每周网络安全简讯 ( 2025年 第8周 )
每周网络安全简讯 ( 2025年 第8周 )
国信中心 极客安全 2025-02-21 08:44
2024年2月15日至2025年2月21日,国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计19条。
01
APT攻击
01
APT组织Lazarus利用Marstech1恶意程序对目标用户实施网络攻击
近日,安全研究人员监测发现APT组织Lazarus对目标用户实施代号为Marstech Mayhem的网络攻击。此次攻击活动中,该APT组织主要采用网络钓鱼的方式,诱使用户访问下载托管在GitHub上的Marstech1恶意载荷。攻击成功后,该恶意载荷将会自动搜索受控设备上所有基于Chrome的浏览器应用,添加恶意拓展组件,进而将秘密收集的用户电子货币钱包地址上传至APT组织指定的远程服务器。同时,经分析发现,该Marstech1恶意载荷采用多层混淆加密技术对自身进行编码,并在自身多阶段XOR解码过程中,动态调整自身文件名称,隐蔽性较强,可逃避大多数安全软件的静态和动态分析。目前,经溯源统计,已有233名欧洲和亚洲的用户遭受此类攻击。
链接:
http://985.so/xg6fn
02
朝鲜APT组织Kimsuky对韩国目标用户实施网络攻击
近日,安全研究人员监测发现朝鲜APT组织Kimsuky对韩国目标用户实施代号为“DEEP#DRIVE”的网络攻击行动。此次攻击事件中,该APT组织通过网络钓鱼方式向目标用户投递恶意邮件,诱使用户点击实施渗透入侵。攻击成功后,邮件内的恶意LNK文件将会进一步触发经过动态混淆的PowerShell脚本,持续监听受控设备状态,并执行该APT组织下达的各类攻击指令。同时,在该APT组织获取初始访问权限后,还会使用Oauth令牌与Dropbox可信平台建立通联隧道,将其作为关键枢纽,不仅可以向受控设备写入存储在Dropbox内的各种有效载荷,实现命令执行、键盘记录等各类恶意行为,而且还可作为远程服务器,接收该APT组织上传的用户敏感信息。综上,APT组织Kimsuky在近期网络攻击中不断优化自身攻击策略,采用Dropbox、写入内存执行功能载荷等方式,规避了传统安全设备的检测,存在较大的潜在安全风险。
链接:
http://985.so/xg6ft
02
网络动态
01
日本政府提出《网络响应能力加强法案》
近日,日本政府向众议院提出《网络响应能力加强法案》,旨在加强政府对网络攻击的反应能力,建立网络安全防护机制,利用高度独立的第三方组织对整体网络系统运营情况进行监视,并允许在第三方组织符合《法案》规定的情况下向日本政府提供必要信息。据描述,该《法案》内容涉及行业共计15个,包括:航空、金融、电信等。此外,《法案》规定,如果政府雇员泄露或滥用敏感信息,将会被处以罚款。
链接:
http://985.so/xg61b
02
美国会拟立法将太空系统作为关基设施进行保护
美国国会民主党议员刘云平(Ted Lieu)、萨鲁德·卡尔巴哈尔和共和党议员布赖恩·菲茨帕特里克共同发起了《太空基础设施法案》(H.R. 1154),将太空系统、服务和技术列为美国关键基础设施的一部分,以确保太空资产的导航系统、通信系统等核心组件受到保护,进一步提升其安全性与韧性。如果该法案获得批准,太空行业将会成为被指定为关键基础设施的第17个行业。此外,该法案还将创建一个由行业领导的理事会,专门与联邦机构进行合作,制定一系列影响太空系统的安全政策。
链接:
http://985.so/xg612
03
美国海军计划发布新标准,继续推行零信任网络安全实践
近日,美国海军计划发布新的标准,旨在未来几周内实施用于包括武器系统和服务平台在内运营技术的零信任控制。据称,该标准计划在3月份发布,其零信任框架涵盖“基本级别”“block 2高级级别”等最低网络安全要求,海军部网络顾问安妮·玛丽·舒曼声称,目前海军部基于云的Microsoft Office 365平台已经满足了DoD设定的全部152个零信任要求,将要推行的新标准将会为零信任体系全面推行提供良好助力。
链接:
http://985.so/xg61x
04
澳大利亚塔斯马尼亚州政府发布《2024-2028年度网络安全战略》
近日,澳大利亚塔斯马尼亚州政府发布《2024-2028年度网络安全战略》,旨在利用跨业务和教育行业的合作伙伴提高全州服务交付生态系统的网络弹性。同时,该策略确定了11项基本目标,包括:通过改善治理来改善政府对现代威胁格局的反应、连续改进网络安全工具、增加风险可见性、通过提高网络安全防护水平保护政府服务、改善政府网络安全文化、保护关键系统和数据、在政府价值链中建立伙伴关系、确定伙伴关系建立日程、发展网络安全人才、创建可持续性网络安全教育方案。
