⚡ 本周回顾:MongoDB攻击、钱包泄露、Android间谍软件、内部犯罪等更多事件
上周(2025年)的网络新闻并非关于单一重大事件,而是关于许多微小裂痕同时出现。人们日常信赖的工具以意想不到的方式运行。旧漏洞重现,新漏洞几乎立即被利用。
贯穿2025年所有事件的一个共同主题是:攻击者的行动速度超过了修复速度。用于工作、更新或支持的系统访问权限持续遭到滥用。而且,损害并未在事件“结束”时停止,而是在数月甚至数年后继续浮出水面。
本周回顾将这些故事汇集一处。没有信息过载,没有噪音。阅读下文,了解在2025年最后阶段塑造威胁格局的事件,以及当下值得您关注的内容。
⚡ 本周威胁焦点
MongoDB漏洞正遭攻击
新披露的MongoDB安全漏洞已在野外被积极利用,全球已识别超过87,000个可能易受攻击的实例。相关漏洞是CVE-2025-14847(CVSS评分:8.7),允许未经身份验证的攻击者远程泄露MongoDB服务器内存中的敏感数据,代号为MongoBleed。目前尚不清楚利用该漏洞的攻击的具体细节。建议用户更新至MongoDB版本 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30。攻击面管理公司Censys的数据显示,有超过87,000个潜在易受攻击的实例,其中大部分位于美国、中国、德国、印度和法国。Wiz指出,42%的云环境中至少有一个MongoDB实例运行在易受CVE-2025-14847攻击的版本上,这包括暴露于互联网的资源以及内部资源。
🔔 头条新闻
Trust Wallet Chrome扩展程序遭黑客攻击导致700万美元损失
Trust Wallet敦促用户将其Google Chrome扩展程序更新至最新版本,此前发生一起“安全事件”,导致损失约700万美元。建议用户尽快更新至2.69版本。Trust Wallet表示:“我们已确认约有700万美元受到影响,我们将确保所有受影响的用户获得退款。”该Chrome扩展程序拥有约100万用户。仅使用移动版的用户和所有其他浏览器扩展版本不受影响。目前尚不清楚攻击背后是谁,但Trust Wallet表示,攻击者可能通过使用泄露的Chrome Web Store API密钥发布了恶意版本(2.68)。已要求受影响的受害者填写表格以处理赔偿事宜。
Evasive Panda发动DNS投毒攻击推送MgBot恶意软件
一个与中国有关联的、名为Evasive Panda的高级持续性威胁(APT)组织被指发动了一次高度针对性的网络间谍活动。在此活动中,对手通过毒化域名系统(DNS)请求,在针对土耳其、中国和印度受害者的攻击中分发其标志性的MgBot后门。该活动发生在2022年11月至2024年11月之间。根据卡巴斯基的报告,该黑客组织对特定受害者进行了中间人(AitM)攻击,提供诸如SohuVA、爱奇艺视频、IObit Smart Defrag和腾讯QQ等流行工具的木马化更新,最终部署了MgBot。MgBot是一种具有广泛信息收集能力的模块化植入程序。目前尚不清楚威胁行为者是如何毒化DNS响应的。但怀疑有两种可能的情况:要么是受害者使用的ISP被选择性攻击并入侵,以便在边缘设备上安装某种网络植入程序;要么是受害者使用的路由器或防火墙被黑客入侵用于此目的。
LastPass 2022年数据泄露导致加密货币被盗
从2022年LastPass数据泄露中窃取的加密保险库备份使不良行为者得以利用薄弱的主密码来破解它们,并在2025年末盗取加密货币资产。TRM Labs的新发现显示,截至2025年9月,可能与俄罗斯网络犯罪生态系统有联系的威胁行为者窃取了至少3500万美元。被盗加密货币与俄罗斯的关联源于两个主要因素:在洗钱过程中使用了通常与俄罗斯网络犯罪生态系统相关的交易所;以及在混合和洗钱过程前后,从与混币器交互的钱包中收集到的操作联系。
Fortinet警告利用CVE-2020-12812的活动再次活跃
