赛欧思一周资讯分类汇总(2025-10-13 ~ 2025-10-18)

一周资讯分类汇总：

1、勒索事件：

• 印第安纳州密歇根市确认遭到 Obscura 勒索软件攻击

  Obscura勒索软件组织声称对针对美国印第安纳州密歇根市的网络攻击负责，密歇根市于2025年10月9日发表官方声明确认遭到勒索软件攻击。此后，Obscura 组织将该市列入其暗网泄密网站，表示谈判失败或未启动谈判并声称已从该市网络中流出 450 GB 的数据。

  来源: Daily Dark Web

• 全球勒索攻击！39 家巨头遭殃，思科、谷歌陷数据危机

  HUNTER 团队最新报告揭露，自称"混沌三位一体"（Trinity of Chaos）的网络犯罪联盟正在实施大规模数据勒索行动。该勒索软件团伙已在 TOR 网络建立数据泄露网站（DLS），宣称入侵了 39 家全球企业，包括谷歌、思科、丰田、联邦快递、迪士尼、万豪及法航-荷航集团。

  来源: CN-SEC 中文网

2、攻击事件：

• Pixnapping 攻击可在 30 秒内劫持 Google Authenticator 2FA 验证码

  安全研究人员公布了一种被称为 "Pixnapping" 的复杂的新攻击技术，它可以在30秒内从谷歌验证器和其他敏感的移动应用程序中提取双因素验证码，主要是利用了安卓图形渲染系统的基本功能创建了一种侧信道攻击。

  来源: GBHackers

• 亲俄黑客以政府、金融和电子商务网站为攻击目标

  亲俄罗斯的黑客组织 NoName057(16) 已成为 10 月 7 日周年纪念日期间针对以色列基础设施的一波协调网络攻击的重要参与者。该组织声称对多起针对政府门户网站、金融机构和在线商务平台的分布式拒绝服务（DDoS）攻击负责。

  来源: GBHackers

• Edge 浏览器 IE 模式成攻击突破口：黑客借仿冒网站诱导攻击

  一则微软 edge 浏览器安全预警引发黑鸟关注，有神秘黑客团伙正滥用微软 Edge 浏览器中的旧版 Internet Explorer 模式（简称 IE 模式），在用户浏览器中运行恶意代码，最终实现对设备的接管。

  来源: CN-SEC 中文网

• 黑客声称攻入法国 Ricous 水电枢纽系统

  一则来自黑客组织 “Z-Pentest Alliance” 的声明在 Telegram 上引发关注。该组织声称，其技术人员于当地时间21:55至22:22期间成功入侵位于法国德拉克河上的 Ricous 水电枢纽系统，并获得了“完整的管理员访问权限”。

  来源: CN-SEC 中文网

• 威胁行为者通过 npm、PyPI 和 Ruby 软件包利用 Discord Webhooks 进行 C2 攻击

  威胁行为者正越来越多地滥用 Discord 网络钩子，将其作为开源软件包内的隐蔽命令与控制 (C2) 通道，从而在无需建立定制基础设施的情况下，实现秘密、主机遥测和开发人员环境数据的隐蔽外渗。

  来源: GBHackers

• 新型“Mic-E-Mouse”攻击：光学鼠标秒变隐蔽窃听设备

  加州大学欧文分校的研究人员展示了一种新颖且实用的侧信道攻击，名为”Mic-E-Mouse”。该攻击利用日常光学鼠标的传感器来还原可理解的人声，从而将普通鼠标变成一种粗糙但隐蔽的麦克风。攻击者无需硬件改造，仅通过非特权软件访问，即可通过分析从桌面捕获的微小振动来还原对话。

  来源: 安全客

3、漏洞情报：

• 思科 SNMP 漏洞被积极利用安装 Linux Rootkits

  趋势科技（Trend Micro）的网络安全研究人员发现了一个名为 "Operation Zero Disco" 的活跃攻击活动，该活动利用了思科公司简单网络管理协议（SNMP）实施中的一个关键漏洞。该漏洞被追踪为 CVE-2025-20352，允许威胁者在易受攻击的网络设备上执行远程代码和部署复杂的 Linux rootkit。

  来源: GBHackers

• Unity 实时开发平台存在执行任意代码漏洞

  Unity Technologies 警告开发人员其广泛使用的游戏开发平台存在高严重性漏洞，该漏洞被指定为 CVE-2025-59489，CVSS 得分为 8.4。此安全问题几乎影响了从 2017.1 到当前版本的所有 Unity 编辑器版本，可能会影响全球数百万个已部署的游戏和应用程序。

  来源: CN-SEC 中文网

• SillyTavern 存在高危漏洞（CVE-2025-59159，CVSS 9.7），可导致本地 AI 实例遭远程完全控制

  大型语言模型（LLM）和 AI 工具的本地托管流行界面 SillyTavern 的开发团队发布安全公告，警告用户其 Web 界面存在高危漏洞（现编号为 CVE-2025-59159），远程攻击者可利用该漏洞完全控制 SillyTavern 实例，该漏洞 CVSS 评分为 9.7。

