The Last 24 Hours | 安全无小事

⚡ 每周回顾:防火墙漏洞、AI 数据窃取、Android 攻击、APT 攻击、内部泄漏等

2025/12/22 威胁情报 The Hacker News

上周的网络威胁显示,攻击者不再需要大规模入侵就能造成重大破坏。他们针对我们最信任的日常工具——防火墙、浏览器插件,甚至智能电视——将细小的裂缝转化为严重的泄漏。

如今的真正危险不再是单一大型攻击,而是数百起利用已在网络内部的软件和设备的静默攻击。每个被信任的系统如果未打补丁或被忽视,都可能成为进入点。

以下是本周最大的风险概览,从被利用的网络缺陷到新的全球性攻击活动以及快速演变的漏洞。

⚡ 本周威胁

多个网络安全产品的缺陷正受到攻击 — 在过去的一周里,

Fortinet
SonicWall
Cisco
WatchGuard
均披露其产品中的漏洞已被威胁行为者在真实世界中利用。Cisco 表示,利用 CVE-2025-20393(AsyncOS 中的关键缺陷)的攻击被一个代号为 UAT-9686 的中国关联高级持续威胁 (APT) 组织用于投送 ReverseSSH(又名 AquaTunnel)、Chisel、AquaPurge 与 AquaShell 等恶意软件。该缺陷仍未修补。SonicWall 透露,利用 CVE-2025-40602(影响 Secure Mobile Access 100 系列设备的本地提权漏洞)的攻击已与 CVE-2025-23006(CVSS 9.8)结合使用,以实现未经身份验证的远程代码执行并获得 root 权限。防火墙与边缘设备已成为攻击者喜爱的目标,因其能够提供对流量、VPN 连接及下游系统的深入可视性。

Cyber Forum 2026: Adversary Trends, AI Innovation, and the Future of Security Ops

A virtual cybersecurity forum for today's security leaders. Discover how AI and automation strengthen defenses, streamline operations, and deliver measurable business impact. Hear from security leaders and research experts and get actionable strategies and trends. Register for free today.

🔔 头条新闻

  • Featured Chrome Extension Caught Harvesting AI Chats
     — Urban VPN Proxy 是一款 Google Chrome 与 Microsoft Edge 插件,累计超过 7.3 万次安装,暗中收集用户在人工智能聊天机器人(如 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI、Perplexity)中输入的每条提示。相同开发者的另外三个插件 1ClickVPN Proxy、Urban Browser Guard 与 Urban Ad Blocker 也在近期更新中加入相同功能。累计安装次数超过 800 万次,这些插件已不再在 Chrome Web Store 上架。
  • Ink Dragon Targets Governments with ShadowPad and FINALDRAFT
     — 被称为 Jewelbug(亦称 CL-STA-0049、Earth Alux、Ink Dragon、REF7707)的威胁组织自 2025 年 7 月起日益聚焦欧洲政府目标,同时仍攻击东南亚与南美地区的实体。该行动“影响数十个受害者,包括政府机构与电信公司,遍及欧洲、亚洲与非洲”。Ink Dragon 不仅进行数据窃取,还主动将受害者资产重新用于针对其他感兴趣目标的持续行动,构建出自我维持的基础设施,掩盖真实攻击来源并最大化每个被攻陷资产的价值。
  • Kimwolf Botnet Hijacks 1.8 Million Android TVs
     — 新出现的 Kimwolf 僵尸网络控制至少 180 万台 Android TV,感染分布全球,巴西、印度、美国、阿根廷、南非和菲律宾表现出更高浓度。Kimwolf 被认为与此前发动多起记录性 DDoS 攻击的 AISURU 有共同源头,早期可能复用 AISURU 代码,随后开发出 Kimwolf 以规避检测。QiAnXin XLab 认为部分攻击可能并非单独由 AISURU 发起,Kimwolf 可能参与甚至主导这些攻击。
  • LongNosedGoblin Uses Group Policy For Malware Deployment
     — 一个此前未记录的中国关联威胁集群 LongNosedGoblin 被归因于一系列针对东南亚和日本政府实体的网络攻击。该组织核心手法是滥用 Group Policy 在受感染网络中部署恶意软件,并使用名为 NosyDoor 的后门通过云服务与受感染端点通信。该威胁行为者自 2023 年 9 月起活跃,具体初始访问方式尚不清楚。
  • Kimsuky Uses DocSwap Android Malware
     — 朝鲜威胁组织 Kimsuky 与一项新行动关联,利用 QR 码在伪装成首尔物流公司 CJ Logistics(前 CJ Korea Express)钓鱼站点的页面上分发名为 DocSwap 的 Android 数据收集恶意软件。该应用伪装为包裹追踪 APP,攻击者通过 smishing 短信或伪装成快递公司的钓鱼邮件诱骗受害者点击带有恶意 URL 的链接,随后在桌面浏览器页面显示的 QR 码被扫描后下载安装。此方式使用户在不知情的情况下将恶意软件植入设备。

