2025年假日购物季遭遇虚假零售钓鱼攻击
发布时间 2025-12-221. 2025年假日购物季遭遇虚假零售钓鱼攻击
12月18日,2025年假日购物季期间,威胁行为者发起大规模虚假在线零售商店攻击,对全球消费者构成重大网络安全威胁。该活动通过仿冒Zalando、Birkenstock、IKEA等知名品牌的域名,利用自动化工具批量生成高度逼真的欺诈网站,企图在“黑色星期五”“双十一”等购物高峰期窃取消费者信用卡信息或诱导下载恶意软件。攻击者依托中国基础设施提供商注册超200个新域名,通过TikTok、Facebook等社交媒体平台推广虚假店铺链接。网站采用与正品高度相似的视觉设计,并嵌入仿冒结账系统,用户一旦输入支付信息,数据将被直接窃取或重定向至恶意载荷。Bfore.ai分析师于2025年11月发现,该活动依赖隐私保护的WHOIS数据隐藏攻击者身份,呈现“工业化”欺诈特征,不同攻击集群可追溯至特定托管服务提供商和自治系统,使攻击者能在旧域名被封后快速切换新域名维持运营。消费者面临直接经济损失和身份盗窃风险,活动规模表明背后是资源充足的经济动机团伙。
https://cybersecuritynews.com/threats-actors-registering-fake-shopping-domains/
2. 英国DXS International遭网络入侵
12月18日,英国技术公司DXS International近日披露一起影响其内部系统的网络安全事件。该公司作为NHS(英国国家医疗服务体系)临床决策支持和转诊管理工具的核心供应商,其软件覆盖全英格兰约10%的NHS转诊流程,涉及数百万患者数据。12月14日,DXS发现办公服务器遭未经授权访问,但临床服务未受影响且保持运行。目前尚无NHS患者数据泄露的明确证据,公司已通知英国数据保护监管机构ICO,并正与NHS网络安全团队及外部专家合作调查事件性质与范围,初步判断财务影响有限。此次事件并非孤立,近年来,英国卫生技术供应商频繁成为攻击目标。值得注意的是,英国现行网络安全法规未强制要求DXS等第三方卫生IT供应商满足特定安全标准。然而,上月提交议会的《网络安全与韧性法案》拟对关键领域IT服务商实施更严格监管,包括高额罚款条款。若法案通过,此类供应商将面临更严苛的安全合规要求。
https://therecord.media/uk-nhs-tech-provider-dxs-discloses-hack
3. 朝鲜Kimsuky二维码传播DocSwap安卓恶意软件
12月18日,韩国网络安全公司ENKI披露,朝鲜威胁行为者Kimsuky正通过伪装成CJ Logistics的钓鱼网站,利用二维码分发名为DocSwap的安卓恶意软件新变种。该攻击通过短信钓鱼或钓鱼邮件诱导用户点击恶意网址,当用户从桌面端访问时,页面会提示扫描二维码在安卓设备安装“包裹追踪应用”。二维码重定向至“tracking.php”脚本,该脚本通过检测User-Agent字符串,以“国际海关安全政策”为由欺骗用户安装“安全模块”。恶意APK会解密并加载嵌入的加密APK,启动DocSwap远程访问木马。安装过程中,应用程序会请求读取存储、访问网络及安装其他软件包的权限。一旦权限获取,木马将注册“com.delivery.security.MainService”服务,并启动伪装成OTP认证界面的AuthActivity,使用硬编码快递单号“742938128549”验证身份。用户输入随机验证码后,木马后台连接攻击者服务器,接收多达57条命令,实现键盘记录、音频捕获、摄像头控制、文件操作、位置信息窃取等功能,并上传短信、联系人、通话记录等敏感数据。
https://thehackernews.com/2025/12/kimsuky-spreads-docswap-android-malware.html
4. 多品牌主板UEFI固件漏洞暴露DMA攻击风险
