新闻速览

•美国FBI新任局长遭黑客威胁，LockBit号称手握“机密”信息

•美国网络安全局确认：微软合作伙伴网站严重漏洞遭黑客利用

•俄罗斯警告：金融行业重要IT供应商LANIT系统疑遭入侵

•报告揭示：网络攻击横向移动加速，平均27分钟完成

•AI加速网络攻击，61%黑客在48小时内利用新漏洞实施攻击

•Orange集团确认遭黑客攻击，大量内部数据泄露

•GitHub再遭滥用，GitVenom窃取加密货币和凭证

•警惕！新型Linux后门Auto-Colo威胁政府和教育行业网络安全

•谷歌Chrome恶意扩展绕过安全审查，320万用户受影响

热点观察

美国FBI新任局长遭黑客威胁，LockBit号称手握”机密”信息

2月25日，勒索软件团伙LockBit在其暗网泄露网站上发布一条奇怪的消息，声称拥有”机密信息”，如果公开将可能”摧毁”美国联邦调查局(FBI)。该消息直指新任FBI局长Kash Patel。

消息开篇祝贺Patel出任FBI第九任局长，并暗示他将面临重重困难。作者自称是一名”诚实的企业家”，声称FBI才是对美国的”真正威胁”。他表示拥有一份”机密信息”档案，其中包含了FBI”肮脏面孔”的内幕，是寻找”真相”的钥匙，可以”治愈虚假”。

该消息呼吁Patel直接与LockBit团伙联系，获取该档案。作者表示，尽管这些信息可能不仅会严重损害FBI的声誉，甚至可能”摧毁”这一机构，但他仍然很不情愿公开。他暗示，这些信息与前总统特朗普所寻求的”真相”不谋而合。

LockBit还发布了一个密码保护的7z压缩包，标题为”personal_gift_for_new_director_FBI_Kash_Patel.7z”。尽管不清楚LockBit是否真正拥有所声称的机密文件，但专家推测该团伙可能是在试图重新引起关注，此前其基础设施于2024年2月被执法部门关闭。

原文链接：
https://securityaffairs.com/174639/cyber-crime/lockbit-taunts-fbi-director-kash-patel.html

美国网络安全局确认:微软合作伙伴网站严重漏洞遭黑客利用

美国网络安全与基础设施安全局(CISA)2月25日确认，微软合作伙伴计划网站存在一个”严重”漏洞(CVE-2024-49035)，已被黑客在网络攻击中利用。

该漏洞最初于2024年11月被披露，影响Partner.Microsoft.com网站。这个不当访问控制漏洞可让攻击者在未经身份验证的情况下，提升在网络(即微软合作伙伴中心网站)上的权限。CISA表示：”这类漏洞是黑客常用的攻击向量，对联邦企业构成重大风险。”不过微软表示，合作伙伴中心网站用户”无需采取任何行动，因为补丁会在数天内自动推送”。

微软之前在在线安全公告中将该漏洞标记为”已被利用”。此次CISA根据”活跃利用证据”将其列入了被利用漏洞目录。虽然微软尚未就此发表评论，但CISA的披露凸显了该漏洞的严重性。作为全球领先的科技公司，微软产品和服务的安全性直接关系到数百万用户和合作伙伴的网络安全。

原文链接：

https://www.crn.com/news/security/2025/cisa-confirms-microsoft-partner-center-flaw-exploited-in-attacks

俄罗斯警告：金融行业重要IT供应商LANIT系统疑遭入侵

俄罗斯国家计算机事故协调中心(NKTsKI)近日警告金融行业，俄罗斯最大的IT服务和软件提供商之一LANIT发生入侵事件，其子公司LANTER和LAN ATMservice可能受到影响。

根据俄罗斯国家信息安全事件预警中心GosSOPKA发布的安全通报，该入侵事件发生于2025年2月21日。NKTsKI建议所有机构尽快更改在LANIT数据中心运行系统的密码和密钥，并加强对LANIT提供系统的威胁和信息安全事件监控。

