1、沙虫组织使用擦除器攻击乌克兰粮食行业

https://www.bleepingcomputer.com/news/security/sandworm-hackers-use-data-wipers-to-disrupt-ukraines-grain-sector/

俄罗斯国家支持的黑客组织Sandworm于2025年6月和9月针对乌克兰政府机构、能源、物流及粮食行业部署多个数据擦除恶意软件变种，其中粮食行业成为新兴攻击目标。考虑到粮食出口是乌克兰主要收入来源，此举意在削弱其战时经济。该组织延续了自2022年以来针对乌克兰的破坏性行动，使用数据擦除器彻底销毁数字信息，而非勒索软件模式。部分攻击由UAC-0099威胁行为体获取初始访问权限后转交Sandworm执行。

2、恶意VS Code扩展程序内置勒索软件功能

https://secureannex.com/blog/ransomvibe/

Visual Studio Code扩展市场出现首个由AI生成的勒索软件扩展"susvsex"。该恶意扩展由"suspublisher18"发布，尽管名称与描述极具可疑性，仍通过审核上线。其利用GitHub私有仓库作为命令与控制通道，加密特定目录文件并外泄数据。安全分析显示，代码带有明显Vibe生成痕迹，且开发失误导致C2服务器代码与解密工具一同被打包，通过硬编码的GitHub PAT令牌可溯源至巴库地区的开发者。目前扩展仅针对测试目录，但可通过更新或远程指令扩大攻击范围。

3、思科UCCX漏洞允许攻击者以root权限执行命令

https://nvd.nist.gov/vuln/detail/CVE-2025-20354

思科近日发布安全更新，修复其统一联络中心快速版（UCCX）软件中的漏洞。该漏洞编号为CVE-2025-20354，允许未经身份验证的攻击者通过Java远程方法调用（RMI）远程执行任意命令，并获得root权限。此外，思科还修复了Cisco UCCX的Contact Center Express（CCX）编辑器中的另一个严重漏洞，攻击者能够绕过身份验证并创建具有管理员权限的任意脚本。IT管理员被建议尽快升级到指定的修复版本，以避免潜在的安全风险。

4、间谍软件LandFall利用三星漏洞攻击安卓设备

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

研究人员发布了一项重要发现，揭示了一种名为“LANDFALL”的新型安卓间谍软件家族。该间谍软件针对中东地区的三星Galaxy设备，利用了三星图像处理库中的一个零日漏洞（CVE-2025-21042）进行传播，嵌入在恶意的DNG图像文件中。LANDFALL具备强大的监控能力，包括麦克风录音、位置追踪以及敏感数据的收集。尽管该漏洞已于2025年4月被修复，研究显示该间谍软件在2024年中便已活跃，并利用多个零日漏洞进行攻击。

5、研究人员发现隐藏逻辑炸弹的恶意NuGet包

https://socket.dev/blog/9-malicious-nuget-packages-deliver-time-delayed-destructive-payloads

研究人员发现一组恶意NuGet包，这些包由用户“shanhai666”在2023至2024年间发布，包含延迟激活的恶意代码，计划在2027年和2028年触发。共有九个恶意软件包被报告，下载次数达到9488次，其中“Sharp7Extend”特别危险，针对工业PLC系统，具备随机终止进程和静默写入故障的双重破坏机制。所有九个包均已从NuGet移除。研究表明，攻击者利用了C#扩展方法的特性，在不修改原始代码的前提下注入恶意逻辑。恶意代码将在特定触发日期到来时激活，造成应用程序崩溃或影响PLC的写入操作。

6、QNAP修复七个已曝光NAS零日漏洞

https://www.bleepingcomputer.com/news/security/qnap-fixes-seven-nas-zero-day-vulnerabilities-exploited-at-pwn2own/

QNAP公司发布公告，宣布已修复七个零日漏洞，这些漏洞在Pwn2Own Ireland 2025竞赛中被安全研究人员成功利用，影响了公司的网络附加存储（NAS）设备。漏洞涉及其QTS和QuTS hero操作系统及多个软件，包括Hyper Data Protector、Malware Remover和HBS 3 Hybrid Backup Sync。为了提高安全性，QNAP呼吁用户尽快将软件更新至最新版本，并更改所有密码。所有相关漏洞已在特定的软件版本中得到修复，包括QTS和QuTS hero的多个更新版本。

7、GlassWorm卷土重来攻击多国机构

https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure

安全团队检测到GlassWorm蠕虫再度爆发，三个VS Code扩展遭感染，新增感染近万例。该蠕虫利用隐形Unicode字符隐藏恶意代码，通过Solana区块链更新C2指令，基础设施沿用上月配置仍持续运作。研究人员意外获取攻击者服务器数据，发现受害者遍布欧美亚及南美，甚至包括中东某重要政府机构。更严重的是，该蠕虫已蔓延至GitHub仓库，通过AI生成提交隐藏载荷并窃取凭证自我传播。服务器日志显示攻击者使用俄语，采用RedExt框架，其加密货币交易所与即时通讯平台用户ID已被掌握。

8、FBI追查Archive[.]ph背后匿名运营者

https://hackread.com/fbi-wants-to-know-who-runs-archive-ph/

美国联邦调查局（FBI）于2025年11月8日宣布，正在对存档网站Archive.ph及其相关域名的匿名运营者进行调查。FBI已向域名注册商Tucows发出联邦传票，要求其提供大量与该网站所有者相关的账单和通信记录，以协助正在进行的刑事调查。尽管该传票未指明任何具体罪行，但其内容涉及客户信息和互联网会话日志，显示了FBI对该网站背后运营者的严查态度。自2012年上线以来，Archive.ph因提供绕过付费墙的服务而受到关注，其运营者身份一直成谜。

9、俄罗斯公民承认参与Yanluowang勒索攻击

https://cyberscoop.com/russian-aleksei-volkov-yanluowang-ransomware/

一名25岁的俄罗斯公民，承认参与了针对美国企业的Yanluowang勒索软件攻击。根据法庭记录，沃尔科夫在2021年7月至2022年11月期间，作为“初始访问经纪人”参与了多起攻击，导致受害者支付共计150万美元的赎金。检方指出，沃尔科夫利用企业网络中的漏洞，联手未具名同谋进行攻击，实施了包括数据加密和骚扰在内的多重恶劣行为。受害者因攻击无法正常运营，有些甚至被迫暂停业务。联邦调查局（FBI）通过区块链技术追踪与沃尔科夫相关的加密货币交易，从而确认了其身份并发现了多个与攻击相关的账户。

10、研究人员成功破解Midnight勒索软件

https://hackread.com/norton-midnight-ransomware-free-decryptor/

威胁研究团队宣布，他们成功破解了一种新型勒索软件——Midnight，并发布免费的解密器，旨在帮助受害者恢复被加密文件，而无需支付赎金。研究显示，这种勒索软件是基于泄露的Babuk勒索软件源代码构建的，存在重大安全漏洞。尽管Midnight的设计意图是提升加密的速度和强度，但实际上却引入了安全性缺陷，使得其加密实现受到削弱。研究人员利用这一漏洞，开发出了解密器，支持32位和64位Windows系统。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。