第一季度159个CVE遭到野外利用,近三成漏洞24小时内被武器化
第一季度159个CVE遭到野外利用,近三成漏洞24小时内被武器化
汇能云安全 2025-04-29 02:13
4月29日,星期二,您好!中科汇能与您分享信息安全快讯:
01
教育云遭遇重创:黑客利用AzureChecker部署加密货币挖矿容器
微软威胁情报团队近日披露,威胁行为者Storm-1977在过去一年中对教育领域的云租户实施了密码喷洒攻击,部署容器进行非法加密货币挖矿活动。
攻击者主要使用AzureChecker.exe这一命令行工具。该工具连接到外部服务器”sac-auth.nodefunction.vip”获取AES加密数据,包含密码喷洒攻击目标列表。同时,该工具接受名为”accounts.txt”的文本文件作为输入,其中包含用于实施攻击的用户名和密码组合。
在一次成功的账户入侵案例中,攻击者利用来宾账户在被入侵的订阅中创建了资源组,随后在该资源组内部署了200多个容器,最终目的是进行非法加密货币挖矿活动。
微软指出,Kubernetes集群、容器注册表和镜像等容器化资产容易受到多种攻击,包括利用被入侵的云凭证接管集群、利用存在漏洞的容器镜像执行恶意操作、利用配置错误的管理接口访问Kubernetes API等。
为防范此类攻击,微软建议组织加强容器部署和运行时安全,监控异常的Kubernetes API请求,配置策略防止从不受信任的注册表部署容器,并确保部署的容器镜像无漏洞。
02
仅2000美元被叫卖,黑客论坛BreachForums第四次重启惨遭失败
黑客论坛BreachForums的最新所有者Anastasia宣布放弃重启该论坛(这将是第四次重启尝试),并以仅2000美元的价格出售BF的数据库和源代码,同时声称FBI再次查封了该网站。
自2023年其创始人兼管理员Pompompurin被捕以来,BreachForums一直在不同管理员的领导下挣扎求存。Anastasia曾向媒体宣布该网站将于上周四(4月24日)恢复运营。然而,就在重启宣言发布后几小时内,黑客组织Dark Storm Team再次对该网站发动DDoS攻击,这已是一
周内第二次将其攻击下线。周四,Anastasia在网站上发布消息称他们已经受够了这些纷争,接受BreachForums最终消亡的命运。
网站上的声明写道:”BreachForums.ST被查封!IntelBroker和Shiny被捕。FBI将很快发布公告!我(Anastasia)辞职并认为BF永远关闭,不想再玩了。我出售完整备份数据库(2025年4月10日)+源代码。如果你想购买请联系我:[地址] 价格:2,000美元。”
媒体分析,这个声明不仅拼写、语法错误多,而且信息多处存疑,更何况黑客之间无信誉可言,不可完全相信最新BreachForums公告中的任何内容。
03
SAP紧急修复NetWeaver满分零日漏洞,已遭黑客积极利用
SAP发布了紧急补丁,修复NetWeaver Visual Composer中一个疑似被积极利用的远程代码执行(RCE)零日漏洞(CVE-2025-31324)。该漏洞CVSS评分为10.0(最高危级别),存在于Metadata Uploader组件中。
这一漏洞允许攻击者在无需登录的情况下上传恶意可执行文件,可能导致远程代码执行和系统完全沦陷。安全公司ReliaQuest报告称,多个客户通过SAP NetWeaver上的未授权文件上传被入侵,攻击者将JSP网页后门上传到可公开访问的目录中。这些上传的文件使攻击者能够通过简单的GET请求执行远程代码,实现命令执行、文件管理等操作。在后渗透阶段,攻击者部署了”Brute Ratel”红队工具、”Heaven’s Gate”安全绕过技术,并将MSBuild编译的代码注入dllhost.exe以实现隐蔽操作。
该漏洞影响Visual Composer Framework 7.50,安全专家建议立即应用最新补丁。对于无法立即应用更新的用户,建议限制对/developmentserver/metadatauploader端点的访问,如果不使用Visual Composer,考虑完全关闭它,并将日志转发到SIEM并扫描servlet路径中的未授权文件。
04
警惕:新型“Inception”越狱攻击突破主流AI安全防线
