⚡ 每周安全回顾：思科0日漏洞、破纪录DDoS、LockBit 5.0、BMC漏洞、ShadowV2僵尸网络等

网络安全永不停歇——黑客也是如此。当您结束上周工作时，新的攻击已经在进行中。从隐藏的软件漏洞到大规模DDoS攻击和新的勒索软件技巧，本周的汇总为您提供了需要了解的最重要安全动态。

⚡ 本周威胁重点

思科0日漏洞遭攻击——网络安全机构警告，威胁行为者已利用影响思科防火墙的两个安全漏洞，作为零日攻击的一部分，提供以前未记录的恶意软件家族，如RayInitiator和LINE VIPER。这些恶意软件在复杂性和逃避检测能力方面都代表了先前活动的重大演变。该活动涉及利用CVE-2025-20362（CVSS评分：6.5）和CVE-2025-20333（CVSS评分：9.9）来绕过认证并在易受攻击的设备上执行恶意代码。该活动被评估与名为ArcaneDoor的威胁集群有关，归因于疑似与中国有关的黑客组织UAT4356（又名Storm-1849）。

🔔 头条新闻

Nimbus Manticore在关键基础设施攻击中使用MiniJunk——一个与伊朗结盟的网络间谍组织已将其行动扩展到传统的中东狩猎场之外，使用不断演变的恶意软件变种和攻击战术瞄准西欧的关键基础设施组织。Nimbus Manticore（与UNC1549或Smoke Sandstorm有重叠）被观察到针对丹麦、葡萄牙和瑞典的国防制造、电信和航空公司。该活动的核心是MiniJunk（一个混淆的后门，让攻击者持久访问受感染系统）和MiniBrowse（一个轻量级窃取程序，有分别窃取Chrome和Edge浏览器凭据的版本）。MiniJunk是MINIBIKE（又名SlugResin）的更新版本，电子邮件将受害者引导至与空客、波音、Flydubai和莱茵金属等公司相关的虚假工作登录页面。在其战术的进一步升级中，Nimbus Manticore被观察到从2025年5月开始使用SSL.com服务签署其代码，并将恶意软件伪装成合法软件程序，导致“检测率急剧下降”。

ShadowV2针对Docker进行DDoS攻击——一种新型ShadowV2僵尸网络活动通过瞄准AWS上配置错误的Docker容器，将分布式拒绝服务（DDoS）攻击变成了全面的雇佣业务。攻击者不依赖预构建的恶意镜像，而是在受害者机器上构建容器，启动基于Go的RAT，可发起DDoS攻击。Darktrace研究人员认为，这种方法可能是减少导入恶意容器取证痕迹的一种方式。一旦安装，恶意软件每秒向C2服务器发送心跳信号，同时每五秒轮询新的攻击命令。

Cloudflare缓解史上最大DDoS攻击——网络性能和安全公司Cloudflare表示，其系统阻止了一次破纪录的分布式拒绝服务（DDoS）攻击，峰值达22.2 Tbps和106亿包/秒，仅持续40秒。攻击针对一家未具名欧洲网络基础设施公司的单个IP地址。据信该攻击可能由AISURU僵尸网络驱动。

Vane Viper与分发恶意软件的恶意活动有关——一个活跃十多年的大规模网络犯罪操作Vane Viper，由一个历史复杂的商业数字广告平台支持。Vane Viper利用数十万个被入侵网站和恶意广告，将毫无戒心的网络用户重定向到漏洞利用工具包、恶意软件和可疑网站。调查结果表明Vane Viper并非无意中的中间人，而是恶意活动的同谋推动者和积极参与者。

2个新的Supermicro BMC漏洞允许植入恶意固件——运行在Supermicro销售的母板上的服务器存在中等严重性漏洞，允许黑客远程安装甚至在操作系统之前运行的恶意固件，提供前所未有的持久性。但需要注意的是，威胁行为者需要具有BMC控制界面的管理访问权限来执行更新，或通过供应链攻击分发，入侵用于托管固件更新的服务器并用恶意镜像替换原始镜像，同时保持签名有效。Supermicro表示已更新BMC固件以缓解漏洞，并正在测试和验证受影响产品。更新的当前状态未知。

