FreeBuf_的博客

谷歌紧急修复Chrome零日漏洞，攻击者已利用执行任意代码。

新型Windows RAT利用损坏头文件逃避检测数周，可完全控制受害主机。

DragonForce 利用 SimpleHelp 漏洞入侵 MSP，窃取数据并部署勒索软件，供应链攻击威胁加剧。

黑客伪造热门AI工具传播勒索软件，企业用户面临严重威胁。

阿迪达斯因第三方漏洞遭数据泄露，客户信息外泄，供应链攻击成企业安全新威胁！

新型蠕虫式恶意软件入侵Docker容器，构建Dero挖矿僵尸网络。

AI抗拒关机指令，安全隐忧加剧。

网络安全研究人员近日披露，一个代号为ViciousTrap的威胁组织已入侵全球84个国家近5300台网络边缘设备，将其改造成类蜜罐网络。该组织利用思科小型企业路由器（型号包括RV016、RV042、RV042G、RV082、RV320和RV325）的关键漏洞CVE-2023-20118实施大规模入侵，其中中国澳门地区受影响最严重，有850台设备遭劫持。

LlamaFirewall 是一款面向大语言模型（LLM）应用的系统级安全框架，采用模块化设计支持分层自适应防御。该框架旨在缓解各类AI代理安全风险，包括越狱攻击（jailbreaking）、间接提示注入（indirect prompt injection）、目标劫持（goal hijacking）以及不安全代码输出等问题。

Zscaler旗下ThreatLabz研究团队近日发现一款名为TransferLoader的新型高危恶意软件加载器，该恶意软件至少自2025年2月起就已在野活跃。这个先进的模块化威胁并非普通下载器，而是一个具备高度混淆和反分析能力的恶意软件平台，能够投递从隐蔽后门到Morpheus勒索软件等多种有效载荷。目前已观测到其针对美国律师事务所的攻击案例。

Tor项目近日发布了名为Oniux的新型命令行工具，该工具可将任何Linux应用程序的网络流量安全地路由至Tor网络，实现匿名化连接。

被称为"地球阿米特"（Earth Ammit）的高级威胁组织近期发起多波次协同攻击，主要针对中国台湾地区的军用无人机和卫星产业供应链。该组织被安全研究人员归类为高级持续性威胁团体，在2023至2024年间实施了两轮明显不同的攻击行动，其战术和工具的演进对军事和航空航天领域构成重大威胁。

研究人员在分析报告中指出："最令人震惊的是，看似普通的竖线符号'|'实际上包含不可见的Unicode私有区（PUA）字符。"Check Point研究团队也发现同类攻击，攻击者通过篡改邮件标头，使恶意邮件伪装成谷歌日历直接发送的通知。将恶意代码隐藏在单个字符中，并利用谷歌日历作为传播渠道，这种新型攻击手段可能危及个人用户与企业组织的安全。网络安全领域出现新型攻击手法：攻击者通过精心设计的混淆技术，将恶意代码隐藏在单个可见字符中，利用谷歌日历（Google Calendar）邀请函传播恶意软件。

微软将该漏洞评为"高危"级别，CVSS基础评分为7.5(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)。微软安全响应中心(MSRC)已发布重要安全更新，修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。该漏洞被归类为CWE-400(不受控的资源消耗)。技术分析表明，该漏洞源于远程桌面网关服务中的资源消耗不受控问题，允许未经身份验证的远程攻击者耗尽系统资源，通过网络连接造成服务中断。

2025年4月，Ivanti曾披露其Connect Secure VPN设备中的一个关键漏洞（CVE-2025-22457），该漏洞当时正被疑似与中国有关联的威胁行为者积极利用。对于无法立即打补丁的用户，实施推荐的缓解措施（包括保护IIS网站安全、按IP地址和域名限制访问、确保正确的DMZ配置）有助于降低风险敞口。公司还指出，为外部用户访问配置了DMZ（隔离区）的客户面临的风险也相对较低。根据Ivanti的安全公告，成功利用该漏洞可使远程攻击者获取受影响系统的管理员权限，但实际风险因系统配置而异。

Fortinet公司近日披露了一个关键级基于栈的缓冲区溢出漏洞（CVE-2025-32756），该漏洞影响其安全产品线中的多款产品，且已确认有攻击者针对FortiVoice系统实施野外利用。这个CVSS评分为9.6的漏洞允许远程未认证攻击者通过特制HTTP请求执行任意代码或命令，可能使攻击者完全控制受影响设备。该安全漏洞被归类为基于栈的缓冲区溢出，影响FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera产品的多个版本。