链接:
http://985.so/xg61d
05
亲俄黑客组织NoName057(16)对意大利实体目标实施DDoS攻击
近日,亲俄黑客组织NoName057(16)对意大利多家实体目标实施DDoS攻击,包括:利纳特机场、马尔彭萨机场、交通管理局、Intesa San Paolo银行及塔兰托港和的里雅斯特港等线上平台或官方网站。该黑客组织声称,此次网络攻击是对意大利总统马塔雷拉将俄罗斯与纳粹德国历史进行比较的言论的回应,也是对“恐俄者”的惩罚。目前,意大利国家网络安全局已采取行动,对受影响的组织提供技术支撑。
链接:
http://985.so/xg61e
06
黑客出售五角大楼承包商及大型金融机构VPN访问权限
近日,一个名为“Miyako”的黑客在暗网上出售VPN访问权限,涉及美国国防部(DoD)承包商和一家管理13亿美元资产的美国投资公司。据称,此次出售的VPN访问权限并非合法登录凭证,而是该黑客使用OpenVPN、IPSEC和WineGuard协议,针对相关企业的VPN配置实施漏洞扫描和缺陷分析,从而获取的未授权VPN访问权限,任何购买该访问权限的用户均可绕过相关企业的MFA多因素身份认证机制,获取目标网络环境的持久性访问能力。
链接:
http://985.so/xg61u
07
美国国家标准与技术研究院(NIST)发布《IR 8356——数字孪生技术的安全与信任考虑》
2月14日,美国国家标准与技术研究院(NIST)发布内部报告《IR 8356——数字孪生技术的安全与信任考虑》,指出数字孪生技术(digital twin,DT)在实际应用中存在的优势和不足。该报告同时强调,允许用户在创建数字孪生的实际对象前,通过建立模型的方式进行预先研究和实验。另一方面,数字孪生的支撑技术(如仿真建模软件和虚拟现实系统)多为专有,导致集成和文件共享困难。此外,报告呼吁制定数字孪生专用标准,以实现“即插即用”集成,并提升兼容性、安全性、网络安全及可信度。目前,相关工作已启动,旨在补充现有信息与通信技术标准。
链接:
http://985.so/xg61g
08
俄罗斯政府提出针对网络犯罪的拟议立法方案
近日,俄罗斯政府公布了一项全面立法方案,旨在通过严厉惩罚措施打击网络犯罪。此次拟议的立法方案修订了30多项现行法律,通过增加监禁期限、扩大资产没收程序及强制公开审判知名网络罪犯,实现俄罗斯网络安全框架的现代化。拟议立法大幅加强了俄罗斯刑法的处罚力度,特别是针对未经授权的访问、恶意软件传播和对关键信息基础设施(CII)的损害。入侵政府或企业系统的刑期从最高6年提升至5至15年,而网络欺诈的刑期也翻倍至12年。此外,拟议立法还对运营关键基础设施的组织提出了若干要求,包括:一是规定其必须部署国家认证的入侵检测系统(IDS),并与国家监控平台GosSOPKA进行兼容;二是联邦安全局(FSB)获得其实时流量日志的访问权,并要求其通过FinCERT门户网站自动报告威胁;三是国家计算机事件协调中心(NCC)将监督新的“反欺诈系统”,以标记相关组织未经授权的资金转移行为。
链接:
http://985.so/xg61y
03
漏洞资讯
01
Winzip存在远程代码执行漏洞
近日,安全研究人员发现Winzip存在远程代码执行漏洞(CVE-2025-1240),是由7Z文件解析过程对用户输入数据验证存在缺陷所导致,允许攻击者通过诱使用户点击恶意文件的方式,远程执行任意代码。漏洞影响Winzip < 29.0等版本,目前用户可通过版本升级修复上述漏洞
。
链接:
http://985.so/xg613
02
PHP存在未授权访问漏洞
近日,安全研究人员发现Web服务器端脚本语言PHP存在未授权访问漏洞(CVE-2022-31631),是由PDO :: QUOTE()函数存在整数溢出问题所导致,允许攻击者向目标设备发送恶意SQL请求,进而未授权访问用户敏感信息,造成数据泄露。漏洞影响PHP 8.0.x < 8.0.27等版本,目前用户可通过版本升级修复上述漏洞。
链接:
http://985.so/xg61p
03
PostgreSQL存在SQL注入漏洞
近日,安全研究人员发现PostgreSQL交互式工具PSQL存在SQL注入漏洞(CVE-2025-1094),是由该工具缺乏用户输入数据安全验证机制所导致,允许攻击者向目标设备发送恶意SQL语句的方式,远程执行任意代码,进而窃取用户敏感信息。漏洞影响PostgreSQL version < 17.3等版本,目前用户可通过版本升级修复上述漏洞。
