,即 7.8.4(最新版本)或 7.6.3(持续版本)。一种缓解措施是消除GoAnywhere管理控制台的公共互联网暴露。Fortra还建议管理员检查日志文件中是否存在包含字符串“SignedObject.getObject”的错误,以确定实例是否受到影响。
资料来源:
https://www.bleepingcomputer.com/news/security/maximum-severity-goanywhere-mft-flaw-exploited-as-zero-day/
2025年9月23日,SolarWinds发布了针对Web Help Desk中一个严重漏洞的修补程序,该漏洞允许在未经身份验证的情况下执行远程代码(RCE)。该安全问题编号为CVE-2025-26399,是该公司第三次尝试解决旧漏洞CVE-2024-28986,该漏洞影响了Web Help Desk (WHD) 12.8.3及所有以前的版本。CVE-2025-26399影响最新的WHD版本12.8.7,其原因是AjaxProxy组件中存在不安全的反序列化处理问题。成功利用该漏洞,未经身份验证的攻击者便可在主机上运行命令。SolarWinds已发布修复CVE-2025-26399漏洞的修补程序,该修补程序需要安装Web Help Desk 12.8.7版本。
资料来源:
2025年9月22日,网络威胁情报公司Prodaft提供信息。Subtle Snail (UNC1549)是一个与伊朗有关联的间谍组织。该组织最近将重点转向欧洲电信、航空航天和国防组织。该组织的主要目标是渗透电信实体,同时保持对航空航天和国防组织的兴趣,以建立长期驻留能力并窃取敏感数据用于间谍活动。Prodaft上周披露:“该组织首先假扮为合法实体的人力资源代表,与员工接触,然后通过部署MINIBIKE后门变种来入侵员工,该变种通过Azure云服务代理与命令和控制(C2)基础设施通信,从而绕过检测。在首次检测时,由于使用了多种混淆和规避技术,大多数AV供应商对恶意样本的检测率较低。”研究人员发现,Subtle Snail的行动将情报收集与对关键电信网络的长期访问相结合,造成了严重的破坏。“他们不仅感染设备,还会主动搜索敏感数据以及保持访问权限的方法。在面板内部,他们使用预定义的路径来指导搜索,并专注于窃取电子邮件、VPN配置和其他有助于他们保持控制的信息。”
资料来源:
2025年9月24日,据报道,最近针对航空航天和国防公司柯林斯航空航天 (Collins Aerospace) 的网络攻击涉及一种名为HardBit的勒索软件,该攻击导致欧洲主要机场严重中断。网络犯罪分子正在使用HardBit勒索软件加密受感染系统上的文件,并声称窃取受害者的数据,但与许多其他勒索软件操作不同,他们似乎没有公布受害者姓名并泄露被盗数据。本周早些时候有迹象表明,臭名昭著的ShinyHunters黑客组织可能参与了此次攻击。与ShinyHunters有关联的Scattered Spider组织曾以航空业为目标。针对提供值机和登机系统的柯林斯航空航天公司的网络攻击已影响到英国、德国和比利时的主要机场,包括伦敦希思罗机场、布鲁塞尔机场和柏林勃兰登堡机场。受影响的机场已报告航班延误和取消,中断情况持续至周三。截至撰写本文时,FlightRadar24仍显示受影响机场仍有大量航班延误。
资料来源:
2025年9月25日,俄亥俄州联合县官员证实,他们已通知45,487人,2025年 5月发生了一起数据泄露事件,社保号、信用卡和医疗信息等被泄露。截至目前, Comparitech 研究人员已记录到2025年针对美国政府实体的61起确认的勒索软件攻击。这些攻击泄露了超过431,000条记录。俄亥俄州联合县的攻击是今年记录数量第二大的此类数据泄露事件。华盛顿州皮尔斯县图书馆系统的数据泄露事件超过了它,该系统泄露了336,826条记录,勒索软件公司声称这是一起数据泄露事件。勒索软件团体针对政府机构的勒索软件攻击既能窃取数据,又能锁定计算机系统。它们可以破坏各种政府系统,从账单支付到法庭记录,甚至紧急调度。各机构必须为被盗数据支付赎金并恢复系统,否则将面临长时间停机、永久性数据丢失,并使数据主体面临更高的欺诈风险。
资料来源:
https://www.comparitech.com/news/union-county-oh-notifies-45000-people-of-data-breach-that-leaked-ssns-credit-cards-and-medical-info/?&web_view=true
