1、APT36利用DeskRAT木马攻击印度政府目标

https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/

网络安全公司Sekoia近日披露，巴基斯坦关联的APT组织Transparent Tribe（又名APT36）于2025年8月至9月间对印度政府机构发动鱼叉式钓鱼攻击，投放基于Golang语言开发的DeskRAT远控木马。攻击者通过伪装成官方指令的ZIP附件或云端链接传播恶意Desktop文件，诱导受害者打开伪装的PDF文档同时执行后门程序。该木马主要针对BOSS Linux系统，可通过WebSocket与指挥控制服务器通信，并具备文件收集、命令执行及持久化能力。研究显示，该行动与APT36此前针对Windows系统使用的StealthServer后门存在关联，显示出该组织跨平台攻击能力的增强。此事件凸显南亚地区国家支持型威胁活动持续升级的趋势。

2、YouTube“幽灵网络”滥用平台传播恶意软件

https://research.checkpoint.com/2025/youtube-ghost-network/

网络安全公司Check Point揭露，一个名为“YouTube Ghost Network”的大规模恶意网络自2021年以来已在平台上发布超3000个恶意视频，利用被入侵或伪装的YouTube账号传播信息窃取类恶意软件。攻击者通过热门关键词如“破解软件”和“Roblox外挂”吸引用户点击视频描述或置顶评论中的下载链接，从而感染Lumma、Rhadamanthys、StealC、RedLine等窃密程序。该网络采用“角色分工”机制，分为上传、发帖和互动账号，协同制造可信度假象。即使部分账号被封禁，也能快速替换继续运作。谷歌已移除大部分相关视频。此事件显示，威胁者正不断利用合法社交平台进行隐蔽且高效的恶意传播。

3、黑客利用基于RedTiger的恶意程序窃取Discord账户

https://www.netskope.com/blog/redtiger-new-red-teaming-tool-in-the-wild-targeting-gamers-and-discord-accounts

网络安全公司Netskope报告，威胁者滥用开源红队工具RedTiger的info-stealer构建恶意载体，主要针对法国Discord用户。攻击者将代码用PyInstaller打包成独立可执行文件、伪装为游戏或Discord相关应用，安装后扫描并提取Discord令牌、账户信息、邮箱、MFA与订阅及付款数据；还窃取浏览器保存的密码、cookies、加密钱包文件、游戏数据并截屏。样本通过向Discord的index.js注入自定义JavaScript拦截API事件（登录、购买、密码变更等），将收集到的数据打包上传至GoFile，再以Discord webhook回传。该工具具备反沙箱、反调试、制造大量进程与临时文件等反取证与逃避机制，可能通过Discord频道、恶意下载站、论坛、钓鱼广告与YouTube等途径传播。

4、微软禁用下载文件预览防窃密攻击

https://support.microsoft.com/en-us/topic/file-explorer-automatically-disables-the-preview-feature-for-files-downloaded-from-the-internet-56d55920-6187-4aae-a4f6-102454ef61fb

微软宣布，自2025年10月安全更新起，Windows 11与Windows Server的文件资源管理器（File Explorer）将默认禁用对互联网下载文件的预览功能，以防止攻击者利用恶意文件窃取凭证。该措施适用于带有“网页标记”（Mark of the Web, MotW）的文件或存放于网络共享目录的文件。当用户尝试预览此类文件时，系统会显示安全警告，提示文件可能危害电脑安全。此改动旨在阻断攻击者通过HTML标签（如、等）引用外部路径，窃取NTLM哈希的攻击路径。微软表示，该保护机制自动启用，无需额外操作。若需预览可信来源文件，用户可手动解除“互联网安全锁定”，但需谨慎执行以避免风险。

5、Jingle Thief利用云环境大规模盗刷礼品卡

https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/

安全公司Unit 42披露，名为“Jingle Thief”的犯罪集团通过网络钓鱼与短信钓鱼窃取凭证，侵入零售与消费服务机构的云环境以大规模发行并兑现礼品卡。该组织自2021年底活动至今，偏好滞留式横向移动与身分滥用，深度搜寻SharePoint/OneDrive与发卡流程、创建收件箱规则并注册伪造认证器以绕过MFA，从而在不依赖自定义恶意软件的情况下长期维持访问并隐匿痕迹。研究者指出，攻击目标高度定制且以节假日消费高峰期变现为主，最终通过灰色市场变现礼品卡造成重大经济损失。

6、OpenAI Atlas浏览器漏洞允许向ChatGPT注入恶意代码

https://www.freebuf.com/articles/ai-security/454414.html

OpenAI新推出的ChatGPT Atlas浏览器存在严重漏洞，攻击者可借此向ChatGPT内存注入恶意指令，并在用户系统上执行远程代码。网络安全公司LayerX发现，该漏洞利用跨站请求伪造（CSRF）技术劫持已认证会话，可能导致设备感染恶意软件或被未授权访问。这一发现凸显了AI浏览器日益增长的安全风险——集成的LLM（大语言模型）会放大传统网络威胁。

7、朝鲜黑客组织Lazarus针对无人机行业发起窃密攻击

https://www.freebuf.com/articles/454169.html

朝鲜国家背景的黑客组织Lazarus（APT38）近期发起代号"DreamJob"的网络间谍行动，专门针对欧洲无人机技术研发企业。自2025年3月下旬起，攻击者已成功入侵中欧和东南欧地区三家国防相关机构，通过部署高级恶意软件窃取专有无人机技术。

8、“游蛇（银狐）”黑产密集仿冒各类流行应用进行传播

https://www.freebuf.com/articles/es/454365.html

“游蛇”攻击组织，其他安全企业又称“银狐”、“谷堕大盗”等，主要针对国内用户进行攻击诈骗活动。安天在2022年下半年发现和分析游蛇组织的早期活动，包括伪装常用软件下载站和搜索引擎SEO和钓鱼邮件方式实施投放，采取白加黑方式执行，利用即时通讯软件（微信、企业微信等）进一步扩散。其主要获利方式为通过即时通讯软件拉群的方式进行诈骗，同时也对感染主机形成窃密能力，可能进行数据贩卖等其他活动。其传播的恶意文件变种极多、免杀手段更换极为频繁，影响到的个人和行业极为广泛。

9、70.6万余台BIND 9实例暴露在线易遭缓存投毒攻击

https://www.freebuf.com/articles/network/454177.html

BIND 9 解析器曝出高危漏洞（CVE-2025-40778），攻击者可利用该漏洞实施缓存投毒攻击，将互联网流量重定向至恶意网站。互联网扫描公司 Censys 发现，全球超过 706,000 个暴露在外的 BIND 实例受此影响。该漏洞 CVSS 评分为 8.6 分，源于 BIND 对 DNS 响应中未经请求的资源记录处理过于宽松，使得非路径攻击者无需直接访问网络即可注入伪造数据。BIND 软件的维护方互联网系统联盟（ISC）于 2025 年 10 月 22 日发布公告，敦促管理员立即修补。

10、Jira中存在权限漏洞，可篡改Jira JVM进程有权访问的文件

https://www.anquanke.com/post/id/312843

Atlassian披露了Jira Software Data Center和Server版本中存在的一个严重路径遍历漏洞，该漏洞可使已认证攻击者修改Jira Java虚拟机（JVM）进程可访问的文件。该漏洞编号为CVE-2025-22167，严重级别为高，CVSS评分为8.7，影响自2025年9月以来的多个产品版本。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。