新闻速览

•特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼

•澳大利亚政府出于安全顾虑，禁用卡巴斯基软件

•CISA紧急警告：Oracle Agile高危反序列化漏洞正被活跃利用

•由13万台设备组成的僵尸网络绕过MFA攻击Microsoft 365账户

•谷歌Play商店发现勒索型安卓恶意软件，已被下载10万次

•网络犯罪分子窃取浏览器指纹冒充用户

•警惕！窃密软件通过伪DeepSeek网站分发

•Ivanti Endpoint Manager四个漏洞PoC代码曝光，升级迫在眉睫

•高端智能床存在严重漏洞，或导致家庭网络遭入侵

热点观察

特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼

当地时间2月24日上午，美国住房及城市发展部(HUD)总部大楼内的多个显示屏循环播放一段人工智能生成的深度伪造视频。视频内容是特朗普总统亲吻并舔舐埃隆·马斯克的脚趾,并附有”真正国王万岁”的字样，揶揄他们之间的权力关系。工作人员不得不拔掉屏幕电源才能停止了视频播放。

在特朗普政府推行”削减开支”政策的背景下，这段视频此前在社交媒体上广为流传。视频中“真正的国王”暗指特朗普近日在社交媒体上高喊”国王万岁”，自称为君主；而马斯克因主导”DOGE计划”，而被外界戏称为”影子总统”。”DOGE计划”旨在通过裁撤联邦项目、合约及数千名政府工作人员来实现政府精简。技术人员指出视频存在明显破绽：例如给马斯克的两只脚均是左脚，这种低级错误在AI生成的视频中经常出现。

据报道, “DOGE”项目正计划裁减HUD的员工人数，一些工作人员对此表示不满。这或许是导致此次事件的根本原因。目前尚不清楚是谁入侵了HUD大楼的显示器，但是HUD发言人表示,将对涉事人员采取”适当行动”。

原文链接：

https://www.theregister.com/2025/02/24/hud_trump_toe_sucking/

澳大利亚政府出于安全顾虑，禁用卡巴斯基软件

近日，澳大利亚政府下令从联邦系统和设备中移除所有卡巴斯基实验室软件和网络服务，理由是存在外国干预、间谍活动和蓄意破坏的加剧风险。

根据保护性安全政策框架(PSPF)指令002-2025的规定，澳大利亚非企业联邦实体必须在2025年4月1日之前识别并消除所有卡巴斯基产品的实例，同时禁止未来安装。澳大利亚内政部长Stephanie Foster强调，这一决定源于对卡巴斯基”广泛收集用户数据”以及可能暴露于”外国政府发出的违反澳大利亚法律的非司法指令”的担忧。

这一禁令凸显了网络安全政策的更广泛变化，各国越来越重视供应链审查和零信任架构。分析师组织预测，CrowdStrike、Palo Alto Networks和Microsoft Defender for Endpoint等替代品在澳大利亚各机构中的采用将加速。

原文链接：

https://cybersecuritynews.com/australia-prohibits-kaspersky-software/

CISA紧急警告：Oracle Agile高危反序列化漏洞正被活跃利用

美国网络安全与基础设施安全局(CISA)发出紧急警告，Oracle Agile产品生命周期管理(PLM)软件存在的高危反序列化漏洞CVE-2024-20953正被活跃利用。该漏洞允许未经身份验证的攻击者入侵企业系统、窃取敏感数据并扰乱关键供应链运营。

该漏洞于2月24日被列入CISA的已知利用漏洞(KEV)目录，存在于Oracle Agile PLM 9.3.6版本的导出组件中。利用该漏洞的攻击利用了不安全的反序列化过程，将不受信任的数据转换为可执行对象，从而绕过身份验证并劫持系统。成功的攻击可能导致数据泄露、知识产权被盗或产品生命周期数据被篡改。

Oracle Agile PLM对制造业、医疗保健和科技行业至关重要，用于管理敏感的产品蓝图、质量控制和合规性文档。一旦遭到入侵，可能导致生产线被破坏、专有设计被泄露或产品更新中被注入恶意代码。Oracle在2024年1月的关键补丁更新中发布了相关补丁，并敦促客户升级到9.3.7或更高版本。CISA建议：将Agile PLM系统与公共互联网访问隔离；应用Oracle的安全补丁并验证配置；监控网络流量，查找针对导出模块的异常HTTP活动。

