1、黑客在新一轮攻击中利用开源Nezha工具

https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool

Huntress披露，攻击组织滥用开源监控工具Nezha，将其作为后门部署Gh0st RAT。攻击者通过暴露的phpMyAdmin面板实施日志投毒，把一行PHP web shell写入以.php结尾的日志文件并执行，继而使用ANTSWORD控制服务器、下发Nezha Agent并运行交互式PowerShell脚本以创建Defender排除项，最终启动Gh0st载荷。该活动自2025年6月起至少已感染逾100台主机，攻击目标以日本和韩国为主，并波及多国。研究者评估攻击方技术熟练，疑有多种初始入侵手段尚待发现。

2、黑客利用WordPress网站发动ClickFix网络钓鱼攻击

https://blog.sucuri.net/2025/10/malvertising-campaign-hides-in-plain-sight-on-wordpress-websites.html

安全研究人员披露，一波针对WordPress站点的攻击通过篡改主题文件（functions.php）注入恶意JavaScript，将访客重定向至ClickFix风格的钓鱼页面。攻击链通过远程加载器（brazilc[.]com）下发含有porsasystem[.]com脚本的动态载荷，并在1×1像素iframe中伪装为Cloudflare资产以规避检测。该活动与Kongtuke流量分发系统关联，攻击者还使用IUAM ClickFix Generator等钓鱼工具生成高度拟真的验证页面，并可通过缓存走私和剪贴板操控实现多平台持久化与信息窃取（已见DeerStealer、Odyssey Stealer样本）。研究者建议及时修补插件与主题、强化管理员凭证、审查异常管理员账户并扫描站点文件以移除后门和恶意修改。

3、Crimson Collective黑客瞄准AWS云实例窃取数据

https://www.rapid7.com/blog/post/tr-crimson-collective-a-new-threat-group-observed-operating-in-the-cloud/

安全研究机构Rapid7披露，黑客组织“Crimson Collective”近期针对AWS云环境发起攻击，利用暴露的访问密钥与IAM账户进行权限提升和数据窃取。该组织声称对Red Hat攻击负责，从数千个私有GitLab仓库中窃取约570GB数据，并联合“Scattered Lapsus$ Hunters”施压勒索。攻击流程包括使用TruffleHog工具搜集凭证，创建具管理员权限的新账户，获取RDS数据库与EBS卷快照后导出至S3存储以实现数据外泄。完成攻击后，黑客通过AWS SES向受害者发送勒索邮件。AWS建议用户采用最小权限策略并及时轮换短期凭证，以降低被入侵风险。

4、黑客利用Service Finder主题漏洞获取管理员权限

https://www.wordfence.com/blog/2025/10/attackers-actively-exploiting-critical-vulnerability-in-service-finder-bookings-plugin/

安全公司Wordfence警告称，黑客正积极利用WordPress高级主题“Service Finder”中的关键漏洞（CVE-2025-5947），通过认证绕过直接以管理员身份登录网站。该漏洞存在于6.0及更早版本中，由于original_user_id Cookie验证不当，攻击者可伪装任意用户实施控制。自8月以来，Wordfence已监测到超过13800次攻击尝试，单日峰值超1500次。攻击者多通过特定HTTP请求参数“switch_back=1”实现身份冒充。厂商Aonetheme已于7月17日发布修复版本6.1，但漏洞公开后攻击迅速爆发。研究人员提醒，受影响网站应立即升级或停用该主题，并检查可疑账户与日志异常，以防持续入侵与日志清除行为。

5、DraftKings遭凭证填充攻击致账户被入侵

https://www.mass.gov/doc/2025-1691-draftkings-inc/download

美国体育博彩巨头DraftKings近日警告称，其部分用户账户遭遇凭证填充攻击。攻击者利用从其他网站泄露的用户名与密码组合，通过自动化工具入侵DraftKings账户。公司在10月2日向受影响用户发出通知，称攻击者可能访问了姓名、地址、出生日期、联系方式及部分支付信息等，但未获取完整金融数据或政府身份证号。DraftKings要求潜在受害者重置密码并启用多因素认证，同时建议监控银行与信用报告，以防身份盗用。公司补充说明此次事件实际影响用户少于30人。FBI长期警告称，凭证填充攻击因凭据泄露与自动化工具泛滥而日益严重。

6、Salesforce拒绝向黑客支付数据勒索赎金

https://www.bloomberg.com/news/articles/2025-10-07/salesforce-tells-clients-it-won-t-pay-hackers-for-data-extortion

客户关系管理巨头Salesforce证实，将不会与黑客组织“Scattered Lapsus$ Hunters”谈判或支付任何赎金。该组织此前通过社会工程与OAuth滥用发动多轮攻击，从Salesforce客户实例中窃取近10亿条数据，并在数据泄露站上勒索包括谷歌、迪士尼、丰田、万豪、麦当劳等39家知名企业。攻击活动分两阶段进行：一是冒充IT人员诱骗员工授权恶意OAuth应用，二是利用被盗的SalesLoft Drift令牌访问客户CRM系统并外泄数据。Salesforce表示，尽管威胁情报显示攻击者计划公开泄露数据，但公司将坚持拒绝支付赎金。当前泄露站点已被关闭，疑似由FBI接管。

7、Linux内核TLS组件UAF漏洞：可异步解密实现远程代码执行

https://securityonline.info/linux-kernel-tls-uaf-flaw-allows-local-rce-via-async-decrypt-poc-available/

Linux内核TLS实现存在UAF漏洞(CVE-2024-26582)，本地攻击者可利用异步解密触发竞态条件，通过UAF实现内存破坏和权限提升，最终达成远程代码执行。PoC已公开。

8、NVIDIA GPU驱动修复多个高危漏洞

https://securityonline.info/nvidia-gpu-driver-patches-multiple-high-severity-flaws-risking-rce-and-privilege-escalation/

NVIDIA发布GPU驱动安全更新，修复Windows/Linux/vGPU/云游戏组件中多个高危漏洞，涉及代码执行、权限提升等风险，影响GeForce/RTX/Quadro/Tesla产品线，建议立即更新至最新版本。

9、联发科修复Wi-Fi和GNSS芯片组多个高危漏洞

https://securityonline.info/mediatek-issues-october-2025-security-bulletin-addressing-multiple-high-severity-vulnerabilities-across-wi-fi-and-gnss-chipsets/

联发科披露2025年10月安全公告，其Wi-Fi和GNSS芯片组存在高危漏洞，包括缓冲区溢出和越界写入，可致设备崩溃或执行任意代码。建议用户及时更新固件修复漏洞。

10、7-Zip曝高危漏洞：远程攻击者可执行任意代码

https://cybersecuritynews.com/7-zip-vulnerabilities/

7-Zip曝高危漏洞(CVE-2025-11001/11002)，恶意ZIP文件可导致任意代码执行，影响25.00前所有版本。CVSS评分7.0，建议立即升级至25.00修复版本。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。