博通修复了VMware ESX产品中三个被起劲使用的零日误差

宣布时间 2025-03-05

1. 博通修复了VMware ESX产品中三个被起劲使用的零日误差


3月4日 ,博通近期宣布了清静更新 ,旨在修复VMware ESX产品中保存的三个严重零日误差 ,误差编号划分为CVE-2025-22224、CVE-2025-22225和CVE-2025-22226 ,这些误差影响了包括VMware ESXi、vSphere、Workstation、Fusion、Cloud Foundation和Telco Cloud Platform在内的多个产品 。这些误差由微软威胁情报中心的研究职员发明 ,其中CVE-2025-22224为VMCI堆溢出误差 ,CVSS评分为9.3;CVE-2025-22225为VMware ESXi恣意写入误差 ,CVSS评分为8.2;CVE-2025-22226为HGFS信息泄露误差 ,CVSS评分为7.1 。攻击者若拥有特权管理员或根会见权限 ,可使用这些误差实现虚拟机沙盒逃逸 。博通通过VMSA-2025-0004清静通告确认了这些误差的保存 ,并指出它们已被普遍使用 。公司强调 ,已乐成入侵虚拟机并获得特权会见的攻击者 ,可使用这些误差进一步会见虚拟机管理程序自己 。然而 ,博通现在尚未披露关于详细攻击或背后威胁行为者的详细信息 。


https://securityaffairs.com/174911/security/vmware-fixed-three-actively-exploited-zero-days-in-esx-products.html


2. Eleven11bot僵尸网络熏染8.6万台物联网装备发动DDoS攻击


3月4日 ,一种名为“Eleven11bot”的新型僵尸网络恶意软件已熏染凌驾86,000台物联网装备 ,主要是清静摄像头和网络视频录像机(NVR) ,用于发动漫衍式拒绝服务(DDoS)攻击 。该僵尸网络与伊朗有松散联系 ,已针对电信服务提供商和在线游戏服务器提倡攻击 。诺基亚研究职员发明了该僵尸网络 ,并与威胁监控平台GreyNoise分享了详细信息 。据Shadowserver Foundation报告 ,受熏染的装备大多位于美国、英国、墨西哥、加拿大和澳大利亚 。Eleven11bot的攻击量已抵达每秒数亿个数据包 ,一连时间通常为数天 。该恶意软件通过强制使用弱或常见的管理员凭证、使用已知默认凭证以及扫描袒露的Telnet和SSH端口来撒播 。GreyNoise建议防御者将相关IP地址添加到黑名单中 ,并监控可疑登录实验 。为确保清静 ,建议物联网装备运行最新固件版本 ,禁用不须要的远程会见功效 ,并更改默认管理员帐户凭证 。别的 ,按期检查装备是否抵达使用寿命终点并用新型号替换至关主要 。


https://www.bleepingcomputer.com/news/security/new-eleven11bot-botnet-infects-86-000-devices-for-ddos-attacks/


3. 多语言恶意软件Sosano针对阿联酋要害组织提倡攻击


3月4日 ,一种针对阿拉伯团结酋长国航空、卫星通讯和要害交通组织的多语言恶意软件正在被未知威胁行为者使用 。该软件名为Sosano ,提供后门功效 ,允许攻击者在受熏染装备上建设长期性并远程执行下令 。Proofpoint于2024年10月发明了这一活动 ,指出其与伊朗盟友TA451和TA455的行动有相似之处 ,但此次活动重点在于网络特工活动 。该恶意软件通过特制文件 ,包括多种文件名堂 ,逃避基于简单名堂剖析的清静软件检测 。攻击始于印度电子公司发送的鱼叉式网络垂纶电子邮件 ,包括恶意URL和ZIP存档 ,内含伪装成XLS的LNK文件和两个多语言PDF文件 。PDF文件包括HTA代码和隐藏ZIP档案 ,触发Sosano后门 。Sosano后门与下令和控制服务器建设毗连 ,期待文件操作、shell下令执行等下令 。防御此类威胁需接纳多管齐下要领 ,包括电子邮件扫描、用户教育和能够检测多种文件名堂的清静软件 。阻止危险文件类型也是明智之举 。


https://www.bleepingcomputer.com/news/security/new-polyglot-malware-hits-aviation-satellite-communication-firms/


