9.9分漏洞或导致2850多台Ivanti设备系统完全受损；三星系统推出业界首款后量子加密芯片S3SSE2A | 牛览

•OpenSSF发布Linux开源软件安全基线标准

•红队工具MITRE Caldera关键漏洞曝光，PoC代码已公开

•黑客组织EncryptHub疯狂入侵618家机构，盗取敏感数据

•9.9分漏洞或导致2850多台Ivanti设备系统完全受损

•疑似VMware ESXi零日漏洞利用工具以15美元被叫卖

•黑客利用Windows策略漏洞规避检测，大规模部署恶意软件

•LightSpy间谍软件升级，瞄准社交媒体强化数据收集能力

•亚马逊Prime用户遭网络钓鱼攻击，登录凭证恐被窃

•手机监控应用严重漏洞曝光 数百万用户隐私数据面临泄露风险

•三星系统推出业界首款后量子加密芯片S3SSE2A

开源安全基金会(OpenSSF)于2月25日发布了一套三级安全指南，旨在为基于Linux的开源软件建立最低安全标准。这一被称为"开源项目安全基线"(OSPS Baseline)的项目，源自攻击者总会试图利用开源软件发动恶意供应链攻击。

OSPS 由三个级别组成：第一级要求开发者启用多因素身份认证、将协作者权限设置为最低可用级别，并确保网站包含SSH、HTTPS或其他加密通道；第二级则需要使用软件成分分析工具、代码审计、密钥管理等措施；第三级则涉及更高级的安全实践，如使用可信供应链、漏洞管理等。

安全专家认为，该基线旨在为开源项目提供一个最低安全标准，但并不能完全阻止攻击。开发者需要根据项目的具体情况采取更严格的安全措施。

原文链接：

https://www.scworld.com/news/openssf-sets-baseline-security-standards-for-linux-based-software

近日，研究人员在红队工具MITRE Caldera上发现一个严重的远程代码执行漏洞(CVE-2025-27364)，使系统面临来自未经身份验证攻击者的潜在入侵风险，影响所有早于35bc06e的版本。该漏洞源于Caldera的Sandcat和Manx代理的动态编译机制，这两个反向shell专为红队行动而设计。

漏洞起因于Caldera动态编译端点(/file/compile)对用户控制的链接器标志(ldflags)处理不当。只要系统存在Go、Python和gcc等Caldera所需的依赖项，攻击者就能利用该漏洞，因此漏洞几乎普遍存在于默认部署中。

尽管开发人员使用subprocess.check_output(shell=True)来防范命令注入，但攻击者滥用Go 语言链接器的两个参数绕过防御：-extld参数用于指定gcc为外部链接器，-extldflags参数用于向gcc注入-wrapper选项。GCC的该功能允许通过用户定义的二进制文件和参数执行任意命令。利用PoC展示的curl命令即可在Caldera服务器上触发反向shell。成功利用后，攻击者将获取Root权限的反向shell。

MITRE发布紧急通告，建议用户采取以下缓解措施：更新至5.1.0或更高版本、隔离Caldera服务器、从生产系统移除不必要的构建工具。使用Caldera的组织应审计系统，查找可疑进程和网络连接迹象。

原文链接：

https://cybersecuritynews.com/critical-mitre-caldera-vulnerability/#google_vignette

Prodaft网络安全公司近日披露，网络犯罪团伙EncryptHub（又称Larva-208）自2024年6月开始活动以来，通过精心策划的网络钓鱼和社交工程攻击，成功入侵至少618家机构的内部网络。

EncryptHub的攻击手段包括通过短信、语音电话等方式，伪装成IT支持人员，诱使受害者访问虚假的虚拟专用网络登录页面，从而窃取用户凭证和多因素认证令牌。他们购买了70多个类似"linkwebcisco.com"的域名，用于提高钓鱼页面的可信度。一旦入侵目标系统，EncryptHub会部署远程管理软件，获取长期控制权，并安装信息窃取程序，如Stealc和Rhadamanthys，盗取浏览器保存的密码、Cookie等敏感数据。他们还会部署自制PowerShell勒索软件，加密文件并索要赎金。

