海滩与漏洞

作者：Thorsten Rosendahl

2025年9月11日 星期四 14:00

威胁源通讯

欢迎阅读本周的《威胁源》通讯。我休了两周假期（感谢Bill上周代班），特意把笔记本电脑留在了家里。没有电子邮件，没有即时消息，完全没有接触任何IT设备。感谢欧洲的工作文化！这真是一次彻底的休息。

嗯，几乎算是彻底。

天气并不总是配合，所以与其在海滩上挨冻，我选择追剧——主要是新闻和一些连续剧。但无论我点击什么内容，都避不开日常的AI话题。我们能对入侵的蚊子做什么？问AI。政府没有进展？问AI。想要天气预报？显然还是AI。有无数的广告展示人们询问AI是否要穿夹克“因为可能会下雨”。即使是你最喜欢的电视剧，那个戴着连帽衫的黑客坐在黑色终端前运行危险（哈哈）的ping或nmap的日子也一去不复返了。现在他们会写这样的台词：“兄弟，你试过用我们最新的AI算法突破防火墙吗？”

回到工作岗位，浏览行业新闻时，我几乎以为AI会占据头条。但事实并非如此，勒索软件也没有。相反，所有头条都是关于数据泄露的。许多（虽然不是全部）报告都提到了与Salesloft的Drift集成相关的OAuth令牌泄露事件，涉及大量知名受害者。当然，这不是科学或定性分析（勒索软件短期内不会消失），但报道和头条确实已经从一方面转向了另一方面。

抛开流行语和口号，这些头条实际上归结为两个主要主题：供应链攻击和身份攻击。在SaaS的世界里，我认为是时候重新思考它们的定义和优先级了。

为什么？首先，供应链攻击不再局限于硬件或软件。我们需要将数据路径（或数据可能被处理的地方）视为供应链的关键部分。

其次，身份攻击不仅针对用户；互连应用程序也面临越来越大的风险。我并不是说我们可以忽略用户，特别是当前的报道显示攻击始于通过GitHub账户的访问或我们“经典”应用程序中的软件漏洞，但我们绝对需要扩大关注范围。上周的头条新闻清楚地表明了这一点。

重要事项

思科Talos的最新博客文章详细介绍了网络威胁情报能力成熟度模型（CTI-CMM），这是一个帮助组织在11个关键领域评估和增强其网络威胁情报计划的框架。通过概述清晰的成熟度级别和改进周期，CTI-CMM可以帮助您的团队评估当前能力，并制定持续（且实用）发展的战略。

为什么这很重要？

理解和改进您的CTI计划成熟度可以帮助您的组织更好地预测、检测和应对网络威胁，无论您的预算或人员配置水平如何。它还能使您现有的安全投资更加有效，并确保团队的努力与业务优先级保持一致。

那么现在该做什么？

查看CTI-CMM框架，评估您组织的现状，识别差距和机会，并为您的组织创建一个实用改进的路线图。

本周安全头条

• 巨大的NPM供应链攻击悄然落幕 涉及多个NPM包的供应链攻击本可能成为近期最具影响力的安全事件之一，但这种担忧似乎并未成为现实。（Dark Reading）

• 瑞士再保险警告网络保险费率恶化 报告显示，保险公司之间的竞争加剧导致费率连续第三年下降，因为网络保险的供应超过了当前需求。（Cybersecurity Dive）

• 黑客积极利用关键SAP漏洞 在多个SAP产品中发现了一个关键安全漏洞，可能允许恶意行为者获得管理员级别的控制权。（HackRead）

• 无收益只有痛苦：160万条健身电话录音曝光 数十万健身房顾客和员工的敏感信息被留在未加密、无密码保护的数据库中。音频录音时间跨度从2020年到2025年。（The Register）

• 美国悬赏1000万美元追捕乌克兰勒索软件操作者 Volodymyr Tymoshchuk据称使用LockerGoga、MegaCortex和Nefilim勒索软件家族攻击了数百个组织。根据起诉书，这些入侵造成了数亿美元的损失。（Security Week）

• 中国指控迪奥上海分公司非法传输数据 中国公安机关声称迪奥上海分公司将客户个人数据非法传输至法国总部，导致5月份发生数据泄露。（Reuters）

更多Talos内容

• 与Talos共饮啤酒：如何破坏APT组织的一天 B团队与来自Talos国家支持的威胁情报和拦截团队的Sara McBroom一起。Sara分享了她从文科专业到追踪世界上一些最先进对手的旅程。

• 谁会愿意保护满是黑客的网络？ 我们的最新视频带您走进Black Hat网络运营中心（NOC）的幕后，了解思科和SnortML如何控制混乱。

• 2025年9月补丁星期二 在本月的发布中，微软观察到包含的漏洞均未在野外被利用。然而，有八个漏洞可能被利用的可能性较高。

• 思科：保护Black Hat十年 思科与其他官方供应商合作，提供硬件、软件和工程师来构建和保护Black Hat USA网络：Arista、Corelight、Lumen和Palo Alto Networks。

您可以找到Talos的即将举办的活动

• LABScon（9月17日–20日）亚利桑那州斯科茨代尔
• VB2025（9月24日–26日）德国柏林
• Wild West Hackin’ Fest（10月8日–10日）南达科他州戴德伍德

过去一周Talos遥测中最普遍的恶意软件文件

• SHA 256: 41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610

• MD5: 85bbddc502f7b10871621fd460243fbc

• VirusTotal: https://www.virustotal.com/gui/file/41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610/details

• 典型文件名: 不适用

• 声称产品: 自解压存档

• 检测名称: Win.Worm.Bitmin-9847045-0

• SHA 256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

• MD5: 2915b3f8b703eb744fc54c81f4a9c67f

• VirusTotal: https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

• 典型文件名: VID001.exe

• 声称产品: 不适用

• 检测名称: Win.Worm.Coinminer::1201

• SHA 256: c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0

• MD5: 8c69830a50fb85d8a794fa46643493b2

• VirusTotal: https://www.virustotal.com/gui/file/c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0

• 典型文件名: AAct.exe

• 声称产品: 不适用

• 检测名称: PUA.Win.Dropper.Generic::1201