1、Lazarus尝试攻击加密货币交易所Kraken平台

https://cybersecuritynews.com/north-korean-hackers-infiltrate-kraken/

加密货币交易所Kraken披露一起朝鲜黑客渗透事件。一名自称Steven Smith的求职者申请工程职位时，被安全团队发现其使用与简历不符的假名，视频面试中频繁切换声调且疑似接受实时指导。行业合作伙伴此前已警告朝鲜黑客正通过求职渠道渗透加密企业，Kraken通过比对共享的黑客关联邮箱列表，确认该申请邮箱与已知拉撒路APT组织存在关联。调查发现，该黑客构建了包含多个伪造身份的网络，其中一个身份涉及国际制裁名单上的外国代理人。其提交的身份证件疑似篡改自两年前的盗窃案件数据，GitHub账户关联的邮箱也曾在历史数据泄露事件中曝光。

2、Golden Chickens组织部署TerraStealerV2窃取数据

https://thehackernews.com/2025/05/golden-chickens-deploy-terrastealerv2.html

网络安全机构Recorded Future披露，以“黄金鸡”（Golden Chickens，又名Venom Spider）著称的恶意组织近期推出升级版窃密工具TerraStealerV2及键盘记录器TerraLogger，目标瞄准用户浏览器凭证与加密货币钱包数据。其中，TerraStealerV2可窃取Chrome等浏览器登录信息、钱包私钥及扩展程序数据，通过EXE、DLL、MSI等多种格式文件传播，利用regsvr32.exe等系统工具规避检测，数据经Telegram及“wetransfers[.]io”等域名外渗，TerraLogger则为独立键盘记录器，通过底层键盘钩子记录击键并存储本地，暂无数据外发功能，推测为早期版本或与其他工具协同使用。“黄金鸡”组织自2018年活跃，以恶意软件即服务（MaaS）模式运营，曾开发More_eggs、VenomLNK等工具。

3、StealC窃密软件升级强化了多平台渗透能力

https://www.zscaler.com/blogs/security-research/i-stealc-you-tracking-rapid-changes-stealc

窃密软件StealC的V2版本已完成多项关键升级，提升了数据窃取与远程控制能力。新版本支持通过MSI安装包、PowerShell脚本等多格式Payload传播，新增RC4加密通信协议保护数据传输，并配备可定制化控制面板，允许攻击者根据地理位置、硬件ID（HWID）及目标软件环境精准投放恶意载荷。StealC新增多显示器截图、统一文件抓取功能，针对加密货币钱包、游戏平台、邮件客户端等敏感数据深度扫描，同时增加服务器端凭证暴力破解。

4、ADOdB PHP库曝高危SQL注入漏洞

https://securityonline.info/critical-sql-injection-vulnerability-found-in-adodb-php-library-cve-2025-46337-cvss-10-0/

ADOdB PHP库存在严重SQL注入漏洞（CVE-2025-46337），风险等级达CVSS 10.0满分。漏洞位于PostgreSQL驱动的pg_insert_id()方法，因未对用户可控的$fieldname参数进行有效转义，攻击者可借此注入任意SQL命令，操控数据库执行数据窃取、删除或远程代码执行等高危操作。该漏洞影响postgres64、postgres7、postgres8、postgres9等多个PostgreSQL驱动版本，当应用直接使用HTTP请求参数或用户输入调用相关方法时，存在被完全接管数据库的风险。目前官方已在5.22.9版本中修复），建议开发者立即升级库文件。

5、钓鱼邮件仿冒澳航窃取用户信用卡信息

https://hackread.com/phishing-emails-impersonate-qantas-credit-card-info/

澳大利亚航空（Qantas）用户遭遇大规模钓鱼邮件攻击，诈骗分子伪造航空公司品牌标识及邮件模板，以“机票退款”“里程积分兑换”等话术诱导用户点击恶意链接。受害者被导向仿冒的Qantas支付页面，输入信用卡信息后遭实时窃取。据网络安全公司Group-IB分析，攻击者利用被盗企业邮箱列表定向发送钓鱼邮件，部分邮件甚至包含真实订单号以增强欺骗性。

6、英国多个行业遭遇RomCom远程控制木马攻击

https://cybersecuritynews.com/romcom-rat-attacking-uk-organizations/

RomCom远程控制木马通过客户反馈门户对英国组织发起了攻击。自2023年4月初以来，英国金融服务、医疗保健和政府承包商等行业受到了影响。攻击者利用精心设计的反馈提交，其中嵌入了恶意代码。当客服代表打开这些提交时，恶意软件会利用反馈处理应用程序中的漏洞来建立持久性。据分析，已有超过30家组织被攻破，攻击者获取了敏感的客户数据和内部网络资源。该恶意软件具有独特的命令和控制基础设施，采用加密通信渠道，模仿合法的HTTPS流量。

7、新型ClickFix攻击模仿多国国防部网站

https://cybersecuritynews.com/new-clickfix-attack-mimics-ministry-of-defense-website/

一种被称为“ClickFix”的新型复杂恶意软件活动，利用先进的社会工程技巧，同时攻击Windows和Linux系统。攻击者创建多国国防部网站的逼真副本，诱骗用户下载看似为必需的安全更新或官方文件的恶意内容。恶意软件执行后，会在受感染系统上建立持久访问并使用多种规避技术隐藏自身。分析表明，该活动始于2025年4月初，主要通过定向网络钓鱼邮件中的欺诈网站链接，针对政府承包商、国防行业员工和军事人员。这些伪造网站使用有效的SSL证书和与合法政府域名相似的域名。

8、微软Telnet零点击漏洞可窃取Windows凭据

https://www.freebuf.com/articles/system/429950.html

微软Telnet服务器存在一个高危漏洞，攻击者可借此完全绕过身份验证机制，无需有效凭据即可获取管理员权限。由于官方尚未发布补丁，建议仍在使用旧版Windows系统的组织立即采取防护措施。

9、Meta推出LlamaFirewall框架，防御AI越狱与不安全代码生成

https://www.freebuf.com/news/429459.html

Meta发布开源框架LlamaFirewall，提供三重防护机制抵御AI攻击，同步升级安全工具并启动"Llama for Defenders"计划，强化AI系统安全防护。

10、微软宣布Windows Server热补丁功能将转为订阅制

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-server-hotpatching-to-require-subscription/

微软宣布Windows Server 2025热补丁功能7月起转为付费订阅，每核心每月0.5美元，需Azure Arc连接。该技术免重启安装安全更新，但非安全更新仍需重启。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。