FreeBuf_的博客

黑客利用虚假验证码劫持剪贴板，窃取数据并植入恶意软件！

Qualys 提供 TruRisk Eliminate 平台来自动化防御，该平台包含预测试脚本以强制执行内核参数和禁用易受攻击的配置文件，还能与 Qualys 代理集成实现集中化缓解部署，并为关键资产提供无需打补丁的风险隔离。研究人员强调，虽然这些绕过方法本身不会直接危害系统，但它们降低了利用内存损坏或竞态条件等内核漏洞的门槛。虽然这些漏洞本身无法直接获取完整的系统控制权，但当与需要 CAP_SYS_ADMIN 或 CAP_NET_ADMIN 等管理权限的内核漏洞结合使用时，将形成强大的攻击链。

博通公司（Broadcom）近日修复了 VMware Windows Tools 中存在的一个高危认证绕过漏洞，该漏洞编号为 CVE-2025-22230（CVSS 评分为 9.8）。VMware Windows Tools 是一套实用程序套件，可提升运行在 VMware 虚拟机监控程序（如 VMware Workstation、Fusion 和 vSphere ESXi）上的虚拟机（VM）的性能和可用性。

2025年3月，网络威胁事件激增，个人用户和企业组织均面临严峻风险。从被武器化用于窃取个人数据的银行应用，到遭滥用于将用户重定向至钓鱼陷阱的可信域名，网络犯罪分子手段层出不穷。其攻击策略正变得更具创造性和危险性。以下是本月引发广泛关注的三大典型攻击事件。

卡巴斯基网络安全研究人员发现高级威胁攻击者正在利用Chrome浏览器零日漏洞后，谷歌已紧急发布安全更新。该漏洞编号为CVE-2025-2783，攻击者通过Chrome安全框架与Windows操作系统交互过程中的逻辑错误，成功绕过了浏览器的沙箱保护机制，致使防护措施完全失效。

近日，安全研究人员披露了一个新型 Windows 零日漏洞，影响从Windows 7和Server 2008 R2到最新Windows 11 v24H2及Server 2025的所有Windows操作系统版本。新发现的漏洞与此前已修复的URL文件漏洞（CVE-2025-21377）具有相似的攻击场景，但其底层技术原理存在差异且此前未被公开披露。虽然未被归类为"高危"，但该NTLM凭证窃取漏洞仍具严重威胁，特别是在攻击者已获得网络访问权限或可针对Exchange等对外服务器的环境中。

此次供应链攻击涉及GitHub Action "tj-actions/changed-files"，最初是针对Coinbase的一个开源项目的高度定向攻击，随后演变为范围更广的威胁。

随着人工智能技术的快速迭代，这种全面测试的需求愈发迫切，不仅能防范潜在危害，更能确保技术按预期发挥作用。在20世纪90年代末和21世纪初，企业开始使用红队测试来评估AI系统中的风险。随着技术的进步，红队测试的需求变得更加迫切，尤其是在机器学习兴起之后。其核心在于模拟真实攻击场景，全面评估 AI 在极端条件下的反应能力，从而识别安全隐患，优化系统性能。AI中的透明度意味着决策背后的过程是清晰的。在AI中，这意味着使用不同的技术来挑战模型的性能和安全性。随着时间的推移，这种方法扩展到其他领域，包括网络安全。

Kali Linux 发布了2025年的首个版本 2025.1a，本次更新新增了一个工具，并对桌面和主题进行了调整。Kali Linux 是一款专为网络安全专业人士和道德黑客设计的操作系统，主要用于红队演练、渗透测试、安全审计以及网络防御研究。

Windows文件管理器中发现了一个名为CVE-2025-24071的关键漏洞，攻击者只需解压压缩文件即可窃取用户的NTLM哈希密码，无需用户进行任何交互。

网络安全公司Veriti报告称，威胁行为者正在利用ChatGPT中的一个服务器端请求伪造（SSRF）漏洞（CVE-2024-27564，CVSS评分为6.5），针对美国的金融和政府机构进行攻击。