原文链接：

https://cybersecuritynews.com/cisa-warns-oracle-agile-vulnerability/

网络攻击

由13万台设备组成的僵尸网络绕过MFA攻击Microsoft 365账户

SecurityScorecard近日报告，一个拥有超过13万台受感染设备的大型僵尸网络正在针对全球Microsoft 365账户进行密码喷洒攻击，利用基本身份验证绕过多重身份验证(MFA)。攻击者利用由信息窃取恶意软件窃取的凭据，大规模攻击Microsoft 365账户。

这个新发现的僵尸网络使用基本身份验证尝试针对大量账户进行常见/泄露密码的喷洒攻击。由于基本身份验证是非交互式的，当尝试的凭据匹配时，攻击者不会被要求进行MFA，而且通常不受条件访问策略(CAP)的限制，从而允许攻击者偷偷验证账户凭据。一旦凭据得到验证，攻击者就可以访问不需要MFA的遗留服务，或在更复杂的网络钓鱼攻击中绕过该安全功能，获取对账户的完全访问权限。该僵尸网络将登录尝试分散到不同的IP地址，有助于避免被标记为可疑活动并被阻止。

组织应在Microsoft 365中禁用基本身份验证，阻止报告中列出的IP地址，启用CAP以限制登录尝试，并为所有账户启用MFA。微软计划于2025年9月弃用基本身份验证，转而支持OAuth 2.0。

原文链接：

https://www.bleepingcomputer.com/news/security/botnet-targets-basic-auth-in-microsoft-365-password-spray-attacks/

谷歌Play商店发现勒索型安卓恶意软件，已被下载10万次

网络安全公司CYFIRMA研究人员近日发现，安卓恶意软件SpyLend通过谷歌Play商店的”简化理财“应用程序已被下载了10万次。

该恶意软件伪装成金融工具，以轻易获取贷款诱骗用户，要求过度权限访问通讯录、通话记录、短信、照片和位置信息。一旦安装，它就能访问照片、视频和通讯录，并捕获剪贴板数据以窃取敏感信息。这款恶意应用使用亚马逊EC2上的自定义C2服务器，其管理面板使用英语和中文。该恶意软件利用API访问文件、通讯录、通话记录、短信和已安装应用。操作该威胁的人员使用窃取的数据进行勒索和敲诈，他们被发现将受害者的照片编辑成假裸照，以勒索付款。

目前该应用在报道发布时仍可在谷歌Play上下载。用户留下大量负面评论，反映被勒索、骚扰和照片被篡改。

原文链接：

SpyLend Android malware found on Google Play enabled financial cyber crime and extortion

网络犯罪分子窃取浏览器指纹冒充用户

研究人员近日发现，网络犯罪团伙ScreamedJungle利用窃取的浏览器指纹绕过欺诈检测系统，冒充合法用户。Group-IB分析师估计，自2024年5月以来，ScreamedJungle在全球范围内已收集了数百万个指纹。

ScreamedJungle自2024年5月起，一直在利用过时的Magento电子商务平台的漏洞注入恶意脚本，收集无辜访客的独特数字标识。攻击始于利用未打补丁的Magento商店漏洞，尤其是已停止支持的2.3版本。该团伙利用CVE-2024-34102(CosmicSting)和CVE-2024-20720等漏洞，在被入侵网站注入恶意JavaScript代码，用于收集50多个参数，并利用PerfectCanvas技术克隆指纹。结合Bablosoft的BrowserAutomationStudio(BAS)，网络犯罪分子能够自动执行凭据填充攻击，同时逃避检测。

该活动的影响巨大。仅9个被入侵的意大利电子商务网站每月就暴露了20多万用户。安全专家提醒企业应及时修补漏洞、监控未经授权的脚本注入，并实施设备绑定协议。用户应采用专注隐私的浏览器，如Brave或Tor，并使用反指纹扩展程序来限制跟踪。