12月19日,近日,华硕、技嘉、微星、华擎等主板厂商的部分型号被发现存在UEFI固件漏洞CVE-2025-11901、CVE-2025-14302至14304,该漏洞可被利用进行直接内存访问(DMA)攻击,绕过早期启动阶段的内存保护机制。漏洞源于UEFI固件在初始化时未能正确配置输入/输出内存管理单元(IOMMU),一种硬件强制的内存防火墙,导致系统在启动初期处于“最高特权状态”时,恶意PCIe设备(如显卡、Thunderbolt外设)可绕过IOMMU限制,直接读写系统内存,甚至修改关键数据。尽管固件声称DMA保护已启用,但在启动序列的早期交接阶段,IOMMU实际未被正确激活,使系统暴露于物理访问攻击风险中。卡内基梅隆大学CERT协调中心(CERT/CC)发布公告证实,该漏洞影响上述品牌的部分主板型号,且可能波及其他厂商产品。攻击需物理接触设备,在操作系统启动前连接恶意PCIe设备,此时安全工具无法检测或阻止攻击行为,导致内存数据被窃取或篡改,甚至可能破坏操作系统完整性。目前,各厂商已发布安全公告及固件更新,明确列出受影响型号及修复方案。
https://www.bleepingcomputer.com/news/security/new-uefi-flaw-enables-pre-boot-attacks-on-motherboards-from-gigabyte-msi-asus-asrock/
5. 丹麦指控俄罗斯发动混合战争网络攻击
12月19日,丹麦国防情报局于周四发布声明,正式指控俄罗斯对2024年针对该国自来水公司的“破坏性”网络攻击及11月地方选举前夕导致丹麦网站瘫痪的拒绝服务攻击(DDoS)负责。据丹麦广播公司DR报道,自来水公司遭攻击后管道爆裂,造成哥本哈根以南35公里科厄地区部分居民断水;而选举前夕的DDoS攻击则导致多个政府及公共网站无法访问,严重干扰选举进程。情报部门强调,这些攻击是俄罗斯对西方发动的“混合战争”组成部分,旨在通过破坏关键基础设施、制造社会不稳定来削弱并惩罚支持乌克兰的国家。调查显示,亲俄组织Z-Pentest实施了2024年对水务公司的攻击,导致水压异常引发管道破裂;另一组织NoName057(16)则对选举前夕的DDoS攻击负责。丹麦情报部门明确表示,这两个组织均与俄罗斯政府存在关联,是俄方对西方实施混合战争的“工具”,其核心目标是制造不安全感并分化国际社会对乌支持。
https://www.securityweek.com/denmark-blames-russia-for-cyberattacks-ahead-of-elections-and-on-water-utility/
6. WatchGuard Firebox RCE漏洞被积极利用
12月19日,WatchGuard近日发布紧急安全公告,披露其Firebox防火墙存在严重远程代码执行漏洞CVE-2025-14733,该漏洞已被威胁行为者积极利用,需立即修补。漏洞源于越界写入缺陷,允许未经身份验证的攻击者在配置IKEv2 VPN的设备上远程执行恶意代码,攻击复杂度低且无需用户交互。受影响范围包括运行Fireware OS 11.x至11.12.4_Update1、12.x至12.11.5及2025.1至2025.1.3的防火墙设备,具体型号涵盖T15、T35、T115-W、M570、Firebox Cloud等数十种型号,涉及全球超过250,000家中小企业用户。值得注意的是,即使管理员删除了IKEv2 VPN配置,若仍存在连接到静态网关对等体的分支机构VPN(BOVPN),设备仍可能暴露于攻击风险中。WatchGuard已提供临时缓解措施:管理员应禁用动态对等BOVPN,添加新的防火墙策略以限制VPN流量,并禁用处理VPN流量的默认系统策略。同时,公司建议用户使用提供的入侵指标检查设备是否已被入侵,并轮换所有本地存储的密钥。
https://www.bleepingcomputer.com/news/security/watchguard-warns-of-new-rce-flaw-in-firebox-firewalls-exploited-in-attacks/
京公网安备11010802024551号