黑客使用思科SNMP误差在交流机上安排rootkit

首页 > 清静研究 > 清静转达 > 清静简讯

黑客使用思科SNMP误差在交流机上安排rootkit

宣布时间 2025-10-20

1. 黑客使用思科SNMP误差在交流机上安排rootkit

10月16日，网络清静公司趋势科技披露，威胁行为者正使用思科IOS/IOS XE系统中已修补的远程代码执行误差CVE-2025-20352，针对9400、9300及古板3750G系列未安排端点检测响应解决计划的装备提倡攻击。该误差涉及SNMP协议，攻击者通过获取root权限可实现远程代码执行，思科已在10月6日更新通告中将其标记为零日误差并确认保存乐成使用案例。攻击被追踪为"Operation Zero Disco"，因植入恶意软件时设置了包括"disco"的通用会见密码。研究显示，攻击者不但使用新误差，还实验复用七年前旧误差CVE-2017-3881扩大攻击面。乐成渗透后，攻击者在目的系统安排具备长期化能力的Linux Rootkit，该工具包集成UDP控制器，可实现端口监听、日志改动、绕过AAA认证和VTY会见控制列表、动态修改通用密码、隐藏设置项及重置时间戳等操作。研究职员强调，目今缺乏可靠工具标记受熏染装备，建议嫌疑遭入侵的组织执行初级固件及ROM区域深度视察。

https://www.bleepingcomputer.com/news/security/hackers-exploit-cisco-snmp-flaw-to-deploy-rootkit-on-switches/

2. 得克萨斯州电力相助社遭“麒麟”勒索软件攻击

10月14日，网络犯法团伙“麒麟”（Qilin）在暗网泄露网站宣称已入侵得克萨斯州两家电力分销相助社，圣伯纳德电力相助社与卡恩斯电力相助社，并泄露敏感财务文件。圣伯纳德相助社拥有3900英里配电线路，服务8县约2.8万户家庭，年收入9250万美元；卡恩斯相助社运营近5000英里线路，笼罩12县2.3万户家庭，年收入7580万美元。两家机构均属美国要害基础设施，其清静直接关系国家清静。“麒麟”在泄露网站宣布了数据样本，包括圣伯纳德的首次事务报告（含职员全名、电话及事务详情）、年度预算、包管文件、费率案用度报告等；卡恩斯方面则泄露了董事会成员名单（含地点、联系方法）、收支余额报告、组织成员数据等。只管数据真实性尚未核实，但若属实，将袒露企业定价战略、引发信托�；蚓赫邮�，小我私家身份信息（PII）更可能被用于身份偷窃、骚扰及社会工程攻击，尤其对董事会成员危害极高。

https://cybernews.com/security/texas-electric-coops-ransomware-attack/

3. F5披露重大清静误差，全球超26万BIG-IP装备面临危害

10月17日，网络清静公司F5克日披露，非营利组织Shadowserver Foundation发明全球凌驾26.6万个F5 BIG-IP实例袒露于互联网，其中美国占14.2万个，欧洲和亚洲共约10万个。F5证实其网络遭国家黑客入侵，窃取了未果真的BIG-IP清静误差源代码及相关信息，但未发明攻击者使用这些误差的证据。为应对威胁，F5紧迫宣布补丁修复44个误差（含被窃取误差），并鞭策客户更新BIG-IP、F5OS、BIG-IP Next for Kubernetes等系列产品。F5 还一直在与其客户分享一份威胁征采指南，涉及Brickstorm后门程序及UNC5291威胁组织。美国网络清静和基础设施清静局（CISA）同步宣布紧迫指令，要求联邦机构在10月22日前为F5OS、BIG-IP TMOS、BIG-IQ和BNK/CNF产品装置最新补丁，并将其他F5装备的更新阻止日期延伸至10月31日。CISA强调，机构需盘货所有F5 BIG-IP装备，评估网络治理接口的互联网袒露情形，并停用已终止支持的装备。

https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/

4. 欧洲捣毁跨国不法SIM卡盒网络，破获超3200起诓骗案

10月17日，欧洲刑警组织团结多国执法部分开展的"SIMCARTEL"行动中，乐成捣毁一个涉及80余国的不法SIM卡盒服务网络。该犯法组织运营gogetsms.com和apisim.com两个网站，安排1,200台SIM盒装备及40,000张SIM卡，为全球犯法分子提供虚伪电话号码以建设和验证诓骗性在线账户，用于实验网络垂纶、投资诈骗、冒没收检法、勒索及偷运移民等犯法运动。据欧洲刑警组织转达，该服务直接关联奥地利1,700起、拉脱维亚1,500起诓骗案件，累计造成经济损失超450万欧元。其手艺架构重大，可隐藏用户真实身份和位置，助长建设4,900万个虚伪网络账户，涉及电信诈骗、WhatsApp"支属诈骗"、虚伪投资平台诈骗等多种犯法形态。10月10日行动中，警方在奥地利、爱沙尼亚、芬兰、拉脱维亚四国同步开展26次搜查，拘捕5名拉脱维亚籍主犯及2名共犯，缴获价值数百万欧元的资产：包括1,200台SIM盒装备、数十万张SIM卡、5台服务器、冻结银行账户43.1万欧元及加密钱币账户33.3万美元，并扣押4辆豪华车。现在，被查封的服务器正举行取证剖析以追溯客户身份。

https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-box-operation-renting-numbers-for-cybercrime/

5. 美国航空子公司Envoy Air遭Clop勒索团伙攻击

10月17日，美国航空旗下区域航空公司Envoy Air证实，其Oracle E-Business Suite应用程序数据遭Clop勒索团伙泄露。Envoy Air体现，视察后确认仅少量商业信息及联系方法外泄，无敏感或客户数据受影响。该公司已联系执法部分并睁开周全审查。此次事务与Clop团伙8月启动的数据偷窃运动相关，该团伙通过电子邮件向受害企业发送勒索要求，声称窃取了Oracle EBS系统中的数据。Oracle披露，攻击使用了编号为CVE-2025-61882和CVE-2025-61884的零日误差，其中CVE-2025-61884于上周被悄悄修补，但未果真其曾被起劲使用。CrowdStrike和Mandiant证实，Clop在8月初使用这些误差入侵系统并安排恶意软件。作为统一攻击链的一部分，哈佛大学也遭Clop勒索，该校称仅“小型行政单位相关方”受影响。

https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/

6. macOS伪造平台攻击现新威胁：AMOS与Odyssey窃取软件肆虐

10月18日，克日，针对macOS开发职员的恶意运动使用伪造Homebrew、LogMeIn和TradingView平台撒播AMOS（Atomic macOS Stealer）及Odyssey等信息窃取恶意软件。攻击者接纳“ClickFix”手艺，通过Google Ads推广的85个冒名域名诱骗用户复制curl下令装置恶意程序。例如，TradingView虚伪网站以“清静确认”为幌子，现实将base64编码的装置下令复制到剪贴板，执行后下载并解码“install.sh”文件，绕过Gatekeeper防护机制，最终加载AMOS或Odyssey恶意软件。这些恶意软件具备反虚拟机检测能力，运行后首先以root权限网络主机硬件、内存信息，并通过使用系统服务（如终止OneDrive守护历程）及与macOS XPC服务交互，将恶意运动伪装成正当历程。最终激活信息窃取组件，窃取浏览器存储的敏感数据、加密钱币钱包凭证、钥匙串内容及小我私家文件，以ZIP名堂回传至攻击者控制的C2服务器。

https://www.bleepingcomputer.com/news/security/google-ads-for-fake-homebrew-logmein-sites-push-infostealers/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究