CISA要求联国机构垂危建复HPE OneView缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

CISA要求联国机构垂危建复HPE OneView缝隙

颁布功夫 2026-01-09

1. CISA要求联国机构垂危建复HPE OneView缝隙

1月8日，美国网络安全和基础设施安全局（CISA）近日将HPE OneView的CVE-2025-37164缝隙象征为“在被积极利用”，该缝隙属第一流别风险。HPE OneView是用于集中治理存储、服务器和网络设备的基础架构治理软件，宽泛利用于企业IT环境。缝隙由越南安全钻研员Nguyen Quoc Khanh（brocked200）发现并汇报，HPE于2025年12月中旬颁布安全补丁，但缝隙影响v11.00之前的所有OneView版本。CVE-2025-37164允许未经身份验证的威胁行为者通过低复杂度代码注入攻击实现远程代码执行，攻击者无需本地权限即可齐全节造受影响系统。HPE在12月16日的忠告中强调，该缝隙可能被远程用户利用执行恶意代码，直接威胁企业主题基础设施安全。CISA已将该缝隙纳入“已知被利用缝隙目录”，并凭据2021年颁布的BOD 22-01指令，要求联国民事行政部门（FCEB）机构在2026年1月28日前实现系统建复。

https://www.bleepingcomputer.com/news/security/cisa-tags-max-severity-hpe-oneview-flaw-as-actively-exploited/

2. GoBruteforcer僵尸网络升级暴力破解攻击

1月7日，一款名为GoBruteforcer的高复杂度Go说话僵尸网络正对全球Linux服务器提议剧烈攻击，通过暴力破解伎俩尝试获取FTP、MySQL、PostgreSQL及phpMyAdmin等公网露出服务的弱密码。Check Point Research纪录显示，其2025年变种版本技术水平大幅升级，已攻下数万台服务器，全球超5万台服务器面对风险，涉及570万FTP、223万MySQL及56万PostgreSQL默认端口露出设备。该僵尸网络选取�？榛芄�，蕴含网页后门、下载器、IRC僵尸法式及暴力破解�？�。攻击推手重要源于运维人员复用AI天生的服务器配置模板，以及XAMPP等老旧集成环境不足加固。其密码列表与1000万条泄录码数据库沉合率达2.44%，基于375-600个弱密码天生变体，结合重大露出服务基数形成高经济效益攻击。2025变种齐全沉构IRC组件为Go说话，使用Garbler工具深度混合代码，新促过程假装技术，躲避安全检测。

https://cybersecuritynews.com/gobruteforcer-botnet/

3. 恶意npm包传布NodeCordRAT恶意软件

1月8日，网络安全钻研人员近日披露了一路针对npm生态的恶意软件传布事务，发现三个由用户"wenmoonx"上传的恶意npm软件包——bitcoin-main-lib（2,300次下载）、bitcoin-lib-js（193次下载）及bip40（970次下载）。截至2025年11月，这些包已被全数下架，但已对开发者社区造成内容性威胁。据分析，前两个恶意包在装置时会执行postinstall.cjs剧本，自动装置蕴含恶意负载的bip40包。该最终负载被定名为NodeCordRAT，是一种具罕见据窃取能力的远程接见木马。其名称源于双沉传布个性：利用npm作为初始传布媒介，通过Discord服务器成立号令与节造（C&C）通路。该木马具备多沉风险职能：可窃取谷歌Chrome浏览器凭证、API令牌及MetaMask等加密钱币钱包的助记词；通过硬编码的Discord服务器接管指令，支持执行肆意shell号令、截取桌面屏幕及上传指定文件等操作。数据通过Discord API的/messages端点以附件大局上传至私密频路，形成荫蔽的窃密链路。

