黑客利用思科SNMP漏洞在交换机上部署rootkit
发布时间 2025-10-201. 黑客利用思科SNMP漏洞在交换机上部署rootkit
10月16日,网络安全公司趋势科技披露,威胁行为者正利用思科IOS/IOS XE系统中已修补的远程代码执行漏洞CVE-2025-20352,针对9400、9300及传统3750G系列未部署端点检测响应解决方案的设备发起攻击。该漏洞涉及SNMP协议,攻击者通过获取root权限可实现远程代码执行,思科已在10月6日更新公告中将其标记为零日漏洞并确认存在成功利用案例。攻击被追踪为"Operation Zero Disco",因植入恶意软件时设置了包含"disco"的通用访问密码。研究显示,攻击者不仅利用新漏洞,还尝试复用七年前旧漏洞CVE-2017-3881扩大攻击面。成功渗透后,攻击者在目标系统部署具备持久化能力的Linux Rootkit,该工具包集成UDP控制器,可实现端口监听、日志篡改、绕过AAA认证和VTY访问控制列表、动态修改通用密码、隐藏配置项及重置时间戳等操作。研究人员强调,当前缺乏可靠工具标记受感染设备,建议怀疑遭入侵的组织执行低级固件及ROM区域深度调查。
https://www.bleepingcomputer.com/news/security/hackers-exploit-cisco-snmp-flaw-to-deploy-rootkit-on-switches/
2. 得克萨斯州电力合作社遭“麒麟”勒索软件攻击
10月14日,网络犯罪团伙“麒麟”(Qilin)在暗网泄露网站宣称已入侵得克萨斯州两家电力分销合作社,圣伯纳德电力合作社与卡恩斯电力合作社,并泄露敏感财务文件。圣伯纳德合作社拥有3900英里配电线路,服务8县约2.8万户家庭,年收入9250万美元;卡恩斯合作社运营近5000英里线路,覆盖12县2.3万户家庭,年收入7580万美元。两家机构均属美国关键基础设施,其安全直接关系国家安全。“麒麟”在泄露网站公布了数据样本,包括圣伯纳德的首次事件报告(含人员全名、电话及事件详情)、年度预算、保险文件、费率案费用报告等;卡恩斯方面则泄露了董事会成员名单(含地址、联系方式)、收支余额报告、组织成员数据等。尽管数据真实性尚未核实,但若属实,将暴露企业定价策略、引发信任危机或竞争劣势,个人身份信息(PII)更可能被用于身份盗窃、骚扰及社会工程攻击,尤其对董事会成员风险极高。
https://cybernews.com/security/texas-electric-coops-ransomware-attack/
3. F5披露重大安全漏洞,全球超26万BIG-IP设备面临风险
10月17日,网络安全公司F5近日披露,非营利组织Shadowserver Foundation发现全球超过26.6万个F5 BIG-IP实例暴露于互联网,其中美国占14.2万个,欧洲和亚洲共约10万个。F5证实其网络遭国家黑客入侵,窃取了未公开的BIG-IP安全漏洞源代码及相关信息,但未发现攻击者利用这些漏洞的证据。为应对威胁,F5紧急发布补丁修复44个漏洞(含被窃取漏洞),并敦促客户更新BIG-IP、F5OS、BIG-IP Next for Kubernetes等系列产品。F5 还一直在与其客户分享一份威胁搜寻指南,涉及Brickstorm后门程序及UNC5291威胁组织。美国网络安全和基础设施安全局(CISA)同步发布紧急指令,要求联邦机构在10月22日前为F5OS、BIG-IP TMOS、BIG-IQ和BNK/CNF产品安装最新补丁,并将其他F5设备的更新截止日期延长至10月31日。CISA强调,机构需盘点所有F5 BIG-IP设备,评估网络管理接口的互联网暴露情况,并停用已终止支持的设备。
https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/
4. 欧洲捣毁跨国非法SIM卡盒网络,破获超3200起欺诈案
10月17日,欧洲刑警组织联合多国执法部门开展的"SIMCARTEL"行动中,成功捣毁一个涉及80余国的非法SIM卡盒服务网络。该犯罪组织运营gogetsms.com和apisim.com两个网站,部署1,200台SIM盒设备及40,000张SIM卡,为全球犯罪分子提供虚假电话号码以创建和验证欺诈性在线账户,用于实施网络钓鱼、投资诈骗、冒充公检法、勒索及偷运移民等犯罪活动。据欧洲刑警组织通报,该服务直接关联奥地利1,700起、拉脱维亚1,500起欺诈案件,累计造成经济损失超450万欧元。其技术架构复杂,可隐藏用户真实身份和位置,助长创建4,900万个虚假网络账户,涉及电信诈骗、WhatsApp"亲属诈骗"、虚假投资平台诈骗等多种犯罪形态。10月10日行动中,警方在奥地利、爱沙尼亚、芬兰、拉脱维亚四国同步开展26次搜查,逮捕5名拉脱维亚籍主犯及2名共犯,缴获价值数百万欧元的资产:包括1,200台SIM盒设备、数十万张SIM卡、5台服务器、冻结银行账户43.1万欧元及加密货币账户33.3万美元,并扣押4辆豪华车。目前,被查封的服务器正进行取证分析以追溯客户身份。
https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-box-operation-renting-numbers-for-cybercrime/
5. 美国航空子公司Envoy Air遭Clop勒索团伙攻击
10月17日,美国航空旗下区域航空公司Envoy Air证实,其Oracle E-Business Suite应用程序数据遭Clop勒索团伙泄露。Envoy Air表示,调查后确认仅少量商业信息及联系方式外泄,无敏感或客户数据受影响。该公司已联系执法部门并展开全面审查。此次事件与Clop团伙8月启动的数据盗窃活动相关,该团伙通过电子邮件向受害企业发送勒索要求,声称窃取了Oracle EBS系统中的数据。Oracle披露,攻击利用了编号为CVE-2025-61882和CVE-2025-61884的零日漏洞,其中CVE-2025-61884于上周被悄悄修补,但未公开其曾被积极利用。CrowdStrike和Mandiant证实,Clop在8月初利用这些漏洞入侵系统并部署恶意软件。作为同一攻击链的一部分,哈佛大学也遭Clop勒索,该校称仅“小型行政单位相关方”受影响。
https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/
6. macOS伪造平台攻击现新威胁:AMOS与Odyssey窃取软件肆虐
10月18日,近日,针对macOS开发人员的恶意活动利用伪造Homebrew、LogMeIn和TradingView平台传播AMOS(Atomic macOS Stealer)及Odyssey等信息窃取恶意软件。攻击者采用“ClickFix”技术,通过Google Ads推广的85个冒名域名诱骗用户复制curl命令安装恶意程序。例如,TradingView虚假网站以“安全确认”为幌子,实际将base64编码的安装命令复制到剪贴板,执行后下载并解码“install.sh”文件,绕过Gatekeeper防护机制,最终加载AMOS或Odyssey恶意软件。这些恶意软件具备反虚拟机检测能力,运行后首先以root权限收集主机硬件、内存信息,并通过操纵系统服务(如终止OneDrive守护进程)及与macOS XPC服务交互,将恶意活动伪装成合法进程。最终激活信息窃取组件,窃取浏览器存储的敏感数据、加密货币钱包凭证、钥匙串内容及个人文件,以ZIP格式回传至攻击者控制的C2服务器。
https://www.bleepingcomputer.com/news/security/google-ads-for-fake-homebrew-logmein-sites-push-infostealers/
京公网安备11010802024551号