文章总结： 这份网络安全周刊涵盖了近期多个重要安全事件和漏洞，包括React2Shell漏洞的大规模利用、Apple和Google的WebKit零日漏洞更新、新型钓鱼工具包的出现等。重点介绍了.NETSOAPwn漏洞的技术细节，该漏洞可利用流氓WSDL实现文件写入和远程代码执行。同时提供了多种新型恶意软件分析，如PyStoreRAT和NANOREMOTE，以及针对生成式AI安全的防护策略。 综合评分： 88 文章分类： 漏洞分析,恶意软件,网络安全,威胁情报,应急响应

网络安全周刊#27：.NET SOAPwn 漏洞：利用流氓 WSDL 实现文件写入和远程代码执行

知机安全

知机安全

2025年12月15日 09:01 美国

本周安全焦点

React2Shell (CVE-2025-55182) 漏洞的广泛且持续的利用成为焦点，攻击者利用其远程代码执行能力，部署从加密货币挖矿到复杂后门等多种恶意软件，CISA 甚至紧急修订了联邦机构的修复期限。与此同时，Apple 和 Google 亦相继发布了针对 WebKit 零日漏洞的紧急安全更新，这些漏洞已被利用于高度针对性的间谍软件攻击。

此外，新一代高级钓鱼工具包，如 BlackForce、GhostFrame 和 InboxPrime AI，展示了通过 AI 自动化、MFA 绕过和缓存破坏等技术进行大规模凭证窃取的日益复杂性。

重要资讯

1. 数据泄露与攻击事件

1. 针对 Sierra Wireless 路由器的 RCE 攻击：

   美国网络安全和基础设施安全局 (CISA) 将影响 Sierra Wireless AirLink ALEOS 路由器的CVE-2018-4063 列入已知被利用漏洞目录，该高危漏洞（CVSS 8.8/9.9）是文件上传限制不当，可导致远程代码执行。有报告指出，一未命名威胁集群 Chaya_005 在 2024 年 1 月曾利用此漏洞上传恶意载荷。

2. 虚假 OSINT 和 GPT 工具传播 PyStoreRAT 恶意软件：

   网络安全研究人员发现一项利用 GitHub 托管 Python 存储库分发名为 PyStoreRAT 的 JavaScript 远程访问木马 (RAT) 的新活动。这些存储库伪装成开发工具或 OSINT 工具，通过下载并执行远程 HTA 文件，进而部署模块化的多阶段恶意软件，并可能投递 Rhadamanthys 信息窃取器。

3. 新型高级网络钓鱼工具包：

   BlackForce、GhostFrame、InboxPrime AI 和 Spiderman 等四个新型网络钓鱼工具包被发现，它们能够大规模窃取凭证，并利用 AI、MFA 绕过和反分析技术。例如，InboxPrime AI 利用 AI 自动化大规模邮件发送活动，声称实现接近完美的投递率。

4. NANOREMOTE 恶意软件使用 Google Drive API 进行隐秘控制：

   一种名为 NANOREMOTE 的新型 Windows 后门被发现，它利用 Google Drive API 进行命令与控制 (C2)。该恶意软件与此前使用 Microsoft Graph API 的 FINALDRAFT（又名 Squidoor）共享代码相似性，具备侦察、文件执行和传输能力。

5. WIRTE 组织利用 AshenLoader 部署 AshTag 间谍后门：

   归属 WIRTE（又名 Ashen Lepus）的 APT 组织自 2020 年以来一直针对中东地区的政府和外交实体发动攻击，部署了一种名为 AshTag 的新型恶意软件套件。攻击链涉及鱼叉式网络钓鱼，利用无害的 PDF 诱饵，通过 DLL 侧加载技术部署内存驻留的 AshTag 后门。

6. 未打补丁的 Gogs 零日漏洞被利用：

   Wiz 发现 Gogs 中一个高危但未打补丁的安全漏洞 CVE-2025-8110 (CVSS 8.7) 正被主动利用，导致超过 700 个互联网可访问实例被入侵。该漏洞是文件更新 API 中的文件覆盖问题，允许攻击者通过符号链接绕过先前的修复，实现任意代码执行。

