漏洞预警方面，富士电机、台达电子等公司的系统存在严重缺陷；思科发现了一种针对安全防火墙ASA和FTD设备的新型攻击变种； LANDFALL间谍软件利用三星零日漏洞CVE-2025-21042在中东发动攻击；CISA添加Gladinet CentreStack和CWP Control Web Panel的漏洞；OCI修复runc中的容器逃逸漏洞；思科ISE高危漏洞引发未经身份验证的拒绝服务攻击；思科UCCX存在严重漏洞。

安全事件方面，运输公司遭黑客攻击，货物被盗；印度国际机场遭遇GPS欺骗攻击，导致航班延误和改道；比利时电信遭受网络攻击。

风险预警方面，DragonForce再次出现，成为与Conti有关联的勒索软件集团；恶意软件感染的NuGet包中隐藏的逻辑炸弹会在安装数年后引爆；乌克兰遭受网络钓鱼攻击时，植入木马的ESET安装程序会投放Kalambur后门；黑客利用Windows Hyper-V隐藏Linux虚拟机并逃避EDR检测；网络犯罪领域Scattered Spider、LAPSUS$和ShinyHunters强强联手；React Native CLI严重缺陷使数百万开发者面临远程攻击风险；“躲猫猫行动”：Silent Lynx APT利用漏洞攻击中亚外交；朝鲜APT组织升级武器库。

漏洞预警

1.富士电机、台达电子等公司的系统存在严重缺陷
2025年11月5日，美国网络安全和基础设施安全局 (CISA) 周二发布了五项新的工业控制系统 (ICS) 安全公告，详细说明了影响关键基础设施设施的当前漏洞、攻击手段和安全问题。该机构披露了影响富士电机Monitouch V-SFT-6、Survision车牌识别摄像头、台达电子CNCSoft-G2、Radiometrics VizAir和IDIS ICM Viewer系统的硬件漏洞。富士电机Monitouch V-SFT-6人机界面 (HMI) 配置软件6.2.7.0版本存在基于堆和基于栈的缓冲区溢出漏洞，这些漏洞影响全球关键制造业；该漏洞的编号为CVE-2025-54496。富士电机Monitouch V-SFT-6芯片在处理特制的项目文件时存在基于栈的缓冲区溢出漏洞，攻击者可利用此漏洞执行任意代码，该漏洞已被分配CVE编号CVE-2025-54526。 台达电子CNCSoft-G2软件存在用户提供文件验证机制缺陷，影响全球关键制造业和能源行业。如果用户打开恶意文件，攻击者可利用此漏洞在当前进程中执行恶意代码；该漏洞已被分配CVE编号 CVE-2025-58317。台达电子建议CNCSoft-G2用户下载并更新至2.1.0.34或更高版本。
资料来源：http://jh2.d8k.top/w/K49ds3

2.思科发现了一种针对安全防火墙ASA和FTD设备的新型攻击变种
2025年11月6日，思科警告称，一种新的攻击变种利用CVE-2025-20333和CVE-2025-20362漏洞，针对易受攻击的Secure Firewall ASA和FTD设备。CVE-2025-20333是Cisco Secure Firewall Adaptive Security (ASA)设备和Secure Firewall Threat Defense (FTD) 软件VPN Web服务器中的一个缓冲区溢出漏洞。攻击者可以利用此漏洞执行远程代码。CVE-2025-20362是Cisco Secure Firewall Adaptive Security (ASA)设备和Secure Firewall Threat Defense (FTD)中缺少授权漏洞。这两个漏洞可能相互关联。思科将此次新攻击与ArcaneDoor威胁组织联系起来，但表示没有证据表明其他FTD或硬件平台已被成功入侵。
资料来源：http://cg3.d1k.top/w/zvVQLz

3.LANDFALL间谍软件利用三星零日漏洞CVE-2025-21042在中东发动攻击
2025年11月7日，三星Galaxy手机的一个漏洞（编号为CVE-2025-21042）已被修复，该漏洞曾被用作零日漏洞，在中东地区针对特定目标发动攻击，并部署LANDFALL间谍软件。“Unit 42的研究人员发现了一种此前未知的安卓间谍软件家族，我们将其命名为 LANDFALL。攻击者利用三星安卓图像处理库中的一个零日漏洞 (CVE-2025-21042) 来传播该间谍软件。该恶意软件实现了零点击监控，能够录制音频、追踪位置并窃取数据。这场持续数月的攻击活动与中东的商业间谍软件行动共享策略和基础设施，表明其与私营部门攻击行为体（即私营企业攻击行为体）存在关联。对VirusTotal提交数据的分析显示，此次攻击活动的潜在目标位于伊拉克、伊朗、土耳其和摩洛哥。
资料来源：http://952.d8k.top/w/5XkD5J