Fortinet表示,在特定配置下,观察到CVE-2020-12812(一个存在于FortiOS SSL VPN中长达五年的安全漏洞)在野外被“最近滥用”。如果用户名大小写发生变化,该漏洞可能允许用户在没有被提示进行第二因素认证的情况下成功登录。新发布的指南未提供有关利用该漏洞攻击性质的具体细节,也未说明这些攻击事件是否成功。Fortinet还建议受影响的客户联系其支持团队,如果发现存在管理员或VPN用户在未进行双因素认证(2FA)的情况下被认证的证据,则重置所有凭据。
假冒WhatsApp API npm包窃取信息
在npm仓库中发现一个名为lotusbail的新恶意包,它作为功能完整的WhatsApp API运行,但包含拦截每条消息并将攻击者设备链接到受害者WhatsApp账户的能力。该包自2025年5月由名为“seiren_primrose”的用户首次上传到注册表以来,已被下载超过56,000次。该包现已被npm删除。一旦安装了该npm包,威胁行为者就可以读取所有WhatsApp消息、向他人发送消息、下载媒体文件以及访问联系人列表。Koi表示:“关键部分在于,卸载npm包会移除恶意代码,但威胁行为者的设备会保持链接到您的WhatsApp账户。这种配对会保留在WhatsApp的系统中,直到您手动从WhatsApp设置中取消链接所有设备。即使包被移除,他们仍然拥有访问权限。”
️🔥 趋势CVE漏洞
黑客行动迅速。他们可以在几小时内利用新漏洞。一个遗漏的更新可能导致重大泄露。以下是本周最严重的安全漏洞。检查它们,优先修复重要漏洞,保持防护。
本周列表包括:CVE-2025-14847 (MongoDB)、CVE-2025-68664 (LangChain Core)、CVE-2023-52163 (Digiever DS-2105 Pro)、CVE-2025-68613 (n8n)、CVE-2025-13836 (Python http.client)、CVE-2025-26794 (Exim)、CVE-2025-68615 (Net-SNMP)、CVE-2025-44016 (TeamViewer DEX Client) 和 CVE-2025-13008 (M-Files Server)。
📰 全球网络安全动态
前Coinbase客服代理在印度被捕
Coinbase首席执行官布莱恩·阿姆斯特朗表示,这家美国最大加密货币交易所的一名前客户服务代理在印度被捕。此前数月,黑客曾贿赂客服代表以获取客户信息。今年5月,该公司表示黑客贿赂了在印度工作的承包商以窃取敏感客户数据,并要求支付2000万美元赎金。阿姆斯特朗说:“我们对不良行为零容忍,并将继续与执法部门合作,将不法分子绳之以法。感谢印度海得拉巴警方,一名前Coinbase客服代理刚刚被捕。又一个落网,还有更多待抓捕。”该事件影响了69,461人。2025年9月的一份集体诉讼文件显示,Coinbase聘请TaskUs处理来自印度的客户支持。法庭文件还提到,Coinbase“切断了与所涉TaskUs人员及其他海外代理的联系,并加强了控制。”一名来自印多尔的TaskUs员工Ashita Mishra被指控早在2024年9月就“同意将高度敏感的Coinbase用户数据出售给那些罪犯,从而加入阴谋”。Mishra于2025年1月被捕,涉嫌以每条记录200美元的价格将被盗数据出售给黑客。TaskUs声称,“我们识别出两名非法访问我们一家客户信息的个人,他们是被一个针对该客户的、范围更广、协调一致的犯罪活动所招募,该活动也影响了服务于该客户的其他多家提供商。”该公司还声称Coinbase“有TaskUs以外的供应商,并且Coinbase员工也卷入了此次数据泄露”。但该公司未提供进一步细节。
Cloud Atlas瞄准俄罗斯和白俄罗斯
