绿盟威胁情报2025年第20周(2025.05.19-2025.05.25)

阅读: 522

本周热点概览

热点资讯

  • 微软确认五月更新触发BitLocker恢复问题
  • 韩国运营商SK电讯泄露2695万名客户SIM卡详细信息,服务器被入侵3年感染25种后门
  • 黑客大赛Pwn2Own 2025柏林站结束研究人员利用多个零日漏洞获得107万美元奖励
  • 恶意KeePass密码管理器引发ESXi勒索软件攻击
  • 新型CPU漏洞曝光!英特尔芯片陷内存泄露及幽灵攻击风险
  • 微软工程师提交代码帮助Chrome启动时降低权限,确保以非管理员安全运行
  • PyPI恶意软件警报:恶意的“索拉纳令牌”包瞄准索拉纳开发人员
  • 感染了超数千台路由器的僵尸网络被强制拆除
  • SideWinder APT锁定南亚政府机构:历史Office漏洞与恶意软件协同攻​
  • OpenPubkey和OPKssh中的关键身份验证绕过使系统面临远程访问风险

 

热点资讯

1.微软确认五月更新触发BitLocker恢复问题

【标签】BitLocker

【概述】

微软官方证实,部分Windows 10系统在安装2025年5月安全更新(KB5058379)后,会意外进入BitLocker恢复模式。该加密功能本应在检测到TPM变更或硬件改动时启动保护机制,但此次异常触发已影响包括联想、戴尔、惠普等多个品牌设备。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROJ

 

2.韩国运营商SK电讯泄露2695万名客户SIM卡详细信息,服务器被入侵3年感染25种后门

【标签】数据泄露

【概述】

韩国通信运营商SK电讯泄露高达2695万名客户SIM卡信息信息,包括里面存储的短信和联系人,黑客入侵3年并部署25种后门程序。SK电讯在今年4月份才发现服务器出现异常活动并进行隔离,事后调查发现早在2022年6月黑客就成功入侵了其服务器。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROE

 

3.黑客大赛Pwn2Own 2025柏林站结束研究人员利用多个零日漏洞获得107万美元奖励

【标签】漏洞

【概述】

黑客大赛Pwn2Own 2025柏林站结束,研究人员利用多个漏洞合计获得107万美元奖金。其中排名最高的单个漏洞获得15万美元奖励,漏洞位于VMware ESXi虚拟机管理程序中,博通为这个漏洞支付高达15万美元的奖励。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROL

 

4.恶意KeePass密码管理器引发ESXi勒索软件攻击

【标签】KeePass

【概述】

威胁行为者至少持续八个月分发被植入木马的KeePass密码管理器版本,用于安装Cobalt Strike信标、窃取凭证并最终在攻陷网络中部署勒索软件。WithSecure威胁情报团队在调查某次勒索攻击时发现了该活动。研究人员发现,攻击始于通过Bing广告推广的虚假软件网站传播恶意KeePass安装程序。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROz

 

5.新型CPU漏洞曝光!英特尔芯片陷内存泄露及幽灵攻击风险

【标签】Spectre

【概述】

苏黎世联邦理工学院(ETH Zürich)的研究人员发现了一个新的安全漏洞,影响所有现代英特尔CPU并导致内存敏感数据泄露,这表明被称为Spectre的漏洞在七年后仍在持续影响计算机系统。该漏洞被命名为分支特权注入(BPI),“可被利用来滥用CPU(中央处理器)的预测计算,从而未经授权获取其他处理器用户的信息”。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROe

 

6.微软工程师提交代码帮助Chrome启动时降低权限,确保以非管理员安全运行

【标签】Chrome

【概述】

正常情况下浏览器进程不应该使用管理员权限启动,以免基于Web的恶意脚本可以利用浏览器漏洞并结合管理员权限执行恶意操作,所以早在2019年4月微软工程师就添加代码可以检测Microsoft Edge浏览器是否以管理员权限运行,如果是以管理员权限运行则会自动降级为非管理员权限并提醒用户重启浏览器。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROt

 

7.PyPI恶意软件警报:恶意的“索拉纳令牌”包瞄准索拉纳开发人员

【标签】solana-token

【概述】

ReversingLabs研究团队发现了另一个针对加密货币生态系统的软件供应链攻击,这次涉及一个名为solana-token的流氓Python包。作为Solana开发人员的合法实用程序,该软件包在Python包索引(PyPI)上被发现,在删除之前已被下载超过600次。Solana是一个受欢迎的区块链平台,以高速,低费用交易而闻名,继续吸引开发人员和威胁行为者的兴趣。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROm

 

8.感染了超数千台路由器的僵尸网络被强制拆除

【标签】Anyproxy

【概述】

近期,美执法部门捣毁了一个僵尸网络,该网络在过去20年里感染了数千台路由器,建立了两个名为Anyproxy和5socks的住宅代理网络。在这次被称为“月球登陆者行动”的联合行动中,美国当局与荷兰国家警察、荷兰公诉署和泰国皇家警察的检察官和调查人员以及Lumen Technologies的黑莲花实验室(Black Lotus Labs)的分析师合作。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROn

 

9.SideWinder APT锁定南亚政府机构:历史Office漏洞与恶意软件协同攻击​

【标签】SideWinder

【概述】

斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点目标。研究人员发现,攻击者采用鱼叉式钓鱼邮件结合地理围栏技术,确保仅特定国家的目标会收到恶意载荷。攻击链通过诱饵文档激活感染流程,最终部署名为StealerBot的恶意软件,该作案手法与此前披露的SideWinder活动特征一致。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROG

 

10.OpenPubkey和OPKssh中的关键身份验证绕过使系统面临远程访问风险

【标签】CVE-2025-3757

【概述】

OpenPubkey身份验证协议及其配套工具OPKSSH中的一对关键严重漏洞可能允许攻击者绕过身份验证机制并获得未经授权的访问权限。OpenPubkey是一种将用户或工作负载生成的公钥与OpenID Connect(OIDC)集成的协议,最近披露了其加密验证过程中的一个主要漏洞。这些漏洞(CVE-2025-3757和CVE-2025-4658)每个漏洞的CVSS v4得分为9.3,严重程度至关重要。

【参考链接】

    https://ti.nsfocus.com/security-news/79vROl

 

Spread the word. Share this post!

Meet The Author