7. React2Shell 漏洞大规模利用：

   针对 React 服务器组件 (RSC) 的关键漏洞 CVE-2025-55182（CVSS 10.0，又名 React2Shell）正遭受大规模利用。攻击者部署加密货币挖矿程序、Linux 后门 PeerBlight、反向代理隧道 CowTunnel 和 Go 语言的后渗透植入程序 ZinFoq 等。

8. 恶意 VS Code、Go、npm 和 Rust 包窃取开发者数据：

   研究人员在 Microsoft Visual Studio Code (VS Code) Marketplace 上发现了两个新的恶意扩展程序，伪装成高级主题和 AI 编码助手，用于感染开发者的机器并窃取数据。此外，Go、npm 和 Rust 生态系统中也发现了恶意包，用于窃取敏感信息。

9. JS#SMUGGLER 运动利用受损网站部署 NetSupport RAT：

   一项名为 JS#SMUGGLER 的新活动被发现，它利用受损网站作为分发载体，传播 NetSupport RAT。攻击链涉及注入网站的混淆 JavaScript 加载器、执行加密 PowerShell stager 的 HTML 应用程序 (HTA) 以及下载并执行主恶意软件的 PowerShell 有效载荷。

10. Android 恶意软件功能增强：

    新型 Android 恶意软件 FvncBot 和 SeedSnatcher 被披露，同时 ClayRat 也发布了升级版本，这些恶意软件具备更强的数据窃取功能。它们利用无障碍服务、HVNC、屏幕流和网络注入等技术进行金融欺诈、窃取加密货币钱包助记词以及完全控制受感染设备。

11. STAC6565 针对加拿大发动攻击，Gold Blade 部署 QWCrypt 勒索软件：

    一个名为 STAC6565 的威胁活动集群主要针对加拿大组织发动网络攻击，Sophos 调查了近 40 起相关入侵事件。该活动与 Gold Blade（又名 Earth Kapre、RedCurl、Red Wolf）黑客组织高度重叠，该组织已将其活动演变为数据窃取与部署自定义 QWCrypt 勒索软件的混合操作。

12. Storm-0249 升级勒索软件攻击：

    威胁行为者 Storm-0249 正从初始访问代理转向结合更高级的策略，如域名欺骗、DLL 侧加载和无文件 PowerShell 执行，以促进勒索软件攻击。他们利用 ClickFix 社会工程学手段诱骗目标运行恶意命令，部署特洛伊木马 DLL，并利用系统工具进行侦察。

13. MuddyWater 在有针对性的活动中部署 UDPGangster 后门：

    伊朗黑客组织 MuddyWater 被发现利用名为 UDPGangster 的新型后门，该后门使用用户数据报协议 (UDP) 进行命令与控制 (C2)。这项网络间谍活动主要针对土耳其、以色列和阿塞拜疆的用户，通过鱼叉式网络钓鱼分发携带恶意宏的 Microsoft Word 文档。

14. USB 恶意软件用于投递加密货币挖矿程序：

    一项持续进行的活动通过 USB 驱动器感染其他主机并部署加密货币挖矿程序。最新版本利用批处理脚本启动一个 dropper DLL，进而启动 PrintMiner，安装包括 XMRig 在内的额外有效载荷。

15. 记录到最大规模的 DDoS 攻击：

    Cloudflare 检测并缓解了有史以来最大规模的分布式拒绝服务 (DDoS) 攻击，流量高达 29.7 Tbps。该攻击源自一个名为 AISURU 的 DDoS 僵尸网络，该网络在过去一年中与多起超高容量 DDoS 攻击相关。

16. 巴西用户遭受 WhatsApp 蠕虫传播银行木马攻击：

    巴西用户正遭受多项利用 WhatsApp Web 作为分发载体的银行恶意软件攻击。其中一项活动归因于威胁行为者 Water Saci，投递 Casbaneiro 变种，另一系列攻击则导致 Astaroth 银行木马的部署。