名为Cloud Atlas的威胁行为者利用带有恶意Microsoft Word文档附件的钓鱼诱饵。打开附件时,会从远程服务器下载恶意模板,进而获取并执行HTML应用程序(HTA)文件。恶意HTA文件在磁盘上提取并创建多个Visual Basic脚本(VBS)文件,这些文件是VBShower后门的组成部分。VBShower随后下载并安装其他后门,包括PowerShower、VBCloud和CloudAtlas。VBCloud可以下载并执行额外的恶意脚本,包括用于外传目标文件的文件抓取器。与VBCloud类似,PowerShower能够从远程服务器检索额外载荷。CloudAtlas通过WebDAV与命令与控制(C2)服务器建立通信,并获取DLL形式的可执行插件,使其能够收集文件、运行命令、从基于Chromium的浏览器窃取密码以及捕获系统信息。该威胁行为者发动的攻击主要针对俄罗斯和白俄罗斯的电信、建筑、政府实体和工厂等领域的组织。
BlackHawk Loader在野外被发现
在野外检测到一种名为BlackHawk的新MSIL加载器,它包含三层混淆,显示出使用人工智能(AI)工具生成的迹象。据ESET称,它包含一个Visual Basic脚本和两个PowerShell脚本,其中第二个脚本包含Base64编码的BlackHawk加载器和最终载荷。该加载器正被积极用于传播Agent Tesla的攻击活动中,目标是罗马尼亚中小型公司的数百个终端。该加载器也被用于传播一种名为Phantom的信息窃取程序。
Cobalt Strike服务器激增
Censys指出,2025年12月初至12月18日期间,在线托管的Cobalt Strike服务器数量突然激增,特别是在AS138415 (YANCY) 和 AS133199 (SonderCloud LTD) 的网络中。Censys表示:“从上面的时间线看,AS138415首先在12月4日开始出现有限的‘种子’活动,随后在12月6日大幅扩展了119个新的Cobalt Strike服务器。然而,在短短两天内,几乎所有新增的基础设施都消失了。12月8日,AS133199经历了一次近乎镜像的新增和减少Cobalt Strike服务器的过程。”在此期间,超过150个与AS138415相关的独立IP地址被标记为托管Cobalt Strike监听器。此网段23.235.160[.]0/19于2025年9月分配给RedLuff, LLC。
认识Fly,俄罗斯市场管理员
Intrinsec透露,一个名为Fly的威胁行为者很可能是Russian Market的管理员,这是一个用于销售通过信息窃取程序窃取的凭据的地下门户。这家法国网络安全公司表示:“该威胁行为者曾多次且多年来推广该市场。他的用户名让人联想到该市场的旧名称‘Flyded’。我们发现了用于注册第一批Russian Market域名的两个电子邮件地址,这使我们能够找到与一个名为‘AlexAske1’的Gmail账户的潜在联系,但我们未能找到有关此潜在身份的更多信息。”
新骗局活动以虚假工作机会针对MENA地区
一场新的骗局活动正在针对中东和北非(MENA)国家,在社交媒体以及Telegram和WhatsApp等私人消息平台上发布虚假的在线工作信息。这些信息承诺轻松工作和快速赚钱,但实际旨在收集个人数据和窃取金钱。这些骗局利用了人们对知名机构的信任以及社交媒体广告的低成本。其目标是广泛撒网以进行大规模钓鱼。Group-IB表示:“虚假招聘广告通常冒充知名公司、银行和权威机构以获取受害者的信任。一旦受害者参与,对话就会转移到私人消息渠道,实际的金融诈骗和数据窃取便在那里发生。”广告通常将受害者重定向到一个WhatsApp群组,在那里招聘人员会引导他们访问一个诈骗网站进行注册。受害者完成此步骤后,会被添加到各种Telegram频道,并被指示支付费用以“确保”任务并从中赚取佣金。Group-IB说:“诈骗者实际上会为初始任务发送一小笔付款以建立信任。然后他们会促使受害者存入更大金额以承担承诺更高回报的更大任务。当受害者存入大笔资金后,付款就会停止,频道和账户消失,受害者发现自己被屏蔽,沟通和追踪几乎不可能。”这些广告针对埃及、海湾国家成员国、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦等MENA国家。
EmEditor遭入侵以分发信息窃取程序