LANIT集团提供系统集成、软件开发、网络安全、云服务和IT咨询等多种IT解决方案，服务对象涵盖金融、政府、医疗和电信等多个行业，旗下子公司包括专注于金融IT解决方案的子公司LANTER和LAN ATMservice等。LANIT在俄罗斯数字基础设施中扮演重要角色，并与多家全球IT供应商建立了合作伙伴关系。

原文链接：

Russia warns financial sector organizations of IT service provider LANIT compromise

报告揭示：网络攻击横向移动加速，平均27分钟完成

ReliaQuest公司发布的年度威胁报告显示，网络攻击者能够在短短27分钟内在网络内部执行横向移动，平均时间为48分钟。这一攻击速度的提高凸显了安全运营团队需要提高响应能力的迫切性。

报告还显示，尽管攻击速度加快，但攻击者仍在使用熟悉的策略，其中网络钓鱼仍然是主要的初始入侵方式。当前约30%的网络钓鱼邮件包含了凭据收集器，为进一步的攻击，如商业电子邮件欺诈做准备。这些钓鱼邮件的语言和设计越来越精细，使其成为网络犯罪分子更有效的工具。

报告指出，利用人工智能和自动化技术已经成为抵御日益复杂的网络攻击的关键手段。此外，安全团队必须实施另外五项关键控制措施，以降低网络威胁的风险。这些措施包括提高检测能力、确保全面监控设备、使用安全的VPN、限制外部暴露，以及提高对社会工程学手段(尤其是针对IT专业人员的手段)的警惕。

原文链接：

https://www.sdxcentral.com/articles/news/reliaquest-report-cyber-attack-lateral-movement-averages-27-minutes-in-2024/2025/02/

AI 加速网络攻击，61%黑客在48小时内利用新漏洞实施攻击

根据SonicWall发布的年度网络威胁报告，2024年61%的黑客在发现漏洞后48小时内即使用新的攻击利用代码开展攻击。报告还发现，攻击者正利用人工智能驱动的自动化和先进的规避技术，使中小企业防御日益艰难。

报告指出，人工智能工具使网络攻击更易实施且更复杂。因人工智能增强了混淆技术并自动化利用链，服务器端请求伪造攻击增长了452%。商业电子邮件欺诈攻击也在演变，生成式人工智能使网络犯罪分子能制作高度逼真的钓鱼邮件。涉及恶意PDF和HTML钓鱼文件的攻击也大幅增加。SonicWall数据显示，被发现的恶意文件38%基于HTML，22%基于PDF文件。

为应对这些威胁，SonicWall建议企业采用多层网络安全策略，包括:执行实时补丁管理，在48小时内应用安全补丁；采用零信任安全模型，限制访问并验证所有网络流量；实行24/7威胁监控，与安全服务提供商合作实现持续监控；加强勒索软件防御，实施网络分段和终端检测响应；关注物联网安全，更改默认凭据并更新固件以保护连接设备。

原文链接：

https://www.infosecurity-magazine.com/news/hackers-use-exploit-code-within-48/

网络攻击

Orange集团确认遭黑客攻击，大量内部数据泄露

近日，黑客Rey声称在入侵法国电信运营商和数字服务提供商Orange集团系统后，窃取了数千份包含用户记录和员工数据的内部文件，并在勒索Orange集团未果后在一个黑客论坛上公布了被盗数据细节。Orange集团向媒体证实，确实发生了一起针对非关键应用程序的数据泄露事件。

Rey透露，被盗数据主要来自Orange集团在罗马尼亚的分支机构，包括38万个独立电子邮件地址、源代码、发票、合同，以及客户和员工信息。Rey还表示，他们在Orange集团的系统中逗留了一个多月，并于周日开始窃取公司数据，持续约三小时而未被发现。黑客声称，他们利用被盗凭证以及Orange集团Jira软件漏洞，窃取了近6.5GB、近1.2份文件。黑客表示，他们在系统中留下了勒索信息，但Orange集团并未就此展开谈判。

Orange集团发言人表示，该事件未对客户运营造成影响，数据泄露发生在一个非关键的后台办公应用程序上。公司网络安全和IT团队正在评估泄露范围并尽量降低影响。

原文链接：

https://www.bleepingcomputer.com/news/security/orange-group-confirms-breach-after-hacker-leaks-company-documents/

