2025年假日购物季遭逢虚伪零售垂钓攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

2025年假日购物季遭逢虚伪零售垂钓攻击

颁布功夫 2025-12-22

1. 2025年假日购物季遭逢虚伪零售垂钓攻击

12月18日，2025年假日购物季期间，威胁行为者提议大规模虚伪在线零售商店攻击，对全球消费者组成沉大网络安全威胁。该活动通过仿冒Zalando、Birkenstock、IKEA等驰名品牌的域名，利用自动化工具批量天生高度真切的诓骗网站，贪图在“玄色星期五”“双十一”等购物顶峰期窃取缔费者信誉卡信息或诱导下载恶意软件。攻击者依附中国基础设施提供商注册超200个新域名，通过TikTok、Facebook等社交媒体平台推广虚伪店铺链接。网站选取与正品高度类似的视觉设计，并嵌入仿冒结账系统，用户一旦输入支付信息，数据将被直接窃取或沉定向至恶意载荷。Bfore.ai分析师于2025年11月发现，该活动依赖隐衷�；さ腤HOIS数据暗藏攻击者身份，出现“工业化”诓骗特点，分歧攻击集群可追忆至特定托管服务提供商和自治系统，使攻击者能在旧域名被封后急剧切换新域名维持运营。消费者面对直接经济损失和身份偷窃风险，活动规模批注背后是资源充足的经济动机团伙。

https://cybersecuritynews.com/threats-actors-registering-fake-shopping-domains/

2. 英国DXS International遭网络入侵

12月18日，英国技术公司DXS International近日披露一路影响其内部系统的网络安全事务。该公司作为NHS（英国国度医疗服务系统）临床决策支持和转诊治理工具的主题供给商，其软件覆盖全英格兰约10%的NHS转诊流程，涉及数百万患者数据。12月14日，DXS发现办公服务器遭未经授权接见，但临床服务未受影响且维持运行。目前尚无NHS患者数据泄露的明确证据，公司已通知英国数据�；ぜ喙芑笽CO，并正与NHS网络安全团队及表部专家合作调查事务性质与领域，初步判断财政影响有限。这次事务并非孤立，近年来，英国卫生技术供给商频仍成为攻击指标。值妥贴心的是，英国现行网络安全律例未强造要求DXS等第三方卫生IT供给商满足特定安全尺度。然而，上月提交议会的《网络安全与韧性法案》拟对关键领域IT服务商执行更严格监管，蕴含高额�？钐蹩�。若法案通过，此类供给商将面对更严苛的安全合规要求。

https://therecord.media/uk-nhs-tech-provider-dxs-discloses-hack

3. 朝鲜Kimsuky二维码传布DocSwap安卓恶意软件

12月18日，韩国网络安全公司ENKI披露，朝鲜威胁行为者Kimsuky正通过假装成CJ Logistics的垂钓网站，利用二维码分发名为DocSwap的安卓恶意软件新变种。该攻击通过短信垂钓或垂钓邮件诱导用户点击恶意网址，当用户从桌面端接见时，页面会提醒扫描二维码在安卓设备装置“包裹追踪利用”。二维码沉定向至“tracking.php”剧本，该剧本通过检测User-Agent字符串，以“国际海关安全政策”为由糊弄用户装置“安全�？椤�。恶意APK会解密并加载嵌入的加密APK，启动DocSwap远程接见木马。装置过程中，利用法式会要求读取存储、接见网络及装置其他软件包的权限。一旦权限获取，木马将注册“com.delivery.security.MainService”服务，并启动假装成OTP认证界面的AuthActivity，使用硬编码快递单号“742938128549”验证身份。用户输入随机验证码后，木马后盾衔接攻击者服务器，接管多达57条号令，实现键盘纪录、音频捕获、摄像头节造、文件操作、位相信息窃取等职能，并上传短信、联系人、通话纪录等敏感数据。