‎️‍🔥 热门 CVE

黑客行动迅速,往往在漏洞披露数小时内即被利用。一次遗漏的更新可能导致重大泄漏。以下是本周最严重的安全缺陷,请优先检查并修复关键漏洞。

本周列表包括 —

CVE-2025-14733
(WatchGuard),
CVE-2025-11901、CVE-2025-14302、CVE-2025-14303、CVE-2025-14304
(预启动 DMA 防护绕过),
CVE-2025-37164
(HPE OneView 软件),
CVE-2025-59374
(ASUS Live Update),
CVE-2025-20393
(Cisco AsyncOS),
CVE-2025-40602
(SonicWall SMA 100 系列),
CVE-2025-66430
(Plesk),
CVE-2025-33213
(NVIDIA Merlin Transformers4Rec for Linux),
CVE-2025-33214
(NVIDIA NVTabular for Linux),
CVE-2025-54947
(Apache StreamPark),
CVE-2025-13780
(pgAdmin),
CVE-2025-34352
(JumpCloud Agent),
CVE-2025-14265
(ConnectWise ScreenConnect),
CVE-2025-40806、CVE-2025-40807
(Siemens Gridscale X Prepay),
CVE-2025-32210
(NVIDIA Isaac Lab),
CVE-2025-64374
(Motors WordPress 主题),
CVE-2025-64669
(Microsoft Windows Admin Center),
CVE-2025-46295
(Apache Commons Text),
CVE-2025-68154
(systeminformation),
CVE-2025-14558
(FreeBSD)以及 Roundcube Webmail 中未公开 CVE 的跨站脚本与信息泄露缺陷。