  来源: CN-SEC 中文网

• 黑客利用 Windows 远程访问连接管理器 0-Day 发起持续攻击

  微软已确认，一个影响 Windows Remote Access Connection Manager（Windows 远程访问连接管理器）的关键 0day 漏洞（CVE-2025-59230）已被主动利用。该漏洞允许拥有有限系统访问权限的攻击者将其权限升级到最高级别。

  来源: GBHackers

• WhatsApp 0-Click 漏洞遭恶意 DNG 文件利用

  WhatsApp 0-Click 远程代码执行(RCE)漏洞影响 Apple 的 iOS、macOS 和 iPadOS 平台，并附有概念验证演示。该攻击链利用两个不同的漏洞（分别为CVE-2025-55177和CVE-2025-43300）来破坏目标设备，而无需用户交互。

  来源: CN-SEC 中文网

• 黑客利用 Gladinet 文件共享软件中的0day漏洞

  威胁者正在利用 Gladinet CentreStack 和 Triofox 产品中的0day漏洞（CVE-2025-11371），该漏洞允许本地攻击者在未经身份验证的情况下访问系统文件，影响了包括最新版本 16.7.10368.56560 在内的所有版本。

  来源: BleepingComputer

• Oracle 电子商务套件漏洞导致远程代码执行和数据窃取

  甲骨文公司针对其电子商务套件平台中的一个严重漏洞发布了重要安全警报，该漏洞可能允许攻击者在无需身份验证的情况下执行远程代码并窃取敏感数据，该漏洞被认定为 CVE-2025-61884，CVSS 得分为 7.5。

  来源: GBHackers

• OpenSSH 通过 ProxyCommand 执行远程代码漏洞

  OpenSSH 中一个新的命令注入漏洞（跟踪为 CVE-2025-61984）已被披露，该漏洞可能允许攻击者在受害者的计算机上实现远程代码执行。该漏洞绕过了之前针对类似问题（CVE-2023-51385）的修复程序，并利用了该功能在处理特制用户名时与底层系统外壳的交互方式。

  来源: CN-SEC 中文网

• 严重的 WordPress 插件漏洞允许接管管理员账户

  在 Service Finder WordPress 主题使用的 Service Finder Bookings 插件中发现了一个严重漏洞，并已被积极利用。该漏洞 CVE-2025-5947 允许未经身份验证的攻击者获得受影响 WordPress 网站的管理访问权限。

  来源: eSecurity Planet

4、信息泄露：

• 印度尼西亚 Trans7 广播公司遭遇数据泄露事件

  一名威胁行为者声称已入侵印度尼西亚一家主要的国家私营电视台 Trans7。该威胁者在一个暗网论坛上发帖，宣布他们已经掌握了属于该媒体公司的 1.1GB 数据库。帖子中还对 Trans7 发出警告，威胁说如果不满足他们的要求，就会暴露整个数据库。

  来源: Daily Dark Web

• Elasticsearch 泄露事件暴露了 60 亿条新旧漏洞记录

  一个配置错误的 Elasticsearch 服务器在没有任何安全认证或密码的情况下，向公众泄露了超过 60 亿条记录，其中包含 1.12 TB 的数据。该服务器是在俄罗斯或一个俄语国家运行的，包含了通过数据泄露、网站搜刮和其他来源收集到的详细记录。

  来源: HackRead

• 美国医学影像服务商 SimonMed 约 120 万名患者个人信息泄露

  美国医学影像服务商 SimonMed Imaging 近日披露，其系统在年初遭黑客入侵，导致约 120 万名患者个人信息泄露。勒索组织 Medusa 声称对此次攻击负责，并泄露部分患者身份证扫描件、付款信息等数据，曾要求 100 万美元赎金。

  来源: CN-SEC 中文网

• 上法兰西大区遭遇 1.1TB 数据泄露事故

  一个威胁行为者声称要出售一个据称是从 hautsdefrance.fr 窃取的大型数据库，据该威胁行为者称，整个数据集超过 1.1 TB。据称被泄露的数据包括各种敏感信息：全名、电话号码、电子邮件地址、实际地址、官方身份证件扫描件、教育和行政文件。

  来源: Daily Dark Web

• 劳伦斯伯克利国家实验室数据泄露暴露源代码

  一个威胁行为者声称已经入侵了劳伦斯伯克利国家实验室（LBNL），攻击者声称，数据泄露事件发生在 2025 年 10 月，导致内部文件泄露。据称外泄的数据包括内部开发工具和软件库、源代码文件，包括 Python、C++ 和各种脚本、用于 SCons 的构建自动化脚本和配置文件、大量技术设计和用户文档文件。

  来源: Daily Dark Web

• 黑客声称 Salesforce 遭到大规模入侵：十亿条记录被盗

  一个名为 "Scattered Lapsus$ Hunters" 的新型网络犯罪集团已成为对全球组织的重大威胁，声称对针对 Salesforce 客户租户的大规模数据泄露事件负责。据报道，该团伙（又称 SP1D3R HUNTERS 或 SLSH）在两次独立的勒索活动中窃取了超过 10 亿条 Salesforce 记录。