https://thehackernews.com/2025/12/kimsuky-spreads-docswap-android-malware.html

4. 多品牌主板UEFI固件缝隙露出DMA攻击风险

12月19日，近日，华硕、技嘉、微星、华擎等主板厂商的部门型号被发现存在UEFI固件缝隙CVE-2025-11901、CVE-2025-14302至14304，该缝隙可被利用进行直接内存接见（DMA）攻击，绕过早期启动阶段的内存�；せ�。缝隙源于UEFI固件在初始化时未能正确配置输入/输出内存治理单元（IOMMU），一种硬件强造的内存防火墙，导致系统在启动初期处于“最高特权状态”时，恶意PCIe设备（如显卡、Thunderbolt表设）可绕过IOMMU限度，直接读写系统内存，甚至批改关键数据。只管固件宣称DMA�；ひ哑粲�，但在启动序列的早期交代阶段，IOMMU现实未被正确激活，使系统露出于物理接见攻击风险中�？诨仿〈笱ERT协调中心（CERT/CC）颁布布告证实，该缝隙影响上述品牌的部门主板型号，且可能波及其他厂商产品。攻击需物理接触设备，在操作系统启动前衔接恶意PCIe设备，此时安全工具无法检测或阻止攻击行为，导致内存数据被窃取或篡改，甚至可能粉碎操作系统齐全性。目前，各厂商已颁布安全布告及固件更新，明确列出受影响型号及建复规划。

https://www.bleepingcomputer.com/news/security/new-uefi-flaw-enables-pre-boot-attacks-on-motherboards-from-gigabyte-msi-asus-asrock/

5. 丹麦指控俄罗斯发起混合战争网络攻击

12月19日，丹麦国防谍报局于周四颁布申明，正式指控俄罗斯对2024年针对该国自来水公司的“粉碎性”网络攻击及11月处所选举前夕导致丹麦网站瘫痪的回绝服务攻击（DDoS）掌管。据丹麦广播公司DR报路，自来水公司遭攻击后管路爆裂，造成哥本哈根以南35公里科厄地域部门居民断水；而选举前夕的DDoS攻击则导致多个当拘陌公共网站无法接见，严沉滋扰选举过程。谍报部门强调，这些攻击是俄罗斯对西方发起的“混合战争”组成部门，旨在通过粉碎关键基础设施、造作社会不不变来减弱并惩治支持乌克兰的国度。调查显示，亲俄组织Z-Pentest执行了2024年对水务公司的攻击，导致水压异常引发管路分裂；另一组织NoName057(16)则对选举前夕的DDoS攻击掌管。丹麦谍报部门明确暗示，这两个组织均与俄罗斯当局存在关联，是俄方对西方执行混合战争的“工具”，其主题指标是造作不安全感并分化国际社会对乌支持。

https://www.securityweek.com/denmark-blames-russia-for-cyberattacks-ahead-of-elections-and-on-water-utility/

6. WatchGuard Firebox RCE缝隙被积极利用

12月19日，WatchGuard近日颁布垂危安全布告，披露其Firebox防火墙存在严沉远程代码执行缝隙CVE-2025-14733，该缝隙已被威胁行为者积极利用，需当即建补。缝隙源于越界写入缺点，允许未经身份验证的攻击者在配置IKEv2 VPN的设备上远程执行恶意代码，攻击复杂度低且无需用户交互。受影响领域蕴含运行Fireware OS 11.x至11.12.4_Update1、12.x至12.11.5及2025.1至2025.1.3的防火墙设备，具体型号涵盖T15、T35、T115-W、M570、Firebox Cloud等数十种型号，涉及全球超过250,000家中幼企业用户。值妥贴心的是，即便治理员删除了IKEv2 VPN配置，若仍存在衔接到静态网关对等体的分支机构VPN（BOVPN），设备仍可能露出于攻击风险中。WatchGuard已提供一时缓解措施：治理员应禁用动态对等BOVPN，增长新的防火墙战术以限度VPN流量，并禁用处置VPN流量的默认系统战术。同时，公司建议用户使用提供的入侵指标查抄设备是否已被入侵，并轮换所有本地存储的密钥。

https://www.bleepingcomputer.com/news/security/watchguard-warns-of-new-rce-flaw-in-firebox-firewalls-exploited-in-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研