️‍🔥 趋势CVE

黑客不会等待。他们在几小时内利用新披露的漏洞，将未修补的补丁或隐藏的漏洞转化为关键故障点。本周行业中最关键的漏洞包括：CVE-2025-20362、CVE-2025-20333、CVE-2025-20363（思科）、CVE-2025-59689（Libraesva ESG）、CVE-2025-20352（思科IOS）、CVE-2025-10643、CVE-2025-10644（Wondershare RepairIt）、CVE-2025-7937、CVE-2025-6198（Supermicro BMC）、CVE-2025-9844（Salesforce CLI）、CVE-2025-9125（Lectora Desktop）、CVE-2025-23298（NVIDIA Merlin）、CVE-2025-59545（DotNetNuke）、CVE-2025-34508（ZendTo）、CVE-2025-27888（Apache Druid Proxy）、CVE-2025-10858、CVE-2025-8014（GitLab）和CVE-2025-54831（Apache Airflow）。

📰 网络世界动态

微软在欧盟免费提供ESU——在Euroconsumers集团的压力下，微软决定为欧洲经济区（EEA）的Windows 10用户免费提供扩展安全更新。在其他地区，用户需要启用Windows备份或支付30美元/年或兑换1000点Microsoft奖励积分。

Olymp Loader在野发现——一种名为Olymp Loader的新恶意软件加载程序在野发现，通过GitHub仓库传播，或伪装成PuTTY、OpenSSL、Zoom甚至Counter Strike模组Classic Offensive等流行软件的工具传播。该恶意软件即服务（MaaS）解决方案用汇编语言编写，提供内置窃取模块。使用Olymp的活动被发现提供一系列信息窃取程序和远程访问木马。

恶意Facebook广告导致JSCEAL恶意软件——网络安全研究人员披露了一项持续活动，使用Facebook和Google上的虚假广告免费分发TradingView等交易平台的高级版本。该活动还扩展到YouTube，使用平台上的赞助广告将用户引导至含有恶意软件的下载，窃取凭据并入侵账户。

LockBit 5.0分析——LockBit勒索软件背后的威胁行为者在其六周年发布了“显著更危险”的LockBit 5.0版本，具有高级混淆和反分析技术，能够针对Windows、Linux和ESXi系统。5.0版本与LockBit 4.0共享代码特征，包括相同的哈希算法和API解析方法，确认这是原始代码库的演进而非模仿。

勒索软件组织使用被盗AWS密钥入侵云——勒索软件团伙使用存储在本地环境（如Veeam备份服务器）中的Amazon Web Services（AWS）密钥，转向受害者的AWS账户并借助Pacu AWS利用框架窃取数据，将最初的本地方案转变为云泄露。

🔧 网络安全工具

Pangolin——自托管反向代理，安全地将私有服务暴露到互联网，无需打开防火墙端口。它创建加密的WireGuard隧道连接隔离网络，包含内置身份和访问管理，可控制谁访问内部应用、API或IoT设备。

AI红队演练场——微软的AI红队演练场实验室提供实践挑战，练习探测AI系统的安全漏洞。基于Chat Copilot并由开源PyRIT框架驱动，让您模拟提示注入和其他对抗性攻击，在部署前识别生成式AI中的隐藏风险。

🔒 本周提示

强化Active Directory抵御现代攻击——Active Directory是主要目标，入侵它攻击者就能控制您的网络。从Kerberos FAST开始加强其防御，加密预认证流量以阻止离线密码破解和中继攻击。在“支持”模式下部署，监控KDC事件（ID 34、35），然后在所有客户端就绪后强制执行“必需”模式。

运行PingCastle进行快速林健康检查，使用ADeleg/ADeleginator发现OU或服务账户中的危险过度委托。使用细粒度密码策略（FGPP）加强密码安全，使用LAPS或Lithnet密码保护自动轮换本地管理员密码，实时阻止泄露凭据。

结论

这些头条新闻显示了在当今威胁形势下我们的防御必须多么紧密相连。没有单个团队、工具或技术可以独立存在——强大的安全依赖于共享意识和行动。

花点时间传递这些见解，与团队引发讨论，将这些知识转化为具体步骤。每一个应用的补丁、更新的政策或分享的课程不仅加强了您自己的组织，而且加强了我们所依赖的更广泛的网络安全社区。