黑客利用思科SNMP缝隙在互换机上部署rootkit

首页 > 安全钻研 > 安全传递 > 安全简讯

黑客利用思科SNMP缝隙在互换机上部署rootkit

颁布功夫 2025-10-20

1. 黑客利用思科SNMP缝隙在互换机上部署rootkit

10月16日，网络安全公司趋向科技披露，威胁行为者正利用思科IOS/IOS XE系统中已建补的远程代码执行缝隙CVE-2025-20352，针对9400、9300及传统3750G系列未部署端点检测响应解决规划的设备提议攻击。该缝隙涉及SNMP和谈，攻击者通过获取root权限可实现远程代码执行，思科已在10月6日更新布告中将其象征为零日缝隙并确认存在成功利用案例。攻击被追踪为"Operation Zero Disco"，因植入恶意软件时设置了蕴含"disco"的通用接见密码。钻研显示，攻击者不仅利用新缝隙，还尝试复用七年前旧缝隙CVE-2017-3881扩大攻击面。成功渗入后，攻击者在指标系统部署具备悠久化能力的Linux Rootkit，该工具包集成UDP节造器，可实现端口监听、日志篡改、绕过AAA认证和VTY接见节造列表、动态批改通用密码、暗藏配置项及沉置功夫戳等操作。钻研人员强调，当前不足靠得住工具象征受习染设备，建议疑惑遭入侵的组织执行低级固件及ROM区域深度调查。

https://www.bleepingcomputer.com/news/security/hackers-exploit-cisco-snmp-flaw-to-deploy-rootkit-on-switches/

2. 得克萨斯州电力合作社遭“麒麟”勒索软件攻击

10月14日，网络犯罪团伙“麒麟”（Qilin）在暗网泄露网站宣称已入侵得克萨斯州两家电力分销合作社，圣伯纳德电力合作社与卡恩斯电力合作社，并泄录感财政文件。圣伯纳德合作社占有3900英里配电线路，服务8县约2.8万户家庭，年收入9250万美元；卡恩斯合作社运营近5000英里线路，覆盖12县2.3万户家庭，年收入7580万美元。两家机构均属美国关键基础设施，其安全直接关系国度安全。“麒麟”在泄露网站颁布了数据样本，蕴含圣伯纳德的初次事务汇报（含人员全名、电话及事务详情）、年度预算、保险文件、费率案用度汇报等；卡恩斯方面则泄露了董事会成员名单（含地址、联系方式）、出入余额汇报、组织成员数据等。只管数据真实性尚未核实，但若属实，将露出企业定价战术、引发信赖�；蚓赫邮�，幼我身份信息（PII）更可能被用于身份偷窃、骚扰及社会工程攻击，尤其对董事会成员风险极高。

https://cybernews.com/security/texas-electric-coops-ransomware-attack/

3. F5披露沉大安全缝隙，全球超26万BIG-IP设备面对风险

10月17日，网络安全公司F5近日披露，非投机组织Shadowserver Foundation发现全球超过26.6万个F5 BIG-IP事俘露出于互联网，其中美国占14.2万个，欧洲和亚洲共约10万个。F5证实其网络遭国度黑客入侵，窃取了未公开的BIG-IP安全缝隙源代码及有关信息，但未发现攻击者利用这些缝隙的证据。为应对威胁，F5垂危颁布补丁建复44个缝隙（含被窃取缝隙），并督促客户更新BIG-IP、F5OS、BIG-IP Next for Kubernetes等系列产品。F5 还一向在与其客户分享一份威胁搜索指南，涉及Brickstorm后门法式及UNC5291威胁组织。美国网络安全和基础设施安全局（CISA）同步颁布垂危指令，要求联国机构在10月22日前为F5OS、BIG-IP TMOS、BIG-IQ和BNK/CNF产品装置最新补丁，并将其他F5设备的更新截止日期耽搁至10月31日。CISA强调，机构需盘点所有F5 BIG-IP设备，评估网络治理接口的互联网露出情况，并停用已终止支持的设备。

