1、Astaroth银行木马利用GitHub发起攻击

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/

网络安全研究人员报告称，Astaroth银行木马在新一轮活动中利用GitHub作为配置后备，通过托管隐写图片来更新配置，使得在传统C2被查封后仍能继续运行。攻击链始于仿DocuSign的钓鱼邮件，受害者下载并打开被压缩的.lnk快捷方式，内含混淆JavaScript以拉取额外代码并下载AutoIt脚本，随后执行shellcode、加载Delphi DLL并注入RegSvc.exe进程。该木马每秒检测浏览器窗口并在访问多家巴西及拉美银行与加密服务时进行按键记录，窃取的数据通过Ngrok回传；同时具备反分析、语言与地域围栏及开机自启动等持久化与防护规避能力。

2、研究人员揭露TA585的MonsterV2恶意软件功能和攻击链

https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal

研究人员披露，名为TA585的威胁组织通过钓鱼、网页注入与伪造GitHub告警等多种自持交付手段，独立掌控完整攻击链以传播MonsterV2木马。MonsterV2为即付即用的远控/信息窃取/加载器，支持HVNC、剪贴板替换、按键记录、屏幕截取与远程命令执行，常用PowerShell或ClickFix社会工程触发，通常由SonicCrypt加壳并带有反调试、反沙箱与持久化功能；其控制端按地理位置下发任务，可下载StealC、Remcos等后续负载。该恶意软件以订阅形式出售，并刻意回避独联体国家。

3、开发者包被滥用向Discord泄密

https://socket.dev/blog/weaponizing-discord-for-command-and-control

研究人员发现，多款npm、PyPI和RubyGems恶意软件包利用Discord webhook作为C2渠道，将开发者敏感数据发送至攻击者控制的频道。例如，mysql-dumpdiscord窃取配置文件，sqlcommenter_rails收集系统信息发送至固定webhook。此类攻击可在安装或构建阶段悄然获取.env、API密钥及主机信息，绕过运行时监控。同时，北朝鲜相关组织通过“Contagious Interview”运动上传数百个恶意或拼写相似包，目标锁定Web3、加密货币及技术求职者，诱导其运行带后门的项目，进一步下载BeaverTail、InvisibleFerret等多平台恶意负载，实现凭证、钱包及键盘记录等信息窃取。

4、Android系统存在Pixnapping漏洞可窃取2FA代码

https://www.pixnapping.com/

研究人员披露名为Pixnapping的新型像素侧信道攻击，能在Android（在测验的Google/Samsung设备上为Android 13–16）上在不需特殊权限的情况下，利用意图与半透明Activity叠加将目标像素送入渲染流水线，并通过GPU压缩侧效应逐像素窃取2FA验证码、Google Maps时间线等敏感信息。攻击依赖先前的GPU.zip技术并可在30秒内提取验证码；需诱导用户安装并运行恶意应用。谷歌以CVE‑2025‑48561在2025年9月发布部分修补，并计划在12月推更全面补丁；研究者亦指出存在通过调整时序绕过缓解措施的变种，且攻击还能推断设备已安装的应用清单。c

5、AMD CPU漏洞可导致机密虚拟机被绕过与窃取

https://rmpocalypse.github.io/#abstract

ETH Zürich研究人员披露名为“RMPocalypse”的缺陷，攻击者仅需在逆向映射表（RMP）中写入8字节即可破坏AMD SEV‑SNP的机密计算保障，导致机密虚拟机（CVM）完整性与机密性被完全绕过与窃取。AMD已将该问题标为CVE‑2025‑0033（CVSS 5.9），并发布补丁与缓解建议；受影响的EPYC系列、Supermicro主板与Azure机群已着手修复，部分嵌入式型号的修补计划在2025年11月发布。研究者警告称，此漏洞可被有管理权限的恶意管理程序利用以注入代码、伪造证明与回放攻击，严重削弱SEV‑SNP信任根。

6、近半数地球同步卫星传输未加密数据，可低成本窃听通信

https://securityaffairs.com/183404/hacking/unencrypted-satellites-expose-global-communications.html

研究发现近半数地球同步卫星传输未加密数据，敏感通信易被截获。仅用800美元设备即可窃听私人通话、短信及军事通信，暴露全球网络安全漏洞。部分企业已加密，但关键基础设施仍存风险。

７、甲骨文EBS两周内连爆高危漏洞，可导致敏感数据泄露

https://www.csoonline.com/article/4072174/oracle-issues-second-emergency-patch-for-e-business-suite-in-two-weeks.html

甲骨文两周内第二次紧急修补EBS高危漏洞(CVE-2025-61884)，该漏洞允许远程窃取数据。专家警告ERP系统正成为勒索软件新目标，建议企业立即打补丁并排查入侵迹象，同时重新评估ERP安全策略，实施最小权限和零信任原则。

８、Windows远程访问连接管理器0Day漏洞已被用于攻击利用

https://cybersecuritynews.com/remote-access-connection-manager-0-day/

微软确认Windows远程访问连接管理器存在高危0Day漏洞CVE-2025-59230，攻击者可借此提升至SYSTEM权限。该漏洞影响多个Windows版本，CVSS评分7.8，已遭主动利用。微软紧急发布补丁，未修复系统面临勒索软件等高风险。

９、西门子高危漏洞可致SIMATIC CP配置遭未授权远程访问

https://securityonline.info/critical-siemens-flaw-cve-2025-40771-cvss-9-8-allows-unauthenticated-remote-access-to-simatic-cp-config/

西门子发布SIMATIC ET 200SP通信处理器关键安全更新，修复高危漏洞CVE-2025-40771（CVSS 9.8），该漏洞允许未授权远程访问配置数据，影响多款设备V2.4.24之前版本。建议立即升级固件或限制可信IP访问。

10、PolarEdge后门定制攻击威胁思科、群晖及威联通设备

https://securityonline.info/sekoia-exposes-polaredge-backdoor-custom-mbedtls-c2-compromising-cisco-qnap-and-synology-devices/

Sekoia揭露PolarEdge后门利用CVE-2023-20118漏洞攻击思科等设备，通过定制TLS服务器执行命令，采用多层加密和反检测技术，支持多样化操作模式，威胁持续扩散。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。