2025-12-28 01:54:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周简讯聚焦APT攻击、漏洞预警与恶意软件。SideWinder等组织利用钓鱼及AI诱饵攻击多国目标；Linux内核、MongoDB及n8n曝出严重RCE漏洞需紧急修复；罗马尼亚水务遭勒索，EmEditor发生供应链攻击致数据窃取。此外，发现窃取加密货币的EtherRAT及针对Mac的MacSync。建议立即修复高危漏洞，警惕钓鱼邮件与来源不明安装包。 综合评分： 85 文章分类： 威胁情报,漏洞预警,恶意软件,供应链安全,数据泄露

cover_image

每周网络安全简讯 ( 2025年第52周 )

国信中心

极客安全

2025年12月26日 18:30 北京

2025年12月20日至2025年12月26日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计20条。

APT攻击

APT组织SideWinder对印度目标用户实施网络攻击

近日，安全研究人员监测发现APT组织SideWinder冒充印度所得税局（Income Tax Department），以“检查”“税务”等话题为诱饵制作钓鱼邮件，诱使目标用户点击实施渗透入侵。一旦用户点击邮件内的恶意链接，其浏览器将会自动跳转至合法URL短链接，同时利用GoFile公共网盘和具有合法签名的Microsoft Defender组件进行DLL侧载，在绕过EDR和传统白名单安全检测机制的情况下，引入地理围栏方式向指定的目标用户群体设备植入功能性载荷，进而对其实施持久性远控。

链接：https://www.zscaler.com/blogs/security-research/zscaler-threat-hunting-catches-evasive-sidewinder-apt-campaign

APT组织Infy利用Foudre和Tonnerre恶意程序对伊朗、土耳其等国目标实施网络攻击

近日，安全研究人员发现沉寂五年的APT组织Infy对伊朗、土耳其、伊拉克、印度、加拿大及欧洲等国家或地区目标用户实施入侵。此次攻击事件中，该APT组织以钓鱼邮件作为初始入侵媒介，一旦用户点击邮件内的Excel附件，嵌入其中的恶意宏将自动启动，与通过“域名生成算法”（DGA）生成的随机域名进行C2通联，进而通过目标筛选后，对指定的用户设备植入Foudre（version 34）和Tonnerre（versions 12-18,50）功能性载荷，以对其实施持久性远控。同时，经安全人员溯源发现，该APT组织还会通过Telegram群组与受控设备进行持续性通联，相关数据与用户GUID列表等信息均存储在C2服务器中，体现出该APT组织在对受控设备运营方面具有较强的规范性与流程化特征。

链接：https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html

APT组织Paper Werewolf利用EchoGather后门程序对俄罗斯目标用户实施网络攻击

近日，安全研究人员发现APT组织Paper Werewolf采用网络钓鱼方式，对俄罗斯科技、国防等领域目标实施入侵。一旦用户点击邮件内的恶意XLL文件，将会通过Excel作为插件将其写入到目标设备内存中并进行蛰伏，以规避传统基于载荷初始行为检测的安全设备。然后，当相关线程退出时将会自动执行加载程序，向受控设备部署EchoGather定制化后门程序，使用硬编码的用户代理字符串，模拟dostavka、lavka等外卖服务合法流量，通过HTTPS协议与APT组织C2服务器进行通联，进而对用户设备实施持久性远控。此外，安全人员声称，此次攻击活动投放的钓鱼邮件内容为AI生成，俄语及图案均存在较明显的缺陷，但随着AI技术的不断提高，此类攻击方式将构成更大的潜在安全威胁。

链接：https://securityonline.info/ai-generated-decoys-xll-stealth-inside-the-new-echogather-cyber-espionage-campaign/

网络动态

罗马尼亚水务局遭受勒索攻击

近日，罗马尼亚国家网络安全局（DNSC）通报称，罗马尼亚水务管理局（Administrația Națională Apele Române）遭受勒索软件攻击，影响约1000台IT系统，波及11个流域/区域机构中的10个，受影响资产包括GIS地理信息系统、数据库、邮件与网站服务相关服务器，以及Windows终端和域名服务器等。在这段时间的深入调查中，包括罗马尼亚情报部门在内的多家安全机构初步发现攻击者疑似利用Windows内置BitLocker对用户系统文件进行加密锁定，并留下勒索信息要求7天内联系并支付赎金。当前，攻击入口尚未确认，归因仍在进行中。

链接：https://www.bleepingcomputer.com/news/security/romanian-water-authority-hit-by-ransomware-attack-over-weekend/

