国外：一周网络安全态势回顾之第82期

🔔热门新闻#

·Sneaky 2FA 网络钓鱼工具包瞄准 Microsoft 365 帐户— 一种名为Sneaky 2FA 的新型中间人 (AitM) 网络钓鱼工具包自 2024 年 10 月起就已在恶意行为者中得到适度采用，因为它能够从 Microsoft 365 帐户窃取凭据和双因素身份验证 (2FA) 代码。该网络钓鱼工具包也被称为 WikiKit，因为 IP 地址来自数据中心、云提供商、机器人、代理或 VPN 的网站访问者会被定向到与 Microsoft 相关的维基百科页面。Sneaky 2FA 还与 W3LL Store 维护的另一个网络钓鱼工具包共享一些代码重叠。

·FBI 从 4,250 多台计算机中删除 PlugX 恶意软件— 美国司法部 (DoJ)披露，一项经法院授权的行动允许联邦调查局 (FBI) 从 4,250 多台受感染的计算机中删除 PlugX 恶意软件的一个变种，这是“为期数月的执法行动”的一部分。此次破坏是巴黎检察官办公室和网络安全公司 Sekoia 领导的一项更大规模行动的一部分，该行动已导致消毒有效载荷被发送到 10 个国家/地区的 5,539 个 IP 地址。

·俄罗斯黑客利用 HATVIBE 恶意软件攻击哈萨克斯坦— 俄罗斯威胁行为者 UAC-0063 被归咎为针对哈萨克斯坦的持续网络间谍活动的一部分，这是克里姆林宫收集中亚经济和政治情报的努力的一部分。鱼叉式网络钓鱼攻击利用与外交部相关的诱饵来投放名为 HATVIBE 的恶意软件加载程序，然后利用该加载程序部署名为 CHERRYSPY 的后门。

·Python 后门导致 RansomHub勒索软件— 网络安全研究人员详细介绍了一次攻击，该攻击始于 SocGholish 感染，然后为 Python 后门铺平了道路，该后门负责在整个受影响的网络中部署 RansomHub 加密器。Python 脚本本质上是一个反向代理，它连接到硬编码的 IP 地址，并允许威胁行为者使用受害者系统作为代理在受感染的网络中横向移动。

·Google 广告用户成为恶意 Google 广告的目标— 具有讽刺意味的是，一项新的恶意广告活动被发现针对通过 Google 广告投放广告的个人和企业，试图通过 Google 上的欺诈性广告来获取他们的凭据。这种明目张胆的策略被用来劫持广告商账户并推送更多广告以进一步延续该活动。Google 表示，该活动违反了其政策，并正在采取积极措施阻止它。

🔥热门 CVE#

您常用的软件可能隐藏着危险的安全漏洞 — 不要等到为时已晚！立即更新，在威胁让您措手不及之前防范它们。

本周的列表包括 - CVE-2025-21333、CVE-2025-21334、CVE-2025-21335（Windows Hyper-V NT 内核集成 VSP）、CVE-2024-55591（Fortinet）、CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、CVE-2024-13159（Ivanti Endpoint Manager）、CVE-2024-7344（Howyar Taiwan）、CVE-2024-52320、CVE-2024-48871（Planet Technology WGS-804HPT 工业交换机）、CVE-2024-12084（Rsync）、CVE-2024-57726，CVE-2024-57727、CVE-2024-57728 (SimpleHelp)、CVE-2024-44243 (Apple macOS)、CVE-2024-9042 (Kubernetes)、CVE-2024-12365 (W3 Total Cache 插件)、CVE-2025-23013 (Yubico)、CVE-2024-57579、CVE-2024-57580、CVE-2024-57581、CVE-2024-57582 (Tenda AC18)、CVE-2024-57011、CVE-2024-57012、CVE-2024-57013、CVE-2024-57014、CVE-2024-57015、CVE-2024-57016、CVE-2024-57017、CVE -2024-57018、CVE-2024-57019 、CVE-2024-57020、CVE-2024-57021、CVE-2024-57022、CVE-2024-57023、CVE-2024-57024、CVE-2024-57025（TOTOLINK X5000R）、CVE-2025-22785（ComMotion 课程预订系统插件）以及Wavlink AC3000 路由器中的44 个漏洞。

