1、微软Entra ID遗留协议漏洞致多行业管理员账号遭遇攻击

https://hackread.com/legacy-login-microsoft-entra-id-breach-cloud-accounts/

微软Entra ID的遗留登录协议存在漏洞，攻击者利用这一漏洞绕过了多因素认证（MFA），对金融、医疗和科技行业的管理员账户发起了攻击。攻击者利用了基本认证版本2 - 资源所有者密码凭证（BAV2ROPC）这一遗留登录方法，该方法允许旧应用程序仅使用简单的用户名和密码进行认证。与现代交互式登录流程不同，BAV2ROPC以非交互式方式运行，这使得攻击者能够完全绕过MFA、条件访问策略等安全措施。此次攻击活动发生在2025年3月18日至4月7日期间，攻击者采用了自动化凭证喷洒和暴力攻击战术，主要针对暴露的遗留端点。攻击者将目标聚焦于管理员账户，其中一个管理员账户在8小时内收到了来自432个IP地址的近1万次攻击尝试。

2、Linux nftables子系统存在漏洞可导致提权

https://thecyberexpress.com/cve-2024-26809-nftables-vulnerability/

Linux内核的nftables子系统被发现存在一个严重的安全漏洞，编号为CVE-2024-26809。该漏洞属于双释放漏洞，本地攻击者可利用此漏洞提升权限并执行任意代码。nftables是现代Linux发行版中用于网络数据包过滤的子系统，它借助表格、集合、链和规则等组件，能够进行规则匹配。此漏洞存在于nft_set_pipapo的实现中，具体是nft_pipapo_destroy()函数。当集合被标记为“脏”（即已修改但未提交）时，该函数会尝试销毁集合中的所有元素。若元素同时存在于匹配结构和克隆结构中，销毁集合时就会出现双释放场景，进而导致内存损坏，攻击者可能借此实施攻击。攻击者可以通过创建pipapo集合、添加元素、将集合标记为“脏”并删除集合来触发该漏洞，随后操纵堆内存并执行任意代码。

3、PhaaS网络钓鱼工具包生成伪造的网络钓鱼页面

https://gbhackers.com/phishing-scams-on-the-rise-with-sophisticated-phaas/

研究人员针对日益复杂的网络钓鱼技术发出警告。当前，这些技术借助专门的网络钓鱼即服务（PhaaS）工具包可以生成伪造的网页。这些工具包让攻击者即便毫无技术经验，也能实时生成伪造的网页。通常，攻击会以一封精心设计的钓鱼邮件开始，从而诱使收件人点击链接。一旦收件人点击链接，就会被导向一个凭证收集的网站。该网站能够动态检索被模仿公司的品牌元素，利用Clearbit等合法的第三方营销服务API，实时获取企业标志和视觉标识符。这种技术营造出了极具迷惑性的假象，当受害者在页面上输入凭证后，相关信息会立即通过AJAX POST请求传递给攻击者。随后，页面会重定向到合法网站。

4、德警方关闭涉及洗钱的eXch加密货币交易所

https://thehackernews.com/2025/05/germany-shuts-down-exch-over-19b.html

德国联邦刑事警察局（BKA）关闭了与洗钱和运营犯罪交易平台有关的eXch加密货币交易所，并扣押了8TB的数据以及价值3400万欧元（约合3825万美元）的加密货币资产，这些资产包括比特币、以太坊、莱特币和达世币。eXch自2014年起开始运营，提供加密货币交换服务，且同时在明网和暗网上开展业务。自eXch成立以来，估计有19亿美元的加密货币资产通过该平台进行转移，其中还包括今年早些时候朝鲜威胁行为者通过攻击Bybit交易所获得的部分非法收益。荷兰财政信息和调查服务（FIOD）表示，正在积极调查通过该平台进行洗钱和其他非法活动的个人。eXch在收到相关确认信息后，于4月17日宣布将在本月停止运营。

5、华硕DriverHub曝严重安全漏洞 用户需立即更新

https://securityonline.info/critical-security-flaws-found-in-asus-driverhub-update-immediately/

华硕DriverHub曝两大高危漏洞（CVE-2025-3462/3463），攻击者可远程操控主板驱动管理软件。华硕紧急发布1.0.6.0版本修复，用户需立即升级。

6、新型.NET恶意软件"PupkinStealer"窃取浏览器凭证

https://www.freebuf.com/articles/database/430594.html

网络安全公司CYFIRMA向网络安全新闻网站披露，新发现一款名为PupkinStealer的信息窃取型恶意软件。这款基于.NET框架开发的C#程序虽然轻量但功能完备，专门窃取浏览器凭证、桌面文件、即时通讯会话和屏幕截图等敏感数据。

7、AI生成虚假漏洞报告污染漏洞赏金平台

https://cybersecuritynews.com/ai-polluting-bug-bounty-platforms/

AI伪造漏洞报告冲击赏金计划，利用专业术语制造虚假威胁，尤其危害资源不足的开源项目。典型案例显示攻击者通过虚构功能骗取赏金，专家呼吁加强审核以应对日益增长的AI欺诈风险。

8、脸书虚假加密货币交易所广告传播恶意软件

https://hackread.com/fake-crypto-exchange-ads-facebook-spread-malware/

不法分子通过脸书广告冒用加密货币平台和名人形象，诱导用户下载恶意软件，采用多层攻击架构和精准投放策略，24小时投放超百条广告。Bitdefender提醒用户警惕此类欺诈广告，加强防护措施。

9、Chrome 137 引入设备端 Gemini Nano AI 对抗技术支持诈骗

https://securityonline.info/chrome-137-uses-on-device-gemini-nano-ai-to-combat-tech-support-scams/

Google推出Chrome 137新功能，集成设备端Gemini Nano AI实时拦截技术支持诈骗，弥补云端防护滞后问题，保护隐私同时提升响应速度，标准模式用户也能共享防护成果。

10、微软修复Azure和Power Apps四大高危漏洞

https://securityonline.info/microsoft-patches-four-critical-azure-and-power-apps-vulnerabilities-including-cvss-10-privilege-escalation/

微软修复Azure和Power Apps四大高危漏洞，包括CVSS满分10.0的Azure DevOps令牌劫持漏洞，凸显云服务安全风险。所有漏洞已平台级修复，用户无需操作。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。