GitHub再遭滥用，GitVenom窃取加密货币和凭证

研究人员近日发现，恶意软件GitVenom滥用数百个GitHub仓库，诱骗用户下载信息窃取程序、远程访问木马(RAT)和剪贴板劫持程序，企图窃取加密货币和凭证。

卡巴斯基实验室透露，GitVenom活动至少持续了两年。幕后黑客在GitHub上创建了数百个仓库，其中包含带有恶意代码的伪造项目，如自动化操作Instagram账户的工具、管理比特币钱包的Telegram机器人，以及针对游戏《无限valorant》的黑客工具。这些虚假仓库制作精心，包含详细信息和贴合主题的自述文件，可能借助AI工具编写。

卡巴斯基分析了多个支持GitVenom活动的仓库，发现注入的恶意代码采用Python、JavaScript、C、C++和C#等多种语言编写，旨在规避特定代码审查工具或方法的检测。一旦受害者执行有payload的文件，注入的代码就会从黑客控制的GitHub仓库下载第二阶段恶意负载。

安全专家提醒，在使用任何文件前，应通过检查仓库内容、使用杀毒工具扫描文件、在隔离环境中执行下载文件等方式，彻底审查相关项目的真伪。

原文链接：

https://www.bleepingcomputer.com/news/security/gitvenom-attacks-abuse-hundreds-of-github-repos-to-steal-crypto/

警惕！新型Linux后门Auto-Colo威胁政府和教育行业网络安全

Palo Alto Networks公司Unit 42研究人员近日发现，新型Linux后门程序Auto-Color具有隐蔽性、模块化设计和远程控制能力，对Linux系统，尤其是政府和教育行业构成严重威胁。

研究发现，Auto-Color的攻击通常从执行伪装成”door”、”egg”和”log”等无害名称的文件开始。如果恶意软件以root权限运行，它会安装一个伪装成合法libcext.so.0库的恶意库文件libcext.so.2，将自身复制到/var/log/cross/auto-color目录，并修改/etc/ld.preload以确保恶意库最先被加载。即使无法获取root权限，后门也会执行但跳过持久化机制。Auto-Color使用自定义加密算法解密命令与控制(C2)服务器信息，并通过随机16字节值的交叉验证。一旦连接建立，C2服务器可指示Auto-Color打开反向shell提供全权远程访问，在系统上执行任意命令，修改或创建文件扩大感染范围，充当代理转发攻击者流量，动态修改自身配置。

Unit 42表示，Auto-Color还内置”自毁开关”，允许攻击者立即从受损机器删除感染痕迹，阻碍调查。研究人员建议用户监控/etc/ld.preload的变化(关键持久化机制)、检查/proc/net/tcp的输出异常，并使用基于行为的威胁检测解决方案。

原文链接：

https://www.bleepingcomputer.com/news/security/new-auto-color-linux-backdoor-targets-north-american-govts-universities/

谷歌Chrome恶意扩展绕过安全审查，320万用户受影响

GitLab威胁情报团队近日发现，一场协同的网络攻击活动涉及至少16个恶意Chrome扩展程序，感染了全球逾320万用户，利用浏览器安全漏洞实施广告欺诈和搜索引擎优化操纵。

分析师发现，该活动的技术重点在于通过操纵内容安全策略(CSP)降低浏览器安全性，攻击者通过接管开发者账户而非利用代码漏洞破坏现有扩展，从而绕过谷歌的安全审查。这些自称是屏幕捕获工具或广告拦截器的扩展程序，能劫持用户会话、剥夺关键安全防护，并注入混淆的恶意负载操纵浏览行为。尽管这些扩展已从Chrome网上应用店下架，但未手动卸载的用户仍面临残留风险。

安全专家建议，组织应审计扩展权限(如chrome.declarativeNetRequest)并监控通往blipshotextension[.]com或kproxyservers[.]site等域名的异常网络流量。对个人用户而言，谨慎授予广泛权限至关重要。

原文链接：

https://cybersecuritynews.com/16-malicious-chrome-extensions/