行業新聞與博客
黑客利用偽造的 PayPal 通知竊取憑證,部署遠程監控管理工具
有記錄顯示,新一波以網絡釣魚為主導的入侵事件正在發生,攻擊者濫用合法的遠程監控和管理 (RMM) 工具,利用虛假的 PayPal 警報來獲取個人和企業訪問權限。Cyberproof 週二發佈的一份諮詢報告中記錄了這一活動,這標誌着網絡詐騙活動從季節性誘餌轉向了高緊迫性的金融主題,同時也凸顯了受信任的 ...
CodeBuild 缺陷使 AWS 控制枱供應鏈面臨風險
AWS CodeBuild 中的一個嚴重配置錯誤使得攻擊者能夠控制核心 AWS GitHub 存儲庫,包括支撐 AWS 控制枱的 JavaScript SDK 。Wiz Research 將此次漏洞命名為 CodeBreach,它暴露了 AWS 管理的開源項目所使用的持續集成管道中的一個缺陷。通過利 ...
2025年最危險的 25 個軟件漏洞揭曉
MITRE 公司發佈了一份新的清單,列出了 25 個最危險的軟件“漏洞”,這將有助於開發人員、網絡防禦人員和採購團隊瞭解相關信息。今年的年度 CWE Top 25 榜單是根據 39,080 個 CVE 背後的弱點 (CWE) 編制而成的。MITRE 聲稱:“揭示這 ...
ISACA 被指定為美國國防部 CMMC 項目的全球認證機構
ISACA 已被美國國防部 (DoD) 指定為網絡安全成熟度模型認證 (CMMC) 計劃的全球認證機構,以確保國防承包商符合嚴格的網絡安全標準。美國國防部於 2020 年推出了 CMMC,以確保公司在執行政府合同時保護敏感信息。該計劃要求處理聯邦合同信息 (FCI) 和受控非密信息 (CUI) 的承 ...
新型 “謊言循環” 攻擊破壞人工智能安全對話
安全研究人員詳細介紹了一種破壞智能體人工智能系統中常見安全機制的新型攻擊技術,展示瞭如何操縱人類的批准提示來執行惡意代碼。Checkmarx 的研究人員觀察到,該問題集中在人機交互 (HITL) 對話上,這種對話旨在人工智能代理執行潛在風險操作(例如運行操作系統命令)之前徵求用户的確認。週二發佈的這 ...
汽車行業 WordPress 漏洞使網站易受攻擊
Motors WordPress 主題中存在一個安全漏洞,該漏洞可能允許權限最低的已登錄用户完全控制受影響的網站。該問題涉及任意文件上傳漏洞,允許訂閲用户和更高級別的用户安裝和激活插件,從而可能導致惡意代碼執行。Motors 主題是一款廣泛用於汽車網站的 WordPress 解決方案,包括汽車經銷商 ...
OAuth 設備代碼網絡釣魚活動激增,微軟 365 成為攻擊目標
已發現濫用微軟 OAuth 設備代碼授權流程的網絡釣魚活動激增,多個威脅集羣利用該技術未經授權訪問 Microsoft 365 帳户。根據 Proofpoint 今天發佈的一份新報告,國家支持的和以經濟利益為目的的行動者都在利用社會工程手段誘騙用户批准惡意應用程序,從而實現賬户接管、數據竊取和進一步 ...
英國電信網絡服務部門攔截了 10 億次惡意網站訪問嘗試
由於英國國家網絡安全局 (NCSC) 最近部署的一項服務,過去一年英國已阻止了近 10 億次早期網絡攻擊。英國安全部長丹·賈維斯在 12 月 3 日於倫敦舉行的《金融時報》歐洲網絡安全韌性峯會上宣佈了這一結果。活動當天上午,賈維斯剛剛拜訪了電信公司 BT,該公司是 NCSC 的共享與防 ...
人工智能增強型 Tuoni 框架瞄準美國大型房地產公司
2025 年 10 月,美國一家大型房地產公司遭到使用新興的 Tuoni C2 框架的高級入侵攻擊。Morphisec 觀察到的此次攻擊,並在今天發佈的一份安全公告中進行了描述,該攻擊結合了社會工程、隱寫術和內存內執行。該活動表明,威脅行為者如何將模塊化指揮控制 (C2) 工具與人工智能輔助的投放方 ...
DoorDash 證實發生數據泄露,導致客户個人信息泄露
外賣服務 DoorDash 已證實,該公司在 2025 年 10 月遭遇數據泄露,部分客户個人信息遭到訪問。該公司在一封發給客户的電郵中(該郵件已在社交媒體上分享)確認了這起事件,並指出姓名、電話號碼、實際地址和電郵詳細信息均受到影響。針對該公司網站上發佈的網絡安全事件,該公司表示,目前沒有跡象表明 ...
需要幫助嗎?聯繫我們的支持團隊 在線客服