1、UNC6384劫持门户投递PlugX攻击外交官

https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/

Google威胁情报团队披露，黑客组织UNC6384于2025年3月起发动针对东南亚外交官及全球部分机构的攻击活动。该组织通过劫持网络“强制门户”（Captive Portal）流量并结合中间人攻击（AitM）、社交工程及合法代码签名证书投递恶意程序。攻击者伪装为“Adobe插件更新”网页，使用由Let's Encrypt签发的合法TLS证书增强可信度，引导目标下载伪造的AdobePlugins.exe。该文件实际为名为STATICPLUGIN的下载器，会侧加载CANONSTAGER组件，在内存中部署PlugX后门变种SOGU.SEC。PlugX具备窃取文件、记录键盘、远程命令执行等功能，且支持插件扩展。

2、Google推出开发者实名制阻止恶意应用

https://android-developers.googleblog.com/2025/08/elevating-android-security.html

Google宣布，自2026年9月起将在巴西、印尼、新加坡和泰国实施新规，要求所有Android开发者完成身份验证，不论其应用是否通过Google Play分发。该措施旨在防止恶意开发者利用虚假身份快速重新发布恶意应用，提升开发者责任追踪。自2025年10月起，Google将分阶段邀请开发者注册，至2026年3月全面开放。已在Play Console完成验证的开发者无需额外操作，而学生和业余开发者将有独立账户类型。Google指出，此举可降低第三方应用市场侧载风险，防止攻击者冒用品牌发布仿冒软件，并补充既有的安全措施。该政策被视为“新安全层”，旨在阻止重复作案的威胁者传播恶意软件和诈骗应用，同时维护用户自由选择与整体安全。

3、谷歌下架含恶意代码1900万次下载的应用

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

Zscaler ThreatLabs披露，Google Play近日清除77款累计下载量超1900万次的恶意Android应用。这些应用涉及多类恶意代码，其中约三分之二含广告软件组件，最常见的是Joker木马，占比近25%。Joker可读取短信、截屏、拨号、窃取联系人及设备信息，并偷偷订阅付费服务。研究人员还发现其变种Harly伪装成游戏、壁纸、工具类应用，隐藏深层恶意代码绕过审查。此外，银行木马Anatsa（TeaBot）在本轮活动中扩展了目标范围，能窃取831款银行和加密货币应用数据。攻击者利用“Document Reader – File Manager”等伪装应用规避检测，安装后才下载恶意负载。该木马采用畸形APK、动态解密与环境检测等技术躲避分析，显示出移动恶意软件持续进化的趋势。

4、CISA将Citrix与Git漏洞列入KEV目录

https://www.cisa.gov/news-events/alerts/2025/08/25/cisa-adds-three-known-exploited-vulnerabilities-catalog

美国网络安全与基础设施安全局（CISA）宣布，将三项已遭利用的安全漏洞纳入“已知被利用漏洞”（KEV）目录，涉及Citrix Session Recording与Git。其一是CVE-2024-8068，因权限管理不当，攻击者可在同域环境下提升至NetworkService权限；其二是CVE-2024-8069，源于反序列化漏洞，允许有限的远程代码执行；两者均已于2024年11月修复。第三个漏洞CVE-2025-48384（CVSS 8.1）则影响Git，因配置文件中回车符处理不一致，可能在仓库克隆时被利用实现任意代码执行，该漏洞于2025年7月修复并已出现PoC。CISA要求美国联邦机构最迟于2025年9月15日前完成修补，以防范活跃攻击。

5、社交媒体定位追踪调查报告：X/Twitter成用户位置数据"跟踪狂"

https://securityonline.info/revealed-the-social-media-app-thats-a-stalker-for-your-location-data/

研究发现YouTube收集位置数据最少，X/Twitter最激进，七维度全追踪。应用通过GPS、Wi-Fi等技术隐蔽定位，VPN效果有限。建议关闭个性化设置、撤销GPS权限以保护隐私。

6、全球性攻击前兆：针对Windows RDP的扫描活动激增

https://securityonline.info/a-storm-is-coming-a-massive-coordinated-attack-is-probing-rdp-connections/

安全警报：微软RDP遭全球性攻击，2000+恶意IP同步探测认证接口，利用时序攻击识别有效账户，教育机构成高危目标。攻击规模远超基准，或预示后续凭证攻击和新漏洞风险。

7、Tableau Server高危漏洞允许上传任意恶意文件

https://cybersecuritynews.com/tableau-server-vulnerability/

Tableau Server存在严重漏洞（CVE-2025-26496，CVSS 9.6），允许恶意文件上传和代码执行，影响多个版本。建议立即升级至最新维护版本，防止服务器沦陷和数据泄露。

8、国产开源BI工具DataEase曝光两个远程代码执行漏洞

https://securityonline.info/two-rce-vulnerabilities-found-in-open-source-bi-tool-dataease/

DataEase BI工具曝两高危漏洞(CVE-2025-57772/57773)，可致远程代码执行和任意文件写入，影响2.10.11及以下版本，建议立即升级至2.10.12修复。

9、Chrome 0day漏洞野外利用攻击曝光，代码已公开

https://www.freebuf.com/articles/445967.html

谷歌近日披露了Chrome浏览器V8 JavaScript引擎中存在一个关键零日漏洞（CVE-2025-5419）。在补丁尚未全面推送前，该漏洞的概念验证（PoC）利用代码已被公开，且已观测到有针对性的野外攻击活动。

10、新型隐蔽恶意软件利用TP-Link、思科等路由器漏洞获取远控权

https://www.freebuf.com/articles/network/445791.html

安全研究人员近期发现针对多品牌网络设备的新型恶意软件攻击活动，受影响设备包括DrayTek、TP-Link、Raisecom和思科等厂商的路由器。2025年7月期间，攻击者通过利用嵌入式Web服务中的未授权命令注入漏洞传播隐蔽加载程序。

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。