17. 伪造的电影种子文件传播 Agent Tesla：

    网络安全研究人员警告，一项新的活动利用伪造的电影种子文件作为启动平台，传播复杂的感染链，最终部署 Agent Tesla 恶意软件。

18. Docker Hub 中泄露的秘密：

    Flare 的一项新研究发现，超过 10,000 个 Docker Hub 容器镜像正在泄露生产系统、CI/CD 数据库或大型语言模型 (LLM) 密钥的凭证。

19. 未命名攻击者利用 React2Shell 漏洞：

    Palo Alto Networks Unit 42 发现了与 Contagious Interview 活动可能重叠的活动，用于投递 EtherRAT，以及 BPFDoor 和 Auto-Color 等已知恶意软件家族。超过 50 个金融服务、高等教育、高科技等领域的组织受到影响。

20. CastleLoader 被四个威胁集群使用：

    CastleLoader 恶意软件加载器被四个不同的威胁活动集群利用，进一步证实该工具以恶意软件即服务 (MaaS) 模型提供给其他威胁行为者。这些集群利用钓鱼、ClickFix 技术、虚假软件更新等方式分发 CastleLoader 和 NetSupport RAT 等恶意软件。

2. 漏洞预警与分析

1. Apple 发布 WebKit 漏洞安全更新：

   Apple 发布了 iOS、iPadOS、macOS、tvOS、watchOS、visionOS 和 Safari 浏览器的安全更新，以解决两个已在野外被利用的安全漏洞：CVE-2025-43529（WebKit 中的释放后使用漏洞，可能导致任意代码执行）和 CVE-2025-14174（WebKit 中的内存损坏问题）。

2. React RSC 漏洞导致 DoS 和源代码泄露：

   React 团队发布了针对 React 服务器组件 (RSC) 中两种新类型缺陷的修复，如果成功利用，可能导致拒绝服务 (DoS) 或源代码泄露。这些漏洞包括：CVE-2025-55184（预认证 DoS），CVE-2025-67779（CVE-2025-55184 的不完整修复），以及 CVE-2025-55183（信息泄露）。

3. CISA 标记 GeoServer XXE 漏洞被积极利用：

   CISA 将影响 OSGeo GeoServer 的高危安全漏洞 CVE-2025-58360 (CVSS 8.2) 列入已知被利用漏洞目录。该漏洞是未经身份验证的 XML 外部实体 (XXE) 缺陷，可能允许攻击者从服务器文件系统访问任意文件、进行服务器端请求伪造 (SSRF) 或发起拒绝服务 (DoS) 攻击。

4. Chrome 浏览器受在野利用的高危漏洞影响：

   Google 发布 Chrome 浏览器安全更新，解决了包括一个已在野外被积极利用的高危漏洞。该漏洞被追踪为 CVE-2025-14174，是一个 ANGLE 库中的越界内存访问漏洞，可能导致内存损坏、程序崩溃或任意代码执行。

5. Gladinet 产品中硬编码密钥漏洞被利用：

   Huntress 警告 Gladinet 的 CentreStack 和 Triofox 产品中存在新的被积极利用的漏洞，源于硬编码加密密钥的使用，目前已影响九个组织。攻击者可能滥用此漏洞访问 web.config 文件，从而实现反序列化和远程代码执行。

6. .NET SOAPwn 漏洞允许文件写入和远程代码执行：

   WatchTowr Labs 发现 .NET Framework 中存在利用原语，可被用于针对企业级应用程序实现远程代码执行，该漏洞被命名为 SOAPwn。该问题影响 Barracuda Service Center RMM (CVE-2025-34392)、Ivanti Endpoint Manager (EPM) (CVE-2025-13659) 和 Umbraco 8。

7. PCIe 加密协议存在三个弱点：

   PCIe Integrity and Data Encryption (IDE) 协议规范中披露了三个安全漏洞 (CVE-2025-9612、CVE-2025-9613、CVE-2025-9614)，可能使本地攻击者面临严重风险，包括信息泄露、权限提升或拒绝服务。

8. WinRAR 漏洞被多个威胁组织利用：

   CISA 将影响 WinRAR 文件归档和压缩工具的安全漏洞 CVE-2025-6218 (CVSS 7.8) 列入已知被利用漏洞目录，原因是其已被积极利用。该漏洞是一个路径遍历缺陷，可能导致代码执行。