研究人员近期发现两种新型AI越狱技术,暴露了当前主流生成式AI服务的系统性安全漏洞,受影响的平台包括OpenAI的ChatGPT、Google的Gemini、Microsoft的Copilot、DeepSeek、Anthropic的Claude、X的Grok、MetaAI和MistralAI。
其中,第一种,”Inception”的技术利用嵌套虚构场景逐步侵蚀AI的伦理边界,通过让AI进行角色扮演并在多轮对话中维持上下文,诱导模型生成违反其伦理和法律准则的内容。第二种技术则通过询问AI如何不应回应特定请求,从而获取有关其内部防护机制的信息,然后在常规和非法提示之间交替,利用AI的上下文记忆绕过安全检查。
CERT咨询报告指出,这两种方法都依赖于AI的基本设计、助人本能、上下文维持能力以及对语言和场景框架微妙操纵的敏感性。通过绕过安全措施,攻击者可以指示AI系统生成与受控物质、武器、钓鱼邮件、恶意软件和其他非法活动相关的内容。虽然每种越狱技术单独来看严重性可能较低,但漏洞的系统性本质显著增加了风险。有动机的威胁行为者可以利用这些弱点大规模自动创建有害内容,潜在地使用合法AI服务作为掩盖其活动的代理。
05
DragonForce推出全新联盟模式, 勒索软件白标服务引发安全忧虑
DragonForce勒索软件组织正在重塑勒索软件行业格局,推出一种创新的分布式品牌联盟模式,允许其他勒索软件即服务(RaaS)运营商在不必承担基础设施维护成本和精力的情况下开展业务。
根据最新报道,DragonForce自称为“勒索软件卡特尔”,仅收取赎金的20%作为服务费,低于行业通常的30%标准。在这一模式下,合作伙伴可获得完整基础设施访问权限,并能以自己的品牌使用DragonForce加密工具。
该组织在3月宣布这一“新方向”,表示合作伙伴可以“在已被验证的合作伙伴支持下创建自己的品牌”。DragonForce的目标是管理“无限品牌”,可针对ESXi、NAS、BSD和Windows系统发起攻击。DragonForce表示,他们的结构类似于一个市场,威胁行为者可以选择使用DragonForce品牌或自有品牌部署攻击。这使得合作伙伴无需处理数据泄露站点和谈判站点的运营、恶意软件开发或赎金谈判等繁琐工作。
网络安全公司Secureworks的研究人员指出,DragonForce的模式可能吸引更广泛的合作伙伴,包括技术能力较弱的威胁行为者,甚至是高级威胁组织。目前,新兴勒索软件组织RansomBay和多家知名勒索软件团伙据称已经加入DragonForce的服务模式。
06
第一季度159个CVE遭到野外利用,近三成漏洞24小时内被武器化
2025年第一季度,网络安全研究人员记录到漏洞利用活动的惊人增长,共有159个通用漏洞和暴露(CVE)在野外被利用。这一数据反映了恶意行为者持续快速武器化新披露漏洞的令人担忧趋势。
数据显示,28.3%的漏洞在CVE披露后仅一天内就被利用,表明防御者实施补丁以防系统被入侵的时间窗口正在缩小。漏洞利用活动呈现季节性模式,1月开始缓慢,2月和3月显著加速。特别令人担忧的是,25.8%的已知被利用漏洞(KEV)仍在等待或正在接受NIST国家漏洞数据库的分析,这为试图优先修复的安全团队带来了额外挑战。
攻击者特别关注面向互联网的系统和终端用户可访问的系统。内容管理系统(CMS)以35个被利用的漏洞位居榜首,其次是网络边缘设备(29个)、操作系统(24个),开源软件和服务器软件各有14个。这种分布模式揭示了攻击者倾向于针对具有广泛攻击面和潜在高价值数据的系统。
Microsoft Windows仍然是最受攻击的平台,有15个被利用的漏洞,其次是Broadcom VMware(6个)、Cyber PowerPanel(5个)和Litespeed Technologies(4个)。攻击技术频繁利用未修补的系统,攻击者创建复杂的恶意负载以利用这些安全漏洞。
07
三六零发布2024年报,营收下降12.23%,安全业务营收降27.06%
三六零安全科技股份有限公司(股票代码:601360)于4月26日发布2024年年度报告。年报显示,报告期内,该公司实现营业收入79.48亿元,同比下降12.23%;归属于上市公司股东的净利润为 -10.94亿元,亏损进一步扩大;其中,安全及其他业务收入为12.87亿元,同比下降 27.06%。
