Windows GDI安全漏洞曝光

安全研究人员披露了Windows图形设备接口（GDI）中三个已修复的安全漏洞（CVE-2025-30388、CVE-2025-53766、CVE-2025-47984），这些漏洞可能实现远程代码执行和信息泄露。漏洞源于gdiplus.dll和gdi32full.dll组件在处理增强型图元文件（EMF/EMF+）时触发的内存越界访问，导致图像渲染过程中内存损坏。微软已在2025年5月、7月和8月的补丁星期二更新中修复这些漏洞。

中国黑客团伙入侵赌博网站

三名中国公民严培剑（39岁）、黄钦正（37岁）和刘雨琪（33岁）因入侵海外赌博网站和公司被新加坡法院判处两年以上监禁。该团伙使用PlugX和数百种远程访问木马，通过伪造工作许可进入新加坡，受雇于瓦努阿图公民徐良标，非法获利约300万美元。

ChatGPT加速恶意软件分析

Check Point研究团队演示了如何利用ChatGPT进行XLoader木马的逆向工程。该木马采用运行时代码解密和多层加密保护，研究人员通过云端静态分析与MCP运行时密钥提取相结合，将分析时间从数天缩短至数小时。安全专家强调，AI工具虽能加速反混淆和脚本编写，但针对分散式密钥派生逻辑等高级保护仍需要人工分析。

RondoDox恶意软件攻击向量激增

RondoDox恶意软件的利用向量增长650%，从最初针对DVR设备扩展到企业网络，新增超过15个攻击向量，涵盖LB-LINK、Oracle WebLogic、PHPUnit、D-Link等设备。该恶意软件会清除竞争对手（如XMRig挖矿程序），禁用SELinux和AppArmor，并根据系统架构部署主载荷。

AWS凭证滥用基础设施TruffleNet

Fortinet发现新型大规模攻击基础设施TruffleNet，基于开源工具TruffleHog系统化测试被盗凭证，并在AWS环境中进行侦察。在一次事件中，攻击者使用800多个独立主机，通过GetCallerIdentity和GetSendQuota API验证凭证有效性，并滥用简单邮件服务（SES）进行商务邮件入侵（BEC）攻击。

FIN7部署SSH后门

PRODAFT披露FIN7攻击组织自2022年起部署基于OpenSSH的Windows后门，通过install.bat安装程序建立持久化远程访问，利用反向SSH隧道和SFTP实现可靠文件窃取。

摩尔多瓦选举遭遇DDoS攻击

Cloudflare透露摩尔多瓦中央选举委员会在议会选举日遭遇精心策划的大规模DDoS攻击，12小时内成功拦截8.98亿次恶意请求。攻击同时针对选举相关网站、公民社会和新闻媒体，显示协同破坏意图。

Silent Lynx攻击外交目标

Silent Lynx组织使用涉及独联体峰会的钓鱼诱饵，投放Ligolo-ng反向Shell、Silent Loader加载器和Laplas C++植入程序，针对阿塞拜疆-俄罗斯外交机构。另一活动针对中国-中亚关系，通过RAR压缩包分发SilentSweeper .NET后门。

欧洲暴力即服务攻击激增

欧洲勒索软件攻击同比增长13%，制造业、专业服务和技术行业成为重灾区。Akira、LockBit和RansomHub是最活跃的勒索组织。CrowdStrike观察到暴力即服务通过Telegram网络协调实体攻击，包括绑架和纵火。

仿冒应用滥用品牌信任

安全团队发现仿冒ChatGPT、DALL-E和WhatsApp的恶意应用。假冒WhatsApp Plus应用窃取联系人、短信和通话记录，而ChatGPT封装程序虽连接官方API但未明确声明非官方身份，存在安全风险。

钓鱼攻击利用多语言诱饵

亚洲地区出现使用多语言ZIP文件和共享网页模板的大规模钓鱼活动，针对政府和金融机构。攻击采用自动化基础设施，通过统一工具包实现规模化载荷投递。

中国电动巴士远程控制漏洞

丹麦当局发现中国宇通电动巴士存在远程访问控制系统漏洞，攻击者可远程停驶行驶中的车辆，目前正在全国层面实施补救措施。

AISURU僵尸网络域名清理

Cloudflare从其顶级域名排名中清除了与AISURU僵尸网络相关的域名。该僵尸网络被用于提升恶意域名排名，并针对Cloudflare的DNS服务发动攻击。

全球信用卡诈骗案告破

执法部门摧毁涉案3亿欧元的Chargeback信用卡诈骗网络，逮捕18名嫌疑人。犯罪团伙通过虚假在线订阅服务，在193个国家盗刷430万用户，未遂金额超过7.5亿欧元。