每周网络安全简讯 ( 2025年 第43周 )

2025年10月18日至2025年10月24日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计20条。

APT攻击

APT组织Famous Chollima实施代号为“Contagious Interview”的网络攻击活动

近日，APT组织Famous Chollima实施代号为“Contagious Interview”的网络攻击活动，以恶意NPM包和伪装成面试诱导用户安装托管于Bitbucket的Chessfi恶意程序为初始入侵手段，然后利用EtherHiding隐蔽技术，将去中心化区块链作为弹性C2，从BNB Smart Chain和以太坊链获取后续载荷。经分析发现，该载荷同时具有BeaverTail与OtterCookie两款恶意软件的特征，不仅具有BeaverTail的浏览器配置文件枚举、加密货币钱包窃取等，以及OtterCookie的文件上传、远程Shell等恶意功能，还在此基础上增加了键盘记录、屏幕截图、辅助剪切板监控等功能。总体来看，此次攻击活动凸显出该APT组织的高度模块化、供应链驱动与去中心化C2等技术特点，其攻击链复杂性更为显著。

链接：https://thehackernews.com/2025/10/north-korean-hackers-combine-beavertail.html

APT组织COLDRIVER利用MAYBEROBOT新恶意程序对目标用户实施网络攻击

近日，安全研究人员发现在5月份公开披露APT组织COLDRIVER常用的LOSTKEYS恶意软件后，迅速将其弃用，转而在5至9月份采用ClickFix攻击方式，诱骗目标用户通过rundll32写入NOROBOT恶意程序。在此期间部署恶意程序需要在目标用户设备上安装完整的Python 3.8环境，执行恶意操作时会留下明显痕迹，因此该APT组织又对恶意程序进行迭代更新，转用无需Python环境的精简PowerShell后门MAYBEROBOT，可隐蔽自身并实施命令执行、敏感信息窃取等操作。安全人员声称，此次攻击手段的演变标志着COLDRIVER组织由功能完善、较易留痕的攻击方式转变为采用更灵活的工具集，通过跳过Python环境安装和最小化异常行为的方式避免安全检测。

链接：https://thecyberexpress.com/coldriver-new-malware-after-lostkeys-exposure/

APT组织Cavalry Werewolf对俄罗斯目标实施网络攻击

近日，安全研究人员发现APT组织Cavalry Werewolf对俄罗斯公共部门及能源、采矿、制造等关键行业目标实施入侵。此次攻击活动中，该APT组织伪装为吉尔吉斯斯坦政府机构，以“联合行动成果”“奖金名单”等话题为诱饵制作钓鱼邮件，诱使目标用户点击实施渗透入侵。攻击成功后，将通过一系列感染链向受控设备植入FoalShell和StallionRAT恶意程序载荷。经分析，FoalShell为多语言编写（C#、C++、Go）的反向shell后门，可在受控设备上构建一个隐藏的CMD进程，进而实施远程任意命令执行；StallionRAT是一款功能丰富的远程访问木马程序，具有Go、PowerShell、Python等多种版本，在植入受控设备后会通过Telegram Bot实现C2通信，绕过传统安全检测机制后，对设备实施远控。

链接：https://gbhackers.com/cavalry-werewolf-apt-2/amp/

APT组织APT36对印度目标用户实施网络攻击

近日，安全研究人员发现APT组织APT36伪装成印度国家信息中心（NIC），以“NIC eEmail Services”为话题制作钓鱼邮件，同时构建相关仿冒域名和登录门户（accounts.mgovcloud.in.departmentofdefence.live、departmentofdefence.live），诱导目标用户在其网站上输入邮箱地址与密码，从而窃取凭证并实现长期潜伏与数据渗透。同时，其钓鱼页面还具备有效的TLS证书，可有效规避浏览器安全告警，增强门户网站的可信度。安全人员建议称，用户应警惕任何非官方登录提示，启用多因素认证，监测异常登录与凭证滥用迹象，以降低遭受攻击的风险。

