【网络安全周报】0-Day 在野利用、VPN 持久化新变种、AI 遭武器化、信任链被打破——防御刻不容缓！

本周的网络安全态势再次严峻示警：攻击者正以前所未有的速度利用 0-Day 漏洞发动攻击，甚至在补丁发布前就已在野利用 (Exploited in the Wild)；看似安全的 VPN 在修复后仍能被攻击者利用非传统技术潜伏；可信的杀毒软件反被劫持；连强大的 AI 也沦为自动化攻击的武器。正如 Wiz 近期报告揭示的，高达 61% 的组织在公开代码库中暴露了云密钥等敏感凭证，开发源头的安全疏漏正为攻击者敞开大门。现实已不容我们被动响应，必须拥抱“假设已被攻破 (Assume Breach)”的思维，构建更具韧性的防御体系。

本期周报聚焦近期关键威胁，深度解析技术细节，助您领先一步。

⚡ 本周核心威胁：Windows CLFS 0-Day (CVE-2025-29824) 已遭在野利用

微软确认，Windows 通用日志文件系统 (Common Log File System, CLFS) 的一个高危权限提升漏洞 (CVE-2025-29824) 在 4 月补丁发布前已遭在野利用，被用于勒索软件攻击。利用 CLFS 内核级服务的漏洞通常涉及操纵日志文件内部结构以触发内核代码执行，最终获取 SYSTEM 最高权限。

• 攻击链剖析
• 投递载体
  
  PipeMagic 木马（作为下载器/加载器）。
• 漏洞利用
  
  PipeMagic 下载并执行针对 CVE-2025-29824 的 0-Day Exploit。
• 提权与后续
  
  Exploit 提权至 SYSTEM 后，Storm-2460 组织进行凭证收割，并部署与 RansomEXX 家族关联的勒索软件。
• 补丁状态
  
  已在 2025 年 4 月 Patch Tuesday 修复。
• 关键启示
  
  0-Day 在野利用要求组织必须具备快速响应和应用补丁的能力，并部署能检测异常内核行为的 EDR 方案。

🔔 热点安全新闻 Top News

1. 信任链破裂：ESET 杀软遭 APT 组织利用 (CVE-2024-11859)：

• 攻击者
  
  ToddyCat APT。
• 技术
  
  利用 ESET 产品（即使已打补丁的老版本系统仍可能受影响）的 DLL 搜索顺序劫持漏洞，静默执行 TCESB 木马。
• 高级规避
  
  TCESB 通过加载自带的、有签名但存在漏洞的驱动程序 (BYOVD) 获取内核权限，以禁用或绕过 EDR 等终端防护。
• 启示
  
  对供应链和可信第三方软件的风险评估需更加审慎。

2. 潜伏的威胁：Fortinet VPN 补丁后的 Symlink 持久化：

• 技术
  
  攻击者利用 Symlink（符号链接） 技术，在 SSL-VPN 相关目录下创建指向根文件系统的链接，实现了即使入口漏洞被修复后，仍能维持对设备的只读访问。
• 风险
  
  足以让攻击者持续窃取敏感配置、侦察网络、甚至挖掘残留凭证，为后续攻击蛰伏待机。
• 状态
  
  Fortinet 已发布新补丁。
• 启示
  
  事件响应需彻查非标准持久化点，不能仅满足于修复入口漏洞。

3. AI 武器化：AkiraBot 利用 OpenAI API 实施规模化垃圾信息攻击：

• 机制
  
  AkiraBot 平台调用 OpenAI API（很可能使用被盗或违规获取的 API 密钥），根据网站内容自动生成定制化推广信息，大规模自动投放。
• 规模与应对
  
  影响超 8 万网站，OpenAI 已禁用涉事 API 密钥。
• 启示
  
  AI 技术极大地增强了自动化攻击的规模、效率和迷惑性，需警惕 AI 驱动的新型威胁。

4. 传统威胁依旧：Gamaredon 利用 U 盘传播 GammaSteel：

• 向量
  
  受感染的 U 盘仍被 Gamaredon APT 用于传播，此次针对外交使团。
• 载荷
  
  更新版的 GammaSteel 窃密木马。
• 启示
  
  物理安全和移动介质管理仍是防御的重要一环。

5. 持续的扫描：PAN-OS GlobalProtect 遭暴力破解：针对 Palo Alto GlobalProtect 网关的暴力破解登录尝试持续，提醒需加固身份认证。

💡 技术洞察：隐蔽的 Guest 账户持久化技巧

作为一种易被忽视的持久化手段，攻击者可能重新激活禁用的内置 Windows Guest 账户。一旦设置密码并可能加入特权组（如远程桌面用户），这个看似无害的账户就成了攻击者隐蔽登录、潜伏和横向移动的据点。

• 关键监测点
  
  务必监控 Windows 安全事件 ID 4722 (账户已启用)，聚焦 Guest 账户。结合对账户修改命令（net user等）的审计和特权组成员的定期审阅。发现异常立即按潜在入侵处理。

结论：超越被动防御，拥抱主动安全与韧性

本周纷繁复杂的安全事件共同指向一个未来：被动等待和响应已不足以应对。 防御者必须主动出击，将“假设已被攻破”的思维融入日常：

• 实施主动威胁狩猎 (Proactive Threat Hunting)
  
  基于情报和假设，主动在自身环境中寻找未知威胁的蛛丝马迹。
• 强化安全韧性 (Resilience)
  
  不仅要防御入侵，更要确保在入侵发生时，能够快速检测、遏制、恢复，并维持核心业务的运转。
• 深化纵深防御
  
  加强网络分段、实践零信任、提升行为检测能力、保障开发安全，并为新技术（如 AI）的两面性做好准备。

网络安全的竞赛没有终点，唯有持续学习、快速适应、主动作为，方能在这场博弈中掌握主动权。

原文始发于微信公众号（技术修道场）：【网络安全周报】0-Day 在野利用、VPN 持久化新变种、AI 遭武器化、信任链被打破——防御刻不容缓！