WebKit零日漏洞被利用开展极其复杂定向攻击，苹果紧急修复

近期，复杂新型勒索软件Ebyte正在北美和欧洲地区针对Windows系统发起攻击。自三周前被发现以来，该勒索软件已经入侵了数千个系统，其采用的先进加密策略给安全专家带来了巨大挑战。

Ebyte主要通过钓鱼邮件传播，这些邮件包含恶意Office文档，利用最新的Windows漏洞（CVE-2025-0142）。钓鱼邮件伪装成来自可信业务伙伴的发票提醒或发货通知。一旦执行，恶意软件通过注册表修改和计划任务建立持久性，然后禁用安全工具和备份解决方案。勒索软件会在加密前进行全面的系统扫描，优先处理数据库和财务记录等关键业务文件。

Ebyte采用了复杂的混合加密系统，结合ChaCha20文件加密和4096位RSA算法，为每个受害者生成唯一的256位密钥。这使得在没有赎金密钥的情况下几乎不可能解密。Ebyte还实施了安全密钥管理系统，为每个文件生成唯一的加密密钥，这些密钥被加密并存储在自定义文件结构中，防止开发通用解密工具。

日本国家警察厅（NPA）和国家网络安全事件准备和战略中心（NISC）近日发布安全公告，警告APT10旗下的MirrorFace威胁组织正在针对日本组织进行高级持续性威胁（APT）攻击活动。攻击者利用Windows Sandbox和Visual Studio Code执行恶意活动，同时规避主机系统上运行的安全工具的检测。

MirrorFace使用了一个定制版的开源Lilith RAT "LilimRAT"，专门设计用于在Windows Sandbox内运行。该恶意软件包含特定代码，通过检查WDAGUtilityAccount用户文件夹的存在来验证其是否在Windows Sandbox内运行。攻击方法包括在目标机器上启用Windows Sandbox，创建自定义WSB配置文件，并在隔离环境中执行恶意软件。

攻击者首先需要启用默认禁用的Windows Sandbox功能并重启受感染系统。攻击过程涉及在受感染主机上放置三个关键文件：批处理文件、归档实用程序和包含恶意软件的存档。然后创建一个Windows Sandbox配置（WSB）文件，启用网络连接，共享主机和沙盒环境之间的文件夹，并在登录时执行命令。

Apple近日发布紧急安全更新，修复了WebKit跨平台网络浏览器引擎中一个零日漏洞（CVE-2025-24201）。该漏洞是一个越界写入问题，已被用于针对特定目标个人的"极其复杂"的网络攻击中。

攻击者可利用精心制作的网页内容来突破Web Content沙箱。Apple表示，这是对iOS 17.2中已阻止攻击的补充修复。

为解决这一漏洞，Apple通过改进检查机制发布了iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1更新。受影响的设备包括iPhone XS及更新机型、多代iPad Pro、iPad Air、iPad和iPad mini，以及运行macOS Sequoia的Mac和Apple Vision Pro。

日本国家警察厅（NPA）和国家网络安全事件准备和战略中心（NISC）近日发布安全公告，警告APT10旗下的MirrorFace威胁组织正在针对日本组织进行高级持续性威胁（APT）攻击活动。攻击者利用Windows Sandbox和Visual Studio Code执行恶意活动，同时规避主机系统上运行的安全工具的检测。

MirrorFace使用了一个定制版的开源Lilith RAT "LilimRAT"，专门设计用于在Windows Sandbox内运行。该恶意软件包含特定代码，通过检查WDAGUtilityAccount用户文件夹的存在来验证其是否在Windows Sandbox内运行。攻击方法包括在目标机器上启用Windows Sandbox，创建自定义WSB配置文件，并在隔离环境中执行恶意软件。

攻击者首先需要启用默认禁用的Windows Sandbox功能并重启受感染系统。攻击过程涉及在受感染主机上放置三个关键文件：批处理文件、归档实用程序和包含恶意软件的存档。然后创建一个Windows Sandbox配置（WSB）文件，启用网络连接，共享主机和沙盒环境之间的文件夹，并在登录时执行命令。

NVIDIA近日发布了Riva语音AI平台的重要软件更新，版本2.19.0修复了两个高危漏洞。这两个漏洞涉及不当的访问控制机制，影响所有运行Riva 2.18.0及以下版本的Linux部署。

其中，CVE-2025-23242漏洞（CVSS 7.3）暴露了系统中的权限提升向量。攻击者可能执行任意代码、操纵实时语音处理管道或从AI推理工作负载中窃取敏感对话日志。