  来源: GBHackers

• 两款 AI 陪伴应用被曝数据泄露，含四千多万条私密聊天记录

  网络安全研究机构 Cybernews 曝光了一起严重的数据泄露事件，涉事的两款 AI 陪伴应用分别名为Chattee Chat 和 GiMe ChatAI。此次事件导致了超 40 万名用户信息被公开，泄露内容包括 4300 余万条用户与AI的私密对话，以及 60 余万张图片和视频等。

  来源: 安全内参

• 科威特建筑公司数据泄露：37TB 待售

  一个威胁行为者声称出售对一家在建筑、基础设施和大型项目领域运营的科威特大型公司内部网络的访问权限。攻击者以 10000 美元的价格出售该公司网络附加存储（NAS）服务器的访问权。据称出售的数据包括总容量 37.18 TB，超过 400 万个文件，超过 258000 个文件夹。

  来源: Daily Dark Web

• TraxNYC 豪华珠宝商遭遇重大数据泄露事件

  一名威胁者声称已入侵位于纽约的知名奢侈珠宝品牌 TraxNYC。该威胁者泄露了据称包含 182326 条客户记录的数据库，被泄露的数据包括大量敏感的客户和订单信息。据称，泄露了以下详细信息：订单ID、全名、电子邮箱、电话号码、发货地址、订单日期和时间、订单状态、产品信息。

  来源: Daily Dark Web

5、僵尸网络：

• 针对美国 RDP 服务的大规模多国僵尸网络

  一个大规模僵尸网络正从 100000 多个 IP 地址攻击美国的远程桌面协议 (RDP) 服务。该活动始于 10 月 8 日，根据 IP 的来源，研究人员认为攻击是由一个多国僵尸网络发起的。建议系统管理员阻止发起攻击的 IP 地址，并检查日志中可疑的 RDP 探测。

  来源: BleepingComputer

6、金融事件：

• 数据泄露后，纽约对 8 家汽车保险公司罚款 1400 万美元

  八家汽车保险公司将向纽约州支付总计 1420 万美元的罚款，因为这些公司的数据泄露事件暴露了 82.5 万多人的私人信息。网络犯罪分子只需提供极少量的信息，就会自动获取一个人的驾驶执照号码、车辆识别号码、出生日期等信息。

  来源: The Record

7、恶意软件：

• 新型银行恶意软件利用 WhatsApp 远程劫持您的电脑

  网络安全研究人员通过 WhatsApp 发现了一个针对巴西用户的复杂恶意软件活动，该活动传播了一种名为 Maverick 的新型危险银行木马，仅在 10 月份的前 10 天，该威胁就在巴西阻止了超过 62000 次感染尝试。

  来源: GBHackers

• 恶意窃取加密的 VSCode 扩展再次出现在 OpenVSX 上

  一个名为 TigerJack 的威胁行为者在微软的 Visual Code 市场和 OpenVSX 注册表上发布恶意扩展，不断以开发人员为目标，窃取加密货币并植入后门。其中两个扩展程序在被下载 17000 次后从 VSCode 中删除，但仍存在于 OpenVSX 中。

  来源: BleepingComputer

• 待付款发票通过 Office 文件传播远控木马

  近期，安全团队发现黑客利用伪造发票通过 Office 文件传播 XWorm 远控木马。攻击者通过伪造的“待付款发票”邮件，借助带有 .xlam 扩展名的 Office 附件，诱使收件人打开并最终在受害者电脑上部署 XWorm 远程访问木马。

  来源: CN-SEC 中文网

• 黑客通过注入恶意 PHP 代码来利用 WordPress 网站

  网络犯罪分子通过秘密修改主题文件以提供未经授权的第三方脚本来加大对 WordPress 网站的攻击力度。该活动利用活动主题中微妙的 PHP 注入来获取外部代码，有效地将受感染的网站转变为恶意广告和恶意软件的静默分发者。

  来源: CN-SEC 中文网

8、钓鱼事件：

• 西班牙当局捣毁高级人工智能网络钓鱼行动 GoogleXcoder

  西班牙执法部门最近捣毁了一个先进的人工智能驱动的网络钓鱼网络，并逮捕了名为  "GoogleXcoder" 的主谋开发者。这次行动标志着西班牙在打击银行凭证盗窃方面取得了重大胜利。

  来源: GBHackers

9、国际安全情报：

• 超 100 款 VS Code 扩展暴露开发者面临隐蔽的供应链风险

  新研究发现，超 100 款 Visual Studio Code（VS Code） 扩展的发布者泄露了访问令牌，这些令牌允许攻击者直接向整个安装基础分发恶意扩展更新，从而构成严重软件供应链风险。

  来源: 黑客资讯

• 安全启动绕过风险威胁近 20 万台 Linux Framework 笔记本电脑

  美国电脑制造商 Framework 生产的约 20 万台 Linux 电脑系统在出厂时附带了已签名的 UEFI 外壳组件，外壳中包含了一个 “内存修改”（mm）命令，这些组件可能被利用来绕过安全启动保护。

  来源: 黑客资讯