9. Microsoft 发布 56 个漏洞的安全修复，包括两个零日漏洞：

   Microsoft 发布了针对 Windows 平台各种产品中 56 个安全漏洞的补丁，其中一个漏洞已被积极利用 (CVE-2025-62221，Windows Cloud Files Mini Filter Driver 中的释放后使用漏洞)，另有两个零日漏洞：CVE-2025-54100（Windows PowerShell 中的命令注入）和 CVE-2025-64671（GitHub Copilot for JetBrains 中的命令注入）。

10. Fortinet、Ivanti 和 SAP 发布紧急补丁：

    Fortinet、Ivanti 和 SAP 已解决其产品中的关键安全漏洞，这些漏洞如果成功利用，可能导致身份验证绕过和代码执行。Fortinet 漏洞 (CVE-2025-59718 和 CVE-2025-59719) 影响 FortiOS 等，Ivanti EPM 漏洞 (CVE-2025-10573) 涉及存储型 XSS，SAP 漏洞 (CVE-2025-42880、CVE-2025-55754、CVE-2025-42928) 涉及代码注入和反序列化。

11. Sneeit WordPress RCE 漏洞被利用：

    Wordfence 数据显示，Sneeit Framework WordPress 插件中的一个关键远程代码执行漏洞 CVE-2025-6389 (CVSS 9.8) 正被积极利用。该漏洞允许未经身份验证的攻击者在服务器上执行代码。

12. ICTBroadcast 漏洞助长 Frost Botnet 攻击：

    VulnCheck 观察到有攻击利用关键 ICTBroadcast 漏洞 CVE-2025-2611 (CVSS 9.3) 针对其蜜罐系统，下载 shell 脚本 stager，进而下载多个架构特定版本的“frost”二进制文件，最终目标是进行分布式拒绝服务 (DDoS) 攻击。

13. 其他值得关注的漏洞：

    本周还发布了多项其他漏洞，例如 Sneeit Framework 插件 (CVE-2025-6389)、Apache Tika (CVE-2025-66516)、React (CVE-2025-55182)、Microsoft Windows (CVE-2025-9491)、Picklescan (CVE-2025-10155, CVE-2025-10156, CVE-2025-10157)、Google Android (CVE-2025-48633, CVE-2025-48572)、nopCommerce (CVE-2025-11699)、Apache Struts (CVE-2025-64775)、Apache bRPC (CVE-2025-59789)、OpenVPN (CVE-2025-13751, CVE-2025-13086, CVE-2025-12106) 等。

3. 恶意软件与威胁情报

1. PyStoreRAT：

   一种基于 JavaScript 的新型远程访问木马 (RAT)，模块化、多阶段，可通过 GitHub 托管的 Python 存储库传播，可执行多种模块并投递 Rhadamanthys 信息窃取器，专门扫描加密货币钱包文件。

2. NANOREMOTE：

   一种功能齐全的 Windows 后门，利用 Google Drive API 进行命令与控制 (C2)，与 FINALDRAFT (Squidoor) 存在代码相似性，具备侦察、文件执行和传输功能。

3. GhostPenguin：

   一种此前未知的 Linux 后门，用 C++ 编写，多线程，能收集系统信息、通过 UDP 端口 53 与 C&C 服务器通信，并执行远程 shell 和文件操作。

4. DroidLock：

   针对 Android 设备的恶意软件，通过钓鱼网站上的 dropper 应用程序传播，能够锁定设备屏幕，显示勒索软件式覆盖层，并窃取应用程序锁定凭证，利用无障碍服务实现设备完全控制。

5. FvncBot、SeedSnatcher、ClayRat：

   三种功能增强的 Android 恶意软件。FvncBot 伪装成安全应用，针对波兰移动银行用户进行按键记录、网络注入和 HVNC 攻击。SeedSnatcher 窃取加密货币钱包助记词和 2FA 码。ClayRat 升级后可记录按键、屏幕，并利用无障碍服务实现设备完全控制。

