漏洞预警方面，台达电子DIAScreen和罗克韦尔自动化模块存在严重 ICS缺陷；SonicWall漏洞在Akira勒索软件活动中再次出现；CISA将GRAFANA漏洞添加到其已知被利用的漏洞目录中；RONDODOX僵尸网络攻击全球30多种设备中的 56 个漏洞；REDIS修复了13年前LUA漏洞，该漏洞可导致远程代码执行；STORM-1175在MEDUSA勒索软件活动中利用 GOANYWHERE MFT零日漏洞；NVIDIA GPU驱动程序修补多个高危漏洞，存在RCE和权限提升风险。

安全事件方面，朝日应对网络攻击后果，调查可能的数据泄露；Red Hat确认GitLab实例遭入侵，客户网络蓝图被盗；新的黑客联盟勒索39家公司，泄露从思科、谷歌和全球航空公司窃取的数据；Beamglea攻击活动：黑客滥用175个npm软件包和unpkg CDN进行大规模网络钓鱼。

风险预警方面，Forescout在最新的OT网络攻击调查中揭露TwoNet黑客组织瞄准了水务蜜罐；诺基亚警告电信公司，隐形网络攻击日益增多，DDoS 攻击激增；乌克兰遭遇俄罗斯相关威胁行为者发起的人工智能网络攻击激增；威胁行为者窃取防火墙配置，影响所有 SONICWALL 云备份用户；勒索软件三巨头试图主宰勒索软件领域；新的窃听攻击通过DDR4内存总线插入器提取英特尔SGX ECDSA密钥；SideWinder APT发起SouthNet行动，利用Netlify和Pages.dev进行间谍活动。

漏洞预警

1.台达电子DIAScreen和罗克韦尔自动化模块存在严重 ICS缺陷
2025年10月9日，美国网络安全和基础设施安全局(CISA)发布了两份ICS（工业控制系统）安全公告，针对台达电子DIAScreen和罗克韦尔自动化中发现的硬件漏洞。台达电子的DIAScreen软件存在越界写入漏洞，该漏洞影响1.6.0及更早版本。“成功利用这些漏洞，攻击者可以将数据写入分配的内存缓冲区之外。”台达电子的DIAScreen部署在全球能源领域，当合法用户打开恶意制作的项目文件时，该漏洞会将数据写入目标内存缓冲区之外。该漏洞已分配CVE-2025-59297编号。台达电子已发布DIAScreen v1.6.1版本，并建议用户在所有受影响的系统上安装此更新。CISA披露，罗克韦尔自动化公司用于全球化工和关键制造业的1756-EN4TR和1756-EN4TRXT设备存在输入验证不当和异常情况处理不当的问题。“成功利用这些漏洞可能导致攻击者造成拒绝服务。”1756-EN4TR 通信模块的保护模式中存在一个安全问题，其中并发转发关闭操作可能触发重大不可恢复(MNFR)故障。这种情况可能导致系统意外崩溃并导致设备不可用。该漏洞已分配CVE-2025-8007。EN4TR 设备的保护模式中存在一个安全问题，在Forward Close 操作期间发送特制消息可能会导致设备崩溃。该漏洞已分配 CVE-2025-8008。罗克韦尔自动化建议用户将其设备升级至 7.001 或更高版本。
资料来源：https://industrialcyber.co/control-device-security/cisa-warns-of-critical-ics-flaws-in-delta-electronics-diascreen-rockwell-automation-modules/