2025年9月22日,汽车制造巨头Stellantis证实,攻击者在进入第三方服务提供商的平台后窃取了部分北美客户的数据。Stellantis目前是全球营收最高的汽车公司之一,也是全球销量第五大的汽车制造商。根据周末发布的声明,攻击者在攻击过程中仅窃取了客户联系信息,因为被入侵的平台并未用于存储财务或其他敏感的个人信息。该汽车巨头还建议客户警惕潜在的网络钓鱼攻击,并在收到意外的电子邮件、短信或电话时不要点击可疑链接或分享个人信息。尽管Stellantis没有分享有关此次攻击的更多信息,但BleepingComputer获悉,这是最近一波与ShinyHunters勒索集团有关的Salesforce数据泄露事件的一部分,该事件已影响到许多知名公司。ShinyHunters声称对Stellantis数据泄露事件负责,并告诉BleepingComputer,他们从该公司的Salesforce实例中窃取了超过1800 万条Salesforce记录,包括姓名和联系方式。该勒索集团一直利用语音钓鱼攻击针对Salesforce客户进行数据窃取攻击,影响了谷歌、思科、澳洲航空、阿迪达斯、安联人寿、农民保险、Workday以及LVMH子公司(包括迪奥、路易威登和蒂芙尼)等公司。
资料来源:
2025年9月25日,沃尔沃北美公司披露了一次数据泄露事件,在勒索软件攻击第三方供应商Miljödata(瑞典系统供应商)后,其员工的个人数据被泄露。此次勒索软件攻击发生在8月份,至少影响了25家公司,包括北欧航空公司SAS、Boliden以及200个瑞典市政当局。受影响的系统由管理人员和人力资源部门用于处理医疗证明、康复事宜以及工伤报告和管理。勒索软件组织DataCarry声称Miljödata的攻击负责,并在其Tor泄漏网站上发布了据称被盗的数据。沃尔沃集团北美公司向马萨诸塞州检察总长报告,一次数据泄露事件导致员工姓名和社会保障号码泄露。该公司指出,其系统并未受到损害。沃尔沃集团为受影响的个人提供了18个月的免费身份保护和信用监控服务。
资料来源:
2025年9月24日,网络性能和安全公司Cloudflare周二报告称,其系统阻止了另一次破纪录的分布式拒绝服务(DDoS) 攻击。最新一次破纪录的攻击峰值为每秒22.2太比特 (Tbps) 和每秒106亿个数据包(Bpps),持续时间仅为40秒。该公司表示,此次超大容量DDoS攻击的规模是之前记录的两倍,但已被其系统自主阻止。 Cloudflare称,此次攻击针对的是一家未具名的欧洲网络基础设施公司的单个IP地址。Cloudflare尚未确定此次攻击的幕后黑手,但认为它可能是由Aisuru僵尸网络发起的,该僵尸网络今年早些时候还与网络安全博主Brian Krebs的网站遭受的6.3 Tbps大规模攻击有关。Cloudflare在7月份透露,其在2025年上半年阻止的DDoS攻击数量已经超过了2024年缓解的所有攻击数量。
资料来源:
2025年9月23日,思科Talos团队发现一项针对中亚和南亚国家电信和制造业的持续攻击活动。根据对收集到的证据的分析,我们中等程度地确信该攻击活动可能由Naikon发起。Naikon是一个活跃的中文威胁行为者。此项评估基于对此次攻击活动中使用的PlugX配置格式及其恶意软件感染链的分析,该感染链与其之前的恶意软件RainyDay非常相似。 在对RainyDay 后门进行调查和追踪的过程中,Talos发现了两个重要发现。首先,我们发现Turian后门的多个实例以及新发现的PlugX后门变种正在滥用与RainyDay相同的合法移动弹出应用程序,将自身加载到内存中。其次,我们观察到这三个恶意软件家族使用的加载器不仅具有类似的XOR解密函数,而且还使用相同的RC4密钥来解密加密的有效负载。虽然我们在此次攻击活动中没有观察到任何与RainyDay或Turian相关的活动,但这一发现使我们能够对归因进行评估。
资料来源:
https://blog.talosintelligence.com/how-rainyday-turian-and-a-new-plugx-variant-abuse-dll-search-order-hijacking/?&web_view=true
2025年9月24日,此前Huntress分析师发现了一种之前从未见过的勒索软件变种,名为“Obscura”。该名称取自勒索信(README_Obscura.txt),其内容中也多次提及Obscura。勒索软件可执行文件最初被发现在受害组织的多台主机上执行。该网络中Huntress代理的部署有限,这影响了检测和响应,并抑制了SOC的有效响应能力。Obscura是Huntress近几个月发现的几种较新的勒索软件变种之一,其他变种包括Crux勒索软件和Cephalus勒索软件。这可能由多种因素造成。在执法部门的干扰影响到生态系统后,威胁行为者不断重塑勒索软件变种并推出新的变种。企业应该密切监控其域控制器,并留意新文件的添加以及对现有文件(包括 GPO)的修改。管理员还应监控域控制器以及其他端点(服务器、工作站)是否存在异常或可疑的访问。
资料来源:
