https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/
网络安全公司ESET披露,朝鲜黑客组织Lazarus近期通过“梦幻工作(Operation DreamJob)”行动入侵欧洲三家防务相关企业,目标集中于无人机(UAV)技术领域。攻击者伪装成大型企业招聘人员,以虚假职位诱导目标员工下载被植入恶意代码的开源程序插件,从而实现DLL旁加载并执行远控木马ScoringMathTea RAT或加载器BinMergeLoader(MISTPEN)。这些企业位于中欧和东南欧,均参与向乌克兰提供军用装备,其中两家涉足无人机部件制造与软件研发。ESET指出,尽管该社交工程战术已多次曝光,Lazarus仍能借此持续渗透欧洲防务体系,显示其针对无人机军备情报的持续兴趣与高超隐匿能力。
https://www.motex.co.jp/news/notice/2025/release251020/
美国网络安全与基础设施安全局(CISA)发布警告称,黑客正积极利用日本Motex公司Lanscope Endpoint Manager中的严重漏洞CVE-2025-61932发起攻击。该漏洞评分9.3,源于请求来源验证不当,攻击者可通过特制数据包在未经认证的情况下远程执行任意代码。Motex确认部分客户环境已收到恶意数据包,表明漏洞正被零日利用。受影响版本为9.4.7.2及以前版本,修复已在9.4.7.3等多个子版本中发布。目前暂无临时缓解措施,唯一防护方式是立即更新客户端。日本CERT也警示国内多家机构遭到相关攻击。CISA已将该漏洞纳入“已知被利用漏洞”清单,要求美国政府机构最迟于11月12日前完成修补。
https://www.group-ib.com/blog/immediate-era-fraud-singapore/
一场大规模的诈骗活动盗用了新加坡政府官员的图像和肖像,诱骗新加坡公民和居民参与一个欺诈性投资平台。Group-IB表示:“该诈骗活动依赖于付费谷歌广告、旨在掩盖欺诈和恶意活动的中介重定向网站以及极具欺骗性的虚假网页。受害者最终被引导至一个在毛里求斯注册的外汇投资平台,该平台以看似合法的法人实体身份运营,并持有官方投资许可证。这种结构制造了一种合规的假象,却为跨境欺诈活动提供了便利。” 在这些诈骗平台上,受害者被要求填写个人信息,然后他们会通过电话主动催促他们存入大量资金。诈骗者总共使用了28个经过验证的广告客户账户来投放恶意的谷歌广告。广告投放主要通过居住在保加利亚、罗马尼亚、拉脱维亚、阿根廷和哈萨克斯坦的个人注册的经过验证的广告客户账户进行。这些广告经过精心设计,仅向使用新加坡IP地址搜索或浏览的用户投放。为了增强骗局的可信度,威胁行为者创建了119个恶意域名,冒充CNA和雅虎新闻等合法且信誉良好的主流新闻机构。
https://jfrog.com/blog/mcp-prompt-hijacking-vulnerability/
Oat++实现的Anthropic模型上下文协议 (MCP) 中存在一个安全漏洞,攻击者可以利用该漏洞预测或捕获活动AI对话中的会话ID,劫持MCP会话,并通过oatpp-mcp服务器注入恶意响应。该漏洞被称为“Prompt Hijacking”,编号为CVE-2025-6515(CVSS评分:6.8)。虽然服务器发送事件 (SSE)传输使用的生成会话ID旨在将响应从MCP服务器路由到客户端,并区分不同的MCP客户端会话,但该攻击利用了SSE不要求会话ID唯一且加密安全(较新的Streamable HTTP规范中强制执行的要求)这一事实,允许拥有有效会话ID的威胁行为者向MCP服务器发送恶意请求,从而劫持响应并将中毒响应中继回客户端。
https://securitylabs.datadoghq.com/articles/cophish-using-microsoft-copilot-studio-as-a-wrapper/
Datadog安全实验室披露一种名为“CoPhish”的新型钓鱼技术,攻击者利用Microsoft Copilot Studio的聊天代理功能发起OAuth令牌窃取攻击。该方法通过在微软合法域名下托管伪造登录页面,诱骗用户或管理员授权恶意应用,从而窃取访问令牌。研究人员指出,攻击者可在“登录”主题中自定义验证流程,将令牌发送至外部服务器,甚至可针对高权限管理员实施攻击。微软已确认问题并计划在后续更新中修复,同时建议组织限制管理员权限、强化应用授权策略,并监控Copilot代理的创建行为,以防止此类社会工程型钓鱼滥用。
研究人员披露,一场针对GutenKit与Hunk Companion旧版插件的大规模利用活动正在肆虐,攻击者借三项高危漏洞(CVE-2024-9234、CVE-2024-9707、CVE-2024-11972)未经认证安装并激活任意插件,最终可实现远程代码执行。Wordfence在10月8–9日两天内阻止了约870万次攻击尝试,攻击者常通过含有后门的恶意插件(如/up、background-image-cropper等)维持持久性并横向扩散。建议管理员立即将GutenKit升级至≥2.1.1、Hunk Companion升级至≥1.9.0,检查/wp-json/gutenkit/v1/install-active-plugin与/wp-json/hc/v1/themehunk-import访问记录,以及/up、/background-image-cropper、/ultra-seo-processor-wp、/oke等可疑目录以排查入侵迹象。
密码管理服务商LastPass警告称,自10月中旬起,黑客团伙CryptoChameleon(UNC5356)发动钓鱼攻击,冒充“遗产继承申请”通知,诱骗用户输入主密码以窃取密码库与Passkey。攻击邮件伪称家属提交了死亡证明,请求访问受害者账户,并附带伪造的代理编号提升可信度。若用户点击“取消申请”链接,将被引导至假冒的lastpassrecovery[.]com登录页。部分受害者甚至接到冒充LastPass客服的电话,进一步被诱导泄露凭证。研究显示,攻击者同时注册了mypasskey[.]info等域名,专门用于窃取Passkey凭据。LastPass提醒用户警惕可疑访问请求,不要点击未知链接,并验证邮件来源真实性。
安全研究与厂商报告称,编号为CVE-2025-59287的关键性WSUS远程代码执行漏洞已被实战利用且出现公开PoC代码。该漏洞仅影响启用了“作为更新源”的WSUS Server角色的服务器,可在无需交互或权限的情况下以SYSTEM权限执行代码,存在跨服务器蠕虫传播风险。Eye Security、Huntress等组织发现针对暴露端口(8530/8531)的扫描与利用行为,并观测到攻击者窃取域内信息。微软已发布紧急补丁并提供临时缓解措施,国家网络安全机构建议管理员立即安装补丁、或禁用WSUS Server角色并限制对相关端口的外部访问以降低风险。
https://www.csoonline.com/article/4078450/formel-1-betroffen-cyberattacke-auf-fahrer-portal.html
黑客入侵FIA车手门户获取F1车手数据,自称爱好者旨在揭露漏洞。FIA迅速保护数据并与黑客合作修复系统,未泄露敏感信息。事件凸显网络安全重要性。
https://www.helpnetsecurity.com/2025/10/23/youtube-malware-distribution-network-ghost/
Check Point发现"YouTube幽灵网络",利用3000多个入侵或伪造频道以破解软件为诱饵传播恶意软件,采用分工模式规避检测,主要传播信息窃取程序,2025年恶意视频增长两倍。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
