Check Point Research近期披露,一场活跃的恶意软件攻击行动正利用Discord平台存在的漏洞——攻击者通过注册已过期或被释放的邀请链接,悄无声息地将用户从原本可信的社区重定向至恶意服务器。这种“接管式”劫持手段尤其危险,因为很多受害者都是通过过去在论坛、社交媒体或官网中发布的旧链接点击进入。此次攻击利用了“ClickFix”钓鱼技术、多阶段加载器、时间基础的检测规避机制,最终植入两种恶意负载:一个是广泛使用的远控工具AsyncRAT,另一个是高度定制的Skuld信息窃取器,专门针对加密货币钱包。恶意载荷和敏感数据的传输过程全部通过GitHub、Bitbucket、Pastebin和Discord等受信任的云服务完成,从而避免被流量监测系统识别。更值得警惕的是,攻击者还能通过改造版ChromeKatz工具,绕过Chrome的App Bound Encryption机制,获取新版本Chromium浏览器中的Cookie信息,使传统浏览器防护机制失效。研究人员指出,该漏洞不仅存在于付费服务器使用的“专属邀请链接”(vanity links)中,还影响普通的自动生成链接。一旦原始链接过期,这些看似随机的邀请码可能会被攻击者抢注并重定向,普通用户很难发现异常。
知名内衣零售商维多利亚的秘密在5月24日遭遇一起网络安全事件,导致其企业系统和电商网站被迫下线。目前,公司已成功恢复全部关键系统,并表示不会对2025财年产生重大财务影响。该公司在提交给美国证券交易委员会(SEC)的声明中表示,系统已全面恢复,正与外部网络安全专家合作,持续评估事件的整体影响。“我们已立即启动应急响应机制,阻断并清除未授权访问,所有关键系统目前均已恢复并正常运行。”虽然公司尚未透露攻击的具体类型,也没有勒索软件组织公开对此负责,但事件已导致财报发布时间推迟。由于部分财务系统在恢复过程中一度无法访问,原定于6月初发布的2025财年第一季度财报和电话会议也被迫延期。维多利亚的秘密表示,截至目前,该事件未对其运营造成重大中断,公司第一季度已实现净销售额达135.3亿美元,全年预期销售额仍维持在最高63亿美元的区间内。值得注意的是,近期时尚零售行业频繁成为网络攻击目标。法国奢侈品牌Cartier和Dior、德国运动品牌Adidas、以及英国的Marks & Spencer、Co-op和Harrods都接连遭遇攻击,其中部分事件与“Scattered Spider”及“DragonForce”勒索组织有关。
https://securityaffairs.com/178940/mobile-2/paragon-graphite-spyware-used-a-zero-day-exploit.html
Citizen Lab披露,以色列公司Paragon的Graphite间谍软件利用iMessage零点击攻击,成功入侵至少两名欧洲记者的iPhone。受害者包括意大利媒体Fanpage.it的记者Ciro Pellegrino和一名匿名记者,其设备均在运行最新iOS时被攻破,Apple随后修复了该零日漏洞(CVE-2025-43200)。日志显示,两部手机与同一Graphite间谍服务器通信,指向同一攻击者,显示出一次协调的间谍行动。另一名记者Francesco Cancellato虽未发现感染证据,但因安卓系统日志记录受限,攻击可能性未被排除。6月5日,意大利情报监督委员会证实,政府曾使用Graphite监控政治人物,但未确认是否针对媒体人士。Paragon随后指责意大利拒绝其调查合作提议,并宣布终止在意大利的所有合同,这是首次有间谍软件公司因滥用问题公开与客户断绝关系。此次事件引发对政府监控记者行为的广泛关注。
以色列研究团队近日公布一项名为“SmartAttack”的新型攻击技术,首次展示如何利用智能手表窃取物理隔离(air-gapped)系统中的敏感信息。该技术由安全研究专家Mordechai Guri领导,其团队长期研究隐蔽数据通道攻击。攻击流程依赖于先通过内部威胁或供应链攻击感染隔离系统,然后利用系统自带扬声器发出18.5kHz至19.5kHz的超声波信号编码数据,由佩戴在附近人员手腕上的智能手表接收。这些频率人耳无法听见,但可被手表内置麦克风捕捉,并通过信号处理完成解码,最终通过蓝牙、Wi-Fi或蜂窝网络将数据外传。实验显示,攻击距离最远可达9米,速率约为5到50比特每秒。虽然技术实现复杂、可靠性受限,但它揭示了高度隔离环境下潜在的侧信道威胁。研究人员建议,在敏感区域禁用智能穿戴设备,并考虑移除系统扬声器以杜绝此类隐蔽攻击手段。
https://www.aim.security/lp/aim-labs-echoleak-blogpost
安全公司Aim Labs近日披露了一项严重的零点击AI漏洞“EchoLeak”,该漏洞影响微软365 Copilot服务。研究人员发现,攻击者无需用户交互,仅通过发送一封电子邮件,即可远程触发漏洞,从M365 Copilot中窃取组织内部的敏感数据。这一攻击链基于名为“LLM作用域越界”(LLM Scope Violation)的新型利用方式,通过操控AI内部模型机制,使Copilot访问并泄露本应受限的数据,完全绕过传统的权限控制。该漏洞利用微软Graph接口与RAG模型的深度整合,将攻击信号“隐写”于邮件内容中,最终由GPT驱动的Copilot在用户不知情的情况下执行潜在泄密操作。尽管目前未发现实际用户受影响,Aim Labs警告称,EchoLeak代表了AI时代安全模型的新挑战,特别是在广泛部署类Copilot应用的背景下,对设计层安全性提出了更高要求。
