1. 安全焦点
一个未修补的严重 SharePoint Server 零日漏洞 CVE-2025-53770 (CVSS 9.8) 成为全球网络攻击的焦点。该漏洞已被用于大规模的在野利用,至少影响了全球超过75家大型企业和政府机构。攻击者通过该漏洞在目标服务器上部署恶意Web Shell,窃取关键配置信息以实现持久化访问和远程代码执行。由于官方补丁尚未发布,微软已敦促用户紧急采取缓解措施。
2. 重要资讯
2.1. 数据泄露与攻击事件
- SharePoint 零日漏洞被大规模利用,已入侵超75家全球组织:
一个未修补的 SharePoint Server 关键漏洞 CVE-2025-53770 正被大规模利用。攻击者利用该漏洞在本地 SharePoint 服务器上安装恶意Web Shell,窃取服务器的 `MachineKey` 配置,从而获得持久访问权限并可能执行任意代码。受害者包括全球范围的大公司和政府机构。 - CrushFTP 关键漏洞遭在野利用,攻击者可获取管理员权限:
企业级文件传输解决方案 CrushFTP 中一个新披露的关键漏洞 CVE-2025-54309 (CVSS 9.0) 正遭受在野利用。该漏洞允许未经身份验证的远程攻击者在未受保护的服务器上获得管理员访问权限。据称,攻击者通过逆向分析此前的修复代码发现了新的攻击向量。 - 黑客利用 Microsoft Teams 传播 Matanbuchus 3.0 恶意软件:
新版恶意软件加载器 Matanbuchus 3.0 通过针对性的社会工程攻击进行传播。攻击者在 Microsoft Teams 通话中冒充IT帮助台,诱骗员工使用 Quick Assist 并执行恶意 PowerShell 脚本,最终在目标系统上部署该恶意软件。 - 攻击者利用已窃取凭证和新后门攻击已报废的 SonicWall 设备:
一个名为 UNC6148 的组织被发现针对已完全修补但已停止支持 (EOL) 的 SonicWall SMA 100 系列设备。攻击者利用先前入侵中窃取的凭证和 OTP 种子重新获得访问权限,并部署了一种名为 OVERSTEP 的高级用户模式 rootkit 以实现持久化和反取证。 - 超大规模DDoS攻击流量达到创纪录的 7.3 Tbps:
根据第二季度DDoS威胁报告,研究人员观察到了一次峰值达到 7.3 Tbps 的超大规模DDoS攻击。报告还指出,尽管整体DDoS攻击数量有所下降,但超大规模攻击(超过100万 rps 或 1 Tbps)的频率和规模都在急剧增加。
2.2. 漏洞预警与分析
- SharePoint Server 存在被积极利用的零日漏洞 CVE-2025-53770:
该漏洞 CVSS 评分为 9.8,是此前 CVE-2025-49706 漏洞的变种,允许未经授权的攻击者在本地 SharePoint 服务器上实现远程代码执行。目前尚无官方补丁,微软建议用户启用 AMSI 集成或断开服务器与互联网的连接。 - Google Chrome 修复已遭在野利用的零日漏洞 CVE-2025-6558:
Google 发布紧急更新,修复了其 ANGLE 图形引擎层中的一个高危漏洞 (CVE-2025-6558, CVSS 8.8)。该漏洞允许远程攻击者通过特制的HTML页面实现沙箱逃逸,且已被证实存在在野利用。 - Cisco ISE 存在CVSS 10.0分的关键漏洞 CVE-2025-20337:
Cisco 身份服务引擎 (ISE) 和 ISE-PIC 中发现一个最高级别的安全漏洞,允许未经身份验证的远程攻击者在底层操作系统上以 root 权限执行任意代码。该漏洞源于对用户输入验证不足。 - Windows Server 2025 存在 "Golden dMSA" 设计缺陷:
研究人员在 Windows Server 2025 新引入的委托管理服务账户 (dMSA) 中发现一个严重的设计缺陷。拥有域控制器权限的攻击者可以利用此缺陷,通过暴力破解轻易生成所有 dMSA 和 gMSA 账户的密码,从而实现跨域横向移动和持久访问。 - NVIDIA Container Toolkit 存在严重容器逃逸漏洞 CVE-2025-23266:
该漏洞 (CVSS 9.0) 被命名为 NVIDIAScape,允许攻击者通过一个简单的三行 Dockerfile 实现容器逃逸,从而在宿主机上获得提升的权限,对共享硬件上的所有其他客户构成威胁。 - 其他值得关注的漏洞:
Ivanti Connect Secure: CVE-2025-0282, CVE-2025-22457 Apache HTTP Server: CVE-2021-41773 CrushFTP: CVE-2025-54309, CVE-2025-31161 Fortinet FortiWeb: CVE-2025-25257 SQLite: CVE-2025-6965 Chrome: CVE-2025-6554, CVE-2025-5419