该犯罪团伙针对性很强，攻击手段日益成熟，能有效规避检测，成功攻陷包括大型企业在内的高价值目标。企业应提高安全意识，加强员工培训，并采取必要的技术防护措施，以抵御这种新型网络犯罪的攻击。

原文链接：

https://www.bleepingcomputer.com/news/security/encrypthub-breaches-618-orgs-to-deploy-infostealers-ransomware/

近日，安全研究人员发现，一个评分高达9.9的严重漏洞(CVE-2025-22467)影响全球约2850台Ivanti Connect Secure(ICS)设备，使它们面临远程代码执行攻击的风险。该漏洞属于基于堆栈的缓冲区溢出类型，影响ICS 22.7R2.6之前的所有版本。

CVE-2025-22467源于对用户输入的不当处理，使经过身份验证的攻击者能够远程执行任意代码。一旦被利用，将导致系统完全受损，危及敏感数据和关键运营。更为严重的是，利用该漏洞仅需低攻击复杂度和有限权限。

虽然目前尚未发现该漏洞被公开利用的实例，但鉴于漏洞的严重性，滥用风险极高。Ivanti已在ICS 22.7R2.6版本中修复了这一漏洞，强烈建议管理员立即更新所有ICS系统，并监控系统是否存在入侵迹象，同时实施严格的访问控制和网络分段，以限制潜在的利用。

原文链接：

https://cybersecuritynews.com/2850-ivanti-connect-secure-devices-vulnerable/

Check Point研究人员近日披露，自2024年6月以来，攻击者利用Windows驱动程序签名政策的漏洞，规避安全工具检测，在数以千计的系统中部署恶意软件。

攻击者修改了 2500 多个 Adlice RogueKiller 反rootkit 工具的 Truesight.sys驱动程序(v2.0.2版本)的变种。利用该漏洞，他们能终止EDR/防病毒等安全进程，并部署Gh0st RAT后门程序。据报道，该活动75%的受害者位于我国。初始感染向量包括伪装成电商平台的钓鱼网站，分发伪装成正版软件安装程序的恶意下载器。

攻击者利用了一个Windows政策例外，允许2015年7月之前签名的旧驱动程序在现代系统上加载，从而绕过微软的驱动程序签名执行(DSE)。为规避基于哈希的检测，攻击者修改了两个非关键PE节，同时保留有效签名，生成2500多个不同哈希的驱动变种。Truesight驱动利用IOCTL 0x22E044处理程序终止安全进程。攻击者在32位有效负载上使用VMProtect等商业保护器，并使用加密镜像文件反射加载有效负载，以规避磁盘扫描。最终Gh0st RAT使用自定义XOR+ADD算法与C2服务器通信。

微软在Check Point披露后于2024年12月17日更新了驱动程序阻止列表，但组织需手动应用最新WDAC策略。

原文链接：

https://cybersecuritynews.com/silent-killers-exploiting-windows-policy-loophole/

网络安全研究人员近日发现了LightSpy间谍软件的一个更新版本。该版本支持扩展的数据收集功能，以瞄准Facebook和Instagram等社交媒体平台。

2024年5月被发现的LightSpy能够从多个流行应用程序(如Telegram、QQ和WeChat)窃取文件，并获取设备上存储的个人文档和多媒体内容。它还能够录制音频，收集浏览器历史记录、WiFi连接列表、已安装应用程序详细信息，甚至可以捕获设备摄像头拍摄的图像。该恶意软件还允许攻击者访问设备的系统，获取用户KeyChain数据、设备列表，并执行shell命令，从而可能完全控制设备。

