2.6万暗网论坛帖子揭示网络攻击日益复杂，OTP 机器人成为黑客新宠；HellCat利用被窃Jira凭证攻击四家企业 | 牛览

•已被在野利用，工信部NVDB提醒防范Windows MMC安全功能绕过高危漏洞的风险

•2.6万暗网论坛帖子揭示网络攻击日益复杂，OTP 机器人成为黑客新宠

•项目管理系统沦为攻击跳板：HellCat利用被窃Jira凭证攻击四家企业

•超2500个IP地址参与：新型Mirai僵尸网络大规模攻击TVT DVR设备

•Medusa勒索软件组织再出手，声称攻破美国国家汽车竞赛协会

•WhatsApp Windows漏洞可使恶意文件伪装成无害附件，用户需立即更新

•微软4月补丁日修复121个漏洞，一个零日漏洞已被黑客积极利用

•Google紧急修复两个Android零日漏洞，已在野被利用

 工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）4月8日发布《关于防范Windows MMC安全功能绕过高危漏洞的风险提示》，指出监测发现Windows MMC存在安全功能绕过高危漏洞，已发现在野利用情况。

 Windows MMC（Microsoft Management Console）是Windows系统内置系统管理组件，主要用于集中管理系统配置、服务、性能等资源。由于该组件对用户输入验证不足，攻击者可利用该漏洞绕过文件信誉保护功能，在目标系统中执行恶意代码。受影响的型号包括Windows 10/11，Windows Server 2008/2019/2022/2025等。

目前，微软官方已修复该漏洞并发布安全公告（https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2025-26633），NVDB建议相关单位和用户立即开展隐患排查，及时安装补丁更新，防范网络攻击风险。

原文链接：

https://mp.weixin.qq.com/s/ieQ3o3BWa443McUtir7ibA

最新研究显示，网络犯罪分子正采用越来越复杂的方法绕过金融机构的安全措施。Radware研究团队对46个深网黑客论坛和超过2.6万个威胁行为者论坛帖子进行的全面分析，揭示了2024年针对金融服务行业的网络威胁呈现令人担忧的上升趋势。

调查发现，以信息窃取恶意软件为中心的地下经济正在蓬勃发展，在每个受监控的深网论坛中，平均每天有3-4次提及独特的"信息窃取程序即服务"。这些服务通常具备增强的用户界面、技术支持和专门用于窃取公司凭证的模块，如Mystic Stealer提供专门功能从Outlook中提取密码，明确针对企业环境。

研究中最令人担忧的发现是网络犯罪的"去中心化"现象，使得几乎任何拥有基本技术知识的人都能对金融组织发起复杂攻击。威胁行为者论坛促进了攻击开发者和执行者之间的完全分离，增加了归因和执法干预的难度。2024年最显著的发展是"OTP（一次性密码）机器人"的兴起。这些通过Telegram运营的地下服务能够自动化社会工程攻击，首先利用撞库攻击尝试登录，当因双因素认证失败时，攻击者使用OTP机器人通过预录或AI生成的语音通话和短信冒充合法实体，诱骗受害者提供验证码。

可见，金融组织必须从传统防御姿态转变为更主动地收集深网和暗网平台的威胁情报，以有效应对这些新兴威胁。

原文链接：

https://cybersecuritynews.com/26000-discussions-on-dark-web-forums/#google_vignette

网络安全研究人员最新发现，HellCat勒索软件组织利用信息窃取恶意软件获取的Jira凭证，成功入侵了四家企业，分别是：波兰IT解决方案提供商Asseco Poland、美国学术出版平台HighWire Press、美国客户通信技术公司Racami以及瑞典在线游戏和博彩公司LeoVegas Group。

4月5日，HellCat在其泄露网站上发布了入侵证据，并附上倒计时和其标志性标语"Jiraware < < 3!!"。据称，他们已窃取内部文件、邮件和财务记录，并威胁如不满足其要求将泄露或出售这些数据。据报告，所有这些入侵都源于同一根本原因：通过StealC、Raccoon、Redline和Lumma Stealer等信息窃取恶意软件从受感染员工设备上窃取的Jira凭证。这些凭证被窃取的时间比实际攻击早数月甚至数年。一旦获取凭证，HellCat便登录各公司的Atlassian Jira环境，从而深入内部系统，窃取敏感数据并启动勒索软件攻击。

该组织此前已用相同方法入侵捷豹路虎、西班牙电信、施耐德电气和Orange等企业。Jira作为项目管理工具，往往连接着企业的开发工作流、客户数据、内部文档和系统访问控制，成为高价值攻击目标。而许多组织未对Jira账户实施与电子邮件或VPN访问相同级别的安全措施。专家建议企业监控信息窃取恶意软件感染，及时重置被盗凭证，对Jira实施多因素认证、访问限制和适当的网络分段，并加强员工安全培训，以防范此类攻击。

原文链接：

https://hackread.com/hellcat-ransomware-firms-infostealer-stolen-jira-credentials/

安全研究人员近日发现针对广泛用于安防监控系统的数字视频录像机TVT NVMS9000 DVR设备的攻击行为显著增加，攻击高峰出现在2025年4月3日，超过2,500个独特IP地址正在扫描寻找易受攻击的设备。

这些攻击试图利用2024年5月被披露的一个信息泄露漏洞。该漏洞允许攻击者使用单个TCP有效载荷以明文形式获取管理员凭据，从而实现身份验证绕过，使攻击者能够在设备上无限制地执行管理命令。