https://securityaffairs.com/178969/malware/unusual-toolset-used-in-recent-fog-ransomware-attack.html
2025年5月,Fog勒索软件组织攻击了一家亚洲金融机构,采用了一组极为罕见的渗透与监控工具,引发安全研究人员关注。据Symantec报告,攻击者在入侵中使用了Syteca监控软件、GC2、Stowaway和Adaptix等工具,这些工具通常出现在红队测试或间谍行动中,而非传统勒索软件攻击中。攻击者潜伏在受害网络内长达两周,显示出高度策划与耐心。更罕见的是,攻击完成后还创建了持久性服务以保持访问权限,这一行为暗示勒索行为可能只是掩护,实际目标或为窃取情报。GC2通过Google Sheets或SharePoint建立C2通道,Syteca疑用于监视,Stowaway用于渗透传输,Adaptix C2则协助数据控制和持久化操作。虽然此次攻击的初始入侵路径尚未明确,但专家怀疑与Exchange服务器有关。此次行动与Fog以往针对美国学校、利用VPN或漏洞传播的手法形成鲜明对比,显示出其攻击策略正在不断演进。研究人员指出,这种非常规工具组合及异常持久性行为值得各组织警惕,提示未来勒索攻击可能融合更多间谍活动元素。
Trend Micro近日发布安全更新,修复其Apex Central与Endpoint Encryption PolicyServer产品中的多个严重漏洞。这些漏洞可被远程攻击者在无需认证的情况下执行任意代码或绕过认证机制,最高风险等级为CVSS 9.8,威胁等级极高。在Endpoint Encryption PolicyServer中,攻击者可利用四个关键漏洞远程以SYSTEM权限执行代码,或完全绕过认证机制,进行管理员级别操作。这些问题主要源于不安全的反序列化操作。产品广泛用于需要数据保护合规的企业环境中,因此潜在影响巨大。此外,Apex Central平台也被发现存在两个关键漏洞,均为反序列化导致的远程代码执行问题,攻击者无需认证即可控制系统。虽然目前尚未发现漏洞遭到实际利用,Trend Micro强烈建议用户立即部署补丁,以消除高危安全隐患。此次漏洞事件凸显企业在使用关键安全产品时,仍需持续关注其自身防护机制的更新及时性。
GitLab近日发布多个版本安全更新(18.0.2、17.11.4、17.10.8),修复多个高危漏洞,包含可导致账户接管、CI/CD恶意任务注入、跨站脚本攻击及拒绝服务等问题。官方强烈建议所有自托管用户立即升级,以防止遭受攻击。其中,漏洞CVE-2025-4278允许远程攻击者通过HTML注入手段在搜索页面中植入恶意代码,从而实现账户接管。此外,CVE-2025-5121影响GitLab Ultimate EE版,攻击者若已认证登录,可将恶意CI/CD任务注入任意项目未来的自动化流程中,存在严重供应链风险。其他修复还包括一个可使攻击者模拟合法用户行为的XSS漏洞(CVE-2025-2254),以及一个导致无限重定向循环、引发内存耗尽的DoS漏洞(CVE-2025-0673)。考虑到GitLab平台在全球范围拥有超3000万注册用户,并被超过50%的《财富》百强企业使用,包括高敏感度机构如空客、英伟达和洛克希德·马丁,平台安全性尤为关键。近期,Europcar与Pearson等公司即因GitLab仓库被入侵而造成数据泄露。此次修复为防范潜在威胁提供关键防线。
Cloudflare近日证实,其全球服务大规模中断事件并非由安全事件引发,用户数据未出现泄露或丢失。此次故障发生于协调世界时间6月13日17时52分,起因是其关键服务Workers KV系统完全离线,导致多个边缘计算与AI服务瘫痪,甚至波及Google Cloud Platform等广泛使用的第三方平台。经调查,根本原因是Workers KV底层依赖的一家第三方云服务提供商发生了存储故障,进而引发包括访问控制、身份验证、图像上传、AI模型路由等在内的大面积服务中断,部分服务失败率高达90%以上。Cloudflare表示,将加快迁移至自有的R2对象存储以降低外部依赖,并引入跨服务容灾机制与渐进式恢复工具,以防止类似故障引发连锁反应。该事件再次提醒业界在依赖云基础设施时需增强冗余设计与业务连续性保障。
https://www.freebuf.com/articles/system/434755.html
宏碁公司近日发布关键安全更新,修复其ControlCenter(控制中心)工具中新发现的本地权限提升漏洞。该漏洞可能允许未经身份验证的远程攻击者以NT AUTHORITY\SYSTEM权限执行代码——这是Windows系统中的最高权限级别。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