6. EtherRAT：

   一种新型远程访问木马 (RAT)，利用以太坊智能合约进行命令与控制 (C2) 解析，部署五种独立的 Linux 持久性机制，并从 nodejs.org 下载自己的 Node.js 运行时。

7. AshTag：

   一种模块化的 .NET 后门，旨在通过伪装成合法的 VisualServer 实用程序，实现持久性和远程命令执行，并具备屏幕捕获、文件管理和系统指纹识别等功能。

8. UDPGangster：

   MuddyWater 组织部署的新型后门，使用 UDP 进行命令与控制 (C2)，具备远程控制、文件窃取和载荷部署能力，并包含广泛的反分析检查。

9. Mirai Broadside：

   一种新的 Mirai 僵尸网络变体，利用 TBK DVR 中的关键漏洞 CVE-2024-3721 攻击海事物流部门，采用自定义 C2 协议和独特的“Magic Header”签名。

10. QWCrypt：

    Gold Blade（又名 Earth Kapre、RedCurl、Red Wolf）黑客组织部署的定制勒索软件，用于数据窃取和选择性勒索软件攻击，攻击通常从鱼叉式网络钓鱼开始。

11. Pteranodon 和 GamaWiper：

    Gamaredon 黑客组织在针对政府实体的网络钓鱼活动中部署的恶意软件，Pteranodon 是一种恶意软件，GamaWiper 是一种新型擦除器恶意软件，标志着该组织首次进行破坏性行动。

12. CastleRAT：

    一种远程访问木马 (RAT)，具备收集系统信息、从 C2 服务器下载并执行文件以及提供远程 shell 的能力，被归因于 TAG-150 威胁行为者。

4. 网络犯罪与执法行动

1. Europol 打击暴力即服务 (VaaS) 网络：

   Europol 的特别工作组 (OTF) GRIMM 逮捕了 193 名个人，并捣毁了助长暴力即服务增长的犯罪网络。这些网络招募缺乏经验的年轻人实施从恐吓到谋杀的暴力行为。

2. 青少年黑客被捕，涉嫌窃取 6400 万条记录：

   西班牙国家警察在巴塞罗那逮捕了一名 19 岁的青少年黑客嫌疑人，他涉嫌窃取并试图出售从九家公司窃取的 6400 万条记录。

3. 加密货币洗钱案认罪协议：

   一名 22 岁的加利福尼亚居民 Evan Tangeman 承认 RICO 串谋罪名，他被指控代表一个通过社会工程窃取加密货币的犯罪团伙购买房屋和洗钱 350 万美元。

4. 假冒加密货币投资域名被查封：

   美国司法部 (DoJ) 欺诈中心工作组查封了 Tickmilleas[.]com，该网站被诈骗者用于通过加密货币投资诈骗 (CIF) 骗局欺骗美国公民。

5. 美国司法部起诉两兄弟删除 96 个政府数据库：

   美国司法部起诉了两名弗吉尼亚州的兄弟，他们涉嫌串谋窃取敏感信息并删除 96 个政府数据库。他们在被承包商解雇后几分钟内窃取数据并删除了数据库，影响了多个政府机构。

6. 英国 NCSC 推出主动通知服务：

   英国国家网络安全中心 (NCSC) 宣布测试一项名为“主动通知”的新服务，旨在告知组织其环境中存在的漏洞。该服务通过网络安全公司 Netcraft 提供，基于公开信息和互联网扫描。

7. FinCEN 勒索软件趋势分析显示支付下降：

   美国财政部金融犯罪执法网络 (FinCEN) 发布的一项新分析显示，2024 年报告给该机构的勒索软件事件有所减少，在执法部门捣毁两个知名勒索软件组织 BlackCat 和 LockBit 后，共发生 1476 起事件。

8. 葡萄牙修改网络犯罪法案以豁免研究人员：

   葡萄牙修改了其网络犯罪法案，为白帽安全研究建立了法律安全港，在严格条件下使黑客行为不再受惩罚，包括披露漏洞以改善网络安全、不寻求经济利益等。

9. 美国国务院悬赏 1000 万美元通缉两名黑客：

   美国国务院宣布悬赏 1000 万美元，通缉两名与伊朗网络行动有关的伊朗国民。

技术剖析

1. 保护浏览器中的生成式 AI：策略、隔离和数据控制

随着生成式 AI (GenAI) 成为企业日常工作流程的核心，通过浏览器访问 GenAI 工具（如基于 Web 的 LLM、Copilot 和 GenAI 驱动的扩展）的安全性变得至关重要。传统安全控制无法理解这种新的“提示驱动”交互模式，导致数据泄露风险增加。

