AMI MegaRAC严重漏洞，可能导致服务器被劫持甚至损毁

Microsoft威胁分析团队周一警告，新型Windows远程访问木马(RAT) StilachiRAT正在小范围传播，已构成严重威胁。该恶意软件展示了复杂的技术，能够逃避检测、在目标环境中持久存在并窃取敏感数据。

StilachiRAT具备多种高级功能，包括收集目标系统信息（操作系统信息、硬件标识符、BIOS序列号、摄像头状态、活动RDP会话等）、信息和凭证窃取（Chrome浏览器存储的凭证、系统剪贴板数据、20种加密货币钱包扩展的配置数据）以及RDP监控。该恶意软件能够通过捕获前台窗口信息并复制安全令牌来模拟用户，监控RDP会话。这在托管管理会话的RDP服务器上尤其危险，因为它可能使攻击者在网络内部实现横向移动。

StilachiRAT还能执行来自命令与控制(C2)服务器的指令，包括重启/挂起系统、清除日志、执行应用程序、修改Windows注册表值、操作系统窗口、建立新的出站连接，甚至自我删除。该恶意软件采用多种反取证措施，包括清除安全日志、检查分析工具和沙箱环境、混淆Windows API调用以阻碍手动分析，并具备在目标计算机上确保持久性的机制。

网络安全研究人员近日披露了影响mySCADA myPRO系统的两个严重漏洞。该系统广泛应用于运营技术(OT)环境中的监控与数据采集(SCADA)。这两个漏洞若被利用，可能使攻击者完全控制受影响系统。

这些漏洞一旦被利用，可能授予未授权用户访问工业控制网络的权限，导致严重的运营中断和财务损失。其中，CVE-2025-20014属于操作系统命令注入漏洞，攻击者可通过包含version参数的特制POST请求在受影响系统上执行任意命令；CVE-2025-20061属于操作系统命令注入漏洞，攻击者可通过包含email参数的特制POST请求在受影响系统上执行任意命令。

安全公司PRODAFT指出，这两个漏洞都源于系统未能正确过滤用户输入，从而为命令注入提供了可能。成功利用任一漏洞都可能允许攻击者注入系统命令并执行任意代码。

FBI近日发布紧急警告，指出利用恶意文件转换工具传播恶意软件的威胁日益严重。网络犯罪分子正在针对那些搜索免费文档格式转换工具的用户发起攻击，其中Word转PDF转换器成为特别常见的攻击载体。

Bitdefender安全分析师发现，这些恶意文件转换器通常采用复杂技术来逃避标准防病毒解决方案的检测。分析显示，恶意软件常通过注册表修改和计划任务建立持久性，创建后门允许网络犯罪分子长期访问被感染系统。这些恶意转换器伪装成合法工具，在用户搜索免费转换工具时常出现在搜索结果顶部。

一旦下载或访问，这些工具会执行请求的转换，同时在后台静默安装可能危及整个系统的恶意软件。感染后果可能非常严重，黑客可获取受害者计算机的远程访问权限，窃取电子邮件凭证、密码、社会安全号码和加密货币钱包详细信息等敏感信息。

CrowdStrike近日宣布与NVIDIA合作，推出由NVIDIA NIM微服务支持的人工智能网络安全创新产品。新推出的Charlotte AI检测分类系统比之前版本速度提高一倍，同时计算资源消耗减少50%，有效减轻了安全运营中心(SOC)的告警疲劳问题，提升了工作效率。

此次合作重点关注先进的推理模型，旨在提供更完善的自动化和决策能力，帮助安全团队快速准确地应对威胁。当前趋势显示，传统安全效能正在下降，而威胁在初始访问后迅速升级。

CrowdStrike的Falcon平台与NVIDIA AI的结合将显著改变安全运营模式。该计划的核心特点包括更快的检测流程和更精准的威胁识别。CrowdStrike正在研究多种AI推理模型，以进一步优化安全响应的运营效率。

近日，安全研究人员揭露了一起代号为"Vapor"大规模Android恶意应用攻击事件。据Bitdefender最新报告，共有331个恶意应用被上传至Google Play商店，累计下载量超过3亿次，影响约60万用户。这些应用主要充当广告软件或试图窃取用户凭证和信用卡信息。

这一攻击活动最早在2024年初被发现，180个相关应用每天生成2亿次欺诈性广告请求。受影响国家主要包括巴西、美国、墨西哥、土耳其和韩国。这些恶意应用伪装成各种实用工具，如健康和健身追踪器、笔记工具、电池优化器和二维码扫描器等。它们能够通过Google的安全审查，是因为初始版本不含恶意组件，而是在安装后通过命令控制（C2）服务器下载更新获得恶意功能。

据路透社报道，美国商务部下属机构近期通知员工，禁止在政府设备上使用我国人工智能模型 DeepSeek 。根据路透社获取的内部邮件和两位知情人士的消息，这一禁令已在近几周内向员工发出通知。

内部邮件明确指出："为保障商务部信息系统安全，在所有政府配发设备(GFE)上广泛禁止访问新的中国 AI 模型 DeepSeek 。请勿下载、查看或访问任何与 DeepSeek 相关的应用程序、桌面应用或网站。"