其攻击向量（AV:N/AC:L/PR:N/UI:N/S:U）表明可通过网络利用且无需用户交互，对暴露的API端点尤其危险。CVE-2025-23243（CVSS 6.5）可能导致拒绝服务条件或篡改神经机器翻译（NMT）服务的文本规范化输出。两个漏洞都源于Riva微服务架构中gRPC请求头的验证不足。

根据Sysdig今天发布的一份新报告，机器身份的激增、威胁检测加快以及漏洞数量大幅下降，正在重塑云安全的未来。Sysdig报告强调了自动化和实时响应的需求，以有效应对不断出现的新安全风险。

报告显示，机器身份现在比人类用户多出4晚倍，并带来7.5倍的风险。随着组织扩大云运营，管理这些身份变得越来越困难。与此同时，人工智能(AI)和机器学习(ML)的采用在过去一年中激增了500%。尽管增长如此迅速，但组织还是提高了安全性，公开暴露的AI工作负载减少了38%。

Sysdig表示，云威胁环境正在演变，但安全团队正在跟上步伐。成熟组织能在5秒内检测到威胁，并在3.5分钟内启动响应行动——远远低于攻击者通常利用的10分钟窗口期。漏洞管理也有了显著改善，组织正将重点转移到只修复真正构成威胁的漏洞上。生产工作负载中使用的漏洞百分比已降至6%以下，较两年前改善了64%。

研究人员近期发现一种令人不安的趋势：黑客正在使用专门设计的复杂攻击手段来规避多因素认证（MFA）保护。这些先进技术利用认证工作流程中的漏洞，而非攻击认证因素本身，使攻击者能够在启用MFA的情况下未经授权访问受保护的账户。

Quarkslab的研究人员分析显示，攻击者正在利用系统验证和跟踪MFA完成状态时的时序漏洞和实现缺陷，有效地欺骗应用程序认为二次验证已成功完成。最令人担忧的技术涉及在验证流程中精心操纵认证响应数据。当用户启动认证时，主要因素（通常是密码）生成一个初始会话令牌，然后等待二次验证。攻击者发现了在MFA挑战完成之前拦截并修改此令牌状态标志的方法。攻击通常使用JavaScript代码注入来修改认证响应。

PHP 应用程序存在一个复杂的 XML 外部实体 (XXE) 注入漏洞，该漏洞可能允许攻击者访问敏感配置文件和私钥。

该漏洞由研究员 Aleksandr Zhurnakov 发现，会影响在 XML 处理期间使用某些 libxml 标志的 PHP 应用程序，即使采取了标准安全措施，也可能暴露关键的服务器端信息。

该漏洞使攻击者能够绕过旨在防止 XXE 攻击的多种安全机制，包括用于在 XML 解析期间阻止外部网络连接的 LIBXML_NONET 标志。

即使开发人员遵循看似安全的编码实践，这种攻击媒介仍然有效。

PT Swarm 的分析师发现，攻击链涉及一系列复杂的绕过，这些绕过共同造成了他们所描述的“几乎不可能的 XXE 漏洞”。

他们的分析表明，这次攻击对身份提供者和身份验证系统尤其具有破坏性。

该漏洞的技术核心涉及利用 PHP 的 libxml 扩展处理 XML 参数实体的方式。

Xerox Versalink C7025多功能打印机存在多个漏洞（CVE-2024-12510和CVE-2024-12511），攻击者可借此截获LDAP和SMB服务中的身份验证凭证。LDAP 漏洞使得具有打印机 Web 界面管理权限的攻击者能够将 LDAP 服务器 IP 地址重新配置为恶意主机。

一旦修改完成，通过打印机 “用户映射” 功能发起的任何 LDAP 身份验证尝试都会将明文凭证传输到攻击者的服务器。
这种攻击针对使用 LDAP 进行集中用户身份验证的组织，需要满足以下条件：

（1）打印机上配置有效的 LDAP 以进行正常操作

（2）攻破打印机的管理员凭证（默认或弱密码）

（3）具备修改 LDAP 服务器设置的网络访问权限

美国联邦贸易委员会（FTC）今天表示，去年美国人因欺诈损失了创纪录的 125 亿美元，比前一年增加了 25%。

消费者报告称，投资诈骗造成的损失最高，总额约为 57 亿美元，平均损失超过 9,000 美元，超过所有其他欺诈类别。报告的第二大损失与冒名顶替骗局有关，2024 年损失金额达 29.5 亿美元。

年轻人报告的因欺诈而损失金钱的次数也比 70 岁以上的人多，去年提交的所有报告中 44% 来自 20 至 29 岁之间的消费者。

近年来，求职诈骗和虚假职业介绍所的损失也大幅增加，举报数量几乎增加了两倍，2020 年至 2024 年短短四年间，损失从 9000 万美元增至 5.01 亿美元。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除