美国NIST与MITRE合作构建人工智能中心

美国商务部国家标准与技术研究院（NIST）宣布扩大与非营利机构MITRE的合作力度，投入2000万美元设立两大“AI经济安全中心”，以推动AI技术从研发走向规模化交付应用，服务美国制造业生产力与关键基础设施网络安全两项国家优先方向。其中，“制造业生产力AI经济安全中心”聚焦用AI提升高价值产品的生产效率与市场响应能力，“关键基础设施AI经济安全中心”面向日益突出的AI驱动网络威胁，研发与评估AI工具以提升威胁发现、响应与抵抗风险的能力。NIST表示，该举措是协调创新研究、加速关键技术开发和部署、在国家优先领域开展项目规划的重要一步，未来将会继续利用其公私合作经验，开发、试点新项目规划，确保美国在AI、量子信息科学和生物技术等关键新兴技术领域的领导地位和创新。

链接：https://www.nist.gov/news-events/news/2025/12/nist-launches-centers-ai-manufacturing-and-critical-infrastructure

美国空军开展“Capstone 2025”实验，验证AI作战价值

美国空军于11月在内华达州内利斯空军基地开展“Capstone 2025”实验，由第805战斗训练中队（ShOC-N）牵头，对齐五角大楼“联合全域指挥与控制”（CJADC2）任务目标，以验证人工智能与机器学习技术在战斗管理（battle management）与指挥控制（C2）任务方面的提升效果。此次实验除美空军外，还有陆军、海军、海军陆战队相关机构，以及“五眼联盟”相关专业人员参与，通过战斗实验室与通信链路实现数字化协同，系统评估跨军种、跨盟友的战术、技术、流程与技术互操作性。在该实验中，演练场景是在类似“Bamboo Eagle”的任务区域利用“动态任务重新规划”（DMR）与资产追踪工具，在环境突发变化时实现任务计划目标的快速调整，同时使用包括Palantir的Target Workbench、Maven Smart System、Gaia、Maverick及Joint Blue Accountability Tool等AI赋能工具，推动信息采集与处理自动化，辅助作战人员在环境突变时快速生成行动方案并提升决策质量。

链接：https://defensescoop.com/2025/12/23/air-force-capstone-tests-ai-joint-integration-for-battle-management/

索马里电子签证系统数千名旅客个人信息被泄露

近日，索马里电子签证（e-visa）平台被曝存在安全缺陷，由于系统缺乏必要的安全防护措施，导致未授权用户可以低门槛批量访问并下载签证文件，涉及索马里、葡萄牙、瑞典、美国及瑞士数千名旅客的护照、姓名、出生日期等敏感信息。安全人员声称，尽管索马里移民与公民局（ICA）已通过更换域名等方式进行安全防护，但底层安全治理和整改效果可能并不理想，仍存在持续数据泄露的安全风险。

链接：https://thecyberexpress.com/somalia-e-visa-security-flaw-data-exposure/

美国农村水协会与DEF CON Franklin组织协力推出全国性MSSP计划

美国农村水协会（NRWA）与DEF CON Franklin组织合作，将白帽黑客与亚利桑那、爱达荷、印第安纳、俄勒冈、犹他、佛蒙特等州农村水务公司合作，为其提供网络安全专业知识，同时在既有“白帽帮扶农村/小型水务单位”的志愿者模式基础上，进一步打造面向农村水务公用事业的全国性“托管安全服务提供商”（MSSP）模型，以解决志愿模式难以规模化覆盖的问题。新MSSP模型的目标是构建“共享、可负担、可扩展”的安全服务框架，贴合小型农村水务单位预算不足等运营现实，并为其提供长期连续网络安全防护。服务将从威胁检测与持续监控起步，逐步扩展到事件响应、合规支持等各类业务支撑。

链接：https://therecord.media/cyber-volunteer-water-utility-mssp

EmEditor文档编辑器官网安装包遭受供应链攻击

近日，著名文档编辑器EmEditor官方发布公告，称12月19日至22日期间官网安装包遭受供应链攻击，被替换成带有非官方签名《WALSHAM INVESTMENTS LIMITED》的恶意安装包。经分析，恶意安装包中嵌入了一段恶意脚本，运行时会禁用日志功能，收集系统信息，窃取Desktop、Documents、Downloads文件目录下的用户文件，以及浏览器Cookie、Notion、discord、skype等常用软件登录凭证，最终向用户Google浏览器中部署Google Drive Caching插件对用户设备实施持久性远控。

