1、新型远程控制木马NonEuclid感染Windows系统

https://www.cyfirma.com/research/noneuclid-rat/

研究人员近日揭示了一种名为NonEuclid的远程访问木马（RAT），其以高级隐蔽与反检测技术著称。该恶意软件由C#开发，具备绕过杀毒软件、防护逃逸、特权升级以及针对关键文件的勒索加密功能。NonEuclid自2024年11月起在地下论坛广泛推广，甚至在Discord和YouTube上出现相关教程。该木马通过Windows API调用监控分析工具，利用虚拟环境检测和Windows AMSI绕过等技术，避免被检测。此外，它还通过修改注册表、创建计划任务等方式实现持久化，并能通过绕过用户账户控制（UAC）提升权限。特别值得关注的是，该恶意软件能够加密指定类型文件并添加“.NonEuclid”后缀，使其具备勒索软件特性。

2、新型PayPal钓鱼攻击利用MS365绕过检测

https://www.fortinet.com/blog/threat-research/phish-free-paypal-phishing

研究人员揭露了一种复杂的PayPal钓鱼诈骗，利用Microsoft365的功能和真实邮件迷惑用户。攻击者通过MS365注册测试域名，并创建包含受害者邮箱的分发列表，以此发送真实的PayPal资金请求邮件，从而绕过反钓鱼过滤器。受害者点击链接后，会被引导至合法的PayPal登录页面，登录后账户可能被自动链接至攻击者账户，导致资金风险。这一攻击不依赖传统的钓鱼技术，邮件和链接看似完全合法，使得普通用户更易中招。

3、Chrome与Firefox紧急更新修复高危内存安全漏洞

https://www.zdnet.com/article/update-chrome-and-firefox-now-to-patch-these-critical-security-flaws/

Chrome和Firefox近日发布了关键安全更新，修复了多项严重漏洞。Chrome更新至31.0.6778.264/265版（Windows和Mac）及131.0.6778.264版（Linux），修补了四个漏洞，其中最严重的CVE-2025-0291为V8 JavaScript引擎中的类型混淆问题，可能被远程利用以运行恶意代码或发起拒绝服务攻击。Firefox则更新至134版，修复了11个安全漏洞，包括三个高危问题。其中CVE-2025-0244涉及安卓设备的地址栏欺骗漏洞，可能引导用户访问伪造网址。

4、GroupGreeting网站遭遇zqxq恶意代码注入攻击

https://www.malwarebytes.com/blog/news/2025/01/groupgreeting-e-card-site-attacked-inzqxq-campaign

研究人员近日发现，“zqxq”恶意代码注入攻击影响了GroupGreeting.com，这一企业常用的电子贺卡平台。该攻击行为与NDSW/NDSX或TDS Parrot恶意软件活动类似，利用高流量网站和节日期间访问激增的机会，向访客植入恶意代码。据悉，超过2800个网站遭遇类似攻击。攻击通过高度混淆的JavaScript代码隐藏恶意重定向及远程加载恶意脚本功能。代码中使用随机令牌生成、条件检查和流量分发技术，将用户引导至钓鱼网站或恶意工具包。研究表明，该活动与此前TDS Parrot攻击手法高度相似，包括利用过时插件和内容管理系统漏洞进行自动化大规模感染。

5、SonicWall警告SonicOS漏洞存在被利用风险

https://securityaffairs.com/172823/security/sonicwall-sonicos-authentication-bypass-flaw.html

SonicWall近日发布安全通知，警告其防火墙SonicOS中存在一个身份验证绕过漏洞（CVE-2024-53704，CVSS评分：8.2），主要影响启用了SSL VPN或SSH管理功能的设备。该漏洞被认为存在实际利用风险，可能被攻击者绕过身份验证获取未经授权的访问权限。SonicWall已发布新版固件修复此漏洞，并建议用户立即升级到最新版本，其中包括对其他较低严重性漏洞的修复。受影响设备包括Gen 6、Gen 6.5及Gen 7防火墙，以及TZ80系列设备。此外，SonicWall还建议用户采取缓解措施，包括限制SSL VPN和SSH管理的访问范围，仅允许来自可信源的连接，或完全禁用这些功能的互联网访问。

6、GFI KerioControl存在严重RCE漏洞可被进行远程代码执行

https://karmainsecurity.com/hacking-kerio-control-via-cve-2024-52875

GFI KerioControl防火墙被曝存在严重的远程代码执行（RCE）漏洞（CVE-2024-52875），攻击者可通过CRLF注入攻击实现HTTP响应拆分，进而触发跨站脚本（XSS）等攻击。该漏洞影响版本9.2.5至9.4.5，并允许通过构造恶意URL诱使管理员执行恶意代码。研究表明，截至2024年12月28日，已有来自新加坡和香港的7个IP发起利用攻击。超过23800个公开的GFI KerioControl实例可能面临风险，主要分布在伊朗、乌兹别克斯坦、意大利等地。GFI于2024年12月19日发布补丁（9.4.5 Patch 1），建议用户尽快升级以降低威胁。

7、虚假PoC漏洞利用恶意软件攻击网络安全研究人员

https://hackread.com/fake-poc-exploit-hit-cybersecurity-researchers-malware/

研究人员发现一个针对CVE-2024-49113漏洞的假PoC（概念验证）漏洞利用工具，该漏洞是微软Windows LDAP服务中的一个拒绝服务漏洞。攻击者通过伪装成合法的PoC，诱使安全研究人员下载并执行恶意软件。该恶意软件窃取计算机和网络信息，并将数据传输至攻击者的服务器。该攻击被命名为“LDAPNightmare”，采用伪装成合法代码库的方式，欺骗受害者。受害者下载的看似无害的文件，实际上包含恶意的PowerShell脚本，最终执行并上传被盗数据。

8、美国医疗账单服务商Medusind遭遇数据泄露影响36万人

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/bf4aed39-d2f2-4ce2-bd56-5357107d7f3c.html

医疗账单服务公司Medusind披露，2023年12月发生的数据泄露事件影响了超过36万名个人。事件发生在12月29日，Medusind发现其IT网络出现可疑活动后，立即采取行动，将受影响的系统下线，并聘请了网络安全取证公司进行调查。调查结果表明，黑客可能获取了包含个人敏感信息的文件，包括健康保险和账单信息、支付信息、医疗历史、政府身份证明（如社会安全号码、驾驶证等）以及其他个人信息。目前尚不清楚该事件是否涉及勒索软件攻击，且没有勒索团伙宣称对此负责。

9、终端变“矿场”，挖矿病毒借破解版软件无声“开矿”

https://www.freebuf.com/news/419052.html

近期，火绒威胁情报中心监测到 XMRig 挖矿病毒正在通过破解软件进行传播，该破解软件下载链接由 CSDN 用户在其发布的文章中提供。破解软件中的脚本可以进行创建计划任务、检查 CPU 数量与修改挖矿线程数等操作，最终执行 XMRig 挖矿病毒进行挖矿。

10、网络钓鱼活动利用CrowdStrike招聘骗局传播挖矿软件

https://cybersecuritynews.com/fake-crowdstrike-job-offers/

CrowdStrike近日发出一则提醒，称一个网络钓鱼活动冒充自己发布虚假招聘，以借此向受害者传播门罗币加密货币矿工 （XMRig） 。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。