Hunt.io的网络安全研究人员发现，LightSpy间谍软件的新版本支持更广泛的数据收集功能，支持从Android设备上提取Facebook和Instagram应用程序数据库文件，获取消息、联系人和元数据等数据。更新后的iOS版本(7.9.0)将插件数量从12个增加到28个，其中包括7个可以干扰设备启动的插件。

原文链接：

https://securityaffairs.com/174674/malware/new-lightspy-spyware-variant-data-collection-targets-social-media-platforms.html

Cofense网络钓鱼防御中心近日发现，自2月18日起，网络犯罪分子针对亚马逊Prime用户发起精心策划的网络钓鱼攻击。该攻击利用伪造的续订通知，意图窃取登录凭证、支付详情和个人验证数据。

攻击从伪装成亚马逊Prime续订通知的钓鱼邮件开始。邮件内容包括警告收件人他们的支付方式无效，并敦促其立即通过"更新信息"按钮采取行动。点击该按钮会将用户重定向到托管在Google文档上的虚假亚马逊安全门户网站，该网站以防止未经授权访问为由，要求账户验证。用户接下来会被引导至一个伪造的登录页面，在那里输入用户名和密码。这一攻击活动采用动态HTML注入技术，复制亚马逊的多因素身份验证(MFA)界面。在窃取凭证后，受害者会被要求"确认身份"，提交常用于账户恢复的详细信息。攻击者通过一个伪造的支付门户网站，窃取完整的信用卡详细信息，包括CVV码。

对此，亚马逊重申，合法的通信永远不会要求用户访问Google文档等第三方平台。用户应手动导航至亚马逊官方网站，验证账户状态。

原文链接：

https://cybersecuritynews.com/new-phishing-attack-targeting-amazon-prime-users/

近日，研究人员发现在手机监控应用Cocospy和Spyic中存在一个严重的漏洞，导致数百万用户的设备未经授权被这些应用程序秘密监控，个人数据被暴露。

该漏洞允许未经授权的访问，从而获取这些应用程序收集的消息记录、通话日志、照片和其他敏感信息。此外，它还泄露了注册使用这些服务监控他人的用户的电子邮件地址。

尽管此前业界曾对这类间谍软件的安全性提出质疑，但Cocospy和Spyic仍在活跃运行，与之相关的独立电子邮件地址高达265万个。这些应用程序通常会伪装成Android设备上的系统服务，以逃避检测。虽然它们通常被宣传为用于家长或雇主监控，但实际上常被滥用于隐秘监视，引发法律和道德争议。该漏洞暴露了大量用户的隐私数据，再次引发对手机监控应用程序滥用的关注。

原文链接：

https://www.scworld.com/brief/security-flaw-in-phone-monitoring-apps-exposes-data-of-millions

三星半导体业务部门宣布已完成S3SSE2A芯片的开发，目前正在准备样品发货。三星号称，S3SSE2A 芯片是“业界首款配备硬件后量子密码学（PQC）的安全芯片”，能够保护手机上的关键数据，如登录信息、财务数据和生物识别信息，免受量子计算威胁。

量子计算机凭借其非凡的计算速度，将能够破解现有的基于公钥加密的安全系统。三星认为，假设量子计算机以最快的速度发展，现有的安全系统和算法也可能在三年后的2028年变得无能为力。即使黑客目前还无法解密被盗数据，他们也可能采用"现在收获，将来解密"(HNDL)的攻击，即先收集数据，等到拥有量子计算机后再解密，这种"现在收获，将来解密"(HNDL)攻击已构成当前威胁。在此背景下，三星系统推出了S3SSE2A芯片。

三星电子称，S3SSE2A安全芯片设计独立于主芯片工作，使其能够自行保存敏感信息，同时仅将安全数据发送到中央控制器，从而更好地保护敏感数据免受量子计算机攻击。

原文链接：

https://semiconductor.samsung.com/news-events/tech-blog/s3sse2a-hardware-pqc-locks-in-security-for-the-quantum-era/