链接：https://scan.netsecurity.ne.jp/article/2025/12/26/54335.html

漏洞资讯

Linux内核POSIX CPU定时器安全漏洞PoC已在互联网公开

近日，安全研究人员发现位于Linux内核的POSIX CPU定时器的内存释放后重用漏洞（CVE-2025-38352）PoC已在互联网公开。据称，该安全漏洞位于Linux内核handle_posix_cpu_timers（）函数中，允许攻击者通过创建POSIX CPU定时器且在目标设备关键内核操作过程中强制线程进入“僵尸模式”的方式，致使用户设备内存提前释放并可在内核权限等级实施入侵。目前，用户可通过Linux内核版本升级的方式修复上述安全漏洞。

链接：https://cybersecuritynews.com/use-after-free-vulnerability-linux-kernel/

NVIDIA Isaac Launchable存在3个安全漏洞

近日，安全研究人员发现NVIDIA Isaac Launchable平台存在3个安全漏洞（CVE-2025-33222、CVE-2025-33223、CVE-2025-33224）。其中，CVE-2025-33222是由硬编码凭证所导致，允许攻击者利用嵌入软件代码中的凭证，完全绕过认证系统，进而实施代码执行、权限提升、拒绝服务、数据篡改等操作；CVE-2025-33223与CVE-2025-33224均由权限管理不当所导致，允许攻击者以高于自身账号权限的级别下实施各类恶意操作。目前，用户可通过软件版本升级等方式修复上述安全漏洞。

链接：https://www.redhotcyber.com/en/post/nvidia-urges-update-for-isaac-launchable-due-to-critical-vulnerabilities/

MongoDB存在远程代码执行漏洞

近日，安全研究人员发现被广泛应用的MongoDB存在远程代码执行漏洞（CVE-2025-14847），是由内部组件处理数据长度参数存在缺陷所导致，允许未经身份验证的攻击者远程执行任意代码。目前，用户可通过将MongoDB版本升级至8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30的方式修复上述安全漏洞。

链接：https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

n8n开源平台存在远程代码执行漏洞

近日，开源工作流自动化平台n8n存在远程代码执行漏洞（CVE-2025-68613），是由该平台工作流配置期间安全隔离权限存在缺陷所导致，允许经过初步身份验证的攻击者以n8n进程权限执行任意代码，窃取用户敏感信息。漏洞影响1.120.4 以下版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html

LangChain框架存在安全漏洞

近日，安全研究人员发现用于驱动大型语言模型(LLM)代理的流行开源框架LangChain存在安全漏洞（CVE-2025-68664），是由该框架在进行复杂对象转化时部分字符未能正确转义所导致，允许攻击者将包含恶意字符的数据注入到数据流的方式，引导系统在加载过程中自动执行，进而获取用户环境变量、API密钥、登录密码等敏感信息。漏洞影响LangChain Core: Versions < 0.3.81等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://securityonline.info/the-lc-leak-critical-9-3-severity-langchain-flaw-turns-prompt-injections-into-secret-theft/

TeamViewer DEX平台存在安全漏洞

近日，安全研究人员发现TeamViewer DEX平台存在安全漏洞（ CVE-2025-44016），位于内容分发服务模块中，是由该模块对输入数据验证机制存在缺陷所导致，允许攻击者通过提供恶意文件有效哈希值的方式，使DEX平台错误对其进行验证为可信文件并进行处理，一旦系统被诱骗，攻击者即可在目标平台上执行任意代码，劫持用于内容分发的后台进程。目前，用户可通过将DEX平台升级至25.11或更高版本的方式修复上述安全漏洞。

链接：https://securityonline.info/high-severity-flaws-in-teamviewer-dex-allow-attackers-to-hijack-nomad-services/

木马病毒

利用React2Shell安全漏洞的EtherRAT恶意程序被披露

近日，安全研究人员披露了一款名为EtherRAT的恶意程序。据分析，该恶意程序通过React2Shell漏洞入侵目标服务器作为初始入侵手段，在植入受控设备后会首先下载官方Node.js运行环境，进而在该合法环境下运行功能性载荷，持续驻留在用户设备上对加密货币信息实施窃取，最后与多个公共以太坊RPC节点进行通信，向指定智能合约地址发起JSON-RPC代币转移请求，以此达到非法获利的目的。安全人员声称，该恶意程序通过随机IP扫描和自动化脚本的方式在互联网上大规模传播，具有明显的“蠕虫”传播特点，存在较大的潜在安全威胁。