威胁模型中的关键因素：

• 敏感信息粘贴：

  用户常将整个文档、代码或客户记录粘贴到提示窗口，可能导致数据暴露。

• 文件上传风险：

  上传文件可能绕过批准的数据处理流程，违反法规。

• 浏览器扩展权限：

  GenAI 浏览器扩展常需广泛权限读取和修改页面内容，可能意外共享内部 Web 应用程序数据。

• 个人与企业账户混用：

  在同一浏览器配置文件中使用个人和企业账户，使归因和治理复杂化。

GenAI 安全策略的三个支柱：

#

#

1. 策略（Policy）：

• 定义“安全使用”GenAI 的明确、可执行策略。
• 将 GenAI 工具分类为认可服务，并根据风险级别允许/禁止公共工具和应用程序。
• 明确规定在 GenAI 提示或上传中不允许使用的数据类型（如受监管的个人数据、财务细节、商业机密）。
• 强制对所有认可的 GenAI 服务使用单点登录和企业身份。
• 建立正式的策略例外请求流程。

2. 隔离（Isolation）：

• 利用专用浏览器配置文件在敏感内部应用程序和 GenAI 工作流之间创建边界。
• 实施每站点和每会话控制，例如允许 GenAI 访问指定“安全”域，但限制其读取高敏感应用程序（如 ERP 或 HR 系统）内容的能力。

3. 数据控制（Data Controls）：

• 在用户操作（如复制/粘贴、拖放和文件上传）离开受信任应用程序并进入 GenAI 界面时进行检查。
• 支持多种执行模式：仅监控、用户警告、实时教育和对明确禁止的数据类型的硬性阻止。

其他关键考虑：

• AI 驱动的浏览器扩展：

  识别、分类并限制其权限，持续监控新安装或更新的扩展。

• 身份和会话处理：

  强制 SSO 并将 GenAI 使用与企业身份关联，防止工作和个人上下文之间的交叉访问。

• 可见性与遥测：

  跟踪访问的域和应用程序、输入到提示的内容以及策略触发警告或阻止的频率。将这些遥测数据整合到现有日志和 SIEM 基础设施中。

通过精心设计的策略、衡量的隔离策略和浏览器原生数据保护，企业可以从被动阻止转向自信地大规模启用 GenAI。

2. .NET SOAPwn 漏洞：利用流氓 WSDL 实现文件写入和远程代码执行

WatchTowr Labs 披露了 .NET Framework 中的一个关键漏洞 SOAPwn，该漏洞可能允许攻击者利用 Web Services Description Language (WSDL) 导入和 HTTP 客户端代理，针对企业级应用程序实现远程代码执行。此漏洞利用了 .NET 处理 Simple Object Access Protocol (SOAP) 消息的方式中的错误。

漏洞原理和利用方式：

#

1. HTTP 客户端代理的文件系统处理：

• 缺陷：

  .NET Framework 的 HTTP 客户端代理可被操纵，使用文件系统处理程序。

• 利用方式：

  攻击者可以通过将 URL 传递为 file://<attacker-controlled input> 到 SOAP 客户端代理，从而实现任意文件写入。这意味着攻击者可以控制完整的写入路径，甚至覆盖现有文件。

• 具体场景：

  攻击者可以提供一个通用命名约定 (UNC) 路径（例如 file://attacker.server/poc/poc），使 SOAP 请求写入受其控制的 SMB 共享，从而捕获 NTLM 质询并进行破解。

2. ServiceDescriptionImporter 类中的漏洞：

• 缺陷：

  对于从 WSDL 文件生成 HTTP 客户端代理的应用程序，ServiceDescriptionImporter 类未能验证生成的 HTTP 客户端代理所使用的 URL。

