赛欧思一周资讯分类汇总(2025-01-06 ~ 2025-01-11)

一周资讯分类汇总：

1、攻击事件：

俄乌网络战大事件，乌克兰黑客黑掉了俄罗斯互联网
乌克兰黑客组织“乌克兰网络联盟”的成员本周二（1月7日）在 Telegram 上宣布，他们已经攻破了俄罗斯互联网服务提供商 Nodex 的网络，并在窃取敏感文件后清空了系统。同时还分享了在攻击期间黑掉的俄罗斯 ISP 的 VMware、Veeam 备份和惠普企业虚拟基础设施的截图。

来源: FreeBuf

APT28新型攻击手法：用PowerPoint鼠标悬停触发恶意软件下载
近年来，俄罗斯 APT28 组织（又称Sofacy或Fancy Bear）频繁使用高超的网络攻击手段。而最近的一项研究揭示了他们的一种新型攻击方式：利用简单的鼠标悬停操作在 PowerPoint 演示文稿中触发恶意代码。

来源: CN-SEC 中文网

2、漏洞情报：

戴尔系统更新包框架现严重漏洞，可提升攻击者权限
戴尔（Dell）电脑的系统更新包（DUP）框架被发现一个严重安全漏洞，该漏洞被跟踪为 CVE-2025-22395，CVSS 评分：8.2，影响 22.01.02 之前的 DUP 框架版本，可能会使系统面临来自攻击者的权限提升和拒绝服务攻击。

来源: FreeBuf

Ivanti 就 0day攻击中使用的新 Connect Secure 漏洞发出警告
Ivanti 警告说，在 0day攻击中，有人利用新的 Connect Secure 远程代码执行漏洞（跟踪为 CVE-2025-0282）在设备上安装恶意软件。

来源: BleepingComputer

未修补的关键缺陷影响 Fancy Product Designer WordPress 插件
来自 Radykal 的高级 WordPress 插件 Fancy Product Designer 存在两个严重漏洞，在当前最新版本中仍未修复。

来源: BleepingComputer

流行 Go 库 go-git 已修补关键漏洞：CVE-2025-21613(CVSS 9.8)
用于 Git 交互的流行 Go 库 go-git 最近发布了 5.13 版，以解决两个可能导致您的软件源暴露的关键安全漏洞。漏洞被跟踪为 CVE-2025-21613，CVSS 得分为 9.8（危急），允许攻击者向 git-upload-pack 标志注入任意参数。

来源: 安全客

CISA 警告称，Oracle 和 Mitel 在攻击中被利用了关键漏洞
CISA 警告美国联邦机构确保其系统安全，该网络安全机构将在 Mitel 的 MiCollab 统一通信平台的 NuPoint Unified Messaging (NPM) 组件中发现的一个关键路径遍历漏洞（CVE-2024-41713）。这个安全漏洞允许攻击者执行未经授权的管理操作并访问用户和网络信息。

来源: 安全客

SonicWall 敦促管理员立即修补可被利用的 SSLVPN 漏洞
SonicWall 正在向客户发送电子邮件，敦促他们升级防火墙的 SonicOS 固件，以修补 SSL VPN 和 SSH 管理中的一个身份验证绕过漏洞，该漏洞 "容易被实际利用"。

来源: BleepingComputer

黑客利用 KerioControl 防火墙漏洞窃取管理员 CSRF 标记
黑客正试图利用 GFI KerioControl 防火墙产品中的关键 CRLF 注入漏洞 CVE-2024-52875，该漏洞可导致单击远程代码执行 (RCE) 攻击。

来源: BleepingComputer

严重的 BIOS/UEFI 漏洞允许攻击者改写系统固件
研究人员在 Illumina iSeq 100 DNA 测序仪中发现了关键 BIOS/UEFI 漏洞，该设备使用过时的固件实现，CSM 模式缺乏安全启动和固件写保护等基本安全功能。该漏洞窗口允许攻击者利用系统，覆盖固件以禁用设备或安装恶意代码进行持久访问。