📰环游网络世界#

·威胁者宣传内部威胁行动——据发现，不法分子在 Telegram 和暗网论坛上宣传服务，旨在将潜在客户与内部人员联系起来，并招募在各个公司工作的人用于恶意目的。据 Nisos 称，Telegram 上发布的一些消息要求获得亚马逊的内部访问权限，以删除负面的产品评论。其他人则提供内部服务来处理退款。“在一个例子中，威胁者发布消息称，他们会将买家与在亚马逊工作的内部人员联系起来，后者可以收取费用提供服务，”Nisos说。“威胁者澄清说，他们不是内部人员，但可以接触到内部人员。”

·英国提议禁止政府实体支付赎金— 英国政府提议所有公共部门机构和关键国家基础设施（包括 NHS、地方议会和学校）不要支付勒索软件费用，以打击勒索软件攻击的痛点并破坏此类攻击背后的经济动机。政府表示：“这是对当前禁止政府部门支付赎金的进一步限制。此外，还强制要求报告勒索软件事件，以增加执法部门可获得的情报并帮助他们阻止更多事件。”

·Gravy Analytics 漏洞泄露敏感位置数据— Gravy Analytics 是一家批量位置数据提供商，通过其 Venntel 子公司向政府机构和执法部门提供服务，该公司透露，它遭受了黑客攻击和数据泄露，从而威胁到全球数百万人的隐私，他们的定位信息被数千个 Android 和 iOS 应用程序泄露给了数据代理商。据信，威胁行为者通过“盗用”的密钥获得了 AWS 环境的访问权限。Gravy Analytics 表示，它于 2025 年 1 月 4 日通过威胁行为者的通信获悉了黑客攻击事件。Predicta Lab 首席执行官 Baptiste Robert表示，此后，俄罗斯论坛上发布了一个小样本数据集，其中包含“全球数千万个数据点”的数据。大部分数据收集都是通过广告生态系统进行的，具体来说是一种称为实时竞价 ( RTB ) 的过程，这表明即使是应用程序开发人员也可能不知道这种做法。尽管如此，目前尚不清楚 Gravy Analytics如何汇总大量位置数据，以及该公司是自己收集数据还是从其他数据代理商那里收集数据。几周前，美国联邦贸易委员会禁止Gravy Analytics 和 Venntel 在未经消费者同意的情况下收集和出售美国人的位置数据。

·CISA 发布一系列安全指南— 美国网络安全和基础设施安全局 (CISA)敦促运营技术 (OT) 所有者和运营商通过选择优先考虑安全性并满足各种合规标准的制造商，将安全设计元素整合到其采购流程中。它还建议公司利用 Microsoft 在 Purview Audit (Standard) 中新推出的扩展云日志，更好地检测和防御高级入侵技术。另外，该机构还更新了其产品安全不良做法指南，其中包括使用已知不安全或弃用的加密功能、硬编码凭证和产品支持期的三种新不良做法。“软件制造商应在销售时明确告知其产品的支持期，”CISA 表示。“软件制造商应在整个支持期内提供安全更新。”最后，它呼吁美国政府采取必要措施加强网络安全，缩小软件理解差距，这种差距加上缺乏安全设计软件，可能导致漏洞被利用。该指南发布之际，欧盟《数字运营弹性法案》（DORA）于 2025 年 1 月 17 日生效，要求金融服务公司及其技术供应商改善其网络安全态势。

·研究人员演示了基于反熔丝的 OTP 内存攻击— 一项新研究发现，Raspberry Pi 的 RP2350 微控制器中用于存储安全启动密钥和其他敏感配置数据的现成 Synopsys 反熔丝内存块中存储的数据位可以被提取，从而泄露机密。IOActive表示，该方法依赖于“众所周知的半导体故障分析技术：使用聚焦离子束 (FIB) 的无源电压对比 (PVC)”，并补充道，“此处演示的简单攻击形式恢复了两个物理相邻的内存位单元行的按位或，这两个行共享公共金属 1 触点。”在假设的物理网络攻击中，拥有 RP2350 设备以及半导体去处理设备和聚焦离子束 (FIB) 系统的对手可以在几天内以明文形式提取反熔丝位单元的内容。