2.SonicWall漏洞在Akira勒索软件活动中再次出现
2025年10月9日，Darktrace的最新研究显示，自今年7月起，Akira勒索软件攻击在全球范围内不断升级，主要针对SonicWall SSL VPN设备。Akira勒索软件攻击目标涵盖多个行业，尤其侧重于制造业、教育和医疗保健行业，涉及北美、拉丁美洲、欧洲和亚太地区。Darktrace的研究人员提到“SonicWall 最初认为这是未知零日漏洞造成的，宣布该活动与之前披露的漏洞CVE-2024-40766密切相关。”Akira勒索软件通过攻击RDP和VPN等远程访问服务、利用漏洞或使用窃取的凭证来获得初始访问权限。一旦进入系统，它会使用SoftPerfect和Advanced IP Scanner等网络扫描工具进行侦察，绘制环境图并识别潜在目标。Darktrace强调，Akira勒索软件攻击者发起的攻击活动凸显了保持最新补丁措施的重要性。威胁攻击者不仅会利用零日漏洞，还会继续利用之前披露的漏洞，这凸显了即使在补丁发布后也需要持续保持警惕。此外，它还表明，即使在维护良好的环境中，错误配置和被忽视的漏洞也可能被用于初始访问或权限提升。
资料来源：https://industrialcyber.co/ransomware/old-sonicwall-vulnerability-resurfaces-in-akira-ransomware-campaign-darktrace-warns/

3.CISA将GRAFANA漏洞添加到其已知被利用的漏洞目录中
2025年10月10日，美国网络安全和基础设施安全局(CISA)将Grafana漏洞（编号为CVE-2021-43798，CVSS评分为7.5）添加到其已知被利用漏洞(KEV)目录中。Grafana是一个用于监控和可观察性的开源平台。该漏洞是一个目录遍历漏洞，影响版本8.0.0-beta1至8.3.0（已修复版本除外）。根据具有约束力的运营指令(BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已发现的漏洞，以保护其网络免受利用目录中的漏洞的攻击。专家还建议私人组织审查该目录并解决其基础设施中的漏洞。
资料来源：https://securityaffairs.com/183192/hacking/u-s-cisa-adds-grafana-flaw-to-its-known-exploited-vulnerabilities-catalog.html

4.RONDODOX僵尸网络攻击全球30多种设备中的 56 个漏洞
2025年10月10日，趋势科技研究人员报告称，RondoDox僵尸网络利用了30多种设备类型中的56个已知漏洞，包括DVR、NVR、CCTV系统和网络服务器，自6月以来在全球范围内活跃。专家指出，最新的 RondoDox活动采用了“漏洞散弹枪”的方式，发射多个漏洞来查看哪个能成功。RondoDox 现在利用多个 CVE，包括CVE-2024-3721和CVE-2024-12856，发展成为针对不同设备的多向量加载器。趋势科技表示：“最新的RondoDox僵尸网络攻击活动代表了自动化网络攻击的重大演变，表明威胁行为者如何持续利用公开披露的漏洞以及在Pwn2Own等安全竞赛中发现的零日漏洞进行攻击。”“该攻击活动针对30多家供应商的50多个漏洞，采用霰弹枪式攻击策略，凸显了缺乏足够安全控制措施、维护暴露于互联网的网络基础设施的组织所面临的持续风险。”即使漏洞已被报告并修复，攻击者利用的速度也比以往更快。
资料来源：https://securityaffairs.com/183183/malware/rondodox-botnet-targets-56-flaws-across-30-device-types-worldwide.html

5.REDIS修复了13年前LUA漏洞，该漏洞可导致远程代码执行
2025年10月8日，Redis披露了一个严重的RCE漏洞，编号为CVE-2025-49844（也称为“RediShell”，CVSS评分为10.0），其中恶意Lua脚本可以利用垃圾收集器触发释放后使用漏洞并实现远程代码执行。这是一个已有13年历史的释放后使用漏洞，它可以让恶意 Lua 脚本突破沙盒并在主机上执行任意代码。网络安全公司Wiz发布的报告指出：“该漏洞利用了Redis源代码中存在约13年的释放后使用(UAF)内存损坏漏洞。该漏洞允许后身份验证攻击者发送特制的恶意Lua脚本（Redis默认支持该功能），从而逃离Lua沙盒，并在Redis主机上实现任意本机代码执行。这使得攻击者能够完全访问主机系统，窃取、擦除或加密敏感数据，劫持资源，并在云环境中进行横向移动。”该漏洞影响所有带有Lua脚本的Redis版本。鉴于Redis在云环境中的应用占比约为75%，其潜在影响十分广泛。各组织机构正在积极采取措施，优先处理那些暴露在互联网上的实例。
资料来源：https://securityaffairs.com/183097/security/redis-patches-13-year-old-lua-flaw-enabling-remote-code-execution.html

