1、恶意RAR文件名绕过检测投递Linux后门

https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/

安全公司Trellix披露一起新型Linux攻击链，攻击者通过钓鱼邮件投递名为“yy.rar”的压缩包，内含恶意构造的文件名。该文件名嵌入Base64编码的Bash命令，可在shell解析时触发执行，从而绕过传统杀毒软件因其通常不扫描文件名的防护机制。攻击最终下载并运行Go语言编写的远控后门VShell，具备反弹Shell、文件操作、进程管理等功能。该手法利用Linux脚本中常见的命令注入隐患，实现全内存执行，增加检测难度。分析指出，这标志着Linux恶意软件投递方式的危险进化。

2、黑客利用ADFS重定向窃取微软账号

https://pushsecurity.com/blog/phishing-with-active-directory-federation-services/

Push Security研究人员发现，黑客正滥用微软Active Directory Federation Services（ADFS）实施新型钓鱼攻击，窃取Microsoft 365登录凭据。攻击链始于受害者点击伪造的Google赞助搜索结果，随后通过合法的outlook.office.com链接重定向至攻击者控制的域名，再跳转至钓鱼页面。由于初始重定向依赖微软可信基础设施，传统URL检测与多因素认证难以阻止。攻击者创建自有Microsoft租户并配置ADFS，以合法授权请求伪装身份验证流程，并对访问者设置条件限制，未命中的用户则被导回微软官网。研究指出，此类手法并未锁定特定行业，或为黑客测试新型攻击方式。

3、AI建站平台Lovable遭黑客滥用

https://www.proofpoint.com/us/blog/threat-insight/cybercriminals-abuse-ai-website-creation-app-phishing

安全公司Proofpoint报告称，AI建站与托管平台Lovable正被大规模滥用于网络犯罪，黑客借助其便捷功能生成钓鱼页面、恶意下载站及仿冒知名品牌的欺诈网站。自今年2月以来，研究人员已监测到数万条Lovable相关恶意URL。典型案例包括利用钓鱼即服务平台Tycoon开展的攻击，攻击邮件引导用户访问Lovable托管页面，先通过验证码过滤，再跳转至伪造的微软或Okta登录界面窃取凭据、多因素认证令牌及会话Cookie；另一案例中，攻击者冒充UPS发送约3500封钓鱼邮件，诱导受害者泄露个人信息与支付数据并转发至攻击者控制的Telegram频道。研究指出，随着AI建站工具普及，网络犯罪门槛正显著降低。

4、国际刑警非洲行动抓捕1209名网络罪犯

https://www.interpol.int/en/News-and-Events/News/2025/African-authorities-dismantle-massive-cybercrime-and-fraud-networks-recover-millions

国际刑警组织（INTERPOL）宣布，在“塞伦盖蒂行动”第二阶段中，非洲18国警方联合逮捕1209名网络犯罪分子，涉及8.8万名受害者，挽回资金9740万美元，并拆除1.14万处恶意基础设施。行动重点包括：安哥拉查封25处非法加密货币挖矿中心，60名嫌疑人涉案，价值3700万美元的设备被没收用于民生供电；赞比亚捣毁大规模加密投资诈骗，6.5万受害者损失约3亿美元，15人被捕；同时破获跨国遗产诈骗案，涉案金额160万美元。INTERPOL强调，此次行动凸显跨境协作的重要性，展示了全球执法网络在打击网络犯罪方面的实效。

5、DaVita遭勒索攻击近270万患者信息泄露

https://www.bleepingcomputer.com/news/security/davita-ransomware-attack-exposed-data-of-nearly-27-million-people/