📰 全球网络动态

  • FBI 警告冒充政府官员的攻击活动 — 美国联邦调查局警告称,自 2023 年起,恶意行为者冒充美国州政府、高层官员、白宫及内阁成员,甚至国会议员,以针对个人(包括官员家属和熟人)开展攻击。攻击者使用 smishing(短信钓鱼)和 vishing(语音钓鱼)技术发送伪装成高级官员的消息,在短时间内将沟通渠道转移至 Signal 或 WhatsApp 等加密聊天应用,然后诱骗受害者提供身份验证码、个人信息、敏感文件,甚至转账至海外账户。
  • noyb 起诉 TikTok、AppsFlyer 与 Grindr — 奥地利隐私组织 noyb 对 TikTok、AppsFlyer 与 Grindr 提起诉讼,指控 TikTok 通过跨应用追踪侵害 GDPR。用户通过访问请求发现,其在 Grindr 的使用信息被发送至 TikTok,进而推断其性取向与性生活。TikTok 起初拒绝提供信息,违反 GDPR 第 15 条,后在多次询问后才披露其对用户跨应用行为的完整追踪。
  • AuraStealer 在野外被发现 — 新兴的即服务信息窃取恶意软件 AuraStealer 通过“Scam‑Yourself” 运动分发,受害者先观看 TikTok 视频获取伪装为产品激活指南的指令,在管理员 PowerShell 中手动键入并执行,实际下载并运行恶意负载。AuraStealer 还通过假冒游戏或软件的破解版本传播,使用大量混淆技术(间接控制流混淆、字符串加密、异常驱动的 API 哈希)抵御逆向分析,可窃取 Chromium 与 Gecko 浏览器、加密货币钱包、剪贴板、会话令牌、VPN、密码管理器、截图以及系统元数据。另有两款信息窃取工具 Stealka 与 Phantom 也在野外被检测到,后者通过伪装的 Adobe 安装程序分发。
  • Blind Eagle 持续攻击哥伦比亚 — 哥伦比亚政府部门仍受 Blind Eagle 威胁组织攻击。最新的网络钓鱼邮件针对商务部、工业部等部门,使用名为 Caminho 的通用加载器投递 DCRat 恶意软件。邮件自内部被攻陷账户发出,伪装成司法系统的法律通告,诱使收件人打开附件。
  • Scripted Sparrow 与大规模 BEC 攻击关联 — “Scripted Sparrow” 业务邮件欺诈(BEC)组织每月发送超过三百万封邮件,利用自动化生成和发送攻击信息。该组织使用免费网络邮件地址以及专门注册的域名冒充高管培训与教练公司。自 2024 年6 月被发现以来,其成员遍布尼日利亚、南非、土耳其、加拿大与美国,已注册 119 个域名,使用 245 个网络邮件地址,并动用 256 个银行账户转移受害者资金。
  • 智能设备运行过时浏览器版本 — 比利时研究团队的学术研究发现,大多数智能设备(智能电视、电子阅读器、游戏主机)内置的网页浏览器版本落后三年甚至更久。过时的嵌入式浏览器导致用户面临钓鱼及其他安全风险。研究指出,使用 Electron 等框架打包浏览器的产品更新困难,升级往往需要整体框架更新,增加了成本和依赖风险。
  • 丹麦指责俄罗斯攻击水务设施 — 丹麦防务情报局将最近针对该国的破坏性网络攻击归因于俄罗斯,涉及 2024 年的水务设施攻击以及针对2025 年选举的 DDoS 攻击。攻击被归于亲俄黑客组织 Z‑Pentest 与 NoName057(16),并被视为俄方混合战争的一部分,旨在制造不安全感并惩罚支持乌克兰的国家。
  • 俄罗斯成为 Arcane Werewolf 目标 — 俄罗制造业企业成为代号 Arcane Werewolf(又称 Mythic Likho)的攻击者目标。2025 年 10‑11 月的攻击使用钓鱼邮件引导受害者下载包含恶意存档的链接,存档指向仿冒官方页面。最终通过 Go 语言的下载器下载并执行名为 Loki 2.1 的自定义植入程序,具备文件上传下载、进程注入、终止、环境变量读取以及自毁功能。
  • RansomHouse 升级为双密钥加密 — 勒索软件组织 RansomHouse(亦称 Jolly Scorpius)在最新攻击中采用“双密钥”加密方案,即使用主密钥和次密钥分别对文件进行加密,显著提升解密难度。该组织自 2021 年 12 月活跃,使用名为 MrAgent 的持久化工具以及 Mario 负责在 ESXi 虚拟化环境中加密关键 VM 文件。
  • 大型语言模型加速勒索软件生命周期 — SentinelOne 研究表明,大型语言模型(LLM)正在加速勒索软件的整体流程,包括情报收集、钓鱼邮件撰写、代码生成等环节。攻击者利用未受审查的模型规避防护,甚至将恶意代码分块并在多个模型会话中生成,以规避检测。该趋势降低了网络犯罪的进入门槛,并模糊了国家赞助与犯罪组织之间的界限。
  • TikTok 签署新美国合资企业协议 — 在去年短暂被美国禁用后,TikTok 与 Oracle、Silver Lake 以及阿联酋 MGX 共同成立 TikTok USDS Joint Venture LLC,负责美国数据安全、算法保护、内容审核与软件保证。该合资企业将在 2026 年 1 月 22 日生效,旨在满足美国国家安全法的合规要求。
  • GhostAd Android 广告软件针对东南亚与亚洲 — 在菲律宾、巴基斯坦和马来西亚的 Android 用户受到名为 GhostAd 的广告软件攻击,该软件通过 15 款伪装为实用工具和表情包编辑器的应用在 Google Play 分发,安装后在后台持续加载、排队和刷新广告,耗费电池和流量。Google 已将这些应用下架。
  • 德克萨斯州起诉电视制造商非法监控用户 — 德州总检察长指控 Sony、Samsung、LG、Hisense 与 TCL 使用自动内容识别(ACR)技术未经用户同意收集观看数据,每 500 毫秒截屏一次并传回服务器,构成侵入性、欺骗性和非法监控。
  • 网络犯罪者通过高额报酬招募内部人员 — Check Point 警示暗网招聘内部人员的帖子,目标金融、加密及科技公司,提供 $3,000‑$15,000 诱饵以获取网络访问、设备或云环境权限。内部人员帮助关闭防御、泄露凭证或提供特权信息,使攻击难以防御。
  • Anno 1404 游戏存在多重漏洞 — Synacktiv 研究人员披露策略游戏 Anno 1404 的多项漏洞,若在多人模式中连锁利用,可实现任意代码执行。
  • JSCEAL 攻击活动转向更复杂形态 — 通过 Facebook 广告分发的 JSC(JSCEAL)恶意软件已升级,使用更广泛的顶级域名、强化反分析措施,并在 C2 服务器仅响应带有 PowerShell User‑Agent 的请求,返回伪造的 PDF 错误后再交付后续负载。
  • 第三被告对幻想体育与博彩网站黑客案认罪 — 来自明尼苏达的 Nathan Austad 在 2022 年 11 月发动凭证填充攻击,侵入约 60,000 个账户并将受害者的付款方式替换为攻击者自己的账户,窃取约 $600,000,并将受害账户出售。
  • 2025 年关键 CVE 数量下降 — 2025 年被评为关键的漏洞数量降至 3,753 起,低于 2023 年的 4,629 起和 2024 年的 4,283 起,尽管总体 CVE 数量超过 40,000。但 CVSS v4 采用率仍有限,主要受大型 CVE 发布者参与度不足影响。