6.STORM-1175在MEDUSA勒索软件活动中利用 GOANYWHERE MFT零日漏洞
2025年10月7日，一个名为Storm-1175的网络犯罪组织近一个月来一直在Medusa勒索软件攻击中积极利用最高严重性的GoAnywhere MFT漏洞（CVE-2025-10035）。漏洞CVE-2025-10035是Fortra的GoAnywhere MFT的许可证Servlet中的一个反序列化问题，它允许具有有效伪造的许可证响应签名的参与者反序列化任意参与者控制的对象，从而可能导致命令注入。攻击者无需任何用户交互即可轻松远程利用此漏洞。Fortra已于9月18日解决了此问题。
资料来源：https://securityaffairs.com/183075/hacking/goanywhere-mft-zero-day-used-by-storm-1175-in-medusa-ransomware-campaigns.html

7.NVIDIA GPU驱动程序修补多个高危漏洞，存在RCE和权限提升风险
2025年10月10日，NVIDIA发布了针对其GPU显示驱动程序的重要软件安全更新，修复了多个可能导致代码执行、权限提升、数据篡改或拒绝服务的漏洞。此次修复涵盖 Windows、Linux、vGPU和云游戏组件，涵盖驱动程序分支 R580、R570和R535。该公告列出了NVIDIA显示驱动程序和vGPU软件中的几个高影响漏洞，影响消费者GeForce、专业RTX/Quadro/NVS和数据中心Tesla产品。其中最严重的漏洞编号为：CVE-2025-23309-NVIDIA显示驱动程序中的一个漏洞、CVE-2025-23347-NVIDIA Project G-Assist-中的一个漏洞、CVE-2025-23280和CVE-2025-23282 -两个Linux驱动程序漏洞、CVE-2025-23345-视频解码器模块中的跨平台漏洞。该公告还包含针对NVIDIA vGPU软件和NVIDIA云游戏环境的更新。其中最严重的漏洞是CVE-2025-23352，影响虚拟GPU管理器。
资料来源：https://securityonline.info/nvidia-gpu-driver-patches-multiple-high-severity-flaws-risking-rce-and-privilege-escalation/

安全事件

8.朝日应对网络攻击后果，调查可能的数据泄露
2025年10月6日，日本最大的啤酒制造商朝日集团控股公司发布了网络攻击导致系统中断的最新消息。该公司发现一些迹象表明可能存在未经授权的数据传输。目前正在进行调查，以确定可能受此次入侵影响的信息的性质和范围。事件发生后，公司立即成立“紧急响应”总部进行调查，确认公司服务器遭受勒索软件攻击。朝日集团确认勒索软件导致系统故障，影响了其国内子公司的订单处理、发货和客户服务。虽然国际业务未受影响，但该公司报告称，受感染的服务器存在数据窃取，并正在持续评估此次入侵的影响范围。根据10月8日的最新报道，Qilin勒索软件声称对本次针对朝日啤酒的攻击负责，此次攻击扰乱了朝日啤酒在日本的运营。
资料来源：https://industrialcyber.co/news/asahi-battles-cyberattack-fallout-investigates-possible-data-exfiltration/