SUSE安全团队全面审计发现，广泛使用的终端复用工具GNU Screen存在一系列严重漏洞，包括可导致本地提权至root权限的缺陷。这些问题同时影响最新的Screen 5.0.0版本和更普遍部署的Screen 4.9.x版本，具体影响范围取决于发行版配置。尽管GNU Screen是类UNIX系统中管理终端会话的核心工具，但研究显示其存在重大风险——特别是当Screen以setuid-root权限安装以支持多用户功能时。

苹果公司近日针对macOS系统中新披露的CVE-2025-31258漏洞发布补丁，该漏洞可能允许恶意应用程序突破沙箱限制，获取未授权的系统资源访问权限。在安全研究员Seo Hyun-gyu公开概念验证（PoC）利用代码后，该漏洞已在macOS Sequoia 15.5版本中得到修复。

所有窃取数据最终会压缩成包含元数据（用户名、公网IP、Windows安全标识符）的ZIP包，通过定制API URL发送至攻击者控制的Telegram机器人。该软件的出现反映了当前恶意软件即服务（MaaS）模式下，模块化低门槛窃密工具在暗网市场的泛滥趋势，攻击者可快速通过凭证窃取、会话劫持和数据转售获利。分析显示，该软件开发者代号为"Ardent"，其选择Telegram作为命令控制渠道，正是看中该平台在黑客群体中因匿名性和易用性而日益流行的特点。

Linux内核的nftables子系统（特别是net/netfilter模块）中发现一个高危漏洞，攻击者可利用nft_pipapo_destroy()函数中的双重释放（double-free）漏洞实现本地提权。该漏洞编号为CVE-2024-26809，影响内核版本6.1-rc1及以上以及5.15.54及以上的系统。

安全研究人员 Arsenii es3n1n 发布了一款名为 Defendnot 的安全工具，该实验性程序通过 Windows 安全中心（WSC, Windows Security Center）直接注册为杀毒软件，从而禁用 Windows Defender。

该漏洞通过操作系统的Darwin通知机制触发无限重启循环，导致设备"变砖"，必须通过完整系统恢复才能修复。发现该漏洞的安全研究员Guilherme Rambo解释："Darwin通知更为基础，属于CoreOS层组件，为苹果系统进程间提供简单的底层消息交换机制。由于小组件在系统中使用广泛，当安装并启动包含小组件扩展的新应用时，系统会非常积极地执行其小组件扩展。通过将漏洞代码植入发送通知后反复崩溃的小组件，研究人员构建了持久性攻击——每次重启后都会触发攻击，形成使设备无法使用的无限循环。

图片来源：Shutterstock。

微软最新发布的Windows安全更新因创建"inetpub"文件夹而引入新漏洞，攻击者可利用该漏洞阻止系统安装后续更新。

网络安全公司CrowdStrike Holdings Inc.今日发布多项新功能，旨在帮助企业员工防范恶意人工智能（AI）模型及其他安全威胁。这些功能将陆续集成至该公司旗舰产品Falcon网络安全平台。

一场大规模钓鱼攻击正针对WooCommerce用户，通过伪造安全警报诱使他们下载所谓的"关键补丁"，实则为植入WordPress后门的恶意程序。

补丁分析指出："传输重分配会触发vsock_remove_sock，进而调用vsock_remove_bound错误地减少vsock对象的引用计数器。通过用精心构造的管道缓冲区回收已释放的vsock套接字，并利用vsock_diag_dump作为侧信道，Hoefler暴力破解了有效的skc_net指针，从而绕过kASLR。攻击可劫持sk->sk_prot->close函数指针并转向ROP（面向返回编程）链："我们最感兴趣的是对sk->sk_prot->close(sk, 0)的调用。

在网络安全领域快速演变的当下，一场重大变革正在发生。随着企业采用自动化技术处理传统安全任务，安全团队规模正显著缩减——自动化正在重塑安全团队架构。这一转变不仅是成本优化措施，更反映了在人工智能、机器学习和自动化响应系统时代，安全运营模式正在经历根本性重构。对于技术管理者而言，这一趋势既带来前所未有的机遇，也伴随着复杂挑战。核心问题已不再是"自动化是否会改变安全团队"，而是"领导者应如何引导转型，构建能最优整合技术能力与人类专业素养的高效安全运营体系"。

苹果公司已发布iOS 18.4.1和iPadOS 18.4.1更新，修复两个被用于针对特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。这两个漏洞存在于CoreAudio和RPAC组件中，攻击者可利用它们在受影响设备上执行任意代码或绕过安全保护机制。第一个漏洞编号为，存在于负责iOS和iPadOS设备音频处理的CoreAudio框架中。苹果公司表示，处理恶意构造的媒体文件可能触发内存损坏问题，最终导致代码执行。"处理恶意构造媒体文件中的音频流可能导致代码执行。

