1、“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马

https://mp.weixin.qq.com/s/ZsOJzR8zRuomloJAYr6XsA

安天CERT发现“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马，若用户下载该网站的WPS Office，实际下载的是托管在OSS中的虚假安装程序。该程序执行后，在临时文件夹%temp%中释放执行一个正常的WPS安装程序，以此迷惑用户，并在C:\ProgramData文件夹中释放三个文件，执行其中的Shine.exe程序后加载恶意libcef.dll文件，该DLL读取1.txt文件，从而在内存中执行原名称为“Install.dll”的文件，调用其Shellex导出函数，最终执行Gh0st远控木马，并创建注册表启动项实现持久化。

2、APT28利用MDaemon零日漏洞攻击政府邮件服务器

https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html

网络安全公司ESET发现，与俄罗斯有关的APT28组织自2023年起利用包括MDaemon在内的多个网络邮件服务器漏洞开展间谍活动，主要针对东欧政府和防务公司，同时也波及非洲、欧洲和南美的政府机构。攻击者通过电子邮件发送包含跨站脚本（XSS）攻击的恶意内容，诱使目标在易受攻击的邮件门户中打开邮件，进而在浏览器中执行恶意JavaScript代码。成功利用漏洞后，攻击者可窃取网络邮件凭证、邮件内容和联系人信息。

3、恶意npm包利用Unicode隐写术与谷歌日历分发载荷

https://thehackernews.com/2025/05/malicious-npm-package-leverages-unicode.html

研究人员发现了一个名为“os-info-checker-es6”的恶意软件包，该软件包伪装成操作系统信息工具，利用Unicode隐写术来隐藏初始恶意代码，并通过谷歌日历活动短链接充当动态下载器，以此投放下一阶段的有效载荷。这个恶意软件包由用户“kim9123”发布，截至5月15日，已被下载2001次。其关联的依赖包（如“skip-tot”）以及下游组件（如“vue-dev-serverr”）进一步扩大了攻击面。

4、CTM360发现针对Meta商业用户的钓鱼攻击激增

https://thehackernews.com/2025/05/ctm360-identifies-surge-in-phishing.html

安全公司CTM360发现了一项名为“Meta Mirage”的全球性钓鱼攻击活动，该活动专门针对使用Meta商业套件（Business Suite）的企业用户，旨在劫持高价值账户（例如广告管理账户及品牌官方页面）。攻击者伪装成Meta官方，发送虚假通知，声称用户存在政策违规、账户将被停用或需要进行紧急验证，以此诱导用户通过钓鱼页面泄露密码、一次性验证码（OTP）以及浏览器Cookie。截至报告发布时，已发现超过14,000个恶意URL，其中78%未被主流浏览器拦截。

5、攻击者利用三星MagicINFO 9漏洞部署Mirai僵尸网络

https://thehackernews.com/2025/05/samsung-patches-cve-2025-4632-used-to.html

三星MagicINFO 9 Server被曝存在一个高危路径遍历漏洞（CVE-2025-4632），该漏洞允许攻击者以系统权限向任意文件写入内容。此漏洞实际上是2024年已修复的CVE-2024-7399漏洞的补丁绕过漏洞。自4月30日SSD Disclosure公开该漏洞的概念验证（PoC）后，它迅速被黑产组织利用。研究人员发现，攻击者利用此漏洞部署了Mirai僵尸网络。

6、利用Bitpixie漏洞可在数分钟内绕过BitLocker加密

https://www.freebuf.com/articles/database/431192.html

安全研究人员近日展示了一种纯软件技术，可在无需物理工具（如螺丝刀、焊枪）或硬件破解的情况下，成功绕过微软BitLocker加密防护。通过利用名为Bitpixie（CVE-2023-21563）的漏洞，红队成员与攻防安全专家能够从内存中提取BitLocker卷主密钥（VMK），在五分钟内完整解密受保护的Windows设备。Compass Security研究员Marc Tanner在红队评估报告中指出："该漏洞利用过程具有非侵入性，既不需要永久性设备改造，也无需获取完整磁盘映像"。

7、Node.js 高危漏洞警报：可导致远程系统崩溃

https://www.freebuf.com/articles/system/431156.html

Node.js团队近日发布重要安全公告，针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。

8、Windows远程桌面网关漏洞可被攻击者利用触发拒绝服务

https://www.freebuf.com/articles/system/431096.html

微软安全响应中心(MSRC)已发布重要安全更新，修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。该漏洞可能允许未经授权的攻击者触发拒绝服务(DoS)条件，潜在影响企业环境中的远程访问能力。

9、新币担保：涉84亿美元加密犯罪、杀猪盘及洗钱黑市曝光

https://www.freebuf.com/news/431135.html

自2022年以来，一个名为“新币担保（Xinbi Guarantee）”的Telegram交易平台促成的交易金额不低于84亿美元，成为继汇旺担保（HuiOne Guarantee）之后被曝光的第二大黑市平台。区块链分析公司Elliptic报告显示，该平台商户公然兜售技术工具、个人数据及洗钱服务。

10、欧盟新漏洞数据库将作为CVE计划的补充而非竞争者

https://www.csoonline.com/article/3984312/new-eu-vulnerability-database-will-complement-cve-program-not-compete-with-it-says-enisa.html

欧盟推出漏洞数据库EUVD，作为CVE计划的补充，聚焦欧盟关键漏洞，强化网络安全。旨在提升欧洲自主防护能力，但引发行业对多源数据复杂性和CVE权威性的担忧。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。