9.Red Hat确认GitLab实例遭入侵，客户网络蓝图被盗
2025年10月5日，IBM旗下企业Linux子公司Red Hat已确认，其托管在GitLab平台上的托管存储库在一次网络攻击中遭到入侵。据报道，攻击者从28,000个内部存储库中窃取了570 GB 的压缩数据，其中包括约800份客户互动报告 (CER)。Red Hat已正式承认子系统确实遭到入侵，但拒绝确认或否认攻击者的身份及其有关 CER 数据的说法的真实性。该公司表示，已意识到该安全事件，并已采取所有必要的补救措施。Red Hat强调，调查仍在进行中，目前无法透露更多细节。不过，该公司强调，此次事件仅限于其咨询部门，并声称Red Hat的其他产品、供应链或软件安全组件均未受到此次漏洞的影响。
资料来源：https://securityonline.info/red-hat-confirms-breach-of-gitlab-instance-customer-network-blueprints-stolen/

10.新的黑客联盟勒索39家公司，泄露从思科、谷歌和全球航空公司窃取的数据
2025年10月6日，Resecurity旗下HUNTER团队发布的一份新报告揭露了一个大规模数据勒索行动，该行动由一个自称“混沌三位一体”（Trinity of Chaos）的网络犯罪联盟实施。据报道，该勒索软件组织与Lapsus$、Scattered Spider 和 ShinyHunters 存在关联。该组织在TOR网络上建立了一个数据泄露网站 (DLS)，声称对包括谷歌、思科、丰田、联邦快递、迪士尼、万豪和法航-荷航在内的39家全球企业的入侵事件负责。据 Resecurity称，“混沌三位一体”组织已从一个数据窃取团伙演变为一个全面运作的勒索软件集团。2025年10月3日，该组织在其DLS上公布了一份包含39家公司的名单，并设定了10月10日赎金谈判的最后期限。受害者包括财富100强企业、航空公司、零售商以及丰田、联邦快递、UPS、巴黎世家和香奈儿等奢侈品牌。最令人震惊的爆料可能涉及谷歌和思科，这两家公司均被列入“混沌三位一体”泄密网站上。次犯罪联盟声称拥有庞大的档案库，包含15亿条记录，涵盖760家公司。
资料来源：https://securityonline.info/trinity-of-chaos-new-alliance-of-hackers-extorts-39-firms-leaking-data-stolen-from-cisco-google-and-global-airlines/

11.Beamglea攻击活动：黑客滥用175个npm软件包和unpkg CDN进行大规模网络钓鱼
2025年10月11日，Socket威胁研究团队发现了一场大规模的供应链滥用活动，该活动利用npm的公共注册中心和unpkg.com的CDN作为免费的托管基础设施，用于网络钓鱼攻击。该行动的追踪代号为“Beamglea”，涉及175个恶意 npm 软件包，累计下载量超过 26,000次，并针对全球工业、能源和技术领域的135多个组织。与通过恶意代码执行感染开发者系统的传统供应链攻击不同，Beamglea 采取了一种更为隐蔽的攻击方式。npm 软件包本身不可执行，但它会利用 npm 的托管和交付机制来存储和提供重定向脚本，这些脚本会将毫无戒心的用户转发到攻击者控制的域名上托管的凭证窃取页面。Beamglea攻击活动的目标定位与钓鱼攻击不同寻常。Socket发现了135个独立的电子邮件地址，与100多个组织机构关联，主要分布在西欧和亚太地区。值得注意的是，袭击没有针对美国本土的目标，这表明此次袭击是一次区域性袭击，可能在欧洲或亚洲实施。
资料来源：https://securityonline.info/beamglea-campaign-hackers-abuse-175-npm-packages-and-unpkg-cdn-for-large-scale-phishing/