根据年报,报告期内,公司通过“360 安全云”将服务国家的能力云化,开放给城市和企业,以“安全即服务”理 念推动安全行业变革,助力国家、城市、行业、企事业单位数字化转型。同时,基于“以模制模” 的理念,公司将大模型与安全结合,发布 360 安全大模型,致力于实现大模型普惠和安全行业新 质生产力变革。360 安全云已入选工信部“网络安全技术应用试点示范项目”,截至目前,已服务多家中小企 业、教育机构、政府单位及特殊职能机构。同时,公司与各地市政府合作搭建数字安全的公共服务平台,落地超 20 个大中型城市,涵盖四大直辖市和部分省会城市。
08
CVE-2025-3248:Langflow 开源平台严重远程代码执行漏洞威胁 AI 工作流安全
网络安全研究人员在 Langflow 中发现了一个严重的远程代码执行(RCE)漏洞。Langflow 是一个被广泛用于以可视化方式构建由人工智能驱动的智能体和工作流程的开源平台。这个高严重性漏洞被编号为 CVE-2025-3248,其通用漏洞评分系统(CVSS)评分为 9.8,属于严重级别。
该安全漏洞影响 1.3.0 版本之前的所有 Langflow 版本,攻击者无需身份验证即可在存在漏洞的服务器上执行任意命令,这有可能危及敏感数据和系统安全。该漏洞专门针对 Langflow 的 /api/v1/validate/code 端点,该端点在用户提供的代码上不当调用了 Python 的内置函数 exec ()。这一实现缺乏适当的身份验证检查和沙盒保护机制,为恶意行为者提供了一个危险的攻击面。在其人工智能开发工作流程中使用 Langflow 的企业面临着重大风险,因为攻击者可以利用这一漏洞获得对系统的未经授权访问,并以应用服务器的权限执行命令。
09
全球能源巨头成为目标:揭秘”电力寄生虫”多语言钓鱼攻击
近日发布的一份全面威胁报告显示,复杂钓鱼活动”Power Parasites”(电力寄生虫)自2024年以来一直活跃。这一持续的攻击活动主要利用西门子能源、施耐德电气、法国电力集团、雷普索尔和森科能源等知名能源公司的名称和品牌,通过精心设计的投资诈骗和虚假工作机会进行欺诈。
攻击者建立了一个由超过150个活跃域名组成的庞大网络,这些域名被设计用来冒充合法公司,主要针对孟加拉国、尼泊尔和印度等亚洲国家的个人。攻击者通过欺骗性网站、社交媒体群组和Telegram频道出击受害者,并使用本地化内容以提高有效性。
Silent Push研究人员发现,威胁行为者采用”广撒网”方法,同时滥用多个品牌名称并部署众多网站以最大化受害者覆盖范围。
感染途径主要涉及两种不同的社会工程学方法:投资诈骗变体通过假冒能源公司支持的虚假投资平台,诱使受害者提供敏感的个人和财务信息;而就业诈骗变体则以知名企业的虚假就业机会吸引受害者,要求申请人在”入职”过程中提供银行账户详细信息、身份证件和空白支票。
10
网络犯罪新模式:ToyMaker为勒索软件团伙提供双重勒索攻击入口
网络安全研究人员近期披露了初始访问代理商(IAB) ToyMaker的活动,该组织向CACTUS等实施双重勒索的勒索软件团伙提供系统访问权限。
ToyMaker被认为是一个以财务利益为动机的威胁行为者,主要通过扫描易受攻击的系统并部署自定义恶意软件LAGTOY(又称HOLERUN)来获取初始访问权限。Cisco Talos研究人员指出,LAGTOY可用于创建反向shell并在受感染的终端上执行命令。ToyMaker利用大量已知的面向互联网应用程序安全漏洞获取初始访问权限,随后在一周内进行侦察、凭证收集和LAGTOY部署。攻击者还会打开SSH连接下载名为Magnet RAM Capture的取证工具,以获取机器内存转储,可能是为了收集受害者的凭证。
LAGTOY设计为联系硬编码的命令与控制(C2)服务器,获取命令并在终端上执行。它能够处理来自C2服务器的三个命令,每个命令之间有11000毫秒的休眠间隔。
Talos表示:”在大约三周的活动停滞后,我们观察到CACTUS勒索软件组织利用ToyMaker窃取的凭证进入受害企业。”研究人员认为,基于相对较短的驻留时间、缺乏数据窃取以及随后向CACTUS的移交,ToyMaker不太可能有任何间谍动机或目标。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除