美国CISA警告Motex Lanscope高危漏洞遭积极利用
发布时间 2025-10-241. 美国CISA警告Motex Lanscope高危漏洞遭积极利用
10月23日,美国网络安全和基础设施安全局(CISA)周三将影响Motex Lanscope Endpoint Manager的严重安全漏洞CVE-2025-61932(CVSS v4评分9.3)纳入其已知被利用漏洞(KEV)目录,并明确该漏洞已被积极利用。该漏洞源于Lanscope Endpoint Manager本地版本中客户端程序和检测代理的通信通道验证机制缺陷,攻击者可通过发送特制数据包在受影响系统上执行任意代码,构成重大安全威胁。据CISA披露,漏洞影响9.4.7.1及更早版本,涉及多个历史版本。Motex已发布修复补丁。日本漏洞说明(JVN)门户网站本周警报显示,Motex已确认有未具名客户“收到疑似针对该漏洞的恶意数据包”,证实攻击已发生,但幕后黑手及攻击规模仍待进一步调查。CISA强调,联邦民事行政部门(FCEB)机构需在2025年11月12日前完成漏洞修复,以保护其网络免受潜在攻击。
https://thehackernews.com/2025/10/critical-lanscope-endpoint-manager-bug.html
2. 朝鲜Lazarus“梦想工作行动”攻击欧洲无人机制造商
10月23日,朝鲜Lazarus集团针对欧洲中欧及东南欧地区的无人机制造商发起新一轮网络间谍攻击,旨在窃取专有无人机制造技术及设计工艺,以支持平壤扩大其国内无人机项目的战略目标。据ESET研究人员披露,此次攻击至少波及三家生产军事装备的组织,部分装备已投入乌克兰战场对抗俄罗斯。ESET将此轮攻击评估为“梦想工作行动”(Operation DreamJob)的最新版本,该行动自2022年起持续活跃,此前已针对化工、信息技术、金融服务等多行业实施网络间谍活动。攻击核心载荷为ScoringMathTea远程访问木马(RAT),自2022年首次在VirusTotal出现以来功能基本未变,支持约40个命令,涵盖文件操作、进程控制、系统侦察及恶意载荷下载等交互式控制能力。技术手段方面,攻击者延续“工作诱饵”策略,通过伪造求职文件诱骗受害者安装恶意软件,并利用GitHub上被入侵的开源项目(如Notepad++、WinMerge插件)修改本地代码,部署隐蔽性更高的恶意程序以绕过检测。
https://www.darkreading.com/cyberattacks-data-breaches/lazarus-group-hunts-european-drone-manufacturing-data
3. Jingle Thief黑客利用云基础设施窃取数百万礼品卡
10月23日,Palo Alto Networks Unit 42近日揭露名为"Jingle Thief"的网络犯罪集团,该组织自2021年底起持续针对零售及消费者服务行业的云环境实施礼品卡欺诈。研究人员Stav Setty和Shachar Roitman指出,攻击者通过钓鱼邮件、短信钓鱼及定制化钓鱼页面窃取Microsoft 365凭证,入侵礼品卡发行机构后,通过横向移动获取发行系统访问权限,最终在灰色市场转售未经授权的高价值礼品卡牟利。该集团擅长长期驻留受害系统,部分案例显示其潜伏期超10个月,期间通过侦察云环境、访问SharePoint/OneDrive获取业务运营、财务流程及礼品卡发行工作流等敏感信息。为规避检测,攻击者采用身份滥用策略而非部署自定义恶意软件:例如创建收件箱规则自动转发邮件至攻击者控制地址,注册恶意身份验证器绕过多因素认证(MFA),甚至将设备注册至Entra ID以维持持久访问。Unit 42追踪该活动为CL-CRI-1032,并中等程度归因于摩洛哥经济犯罪团伙Atlas Lion/Storm-0539。
https://thehackernews.com/2025/10/jingle-thief-hackers-exploit-cloud.html
4. 勒索软件Medusa泄露康卡斯特834 GB数据
10月23日,近日,Medusa勒索软件组织公开泄露了从全球媒体科技巨头康卡斯特公司窃取的186.36GB压缩数据,并声称原始数据总量达834GB。该组织此前于9月下旬入侵康卡斯特,最初要求潜在买家支付120万美元下载数据,这一金额与其向康卡斯特索要的“删除数据”费用一致。泄露的数据被拆分为47个文件(45个4GB文件、1个2GB文件及1个2GB文件),文件名均为"Comcast_FS"。数据包含Esur_rerating_verification.xlsx、Claim Data Specifications.xlsm等Excel文件,以及涉及汽车保费影响分析的Python和SQL脚本。截至目前,康卡斯特未对此事作出任何回应。Medusa组织以攻击大型企业闻名。本月,微软发布安全公告警告,Medusa正利用GoAnywhere MFT漏洞(CVE-2025-10035,CVSS评分10.0)实施未经认证的远程代码执行攻击。
https://hackread.com/medusa-ransomware-comcast-data-leak/
5. 加拿大玩具反斗城遭遇客户数据泄露事件
10月23日,加拿大玩具反斗城向客户发出数据泄露通知,披露其客户数据库遭未经授权的第三方窃取并泄露部分记录。事件起因于威胁行为者于7月30日在暗网发布声称窃取自该公司系统的客户数据,公司通过未索引互联网帖子获知后,立即联合第三方网络安全专家展开调查,最终证实数据真实性。据公司披露,泄露数据涵盖姓名、实际地址、电子邮件、电话号码等个人信息,但明确排除账户密码、信用卡信息及其他“类似机密数据”。此次事件影响范围涉及加拿大玩具反斗城全国40家门店的客户群体,具体受影响人数尚未公开。公司强调,泄露数据类型因客户而异,可能包含上述信息中的一项或多项组合。事件发生后,加拿大玩具反斗城在专家指导下升级IT系统安全性,并主动向加拿大隐私监管机构通报情况。同时,公司向客户发出警示,建议忽略未经请求的通信,警惕冒充品牌进行个人信息索取的网络钓鱼行为。
https://www.bleepingcomputer.com/news/security/toys-r-us-canada-warns-customers-info-leaked-in-data-breach/
6. “Shadow Escape”攻击:AI助手零点击窃取敏感数据
10月23日,研究公司Operant AI发布报告揭示了一种名为“Shadow Escape”的新型安全风险,该技术可无声无息地从企业使用的AI助手中窃取大量敏感信息。这种攻击利用模型上下文协议(MCP)的技术标准,企业通过MCP将ChatGPT、Claude等大型语言模型(LLM)连接至内部数据库和工具时产生的漏洞,无需用户点击钓鱼链接或主动操作即可实施。攻击核心在于“零点击”特性:恶意指令可隐藏在看似无害的文档中,如员工手册或下载的PDF文件。当员工将这些文件上传至工作AI助手时,隐藏指令会指示AI自动收集并秘密发送客户的私人数据,包括社会安全号码、医疗记录、财务详情等。与传统攻击依赖钓鱼邮件不同,Shadow Escape通过标准MCP设置和默认权限即可轻松实施,研究人员警告其可能导致“数万亿条私人记录泄露至暗网”。问题关键在于MCP赋予AI助手“前所未有的组织系统访问权限”,任何使用MCP连接数据库、文件系统或API的AI助手均可能成为攻击目标。
https://hackread.com/shadow-escape-0-click-attack-ai-assistants-risk/
京公网安备11010802024551号