风险预警

12.Forescout在最新的OT网络攻击调查中揭露TwoNet黑客组织瞄准了水务蜜罐
2025年10月10日，Forescout的最新研究显示，黑客活动分子于2025年9月攻击了一个模拟水处理厂的蜜罐。此次攻击由与俄罗斯结盟的组织 TwoNet声称负责，该组织此前曾从事过出于政治动机的网络活动。调查人员发现，该组织获取了该工厂的人机界面访问权限，用于破坏系统、扰乱流程、操纵操作并尝试规避策略。进一步分析发现了针对可编程逻辑控制器和Modbus协议的更多攻击，这些攻击与俄罗斯和伊朗的攻击者有关。Forescout 建议各组织采取多项关键缓解措施，以加强对新兴威胁的防御。严格的网络分段至关重要。IT、物联网和 OT 环境应相互隔离，仅允许授权管理或工程工作站与需要通信的非托管设备之间建立网络连接。
资料来源：https://industrialcyber.co/industrial-cyber-attacks/forescout-exposes-twonet-hacktivists-targeting-water-utility-honeypot-in-latest-ot-cyberattack-findings/

13.诺基亚警告电信公司，隐形网络攻击日益增多，DDoS 攻击激增
2025年10月8日，诺基亚的一项新研究表明，关键网络日益成为隐秘入侵、激增的DDoS攻击和日益增长的加密需求的攻击目标。近三分之二的电信运营商在过去一年中至少经历过一次“自给自足”攻击，32%的运营商遭遇过四次或四次以上攻击。诺基亚的报告发现，太比特级DDoS攻击的发生频率是以往的五倍，峰值流量也更高，全球仍有4%的家庭互联网连接处于危险之中。值得注意的是，37%的DDoS攻击目前在两分钟内结束，凸显了此类攻击的速度和强度日益增长。报告发现，攻击者已转变策略，从机会性攻击转向针对电信基础设施的持续多年攻击活动。这些事件涉及持续利用漏洞、窃取凭证、勒索软件和Web Shell，导致运营中断和大规模数据泄露。研究指出，此类长期低调的感染迫使运营商采取代价高昂的补救措施，使其面临持续未经授权访问带来的重大业务和声誉风险。
资料来源：https://industrialcyber.co/reports/nokia-warns-telecoms-of-rising-stealth-cyber-attacks-rapid-ddos-surges-cryptography-pressures/

14.乌克兰遭遇俄罗斯相关威胁行为者发起的人工智能网络攻击激增
2025年10月10日，据俄罗斯国家特殊通信和信息保护局(SSSCIP)报告，俄罗斯黑客越来越多地在针对乌克兰的网络攻击中使用人工智能。除了人工智能生成的网络钓鱼之外，一些恶意软件样本现在也显示出人工智能生成的代码。2025年上半年，乌克兰记录了3,018起网络事件，高于2024年底的2,575起。针对地方当局和军事实体的攻击有所增加，而针对政府和能源部门的攻击有所减少。报告详细介绍了针对乌克兰的几个威胁行为者，包括UAC-0219、UAC-0218和UAC-0226。UAC -0219使用WRECKSTEEL窃取数据并截取屏幕截图，可能利用人工智能生成PowerShell脚本。该组织自2024年底以来一直活跃，CERT-UA于2025年检测到了APT活动。SSSCIP报告称，与俄罗斯有关的网络间谍组织APT28利用Roundcube和Zimbra网络邮件中的XSS漏洞（CVE-2023-43770、CVE-2024-37383、CVE-2025-49113、CVE-2024-27443、CVE-2025-27915）进行零点击攻击。
资料来源：https://securityaffairs.com/183222/apt/ukraine-sees-surge-in-ai-powered-cyberattacks-by-russia-linked-threat-actors.html

15.威胁行为者窃取防火墙配置，影响所有 SONICWALL 云备份用户
2025年10月9日，今年9月，MySonicWall账户的防火墙备份文件被泄露后，SonicWall 敦促客户重置凭证。该公司宣布已阻止攻击者的访问，并正在与网络安全专家和执法机构合作，以确定此次入侵的范围。该事件影响了SonicWall防火墙，其首选项文件备份在MySonicWall.com上。SonicWall敦促客户登录其MySonicWall帐户并检查是否启用了云备份。如果没有，则没有风险。如果启用了，请查找任何标记的序列号，这些序列号表示受影响的防火墙需要立即修复。SonicWall敦促用户检查他们的设备，并表示已经加强了安全性，并与Mandiant合作改善云基础设施和监控。
资料来源：https://securityaffairs.com/183154/security/threat-actors-steal-firewall-configs-impacting-all-sonicwall-cloud-backup-users.html