• 更强大的利用方式：

  攻击者可以向脆弱的应用程序提供一个指向其控制的 WSDL 文件的 URL，通过投递功能齐全的 ASPX Web Shell 或其他有效载荷（如 CSHTML Web Shell 或 PowerShell 脚本）来实现远程代码执行。

影响与修复：

• 受影响产品：

  Barracuda Service Center RMM、Ivanti Endpoint Manager (EPM) 和 Umbraco 8。

• 修复情况：

  Barracuda Service Center RMM 已在 2025.1.1 版本中修复 (CVE-2025-34392)，Ivanti EPM 已在 2024 SU4 SR1 版本中修复 (CVE-2025-13659)。Umbraco 8 已达到生命周期终止 (EoL)，因此漏洞仍然存在。

• Microsoft 的立场：

  在负责任披露后，Microsoft 选择不修复此漏洞，表示问题源于应用程序自身或行为，并建议“用户不应消费可能生成和运行代码的不可信输入”。

这项研究揭示了流行框架中预期行为如何演变为潜在的攻击路径，导致 NTLM 中继或任意文件写入。鉴于其潜在的严重影响，用户应及时更新受影响的产品，并加强对不可信输入的验证。

工具与资源

1. Tines：

   工作流编排和 AI 平台。

2. Kolide：

   设备信任和姿态监控工具。

3. Okta：

   接收 CAEP 事件的身份平台。

4. Rclone：

   用于数据同步和云存储的文件管理工具。

5. RPivot：

   开源反向代理工具。

6. Chisel SOCKS5：

   用于 C2 通信的 SOCKS5 代理。

7. Supershell：

   开源命令与控制 (C2) 框架，用于建立反向 SSH shell。

8. NFCGate：

   一种合法的开源工具，用于 NFC 模拟，但被网络犯罪分子利用。

9. TruffleHog 和 Gitleaks：

   用于收集秘密的工具。

10. Flipper：

    先进的黑客设备。

11. nexe：

    用于将 Node.js 应用程序编译为单个可执行文件的工具。

12. systemd、Cron jobs、.bashrc injection：

    Linux 系统中实现持久性的方法。

13. BitTorrent DHT 网络：

    分布式哈希表网络，可作为 C2 备用机制。

14. RAPTOR：

    开源 AI 驱动的安全工具，自动化代码扫描、模糊测试、漏洞分析、漏洞利用生成和 OSS 取证。

15. Google Threat Intelligence Browser Extension：

    适用于安全分析师和威胁研究人员，可在浏览器中直接突出显示可疑 IP、URL、域名和文件哈希。

16. Specops Password Policy：

    解决密码策略的工具，通过检查已知泄露数据、强制用户友好规则和与 Active Directory 集成来增强安全性。

言论

1. “网络钓鱼的工业化对防御者产生了直接影响：更多的攻击者现在可以以更大的规模发起更多的活动，而防御者的带宽或资源却没有相应增加。” —— Abnormal
2. “这是一个‘现在就打补丁’的情况，因为漏洞正在整个威胁格局中同时被利用。” —— Christiaan Beek，Rapid7
3. “当前的生成式大型语言模型 (LLM) 在提示中的指令和数据之间根本没有强制执行安全边界。因此，设计上的保护需要更多地关注确定性（非 LLM）的防护措施，这些措施限制系统的行为，而不仅仅是试图阻止恶意内容到达 LLM。” —— David C，英国国家网络安全中心 (NCSC)
4. “勒索软件运营商直接通过虚拟机管理程序部署勒索软件有效载荷，完全绕过传统的端点保护。在某些情况下，攻击者利用 OpenSSL 等内置工具对虚拟机卷进行加密，从而避免了上传自定义勒索软件二进制文件的需要。” —— Anna Pham, Ben Bernstein, 和 Dray Agha，Huntress
5. “当一个关键漏洞被披露时，研究人员会仔细审查相邻的代码路径，寻找变种利用技术，以测试初始缓解措施是否可以被绕过。” —— React 团队

查看原文：《网络安全周刊#27：.NET SOAPwn 漏洞：利用流氓 WSDL 实现文件写入和远程代码执行》