4. 麒麟勒索软件组织攻击日本癌症治疗中心 ,泄露30万患者数据


3月4日 ,日本宇都宫中央诊所(UCC)癌症治疗中心于2月10日遭到麒麟勒索软件组织的黑客攻击 ,导致30万名患者的敏感康健信息泄露 ,医院系统也无法使用 。该组织在其暗网博客上宣布了被盗信息 ,包括患者姓名、生日、性别、地址、电话号码、电子邮件地址、医疗信息等 ,并讥笑患者使用UCC的服务可能会导致敏感数据泄露 。UCC官员鞭策客户小心诈骗信息 ,并设立了热线电话供患者获取更多信息 。麒麟组织自2025年头以来一直在增强攻击 ,接纳勒索软件即服务(RaaS)模式运作 ,以对受害者使用双重勒索手段而著名 。该组织已往12个月的网络攻击活动一直 ,总受害者数目已达191次 。麒麟组织涉嫌通过窃取Google Chrome凭证以及神秘逃避或禁用端点检测和响应(EDR)系统来使用受害者 ,使用了著名的“Citrix Bleed”零日误差 。


https://cybernews.com/news/cancer-hospital-breach-is-claimed-by-qilin-gang-in-new-ransomware-low/


5. Zhong Stealer恶意软件通过客服熏染金融科技公司


3月4日 ,名为“Zhong Stealer”的新型恶意软件已在中国泛起 ,它通过使用客户支持谈天这一意想不到的切入点潜入企业 ,主要目的是金融科技公司 ,但其顺应性极强 ,可针对任何依赖客户支持团队的行业 。该恶意软件使用人性的弱点 ,如紧迫感、疑心和沮丧 ,通过全心策划的圈套诱导客服职员翻开包括恶意ZIP文件的附件 。Zhong Stealer能够下载其他组件举行攻击 ,并在受熏染系统中坚持长期性 ,通过添加注册表项或使用妄想使命重新启动自身 ,难以彻底消除 。其主要目的是网络凭证和浏览器扩展数据 ,窃取敏感的商业和小我私家数据 ,并将信息发送回位于香港的下令和控制服务器 。为掩护企业免受Zhong Stealer损害 ,可使用ANY.RUN沙箱等工具对可疑文件举行剖析 ,审查实时恶意软件行为 ,连忙识别威胁 ,并在员工翻开文件之前自动检查文件 ,以避免熏染 。


https://hackread.com/chinese-zhong-stealer-infects-fintech-customer-support/


6. 大规模网络清静误差致3.5万网站遭挟制重定向至赌博平台


3月3日 ,一起大规模网络清静误差事务于2月20日爆发 ,凌驾35,000个网站遭到攻击 ,用户浏览器窗口被恶意剧本完全挟制并重定向至中文赌博平台“Kaiyun” 。c/side清静研究职员发明 ,攻击者通过在受影响网站的源代码中插入简朴剧本标签 ,加载其他恶意代码 ,这些代码使用装备检测手艺并设置500-1000毫秒随机延迟以逃避清静扫描 。最令人担心的是 ,恶意剧本注入全屏iframe代码 ,替换原始网站内容为赌博平台 。攻击通过多个代码执行阶段举行 ,使用JavaScript函数检测用户装备类型 ,有针对性地投放恶意内容 ,并建设元视口标签确保恶意内容填满整个屏幕 。部分攻击变种还实验基于地区的过滤机制 ,凭证用户IP地址显示差别内容 。清静专家推测此次攻击与Megalayer误差有关 ,建议网站所有者审核源代码、阻止恶意域、按期检查文件修改、实验内容清静战略限制 ,并使用工具执行频仍站点扫描以发明恶意注入 ,从而掩护平台免受类似攻击 。


https://cybersecuritynews.com/35000-websites-hacked-to-inject-malicious-scripts/