绿盟科技威胁情报周报2025年第10周(2025.03.10-2025.03.16)

威胁通告

  • 微软3月安全更新多个产品高危漏洞通告
  • Apache Tomcat远程代码执行漏洞(CVE-2025-24813)通告

 

热点资讯

  • 迪斯尼泄漏4400万条机密数据,只因员工“尝鲜”AI工具
  • Braodo Stealer窃密木马分析
  • 攻击者通过假冒com的电子邮件传播ClickFix钓鱼链接
  • 虚假验证码网络钓鱼活动影响超1150个组织
  • 揭秘金融支付漏洞,从价格篡改到逻辑陷阱的攻防战
  • 针对Mac系统的LockBit勒索病毒样本分析
  • 超400个IP协同攻击多个SSRF漏洞
  • X遭遇“大规模网络攻击”,Dark Storm宣称DDoS攻击所致
  • Medusa勒索软件已袭击全美300多家关键基础设施组织
  • 朝鲜新型安卓间谍软件混入谷歌应用商店

 

威胁通告

1.微软3月安全更新多个产品高危漏洞通告

【标签】CVE-2025-26633,CVE-2025-24991,CVE-2025-24984

【发布时间】2025-03-13 15:00:00 GMT

【概述】

3月12日,绿盟科技CERT监测到微软发布3月安全更新补丁,修复了57个安全问题,涉及Windows、Microsoft Office、Azure、Microsoft Visual Studio等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

2.Apache Tomcat远程代码执行漏洞(CVE-2025-24813)通告

【标签】CVE-2025-24813

【发布时间】2025-03-11 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Tomcat远程代码执行漏洞(CVE-2025-24813);当应用程序启用了servlet的写入功能(默认禁用)、使用Tomcat文件会话持久机制和默认存储位置且包含反序列化利用库时,未经身份验证的攻击者可执行任意代码获取服务器权限。此外,当上传目标URL为公共目标URL的子目录,且攻击者知悉上传文件名称时,未经身份验证的攻击者可获取目标文件信息或添加文件内容。请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

热点资讯

1.迪斯尼泄漏4400万条机密数据,只因员工“尝鲜”AI工具

【标签】Nullbulge

【概述】

2023年7月,迪斯尼前员工马修·范·安代尔收到一条令他毛骨悚然的Discord私信:”我掌握了你私人生活和工作的敏感信息。”对方不仅复述了他几天前在Slack工作群中与同事的午餐对话,还陆续抛出了他的信用卡号、社保账号,甚至家中智能摄像头Ring的登录凭证。安代尔意识到自己被黑客入侵,立即联系了Disney的网络安全团队。次日,黑客团体Nullbulge在网上发布了超过4400万条Disney内部消息,包括客户隐私信息、员工护照号码和主题公园及流媒体收入数据。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRHH

 

2.Braodo Stealer窃密木马分析

【标签】Braodo Stealer

【概述】

Braodo Stealer窃密木马是众多活跃且不断发展的恶意软件家族之一,其目的是从受感染的机器中窃取敏感信息,例如凭证、cookie和系统数据,这种恶意软件通常用Python编写,采用各种混淆技术来隐藏其真实意图,因此安全解决方案很难识别。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRI0

 

3.攻击者通过假冒Booking.com的电子邮件传播ClickFix钓鱼链接

【标签】ClickFix

【概述】

微软揭露了一起针对酒店业的钓鱼活动,不法分子假扮在线旅游机构Booking.com,利用名为ClickFix的社会工程学手段传播窃取凭证的恶意软件。微软称,该活动始于2024年12月,目的是进行金融诈骗和盗窃,被追踪为Storm-1865。攻击目标是北美、大洋洲、南亚和东南亚以及欧洲各地与Booking.com有业务往来的酒店业人士,通过发送假冒邮件,声称有客人在Booking.com上留下了负面评价,要求收件人给出“反馈”。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRI8

 

4.虚假验证码网络钓鱼活动影响超1150个组织

【标签】网络钓鱼

【概述】

Netskope Threat Labs发现了一场大规模的网络钓鱼活动,该活动利用嵌入在PDF文档中的虚假验证码(CAPTCHA)图片来窃取信用卡信息并传播恶意软件。自2024年下半年以来,这场活动已影响了超过1150个组织和7000名用户。攻击者使用搜索引擎优化(SEO)技术,引诱受害者访问托管着这些网络钓鱼PDF文件的恶意网站。这些PDF文件常常伪装成用户指南、使用手册、模板和表格,使用诸如“pdf”、“免费”、“下载”和“可打印”等关键词。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRHA

 

5.揭秘金融支付漏洞,从价格篡改到逻辑陷阱的攻防战

【标签】不区分行业

【概述】

在数字化时代,金融支付系统已成为我们日常生活中不可或缺的一部分。然而,随着技术的飞速发展,支付漏洞也层出不穷,给企业和用户带来了巨大的安全隐患。从直接修改价格到复杂的并发数据包攻击,黑客们利用系统设计的疏忽频频得手。本文将详细剖析十四种常见的金融支付漏洞,并补充两种逻辑漏洞,结合代码示例和数据包分析,带你深入了解这些漏洞的原理与危害。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRHV

 

6.针对Mac系统的LockBit勒索病毒样本分析

【标签】LockBit

【概述】

最近几年勒索病毒已经席卷全球,全球范围内越来越多的政府、企业,组织机构等受到勒索病毒黑客组织的攻击,几乎每天都有企业被勒索病毒攻击的新闻被曝光,可能还有更多的企业被勒索病毒攻击之后,选择默默交纳赎金,由于勒索病毒太过于暴利,从而导致越来越多的黑客组织开始使用勒索病毒攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRI4

 

7.超400个IP协同攻击多个SSRF漏洞

【标签】SSRF

【概述】

威胁情报公司GreyNoise警告称,针对服务器端请求伪造(SSRF)漏洞的攻击正在多个平台上呈现“协同激增”态势。“至少有400个IP地址正在同时利用多个SSRF相关的CVE漏洞,且攻击行为之间存在显著重叠。”GreyNoise表示,该公司在2025年3月9日观察到这一活动。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRI5

 

8.X遭遇“大规模网络攻击”,Dark Storm宣称DDoS攻击所致

【标签】DDoS

【概述】

亲巴勒斯坦的黑客组织Dark Storm声称,周一通过分布式拒绝服务(DDoS)攻击导致全球多地的X平台(原推特)出现中断,X平台随后启用了Cloudflare的DDoS防护服务。X平台的所有者埃隆·马斯克虽未明确指出中断是由于DDoS攻击,但他确认是遭到了“大规模网络攻击”。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRHW

 

9.Medusa勒索软件已袭击全美300多家关键基础设施组织

【标签】Medusa

【概述】

美国网络安全和基础设施安全局(CISA)表示,截至上月,Medusa勒索软件已影响美国300多家关键基础设施行业的组织。这一消息来自CISA、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)今天联合发布的通告。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRIa

 

10.朝鲜新型安卓间谍软件混入谷歌应用商店

【标签】KoSpy

【概述】

据研究人员发现,一款名为“KoSpy”的新型安卓间软件谍与朝鲜威胁组织有关联,该组织已通过至少五个恶意应用渗透至谷歌应用商店和第三方应用商店APKPure。Lookout研究人员表示,这款间谍软件归属于朝鲜威胁组织APT37(又名“ScarCruft”)。自2022年3月起,这一行动便已启动,且威胁组织一直在积极开发该恶意软件,以更新样本。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRIb

 

Spread the word. Share this post!

Meet The Author