4.CISA添加Gladinet CentreStack和CWP Control Web Panel的漏洞
2025年11月5日，美国网络安全和基础设施安全局(CISA)将XWiki平台、Gladinet CentreStack和CWP Control Web Panel的漏洞添加到其已知可利用漏洞(KEV)目录中。CVE-2025-11371（CVSS评分7.5）Gladinet CentreStack和Triofox文件或目录可被外部方访问的漏洞；CVE-2025-48703 （CVSS评分9.0）CWP控制面板操作系统命令注入漏洞。两者都用于安全地管理公司文件，同时支持远程办公和协作。攻击者正在利用Gladinet CentreStack和Triofox中的本地文件包含(LFI)漏洞 CVE-2025-11371，这是一个零日漏洞。本地用户可以利用此漏洞在未经身份验证的情况下访问系统文件。Gladinet和Huntress已向客户发出警报，告知他们针对已被积极利用的CVE-2025-11371漏洞的临时解决方案。这家网络安全公司报告称，目前至少有三家客户成为攻击目标。
资料来源：http://ku2.d8k.top/w/iVhlNd

5.OCI修复runc中的容器逃逸漏洞
2025年11月7日，开放容器倡议组织 (OCI) 发布了安全更新，以解决影响其容器运行时runc的三个高危漏洞，其中包括可能导致容器逃逸、拒绝服务以及主机系统权限提升的缺陷。这些漏洞（编号分别为CVE-2025-31133、CVE-2025-52565和CVE-2025-52881）影响所有runc版本，最高至1.2.7、1.3.2和1.4.0-rc.2，并在1.2.8、1.3.3和1.4.0-rc.3版本中得到修复。第一个漏洞（CVSS 7.3）涉及 runc 的 maskedPaths实现中的挂载竞争条件，该功能旨在通过挂载只读 tmpfs或将/dev/null绑定到特定系统文件来保护敏感的主机目录。第二个漏洞（CVSS 7.3）针对的是将/dev/pts/$n绑定挂载到 /dev/console，这是为分配控制台的容器默认配置的。第三个漏洞CVE-2025-52881 (CVSS 7.3) 扩大了早期漏洞的影响范围，允许在/proc内部进行任意写入重定向，从而可能绕过Linux安全模块 (LSM) 的保护，例如AppArmor和SELinux。OCI给出了应用补丁时需要采取的缓解措施。
资料来源：http://dn3.d1k.top/w/1Brpjr

6.思科ISE高危漏洞引发未经身份验证的拒绝服务攻击
2025年11月7日，思科发布了一项安全更新，以修复影响其身份服务引擎(ISE)的高危漏洞(CVE-2025-20343，CVSS 8.6)。ISE是企业用于验证和管理联网设备的核心网络访问控制平台。该漏洞可能允许未经身份验证的远程攻击者触发系统意外重启，从而导致拒绝服务(DoS)攻击。根据思科的公告，“思科身份服务引擎(ISE)上的RADIUS设置‘拒绝来自重复失败客户端的RADIUS请求’存在漏洞，未经身份验证的远程攻击者可能利用该漏洞导致思科ISE意外重启。”该问题源于思科ISE 的RADIUS访问请求处理中的逻辑错误，具体来说，当系统处理来自已被标记为拒绝的端点的MAC地址的连接尝试时就会出现此错误。Cisco ISE 3.4 Patch 4已彻底解决此问题，对后续版本无任何影响。思科强调，客户应尽快升级到已修复的软件版本，以避免遭受此类拒绝服务攻击。
资料来源：http://te2.d8k.top/w/aKaiBu

