据Cybersecuritynews消息，RansomHub 已成为2024-2025年最猖獗的勒索软件组织之一。它利用先进技术和企业漏洞，在全球攻击Windows、ESXi、Linux和FreeBSD系统。Group-IB发现，该组织已入侵超 600 家机构。其勒索软件变体针对不同系统，有独特加密方法和配置文件。成员利用多种漏洞获取访问权，入侵后部署恶意工具，还通过定制赎金通知、威胁违规报告等逼受害者就范。 CISA 呼吁机构立即修复相关漏洞、审计远程服务。检测时可借助 YARA 规则等，机构也要强化端点安全和备份隔离，防止被攻击。

据Cybersecuritynews消息，网络安全公司 Huntress 的 2025 威胁报告显示勒索软件团伙的攻击策略发生重大变化。在初始网络入侵后，他们平均仅需 17 小时就能对系统进行加密，Akira 和 RansomHub 等团伙甚至只需 4 - 6 小时。攻击者利用 Mimikatz 等工具获取凭证，通过远程工具漏洞入侵，还优化加密速度。如今 38% 的事件涉及纯数据勒索，医疗和教育行业受影响严重。企业应限制远程工具访问、阻止系统工具滥用，采取快速响应安全措施，以应对这一严峻威胁。

据Hackread消息，名为 DEEP DRIVE 的钓鱼攻击瞄准韩国实体，疑为 “金素姬” 组织黑客所为。攻击者用韩语定制钓鱼诱饵，伪装成工作文档，以常见格式在 Dropbox 等平台分发，借 PowerShell 脚本完成渗透、侦察及持久化部署。攻击链从伪装的.lnk 文件开始，利用脚本下载恶意程序、收集系统信息。其手法隐蔽，与 “金素姬” 过往攻击相似。

据Veriti Research 报告显示，随着 JFK（约翰・F・肯尼迪）、RFK（小罗伯特・F・肯尼迪）和 MLK（马丁・路德・金）相关文件的解密与发布，网络犯罪分子趁机利用公众对这些历史文件的关注，实施恶意软件分发、网络钓鱼及漏洞利用等活动。文件发布公告后不久，多个可疑域名被注册，如 “hejfkfiles.com”“jfk - files.com” 等，其注册时间及命名方式暗示这些域名或被用于窃取用户凭证等恶意行为。

据CISA消息，CISA 发布 Qardio 产品漏洞警示。Qardio Heart Health IOS 和 Android 应用及 QardioARM A100 存安全隐患，CVSS v4 评分 7.2，攻击难度低。 漏洞包括：iOS 应用在 plist 文件暴露敏感信息，攻击者可借此登录并利用工程后门；特制脚本通过蓝牙致设备拒绝服务；攻击者还能获取固件文件。这些漏洞或致敏感信息泄露、服务中断及硬件安全受损。 Qardio 未回应 CISA 的漏洞缓解请求。用户应停用闲置蓝牙、避免在危险环境使用、选用可信应用。目前虽无公开利用情况且不可远程利用，但仍需警惕。

据CISA消息，西门子 SCALANCE W700 设备存在诸多漏洞，涵盖双重释放、通信通道限制不当等 72 种类型，CVSS v3 评分最高达 9.8 ，可被远程利用且攻击复杂度低。 受影响产品包括 Siemens SCALANCE WAB762 - 1 等多款，涉及工业控制系统，全球范围内关键基础设施行业均可能受影响。成功利用这些漏洞，攻击者可注入代码、提升权限、执行任意代码，导致系统完整性受损及拒绝服务。 西门子已报告这些漏洞，并建议用户更新到 V3.0.0 或更高版本，同时采取保护网络访问等安全措施。

据Cybersecuritynews消息，与 APT41 相关的 Winnti 组织，发起 “RevivalStone” 行动，利用新恶意软件攻击日本制造、材料和能源领域机构。 该组织 2010 年起从游戏行业扩大攻击范围，此次活动始于对目标 ERP 系统的 SQL 注入，部署 WebShell 收集信息，再植入 Winnti 恶意软件。其新恶意软件执行流程复杂，借助 DLL 劫持等技术，且通过复制合法 DLL、混淆代码躲避检测。