基于Windows的文本编辑程序EmEditor披露了一起安全漏洞。Emurasoft表示,在2022年12月19日至22日期间,“第三方”未经授权修改了其Windows安装程序的下载链接,使其指向托管在EmEditor网站上另一位置的恶意MSI文件。Emurasoft表示正在调查此事件以确定完整的影响范围。根据中国安全公司奇安信的报告,该恶意安装程序用于启动一个PowerShell脚本,能够收集系统信息,包括系统元数据、文件、VPN配置、Windows登录凭据、浏览器数据,以及与Zoho Mail、Evernote、Notion、Discord、Slack、Mattermost、Skype、LiveChat、Microsoft Teams、Zoom、WinSCP、PuTTY、Steam和Telegram等应用相关的信息。它还安装了一个名为Google Drive Caching的Edge浏览器扩展(ID: “ngahobakhbdpmokneiohlfofdmglpakd”),能够对浏览器进行指纹识别、替换剪贴板中的加密货币钱包地址、记录特定网站(如x[.]com)的按键操作,并窃取Facebook广告账户详情。
Docker强化镜像现已免费提供
Docker已为每位开发者免费提供Hardened Images,以增强软件供应链安全。这些镜像于2025年5月推出,是一套由Docker管理的安全、精简、可用于生产的镜像集。该公司表示已对其目录中的1000多个镜像和helm chart进行了强化。Docker指出:“与其他不透明或专有的强化镜像不同,DHI与Alpine和Debian兼容,这是团队已经了解并可以以最小更改采用的值得信赖且熟悉的开源基础。”
Livewire漏洞披露
有关Livewire(一个用于Laravel的全栈框架)中一个现已修补的关键安全漏洞(CVE-2025-54068,CVSS评分:9.8)的细节浮出水面。该漏洞可能在特定场景下允许未经身份验证的攻击者实现远程命令执行。该问题已在2025年7月发布的Livewire 3.6.4版本中得到解决。根据Synacktiv的说法,该漏洞根植于该平台的水合机制中,该机制用于管理组件状态,并通过校验和确保它们在传输过程中未被篡改。这家网络安全公司表示:“然而,该机制存在一个关键漏洞:只要攻击者拥有应用程序的APP_KEY,就可以利用危险的解组过程。通过制作恶意载荷,攻击者可以操纵Livewire的水合过程来执行任意代码,从简单的函数调用到隐秘的远程命令执行。”更糟糕的是,该研究还发现了一个预身份验证远程代码执行漏洞,即使不知道应用程序的APP_KEY也可利用。Synacktiv补充道:“攻击者可以通过Livewire请求的updates字段注入恶意合成器,利用PHP的松散类型和嵌套数组处理。这种技术绕过了校验和验证,允许任意对象实例化,并导致系统完全被攻陷。”
ChimeraWire恶意软件提升网站SERP排名
发现一种名为ChimeraWire的新恶意软件,通过在受感染的Windows设备上执行隐藏的互联网搜索并模仿用户点击,人为地提升某些网站在搜索引擎结果页面(SERP)中的排名。Doctor Web表示,ChimeraWire通常作为第二段载荷部署在先前感染了其他恶意软件下载器的系统上。该恶意软件设计用于下载Windows版本的Google Chrome浏览器,并在其中安装NopeCHA和Buster等插件以进行自动CAPTCHA解决。随后,ChimeraWire在调试模式下以隐藏窗口启动浏览器,根据某些预配置标准执行恶意点击活动。这家俄罗斯公司表示:“为此,恶意应用程序在Google和Bing搜索引擎中搜索目标互联网资源,然后加载它们。它还通过点击已加载网站上的链接来模仿用户行为。该木马在Google Chrome网络浏览器中执行所有恶意操作,它会从特定域名下载该浏览器,然后通过WebSocket协议在调试模式下启动它。”
关于LANDFALL活动的更多细节
