1、黑客劫持VNC连接入侵关键基础设施

https://cybersecuritynews.com/hackers-hijacking-vnc-connections/

多国网络安全机构联合发布紧急警告，称亲俄黑客组织正利用暴露在互联网上且防护薄弱的虚拟网络计算连接，入侵水处理、食品与农业及能源等关键基础设施的操作技术系统。攻击组织包括“Cyber Army of Russia Reborn”、“Z-Pentest”等，其手法并不复杂，主要通过扫描5900等VNC默认端口，对使用默认或简单密码的人机界面发起暴力破解。一旦得手，攻击者会操控图形界面以修改参数、禁用警报，从而引发停机甚至物理过程中断。

2、朝鲜黑客2025年盗取20亿美元加密货币

https://thehackernews.com/2025/12/north-korea-linked-hackers-steal-202.html

安全研究人员发现，与朝鲜相关的威胁行为者在2025年1月至12月初，从全球盗取的超过34亿美元加密货币中至少占20.2亿美元，年增51%。其中仅2月对Bybit交易所的攻击就造成15亿美元损失。这些由国家支持的攻击不仅依赖传统技术漏洞，更日益通过名为“Wagemole”的计划，派遣IT工作者渗透全球公司或利用虚假身份远程入职，以获取对加密货币服务的特权访问。被盗资金通过洗钱服务、跨链桥等渠道进行长达45天的结构化洗钱。

3、工控协议Modbus曝露的端口使太阳能电站面临远程断电风险

https://hackernews.cc/archives/61939

安全研究人员发现，一种利用互联网上暴露的、不安全的工业控制协议（Modbus）对太阳能发电基础设施发起的攻击正在构成威胁。太阳能电站依赖网络化的运营技术设备，其中许多组串监测箱等关键设备仍使用设计上缺乏身份验证、加密等基本安全功能的Modbus协议。当这些设备的502端口暴露于公网时，攻击者仅需使用Nmap等常见扫描工具和mbpoll等免费Modbus客户端工具，即可远程读取设备状态，并通过向特定控制寄存器写入数据，直接发送命令关闭光伏组串，从而在几分钟内导致电力生产中断。更严峻的是，AI驱动的攻击框架能自动化完成大规模扫描、识别和利用过程，进一步放大了威胁。

4、新窃密软件通过YouTube进行传播

https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/

安全研究人员发现，一个被称为“YouTube幽灵网络”的恶意软件分发网络正在利用大量被入侵的账户，通过发布游戏外挂和破解软件等诱饵视频，传播一种新型高度混淆的Node.js加载器——GachiLoader。该恶意软件具备多重反分析和反虚拟机检测功能，并尝试禁用Windows Defender。其最终目的是在受害者机器上部署第二阶段的窃密软件，如Rhadamanthys。值得注意的是，部分变种会释放一个名为Kidkadi的二级加载器，该加载器采用了一种此前未公开的、利用“Vectored Exception Handling”机制的PE文件注入新技术，显示出攻击者对Windows内部机制的深入了解。

5、Clop勒索软件利用漏洞攻击CentreStack文件服务器

https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/

安全研究人员发现，勒索软件团伙Clop正发起新一轮数据窃取勒索活动，其目标是暴露在互联网上的Gladinet CentreStack文件共享服务器。攻击者正在扫描并利用该系统中一个安全漏洞进行入侵。初步扫描数据显示，全球至少有200多个IP地址运行着可能受影响的CentreStack服务，使其面临高风险。Clop团伙长期以Accellion、MOVEit等文件传输产品为攻击目标，惯用手法是在入侵并窃取数据后，对受害机构进行双重勒索。目前尚无关于具体利用漏洞的详细信息，相关用户需高度警惕并确保系统已更新至最新安全版本。