原文链接：

https://cybersecuritynews.com/threat-actors-stealing-users-browser-fingerprints/

警惕！窃密软件通过伪DeepSeek网站分发

eSentire威胁响应部门(TRU)近日发现，一场新的网络攻击活动利用伪装的DeepSeek平台网站，诱导Mac用户下载并执行Poseidon窃密恶意软件。

攻击始于将用户重定向至一个冒充DeepSeek的假网站deepseek.exploreio[.]net，常通过恶意广告实现。该假网站与真实DeepSeek网站高度相似，诱导用户点击”立即开始”按钮，进入下载页面。当用户点击”下载Mac OS版本”时，一个恶意DMG文件会被下载。该文件包含一个伪装成DeepSeek应用程序的shell脚本。当用户将该程序拖放到终端时，脚本会执行，绕过macOS GateKeeper安全措施，随后下载并执行Poseidon窃密软件载荷。

Poseidon是一种恶意软件服务(MaaS)，针对基于Chromium/Firefox的浏览器窃取敏感数据,包括信用卡、密码、书签和加密货币钱包数据。它还收集系统信息、窃取钥匙串数据库，并从桌面、下载和文档目录中盗取文件。安全专家提醒用户提高警惕，谨防假冒的软件下载网站，并实施主动安全措施降低风险。

原文链接：

Poseidon Stealer Malware Targets Mac Users via Fake DeepSeek Site

安全漏洞

Ivanti Endpoint Manager四个漏洞PoC代码曝光，升级迫在眉睫

网络安全公司Horizon3.ai的研究人员近日发布了针对Ivanti Endpoint Manager四个严重漏洞的PoC(概念验证)攻击代码。这些漏洞编号为CVE-2024-10811、CVE-2024-13161、CVE-2024-13160和CVE-2024-13159，远程未经身份验证的攻击者可能利用它们获取Ivanti EPM机器账户凭据，进行中继攻击，并最终控制Ivanti EPM服务器。

上述四个漏洞均为路径遍历漏洞，可能导致敏感信息泄露。Ivanti在2025年1月发布了修复程序，并敦促客户实施热补丁程序。尽管当时Ivanti确认没有任何漏洞遭到活跃利用，但随着PoC攻击代码和技术细节的公开，一些攻击者可能有足够的信息和知识来制作并利用自己的攻击代码。

攻击者曾针对存在漏洞的Ivanti Endpoint Manager设备以及其他Ivanti企业解决方案进行过攻击。安全专家建议尚未升级到已修复版本(EPM 2024年1月-2025年安全更新，或EPM 2022 SU6 2025年1月安全更新)的用户立即升级。

原文链接：

PoC exploit for Ivanti Endpoint Manager vulnerabilities released (CVE-2024-13159)

高端智能床存在严重漏洞，或导致家庭网络遭入侵

网络安全专家Dylan Ayrey近日发现，Eight Sleep公司的互联网智能床存在令人震惊的漏洞，可能允许攻击者渗透家庭网络，并危及连接设备的安全。

研究显示，这款价值2000美元的温度调节睡眠系统存在一个安全外壳(SSH)后门，允许远程执行代码，外加一个暴露的AWS访问密钥，使其”成为横向网络攻击的网关设备”。Eight Sleep的Pod系统使用基于Linux的控制器，该控制器运行过时的固件，并与remote-connectivity-api.8slp.net保持持久的SSH连接。与eng@eightsleep.com相关的公钥表明所有工程人员可能都拥有对客户设备的根访问权限。该漏洞使威胁行为者能够通过压力传感器(采样率为50Hz)监控睡眠模式，禁用与床位占用传感器相关的安全警报，并利用嵌入式Debian操作系统中的sudo -i功能执行权限提升攻击。

针对该漏洞，Eight Sleep公司优先通过DMCA takedown通知删除GitHub存储库，而非修补漏洞，并因此受到批评。此事件凸显了在关键攻击路径上部署不安全物联网设备的风险。在制造商将安全置于功能之上之前，消费者必须在智能功能和网络完整性之间作出选择。

原文链接：

https://cybersecuritynews.com/vulnerability-in-internet-connected-smart-beds/