Palo Alto Networks Unit 42上个月披露了LANDFALL Android间谍软件活动,该活动在针对中东地区的攻击中利用了三星Galaxy Android设备中一个现已修补的零日漏洞(CVE-2025-21042)。Google Project Zero表示,他们识别出在2024年7月至2025年2月期间上传到VirusTotal的六个可疑图像文件。据推测这些图像是通过WhatsApp接收的,Google指出这些文件是针对Quram库(三星设备特有的图像解析库)的DNG文件。进一步调查确定,这些图像被设计用于触发在com.samsung.ipservice进程中运行的漏洞利用。Project Zero的Benoît Sevens表示:“com.samsung.ipservice进程是三星特有的系统服务,负责为其他三星应用程序提供‘智能’或AI驱动的功能。它会定期扫描和解析Android MediaStore中的图像和视频。当WhatsApp接收并下载图像时,会将其插入MediaStore。这意味着下载的WhatsApp图像(和视频)可能会触发com.samsung.ipservice应用程序内的图像解析攻击面。”鉴于WhatsApp不会自动从不受信任的联系人下载图像,评估认为使用了1-click漏洞利用来触发下载并将其添加到MediaStore。这进而触发了该漏洞的利用,导致了越界写入原语。Sevens指出:“这个案例说明了某些图像格式如何为将单个内存损坏漏洞转化为无交互的ASLR绕过和远程代码执行提供了强大的原语。通过利用该漏洞破坏像素缓冲区的边界,可以利用DNG规范及其实现所提供的‘怪异机器’来执行漏洞利用的其余部分。”
在白俄罗斯记者手机上发现新型Android间谍软件
白俄罗斯当局在记者于警察审讯期间手机被没收后,在其智能手机上部署一种名为ResidentBat的新型间谍软件。该间谍软件可以收集通话记录、通过麦克风录音、截屏、收集短信和加密消息应用中的聊天记录,并外传本地文件。它还可以恢复出厂设置并自我移除。根据RESIDENT.NGO的一份报告,ResidentBat的服务器基础设施自2021年3月起开始运作。2024年12月,塞尔维亚和俄罗斯也报告了在个人被警察或安全部门询问期间在其手机上植入间谍软件的类似案例。RESIDENT.NGO表示:“感染依赖于对设备的物理访问。我们假设克格勃官员在交谈期间观察到记者输入的设备密码或PIN码。一旦官员获得PIN码并在手机被锁在储物柜中时实际持有手机,他们就会启用‘开发者模式’和‘USB调试’。然后,间谍软件很可能通过Windows PC的ADB命令侧载到设备上。”
前事件响应人员对参与勒索软件攻击认罪
前网络安全专业人员Ryan Clifford Goldberg和Kevin Tyler Martin对参与2023年5月至11月期间的一系列BlackCat勒索软件攻击表示认罪,当时他们受雇于负责帮助组织抵御勒索软件攻击的网络安全公司。Goldberg和Martin于上个月被起诉。Martin曾在DigitalMint担任勒索软件威胁谈判代表,而Goldberg是网络安全公司Sygnia的事件响应经理。据称,第三名未透露姓名的共谋者(也受雇于DigitalMint)获取了一个BlackCat的附属账户,三人利用该账户实施了勒索软件攻击。
国会报告称中国利用美国资助的核技术研究
众议院中国问题特别委员会和众议院常设特别情报委员会(HPSCI)发布的一份新报告显示,中国利用美国能源部(DOE)获取和转移美国纳税人资助的研究,并推动其军事和技术崛起。该调查确定了大约4,350篇在2023年6月至2025年6月期间发表的研究论文,其中DOE的资助或研究支持涉及与中国实体的研究关系,包括超过730项DOE奖项和合同。其中,约2,200篇出版物是与中国国防研究和工业基础内的实体合作完成的。众议院中国共产党特别委员会表示:“本案例研究以及报告中许多类似的例子突显了一个令人深感不安的现实:美国政府科学家——受雇于DOE并在联邦资助的国家实验室工作——与处于中华人民共和国军事工业综合体核心的中国实体共同撰写了研究。这些研究涉及与下一代军用飞机、电子战系统、雷达欺骗技术以及关键能源和航空航天基础设施相关的技术共同开发——合作对象是已被多个美国机构以威胁国家安全为由限制的实体。”中国驻华盛顿大使馆在一份提供给美联社的声明中表示,该特别委员会“长期出于政治目的诋毁和攻击中国,其言论毫无可信度”。