16.勒索软件三巨头试图主宰勒索软件领域
2025年10月8日，勒索软件团体DragonForce、LockBit和Qilin结成战略联盟，以增强其攻击能力，这标志着网络威胁形势不断演变。该联盟旨在共享工具和基础设施，以增强攻击效果。该联盟可能会在LockBit被攻陷后恢复其声誉，并导致勒索软件攻击更加频繁，包括针对关键基础设施的攻击，这与过去的合作如出一辙，例如2020年Maze与LockBit的合作，该合作推广了双重勒索策略。专家最近发现了LockBit 5.0，这是一个针对 Windows、Linux 和 ESXi 系统的新版本。 研究人员还报告称，2025年第三季度活跃的数据泄露网站数量达到创纪录的81个，反映出在LockBit和RansomHub等主要勒索软件组织衰落之后，小型勒索软件组织的崛起。勒索软件组织的激增表明勒索软件生态系统日益碎片化，尽管潜在利润较低，但新的勒索软件组织可能会将防御能力较弱的中小企业作为攻击目标。
资料来源：https://securityaffairs.com/183119/cyber-crime/dragonforce-lockbit-and-qilin-a-new-triad-aims-to-dominate-the-ransomware-landscape.html

17.新的窃听攻击通过DDR4内存总线插入器提取英特尔SGX ECDSA密钥
2025年10月1日，佐治亚理工学院和普渡大学的学者证明，英特尔的软件保护扩展(SGX)提供的安全保障可以在DDR4系统上被绕过，从而被动解密敏感数据。从本质上讲，物理攻击利用英特尔的确定性加密技术对英特尔SGX的Quoting Enclave (QE)进行完整的密钥恢复，从而有效地提取可用于签署任意SGX enclave报告的ECDSA签名密钥。换句话说，攻击者可以利用内存加密的确定性来构建某种预言机，以破坏恒定时间加密代码的安全性。针对这一发现，英特尔表示，该漏洞超出了其威胁模型的范围，因为该模型假设攻击者可以通过内存总线插入器直接访问硬件。在没有“补丁”的情况下，建议服务器在安全的物理环境中运行，并使用提供独立物理安全性的云服务提供商。
资料来源：https://thehackernews.com/2025/10/new-wiretap-attack-extracts-intel-sgx.html

18.SideWinder APT发起SouthNet行动，利用Netlify和Pages.dev进行间谍活动
2025年10月7日，Hunt Intelligence的最新报告显示，南亚最活跃、最持久的受国家支持的威胁组织之一APT SideWinder发起了一场代号为“Operation SouthNet”的大规模网络间谍活动。此次行动展示了该组织灵活的间谍技术，重点关注巴基斯坦、斯里兰卡、尼泊尔、孟加拉国和缅甸等国的凭证盗窃、基础设施回收和海事间谍活动。报告称，“在 Netlify、pages.dev、workers.dev 和 b4a.run 等平台上发现了50多个恶意域名，这些域名托管了伪造的Outlook/Zimbra门户和凭证窃取页面。” 这些恶意域名旨在模仿合法的政府和国防电子邮件门户，诱骗用户泄露敏感凭证。此次行动的规模凸显了SideWinder依赖免费托管平台快速部署和轮换网络钓鱼基础设施——这种策略使得每隔几天就能进行一次高频次的轮换。Hunt的遥测数据显示，巴基斯坦和斯里兰卡仍然是此次攻击活动的核心，其中巴基斯坦占已识别恶意域名的40%。
资料来源：https://securityonline.info/sidewinder-apt-launches-operation-southnet-weaponizing-netlify-and-pages-dev-for-espionage/