据Cybersecuritynews消息，近期黑客组织 APT4通过利用暴露的凭证获取未经授权的访问权限，正积极攻击全球学术机构。该组织擅长战略情报收集与经济利益驱动的活动，别名众多，别名众多，目标广泛，涵盖政府、外交及医疗组织，涉及间谍活动与金融网络犯罪。 其攻击手段多样，包括凭证收集、利用漏洞及高级社会工程技术，还使用 RftRAT 等多种恶意软件渗透系统。近期，APT43 重点针对韩国涉及朝鲜政治研究的学术机构。

据Cybersecuritynews消息，近期针对 ThinkPHP 的 CVE - 2022 - 47945 和 ownCloud 的 CVE - 2023 - 49103 这两个关键漏洞的利用活动激增。 CVE - 2022 - 47945 是 ThinkPHP 6.0.14 之前版本的本地文件包含漏洞，可致未认证攻击者执行系统命令，近 10 天活动显著增加，该漏洞未列入 CISA 已知利用漏洞目录，EPSS 评分低。 CVE - 2023 - 49103 影响 ownCloud graphapi 特定版本，因依赖第三方库致敏感 PHP 环境信息泄露，自 2023 年 11 月披露后被持续利用，曾被多机构列为 2023 年高发漏洞。

据Hackread消息，SlashNext 威胁研究人员发现新型网络钓鱼工具包 Astaroth，能绕过 2FA 窃取 Gmail、Yahoo 和 Microsoft 登录凭据。 Astaroth 运用 evilginx 风格反向代理，在受害者与合法身份验证服务间充当中介，它动态拦截所有身份验证数据，实时捕获登录凭据、身份验证令牌及会话 cookie，即便用户启用 2FA，输入的第二因素代码也会被捕获。

据Hackread消息，Doxbin 遭黑客组织Tooda攻击，13.6 万用户记录等信息泄露。Tooda 破坏 Doxbin 基础设施，清除用户账户、锁定管理员，还公布含 136814 个 Doxbin 用户 ID、用户名和邮箱的数据库，以及 “Doxbin 黑名单” 文件。此外，Tooda 还曝光管理员 River个人信息并警告其远离。 对 Doxbin 用户而言，此次信息泄露风险大，虽仅用户名和邮箱暴露，但或可与其他泄露信息交叉引用，致身份暴露。事发时，Doxbin 已下线。

据VulnCheck 研究显示，2024 年被利用的 CVE 数量增长 20%，近四分之一（24%）已知被利用漏洞在 CVE 公开披露当日或之前就遭滥用，多数漏洞在补丁发布很久后被攻击，其中半数在 192 天内。 研究还发现漏洞披露透明度增加及监测改善，使被利用漏洞记录增多。专家指出，多种因素致漏洞利用增加，组织需投资观测工具、采用零信任策略等手段。同时，也有部分厂商认为相比漏洞，受损凭证才是安全漏洞主因。

据CRN消息，解决方案提供商 Consortium 收购网络风险量化初创公司 Metrics That Matter，旨在为客户提供更客观、持续更新的网络安全风险视图，打造 “下一代 VAR”。收购条款未披露，此次收购为 Consortium 引入 11 名员工，员工总数达 70 人。通过利用网络保险索赔数据和建立客户档案，该技术可预测网络风险，改变以往主观决策方式。且每月更新安全供应商工具目录，快速评估新方案。Consortium 高管表示，这种由 VAR 拥有和运营的风险量化模式，目前尚无其他 VAR 采用。

据Computing消息，黑客组织 Lazarus Group 开展新网络攻击活动 “Operation Marstech Mayhem”，将恶意软件藏于 GitHub 存储库及 NPM 包中，以窃取加密货币。恶意软件 Marstech1 针对 MetaMask 等加密货币钱包，通过扫描与操纵浏览器配置文件拦截交易。 自 2024 年 7 月起，其恶意 JavaScript 代码就已活跃，SecurityScorecard 确认美、欧、亚有 233 名受害者。这是两个月内 GitHub 用户第二次遭攻击，1 月也曾有不良行为者借此传播恶意软件。