来源: GBHackers

Moxa 路由器漏洞对工业环境构成严重风险
Moxa公司已解决其蜂窝路由器、安全路由器和网络安全设备中的权限提升和操作系统命令注入漏洞。以下是这两个漏洞的描述：CVE-2024-9138（CVSS 4.0 评分：8.6）：此漏洞涉及硬编码凭据，经身份验证的用户可以利用此漏洞提升权限，并获得系统根级别访问权限。CVE-2024-9140（CVSS 4.0 评分：9.3）：攻击者可以利用此漏洞绕过输入限制，可能导致未经授权的命令执行。

来源: CN-SEC 中文网

Redis 服务器曝 2 个严重的 RCE 漏洞，数百万系统面临风险
在广泛使用的内存数据库 Redis 里，发现了两个严重漏洞，这可能使数百万系统面临拒绝服务（DoS）攻击和远程代码执行（RCE）的风险。这些漏洞被标记为 CVE-2024-51741 和 CVE-2024-46981。

来源: FreeBuf

4年内重复出现3次，AWS屡曝严重RCE漏洞
据 Cyber Security News 消息，因为 Python 包安装过程方面的严重失误，Amazon Web Services（AWS）在过去四年中通过其 Neuron SDK 三次引入了相同的远程代码执行（RCE）漏洞。

来源: FreeBuf

Windows LDAP PoC 漏洞利用被公布
近日，网上发布了一个针对 Windows 轻量级目录访问协议（LDAP）安全漏洞的概念验证（PoC）漏洞利用程序，可能会引发拒绝服务（DoS）状况。目前该漏洞现已修复，建议企业/组织立即修复，以免被攻击者利用。该漏洞为越界读取漏洞，编号 CVE-2024-49113，CVSS 评分：7.5。

来源: FreeBuf

CVE-2024-8474：OpenVPN Connect 漏洞泄露私钥
OpenVPN Connect 最近披露的一个漏洞（CVE-2024-8474）使数百万用户可能受到网络攻击。该漏洞出现在 3.5.0 之前的版本中，允许应用程序在应用日志中以明文记录配置文件的私钥。

来源: 安全客

CVE-2025-22275 (CVSS 9.3)：iTerm2 修补了暴露用户输入和输出的重大安全漏洞
在 MacOS 上流行的终端模拟器 iTerm2 中发现了一个严重的安全漏洞（CVE-2025-22275 (CVSS 9.3)）并打上了补丁。该漏洞存在于 3.5.6 至 3.5.10 版本以及 3.5.6 及更高版本的测试版中，可能导致未经授权访问敏感用户数据。

来源: 安全客

3、信息泄露：

医疗计费公司 Medusind 披露漏洞影响 36 万人
医疗保健机构的领先计费供应商 Medusind 将于 2023 年 12 月通知数十万人一年多前发生的数据泄露事件，该事件暴露了他们的个人信息和健康信息。

来源: BleepingComputer

绿湾包装工队商店遭入侵，数千张信用卡被盗
美国橄榄球队绿湾包装工称，网络犯罪分子在 9 月份入侵其官方 Pro Shop 在线零售店后，窃取了超过 8500 名客户的信用卡数据。

来源: BleepingComputer

联合国航空机构确认招聘数据库存在安全漏洞
联合国国际民用航空组织（ICAO）证实，一名威胁分子入侵了该组织的招聘数据库，窃取了约 42000 条记录。

来源: BleepingComputer

PowerSchool 黑客攻击暴露了 K-12 地区的学生和教师数据
教育软件巨头 PowerSchool 证实其遭遇了一起网络安全事件，该事件导致一名威胁者窃取了使用其 PowerSchool SIS 平台的学区学生和教师的个人信息。

来源: BleepingComputer

国际民航组织调查数据泄露事件，黑客声称出售从网络攻击中获得的敏感数据
国际民用航空组织（ICAO）证实，其 IT 团队正在积极调查一起重大数据泄露事件。这次数据泄露事件导致该机构的敏感数据遭到未经授权的访问和泄漏。据来自加密信息平台 Telegram 的可靠消息称，黑客(Natohub)已发表公开声明，声称从国际民航组织窃取了大量数据集。据说该数据集包含约 42000 份文件，其中包括与该组织有关联的个人的敏感个人信息。

