1、黑客注册4300个域名攻击酒店预订平台

https://www.netcraft.com/blog/thousands-of-domains-target-hotel-guests-in-massive-phishing-campaign

网络安全专家披露了一项针对旅行者的大规模网络钓鱼活动，攻击者利用4300多个注册域名，伪装成知名旅游品牌，以诱骗计划度假的用户。攻击者构建了复杂的钓鱼页面，模仿如Airbnb和Booking.com等网站，利用“Want Your Feedback”的名义发送恶意邮件，引导受害者点击链接，声称需要确认酒店预订。然而，这些链接实际上会将用户重定向到钓鱼网站。此外，钓鱼工具包还支持多种语言，增加了攻击的隐蔽性。攻击者关注特定豪华酒店，以提高攻击成功率。

2、Chrome扩展程序窃取以太坊钱包助记词

https://socket.dev/blog/malicious-chrome-extension-exfiltrates-seed-phrases

网络安全研究人员发现了一款名为“Safery: 以太坊钱包”的恶意Chrome扩展程序，该程序伪装成合法的钱包，但实际上隐藏了窃取用户助记词的功能。这款扩展于2025年9月29日上传至Chrome网上应用商店，最近一次更新是在11月12日，至今仍可供用户下载。该扩展声称是“一个简单、安全的以太坊钱包”，但实际上却包含一个后门，能够将用户的助记词编码为虚假的Sui地址，并向攻击者控制的钱包发送微交易，进而窃取助记词。这种攻击方式使得攻击者能够在不需要命令与控制（C2）服务器的情况下，通过看似正常的区块链交易获取敏感信息。

3、攻击者利用WhatsApp屏幕共享功能窃取资金

https://hackread.com/whatsapp-screen-sharing-scammers-steal-otps-funds/

诈骗分子正大规模滥用WhatsApp屏幕共享功能实施诈骗，已致全球巨额损失，一受害者损失约70万美元。攻击者通过陌生视频通话冒充银行或Meta客服，谎称账户异常制造恐慌，诱骗受害者开启屏幕共享或安装远程应用，进而窃取密码、银行信息及一次性验证码。该攻击利用2023年推出的功能，核心在于心理操纵而非技术手段。

4、WatchGuard高危漏洞威胁5.4万台防火墙

https://thehackernews.com/2025/11/cisa-flags-critical-watchguard-fireware.html

美国网络安全和基础设施安全局（CISA）周三将WatchGuard Fireware严重漏洞CVE-2025-9242（CVSS 9.3）列入已知已利用漏洞目录。该越界写入漏洞影响Fireware OS 11.10.2至2025.1版本，允许未经身份验证的远程攻击者执行任意代码。尽管WatchGuard已于9月发布补丁，近日确认该漏洞正被积极利用。Shadowserver数据显示，截至11月12日全球仍有54,300台Firebox设备暴露，其中美国占18,500台。联邦民用行政部门机构被要求在12月3日前完成修复。

5、终局行动全球围剿Rhadamanthys窃密软件

https://www.europol.europa.eu/media-press/newsroom/news/end-of-game-for-cybercrime-infrastructure-1025-servers-taken-down

欧洲刑警组织与欧洲司法组织协调启动"终局行动3.0"，联合澳、加、美等11国及Shadowserver等30余家机构，针对肆虐全球的信息窃取恶意软件Rhadamanthys展开跨国打击。2025年3月14日至11月11日期间，该软件已发起8621万余次窃密事件，感染52.5万个独立IP，波及226个国家及17,674个自治系统。执法部门缴获的后端数据已通过Shadowserver免费向全球175个国家的201个CSIRT及超万名网络管理员分发，包含受害者IP及识别元数据。由于Rhadamanthys常作为二次恶意软件投放工具，受害系统可能同时存在勒索软件等其他威胁。

6、新型蠕虫病毒正侵袭npm生态，已污染超过10万个软件包

https://www.sonatype.com/blog/unprecedented-automation-indonesianfoods-pits-open-source-against-itself

名为"IndonesianFoods"的新型蠕虫病毒正侵袭npm生态系统，已污染超过10万个软件包。该恶意程序每七秒自我复制一次，通过自动化手段快速部署大量无害但资源消耗性的包，使注册表系统不堪重负。研究显示，这并非首次类似攻击，早在9月10日就已出现早期版本。攻击者利用自动化工具，以远超响应速度的方式制造混乱。尽管当前蠕虫未直接窃取凭证或植入恶意代码，但其展示了开放生态系统固有的脆弱性。安全专家警告，此类攻击为后续更隐蔽的渗透提供了掩护。

7、Fortinet FortiWeb防火墙漏洞遭公开利用

https://www.bleepingcomputer.com/news/security/fortiweb-flaw-with-public-poc-actively-exploited-to-create-admin-users/

网络安全研究人员披露，Fortinet FortiWeb Web应用防火墙存在路径遍历漏洞正被主动利用。攻击者无需认证即可通过特定API端点创建管理员账户，该漏洞影响8.0.1及更早版本，已在10月底发布的8.0.2版本中修复。威胁情报机构10月首次发现该漏洞，随后攻击活动激增，多个IP地址参与攻击。watchTowr Labs已验证漏洞并发布检测工具。Fortinet尚未发布正式安全公告。

8、ImunifyAV严重RCE漏洞影响5600万网站

https://patchstack.com/articles/remote-code-execution-vulnerability-found-in-imunify360/

安全研究人员披露，ImunifyAV杀毒软件组件AI-bolit存在严重远程代码执行漏洞，影响32.7.4.0之前版本，波及5600万个网站。该漏洞CVSS评分8.2，源于反混淆逻辑执行攻击者控制的危险PHP函数（system, exec, eval等），可导致服务器完全接管。Imunify360集成扫描器默认强制启用反混淆功能，使共享主机环境面临root权限提升风险。CloudLinux于10月底发布修复补丁但未发布正式安全公告。安全专家建议管理员立即升级至v32.7.4.0版本，或在隔离容器中运行扫描器，并检查日志确认是否已被入侵。

9、英国国家医疗服务体系遭Clop勒索攻击

https://www.govinfosecurity.com/uk-nhs-named-in-clop-gangs-exploits-oracle-zero-days-a-30030

勒索软件团伙Clop利用Oracle E-Business Suite零日漏洞发动攻击，英国国家医疗服务体系（NHS）被列入受害者名单。攻击者通过CVE-2025-53072和CVE-2025-62481两个CVSS 9.8分的严重漏洞，无需认证即可接管Oracle Marketing系统。该攻击自2025年7月开始，9月底Clop向受害者发送勒索邮件，索要高达5000万美元赎金。NHS于10月下旬发布安全公告，11月确认被列入暗网受害者名单，但目前尚未发现数据泄露，正与国家网络安全中心合作调查。

10、伊朗APT42发起SpearSpecter间谍行动

https://thehackernews.com/2025/11/iranian-hackers-launch-spearspecter-spy.html

以色列国家数字机构披露，伊朗国家支持的黑客组织APT42正针对国防和政府机构实施"SpearSpecter"持续性间谍行动。该行动自2025年9月起活跃，通过WhatsApp发送伪装成会议文件的恶意链接，利用search-ms协议和WebDAV托管的LNK文件部署PowerShell后门TAMECAT。攻击者采用HTTPS、Discord、Telegram三通道架构维持持久化访问，具备浏览器数据窃取、Outlook邮件提取及定时屏幕截图功能。其突出特点是将目标扩展至家庭成员以扩大攻击面，并运用加密、代码混淆、LOLBins和内存驻留等技术规避检测。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。