VMware ESXi 报告新漏洞，波兰航天局遭受网络攻击 | 一周特辑

这些漏洞被跟踪为 CVE-2025-22224、CVE-2025-22225 和 CVE-2025-22226，它们可以允许具有提升权限的攻击者执行 VM 逃逸。

网络安全机构已将这些漏洞添加到其已知利用漏洞（KEV）目录中，该目录现在包括近 30 个 VMware 产品漏洞。

报告称，超过 7,000 个暴露在 Internet 上的VMware ESXi实例似乎受到了这些漏洞的影响。目前已发现了超过 41,000 个易受攻击的 ESXi 实例，其中大部分位于中国、法国、美国、德国、伊朗、巴西和韩国。

据研究人员称，威胁行为者可以利用这些漏洞绕过安全产品并访问有价值的资产，而不会触发警报。这将会大大提升遭遇勒索攻击的风险。

波兰航天局（POLSA）遭到了遏制其 IT 基础设施的漏洞攻击，与互联网断开了链接，此后一直处于离线状态。在检测到攻击后，该机构向有关当局报告了该事件，并展开了调查以评估其影响。

POLSA 周日表示，“我们遭受了一起网络安全事件，已通知相关服务机构。为了在黑客攻击后保护数据，POLSA 网络立即断开了与互联网的连接。如果调查有新的进展，我们会立即发布通知。”

POLSA 尚未披露安全事件的性质，也尚未将攻击归因于特定的威胁行为者。

该机构现在正与波兰计算机安全事件响应小组（CSIRT NASK）和波兰军事计算机安全事件响应小组（CSIRT MON）合作，以恢复受影响的服务。用于确定网络攻击幕后黑手的调查活动也在进行中。

Tata Technologies 是一家印度科技巨头，为全球制造业提供工程和数字解决方案。该公司前段时间报告称，它遭受了勒索软件行为者的攻击，其部分 IT 系统受到了影响。该公司指出，该事件对其运营的影响很小，而客户交付服务则完全没有受到影响。公司表示，它已经在恢复受影响的 IT 系统，并承诺在该领域专家的协助下，一旦内部调查得出结果，将立即分享更多信息。

但由于该公司较长时间没有更新新的事件信息，Hunters International 在其暗网上的勒索页面上添加了 Tata Technologies 的条目，声称对此次攻击负责。

威胁行为者声称从 Tata Technologies 窃取了 1.4TB 的数据，其中包括 730,000 个文件，并威胁说，如果不满足赎金要求，他们将在一周内发布被盗文件。然而，Hunters International 没有发布任何被盗文件的样本，也没有详细说明他们持有什么样的文件。

一种名为“Eleven11bot”的新型僵尸网络恶意软件已感染超过 86,000 台物联网设备，主要是安全摄像头和网络录像机（NVR），以执行 DDoS 攻击。

Eleven11bot 是由诺基亚研究人员发现的，他们与威胁监控平台分享了详细信息。诺基亚的安全研究员评论说，Eleven11bot 是他们近年来观察到的最大的 DDoS 僵尸网络之一。

此前，威胁监控平台报告称，有 86,400 台设备感染了 Eleven11bot 僵尸网络，其中大部分位于美国、英国、墨西哥、加拿大和澳大利亚。

研究人员表示，该僵尸网络的攻击量已达到每秒数亿个数据包，持续时间通常长达数天。

Microsoft 正在调查新的 Microsoft 365 中断，该中断影响了 Teams 客户并导致通话失败。

自事件开始以来，中断监控服务 Downdetector 已收到数百份报告，受影响的用户表示他们也遇到了身份验证问题。

“用户可能无法接听通过 Microsoft Teams 配置的自动助理和呼叫队列拨打的电话，”该公司在管理中心的服务警报（TM1022107）中表示，“我们正在分析服务遥测和调用元数据，以更好地了解影响的性质并确定我们的后续步骤。”