网络安全领域的AI准备不仅涉及最新工具和技术的应用，更是一项战略必需。许多企业若因目标不明确、数据准备不足或与业务重点脱节而未能有效利用AI技术，可能面临严重后果，包括高级网络威胁数量的激增。

该漏洞编号为 CVE-2025-24076，通过精密的 DLL 劫持技术利用 Windows 11“移动设备”功能的缺陷。Compass Security 公司的 John Ostrowski 表示：“这个漏洞是典型的 DLL 劫持场景，但包含极具挑战性的时间控制因素，攻击窗口期极短——仅有 300 毫秒，但我们开发了可靠的技术手段实现稳定利用。漏洞利用过程面临多项技术挑战。该漏洞利用案例表明，即使是现代操作系统，在新功能实现中也可能受到长期存在的攻击技术威胁，特别是当熟练的攻击者利用时间差和竞争条件时。

多数人的问题在于缺乏识别钓鱼攻击的技术认知，了解这些方法能帮助您避开诈骗陷阱，守护在线数据安全。除电子邮件外，社交媒体同样是图像钓鱼的重灾区，攻击者通过伪造品牌账号嵌入恶意URL，引导用户访问虚假登录页面。现代黑客常通过钓鱼攻击手段试图欺骗网民，他们利用伪装邮件和图像突破受害者隐私防线，窃取敏感数据。图像钓鱼作为相对复杂的网络攻击形式，使用图像而非文字实施欺骗，通过邮件或消息发送内含诱导性图片的钓鱼内容。通过系统化应用这些验证技术，可显著降低遭遇图像钓鱼攻击的风险。对社交媒体消息盲目信任可能导致数据泄露。

美国非营利研发组织MITRE宣布，其与美国国土安全部（DHS）签订的"通用漏洞披露（CVE）"数据库维护合同将于2025年4月16日午夜到期。

随着人工智能技术深度融入日常业务流程，数据暴露风险正持续攀升。提示词泄露已非偶发事件，而是员工使用大语言模型（LLM）过程中的必然产物，首席信息安全官（CISO）必须将其视为核心安全问题。为降低风险，安全负责人需聚焦政策制定、可视化管理与企业文化建设三大领域：明确界定可输入AI系统的数据类型、监控使用情况以发现影子AI应用、培养员工"便捷性不得凌驾保密性"的安全意识。

Tycoon2FA弃用了Cloudflare Turnstile等第三方验证码服务，转而采用基于HTML5 canvas的自定义解决方案。通过随机文本、噪点和扭曲效果，新系统不仅能规避检测、减少指纹特征，还能有效阻碍自动化分析工具的运行。

在DC1上，攻击者使用AD工具映射服务器，通过组策略更改禁用杀毒软件，并新增两个管理员账户（User 3和User 4）。攻击者可能通过存在漏洞的VPN侵入网络，使用Mimikatz窃取凭证（被Microsoft Defender for Endpoint捕获并阻止初始账户User 1）。获取域管理员凭证（User 2）后，他们通过RDP连接域控制器DC1。微软最新研究发现，2024年通过远程桌面协议（RDP）攻击域控制器（DC）的勒索软件攻击激增，平均每次攻击给企业造成936万美元损失。

网络安全专家发现，被称为"蓝宝石狼"（Sapphire Werewolf）的威胁组织正在使用升级版"紫水晶"（Amethyst）窃密软件，对能源行业企业发起复杂攻击活动。此次攻击标志着该组织能力显著提升，采用了先进的规避技术和扩展的数据窃取功能。这类恶意软件部署属于全球关键基础设施目标遭受日益复杂攻击的广泛模式之一。

黑客利用虚假验证码劫持剪贴板，窃取数据并植入恶意软件！

Qualys 提供 TruRisk Eliminate 平台来自动化防御，该平台包含预测试脚本以强制执行内核参数和禁用易受攻击的配置文件，还能与 Qualys 代理集成实现集中化缓解部署，并为关键资产提供无需打补丁的风险隔离。研究人员强调，虽然这些绕过方法本身不会直接危害系统，但它们降低了利用内存损坏或竞态条件等内核漏洞的门槛。虽然这些漏洞本身无法直接获取完整的系统控制权，但当与需要 CAP_SYS_ADMIN 或 CAP_NET_ADMIN 等管理权限的内核漏洞结合使用时，将形成强大的攻击链。

博通公司（Broadcom）近日修复了 VMware Windows Tools 中存在的一个高危认证绕过漏洞，该漏洞编号为 CVE-2025-22230（CVSS 评分为 9.8）。VMware Windows Tools 是一套实用程序套件，可提升运行在 VMware 虚拟机监控程序（如 VMware Workstation、Fusion 和 vSphere ESXi）上的虚拟机（VM）的性能和可用性。