每周网络安全简讯 ( 2025年 第36周 )

2025年8月30日至2025年9月5日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计19条。

APT攻击

APT组织Midnight Blizzard对欧洲目标用户实施网络攻击

近日，亚马逊公司威胁情报团队发现APT组织Midnight Blizzard通过水坑攻击方式，成功入侵感染多个合法网站并嵌入Base64混淆的恶意代码，然后通过随机化的方式将约10%的受感染网站访问者重定向至虚假Cloudflare钓鱼页面，进而通过引导用户执行恶意Microsoft设备代码身份验证流程的方式，获取用户微软账户相关权限，对目标用户敏感信息造成威胁。安全人员建议称，用户应尽可能禁用不必要的设备授权，启用多身份要素验证机制（MFA），密切监视可疑的身份验证事件，以降低遭受攻击的风险。

链接：https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-apt29-hackers-targeting-microsoft-365/

APT组织Lazarus近期攻击特点被披露

近日，安全研究人员监测发现APT组织近期通过3个感染阶段，对某去中心化金融公司网络实施入侵。第一阶段，该APT组织仿冒公司员工同事，诱骗员工进入Telegram对话和特制会议网站，实施一系列钓鱼攻击，进而利用Chrome安全漏洞植入PondRAT载荷；第二阶段，在三个月的时间内结合使用PondRAT、ThemeForestRAT、自定义工具（屏幕截图器、键盘记录器和浏览器转储器）、Mimikatz和快速反向代理客户端，收集用户凭证和网络拓扑数据；第三阶段，将上一阶段植入的相关载荷进行删除，并定向植入更高级的RAT载荷RemotePE，以维持对高价值目标更深层次的访问权限。

链接：https://gbhackers.com/lazarus-hackers-exploit-0-day/

APT组织UTG-Q-010攻击香港金融行业

近日，奇安信通过天擎“六合”高级威胁引擎和红雨滴团队的私有情报生产流程，发现了 UTG-Q-010 组织针对金荣中国和万州金业的网络攻击，部分政企客户在安装来自中国香港地区金融机构“金荣中国”（jrjr.hk）和“万州金业”（wzg.com）官网的金融软件时，触发了相关规则告警，人工分析后确认安装包中存在恶意代码，目前上述官网的安装包已恢复正常。金荣中国和万州金业是两家知名的香港黄金交易所AA类持牌黄金交易商,也是目前国内高价值投资者主要选择的交易平台。

链接：

网络动态

滥用合法Velociraptor事件响应工具实施入侵的攻击方式被披露

近日，安全研究人员披露了一次新型网络攻击行动，在此次攻击事件中，未知黑客组织采用钓鱼等方式作为初始入侵手段，并在攻击成功后利用Windows msiexec从远程Cloudflare Workers域中向受控设备部署安装合法Velociraptor开源端点监控和数字取证工具和Visual Studio Code应用程序。然后，在将Visual Studio Code开启隧道选项后，对用户设备实施远程访问和代码执行。Sophos安全人员声称，“上述攻击事件可能为勒索攻击的前期准备阶段，相关组织应重点监控Velociraptor工具的使用行为，同时部署安全设备，以防遭受勒索软件攻击威胁。”

链接：https://thehackernews.com/2025/08/attackers-abuse-velociraptor-forensic.html

美国国家标准与技术研究院推出可增强供应链追溯性和安全性的“元框架”

近日，美国国家标准与技术研究院(NIST)下属国家网络安全卓越中心(NCCoE)以NIST IR 8419和NIST IR 8536为基础，发布《供应链可追溯性：制造业元框架》最小可行产品（MVP）参考实施（RI）方案，旨在研究通过实现可追溯性数据的结构化记录、链接和检索，增强跨不同供应链的可追溯性。通过可信的数据存储库，相关方可以访问所需的供应链信息，以验证产品来源、合同义务及供应链完整性。

链接：https://industrialcyber.co/nist/nist-rolls-out-meta-framework-reference-model-to-boost-traceability-and-cybersecurity-across-manufacturing-supply-chains/

美国将于年底购入“联合网络捕猎套件”

近日，由美国海军信息战中心（NIWC）主办，来自美国、澳大利亚和新西兰的60名网络安全专家在费城参加了对“联合网络捕猎套件”（Joint Cyber Hunt Kits）原型的评估工作并成功完成了测试工作。据称，该套件具有高度便携性，可由一支9人小组部署到世界各地，连接到任何网络并提供实时的网络防御能力，预计美国将于今年年底购买首批系统。

链接：https://www.defence.gov.au/news-events/news/2025-09-01/cyber-kits-keep-allies-hunt