威胁监控平台GreyNoise检测到这些攻击活动，并认为这很可能与一个基于Mirai的恶意软件有关，该恶意软件试图将这些设备纳入其僵尸网络。通常，被感染的设备随后会被用于代理恶意流量、加密货币挖矿或发起分布式拒绝服务(DDoS)攻击。在过去一个月中，GreyNoise记录了6600个与此活动相关的不同IP地址，所有这些IP地址都被确认为恶意且不可伪造的。

安全专家建议用户升级到固件版本1.3.4或更高版本以修复此漏洞。如果无法升级，建议限制DVR端口的公共互联网访问，并阻止来自GreyNoise列出的IP地址的传入请求。

原文链接：

https://www.bleepingcomputer.com/news/security/new-mirai-botnet-behind-surge-in-tvt-dvr-exploitation/

Medusa勒索软件组织近日在其暗网泄露网站上宣称攻击了美国国家汽车竞赛协会(NASCAR)，要求支付400万美元赎金，并威胁如不付款将公开内部数据。除NASCAR外，该组织还声称McFarland Commercial Insurance Services、Bridgebank Ltd和Pulse Urgent Care也成为其最新受害者。

该组织已发布了37张与NASCAR相关的文档图片作为证据。对其中一张模糊图片的审查显示，泄露内容包括企业品牌材料、设施地图、含员工联系方式的电子表格以及内部笔记和照片。初步分析表明，泄露文件包含赛道场地详细地图、电子邮件地址、员工姓名和职位，以及与凭证相关的信息，这表明运营和后勤数据确实遭到了入侵。Medusa勒索软件组织最早于2021年被发现，但在过去几年中其活动明显增加。几周前，Medusa因使用被盗数字证书禁用受感染系统上的反恶意软件工具而成为新闻焦点。

目前NASCAR尚未回应、确认或否认这些声明。然而，如果该组织确认遭到入侵，这并不令人意外；NASCAR每年创造数亿美元的收入，使其成为网络犯罪分子的诱人目标。

原文链接：

https://hackread.com/medusa-ransomware-claims-nascar-breach-latest-attack/

Facebook Security近日发布安全公告，披露了WhatsApp Windows版本中一个欺骗漏洞（CVE-2025-30401）。该漏洞允许攻击者向用户发送看似无害但实际包含恶意代码的文件附件，一旦在WhatsApp应用内打开，可能会执行恶意操作。

这一安全漏洞影响所有2.2450.6版本之前的WhatsApp Windows客户端，对经常通过该应用处理文件附件的用户构成重大风险。漏洞的技术本质在于WhatsApp处理文件的方式存在不一致：应用会根据文件声明的MIME类型向用户展示附件，但当用户点击在WhatsApp内打开时，应用会根据文件扩展名（如.jpg或.exe）而非其声明类型来选择启动程序。举例来说，如果有人发送一个名为"image.jpg.exe"的文件，WhatsApp可能因MIME类型将其显示为图片，但当用户点击打开时，应用会注意到".exe"后缀并将其作为程序执行，从而导致恶意代码在用户不知情的情况下运行。

WhatsApp已修复了这一问题。安全专家建议使用WhatsApp Windows版本的用户确保更新至2.2450.6或更高版本。

原文链接：

https://hackread.com/whatsapp-windows-flaw-hackers-sneak-malicious-files/

微软发布了2025年4月的补丁星期二更新，修复了121个安全漏洞，其中包括一个已被黑客积极利用的零日漏洞。此次更新涵盖了微软广泛的软件产品套件，解决了多种威胁，包括权限提升、远程代码执行和拒绝服务攻击等。

在这121个漏洞中，按类型分类如下：权限提升漏洞49个、远程代码执行漏洞31个、信息泄露漏洞16个、拒绝服务漏洞14个、安全功能绕过漏洞9个、欺骗漏洞1个，以及1个零日漏洞。此次更新中还包括10个被评为"严重"级别的远程代码执行漏洞，主要影响Windows LDAP、TCP/IP、Microsoft Office、Excel和远程桌面服务等组件。其他重要漏洞涉及Windows Hello、BitLocker、Windows内核和Azure等多个关键组件。

最值得关注的是，微软确认Windows通用日志文件系统驱动程序零日漏洞在补丁发布前已被积极利用。这个权限提升漏洞存在于CLFS驱动程序中，运行在Windows内核的低级别。如果成功利用，攻击者可能获得更高权限（可能高达SYSTEM级别访问权限），从而执行任意代码、安装恶意软件、修改系统设置或访问敏感数据。

微软强烈建议用户和IT管理员通过Windows Update或企业管理工具立即应用这些更新。考虑到存在一个被积极利用的零日漏洞，延迟更新可能使系统面临持续攻击的风险。

原文链接：

https://cybersecuritynews.com/microsoft-patch-tuesday-april-2025/

Google近日发布了Android 2025年4月安全更新，修复了62个漏洞，其中两个高危漏洞已被确认在野外遭到利用。

这两个高危漏洞分别是：

• CVE-2024-53150：内核USB子组件中的越界漏洞，可能导致信息泄露

• CVE-2024-53197：内核USB子组件中的权限提升漏洞

Google还确认这两个漏洞可能已经遭到"有限的、针对性的利用"。值得注意的是，CVE-2024-53197源自Linux内核，去年已经与CVE-2024-53104和CVE-2024-50302一起被修复。根据国际特赦组织的报告，这三个漏洞曾在2024年12月被串联利用，入侵了一名塞尔维亚青年活动人士的Android手机。随着最新更新，所有这三个漏洞都已被修复，有效堵塞了这一利用路径。

目前尚无关于CVE-2024-53150如何在实际攻击中被利用、由谁利用以及可能针对谁的详细信息。建议Android设备用户在原始设备制造商(OEM)发布更新时立即应用这些更新，以保护设备安全。

原文链接：

https://thehackernews.com/2025/04/google-releases-android-update-to-patch.html