FileFix 变种通过多语言钓鱼网站传播 StealC 恶意软件(作者:zsc0810)
安全研究称,攻击者利用FileFix变体通过伪装成Facebook安全页面的多语言钓鱼站,诱导用户在资源管理器地址栏粘贴含恶意空格的命令,触发多阶段PowerShell与图像载荷,最终加载StealC信息窃取器。此法滥用浏览器上传与剪贴板,配合反分析与混淆,难以检测,可用于分发远控与窃密工具。
安全研究称,攻击者利用FileFix变体通过伪装成Facebook安全页面的多语言钓鱼站,诱导用户在资源管理器地址栏粘贴含恶意空格的命令,触发多阶段PowerShell与图像载荷,最终加载StealC信息窃取器。此法滥用浏览器上传与剪贴板,配合反分析与混淆,难以检测,可用于分发远控与窃密工具。
Google Chrome 零日漏洞正遭野外活跃利用(作者:酒瓶椰子)
谷歌发布紧急安全更新,以修补CVE-2025-10585。是存在于V8引擎和 WebAssembly 引擎的类型混淆漏洞。攻击者通过使用户访问特制的恶意网页,突破浏览器沙箱。在本次更新还修补了三个高危漏洞均在野活跃。及2025年披露的Chrome零日漏洞总览
谷歌发布紧急安全更新,以修补CVE-2025-10585。是存在于V8引擎和 WebAssembly 引擎的类型混淆漏洞。攻击者通过使用户访问特制的恶意网页,突破浏览器沙箱。在本次更新还修补了三个高危漏洞均在野活跃。及2025年披露的Chrome零日漏洞总览
❤1
云备份泄露事件影响不到 5% 的客户,SonicWall 敦促用户重置密码(作者:zsc0810)
SonicWall通报MySonicWall云备份安全事件:未知威胁者访问了不到5%客户的防火墙配置备份。虽备份中凭据已加密,但含可被利用的敏感信息。公司建议验证云备份状态、限制从WAN的管理访问、重置防火墙保存的密码与TOTP、检查日志并导入SonicWall提供的已修改首选项(含随机本地用户密码与IPSec密钥)。同时警告,Akira勒索组织仍在利用CVE-2024-40766攻击未修补设备。
SonicWall通报MySonicWall云备份安全事件:未知威胁者访问了不到5%客户的防火墙配置备份。虽备份中凭据已加密,但含可被利用的敏感信息。公司建议验证云备份状态、限制从WAN的管理访问、重置防火墙保存的密码与TOTP、检查日志并导入SonicWall提供的已修改首选项(含随机本地用户密码与IPSec密钥)。同时警告,Akira勒索组织仍在利用CVE-2024-40766攻击未修补设备。
ShadowLeak- 利用 ChatGPT 深度研究代理进行敏感数据窃取的零点击服务端攻击(作者:酒瓶椰子)
ChatGPT的深度研究智能体(Deep Research Agent)连接到Gmail时存在零点击漏洞,促使其向攻击者的服务器发送用户个人数据。于之前的客户端泄露不同,此次攻击直接从 OpenAI 的云端基础设施窃取数据,使得本地或企业级防御系统无法察觉。精心设计的社会工程学手段绕过了该智能体经过安全训练的防护限制,使得攻击成功率高达 100%。
ChatGPT的深度研究智能体(Deep Research Agent)连接到Gmail时存在零点击漏洞,促使其向攻击者的服务器发送用户个人数据。于之前的客户端泄露不同,此次攻击直接从 OpenAI 的云端基础设施窃取数据,使得本地或企业级防御系统无法察觉。精心设计的社会工程学手段绕过了该智能体经过安全训练的防护限制,使得攻击成功率高达 100%。
Fortra 发布针对 CVSS 10.0 GoAnywhere MFT 漏洞的关键补丁(作者:zsc0810)
Fortra 披露 GoAnywhere MFT 存在严重反序列化漏洞(CVE-2025-10035,CVSS 10.0),攻击者可借此执行任意命令。漏洞位于管理控制台的许可证 Servlet,若系统对外暴露,风险极高。Fortra 建议立即升级至 7.8.4 或 7.6.3 Sustain 版本,并限制控制台公网访问。该产品此前漏洞已遭勒索软件团伙滥用,专家警告数千实例正暴露在互联网上,极可能遭快速利用。
Fortra 披露 GoAnywhere MFT 存在严重反序列化漏洞(CVE-2025-10035,CVSS 10.0),攻击者可借此执行任意命令。漏洞位于管理控制台的许可证 Servlet,若系统对外暴露,风险极高。Fortra 建议立即升级至 7.8.4 或 7.6.3 Sustain 版本,并限制控制台公网访问。该产品此前漏洞已遭勒索软件团伙滥用,专家警告数千实例正暴露在互联网上,极可能遭快速利用。
❤1
LastPass 警告:虚假存储库可能通过 Atomic Infostealer 感染 macOS(作者:zsc0810)
