4月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,CrushFTP身份验证绕过漏洞(CVE-2025-2825)通告、Vite任意文件读取漏洞(CVE-2025-31486)通告、微软4月安全更新多个产品高危漏洞通告、Oracle全系产品2025年4月关键补丁更新通告、微软Telnet Server(MS-TNAP)身份验证绕过漏洞通告等。
绿盟科技CERT监测到微软发布4月安全更新补丁,修复了126个安全问题,涉及Windows、Microsoft Office、Azure、Microsoft Edge for iOS、Microsoft Visual Studio等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
本月的威胁事件中包含,基于Python的远程访问工具Triton的威胁分析、沃尔玛旗下山姆会员商店遭黑客勒索,调查疑似数据泄露事件、超1500台PostgreSQL服务器遭无文件式加密货币挖掘攻击、Lucid网络钓鱼即服务(PhaaS)平台攻击88个国家的169个目标和TsarBot银行木马针对银行、金融和加密货币应用程序攻击事件分析等事件。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2025年04月绿盟科技安全漏洞库共收录137个漏洞, 其中高危漏洞12个,微软高危漏洞11个。
* 数据来源:绿盟科技威胁情报中心,本表数据截止到2025.05.10
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、 威胁事件
- 基于Python的远程访问工具Triton的威胁分析
【标签】Triton
【时间】2025-04-01
【简介】
一个名为Triton的复杂的基于python的远程访问工具(RAT)已经成为一个重大威胁,利用Telegram作为其命令和控制基础设施。这种恶意软件使攻击者能够远程访问和控制受损的系统,特别强调收集Roblox凭据和安全cookie,可以绕过双因素身份验证。
【参考链接】
Triton RAT Leveraging Telegram To Remotely Access & Control Systems
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 沃尔玛旗下山姆会员商店遭黑客勒索,调查疑似数据泄露事件
【标签】Clop
【时间】2025-04-03
【简介】
美国零售巨头沃尔玛旗下仓储超市连锁品牌山姆会员商店(Sam’s Club)目前正在调查一起由Clop勒索软件组织发起的网络攻击事件。这家在全美、波多黎各以及中墨两国拥有800余家门店的零售巨头,目前正面临着严重的网络安全威胁。
【参考链接】
https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652068838&idx=2&sn=203df6f4d2c7f7e840c1ea787064c191&chksm=f236b7f91739126e924d655e63fbe5f29e217537031babcbbe301dfdd14a2a5abec739688ce8&scene=58&subscene=0#rd
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 超1500台PostgreSQL服务器遭无文件式加密货币挖掘攻击
【标签】PG_MEM
【时间】2025-04-02
【简介】
暴露的PostgreSQL实例正成为持续攻击活动的目标,攻击者企图非法获取访问权限并部署加密货币挖矿程序。云安全公司Wiz表示,此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种,涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。
【参考链接】
https://hackernews.cc/archives/58137
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 佳能打印机漏洞可致攻击者执行任意代码
【标签】CVE-2025-1268
【时间】2025-04-02
【简介】
佳能已发布一项重要的安全公告,内容涉及在该公司多款打印机驱动程序中检测到的一个严重漏洞,攻击者可能利用该漏洞在受影响的系统上执行任意代码。这个被认定为CVE-2025-1268的漏洞,在通用漏洞评分系统(CVSS)基础评分中达到了 9.4 的高危分值,这表明受影响的佳能产品用户面临着重大的安全隐患。
【参考链接】
https://hackernews.cc/archives/58132
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Lucid网络钓鱼即服务(PhaaS)平台攻击88个国家的169个目标
【标签】Lucid
【时间】2025-04-02
【简介】
一个名为Lucid的新型复杂网络钓鱼即服务(PhaaS)平台,利用通过苹果iMessage和安卓富通信服务(RCS)传播的短信网络钓鱼消息,攻击了88个国家的169个实体。Lucid的独特卖点在于其利用合法通信平台来绕过传统的基于短信的检测机制。
【参考链接】
https://hackernews.cc/archives/58141
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- Medusa针对医疗、教育、技术和制造业等基础设施行业攻击事件分析
【标签】Medusa
【时间】2025-04-11
【简介】
2025年第一季度,Medusa针对医疗、教育、法律、保险、技术和制造业等关键基础设施部门攻击频繁,网络钓鱼活动是窃取凭据的主要方法。该组织利用的未修补漏洞包括ScreenConnect漏洞CVE-2024-1709和Fortinet EMS SQL注入漏洞CVE-2023-48788。
【参考链接】
Medusa Ransomware Hits Record Levels, FBI and CISA Provide Key Security Insights
【防护措施】
绿盟威胁情报中心关于该事件提取3条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 恶意PyPI包滥用WooCommerce API进行信用卡验证,下载量达3.4万次
【标签】disgrasya
【时间】2025-04-08
【简介】
一个名为“disgrasya”的恶意PyPI包被发现,该包滥用合法的WooCommerce商店来验证被盗信用卡,并已在开源软件包平台上被下载超过34,000次。该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证信用卡,这是卡农行为者评估从暗网转储和泄露数据库中获取的数千张被盗卡的价值和潜在利用的关键步骤。
【参考链接】
https://hackernews.cc/archives/58192
