海滩与漏洞

作者：Thorsten Rosendahl

2025年9月11日 星期四 14:00

威胁源通讯

欢迎阅读本周的《威胁源》通讯。我休了两周假期（感谢Bill上周替我代班），并刻意将笔记本电脑留在了家里。没有电子邮件、即时消息，完全没有接触任何IT设备。感谢欧洲的工作文化！这是一次彻底的休息。

嗯，几乎是彻底的。

天气并不总是配合，所以与其在海滩上挨冻，我选择追剧——主要是新闻和一些连续剧。但无论我点击什么，都避不开日常的AI内容。我们该如何应对入侵性蚊子？问AI。政府不作为？问AI。想要天气预报？显然是AI。有无数的广告展示人们询问AI是否应该穿外套"因为可能会下雨"。即使是你最喜欢的电视剧，那个戴着连帽衫的黑客坐在黑色终端前运行危险（哈哈）的ping或nmap的日子也一去不复返了。现在，他们会写出这样的台词：“兄弟，你试过用我们最新的AI算法突破防火墙吗？”

回到工作岗位并了解行业新闻时，我几乎预期AI会占据头条。但事实并非如此，勒索软件也没有。相反，所有头条都是关于数据泄露的。许多（虽然不是全部）报告都提到了与Salesloft的Drift集成相关的OAuth令牌泄露事件，涉及大量知名受害者。当然，这不是科学或定性分析（勒索软件不会很快消失），但报道和头条肯定已经从一方面转向了另一方面。

抛开流行语和口号，这些头条新闻实际上归结为两个主要主题：供应链攻击和身份攻击。在SaaS世界中，我认为是时候重新思考它们的定义和优先级了。

为什么？首先，供应链攻击不再局限于硬件或软件。我们需要将数据路径（或数据可能被处理的地方）视为供应链的关键部分。

其次，身份攻击不仅针对用户；互连应用程序也面临越来越大的风险。我并不是说我们可以忽略用户，特别是当前的报道显示攻击始于通过GitHub账户的访问或我们"经典"应用程序中的软件漏洞，但我们绝对需要扩大关注范围。上周的头条新闻清楚地表明了这一点。

重要事项

思科Talos的最新博客文章详细介绍了网络威胁情报能力成熟度模型（CTI-CMM），这是一个帮助组织在11个关键领域评估和增强其网络威胁情报计划的框架。通过概述清晰的成熟度级别和改进周期，CTI-CMM可以帮助您的团队评估当前能力，并制定持续（且实用）发展的战略。

为什么我要关心？

理解和改进您的CTI计划成熟度可以帮助您的组织更好地预测、检测和应对网络威胁，无论您的预算或人员配置水平如何。它还能使您现有的安全投资更加有效，并确保团队的努力与业务优先级保持一致。

那么现在该怎么做？

查看CTI-CMM框架，评估您组织的现状，识别差距和机会，并为您的组织创建实际改进的路线图。

本周顶级安全头条

巨大的NPM供应链攻击悄然结束 涉及多个NPM软件包的供应链攻击本可能成为近期最具影响力的安全事件之一，但这种担忧似乎并未成为现实。（Dark Reading）

瑞士再保险警告网络保险费率恶化 报告称，保险公司之间的竞争加剧导致费率连续第三年下降，因为网络保险的供应超过了当前需求。（Cybersecurity Dive）

关键SAP漏洞被黑客积极利用 在多个SAP产品中发现了一个关键安全漏洞，可能允许恶意行为者获得管理员级别的控制权。（HackRead）

无收益，只有痛苦：160万条健身电话录音曝光 数十万健身房顾客和员工的敏感信息被留在未加密、无密码保护的数据库中。音频录音时间跨度从2020年到2025年。（The Register）

美国悬赏1000万美元通缉乌克兰勒索软件操作员 Volodymyr Tymoshchuk据称使用LockerGoga、MegaCortex和Nefilim勒索软件家族攻击了数百个组织。根据起诉书，这些入侵造成了数亿美元的损失。（Security Week）

中国指控迪奥上海分公司非法传输数据 中国公安机关声称，迪奥上海分公司将客户个人数据非法传输至法国总部，导致5月份发生数据泄露。（Reuters）

想要更多Talos内容？

与Talos喝啤酒：如何破坏APT的一天 B团队与来自Talos国家支持的威胁情报和拦截团队的Sara McBroom一起。Sara分享了她从文科专业到追踪世界上一些最先进对手的旅程。

谁会报名保护满是黑客的网络？ 我们的最新视频带您深入了解Black Hat网络运营中心（NOC），了解思科和SnortML如何控制混乱。

2025年9月补丁星期二 在本月的发布中，微软观察到包含的漏洞均未在野外被利用。但是，有八个漏洞可能被利用。

思科：保护Black Hat十年 思科与其他官方供应商合作，提供硬件、软件和工程师来构建和保护Black Hat USA网络：Arista、Corelight、Lumen和Palo Alto Networks。

您可以找到Talos的即将举行的活动

LABScon（9月17日至20日）亚利桑那州斯科茨代尔 VB2025（9月24日至26日）德国柏林 Wild West Hackin’ Fest（10月8日至10日）南达科他州戴德伍德

过去一周Talos遥测中最普遍的恶意软件文件

SHA 256：41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610 MD5：85bbddc502f7b10871621fd460243fbc VirusTotal：https://www.virustotal.com/gui/file/41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610/details 典型文件名：N/A 声称产品：自解压存档 检测名称：Win.Worm.Bitmin-9847045-0

SHA 256：9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 MD5：2915b3f8b703eb744fc54c81f4a9c67f VirusTotal：https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 典型文件名：VID001.exe 声称产品：N/A 检测名称：Win.Worm.Coinminer::1201

SHA 256：c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0 MD5：8c69830a50fb85d8a794fa46643493b2 VirusTotal：https://www.virustotal.com/gui/file/c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0 典型文件名：AAct.exe 声称产品：N/A 检测名称：PUA.Win.Dropper.Generic::1201