https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html

4. 巴西WhatsApp用户遭Astaroth木马定向攻击

1月8日，安克诺斯威胁钻研团队近日披露代号"粉红河豚"的新型攻击活动，攻击者以巴西WhatsApp用户为指标，通过该平台传布拥有多�？榛鲂缘腁staroth（别名"吉尔达马"）Windows银行木马。该木马自2015年起持续活跃于拉美地域，尤以巴西为沉灾区，主题指标为窃取用户数据及银行凭证。攻击链以ZIP压缩包为初始载体，内含假装成正常文件的VB剧本及MSI装置法式。当受害者解压并执行剧本后，会触发PowerShell/Python剧本下载，启动设备入侵流程。这次攻击的显著特点在于新增的Python说话开发WhatsApp蠕虫�？�，该�？榭勺远缡芎φ咄ㄑ堵�，并向全数联系人转发含恶意ZIP的传布新闻，形成几何级扩散效应。Astaroth选取�？榛芄股杓疲浩渲魈夥ㄊ接傻露Ｋ祷氨嘈�，装置法式依附VB剧本运行，而传布�？樵蚴褂肞ython开发，体现威胁行为者对多说话编程的矫捷使用。银行木马�？樵诤蠖艹中嗫赜没т榔骰疃�，当检测到接见银行有关网址时，当即激活并窃取登录凭证，实现经济犯罪主张。

https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html

5. 朝鲜Kimsuki利用恶意二维码攻击美国组织

1月8日，美国联国调查局近日颁布垂危警报，告发朝鲜官方支持的黑客组织Kimsuki（APT43）正通过恶意二维码提议针对美国组织的鱼叉式网络垂钓攻击。这次攻击重要对准参加朝鲜有关政策、钻研和分析的美国机构，蕴含非当局组织、智库、学术机构、战术征询公司及敌灾实体。攻击者通过发送蕴含恶意二维码的垂钓邮件，诱使受害者扫描二维码后沉定向至假装成问卷调查、安全驱动器或虚伪登录页面的恶意网站。扫描后，受害者设备会被路由至攻击者节造的基础设施，进行设备指纹鉴别，网络用户代理信息、操作系统、IP地址、屏幕尺寸及本地说话等数据。随后，受害者会看到仿照Microsoft 365、Okta、VPN或Google登录页面的垂钓页面，最终主张为窃取接见凭证或会话令牌。此类攻击通过移动设备扫描二维码的个性，有效绕过传统电子邮件安全解决规划及多成分身份验证（MFA）。由于攻击源自未受治理的移动设备，处于尺度端点检测与响应（EDR）和网络监控之表，被描述为“不受MFA�；さ纳矸萑肭窒蛄俊�。

https://www.bleepingcomputer.com/news/security/fbi-warns-about-kimsuky-hackers-using-qr-codes-to-phish-us-orgs/

6. 恶意软件加载器pkr_mtsi可传递多种有效载荷

1月8日，ReversingLabs（RL）近日披露，一种名为pkr_mtsi的恶意Windows打包法式自2025年4月24日发现以来持续活跃，成为大规模恶意告白和SEO投毒活动的主题加载器。该工具通过虚伪下载网站诱骗用户下载假装成PuTTY、Rufus、Microsoft Teams等合法软件的木马装置法式，利用付费搜索告白和搜索排名把持提升曝光率，而非依赖供给商入侵。pkr_mtsi具备高度矫捷性，可部署Oyster、Vidar、Vanguard Stealer、Supper等多种恶意软件家族。其进化轨迹显著：从前八个月内引入更壮大的混合技术、哈希API解析及反分析机造，同时维持“内存分配-幼规模写入沉建载荷”的不变执行模型。关键技术特点蕴含改进的UPX中央级填充、混合的ZwAllocateVirtualMemory挪用、滋扰分析的垃圾GDI API挪用，以及触发过程终止或无限循环的反调试查抄。只管结构多变，但其沉复挪用带有无效�；け曛镜腘tProtectVirtualMemory函数产生的可预测谬误，为端点遥测监控提供了靠得住检测机遇。

https://www.infosecurity-magazine.com/news/malware-loader-pkrmtsi-payloads/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研