链接：https://securityonline.info/react2shell-exploited-new-etherrat-malware-hunts-for-crypto-via-node-js/

通过GitHub传播的WebRAT恶意程序被披露

近日，安全研究人员披露了一款名为WebRAT的恶意程序，通过伪装成“最新安全漏洞PoC”的GitHub仓库进行分发。攻击者利用安全从业者与开发者对热点CVE的关注，在15个GitHub仓库中用AI生成看似专业的漏洞说明、利用效果与缓解建议来提升可信度,一旦用户下载点击GitHub中的恶意载荷，将会通过一系列感染链向受控设备部署WebRAT恶意程序，窃取用户Steam、Discord、Telegram等平台登录凭证及加密货币钱包数据。安全人员声称，用户应提升安全意识，在隔离沙箱或离线环境对下载的PoC进行验证，同时对代码提交历史进行核验，以降低遭受攻击的风险。

链接：https://www.bleepingcomputer.com/news/security/webrat-malware-spread-via-fake-vulnerability-exploits-on-github/

针对MacOS实施敏感信息窃取的MacSync恶意程序被披露

近日，安全研究人员披露了一款名为MacSync的恶意程序，通过已进行数字签名和苹果公证（notarized）的Swift应用伪装成DMG格式的消息应用安装包，以更高可信度绕过苹果Gatekeeper等内置拦截机制对用户设备实施感染。当用户点击安装该钓鱼应用后，会自动执行联网检测、移除隔离属性、校验文件、辅助组件下载执行编码脚本等一系列感染链过程，最终部署MacSync功能性载荷。经分析，该载荷具备较为完整的Go语言代理能力，可在窃取用户敏感数据的同时实现持久性远控。

链接：https://thehackernews.com/2025/12/new-macsync-macos-stealer-uses-signed.html

可绕过EDR、终止杀毒软件进程的ntKiller恶意程序被披露

近日，安全研究人员披露称，一个名为AlphaGhoul的用户在黑客论坛上推广NtKiller恶意程序，宣称该恶意程序可在植入用户设备后静默关闭多种主流安全产品（如Microsoft Defender、ESET、卡巴斯基、Bitdefender、趋势科技等）及终端检测响应（EDR）工具，且在“激进模式”下具备绕过企业级EDR、禁用HVCI、操控VBS、绕过内存完整性校验等能力。KrakenLabs安全人员分析指出，该恶意程序疑似引入早期启动（early-boot）持久化等机制，可在部分监控组件完全启用前抢占执行时机，从而降低被发现的概率，极大增加安全产品的清除难度。安全人员建议称，用户应提升行为检测与抗篡改能力，加强关键安全服务完整性监测，以提升组织综合网络防护能力，降低遭受攻击的潜在风险。

链接：https://cybersecuritynews.com/threat-actors-advertised-ntkiller-malware-on-dark-web/

黑客利用Nezha开源工具作为木马对目标用户实施入侵

近日，安全研究人员披露称，开源服务器监控工具Nezha正被攻击者当做木马程序使用，对目标用户设备实施感染入侵。Nezha本身是广泛部署的正规运维组件，常用于服务器健康监控等应用场景，安全产品往往对其采取默认信任的检测策略，样本在VirusTotal平台不会被任何一款安全引擎进行标记，从而为攻击者提供了隐蔽驻留的天然掩护。同时，研究指出，Nezha功能较为全面，攻击者无需自编译载荷或拼装多工具链，仅部署agent端后即可获得受控设备SYSTEM/root级权限，且支持跨平台兼容、文件管理、远程命令执行与交互式Web终端等各类功能，允许攻击者通过统一控制台批量管理大量受控设备。此外，Nezha通信过程采用了标准Web协议，网络流量形态与“正常监控遥测流量”较为相似，不核查目的地址时难以从流量侧识别异常。安全人员建议称，应将Nezha纳入威胁监测清单，并从使用场景和上下文关联的方式实现纵深防御。

链接：https://hackread.com/hackers-abuse-monitoring-tool-nezha-trojan/

编辑：林青

往期推荐

每周网络安全简讯 ( 2025年第51周 )

每周网络安全简讯 ( 2025年第50周 )

每周网络安全简讯 ( 2025年第49周 )

每周网络安全简讯 ( 2025年第48周 )

每周网络安全简讯 ( 2025年第47周 )

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客安全国信中心《每周网络安全简讯 ( 2025年第52周 )》