行业新闻与博客
MostereRAT 使用隐身策略攻击 Windows 用户
网络安全研究人员发现了一个网络钓鱼活动,该活动传播一种新型恶意软件 MostereRAT。该远程访问木马 (RAT) 以 Microsoft Windows 系统为目标,使攻击者能够完全控制受感染的计算机。据发现该威胁的 FortiGuard 实验室称,此次攻击活动的独特之处在于其对高级规避技术的分 ...
Axios 用户代理助力实现 “前所未有的规模” 自动化网络钓鱼
安全专家警告称,滥用 Axios 用户代理和微软直接发送功能的自动网络钓鱼活动将大幅增加。ReliaQuest 今天在一份新报告中声称,它观察到 2025 年 6 月至 8 月期间使用 Axios 的网络钓鱼活动增加了 241%。Axios 占该期间分析的所有恶意用户代理活动的近四分之一(24%), ...
Salty2FA 网络钓鱼工具包揭秘全新复杂程度
网络安全研究人员发现了利用 Salty2FA 工具包的网络钓鱼活动,揭示了先进的技术,凸显了网络犯罪活动日益专业化。该套件展示了高度的技术创新,其分层防御设计可以绕过传统的检测。Ontinue 网络防御中心的研究人员发现了此次攻击活动的几种独特方法:基于会话的子域名轮换,为每个受害者会话分配唯一的域 ...
#BHUSA:CISA 高管 “希望” 延长《网络安全信息共享法》
美国网络安全和基础设施局 (CISA) 领导层预计美国国会将更新一项即将到期的美国法律,该法律为自愿与政府或彼此共享威胁情报数据的公司提供保障。这项名为《网络安全信息共享法案》的法律于 2015年12月由时任总统巴拉克·奥巴马通过并签署,预计将于 2025年9月30日到期。8 月 7 ...
新的 Microsoft Exchange 漏洞使混合云环境面临风险
Microsoft Exchange 客户已收到有关新高危漏洞的警告,该漏洞可能允许攻击者在组织的连接云环境中提升权限。该漏洞 (CVE-2025-53786) 的 CVSS 评分为 8.0,影响本地 Microsoft Exchange 服务器版本。成功利用该漏洞需要攻击者首先获得或拥有 Exch ...
谷歌成为 Salesforce 数据窃取行动的受害者之一
谷歌已确认,它是针对 Salesforce 实例的持续数据盗窃活动的受害者之一。该科技巨头证实威胁行为者已经检索了数据,但这些数据主要是公开的商业信息,例如企业名称和联系方式。此次网络攻击与 ShinyHunters 有关,谷歌威胁情报小组 (GTIG) 将其追踪为 UNC6040 和 UN6240 ...
研究人员发现 18 个伪装成日常工具的恶意 Chrome 和 Edge 扩展程序
Koi Security 的安全研究人员团队发现了一组 18 个恶意浏览器扩展程序,这些扩展程序仍然可以在 Google Chrome 和 Microsoft Edge 上下载。这些扩展程序伪装成不同类别的生产力和娱乐工具,包括表情符号键盘、天气预报、视频速度控制器、Discord 和 TikTok ...
Azure 机器学习服务中发现权限提升漏洞
网络安全研究人员发现了一个影响 Azure 机器学习 (AML) 的严重权限提升漏洞。该漏洞允许仅具有存储帐户访问权限的攻击者在 AML 管道内执行任意代码,从而可能导致默认配置下的完全订阅泄露。根源于调用者脚本访问的漏洞云安全公司 Orca 发现的这个问题源于 AML 在自动创建的存储帐户中存储和 ...
WordPress 插件漏洞导致 60 万个网站文件被删除
广泛使用的 Forminator WordPress 插件中存在一个严重漏洞,导致网站面临任意文件删除和潜在网站被接管的风险。该漏洞影响版本 1.44.2 及更高版本,允许未经身份验证的用户在表单提交中包含任意文件路径。表单提交本身被删除后,这些文件也会被删除(由管理员手动删除或通过插件设置自动删除 ...
#Infosec2025:首席信息安全官 (CISO) 需要了解的六大网络趋势
今年的欧洲信息安全 2025 峰会汇聚了众多行业专家,共同探讨该领域的最新趋势、挑战和成功。以下是《信息安全杂志》在与展会现场专家的对话中发现的六大关键趋势。在重大技术进步的背景下,一个重要主题是需要继续关注基础技术,例如人类行为和身份控制。安全领导者应该意识到这些趋势,并确保他们考虑他们的策略是否 ...
需要帮助吗?联系我们的支持团队 在线客服