美国北卡罗来纳州启动全州人工智能框架

近日，美国北卡罗来纳州州长乔什·斯坦签署了一项行政命令，启动全州人工智能框架。该命令设立了一个人工智能领导委员会，并在各州机构内设立了监督团队。该委员会的成员包括州首席信息官Teena Piccione等政府官员，其将作为州长和州政府机构的顾问委员会，负责指导政府使用人工智能、制定培训计划及提高公众的人工智能素养和预防欺诈能力。北卡罗来纳州的这一举措，标志着近年来已有数十个州加入了制定自身人工智能规则和战略的行列。

链接：https://statescoop.com/north-carolina-joins-growing-number-of-states-establishing-ai-frameworks/

美国国家科学基金会宣布拨款3,500万美元建立人工智能研究资源运营中心

美国国家科学基金会（NSF）计划拨款高达3,500万美元，用于建立国家人工智能研究资源运营中心（NAIRR）。NAIRR于2024年1月启动试点，旨在为研究人员提供获取计算数据、人工智能模型、软件和其他人工智能研究所需工具的资源。目前，该试点项目已支持了49个州和华盛顿州的490多个项目，并得到了14个联邦机构和28个私营部门合作伙伴的捐助。

链接：https://fedscoop.com/nsf-announces-35-million-stand-up-ai-research-resource-operations-center-nairr/

黑客滥用X的AI助手传播恶意链接

近日，黑客利用X平台的内置AI助手Grok传播恶意链接。Guardio Labs研究员Nati Tal发现，恶意广告商经常运行包含成人内容诱饵的可疑视频广告，并避免包含指向主站的链接以避免被X平台拦截。他们将链接隐藏在视频卡片下方不起眼的“From:”元数据字段中，该字段显然未被社交媒体平台扫描以检查恶意链接。接下来，（很可能是）同一批行为者通过回复广告来询问Grok关于帖子的信息，例如“这个视频来自哪里？”或“这个视频的链接是什么？”。Grok会解析隐藏的“From:”字段，并在回复中以可点击的格式提供完整的恶意链接，使用户能够点击并直接进入恶意网站。由于Grok在X平台上自动是一个受信任的系统账户，其发布的内容提升了链接的可信度、覆盖范围、搜索引擎优化（SEO）和声誉，从而增加了该链接被广播给大量用户的可能性。

链接：https://www.bleepingcomputer.com/news/security/threat-actors-abuse-xs-grok-ai-to-spread-malicious-links/

漏洞资讯

IBM watsonx Orchestrate Cartridge for IBM Cloud Pak for Data存在SQL注入漏洞

近日，安全研究人员发现IBM公司由人工智能驱动的平台Watson Orchestratefor IBM Cloud Pak for Data存在SQL注入漏洞（CVE-2025-0165），允许攻击者向目标设备发送特制SQL语句的方式，远程查看、添加、修改或删除后端数据库中的信息。漏洞影响4.8.4 – 4.8.5、5.0.0 – 5.2等版本，目前用户可通过将版本升级至IBM Watson X Orchestrate Cartridge 5.2.0.1的方式修复上述安全漏洞。

链接：https://cve.akaoma.com/cve-2025-0165

D-Link DIR-852路由器存在命令注入漏洞

近日，安全研究人员发现D-Link DIR-852 1.00CN B09存在命令注入漏洞（CVE-2025-9752），位于SOAP Service组件soap.cgi文件soapcgi_main函数中，允许未经身份验证的攻击者向目标设备发送特制网络数据包的方式执行任意系统命令。目前，用户可通过更换不存在该安全漏洞型号产品、禁用SOAP服务等方式降低安全威胁。

链接：https://nvd.nist.gov/vuln/detail/CVE-2025-9752

Linux UDisks守护进程权限提升漏洞PoC已在互联网公开

近日，安全研究人员发现在Linux环境中被广泛使用的UDisks守护进程存在权限提升漏洞（CVE-2025-8067），允许用户通过D-BUS系统造成GLib函数g_unix_fd_list_get()的越界读取，进而为本地权限提升提供条件。目前，该漏洞PoC已在互联网公开，目前用户可通过将udisks版本升级至2.10.91、2.10.2的方式修复上述安全漏洞。

链接：https://securityonline.info/cve-2025-8067-linux-privilege-escalation-flaw-found-in-udisks-daemon-poc-releases/

ImageMagick BMP编码器存在整数溢出漏洞

近日，安全研究人员发现ImageMagick BMP编码器存在整数溢出漏洞（CVE-2025-57803），是由BMP编码器WriteBMPImage函数（coders/bmp.c）中采用了不安全的步长算法所导致，允许攻击者向目标设备上传特制图像的方式，造成整数溢出，进而可实现远程任意代码执行。漏洞影响ImageMagick < 7.1.2-2、ImageMagick < 6.9.13-28等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://securityonline.info/cve-2025-57803-critical-flaw-in-imagemagick-could-lead-to-remote-code-execution/