·拜登政府发布行政命令以改善美国网络安全——即将卸任的美国总统乔·拜登签署了一项全面的行政命令，要求保护联邦通信网络免受外国对手的攻击；对勒索软件团伙实施更严厉的制裁；要求软件和云提供商开发更安全的产品并遵循安全的软件开发实践；在电子邮件、即时消息和基于互联网的语音和视频会议中默认启用加密；在现有网络中采用抗量子加密；并使用人工智能 (AI) 来增强美国的网络防御能力。在相关发展中，商务部最终确定了一项规则，禁止销售或进口集成来自俄罗斯等的某些软件或硬件组件的联网乘用车。国家安全顾问杰克·沙利文表示：“联网汽车有很多好处，但来自其他令人担忧国家的软件和硬件来源构成了严重的国家安全风险。”他指出，该规则旨在保护其关键基础设施和汽车供应链。白宫表示，此举将有助于美国抵御网络间谍活动和入侵行动。过去一周，拜登政府还发布了《人工智能扩散临时最终规则》，旨在防止令人担忧的国家滥用先进的人工智能技术。

🎥专家网络研讨会#

简化、自动化、安全：企业数字信任

管理数字信任不仅仅是一项挑战，更是一项关键任务。混合系统、DevOps 工作流和合规性需求已经超越了传统工具。DigiCert ONE 可以改变现状。

在本次网络研讨会中，您将了解如何：

·简化：集中证书管理以降低复杂性和风险。

·自动化：简化跨系统的信任操作。

·安全：使用先进的工具满足合规性要求。

·现代化：通过更智能的软件签名跟上 DevOps 的步伐。

从物联网到企业 IT，DigiCert ONE 为您提供保护数字信任每个阶段的安全保障。

🔧网络安全工具#

·AD-ThreatHunting：使用实时警报、模式识别和智能分析工具检测并阻止密码喷洒、暴力攻击和管理员滥用等威胁。借助可自定义阈值、非工作时间监控和多格式报告等功能，保持安全从未如此简单。此外，使用内置攻击模拟测试您的防御能力，确保您的系统始终准备就绪。

·OSV-SCALIBR：这是一个功能强大的开源库，以 Google 在漏洞管理方面的专业知识为基础，提供大规模保护软件的工具。它支持扫描 Linux、Windows 和 Mac 上已安装的软件包、二进制文件和源代码，同时还生成 SPDX 和 CycloneDX 格式的 SBOM。凭借容器扫描、弱凭证检测和针对资源受限环境的优化等高级功能，OSV-SCALIBR 使识别和管理漏洞变得前所未有的简单。

🔒本周小贴士#

使用免费解决方案监控、检测和控制访问— 在当今复杂的威胁形势下，先进且经济高效的解决方案（如 Wazuh 和 LAPS）可为中小型企业提供强大的防御能力。Wazuh 是一个开源 SIEM 平台，它与 Elastic Stack 集成，可进行实时威胁检测、异常监控和日志分析，让您能够尽早发现恶意活动。同时，LAPS（本地管理员密码解决方案）可自动轮换和管理本地管理员密码，从而降低权限提升的风险并确保只有授权用户才能访问关键系统。这些工具共同提供了强大的多层防御策略，让您能够有效地检测、应对和缓解威胁，而无需承担企业解决方案的高昂成本。

结论#

数字世界充满挑战，需要的不仅仅是保持警惕——还需要新的想法、团队合作和坚韧不拔的精神。面对来自政府、黑客甚至组织内部人员的威胁，关键是要积极主动并共同努力。本文回顾的事件向我们表明，网络安全不仅仅是防御，而是为技术创造一个安全可靠的未来。

— 欢迎关注