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- CyberVolk勒索病毒源代码被泄露
【标签】CyberVolk
【时间】2025-04-07
【简介】
CyberVolk勒索病毒是CyberVolk黑客组织使用的,该黑客组织是一个印度网络犯罪组织,成立于2024年3月28日,最初名为GLORIAMIST India组织,后来更名为Cybervolk,该勒索病毒原本同大多数勒索病毒一样,使用AES加密算法、SHA512哈希算法用于AES密钥生成,在经过多次泄露之后进行了更新,现如今AES加密算法已被ChaCha20-Poly1305+AES+RSA+量子抗性算法所取代。
【参考链接】
https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247491385&idx=1&sn=c68c36e72cf822633b3b8fa3c9473e55&chksm=91053fccd3c3e380560dcf51851dc9dd454f29517b0890062d7b809cca0469d6463e45abe092&scene=58&subscene=0#rd
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 新型Mirai僵尸网络导致TVT DVR漏洞利用激增
【标签】Mirai
【时间】2025-04-10
【简介】
近期,一种新型Mirai僵尸网络引发了针对TVT NVMS9000数字视频录像机(DVR)的大规模漏洞利用激增。该攻击潮在2025年4月3日达到高峰,当天共检测到超过2500个独立IP地址在扫描易受攻击的设备。
【参考链接】
https://hackernews.cc/archives/58237
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- ToddyCat黑客利用ESET扫描器漏洞规避检测机制
【标签】ToddyCat
【时间】2025-04-10
【简介】
臭名昭著的高级持续性威胁(APT)组织ToddyCat近期采用了一种复杂的攻击策略,通过利用ESET命令行扫描器中的安全漏洞,将恶意代码悄无声息地植入目标系统。该漏洞现已编号为CVE-2024-11859。攻击者借此得以在受信任的安全软件环境中执行恶意负载,从而绕过安全监测工具的检测。
【参考链接】
https://hackernews.cc/archives/58244
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 新的Sakura RAT出现在GitHub上,成功逃避AV和EDR保护
【标签】Sakura RAT
【时间】2025-04-09
【简介】
一种名为Sakura的新型远程访问木马 (RAT)已在GitHub上发布。由于其复杂的反检测能力和全面的系统控制功能,Sakura引起了网络安全社区的极大关注。该恶意软件位于一个据称由名为“Haerkasmisk”的用户创建的存储库中,它为攻击者提供了广泛的工具包,可以通过多种混淆技术逃避现代防病毒和端点检测和响应 (EDR)解决方案,这些混淆技术类似于以前记录的恶意软件家族中所见的技术。
【参考链接】
https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652068935&idx=2&sn=bdd6b5701dc1700736e3ba1f07c5b3df&subscene=0
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- PoisonSeed利用CRM账户发起加密货币种子短语投毒攻击
【标签】PoisonSeed
【时间】2025-04-09
【简介】
一个被称为PoisonSeed的恶意活动正在利用与客户关系管理(CRM)工具和批量邮件服务相关的泄露凭据,发送包含加密货币种子短语的垃圾邮件,试图清空受害者的数字钱包。“批量垃圾邮件的接收者成为了加密货币种子短语投毒攻击的目标,”Silent Push在分析中表示。“作为攻击的一部分,PoisonSeed提供安全种子短语,诱使潜在受害者将其复制粘贴到新的加密货币钱包中,以便日后进行攻击。”
【参考链接】
https://hackernews.cc/archives/58203
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 这个带路国家社保基金遭网络攻击,大量敏感数据泄露
【标签】JabaRoot DZ
【时间】2025-04-14
【简介】
疑似阿尔及利亚黑客组织JabaRoot DZ于4月8日对摩洛哥多家机构发起了一系列网络攻击,主要攻击目标包括经济包容部(The Ministry of Economic Inclusion)网站和国家社保基金(CNSS)。该事件可能是摩洛哥历史上规模最大的数据泄露事件。JabaRoot DZ在Telegram频道上表达了行动动机,他们称:“此次泄露是对摩洛哥黑客敌对行为的回应。这些黑客盗取了阿尔及利亚新闻社的推特账号,导致账号被推特封禁。”
【参考链接】
https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247514159&idx=2&sn=c54ad48a9be24f92620f56ea52176baa&subscene=0
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 黑客在披露后数小时内利用WordPress插件认证绕过漏洞
【标签】OttoKit
【时间】2025-04-14
【简介】
黑客在披露后数小时内开始利用OttoKit(原名SureTriggers)插件中的一个高危漏洞,该漏洞允许绕过认证。强烈建议用户立即将OttoKit / SureTriggers升级到最新版本1.0.79,该版本于本月初发布。OttoKit WordPress插件允许用户无需编写代码即可连接插件和外部工具(如WooCommerce、Mailchimp和Google Sheets),并自动化发送邮件、添加用户或更新客户关系管理(CRM)系统等任务。统计数据显示,该产品在100,000个网站上处于活跃状态。
【参考链接】
https://hackernews.cc/archives/58278
【防护措施】
绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- TsarBot银行木马针对银行、金融和加密货币应用程序攻击事件分析
【标签】TsarBot
【时间】2025-04-11
【简介】
3月28日,发现新的 Android 银行木马 TsarBot 针对全球 750 多个应用程序,包括银行、金融、加密货币和电子商务应用程序。TsarBot 通过伪装成合法金融平台的网络钓鱼网站传播,并通过伪装成 Google Play 服务的投放器进行安装。它使用覆盖攻击来窃取银行凭证等信息。TsarBot 可以记录和远程控制屏幕,同时使用黑色叠加屏幕隐藏恶意活动。
【参考链接】
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。