链接：https://gbhackers.com/nic-eemail-services/

APT组织PassiveNeuron对亚洲、非洲等地区目标用户实施网络攻击

10月22日，据thehackernews媒体网站报道，近日，卡巴斯基安全研究人员监测发现APT组织PassiveNeuron于2024年6月份开始，长期针对亚洲、非洲和拉丁美洲等地区国家的政府、金融和工业等目标实施网络攻击。此次攻击活动中，该APT组织采用一系列DLL加载器、Neursite定制化后门程序，以及.NET下载器NeuralExecutor，结合Cobalt Strike对用户设备实施入侵，并实现持久化远程访问。经分析，Neursite利用嵌入式配置与C2服务器进行连接，使用TCP、SSL、HTTP、HTTPS等协议进行通信，在植入用户设备后会自动收集系统参数信息、管理应用进程，部署辅助功能插件，并通过已感染后门设备代理流量的方式进行横向渗透。

链接：https://thehackernews.com/2025/10/researchers-identify-passiveneuron-apt.html

网络动态

国家互联网应急中心发布关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告

10月19日，国家互联网应急中心（CNCERT）发布关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告。据称，此次攻击事件中，NSA利用“三角测量行动”获取授时中心计算机终端的登录凭证，进而获取控制权限，部署定制化特种网攻武器，并针对授时中心网络环境不断升级网攻武器，进一步扩大网攻窃密范围，以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。

链接：https://www.cert.org.cn/publish/main/upload/File/IncidentReport_202510191425.pdf

美国核武工厂遭受黑客攻击

近日，某黑客组织利用微软SharePoint漏洞（CVE-2025-53770、CVE-2025-49704）对美国核武工厂堪萨斯城国家安全园区实施黑客攻击。该园区位于密苏里州，隶属于美国能源部下属的半自治机构美国国家核安全局，主要生产用于美国核防御系统的非核机械、电子和工程材料部件，同时还提供专业的技术服务，包括冶金分析、分析化学、环境测试和仿真建模。此次网络攻击针对的是该园区IT部门，对相关业务系统产生了一定影响，但由于该设施的OT系统与IT部门存在隔离机制，因此尚未可知此次攻击事件是否成功实现了横向渗透。

链接：https://www.csoonline.com/article/4074962/foreign-hackers-breached-a-us-nuclear-weapons-plant-via-sharepoint-flaws.html

AWS发生大规模服务中断事件

近日，亚马逊网络服务（Amazon Web Services，AWS）在美国东部（US-EAST-1）区域和欧洲西部（EU-WEST-1）区域发生严重宕机，导致多个依赖其基础设施的互联网服务出现中断，包括：Slack、Asana、Docker等主流平台，以及IAM、EC2、Cloudtrail、Lambda等核心服务。据称，此次中断事件根本原因被确定为US-EAST-1区域的核心基础设施服务DynamoDB API的DNS解析异常，导致相关请求错误率和延迟问题显著上升。目前，大部分服务已基本恢复正常。综上，此次中断事件对依赖AWS的企业业务连续性造成短暂冲击，再次凸显云计算服务集中化带来的系统性风险。

链接：https://www.salesforceben.com/amazon-web-services-outage-slack-asana-docker-and-more-affected/

俄罗斯内务部（MVD）数据库泄露事件疑似影响1.59亿公民

近日，暗网论坛DarkForums上发布了一则消息，称俄罗斯内务部（Ministry of Internal Affairs of Russia）在2022年12月的国家级数据库发生大规模泄露，涉及约1.596亿俄罗斯居民，总数据量高达636 GB。此次泄露信息覆盖护照详细资料、地址记录以及照片，几乎囊括了俄罗斯联邦所有公民的身份验证信息。俄罗斯内务部负责国内安全、执法及公民登记，其数据库存储了大量公民个人信息，是国家重要基础设施之一。此次事件再次凸显了地缘政治冲突背景下政府系统面临的网络攻击风险，以及国家级数据库泄露可能对公民信息安全和社会稳定造成的潜在威胁。目前，关于此次泄露事件的官方确认仍有限，尚无俄罗斯政府或国际执法机构发布正式声明。因此，该事件的真实性仍需进一步核实，但其潜在风险和影响已经引发广泛关注。