Microsoft 尚未分享有关事件根本原因的更多信息，包括哪些区域受到此次持续中断的影响。

尽管该公司表示该事件仅影响 Teams 通信平台，但用户表示受到的影响要广泛得多，他们在连接到 Outlook、OneDrive 和 Exchange 或查看电子邮件时也遇到了问题。

今天，该公司在其服务运行状况页面上警告说，加拿大的客户在尝试访问多个 Microsoft 365 服务（包括 Exchange Online、Microsoft Teams 和 Microsoft 365 管理中心）时遇到身份验证和连接问题。该公司正在努力调查该事件，并采取相应的补救措施。

以前未记录的多语言恶意软件正在部署在针对阿拉伯联合酋长国的航空、卫星通信和关键运输组织的攻击中。该恶意软件使用了一个名为 Sosano 的后门，在受感染的设备上将长期存在并允许攻击者远程执行命令。

研究人员指出，这些攻击由包含多种文件格式的特制文件组成，允许各种应用程序对它们进行不同的解释。

例如，单个文件可以同时构建为有效的 MSI（Windows 安装程序）和 JAR（Java 存档），从而导致 Windows 将其识别为 MSI，而 Java 运行时将其解释为 JAR。这种技术使攻击者能够规避安全软件秘密传递恶意负载，因为安全软件通常根据单一格式分析文件。

攻击中使用的 PDF 诱饵之一（来源：Proofpoint）

使用多语言的主要好处是规避，因为大多数安全工具会检查第一种文件格式（PDF），这是一个良性文档，并完全忽略恶意隐藏部分（HTA/ZIP 有效负载）。

近期，有诈骗者冒充 BianLian 勒索软件团伙，通过美国邮政服务给美国公司发送邮件，并附上所制作虚假赎金票据。

一家安全公司报告了虚假的赎金票据文件，这些赎金票据的信封声称来自“BIANLIAN Group”，回信地址位于波士顿的一栋办公楼内：

信封里有一张写给公司首席执行官或其他高管的赎金票据，声称来自 BianLian 勒索软件。根据媒体所得到的消息，它们是针对特定公司的行业量身定制的，信中据称的被盗数据是与公司的活动相对应的不同类型的数据。例如，发送给医疗保健公司的虚假 BianLian 赎金票据声称患者和员工信息被盗，而针对基于产品的企业的赎金票据则声称客户订单和员工数据泄露。

但与典型的勒索软件不同的是，这些虚假笔记表示不再与受害者进行谈判。相反，受害者有 10 天的时间来支付比特币，以防止数据泄露。

邮寄的赎金票据与 BianLian 的有很大不同，但诈骗者通过在票据中包含用于勒索软件的真实数据泄露站点使它们看起来更令人信服。

荷兰 IT 安全咨询公司 Modat 发现，全球部署的大约 49,000 个（AMS）中存在令人担忧的安全漏洞。这些系统旨在通过密码、生物识别和多因素身份验证等身份验证方法控制建筑物访问，但在其中发现了关键的配置错误，这些错误会使敏感数据暴露，并使设施更容易受到未经授权的闯入。

这一发现点明了跨越多个领域的重大全球安全威胁，包括医疗保健、教育、制造、建筑、石油工业和政府机构。

访问管理系统通过各种方法对用户进行身份验证，并根据预先确定的策略授予访问权限。如果配置不当，这些系统会产生双重威胁：未经授权对建筑物进行物理访问，以及未经授权以数字方式访问存储在这些系统中的敏感信息。

研究人员发现了许多案例，其中员工照片、全名、身份证号码、门禁卡详细信息、生物识别数据、车辆牌照、工作时间表，甚至设施访问凭证都完全不受保护，可供潜在攻击者访问。安全专家强调，此类暴露的数据为各种网络威胁创造了攻击面，包括网络钓鱼活动、身份盗窃、社会工程攻击以及旨在从组织和个人那里窃取更多敏感信息的专门欺诈计划。