1、ClayRat间谍软件伪装热门应用攻击安卓用户

https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia

移动安全公司Zimperium披露，一种名为ClayRat的安卓间谍软件近期针对俄罗斯用户展开攻击，伪装成WhatsApp、TikTok、YouTube等热门应用，通过虚假网站和Telegram频道诱导下载。该恶意程序可窃取短信、通话记录、通知及设备信息，甚至可远程拍照、发送短信或拨打电话。ClayRat具备自我传播能力，会向受害者通讯录中的所有联系人发送恶意链接。研究人员在过去90天内检测到逾600个样本和50个投递器，每次迭代均强化混淆技术以逃避检测。部分样本通过伪造的Play商店更新界面隐藏加密载荷，提升安装成功率。Google表示，其Play Protect功能可自动防御已知版本的该恶意软件。

2、Cl0p关联黑客利用Oracle零日攻击数十机构

https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation

Google威胁情报组与Mandiant联合报告称，自2025年8月起，多家组织因Oracle E-Business Suite（EBS）软件零日漏洞遭受入侵，攻击行为被认为与Cl0p勒索组织有关。攻击者利用编号为CVE-2025-61882的高危漏洞（CVSS 9.8），结合SSRF、CRLF注入及认证绕过等手法，远程执行代码并窃取敏感数据。9月下旬起，黑客从被盗账户向企业高管群发勒索邮件，声称掌握其Oracle EBS数据。分析显示，攻击链中涉及GOLDVEIN、SAGEGIFT、SAGELEAF等恶意模块，手法与FIN11过往活动存在重叠。虽然Google尚未正式归因，但指出攻击者与Cl0p生态密切相关，显示其持续在零日漏洞利用领域扩张。

3、SonicWall云防火墙备份遭入侵引发紧急排查

https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

网络安全厂商SonicWall确认，其云备份服务遭未授权访问，所有使用该功能的客户防火墙配置备份文件均被黑客获取。文件虽含加密凭据，但其被窃取可能提升针对性攻击风险。公司已发布设备自检与修复工具，并敦促用户立即登录MySonicWall账户核查设备状态。此前，SonicWall曾要求客户重置凭据，称仅约5%客户受影响，但最新调查显示影响范围更广。攻击者通过暴力破解云备份API接口，获取防火墙规则、路由配置等敏感数据。事件暴露厂商在API防护、速率限制及认证机制方面的安全缺陷，SonicWall现已加强日志记录与身份验证措施，以防类似事件重演。

4、Gladinet与TrioFox零日漏洞遭黑客主动利用

https://www.huntress.com/blog/gladinet-centrestack-triofox-local-file-inclusion-flaw

网络安全公司Huntress警告称，Gladinet CentreStack与TrioFox产品中存在的零日漏洞（CVE-2025-11371）已被黑客在野利用。该漏洞为未认证的本地文件包含（LFI）缺陷，影响16.7.10368.56560及更早版本，允许攻击者访问系统文件并提取Web.config中的机器密钥，从而结合旧漏洞CVE-2025-30406实现远程代码执行（RCE）。自9月27日起，Huntress已确认至少三家客户遭受入侵。由于厂商尚未发布补丁，研究人员建议用户临时禁用“UploadDownloadProxy”目录下的“temp”处理程序以阻断攻击。Huntress指出，攻击者可能为此前利用旧漏洞的同一组织，显示其对目标软件具备深入了解并迅速转向新漏洞利用。

5、RondoDox僵尸网络利用56个已知漏洞全球扩散

https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat

Trend Micro研究人员披露，新型大型僵尸网络“RondoDox”正利用多达56个已知漏洞（n-day漏洞），攻击全球30余种设备类型，包括DVR、NVR、CCTV系统及Web服务器。该僵尸网络自2025年6月起活跃，采用“漏洞散射”（exploit shotgun）策略，同时利用多个漏洞扩大感染面，即便噪声明显也不加掩饰。分析显示，RondoDox密切关注Pwn2Own黑客竞赛中披露的漏洞，并迅速武器化，如同Mirai曾滥用TP-Link漏洞（CVE-2023-1389）。其攻击库涵盖多家厂商设备，包括D-Link、TOTOLINK、Tenda等，甚至包含18个尚未分配CVE编号的命令注入漏洞。研究者提醒，用户应立即更新固件、替换寿命终止设备，并隔离IoT与关键网络以降低感染风险。

6、FileFix攻击变种以缓存走私绕过安全防护

https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/

网络安全研究员Marcus Hutchins披露，一种名为“FileFix”的社交工程攻击新变种正利用缓存走私（cache smuggling）技术，绕过安全软件隐蔽下载恶意ZIP文件。攻击伪装为“Fortinet VPN 合规检查器”，诱导受害者将伪造的网络路径粘贴至资源管理器地址栏。由于路径中隐藏了填充空格后的PowerShell命令，用户在回车后会在无界面模式下执行恶意脚本。该脚本从Chrome缓存中提取伪装为图像的ZIP文件并运行其中的恶意程序。攻击者通过JavaScript预先缓存伪造图像文件，使恶意内容在不触发下载检测的情况下写入系统，从而逃避防病毒与行为监控机制。目前已有勒索软件团伙和其他威胁行为者快速采用此技术进行攻击。

7、黑客利用“薪资劫持”攻击入侵多所美国大学

https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/

微软威胁情报团队披露，网络犯罪团伙Storm-2657自2025年3月起发起“薪资劫持”（Payroll Pirate）攻击，针对美国高校员工窃取工资支付。攻击者通过钓鱼邮件窃取Workday等人事SaaS平台账户，部分还利用中间人钓鱼（AITM）链接窃取MFA验证码，实现账户接管。微软称，已有三所大学的11个账户被攻破，攻击邮件扩散至25所院校近6000个邮箱。入侵后，黑客在Exchange Online中设置规则隐藏告警邮件，篡改薪资配置，将工资转入其控制账户，并添加自有号码为MFA设备以维持访问权限。该团伙使用“校园疫情”“教师处分”“薪酬调整”等主题伪装邮件诱骗受害者。微软提醒高校用户启用防钓鱼多因素认证并强化邮箱监控，以防范此类BEC式诈骗。

8、苹果将RCE漏洞赏金提高至200万美元以应对商业间谍软件威胁

https://www.csoonline.com/article/4071044/apple-bumps-rce-bug-bounties-to-2m-to-counter-commercial-spyware-vendors.html

苹果大幅提高漏洞赏金至200万美元，对抗商业间谍软件攻击，新增内存安全技术提升漏洞利用难度，并向高风险人群提供安全设备。

9、首个利用GPT-4实时生成代码的"MalTerminal"恶意软件现世

https://cybersecuritynews.com/llm-enabled-malterminal-malware-gpt-4/

首个利用GPT-4实时生成恶意代码的"MalTerminal"恶意软件被发现，标志着攻击技术重大转变：动态生成代码使传统静态检测失效。研究人员通过追踪API密钥和提示结构开发新型检测方法，揭示此类威胁依赖外部API的弱点，为防御未来自适应攻击提供关键窗口。

10、FBI第三次查封BreachForums服务器

https://www.csoonline.com/article/4071014/fbi-seizes-breachforums-servers-as-threatened-salesforce-data-release-deadline-approaches.html

黑客组织威胁泄露10亿条Salesforce数据，国际警方查封BreachForums但勒索仍在继续。SaaS服务成新攻击面，专家建议企业升级防护措施应对暗网威胁。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。