LastPass 警告称,黑客正通过伪造的 GitHub 存储库针对 macOS 用户分发 Atomic 窃密恶意软件。攻击者冒充 LastPass、1Password、Dropbox、Notion、Shopify 等热门工具,并利用 SEO 中毒将恶意链接推至 Bing 和 Google 搜索结果前列,诱导用户下载伪装程序。受害者被重定向至 GitHub 页面,再进一步跳转至恶意域执行终端命令完成植入。研究显示,该活动与此前通过虚假 Homebrew 广告和多阶段木马的攻击手法类似,显示 GitHub 已成为恶意软件分发的重要渠道。
LastPass 警告称,黑客正通过伪造的 GitHub 存储库针对 macOS 用户分发 Atomic 窃密恶意软件。攻击者冒充 LastPass、1Password、Dropbox、Notion、Shopify 等热门工具,并利用 SEO 中毒将恶意链接推至 Bing 和 Google 搜索结果前列,诱导用户下载伪装程序。受害者被重定向至 GitHub 页面,再进一步跳转至恶意域执行终端命令完成植入。研究显示,该活动与此前通过虚假 Homebrew 广告和多阶段木马的攻击手法类似,显示 GitHub 已成为恶意软件分发的重要渠道。
❤1
如何利用 AI 代理和 Confluence SOP 实现警报分类自动化(作者:zsc0810)
Tines 团队推出一项预建工作流,利用 AI 自动分类安全警报并执行 Confluence 中的标准操作程序 (SOP),大幅简化安全响应流程。该工作流由 Tines 安全研究员 Michael Tolan 与高级解决方案工程师 Peter Wrenn 设计,集成 CrowdStrike、AbuseIPDB、Okta、Slack 等工具。警报触发后,AI 会分析并定位相关 SOP,协调补救措施,生成案例记录,并通过 Slack 通知团队。此方案可降低平均修复时间(MTTR)、减少人为错误、统一流程执行,并提升安全团队的效率与可见性。
Tines 团队推出一项预建工作流,利用 AI 自动分类安全警报并执行 Confluence 中的标准操作程序 (SOP),大幅简化安全响应流程。该工作流由 Tines 安全研究员 Michael Tolan 与高级解决方案工程师 Peter Wrenn 设计,集成 CrowdStrike、AbuseIPDB、Okta、Slack 等工具。警报触发后,AI 会分析并定位相关 SOP,协调补救措施,生成案例记录,并通过 Slack 通知团队。此方案可降低平均修复时间(MTTR)、减少人为错误、统一流程执行,并提升安全团队的效率与可见性。
柯林斯宇航公司遭遇网络攻击,欧洲主要机场运营收到干扰(作者:酒瓶椰子)
柯林斯宇航遭遇网络攻击破坏了值机与登机系统,导致欧洲多个主要机场运营瘫痪,其中伦敦希思罗、布鲁塞尔和柏林机场受影响最为严重。迫使机场转为人工操作模式。2024 年至 2025 年间,针对航空业的网络攻击激增 600%
柯林斯宇航遭遇网络攻击破坏了值机与登机系统,导致欧洲多个主要机场运营瘫痪,其中伦敦希思罗、布鲁塞尔和柏林机场受影响最为严重。迫使机场转为人工操作模式。2024 年至 2025 年间,针对航空业的网络攻击激增 600%
微软修复关键 Entra ID 漏洞,允许跨租户进行全局管理员模拟(作者:zsc0810)
微软修复高危漏洞 CVE-2025-55241:旧 Azure AD Graph 与 ACS 令牌缺陷可让攻击者跨租户冒充任意用户(含全局管理员),并可绕过 MFA、条件访问且缺乏日志痕迹。研究员 Dirk-jan Mollema 于7月14日报告,微软于7月17日修复,称无需客户采取操作,建议尽快迁移至 Microsoft Graph。
微软修复高危漏洞 CVE-2025-55241:旧 Azure AD Graph 与 ACS 令牌缺陷可让攻击者跨租户冒充任意用户(含全局管理员),并可绕过 MFA、条件访问且缺乏日志痕迹。研究员 Dirk-jan Mollema 于7月14日报告,微软于7月17日修复,称无需客户采取操作,建议尽快迁移至 Microsoft Graph。
Libraesva ESG 漏洞允许攻击者注入恶意命令(作者:酒瓶椰子)
Libraesva ESG紧急修复了一个中危漏洞,在处理邮件中使用特殊格式压缩的文件,移除活动代码时,利用安全网关没有正确的净化参数,实现非特权用户的命令执行。CVSS 评分: 6.1
Libraesva ESG紧急修复了一个中危漏洞,在处理邮件中使用特殊格式压缩的文件,移除活动代码时,利用安全网关没有正确的净化参数,实现非特权用户的命令执行。CVSS 评分: 6.1
