LevelBlue SpiderLabs 2026年1月威胁情报动态
2026年1月6日 | 3 分钟阅读
LevelBlue SpiderLabs是LevelBlue的威胁情报部门,由全球威胁研究人员和数据科学家团队组成,结合数据分析和机器学习(ML)领域的专有技术,分析全球规模最大、最多样化的威胁数据之一。我们的研究团队提供战术威胁情报,为弹性的威胁检测和响应提供动力——即使组织的攻击面扩大、技术演进、攻击者改变其战术、技术和程序。
LevelBlue SpiderLabs更新为您带来最新的威胁新闻,包括USM Anywhere检测的最新更新,以及在LevelBlue SpiderLabs Open Threat Exchange(OTX,全球最大的开源威胁情报共享社区之一)中发布的新威胁情报。
LevelBlue SpiderLabs威胁情报新闻
MongoBleed:正在被积极利用的MongoDB关键漏洞
2025年12月19日,MongoDB中一个被称为 MongoBleed (CVE-2025-14847) 的严重漏洞被披露,影响了大多数MongoDB部署。该漏洞的CVSSv4评分为8.7,允许未经身份验证的攻击者泄露未初始化的堆内存,暴露密码和API密钥等敏感数据。公开漏洞利用于12月25日出现,到12月28日,已确认存在广泛的利用行为。尽管进行了紧急修补工作,但12月30日的扫描显示,仍有近70% 的可公开访问实例存在漏洞,使成千上万的组织暴露于风险之中。面对超过30万台面向互联网的MongoDB服务器以及正在进行的主动利用,风险是即时且严重的。
MongoBleed影响4.4至8.2版本,修补程序已在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中提供。敦促组织立即升级或应用临时缓解措施,例如禁用zlib压缩请求并实施严格的网络分段(从互联网阻止TCP/27017端口)。除了修补之外,检测和响应也至关重要:取证指标包括通过db.serverStatus().asserts和FTDC遥测发现的用户断言激增。
React2Shell (CVE-2025-55182):React.js中正在被积极利用的关键RCE漏洞
2025年12月3日,React Server Components中披露了一个关键的未经身份验证的远程代码执行漏洞 CVE-2025-55182(React2Shell),其CVSS v3评分为10.0,CVSS v4评分为9.3。该漏洞最初由Lachlan Davidson报告,允许攻击者通过单个HTTP请求执行任意代码,影响Next.js等流行框架。几天之内,就观察到了广泛的利用行为,包括网络犯罪攻击者和疑似间谍组织。已知的攻击活动会部署诸如MINOCAT、SNOWLIGHT、HISONIC和COMPOOD等恶意软件家族,以及XMRIG加密货币挖矿程序。地下论坛迅速传播PoC代码和扫描工具,加速了武器化进程,包括内存中的Next.js Web Shell和Unicode混淆负载。
React2Shell影响版本19.0、19.1.0、19.1.1和19.2.0中的React Server Component包react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack。组织必须立即修补到19.0.1、19.1.2或19.2.1(或更高版本)以防止RCE,并应用后续修补程序(19.2.2–19.2.3)以解决相关漏洞(CVE-2025-55183、CVE-2025-55184、CVE-2025-67779)。额外的缓解措施包括部署WAF规则、审计依赖项中的易受攻击组件,以及监控危害指标,例如隐藏目录($HOME/.systemd-utils)、恶意Shell注入和未经授权的持久化机制。
追踪、检测与猎杀能力
LevelBlue SpiderLabs团队创建了以下Adversary Trackers来自动识别和检测部署的恶意基础设施:VenomRat、NanoCore、Amadey和Vidar。
团队已确定以下恶意软件/威胁行为体在12月份最为活跃。
图1. 2025年12月恶意软件趋势。
LevelBlue追踪器已为它追踪的不同家族识别了超过16,353个新的IOC。12月份最活跃的追踪器包括:
图2. 2025年12月来自LevelBlue追踪器的新IOC。
USM Anywhere检测改进
12月,LevelBlue SpiderLabs添加或更新了15个USM Anywhere检测。以下是LevelBlue SpiderLabs开发的改进和新元素的一些示例:
- 新增检测在Office工具中使用procdump以及滥用Azure Azcopy进行数据渗漏的规则。
- 改进了O365规则,以识别来自消费级VPN创建的收件箱规则或识别可疑的用户代理。
请访问LevelBlue Success Center查看改进、新元素、发现的问题和创建的任务的完整列表。
LevelBlue SpiderLabs Open Threat Exchange
LevelBlue SpiderLabs Open Threat Exchange (OTX) 是全球最大的开源威胁情报共享社区之一,由来自全球140个国家的33万名威胁研究人员组成,他们每天向平台发布威胁信息。LevelBlue SpiderLabs对此威胁情报进行验证、分析和丰富。OTX成员受益于集体研究,可以为社区做贡献,分析威胁,创建公共和私有的威胁情报共享群组等。在此处了解更多关于OTX、其好处以及如何加入的信息。
新的OTX Pulses
LevelBlue SpiderLabs团队正在根据其研究和发现,持续在OTX中发布新的脉冲。Pulse是关于威胁、威胁行为体、攻击活动等的交互式、可研究的信息库。其中包括对成员有用的妥协指标(IoC)。12月,Labs团队创建了90个新的Pulses,为最新的威胁和攻击活动提供了覆盖。以下是一些最具相关性的新Pulses示例:
- Shai-Hulud V2对NPM供应链构成风险
- 防御React Server Components中的CVE-2025-55182(React2Shell)漏洞
- HoneyMyte APT现在使用内核模式rootkit保护恶意软件
- 检测到规避性SideWinder APT攻击活动