美国官员和国会议员已表达了对 DeepSeek 可能威胁数据隐私和敏感政府信息的担忧。众议院情报常设委员会成员 Josh Gottheimer 和Darin LaHood 于2 月提出立法，禁止在政府设备上使用 DeepSeek 。本月早些时候，他们致信美国各州州长，敦促禁止在政府发放的设备上使用这款中国 AI 应用。目前，包括弗吉尼亚州、德克萨斯州和纽约州在内的多个州已在政府设备上禁用该模型，21 个州的总检察长联盟也敦促国会通过相关立法。

安全研究公司Eclypsium 3月18日报告，American Megatrends International的MegaRAC基板管理控制器(BMC)软件中发现一个新的严重漏洞（CVE-2024-54085），可允许攻击者劫持甚至损毁易受攻击的服务器。

远程未经身份验证的攻击者可以通过访问远程管理接口(Redfish)或BMC接口的内部主机来利用此漏洞实现低复杂度攻击，且不需要用户交互。成功利用此漏洞后，攻击者可以远程控制被入侵的服务器、部署恶意软件或勒索软件、篡改固件、损坏主板组件（BMC或潜在的BIOS/UEFI）、造成服务器物理损坏（过电压/损毁），以及受害者无法停止的无限重启循环。

MegaRAC BMC提供"无人值守"和"带外"远程系统管理功能，帮助管理员远程排除服务器故障。该固件被HPE、Asus、ASRock等十多家服务器供应商使用。HPE Cray XD670、Asus RS720A-E11-RS24U和ASRockRack在未修补的情况下容易受到该漏洞攻击，可能还有更多受影响的设备和/或供应商。安全研究人员发现超过1000台在线服务器可能暴露于互联网攻击。

美国最大精子捐赠机构California Cryobank近日向客户发出警告，称公司遭遇了数据泄露事件，导致客户个人信息被暴露。

California Cryobank是美国规模最大的精子库，提供冷冻捐赠精子和专业生殖服务，如卵子和胚胎存储。该公司业务覆盖美国全部50个州和全球30多个国家。California Cryobank于2024年4月21日检测到网络上的可疑活动，随即将受影响计算机与IT网络隔离。通过调查，California Cryobank确定未授权方获取了其IT环境的访问权限，并可能在2024年4月20日至4月22日期间访问和/或获取了某些计算机系统上维护的文件。经过近一年的调查，该公司确认此次攻击暴露了客户的多种个人数据，包括姓名、银行账户和路由号码、社会安全号码、驾驶执照号码、支付卡号码和/或健康保险信息。对于社会安全号码或驾驶执照号码被泄露的客户，California Cryobank提供了一年免费信用监控服务。

值得注意的是，精子捐赠通常以匿名方式进行，捐赠者会被分配一个ID号码。这些捐赠者ID会与精子接收者共享，并可能被后代在18岁后用于了解其生物学父亲的信息。目前尚不清楚捐赠者信息（包括捐赠者ID号码）是否在此次泄露中被窃取，这对过去匿名捐赠精子的人来说将是重大隐私隐忧。

攻击者正在积极利用 OpenAI 的 ChatGPT 基础设施中的一个服务器端请求伪造（SSRF）漏洞。该漏洞被标识为 CVE-2024-27564，尽管其被归类为中等严重程度，但已成为一个重大威胁。

根据网络安全公司 Veriti 的研究，这个漏洞已在众多实际攻击中被利用，这表明威胁行为者即便面对中等程度的安全漏洞，也能设法攻破复杂的人工智能系统。

大规模的攻击利用

这些攻击的规模尤其令人担忧。Veriti 的研究发现，仅在一周内，就有超过 10479 次攻击尝试来自一个恶意 IP 地址。这些数字表明，存在一场针对使用 OpenAI 技术的组织的协同且持续的攻击行动。美国遭受的攻击最为集中，占比 33%，德国和泰国各占 7%。

主要攻击实施情况

其他受影响的地区包括印度尼西亚、哥伦比亚和英国，这表明了该威胁的全球范围。研究人员在报告中指出：“这种攻击模式表明，任何漏洞都不容小觑 —— 攻击者会利用他们能找到的任何弱点。” 攻击趋势显示，2025 年 1 月攻击数量激增，随后在 2 月和 3 月有所下降，这可能表明攻击者改变了策略，或者是受到了安全措施的影响。

一场名为 “DocSwap” 的复杂恶意软件攻击活动浮出水面，它伪装成一款合法的文档安全与查看应用程序，将全球的Android 用户作为攻击目标。

该恶意软件运用社会工程策略，诱骗用户安装看似是生产力工具的程序，实则在受害者设备上悄然建立持久存在，并窃取敏感信息。

最初的感染通常通过网络钓鱼邮件或受攻击的网站进行，这些邮件和网站将这款假的文档查看器宣传为安全打开 PDF 和办公文件的解决方案。安装后，DocSwap 会请求广泛的权限，包括访问联系人、存储以及短信功能。

S2W 安全分析师指出，一旦安装，该恶意软件会使用加密协议与命令控制服务器建立连接，以此绕过标准检测方法。

该恶意软件采用了复杂的混淆技术来隐藏其恶意代码。当应用程序被打开时，它确实会展示文档查看功能，同时在后台执行其有效载荷，这使得普通用户很难检测到异常。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除