链接：https://www.xtcaq.com/nd.jsp?id=10044

意大利将组建网络部队

意大利国防部长Guido Crosetto在ComoLake科技活动会上表示，意大利将组建一支全天候运作的军民联合网络部队，以与陆、海、空、天并列的地位保卫国家的数字主权。该部队初期编制预计为1,200至1,500人，其中大部分为作战人员，能够在全威胁谱系中高效应对各种网络攻势与安全挑战。Crosetto指出，网络空间已成为继陆、海、空、天之后的第五大作战领域，防御这一领域需要精密、持续和高度协同的能力，因此建立一支具备军民融合特征、可实现24x7x365不间断运作的国家网络部队势在必行。

链接：https://www.ansa.it/english/news/2025/10/16/italy-to-get-cyber-army-says-crosetto_2ccd9ff1-4d7b-4276-af3e-1b06a3f08153.html

美国多州近期遭受连续网络攻击，导致关键公共服务受影响

近日，美国多州遭受网络攻击，部分关键公共服务受到影响，具体包括：美国德克萨斯州考夫曼县（Kaufman County）本周披露一起网络事件，迫使联邦机构多个系统瘫痪；田纳西州拉维格尼市（La Vergne）在17日确认遭受网络攻击，造成市政系统中断，水费与房产税缴纳系统停运，4万余居民被迫改用支票或汇票支付，市政府临时关闭，部分法院庭审延期；印第安纳州德凯布县（Dekalb County）及宾夕法尼亚州切斯特县（Chester County）图书馆系统也在近月报告类似网络攻击事件。分析指出，上述网络攻击事件发生之际，美国联邦政府因停摆导致网络安全资源削减、关键威胁情报共享法律于9月30日失效、联邦网络安全机构与互联网安全中心（CIS）的合作终止，均阻碍了相关组织向受影响机构提供援助的力度，也从另一方面凸显了美国地方公共机构网络安全体系的脆弱性与联邦支持体系的失衡。

链接：https://therecord.media/cyber-incidents-texas-tennessee-indiana

漏洞资讯

WatchGuard防火墙存在越界写入漏洞

近日，安全研究人员发现WatchGuard防火墙存在越界写入漏洞（CVE-2025-9242），位于WatchGuard Fireware OS ike进程中，允许未经身份验证的攻击者远程执行任意代码。漏洞影响Fireware OS 11.10.2至11.12.4_Update1等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://securityaffairs.com/183548/security/a-critical-watchguard-fireware-flaw-could-allow-unauthenticated-code-execution.html

微软Kestrel ASP.NET Core Web服务器存在HTTP请求走私漏洞

近日，安全研究人员发现微软Kestrel ASP.NET Core Web服务器存在HTTP请求走私（HTTP Request Smuggling）漏洞（CVE-2025-55315），允许经过初步身份验证的攻击者绕过前端安全控制机制，劫持其他用户凭证，进而窃取用户敏感信息，修改目标服务器文件内容，甚至迫使服务器崩溃。目前，用户可通过补丁更新修复上述安全漏洞。

链接：https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-highest-severity-aspnet-core-flaw-ever/

ZYXEL ATP和USG系列防火墙存在授权绕过漏洞

近日，安全研究人员发现ZYXEL ATP和USG系列防火墙存在授权绕过漏洞（CVE-2025-9133），是由Web界面命令过滤不足所导致，允许攻击者绕过授权控制并访问敏感的系统配置。漏洞影响固件版本至 V5.40(ABPS.0)的防火墙设备，目前用户可通过禁用远程网页访问、对CGI实施严格限制等方式降低安全风险。

链接：https://cybersecuritynews.com/zyxel-devices-exposed/

Apache Syncope存在远程代码执行漏洞

近日，安全研究人员发现Apache Syncope存在远程代码执行漏洞（CVE-2025-57738），是由Syncope自定义实现引擎缺乏沙盒限制等安全机制所导致，允许任何有权限创建或更新Groovy的管理员账户都可以注入恶意脚本，使服务器以Syncope核心进程的全部权限运行这些脚本。漏洞影响 Apache Syncope 3.x < 3.0.14等版本，目前用户可通过补丁更新等方式修复上述安全漏洞。