6、WatchGuard防火墙V*PN高危漏洞遭在野利用

https://thehackernews.com/2025/12/watchguard-warns-of-active-exploitation.html

安全研究人员发现，其Fireware OS中存在一个已被在野利用的严重漏洞。该漏洞允许远程攻击者在未授权的情况下，通过VPN服务执行任意代码，完全控制受影响的防火墙设备。此次攻击中使用的IP地址与近期针对Fortinet设备的攻击活动存在重叠，引发关联猜测。受影响的版本涵盖Fireware OS 2025.1至12.x等多个系列。WatchGuard已发布修复版本并提供了包括异常日志、进程崩溃在内的入侵检测指标，建议所有用户立即更新系统。对于无法立即更新的设备，可临时禁用动态对等体配置以缓解风险。

7、攻击者利用SVG与Office文档部署窃密木马

https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/

安全研究人员发现一场针对意大利、芬兰和沙特阿拉伯等国制造业与政府机构的复杂电子邮件攻击活动。攻击者同时采用武器化的Microsoft Office文档、恶意SVG文件及携带LNK快捷方式的ZIP压缩包作为初始感染媒介。其中，Office文档利用了一个已知的Equation Editor高危漏洞。攻击链包含至少四个阶段，运用了高度混淆的JavaScript、从合法网站获取的藏有恶意代码的图片，以及对开源库进行木马化改造等规避检测的技术。该活动的最终目的是部署包括PureLog Stealer、DC RAT在内的多种远程访问木马和信息窃取程序，以盗取浏览器凭证、加密货币钱包等敏感数据。

8、HPE OneView曝CVSS 10.0高危漏洞

https://thehackernews.com/2025/12/hpe-oneview-flaw-rated-cvss-100-allows.html

Hewlett Packard Enterprise (HPE) 本周修复了其IT基础设施集中管理软件OneView中的一个严重安全漏洞。该漏洞被标记为CVE-2025-37164，CVSS评分为最高的10.0分，允许未经身份验证的远程攻击者执行任意代码，从而完全控制受影响系统。此漏洞影响11.00之前的所有版本。HPE已发布11.00版本以彻底修复问题，并为5.20至10.20版本提供了热修复补丁。虽然目前尚无该漏洞在野被利用的报告，但鉴于其极高的严重性，建议所有相关用户立即应用更新或补丁。今年6月，HPE也曾为其StoreOnce备份解决方案修复过多个可导致远程代码执行的漏洞。

9、攻击者利用采购订单PDF进行钓鱼攻击窃取企业凭证

https://www.malwarebytes.com/blog/threat-intel/2025/12/inside-a-purchase-order-pdf-phishing-campaign

安全研究人员发现了一起以“采购订单”为诱饵的PDF钓鱼活动。攻击者发送附带PDF的邮件，文件内含按钮诱骗收件人点击，将其导向一个仿冒的PDF查看器网站。该钓鱼页面已预填受害者邮箱，进一步诱导输入密码，旨在窃取企业邮箱凭证。攻击基础设施托管于IONOS Cloud等知名云服务以增强隐蔽性，并采用多重混淆的JavaScript脚本将窃取的凭证连同受害者浏览器、操作系统、位置等详细信息，直接发送至攻击者控制的Telegram机器人。此类凭证常被用于后续入侵企业邮箱、VPN等关键系统。

10、Cloud Atlas利用Office漏洞渗透东欧中亚组织

https://cybersecuritynews.com/cloud-atlas-hacker-group/

安全研究人员发现，APT组织“Cloud Atlas”持续活跃，针对东欧及中亚地区组织发起复杂攻击。该组织利用过时的Microsoft Office Equation Editor漏洞，通过鱼叉式钓鱼邮件投递恶意文档，触发多阶段感染链。攻击者使用包含CVE-2018-0802漏洞的RTF文件，最终在受害者系统上部署VBShower、PowerShower、VBCloud及CloudAtlas等一系列后门程序。这些恶意工具功能包含文件窃取、凭据收集、系统探测以及持久化驻留等。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。