7.思科UCCX存在严重漏洞
2025年11月6日，思科发布了安全更新，以修复统一联络中心快速版(UCCX)软件中的一个严重漏洞，该漏洞可能使攻击者能够以root权限执行命令。该安全漏洞编号为CVE-2025-20354，由安全研究员Jahmel Harris在Cisco Unified CCX的Java远程方法调用(RMI)过程中发现，允许未经身份验证的攻击者以root权限远程执行任意命令。思科在安全公告中解释说：“此漏洞是由于与特定Cisco Unified CCX功能相关的身份验证机制不当造成的。”尽管这些漏洞会影响Cisco Unified CCX软件，而与设备配置无关，但思科产品安全事件响应团队(PSIRT)尚未发现公开可用的漏洞利用代码的证据，也未发现这两个关键安全漏洞已被实际利用。
资料来源：http://dn1.d1k.top/w/nxdJwG

安全事件

8.运输公司遭黑客攻击，货物被盗
2025年11月4日，据Proofpoint报告，威胁行为者一直在入侵地面运输公司，部署远程访问工具并劫持货物运输，以窃取实物。攻击链始于被入侵的货运代理平台账户（用于为卡车预订货运的市场），该账户被用来发布虚假货运信息。黑客们等待承运商询问货运情况，当这种情况发生时，他们会回复包含恶意URL的电子邮件，这些URL旨在提供远程监控和管理(RMM)工具。这些袭击的目的是劫持货物以牟取经济利益。货物盗窃每年造成的损失超过300亿美元，主要由有组织犯罪集团实施，巴西、智利、德国、印度、墨西哥、南非和美国是此类活动的重灾区。
资料来源：https://www.securityweek.com/transportation-companies-hacked-to-steal-cargo/

9.印度国际机场遭遇GPS欺骗攻击，导致航班延误和改道
2025年11月7日，印度德里英迪拉·甘地国际机场发生了一系列罕见的GPS欺骗事件，攻击者发送虚假卫星信号，误导飞机判断其真实位置。这种罕见的网络干扰事件通常发生在冲突地区或敏感边境附近，此次事件造成了严重的航班拥堵和改道。仅周五一天就有超过400架航班延误，原因是空中交通管制员在应对欺骗性干扰和空中交通管制系统另一起技术故障的同时，难以有效管理航班运行。此次延误的影响波及印度北部，导致多个主要机场的航班时刻表被打乱。与干扰真实信号的GPS干扰不同，欺骗性网络攻击会输入虚假信号，使飞机误以为自己位于其他位置。印度机场管理局（AAI）已保证，技术团队正在努力加强空中交通管制系统，并实施安全措施以防止未来再次发生干扰。
资料来源：https://www.cysecurity.news/2025/11/delhi-airport-hit-by-rare-gps-spoofing.html

10.比利时电信遭受网络攻击
2025年11月6日，比利时电信运营商Proximus和Scarlet周三清晨遭遇分布式拒绝服务（DDoS）网络攻击，导致服务暂时中断。事件发生在当地时间早上7点20分左右，Proximus的技术人员立即采取了应对措施。该公司发言人Fabrice Gansbeke证实，虽然检测到异常流量激增，但已采取的应对措施有效。他指出，流量激增最显著的时期出现在早上7点30分左右，但由于系统承受了这次的大流量，因此对整体服务的影响“非常有限”。同期，根特大学医院也遭受了类似的DDoS攻击。这导致其与部分外部系统的通信速度减慢，并短暂中断了对某些数据的访问。亲俄黑客组织NoName057迅速通过其Telegram频道发布消息，声称对此次攻击负责，并表示他们攻击了Scarlet、Proximus以及另一家运营商Telenet的内部门户网站。针对比利时关键基础设施（包括主要电信运营商和一家重要医院）的协同性、政治动机的DDoS攻击，凸显了与地缘政治紧张局势相关的网络战日益加剧的趋势。
资料来源：https://cybermaterial.com/belgian-telecoms-hit-by-cyberattack/

风险预警

11.DragonForce再次出现，成为与Conti有关联的勒索软件集团
2025年11月6日，Acronis威胁研究部门（TRU）的最新数据分析了DragonForce，这是一款源自Conti的勒索软件即服务（RaaS）恶意软件。自2023年底以来，DragonForce的泄露网站已曝光了200多名受害者，涵盖零售、航空、保险、托管服务提供商（MSP）和其他企业领域。2025年初，DragonForce开始将自身定位为勒索软件“卡特尔”。这种策略使DragonForce得以继续巩固其作为当前最臭名昭著的网络犯罪集团之一的地位，并吸引了竞争对手和执法部门的关注。通过其联盟计划，DragonForce强化了其在勒索软件领域的地位，吸引了新的合作伙伴，并与更成熟的勒索软件即服务（RaaS）运营商展开竞争。此外，这种商业模式使攻击技术和受害者群体多样化，从而增加了追溯攻击源的难度。DragonForce利用自带易受攻击的驱动程序（BYOVD）攻击，通过 truesight[dot]sys 和 rentdrv2[dot]sys 驱动程序来终止进程。
资料来源：http://oe3.d1k.top/w/8QFkUd