来源: Cyber Security Insiders

华盛顿州就 2021 年数据泄露安全故障起诉 T-Mobile
华盛顿州起诉 T-Mobile，指控其在 2021 年的数据泄露事件中未能保护华盛顿州 200 多万居民的敏感个人信息。

来源: BleepingComputer

知名化工巨头被勒索攻击，泄露761.8GB数据
Nikki - Universal 有限公司是一家知名的化学制造商，近期沦为一起复杂勒索软件攻击的受害者。此次攻击涉及对其部分服务器上的电子数据进行加密，而勒索软件组织 Hunters International 声称对此事负责。

来源: FreeBuf

4、诈骗事件：

Discord 用户成为传播信息窃取者的虚假游戏网站的目标
这是一项针对游戏玩家的网络恶意软件活动，主要通过 Discord、电子邮件或短信进行诱骗。攻击者假装成“游戏开发者”，请求用户下载伪装成游戏测试版的恶意软件。用户常被引导至 Dropbox、Catbox 等平台下载受密码保护的安装程序，而这些程序实际上包含信息窃取木马。

来源: CN-SEC 中文网

5、僵尸网络：

新的 Mirai 僵尸网络利用 0day漏洞攻击工业路由器
一个相对较新的基于 Mirai 的僵尸网络日益复杂，现在正利用 0day漏洞攻击工业路由器和智能家居设备中的安全漏洞。

来源: BleepingComputer

6、金融事件：

微软2025年再砸800亿美元，加码全球AI基础建设
微软持续重金加码投资人工智慧领域，该公司计划在2025年投入800亿美元，在全球扩建支援人工智慧运算的资料中心。微软此举展示出其对人工智慧前景的强烈信心，并且积极布局争夺未来人工智慧科技霸主的地位。

来源: iThome

7、恶意软件：

注册过期域名，4000 多个后门被劫持
在研究人员注册了用于指挥这些后门的过期域名后，4000 多个被遗弃但仍处于活动状态的网络后门被劫持，其通信基础设施遭到破坏。

来源: BleepingComputer

利用合法网站窃取客户支付数据的新型 WordPress 插件
网络犯罪分子开发了一种恶意 WordPress 插件 PhishWP，用于实施复杂的网络钓鱼攻击，使攻击者能够在受到攻击或欺诈的 WordPress 网站上创建令人信服的合法支付网关（如 Stripe）复制品。

来源: GBHackers

新型恶意软件 PLAYFULGHOST 通过钓鱼和 SEO 投毒传播，窃取用户敏感信息
近日，网络安全研究人员发现了一种名为 PLAYFULGHOST 的新型恶意软件，该软件具备多种信息窃取功能，包括键盘记录、屏幕截图、远程 Shell 等。PLAYFULGHOST 的初始传播途径包括通过钓鱼邮件和搜索引擎优化（SEO）投毒技术分发经过篡改的合法VPN应用程序（如LetsVPN）。

来源: CN-SEC 中文网

FireScam 安卓恶意软件伪装 Telegram 高级版窃取数据并控制设备
一款名为 FireScam 的安卓信息窃取恶意软件被发现伪装成 Telegram 消息应用的高级版，以窃取数据并对受感染的设备实施持续的远程控制。这款恶意软件通过一个假冒俄罗斯联邦知名应用商店 RuStore 的 GitHub.io 托管钓鱼网站进行分发。

来源: 黑客资讯

PLAYFULGHOST 通过木马 VPN 应用和 SEO 投毒传播，研究人员推测其目标是中文用户
一种名为PLAYFULGHOST的新恶意软件具有多种信息收集功能，例如键盘记录、屏幕捕获、音频捕获、远程 shell 以及文件传输/执行。

来源: FreeBuf

LegionLoader滥用Chrome扩展传播多种恶意软件
据 gbhackers 消息，名为 LegionLoader 的恶意软件正通过 Chrome 扩展分发窃密软件，包括对受害者实施电子邮件操纵、跟踪浏览，甚至将受感染的浏览器转变为攻击者的代理服务器，使其能够使用受害者的凭证浏览网页。