2.3. 恶意软件与威胁情报
- 开源代码 AsyncRAT 引发大量恶意软件变种滋生:
由于其开源和模块化的特性,著名的远程访问木马 AsyncRAT 已成为大量恶意软件变种的基础。研究人员追溯了其从 Quasar RAT 演变而来的历史,并分析了其分支如 DCRat、Venom RAT 和 NonEuclid RAT 等,这些变种在原版基础上增加了更多的窃密和逃避检测功能。 - 朝鲜黑客组织持续向 npm 仓库投毒:
与 "Contagious Interview" 活动相关的朝鲜黑客组织,被发现向 npm 仓库上传了67个新的恶意软件包。这些软件包部署了一种名为 XORIndex 的新型加载器,用于分发 BeaverTail 信息窃取器和 InvisibleFerret 后门。 - 供应链攻击盯上 npm 维护者,多个流行包被植入恶意代码:
一次针对 npm 项目维护者的网络钓鱼活动成功窃取了他们的访问令牌。攻击者随后利用这些令牌,向 `eslint-config-prettier` 等多个流行软件包的合法版本中注入了恶意代码,试图在 Windows 计算机上执行恶意DLL。 - 新型 RaaS 组织 GLOBAL GROUP 使用 AI 聊天机器人进行勒索谈判:
一个名为 GLOBAL GROUP 的新型勒索软件即服务 (RaaS) 组织浮出水面,据信是 BlackLock 勒索软件的更名。该组织的一大特点是其谈判面板集成了 AI 驱动的聊天机器人,以帮助非英语母语的附属成员更有效地与受害者沟通。 - Interlock RAT 出现 PHP 新变种,利用 FileFix 机制传播:
Interlock 勒索软件团伙开发了其定制RAT的PHP新变种。该恶意软件通过一种名为 FileFix 的新颖传播技术进行分发,该技术诱导用户在文件资源管理器的地址栏中执行恶意命令。 - HazyBeacon 后门利用 AWS Lambda 进行 C2 通信:
研究人员发现一款名为 HazyBeacon 的新型 Windows 后门,被用于针对东南亚政府机构。该后门利用 AWS Lambda 的 URL 作为其命令与控制 (C2) 通信渠道,以在合法网络流量中隐藏自身。 - Konfety Android 恶意软件利用“邪恶双胞胎”技术进行广告欺诈:
新版 Konfety 恶意软件利用畸形的 APK 文件(如伪加密、错误的压缩声明)来逃避安全工具的分析。它通过“邪恶双胞胎”技术,即创建一个与Google Play商店中合法应用同包名的恶意应用,在第三方渠道分发,以实施广告欺诈。
2.4. 网络犯罪与执法行动
- 欧洲刑警组织成功瓦解亲俄黑客组织 NoName057(16):
在一项代号为 "Operation Eastwood" 的国际执法行动中,欧洲刑警组织协调多国力量,成功摧毁了亲俄黑客组织 NoName057(16) 的大部分中央服务器基础设施。该组织以其 DDoS 攻击工具 DDoSia 闻名,长期针对乌克兰及其盟友发起网络攻击。行动中有多人被捕,并对主要成员发出了逮捕令。
3. 技术剖析
1. SharePoint 零日漏洞利用链 "ToolShell" 剖析
本周爆出的 SharePoint 严重漏洞 CVE-2025-53770 及其在野利用,揭示了一个被称为 "ToolShell" 的高效攻击链。该攻击链巧妙地组合了两个漏洞,以在目标服务器上实现远程代码执行。
攻击流程:
- 漏洞组合:
攻击者首先利用 CVE-2025-49706(一个SharePoint中的欺骗漏洞)及其变种 CVE-2025-53770。 随后,他们将该漏洞与 CVE-2025-49704(一个SharePoint中的代码注入漏洞, CVSS 8.8)链接起来,形成完整的攻击链。
通过漏洞组合,攻击者能够通过 PowerShell 向受感染的 SharePoint 服务器传递恶意的 ASPX 载荷。这些载荷通常是 Web Shell,为攻击者提供了与服务器交互的后门。
攻击的核心目标是窃取 SharePoint 服务器的 `MachineKey` 配置。`MachineKey` 包含用于加密和验证 `__VIEWSTATE` 等关键状态信息的 `ValidationKey` 和 `DecryptionKey`。
一旦攻击者获得了 `MachineKey`,他们就可以生成合法的 `__VIEWSTATE` 载荷。 这使得任何经过身份验证的 SharePoint 请求,都可能被攻击者转变为一个远程代码执行(RCE)的机会,从而实现对服务器的完全控制和持久访问。
此攻击链的危险之处在于,它将一个看似中等风险的欺骗漏洞升级为了一个具有完全控制能力的RCE攻击,并且利用了SharePoint自身的核心安全机制(`MachineKey`)来维持其攻击效果。