NeuVector开源容器安全平台存在硬编码凭证漏洞

近日，安全研究人员发现为Kubernetes环境提供端到端安全保障的NeuVector开源容器安全平台存在硬编码凭证漏洞（CVE-2025-8077），是由其使用一个固定字符串作为内置管理员账户默认密码所导致，若用户在部署后未更改此密码，则集群内任何具有网络访问权限的工作负载都可以使用默认凭证获取身份验证令牌，进而允许攻击者调用NeuVector API执行任何管理操作，对整个Kubernetes环境造成威胁。漏洞影响NeuVector < 5.4.6等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://securityonline.info/cve-2025-8077-cvss-9-8-critical-flaw-in-neuvector-exposes-kubernetes-clusters-to-full-takeover/

分布式机器学习平台h2o-3存在反序列化漏洞

近日，安全研究人员发现开源分布式机器学习平台h2o-3存在反序列化漏洞（CVE-2025-6507），允许未经身份验证的攻击者无需用户交互即可远程执行任意代码，窃取用户敏感信息。漏洞影响version<3.46.0.8等版本，目前用户可通过版本升级等方式修复上述安全漏洞。

链接：https://radar.offseq.com/threat/cve-2025-6507-cwe-502-deserialization-of-untrusted-fcb4a255

SunPower设备中存在一个高危漏洞

近日，美国网络安全和基础设施安全局（CISA）发布了一项紧急通告称，SunPower PVS6太阳能设备存在一个高危漏洞，该漏洞可能使攻击者获得对系统设备的完全控制权。该漏洞被标识为CVE-2025-9696（CVSS v4评分为9.4），源于设备蓝牙低功耗（BluetoothLE）接口中使用了硬编码的凭证。处于蓝牙范围内的攻击者可以利用这一漏洞访问设备的服务接口，从而能够替换固件、关闭发电、修改电网设置、创建SSH隧道、更改防火墙配置以及操控连接的设备。目前SunPower尚未提供官方修复补丁。

链接：https://cybersecuritynews.com/cisa-warns-of-critical-sunpower-device-vulnerability/

木马病毒

通过虚假TradingView广告传播的Brokewell安卓恶意程序变种被披露

近日，安全研究人员披露一款名为Brokewell的安卓恶意程序变种。经分析，攻击者滥用Meta广告平台，虚假宣传提供免费的TradingView Premium应用程序，诱骗目标用户访问广告链接。仅当用户使用安卓设备点击后，才会重定向至托管了恶意APK文件的钓鱼页面，并进一步指引用户进行安装。然后，该恶意程序在索要辅助功能等各类管理权限后，会利用自身功能性组件对用户的BTC、ETH、USDT等加密货币进行窃取，同时实施屏幕和按键记录、cookie窃取、摄像头激活、默认短信应用程序劫持等操作，甚至可通过Tor或Websockets实现短信发送、拨打电话和自身格式化等。

链接：https://www.bleepingcomputer.com/news/security/brokewell-android-malware-delivered-through-fake-tradingview-ads/

伪装成Nodemailer软件包的恶意程序被披露

近日，安全研究人员捕获到一个伪装成npm包（nodejs-smtp）nodemailer库的恶意程序样本。经分析，与其他传统类似样本不同的是，该样本不仅是简单的名称模仿，其具备功能齐全的邮件API和一个与Nodemailer兼容的嵌入式接口，当用户导入使用时，会使用Electron工具解压释放针对Atomic Wallet多币种钱包实施攻击的app.asar载荷，劫持用户设备传出的加密交易过程，在交易的发送流程中将收件人地址进行覆写，以此实现加密货币的窃取。安全人员声称，“该样本以别名nikotimon发布，注册邮箱为darkhorse.tech322@gmail[.]com，且其因与真实NPM包名称类似，因此更易与针对AI编程助手的钓鱼攻击联合使用，增加误拉取恶意软件包的可能性。”

链接：https://securityonline.info/malicious-npm-package-masquerades-as-nodemailer-drains-crypto-wallets/

RewardDropMiner新型安卓恶意程序被披露

近日，安全人员捕获到RewardDropMiner新型安卓恶意程序样本。经分析发现，该样本是一种多阶段感染的恶意程序，常伪装成印度、亚洲等国家或地区的政府、银行应用程序进行传播，在植入用户设备后，会利用SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper和TiramisuDropper等组件通过延迟权限和隐藏有效载荷的方式规避Play Protect和Pilot Program等安全平台检测，进而部署第二阶段功能性载荷对用户设备实施远控。

链接：https://securityaffairs.com/181849/malware/android-droppers-evolved-into-versatile-tools-to-spread-malware.html

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持