莫斯科法院判处俄罗斯科学家21年叛国罪
莫斯科法院判处莫斯科普通物理研究所34岁的研究员Artyom Khoroshilov 21年监禁,他被指控犯有叛国罪、攻击关键基础设施和策划破坏活动。他还被处以70万卢布(约合9,100美元)的罚款。据称,Khoroshilov与乌克兰IT军队合谋,于2022年8月对俄罗斯邮政发动了分布式拒绝服务(DDoS)攻击。他还计划炸毁俄罗斯联邦国防部军事单位用于运输军用物资的铁路轨道以实施破坏活动。以协调对俄罗斯基础设施进行DDoS攻击而闻名的黑客活动团体乌克兰IT军队表示,不知道Khoroshilov是否是他们社区的成员,但指出“敌人正在追捕任何抵抗的迹象”。
恶意行为者使用新的DIG AI工具
Resecurity表示,观察到恶意行为者利用DIG AI的“显著增加”。DIG AI是众多可用于非法、不道德、恶意或有害活动(例如生成钓鱼邮件或炸弹和违禁物质制造说明)的暗网大型语言模型(LLM)中的最新成员。用户可以通过Tor浏览器访问它,无需账户。据其开发者Pitch称,该服务基于OpenAI的ChatGPT Turbo。该公司表示:“DIG AI使恶意行为者能够利用AI的力量生成从爆炸装置制造到非法内容创作(包括CSAM)的各种提示。因为DIG AI托管在TOR网络上,此类工具不易被执法部门发现和访问。它们创造了一个重要的地下市场——从盗版及其衍生物到其他非法活动。”
中国称美国扣押中国公司的加密货币
中国政府表示美国不正当地扣押了实际上属于路边的加密货币资产。2025年10月,美国司法部从上个月从诈骗园区运营商处扣押了价值150亿美元的比特币。该机构声称这些资金属于王子集团及其首席执行官陈志。中国国家计算机病毒应急处理中心(CVERC)声称,这些资金可以追溯到2020年中国比特币矿池运营商路边被黑事件,这与Elliptic的报告相呼应。显而易见的是,这些数字资产在被美国获取之前是从陈志那里被盗的。CVERC表示:“美国政府可能早在2020年就通过黑客技术窃取了陈志的127,000枚比特币,这是一起由国家级黑客组织策划的典型的‘黑吃黑’犯罪案件。”然而,值得注意的是,该报告并未提及被盗资产与诈骗活动有关联。
🎥 网络安全网络研讨会
零信任和AI如何捕获无文件、无二进制、无指标的攻击
网络威胁的发展速度前所未有,它们利用受信任的工具和无文件技术逃避传统防御。本次网络研讨会将揭示零信任和AI驱动的防护如何发现看不见的攻击、保护开发环境并重新定义主动云安全——让您保持领先于攻击者,而不仅仅是事后应对。
掌握代理性AI安全:学习检测、审计和遏制恶意MCP服务器
像Copilot和Claude Code这样的AI工具帮助开发者快速工作,但如果管理不当,也可能造成重大安全风险。许多团队不知道哪些AI服务器(MCP)正在运行、谁构建了它们或它们拥有什么访问权限。有些已经被黑,将受信任的工具变成了后门。本次网络研讨会展示如何发现隐藏的AI风险、阻止影子API密钥问题,并在您的AI系统造成漏洞之前掌控局面。
🔧 网络安全工具
GhidraGPT
这是一个用于Ghidra的插件,为逆向工程工作添加了AI辅助。它使用大型语言模型来帮助解释反编译代码、提高可读性并突出潜在安全问题,使分析人员更容易理解和分析复杂的二进制文件。
Chameleon
这是一个开源蜜罐工具,用于监控跨多种网络服务的攻击、僵尸网络活动和被盗凭据。它模拟开放和易受攻击的端口以吸引攻击者,记录他们的活动,并通过简单的仪表板显示结果,帮助团队了解其系统在真实环境中如何被扫描和攻击。
免责声明:这些工具仅用于学习和研究。它们未经全面的安全测试。如果使用不当,可能造成损害。请首先检查代码,仅在安全环境中测试,并遵守所有规则和法律。
结论
本周回顾将这些故事汇集一处,为2025年画上句号。它滤除噪音,聚焦于今年最后几天真正重要的事件。请继续阅读那些塑造了威胁格局的事件、不断重复的模式以及很可能延续到2026年的风险。