1、MikroTik路由器被滥用建立僵尸网络传播恶意软件

https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/

据研究人员披露，一个由13000台MikroTik设备组成的新型僵尸网络利用SPF DNS记录配置错误，绕过电子邮件安全机制，伪装约20000个域名发送恶意邮件。这些邮件假冒DHL等品牌，附带包含恶意JavaScript的ZIP文件。恶意脚本通过PowerShell与黑客控制服务器通信，用于DDoS攻击、数据窃取及伪装流量。研究显示，受感染设备的SPF记录采用过于宽松的“+all”选项，允许任意服务器发送伪造邮件，极易被利用。尽管此前已多次敦促MikroTik设备用户升级固件并加强配置，许多设备仍未修复漏洞。

2、黑客利用Google搜索广告窃取Google Ads账户

https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads

安全研究人员发现，黑客通过Google搜索广告推广钓鱼网站，以窃取广告主的Google Ads账户。攻击者发布伪装成Google Ads的广告，链接指向托管在Google Sites上的钓鱼页面，页面外观高度仿冒官方登录界面。受害者输入账户信息后，钓鱼工具收集凭据和唯一标识符，随后黑客通过新增管理员锁定受害者账户，并利用被盗账户发布恶意广告或转售账户。此次攻击涉及来自巴西、亚洲及东欧的至少三个犯罪团伙，目标覆盖全球广告。

3、Avery官网遭黑客攻击致用户信用卡信息泄露

https://www.bleepingcomputer.com/news/security/label-giant-avery-says-website-hacked-to-steal-credit-cards/

美国标签生产商Avery Products Corporation近日通报，其官网遭遇数据泄露事件，黑客通过植入卡片窃取器盗取客户的支付信息和个人数据。攻击始于2024年7月18日，直至12月9日才被发现，期间客户在官网输入的信用卡信息、姓名、地址和联系方式均被窃取，共影响61193名客户。此次攻击虽未涉及社会安全号码等身份数据，但已足够用于实施欺诈交易。Avery为受影响用户提供12个月的免费信用监控服务，并建议用户警惕钓鱼邮件及账户异常活动。此外，公司已设立专线以解答相关疑问。

4、Windows设备启用BitLocker后出现TPM警告

https://support.microsoft.com/en-us/topic/after-enabling-bitlocker-for-your-security-some-settings-are-managed-by-your-administrator-is-unexpectedly-displayed-5ad9ee7d-cb2c-4bc3-8aed-e7e0ecd11a83

微软正在调查一项影响Windows 10和11设备的BitLocker漏洞，该问题会在启用BitLocker后触发与可信平台模块（TPM）相关的安全警告。受影响的用户在BitLocker控制面板中看到“出于安全考虑，某些设置由管理员管理”的提示。微软确认该问题影响包括企业环境中的个人设备（BYOD）。BitLocker是结合TPM使用以确保设备未被篡改的关键加密功能。微软已承诺尽快发布修复方案。

5、Lazarus利用虚假招聘攻击Web3开发者

https://securityscorecard.com/blog/operation-99-north-koreas-cyber-assault-on-software-developers/

安全公司SecurityScorecard发布报告，披露朝鲜黑客组织Lazarus集团实施的新一轮攻击行动“99行动”。此次攻击针对全球范围内的Web3和加密货币领域开发者，特别是通过伪造LinkedIn招聘信息吸引受害者。黑客冒充招聘人员，引导开发者克隆恶意GitLab代码库，从而在受害者设备中植入恶意软件。该行动主要目标是窃取源代码、加密货币钱包密钥及其他敏感数据。受害者分布包括意大利、美国、英国、印度等多国。恶意软件采用模块化设计，可跨平台运行，并部署多个功能性负载，用于数据窃取和系统控制。

6、黑客泄露超15000台FortiGate设备配置和VPN凭据

https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f

新兴黑客组织“Belsen Group”在暗网公开泄露了超过15000台FortiGate设备的配置文件、IP地址和VPN凭据。这些数据以国家分类，包含防火墙规则、私钥和部分明文密码，严重威胁网络安全。泄露数据与2022年零日漏洞CVE-2022-40684有关，当时攻击者通过该漏洞下载配置文件并创建恶意超级管理员账户。尽管漏洞已修复，但受影响设备的敏感信息仍有可能被滥用，受害者需尽快更新密码并加强防护。

7、Clop勒索病毒利用Cleo文件传输漏洞攻击多家公司

https://securityaffairs.com/173135/cyber-crime/clop-ransomware-gang-claims-hack-of-cleo-file-transfer-customers.html

Clop勒索病毒团伙声称通过利用Cleo文件传输软件的漏洞，攻破了59家公司，并将其数据上传至暗网泄露站点。该漏洞（CVE-2024-50623，CVSS评分8.8）影响了多个Cleo产品，包括Harmony、VLTrader和LexiCom，导致远程代码执行风险。2024年12月，美国网络安全和基础设施安全局（CISA）将这一漏洞列入已知的已被利用漏洞（KEV）目录，并建议所有受影响产品的用户立即升级补丁。然而，安全公司Huntress发现，尽管已发布补丁，更新后的系统仍可能受到该漏洞的影响。Clop勒索病毒团伙表示，已联系到受害公司，但在未达成赎金协议的情况下，威胁于2025年1月18日发布盗取的数据。尽管有多家公司（如美国赫兹租车公司）否认遭遇数据泄露，但Clop仍宣称其目标受害者已被攻破，情况引发广泛关注。

8、WGS-804HPT 交换机中的严重缺陷导致 RCE

https://thehackernews.com/2025/01/critical-flaws-in-wgs-804hpt-switches.html

网络安全研究人员披露了 Planet Technology 的 WGS-804HPT 工业交换机中的三个安全漏洞，这些漏洞可以链接起来以在易受影响的设备上实现预身份验证远程代码执行。

9、流行的 WordPress 缓存插件使数百万个网站遭受攻击

https://securityonline.info/cve-2024-12365-popular-wordpress-caching-plugin-exposes-millions-of-sites-to-attack/

任何使用 W3 Total Cache 版本 2.8.1 或更早版本的网站都容易受到攻击。鉴于该插件的受欢迎程度超过 100 万活跃安装量，这代表了 WordPress 生态系统的重要组成部分。

10、Rasa 框架中发现的严重漏洞可实现远程代码执行

https://securityonline.info/critical-vulnerability-in-rasa-framework-enables-remote-code-execution-cve-2024-49375

流行的开源 Rasa 框架中已发现一个严重漏洞 (CVE-2024-49375)。该漏洞的 CVSS 评分为 9.1，允许攻击者通过远程加载恶意制作的模型来实现 RCE。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。