美国知名肾脏透析公司DaVita确认，其网络在今年3月至4月间遭勒索软件攻击，约268万名患者的个人及健康数据被窃取。泄露信息包括姓名、住址、社保号、健康保险资料及透析实验室结果，部分受害者还涉及税号及支票影像。事件最初导致系统加密并干扰运营，随后发现黑客已窃取约1.5TB数据。尽管公司未公开指认攻击方，但勒索组织Interlock已声称负责，并在暗网泄露部分文件。DaVita表示正通知受影响患者，并提供免费信用监控服务。此次事件凸显医疗行业仍是勒索软件攻击的高危目标。

6、黑客利用ClickFix投递CORNFLAKE.V3后门

https://cloud.google.com/blog/topics/threat-intelligence/analyzing-cornflake-v3-backdoor

谷歌旗下Mandiant披露，威胁组织UNC5518正通过“ClickFix”社工手法和伪造CAPTCHA页面投递多功能后门CORNFLAKE.V3。攻击链通常从搜索引擎投毒或恶意广告引导用户进入假验证页面开始，诱骗其在Windows运行框中执行恶意PowerShell脚本。该后门支持通过HTTP加载多种载荷，包括DLL、脚本和远控工具，并通过Cloudflare隧道隐藏通信。CORNFLAKE.V3较前代版本增加了持久化能力和更多载荷支持，被用于投放凭证窃取脚本、域控侦察工具及另一后门WINDYTWIST.SEA。安全研究员提醒，应限制Run对话框使用、开展模拟演练，并加强日志监控以降低风险。

7、Commvault曝多漏洞可致远程代码执行

https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/

Commvault近日修复了四个严重漏洞（CVE-2025-57788至57791），影响11.36.60之前版本，可能被攻击者组合利用实现远程代码执行。这些漏洞涵盖未认证API调用、默认凭证滥用、路径遍历及命令行参数注入等问题。其中CVE-2025-57790被评为高危（CVSS 8.7）。研究人员指出，攻击者可构造两条“预认证”攻击链完成利用，若管理员未修改内置密码，风险更高。所幸Commvault SaaS版本不受影响。此次披露距离该软件在4月被曝另一关键命令中心漏洞（CVSS 10.0）仅数月，再次凸显其安全压力。

8、恶意软件伪装杀毒软件攻击俄罗斯用户

https://news.drweb.com/show/?i=15047&lng=en

安全公司Doctor Web披露，一款伪装成“GuardCB”杀毒软件的恶意程序正在针对俄罗斯用户传播。该木马名为Android.Backdoor.916.origin，自2025年1月起活跃，具备窃取消息、录音录像、截取输入、实时屏幕和摄像头直播等强大间谍功能。研究人员指出，其主要目标并非普通安卓用户，而是俄罗斯商界代表。攻击者通过即时通讯消息分发应用，利用与央行或执法部门相关的假图标和扫描结果博取信任。安装后，程序会请求大量敏感权限，并通过多家主机服务保持命令控制。分析显示，该恶意软件可监控Gmail、Telegram、WhatsApp等常用应用，对俄罗斯信息安全构成严重威胁。

9、澳洲iiNet泄露28万客户信息

https://wcsecure.weblink.com.au/pdf/TPG/02980096.pdf

澳大利亚电信巨头TPG Telecom确认，其子公司iiNet遭遇网络攻击，导致约28万名客户邮箱地址外泄，同时还包括2万条固定电话号、1万余条用户地址与电话信息，以及约1700个调制解调器设置密码。事件起因于一名员工凭证被盗，黑客借此进入iiNet的订单与追踪系统。TPG称攻击已于8月16日被遏制，未波及其他品牌和系统。公司已向澳交所报告并承诺逐一通知受影响客户，提供应对指导和支持，同时向未受影响的用户确认安全情况。

10、Windows 11更新引发 SSD 故障：微软调查关键存储缺陷

微软确认部分Win11用户安装KB5063878更新后遭遇SSD/HDD存储故障，持续写入大文件可能导致设备失效。微软与Phison正联合调查但尚未复现问题，呼吁用户提交日志协助分析。故障涉及Phison控制器硬盘，修复方案待定。

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。