据CRN消息，Palo Alto Networks 首席产品官 Lee Klarich 称，周四推出的 Cortex Cloud 统一多种云安全工具，是 Prisma Cloud 继任者，将 Cortex 云检测响应与 Prisma CNAPP 功能结合。它能减少评估威胁工作量，连接第三方工具，为 SOC 分析师提供必要上下文，使响应从数小时缩短至几分钟。Cortex Cloud 还为渠道合作伙伴带来新增长机会，将在 4 月底提供给客户，通过整合技术与功能，有望改变云安全领域格局。

据Therecord消息，密歇根州苏Sault 部落遭勒索软件攻击，周日上午起，部落管理、赌场、健康中心及各类企业的计算机和电话系统受影响，众多部门和企业临时关闭。该部落人口超 4.4 万，是密歇根最大联邦认可部落，旗下有基瓦丁赌场。此次攻击重创部落卫生部门，医疗预约取消，仅急诊开放，赌场博彩停业，酒店暂停入住。此外，捕鱼狩猎许可、部分场所支付等业务也受影响。部落主席称希望一周内解决，目前因调查未透露更多细节，此为密歇根州 2024 年来又一起相关攻击事件。

据Infosecurity-magazine消息，一场大规模 IoT 数据泄露事件曝光 27 亿条记录，涉及 Wi-Fi 网络名、密码、IP 地址及设备 ID 等敏感信息。数据库含 1.17TB 未保护数据，13 个文件夹，每个超 1 亿条记录，错误日志还暴露设备操作系统等信息。 这些数据或属 Mars Hydro 的 Mars Pro 应用用户，虽 Mars Hydro 在披露后迅速限制访问，但数据曝光时长及是否被未经授权实体访问仍存疑。此次数据泄露风险重大，如可能导致未经授权的网络访问及 “最近邻” 攻击等。

据Cybersecuritynews消息，Ivanti Connect Secure 存在关键漏洞 CVE - 2025 - 0282，多个威胁行为者正利用此漏洞部署高级恶意软件 SPAWNCHIMERA。该漏洞于 2025 年 1 月披露，是基于栈的缓冲区溢出漏洞，远程未认证攻击者可借此在受影响设备上执行任意代码，CVSS 评分 9.0，对使用 Ivanti 远程访问解决方案的组织构成重大风险。 Ivanti 已发布补丁，建议所有受影响设备（如 22.7R2.5 之前版本）立即应用。

据Cybersecuritynews消息，微软威胁情报发现黑客组织 Emerald Sleet（又名 Kimsuky 或 VELVET CHOLLIMA）采用新策略。他们利用社会工程技术，冒充韩国政府官员，与目标建立信任后，发送含 PDF 附件的鱼叉式网络钓鱼邮件。 邮件诱使受害者点击 URL，以设备注册为名，诱导其以管理员身份打开 PowerShell 并粘贴攻击者提供的代码。代码会安装基于浏览器的远程桌面工具，下载含硬编码 PIN 的证书文件，之后向远程服务器注册设备，实现未经授权访问，窃取敏感信息。

据Cybersecuritynews消息，SonicWall 防火墙存在关键漏洞 CVE - 2024 - 53704，已被攻击者利用以劫持 SSL VPN 会话。该漏洞影响 SonicOS 7.1.x（7.1.1 - 7058 及更旧版本）、7.1.2 - 7019 和 8.0.0 - 8035 版本。 BishopFox 专家指出，漏洞源于 SSL VPN 认证机制中对 Base64 编码会话 cookie 的处理不当，攻击者可通过操纵这些 cookie 绕过认证访问专用网络、查看虚拟办公室书签等。此漏洞危害严重，SonicWall 已于 2025 年 1 月 7 日发布关键安全补丁，建议尽快应用。