谷歌以320亿美元收购Wiz，加速AI时代云安全与多云战略，提升网络安全能力，抵御新兴威胁，推动多云普及，保护全球客户数据安全。

CVE-2024-27564 漏洞被积极利用，金融行业成主要目标，35%组织安全配置不足，全球攻击频发，修复迫在眉睫。

Apache Tomcat 曝CVE-2025-24813 漏洞，远程代码执行风险高，已遭攻击者利用，建议尽快更新。

GPU 驱动的 Akira 勒索软件解密工具发布，利用 GPU 暴力破解加密密钥，成功解锁文件，但过程复杂且耗时，用户需备份原始文件以防损坏。

一位网络安全研究人员成功破解了Akira勒索软件在Linux/ESXi系统中的加密机制，使得受害者无需支付赎金即可恢复数据。这一突破利用了勒索软件加密方法中的关键漏洞。据研究人员介绍，该恶意软件使用纳秒级的时间戳作为加密过程中的种子，这使其在理论上容易受到暴力破解攻击。

在初始感染之后，该恶意软件会从其命令与控制服务器（C2）下载额外的模块，其中包括能够窃取系统信息、浏览器扩展数据、数字钱包信息以及来自 “备忘录” 应用程序的笔记内容的组件。微软威胁情报团队发现了一种新型的XCSSET变种，这是一种复杂的模块化macOS恶意软件，能够感染Xcode项目，并在开发者构建这些项目时执行。这是自2022年以来的首个已知XCSSET变种，采用了增强的混淆方法、更新的持久化机制以及新的感染策略，旨在窃取macOS用户的敏感信息。该恶意软件通过几种复杂的方法来实现驻留。

SolarWinds 的 Web Help Desk 软件中存在一个严重漏洞（CVE-2024-28989），攻击者可以通过其 AES-GCM 实现中的加密弱点解密敏感凭据，包括数据库密码和 LDAP/SMTP 认证密钥。该漏洞在 12.8.5 版本中得到了修复，其根源在于可预测的加密密钥和 nonce 重用，使得即使没有直接系统访问权限，也能解密存储的秘密信息。确保每次加密所使用的随机数（随机数一次性值）都是唯一的（例如，使用基于计数器的随机数或具有 96 位熵的随机随机数）。

以经济利益为驱动的黑客组织正通过精心策划的钓鱼攻击部署窃密程序和勒索软件，同时还开发了一款名为的新产品。

此次攻击的另一个特点是使用了各种PowerShell脚本，以下载NetSupport RAT、识别已安装的应用程序和安全软件，特别是扫描加密货币钱包的存在，表明可能存在财务数据窃取行为。

图片来源：DC Studio / Shutterstock通过分析泄露的内部通信日志，安全研究人员正在拼凑出一个最臭名昭著的勒索软件组织如何渗透其受害者的细节。在过去的几年中，Black Basta是最成功的勒索软件组织之一，最近其内部通讯发生了严重泄露。这些日志揭示了这一高知名度勒索软件组织的剧本及其首选获取网络初始访问权限的方法。

2024年，全球勒索软件攻击事件达到5,414起，较2023年增长了11%。尽管年初增长较为缓慢，但在第二季度和第四季度，攻击事件激增，其中第四季度共发生1,827起事件，占全年总数的33%。执法机构对LockBit等主要组织的打击导致这些组织分裂，引发了更多竞争，并促使小型勒索团伙数量上升。活跃的勒索软件组织数量从2023年的68个增至2024年的95个，增幅达40%。

代理式”人工智能（Agentic AI）时代已经到来，企业不能再忽视其变革潜力。AI代理能够独立运行，根据其编程进行决策和行动。Gartner预测，到2028年，15%的日常业务决策将完全由AI代理自主完成。然而，随着这些系统的广泛应用，它们被集成到关键业务操作中，同时拥有过大的权限——深度访问系统、数据、功能和权限——使其成为网络犯罪分子的诱人目标。其中，威胁行为者利用（Prompt Engineering）来操纵、欺骗或破坏AI代理，这是一种隐蔽但强大的攻击手段。

