LevelBlue SpiderLabs 威胁情报新闻

LevelBlue SpiderLabs 是 LevelBlue 的威胁情报部门，由全球威胁研究人员和数据科学家团队组成。他们结合数据分析和机器学习（ML）方面的专有技术，分析全球规模最大、最多样化的威胁数据集合之一。我们的研究团队提供战术威胁情报，为弹性的威胁检测与响应提供支持，即使组织的攻击面扩大、技术演进、攻击者改变其战术、技术和程序（TTPs）。

LevelBlue SpiderLabs 更新为您带来最新的威胁新闻，包括 USM Anywhere 检测的最新更新以及在 LevelBlue SpiderLabs 开放威胁交换平台（OTX）发布的新威胁情报。OTX 是全球最大的开放威胁情报共享社区之一。

LevelBlue SpiderLabs 威胁情报新闻

MongoBleed：正在被积极利用的严重 MongoDB 漏洞 2025年12月19日，MongoDB 中的一个严重漏洞 MongoBleed（CVE-2025-14847） 被披露，影响了大多数 MongoDB 部署。该漏洞的 CVSSv4 评分为 8.7，允许未经身份验证的攻击者泄露未初始化的堆内存，暴露密码和 API 密钥等敏感数据。公开的漏洞利用代码于12月25日出现，到12月28日，广泛的利用行为得到确认。尽管各方紧急进行了修补，但12月30日的扫描显示，接近 70% 的公开可访问实例仍然存在漏洞，使成千上万的组织暴露于风险之中。目前有超过300,000台面向互联网的 MongoDB 服务器，且攻击正在进行，风险迫在眉睫且严重。

MongoBleed 影响从 4.4 到 8.2 的版本，修复补丁已在 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30 版本中提供。敦促各组织 立即升级 或 应用临时缓解措施，例如禁用 zlib 压缩请求并强制执行严格的网络分段（从互联网阻断 TCP/27017端口）。除了打补丁，检测和响应至关重要：取证指标包括通过 db.serverStatus().asserts 和 FTDC遥测数据检测到的用户断言数量激增。

React2Shell（CVE-2025-55182）：React.js 中被积极利用的严重远程代码执行漏洞 2025年12月3日，React 服务器组件中披露了一个严重的未经身份验证的远程代码执行漏洞 CVE-2025-55182（React2Shell），其 CVSS v3 评分为 10.0，CVSS v4 评分为 9.3。该漏洞最初由 Lachlan Davidson 报告，允许攻击者通过单个 HTTP 请求执行任意代码，影响了 Next.js 等流行框架。在几天之内，就观察到了广泛的利用行为，包括网络犯罪分子和疑似间谍组织。已知的攻击活动会部署 MINOCAT、SNOWLIGHT、HISONIC 和 COMPOOD 等恶意软件家族以及 XMRIG 加密货币挖矿程序。地下论坛迅速传播 PoC 代码和扫描工具，加速了武器化进程，包括内存中的 Next.js Web Shell 和经过 Unicode 混淆处理的负载。

React2Shell 影响 React 服务器组件包 react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 的 19.0、19.1.0、19.1.1 和 19.2.0 版本。各组织必须 立即修补 到 19.0.1、19.1.2 或 19.2.1（或更高版本）以防止远程代码执行，并应用后续补丁（19.2.2–19.2.3）以解决相关漏洞（CVE-2025-55183、CVE-2025-55184、CVE-2025-67779）。额外的缓解措施包括部署 WAF 规则、审计依赖项中是否存在易受攻击的组件，以及监控入侵指标，例如隐藏目录（$HOME/.systemd-utils）、恶意 Shell 注入和未经授权的持久化机制。

跟踪、检测与狩猎能力 LevelBlue SpiderLabs 团队创建了以下对手跟踪器，以自动识别和检测部署的恶意基础设施：VenomRat、NanoCore、Amadey 和 Vidar。 团队已确定以下恶意软件/威胁行为体在12月份最为活跃。 图1：2025年12月恶意软件趋势。

LevelBlue 跟踪器已为其跟踪的不同家族识别了超过 16,353 个新 IOC。12月份最活跃的跟踪器包括： 图2：来自 LevelBlue 跟踪器的2025年12月新IOC。

USM Anywhere 检测改进 12月，LevelBlue SpiderLabs 添加或更新了15项 USM Anywhere 检测。以下是 LevelBlue SpiderLabs 开发的部分改进和新元素示例：

• 新增规则，用于检测 Office 工具中 procdump 的使用以及滥用 Azure Azcopy 进行数据渗漏的行为。
• 改进了 O365 规则，以识别来自消费级 VPN 创建的收件箱规则或识别可疑用户代理。

请访问 LevelBlue Success Center 查看完整的改进、新元素、发现的问题和创建的任务列表。

LevelBlue SpiderLabs 开放威胁交换平台 LevelBlue SpiderLabs 开放威胁交换平台（OTX）是全球最大的开放威胁情报共享社区之一，由来自全球140个国家的330,000名威胁研究人员组成，他们每天向平台发布威胁信息。LevelBlue SpiderLabs 对这些威胁情报进行验证、分析和丰富。OTX 成员受益于集体研究，可以为社区做贡献、分析威胁、创建公共和私有威胁情报共享组等。了解更多关于 OTX、其好处以及如何加入的信息，请点击此处。

新的 OTX 情报脉搏 LevelBlue SpiderLabs 团队根据其研究和发现，持续在 OTX 上发布新的“脉搏”。脉搏是有关威胁、威胁行为体、攻击活动等的交互式、可研究的信息库，包含对成员有用的失陷指标（IoC）。12月，实验室团队创建了90个新脉搏，覆盖了最新的威胁和攻击活动。以下是一些最具相关性的新脉搏示例：

• Shai-Hulud V2 对 NPM 供应链构成风险
• 防御 React 服务器组件中的 CVE-2025-55182（React2Shell）漏洞
• HoneyMyte APT 现在使用内核模式 Rootkit 保护恶意软件
• 检测到规避性 SideWinder APT 攻击活动