2025年9月23日,自2025年初以来,Check Point Research (CPR) 一直在追踪Nimbus Manticore的攻击活动。Nimbus Manticore被称为 UNC1549,即Smoke Sandstorm,是一个成熟的伊朗关联APT组织,主要针对中东和欧洲的航空航天和国防组织。其部分行动此前也被描述为伊朗DreamJob 攻击活动。Nimbus Manticore的活动特点是高度针对性的网络钓鱼活动,从而导致部署定制植入程序,包括Minibike。Minibike(也称为SlugResin)由Mandiant于 2022年6月首次报道,自创建以来一直在稳步发展。多年来的样本分析显示了其进展,包括添加混淆技术以逃避检测和静态分析、模块化架构以及引入冗余的命令与控制 (C2) 服务器。Nimbus Manticore 扩大了对欧洲目标的关注,尤其是在电信、国防、航空航天、卫星和航空领域。研究人员分析了Minibike植入程序的演变过程,该植入程序采用了多层混淆技术,并越来越依赖合法的云服务来保持隐蔽性和难以检测。
资料来源:
https://research.checkpoint.com/2025/nimbus-manticore-deploys-new-malware-targeting-europe/?&web_view=true
2025年9月22日,在研究人员发现MySonicWall的配置备份文件无意中暴露在公共存储中后,SonicWall发布了紧急公告,鼓励客户重置所有登录凭据。这些文件包含SonicOS设备使用的加密密码、预共享密钥和TLS证书,这使得威胁行为者有可能解密凭据并获得对组织网络的未经授权的访问。9月17日,SonicWall发布了一篇知识库文章,确认某些MySonicWall帐户中的防火墙配置备份文件在线被错误访问。这些配置文件通常存储敏感元素,例如用户和组设置、VPN密钥、DNS数据和SSL证书。过去的研究表明,勒索软件组织和民族国家行为者都利用泄露的配置文件来策划后续攻击。为了在重置密码之前减少暴露,SonicWall建议禁用所有面向WAN的管理服务。这一事件凸显了保护云管理防火墙配置和维护严格凭证卫生的重要性。定期轮换凭证、分段管理访问权限以及监控可疑的身份验证尝试可以降低未来暴露的风险。
资料来源:
https://www.esecurityplanet.com/news/sonicwall-urges-urgent-credential-reset-after-backup-file-exposure/?&web_view=true
2025年9月26日,英国国家网络安全中心 (NCSC) 报告称,威胁行为者利用近期披露的思科防火墙漏洞(CVE-2025-20362和CVE-2025-20333)在零日攻击中部署了新型恶意软件系列RayInitiator和LINE VIPER。这些恶意软件与之前的攻击活动相比发生了重大演变,具有更高的复杂性和更先进的规避能力。思科表示,此次攻击活动针对的是具备VPN Web服务但缺乏安全启动/信任锚(Secure Boot/Trust Anchor)功能的ASA 5500-X型号(9.12/9.14)。受影响的已终止支持设备包括5512-X、5515-X、5585-X和5525/5545/5555-X(EoS截止日期为2025年9月30日)。思科还修补了 CVE-2025-20363 (CVSS 8.5/9.0),这是一个存在于ASA、FTD、IOS、IOS XE和IOS XR中的高危 Web 服务漏洞,可能允许远程代码执行。
资料来源:
https://securityaffairs.com/182639/hacking/uk-ncsc-warns-that-attackers-exploited-cisco-firewall-zero-days-to-deploy-rayinitiator-and-line-viper-malware.html
2025年9月27日,Trend Research发布了对LockBit 5.0的深入分析报告,该版本是全球最臭名昭著的勒索软件家族之一的最新演进版本。Trend Research证实,LockBit 5.0不仅限于传统的Windows环境。“Windows、Linux和ESXi变体的存在证实了LockBit持续的跨平台战略,能够同时对包括虚拟化环境在内的整个企业网络发起攻击。技术增强使LockBit 5.0对防御者构成了巨大的挑战。该勒索软件使用EvtClearLog API清除加密后的所有事件日志,并通过检测语言和地理位置设置避免在俄罗斯系统上执行。另一个特点是加密文件使用随机的16个字符的文件扩展名,这使得恢复和检测工作变得复杂。LockBit 5.0强调,没有任何平台能够免受现代勒索软件的侵害。该勒索软件即服务组织针对Windows、Linux和ESXi量身定制了各种变体,并结合了先进的混淆和反取证措施,即使在全球执法行动之后,也展现出强大的韧性。
资料来源:
https://securityonline.info/lockbit-5-0-ransomware-cross-platform-evolution-targets-windows-linux-and-esxi/
安帝科技丨ANDISEC
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...