研究人员发现了一种新型后门恶意软件，使用Go语言编写，并利用Telegram作为其命令与控制（C2）通信渠道。尽管该恶意软件似乎仍处于开发阶段，但它已经具备完整的功能，能够执行多种恶意活动。通过利用Telegram等平台进行C2通信，攻击者简化了操作，同时增加了防御的复杂性。如果不是，它会将自身复制到该位置，重新启动新实例，并终止原始进程。函数，利用Telegram的BotFather功能生成的令牌创建了一个机器人实例。分析样本中包含的令牌为。函数，恶意软件持续监控一个通道，以接收操作者发送的命令。

近日，WinZip曝出一个编号为CVE-2025-1240的高危漏洞，远程攻击者可通过利用畸形的7Z压缩包文件，在受影响的系统上执行任意代码。该漏洞的CVSS评分为7.8，影响WinZip 28.0（版本号16022）及更早版本，用户需升级至WinZip 29.0以规避风险。该漏洞源于WinZip在解析7Z文件数据时验证不充分，导致攻击者可构造恶意压缩包，引发内存中的越界写入。这种内存损坏可被利用，在WinZip进程的上下文中执行代码，如果与其他漏洞结合使用，甚至可能导致整个系统被攻陷。

该攻击利用间接提示词注入和延迟工具调用这两种手段，成功破坏了 AI 的长期记忆，使攻击者能够在用户会话间植入虚假信息。

微软允许非特权用户在Entra ID中更新自己的用户主体名称 (UPN) ，这引发了对安全和管理监督的担忧。

恶意还是防御，这之间带来的关于如何使用人工智能的斗争，可能会定义未来网络安全的格局。

主要涉及近年来流行的Lumma Stealer窃密木马。

OWASP发布2025年智能合约十大漏洞报告，反映了不断演变的攻击向量，深入剖析了近年来的常见漏洞及缓解策略。

OpenAI的ChatGPT爬虫似乎能够对任意网站发起分布式拒绝服务（DDoS）攻击，而OpenAI尚未承认这一漏洞。

对2024年CVE数据的详细回顾表明，漏洞的性质、严重程度和数量发生了显著变化。

超过660,000台暴露的Rsync服务器可能受到六个新漏洞的攻击，其中包含一个严重程度极高的堆缓冲区溢出漏洞，该漏洞允许在服务器上执行远程代码。

微软披露了其Windows远程桌面网关（RD Gateway）中的一个重大漏洞，该漏洞可能允许攻击者利用竞争条件，导致拒绝服务（DoS）攻击。该漏洞被标识为CVE-2025-21225，已在2025年1月的补丁星期二更新中得到修复。竞争条件漏洞是指系统行为依赖于并发操作的时序或事件序列，攻击者利用这种同步缺失。在CVE-2025-21225背景下，当RD Gateway服务处理网络请求时，会出现竞争条件，导致漏洞产生。

云攻击者正在大肆利用名为Max - Critical Aviatrix RCE漏洞（编号CVE - 2024 - 50603），此漏洞在CVSS评分中高达10分（满分10分），能够在受影响系统上执行未经身份验证的远程代码，网络犯罪分子借此漏洞植入恶意软件。最坏的情况下，该漏洞会让未经身份验证的远程攻击者在受影响系统上运行任意命令，进而完全掌控该系统。目前，攻击者利用此漏洞在易受攻击的目标上部署XMRig加密货币挖矿恶意软件和Sliver后门。

2025年安全团队必须优先考虑SaaS安全风险评估以发现漏洞，并采用SSPM工具持续监控，主动进行系统防御。

网络安全研究人员发现了一种针对 macOS 的新型信息窃取恶意软件变种，隐蔽性更强，名为Banshee Stealer。

本文整理了5种常见的恶意软件家族，现在就可以着手准备应对了。

再一次向那些曾经声名显赫、但现在已经失去作用的网络安全解决方案致敬。

在广泛使用的内存数据库Redis里，发现了两个严重漏洞，这可能使数百万系统面临拒绝服务（DoS）攻击和远程代码执行（RCE）的风险。这些漏洞被标记为CVE - 2024 - 51741和CVE - 2024 - 46981，这凸显了Redis用户面临着重大的安全风险，也强调了及时更新和采取缓解措施的重要性。