https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/

4. 欧洲捣毁跨国犯法SIM卡盒网络，破获超3200起诓骗案

10月17日，欧洲刑警组织结合多国法律部门发展的"SIMCARTEL"行动中，成功捣毁一个涉及80余国的犯法SIM卡盒服务网络。该犯罪组织运营gogetsms.com和apisim.com两个网站，部署1,200台SIM盒设备及40,000张SIM卡，为全球犯罪分子提供虚伪电话号码以创建和验证诓骗性在线账户，用于执行网络垂钓、投资诳骗、假意公检法、勒索及偷运移民等犯罪活动。据欧洲刑警组织传递，该服务直接关联奥地利1,700起、拉脱维亚1,500起诓骗案件，累计造成经济损失超450万欧元。其技术架构复杂，可暗藏用户真实身份和地位，助长创建4,900万个虚伪网络账户，涉及电信诳骗、WhatsApp"亲属诳骗"、虚伪投资平台诳骗等多种犯罪状态。10月10日行动中，警方在奥地利、爱沙尼亚、芬兰、拉脱维亚四国同步发展26次搜查，扣留5名拉脱维亚籍主犯及2名共犯，缴获价值数百万欧元的资产：蕴含1,200台SIM盒设备、数十万张SIM卡、5台服务器、冻结银行账户43.1万欧元及加密钱币账户33.3万美元，并扣押4辆奢华车。目前，被查封的服务器正进行取证分析以追忆客户身份。

https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-box-operation-renting-numbers-for-cybercrime/

5. 美国航空子公司Envoy Air遭Clop勒索团伙攻击

10月17日，美国航空旗下区域航空公司Envoy Air证实，其Oracle E-Business Suite利用法式数据遭Clop勒索团伙泄露。Envoy Air暗示，调查后确认仅少量贸易信息及联系方式表泄，无敏感或客户数据受影响。该公司已联系法律部门并发展全面审查。这次事务与Clop团伙8月启动的数据偷窃活动有关，该团伙通过电子邮件向受害企业发送勒索要求，宣称窃取了Oracle EBS系统中的数据。Oracle披露，攻击利用了编号为CVE-2025-61882和CVE-2025-61884的零日缝隙，其中CVE-2025-61884于上周被偷偷建补，但未公开其曾被积极利用。CrowdStrike和Mandiant证实，Clop在8月初利用这些缝隙入侵系统并部署恶意软件。作为统一攻击链的一部门，哈佛大学也遭Clop勒索，该校称仅“幼型行政单元有关方”受影响。

https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/

6. macOS伪造平台攻击现新威胁：AMOS与Odyssey窃取软件肆虐

10月18日，近日，针对macOS开发人员的恶意活动利用伪造Homebrew、LogMeIn和TradingView平台传布AMOS（Atomic macOS Stealer）及Odyssey等信息窃取恶意软件。攻击者选取“ClickFix”技术，通过Google Ads推广的85个冒名域名诱骗用户复造curl号令装置恶意法式。例如，TradingView虚伪网站以“安全确认”为幌子，现实将base64编码的装置号令复造到剪贴板，执行后下载并解码“install.sh”文件，绕过Gatekeeper防护机造，最终加载AMOS或Odyssey恶意软件。这些恶意软件具备反虚构机检测能力，运行后首先以root权限网络主机硬件、内存信息，并通过把持系统服务（如终止OneDrive守护过程）及与macOS XPC服务交互，将恶意活动假装成合法过程。最终激活信息窃取组件，窃取浏览器存储的敏感数据、加密钱币钱包凭证、钥匙串内容及幼我文件，以ZIP体式回传至攻击者节造的C2服务器。

https://www.bleepingcomputer.com/news/security/google-ads-for-fake-homebrew-logmein-sites-push-infostealers/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研