12.恶意软件感染的NuGet包中隐藏的逻辑炸弹会在安装数年后引爆
2025年11月7日，已发现一组九个恶意 NuGet 包能够投放延迟有效载荷，以破坏数据库操作和破坏工业控制系统。据软件供应链安全公司Socket 称，这些软件包由名为“ shanhai666 ”的用户于2023年和2024年发布，旨在2027年8月和2028年11月的特定触发日期后运行恶意代码。这些软件包总共被下载了9488次。安全研究员Kush Pandya表示：“最危险的软件包Sharp7Extend针对工业PLC，具有双重破坏机制：安装后30-90分钟内立即随机终止进程和静默写入故障，这会影响制造环境中的安全关键系统。”Pandya表示：“这种分阶段的方法让攻击者有更长的时间来收集受害者，然后再触发延迟激活的恶意软件，同时立即破坏工业控制系统。”目前尚不清楚是谁发动了此次供应链攻击。目前来看，事件响应和取证调查几乎不可能，组织无法追溯恶意软件的引入点，无法确定是谁安装了被入侵的依赖项，也无法建立清晰的入侵时间线，从而有效地抹去了攻击的痕迹。
资料来源：https://thehackernews.com/2025/11/hidden-logic-bombs-in-malware-laced.html

13.乌克兰遭受网络钓鱼攻击时，植入木马的ESET安装程序会投放Kalambur后门
2025年11月6日，一个此前未知的威胁活动集群被发现冒充斯洛伐克网络安全公司ESET，对乌克兰实体发起网络钓鱼攻击。该活动于2025年5月被发现，安全机构以“InedibleOchotense”的名义对其进行追踪，并称其与俄罗斯结盟。ESET在APT活动报告中表示：“InedibleOchotense 向多个乌克兰实体发送了鱼叉式网络钓鱼电子邮件和Signal 短信，其中包含指向被植入木马的ESET安装程序的链接。”InedibleOchotense被评估为与EclecticIQ记录的一项活动存在战术重叠，该活动涉及部署名为BACKORDER的后门，CERT-UA将其描述为UAC-0212，并将其描述为Sandworm（又名APT44）黑客组织内的一个子集群。该活动旨在利用ESET软件在该国的广泛使用及其品牌声誉，诱骗接收者安装托管在esetsmart[.]com、esetscanner[.]com和esetremover[.]com等域名上的恶意安装程序。
资料来源：http://lv1.d1k.top/w/XMmkpW

14.黑客利用Windows Hyper-V隐藏Linux虚拟机并逃避EDR检测
2025年11月6日，名为Curly COMrades的威胁行为者被发现利用虚拟化技术绕过安全解决方案并执行自定义恶意软件。根据Bitdefender的一份新报告，攻击者据称已在选定的受害者系统上启用Hyper-V角色，以部署一个基于Alpine Linux的极简虚拟机。安全研究员在一份技术报告中表示：“这个隐藏的环境占用空间很小（仅120MB磁盘空间和256MB内存），托管了他们自定义的反向shell CurlyShell和反向代理CurlCat。”研究人员表示：“攻击者通过将恶意软件及其执行环境隔离在虚拟机中，有效地绕过了许多传统的基于主机的EDR检测机制。该威胁行为者表现出维护反向代理能力的明确决心，并不断向环境中引入新的工具。”该恶意软件使用C++编写，以无头后台守护进程的形式运行，连接到命令与控制(C2)服务器并启动反向shell，从而允许攻击者执行加密命令。它通过HTTP GET请求轮询服务器以获取新命令，并使用HTTP POST请求将命令执行结果传回服务器。
资料来源：http://r71.d1k.top/w/UbGaMf