CVE-2025-9961:TP-Link路由器漏洞可被利用实现远程代码执行,PoC已发布(作者:tl-dr)
ByteRay安全研究团队发布了关于CVE-2025-9961漏洞的详细利用报告,该漏洞存在于TP-Link路由器的CWMP(客户终端设备广域网管理协议)服务中,可被武器化以在受影响设备上实现远程代码执行(RCE)。研究不仅揭示了漏洞利用的技术复杂性,还展示了绕过ASLR(地址空间布局随机化)和有效载荷传输限制等防护措施所需的技术深度。
ByteRay安全研究团队发布了关于CVE-2025-9961漏洞的详细利用报告,该漏洞存在于TP-Link路由器的CWMP(客户终端设备广域网管理协议)服务中,可被武器化以在受影响设备上实现远程代码执行(RCE)。研究不仅揭示了漏洞利用的技术复杂性,还展示了绕过ASLR(地址空间布局随机化)和有效载荷传输限制等防护措施所需的技术深度。
SolarWinds 发布针对严重远程代码执行漏洞 CVE-2025-26399 的修补程序(作者:zsc0810)
SolarWinds 发布补丁修复 Web Help Desk 严重漏洞 CVE-2025-26399(CVSS 9.8),该漏洞源于 AjaxProxy 模块对用户数据验证不足,可能导致未经身份验证的反序列化远程代码执行,并以 SYSTEM 权限运行命令。受影响版本为 12.8.7 及之前版本,用户需升级至 12.8.7 HF1。值得注意的是,此漏洞为此前 CVE-2024-28986 与 CVE-2024-28988 的补丁绕过,显示修复难度高。尽管暂无利用迹象,但历史案例表明存在高风险。
SolarWinds 发布补丁修复 Web Help Desk 严重漏洞 CVE-2025-26399(CVSS 9.8),该漏洞源于 AjaxProxy 模块对用户数据验证不足,可能导致未经身份验证的反序列化远程代码执行,并以 SYSTEM 权限运行命令。受影响版本为 12.8.7 及之前版本,用户需升级至 12.8.7 HF1。值得注意的是,此漏洞为此前 CVE-2024-28986 与 CVE-2024-28988 的补丁绕过,显示修复难度高。尽管暂无利用迹象,但历史案例表明存在高风险。
❤1
Chrome 类型混淆 0-Day 漏洞代码分析已发布(作者:酒瓶椰子)
在之前曝出CVE-2025-10585,本次披露部分PoC细节。通过构建Proxy类,修改其中的getter函数创建一个包含Symbol.toPrimitive来意外返回数组而不是原始数字,在反复调用ToNumber()触发编译器的代码优化实现堆溢出。V8 引擎的 Maglev 和 TurboFan 编译器受该影响。
在之前曝出CVE-2025-10585,本次披露部分PoC细节。通过构建Proxy类,修改其中的getter函数创建一个包含Symbol.toPrimitive来意外返回数组而不是原始数字,在反复调用ToNumber()触发编译器的代码优化实现堆溢出。V8 引擎的 Maglev 和 TurboFan 编译器受该影响。
通过内存PE加载器下载恶意文件绕过EDR检测(作者:酒瓶椰子)
一种允许攻击者直接在内存中执行恶意代码的高阶技术正在流行,这对现代终端检测与响应(EDR)解决方案构成了重大挑战。这种方法通过利用内存中的可移植的可执行文件(PE)加载器,使威胁行为者能够在已受信任的进程中运行可执行程序,从而有效绕过主要监控磁盘文件写入的安全检测机制。
一种允许攻击者直接在内存中执行恶意代码的高阶技术正在流行,这对现代终端检测与响应(EDR)解决方案构成了重大挑战。这种方法通过利用内存中的可移植的可执行文件(PE)加载器,使威胁行为者能够在已受信任的进程中运行可执行程序,从而有效绕过主要监控磁盘文件写入的安全检测机制。
黑客利用 Pandoc CVE-2025-51591 攻击 AWS IMDS 并窃取 EC2 IAM 凭证(作者:zsc0810)
Wiz称Pandoc存在SSRF漏洞(CVE-2025-51591),攻击者用iframe指向169.254.169.254尝试窃取EC2 IAM凭证。因IMDSv2需令牌验证,未成功泄露。建议禁用iframe(-f html+raw_html/--sandbox),强制启用IMDSv2并最小权限。
Wiz称Pandoc存在SSRF漏洞(CVE-2025-51591),攻击者用iframe指向169.254.169.254尝试窃取EC2 IAM凭证。因IMDSv2需令牌验证,未成功泄露。建议禁用iframe(-f html+raw_html/--sandbox),强制启用IMDSv2并最小权限。