链接:
http://985.so/xg615
04
Apache Ignite存在远程代码执行漏洞
近日,安全研究人员发现开源分布式数据库Apache Ignite存在远程代码执行漏洞(CVE-2024-52577),是由部分IGNITE端点的类序列化过滤器对用户数据处理不当所导致,允许攻击者向目标设备发送恶意IGNITE消息的方式,远程执行任意代码。漏洞影响Apache Ignite version < 2.17.0等版本,目前用户可通过版本升级修复上述漏洞。
链接:
http://985.so/xg61j
05
Chrome浏览器存在3个安全漏洞
近日,安全研究人员发现Google Chrome浏览器存在3个安全漏洞。其中,第一个是V8 JavaScript引擎中的堆缓冲区溢出漏洞(CVE-2025-0999),允许攻击者通过恶意JavaScript执行的方式,损坏目标设备堆内存,进而绕过Chrome沙盒保护机制,远程执行任意代码;第二个是GPU子系统中的堆缓冲区溢出漏洞(CVE-2025-1426),是由Chrome不正确的界限检查机制所导致,允许攻击者向目标设备发送恶意数据,进而绕过沙盒保护机制,使用系统级权限远程执行任意代码;第三个是内存重用漏洞(CVE-2025-1006),允许攻击者向目标设备发送恶意请求,进而远程执行任意代码。目前,用户可通过版本升级修复上述3个安全漏洞。
链接:
http://985.so/xg61t
06
OpenSSH存在2个安全漏洞
近日,安全研究人员发现开源SSH工具OpenSSH存在2个安全漏洞。第一个是MITM安全漏洞(CVE-2025-26465),允许攻击者绕过目标服务器身份验证机制,模仿OpenSSH客户端实施中间人攻击;第二个是DoS漏洞(CVE-2025-26466),允许攻击者向目标服务器发送大量Ping数据包的方式,导致服务器拒绝服务。漏洞影响OpenSSH <9.9p2等版本,目前用户可通过版本升级修复上述漏洞。
链接:
http://985.so/xg61z
04
木马病毒
01
Snake Keylogger新变种被披露
近日,安全研究人员捕获到Snake Keylogger新变种样本。经分析发现,该变种样本具备该恶意程序家族大部分功能,包括:键盘记录、凭证捕获、剪切板监视、敏感信息收集等。同时,该新变种有两项新特征变化,一是该变种利用SMTP协议和Telegram bot的方式,将所窃数据进行上传,其通信数据流量较难被安全设备监测;二是在植入受控设备后,会利用自动化脚本语言,将自身动态行为模仿为良性自动化工具,其可执行文件也通过自动化编译的方式进行编码,具有较强的规避查杀能力。目前,已有中国、土耳其、印度尼西亚、西班牙等国用户遭受此类攻击
。
链接:
http://985.so/xg61f
02
FrigidStealer新信息窃取程序被披露
近日,安全研究人员捕获到FrigidStealer新信息窃取程序样本。经分析发现,该样本主要针对MacOS用户实施攻击,植入受控设备后,将会自动检测设备应用程序列表,查找是否存在Safari或Chrome浏览器,若存在上述浏览器时,将会在该浏览器页面显示伪造的软件更新提示,试图诱使用户点击安装第二阶段DMG有效载荷。攻击成功后,该载荷会自动检测受控设备地理位置,如果位于北美地区,则会向受控设备部署Socgholish恶意软件,收集用户设备参数等敏感信息,并试图部署其他功能性载荷,对设备实施持久性远控;如果位于欧洲和亚洲地区,则会与C2服务器(Deski.FastCloudCdn.COM)建立通联关系,部署针对性自动化脚本,持续窃取用户加密货币、文档等敏感信息
。
链接:
http://985.so/xg611
03
XCSSET macOS恶意软件新变种被披露
近日,安全研究人员捕获到XCSSET macOS恶意软件新变种样本。经分析发现,该样本家族已存在至少五年时间,通过受感染的Xcode项目进行传播,其新变种具有以下特点:一是采用了Base64和xxd方法的编码技术,其代码混淆能力得到了增强;二是使用zshrc和dock技术进行自身持久性驻留,灵活性和安全规避能力得到了增强。目前,微软公司建议称,Xcode用户应对非官方存储库克隆的Xcode项目和代码库进行检查和验证,慎防遭受此类恶意程序的攻击
。
链接:
http://985.so/xg61i
编辑:林青
往期推荐
国家信息技术安全研究中心
地址:北京市海淀区农大南路1号硅谷亮城2C座
业务联系:010-59613856
点赞
在看
转发 是对我们最好的支持