链接：https://cyberpress.org/apache-syncope-groovy-rce-vulnerability/

Better-Auth认证库存在安全漏洞

近日，安全研究人员发现被广泛用于内嵌应用程序实现API密钥功能的Better-Auth认证库存在安全漏洞（CVE-2025-61928），允许未经身份验证的攻击者创建API密钥，从而在无需用户交互或预先初步身份验证的情况下实现完全的用户账户接管。目前，用户可通过禁用API密钥创建功能、实施严格监控和告警机制等方式降低遭受攻击的风险。

链接：https://radar.offseq.com/threat/better-auth-critical-account-takeover-via-unauthen-f2040d12

Windows服务器更新服务存在远程代码执行漏洞

近日，安全研究人员发现Windows服务器更新服务存在远程代码执行漏洞（CVE-2025-59287），是由WSUS处理AuthorizationCookie时使用BinaryFormatter对加密Cookie数据进行反序列化时未对类型进行严格验证所导致，允许攻击者构造恶意加密数据，通过GetCookie()接口发送，导致系统执行任意代码，并以SYSTEM权限运行。漏洞影响Windows Server 2022等版本，目前用户可通过补丁更新修复上述安全漏洞。

链接：https://securityonline.info/critical-wsus-flaw-cve-2025-59287-cvss-9-8-allows-unauthenticated-rce-via-unsafe-cookie-deserialization-poc-available/

木马病毒

Monolock新勒索程序被披露

近日，安全研究人员在暗网论坛上发现一款名为Monolock的新型勒索程序。经分析，该勒索程序具备复杂的模块化结构，可实现命令与控制框架自动化，涵盖权限提升、注册表持久化修改及备份文件清除等功能，以规避用户设备安全防护机制并确保文件加密成功。同时，Monolock还内置了高级反分析功能，能够检测虚拟化环境、调试器及沙盒环境，并配备高速文件窃取模块MonoSteal 1.0，可通过异步IO实现高达45 MB/s的传输速率，且采用的ChaCha20与Salsa20混合加密算法号称加密速度达276 MB/s。Monolock勒索程序的出现，推动了勒索软件商业化与自动化趋势，对缺乏完善端点防御和网络监测机制的机构构成较大潜在安全威胁。

链接：https://cyberpress.org/openvsx-attack/

GlassWorm自传播蠕虫被披露

近日，安全研究人员捕获到一款名为“GlassWorm”的自传播蠕虫样本。经分析，该样本首现于10月18日，通过在OpenVSX市场（VS Code扩展开源替代平台）中投放“CodeJoy”扩展进行传播，在植入用户设备后会利用不可见的Unicode字符实现“肉眼不可见”的代码隐藏效果，具有较好的规避安全软件查杀能力。同时，其使用Solana区块链作为C2通信通道，以Google日历作为备用指令服务器，并通过窃取NPM、GitHub、Git凭证实现供应链级传播，最终植入SOCKS代理与VNC服务，将被感染设备转化为攻击者远程控制的节点网络。安全人员声称，这种隐形混淆与自传播机制构成了前所未见的安全威胁，标志着软件供应链攻击进入更高复杂度阶段。

链接：https://www.darkreading.com/application-security/self-propagating-glassworm-vs-code-supply-chain

Vidar Stealer 2.0新版本恶意程序被披露

近日，安全研究人员发现Loadbaks开发者地下论坛发布Vidar Stealer v2.0新版本恶意程序，与以往版本相比，该恶意程序变种具有四项主要变化，包括：一是整个软件代码从C++重写为C语言，极大提高了稳定性与速度；二是采用多线程架构，可高效利用用户设备多核处理器，以并行线程的方式更快实现数据收集和窃取操作，同时这种并行操作显著减少了恶意程序在用户设备上的运行时间，使其更难被安全软件检测；三是具备AppBound绕过技术，专门针对Chrome最近更新版本中引入的增强安全措施，可绕过应用绑定加密，窃取用户登录凭证；四是添加了自动多态构建器、控制流扁平化等多种技术，可自动生成具有不同二进制签名且混淆的恶意样本，增加了静态检测和逆向分析的难度。

链接：https://www.trendmicro.com/en_us/research/25/j/how-vidar-stealer-2-upgrades-infostealer-capabilities.html

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持