🎥 网络安全网络研讨会

  • How Zero Trust and AI Catch Attacks With No Files, No Binaries, and No Indicators
    — 网络威胁演进迅速,攻击者利用受信工具与无文件技术规避传统防御。本次研讨会将展示零信任与 AI 驱动防护如何发现隐藏攻击、保护开发环境并实现主动云安全。
  • Master Agentic AI Security: Learn to Detect, Audit, and Contain Rogue MCP Servers
    — AI 工具如 Copilot 与 Claude Code 为开发者提供便利,也可能成为安全风险。本研讨会教您发现隐藏的 AI 服务器、阻止影子 API 密钥并在攻击前控制 AI 系统。

🔧 网络安全工具

  • Tracecat
    — 开源自动化平台,面向安全与 IT 团队提供灵活、可扩展的工作流编排。通过基于 YAML 的集成模板和无代码界面构建工作流,内部使用 Temporal 实现可靠性与规模化,适用于本地实验和生产环境。
  • Metis
    — 开源 AI 驱动的安全代码审查工具,由 Arm 产品安全团队研发,利用大语言模型理解代码上下文,帮助工程师发现传统工具难以捕获的细微安全问题,支持多语言插件和不同 LLM 提供商,旨在降低审查疲劳并提升安全编码实践。

免责声明:这些工具仅供学习和研究使用,未经过完整安全测试。若使用不当可能带来危害,请在安全环境中测试并遵守相关法律法规。

结论

过去一周的情况表明:边界已经消失,但责任仍在。每个设备、应用和云服务都成为防御的一环。快速修补、验证运行的内容并质疑默认设置已不再是维护任务,而是生存技能。

随着威胁变得更加自适应,韧性来源于意识与速度,而非恐惧。保持高可视性、将每次更新视为风险降低,并牢记大多数泄漏始于被忽视的普通资产。