1、Kimsuky组织利用伪造的物流APP传播安卓木马

https://thehackernews.com/2025/12/kimsuky-spreads-docswap-android-malware.html

安全研究人员发现，黑客组织Kimsuky正通过伪装成韩国CJ物流公司配送应用的二维码钓鱼网站，传播新型安卓恶意软件“DocSwap”。攻击者通过钓鱼短信或邮件诱导用户访问恶意链接，当桌面用户访问时，页面会显示二维码，提示用户用安卓手机扫描以安装所谓的“货物追踪应用”。实际下载的APP会解密并加载内嵌的加密APK，在后台启动远程访问木马服务。该恶意软件功能强大，能接收多达57种指令，实现键盘记录、录音录像、文件窃取、信息收集等。此外，攻击者还制作了仿冒Naver和Kakao的钓鱼网站以窃取凭证，并将恶意代码注入到Google Play商店中的合法VPN应用进行传播。

2、华硕Live Update高危漏洞遭利用

https://thehackernews.com/2025/12/cisa-flags-critical-asus-live-update.html

美国网络安全和基础设施安全局（CISA）于12月18日将一个影响华硕Live Update工具的高危漏洞（CVE-2025-59374）添加至其已知被利用漏洞目录，并指出该漏洞正被积极利用。该漏洞实为2019年3月披露的“暗影之锤”供应链攻击事件，当时有高级威胁组织入侵华硕服务器，在Live Update客户端中植入恶意代码，通过硬编码的MAC地址列表精准攻击特定用户。虽然华硕早在当时就发布了修复版本，但由于该软件已于2025年12月4日停止支持，CISA建议仍在使用的用户于2026年1月7日前停止使用该工具。

3、月下载量超1600万的systeminformation存在高危漏洞

https://www.freebuf.com/articles/system/462566.html

安全研究人员在广受欢迎的 Node.js 库 systeminformation 中发现一个高危漏洞，该库被数百万开发者用于获取系统指标。该漏洞编号为（CVE-2025-68154），会导致基于 Windows 的应用程序面临操作系统命令注入风险，攻击者可能借此执行任意代码并控制受影响服务器。这个库每月下载量"超过 1600 万次"，因此漏洞影响范围极大，波及依赖该库获取硬件和操作系统数据的监控仪表板、CLI 工具和 Web 应用程序。

4、微软桌面窗口管理器越界漏洞可导致攻击者权限提升

https://www.freebuf.com/articles/system/462532.html

微软已确认桌面窗口管理器（DWM）中存在一个严重的越界漏洞，该漏洞允许本地攻击者在受影响的Windows系统上将权限提升至SYSTEM级别。该漏洞编号为CVE-2025-55681，存在于dwmcore.dll组件中，影响全球范围内的Windows 10、Windows 11及相关服务器版本。

5、亚马逊披露俄罗斯GRU长达数年的网络攻击行动

https://thehackernews.com/2025/12/amazon-exposes-years-long-gru-cyber.html

俄罗斯黑客组织APT44在2021-2025年针对西方能源和云基础设施发起长期攻击，转向利用配置错误设备而非漏洞，通过凭证收集横向移动，目标包括北美和欧洲关键设施。亚马逊已中断相关攻击并建议加强边缘设备审核和认证监控。

6、APT-C-35利用Apache HTTP响应特征维持基础设施活动

https://cybersecuritynews.com/apt-c-35-infrastructure-activity-leveraged/

印度APT组织APT-C-35持续活跃，针对南亚关键目标。研究发现其服务器具有独特HTTP响应特征，如特定过期日期和缓存控制头部，可用于追踪检测。该发现提升了对国家支持型威胁的防御能力。

7、“幻影窃取者” 恶意软件借 ISO 钓鱼攻击瞄准金融领域

https://www.anquanke.com/post/id/313818

一场精密的新型钓鱼攻击行动正瞄准某国金融基础设施核心领域，攻击者将一款功能强大的信息窃取恶意软件伪装成常规的银行转账确认文件。赛科瑞特实验室（Seqrite Labs）的研究人员将该攻击行动命名为 “金钱山 – ISO 行动”，其攻击目标明确锁定金融、会计及财务部门，借助高质量的社会工程学手段突破企业边界安全防护。

8、ScreenConnect高危漏洞存在配置泄露与恶意扩展安装风险

https://www.anquanke.com/post/id/313807

康耐视（ConnectWise）针对其广受欢迎的远程支持软件 ScreenConnect 发布了重要安全更新，修复了一个可能导致敏感配置数据泄露的高危漏洞。该漏洞编号为 CVE-2025-14265，通用漏洞评分系统（CVSS）分值高达 9.1，这意味着未打补丁的本地部署服务器将面临重大安全风险。

9、HPE修复 IT 基础设施管理软件中的关键漏洞

https://www.securityweek.com/hpe-patches-critical-flaw-in-it-infrastructure-management-software/

惠普企业（HPE）本周宣布了针对其 OneView IT 基础设施管理软件中一个严重程度为关键的远程代码执行漏洞的补丁。该安全缺陷被追踪为 CVE-2025-37164（CVSS 得分为 10），公司在一个简明的公告中指出，该漏洞无需认证即可被利用。

10、主流主板中的UEFI漏洞可启用早期启动攻击

https://www.securityweek.com/uefi-vulnerability-in-major-motherboards-enables-early-boot-attacks/

ASRock、Asus、Gigabyte 和 MSI 主板存在早期启动 DMA 攻击漏洞。根据卡内基梅隆大学 CERT/CC 周三发布的一份公告，攻击者可以利用该漏洞访问内存中的数据或影响系统的初始状态。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。