15.网络犯罪领域Scattered Spider、LAPSUS$和ShinyHunters强强联手
2025年11月4日，自2025年8月8日以来，由三个著名的网络犯罪集团Scattered Spider、LAPSUS$ 和 ShinyHunters 组成的新兴组织已经创建了不少于16个Telegram 频道。这三个团伙均被评估为隶属于一个名为“The Com”的松散联盟式网络犯罪组织，该组织以“灵活的协作和品牌共享”为特征。这些犯罪分子随后又展现了他们与其他邻近团伙（分别为CryptoChameleon和Crimson Collective）的关联。虽然数据盗窃和勒索仍然是Scattered LAPSUS$ Hunters的主要手段，但威胁行为者暗示了一种名为Sh1nySp1d3r（又名 ShinySp1d3r）的定制勒索软件家族，以与LockBit和DragonForce竞争，这表明未来可能会有勒索软件行动。Trustwave将这些威胁行为者描述为介于以经济利益为驱动的网络犯罪和以博取关注为目的的黑客行动主义之间的某种角色，他们将金钱激励和社会认可结合起来，以此来推动他们的活动。
资料来源：http://j63.d1k.top/w/bvVhuD

16.React Native CLI严重缺陷使数百万开发者面临远程攻击风险
2025年11月4日，有消息称，流行的 npm 包“ @react-native-community/cli ”中存在一个严重的安全漏洞，该漏洞现已修复，在某些情况下可能会被利用来运行恶意操作系统 (OS) 命令。JFrog高级安全研究员Or Peles在报告中表示：“该漏洞允许远程未经身份验证的攻击者轻松触发在运行 react-native-community/cli开发服务器的机器上执行任意操作系统命令，这对开发人员构成重大风险。”该漏洞编号为CVE-2025-11953， CVSS评分为9.8分，表明其严重性极高。该漏洞影响“@react-native-community/cli-server-api”软件包的4.8.0至20.0.0-alpha.2版本，并已在上个月初发布的20.0.0版本中修复。虽然该问题已得到解决，但使用React Native且开发服务器不依赖于Metro的框架的开发者不会受到影响。
资料来源：http://1m3.d1k.top/w/ahtR4T

17.“躲猫猫行动”：Silent Lynx APT利用漏洞攻击中亚外交
2025年11月4日，Seqrite Labs的APT团队发布了一份详细报告，揭露了名为“Silent Lynx”的高级持续性威胁 (APT) 组织在中亚和南亚地区开展的最新间谍活动。该研究发现，该组织针对塔吉克斯坦、阿塞拜疆、俄罗斯和中国等国的多个外交峰会、政府机构和基础设施项目，实施了多项相互重叠的网络攻击行动。这些统称为“巴库窥视行动”的行动，揭示了该组织对中亚各地外交峰会和战略合作活动的兴趣。攻击者利用地缘政治事件制作钓鱼诱饵——伪装成峰会文件的RAR压缩文件——以提供基于PowerShell的反向shell和自定义植入程序。这些间谍活动似乎与情报收集而非经济动机有关，这与“沉默的猞猁”组织历来关注战略地缘政治利益的宗旨相符。Seqrite警告称，Silent Lynx可能会将其目标扩大到即将举行的印度-中亚安全峰会，尽管截至发稿时尚未观察到任何行动。
资料来源：http://oz2.d8k.top/w/0Oxp9r

18.朝鲜APT组织升级武器库
2025年11月3日，Gen Threat Labs的研究人员发现，朝鲜官方支持的组织正在积极使用两套新的工具集，这凸显了朝鲜政权持续加大对先进网络间谍和入侵能力的投入。研究结果显示，Kimsuky组织正在部署一种名为“HttpTroy”的隐蔽式新型后门程序，而臭名昭著的Lazarus组织则被发现正在使用其远程访问工具（RAT）BLINDINGCAN的升级版。报告指出，这两起攻击行动“都展现出相同的潜在模式：隐蔽的代码和多层混淆”。这两个与朝鲜有关联的组织似乎正在改进其工具链，以在全球范围内（包括韩国和加拿大的受害者）实施持久化攻击、数据窃取和秘密指令执行。Gen Threat Labs 总结道：“Kimsuky和Lazarus不断磨砺他们的工具，这表明与朝鲜有关联的行动者不仅在维护他们的武器库，而且还在重新发明它们。”
资料来源：http://xw4.d8k.top/w/7Pbuxr