2. 针对 EOL 设备的 OVERSTEP 高级后门分析
近期,针对已停止生命周期 (EOL) 的 SonicWall SMA 100 系列设备的攻击活动中,发现了一款名为 OVERSTEP 的高级后门。即使设备已打全补丁,攻击者仍能利用先前窃取的凭证进入系统,并部署此后门以实现深度潜伏。
OVERSTEP 的核心特性与技术:
- 持久化机制:
OVERSTEP 通过修改合法的启动文件 `/etc/rc.d/rc.fwboot` 来实现持久化。这意味着每次设备重启时,后门二进制文件都会被加载到运行文件系统中,确保其长期驻留。
该后门实现了一个用户模式的 rootkit,通过劫持(hook)多个标准库函数(如 `open` 和 `readdir`)来隐藏其自身的存在。 当系统或管理员尝试列出文件或打开目录时,被劫持的函数会过滤掉与后门相关的文件和目录,使其在文件系统中“隐身”。
OVERSTEP 不会主动向外发起 C2 连接,而是采用一种被动监听的方式。 它通过劫持 `write` API 函数来检查传入的Web请求。当请求中包含特定的命令字符串(如 `dobackshell` 或 `dopasswords`)时,后门便会执行相应的恶意操作。
后门具备强大的反取证能力,可以精准地从多个关键日志文件(如 `httpd.log`, `http_request.log`, `inotify.log`)中删除与攻击者活动相关的条目。 结合设备本身有限的磁盘日志历史,这极大地增加了事后追溯和分析的难度。
OVERSTEP 的设计体现了攻击者的高度复杂性,他们不仅能利用旧凭证绕过防御,还能通过修改系统核心组件和采用高级隐藏技术,在目标设备上实现难以检测的长期控制。
4. 工具与资源
- AsyncRAT & Quasar RAT:
两款著名的开源远程访问木马 (RAT),均用 C# 编写。AsyncRAT 在 Quasar RAT 的基础上发展而来,其开源特性导致了大量恶意变种的出现。相关项目:Quasar RAT on GitHub, AsyncRAT on GitHub - DDoSia:
由亲俄黑客组织 NoName057(16) 使用的 DDoS 攻击工具。该组织通过 Telegram 招募志愿者,并使用此工具对乌克兰及其盟友发动攻击。 - MDifyLoader:
一款基于开源项目 libPeConv 的恶意软件加载器,被用于利用 Ivanti 漏洞的攻击中,以在内存中加载 Cobalt Strike。相关项目:libPeConv on GitHub - Fscan:
一款开源的 Go 语言网络扫描工具,在利用 Ivanti 漏洞的攻击中被用于内部网络侦察。相关项目:Fscan on GitHub - XORIndex Loader:
由朝鲜黑客组织使用的新型恶意软件加载器,通过恶意的 npm 包进行分发,用于部署 BeaverTail 等后续载荷。 - Chaos RAT:
在恶意的 Arch Linux AUR 软件包中发现的远程访问木马。 - FileFix:
一种新颖的社会工程学攻击技术,是 ClickFix 的演进版。它诱导用户在 Windows 文件资源管理器的地址栏中复制并执行恶意命令。相关 PoC 可参考:FileFix PoC on GitHub
5. 言论
“我们仍在发现大规模的利用浪潮。这将产生巨大的影响,因为对手正利用这种远程代码执行能力快速进行横向移动。”—— Piet Kerkhofs, Eye Security CTO (关于SharePoint零日漏洞) “此次事件表明,针对维护者的网络钓鱼攻击能多快地升级为生态系统范围的威胁。”—— Socket (关于npm包投毒事件) “攻击者的成功在很大程度上归功于 OVERSTEP 能够选择性地删除日志条目。这种反取证措施,加上磁盘上没有shell历史记录,极大地降低了对其后续目标的可视性。”—— Google (关于OVERSTEP后门) “一个域控制器的失陷,会升级为对整个企业林中每一个受 dMSA 保护的服务的掌控。这不仅仅是权限提升,而是通过一个单一的加密漏洞,实现企业级的数字统治。”—— Adi Malyanker, Semperis (关于Golden dMSA攻击) “AsyncRAT 的崛起及其后续的分支凸显了开源恶意软件框架的内在风险。这些框架的广泛可用性极大地降低了有抱负的网络犯罪分子的入门门槛。”—— ESET (关于AsyncRAT的演变) “模仿游戏般的动态,定期的点名、排行榜或徽章为志愿者提供了一种地位感。这种游戏化的操纵,通常针对年轻的攻击者,并通过捍卫国家或报复政治事件的叙事在情感上得到加强。”—— Europol (关于NoName057(16)组织的运作模式)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...