今天的共同模式很难看但很清楚,边界设备、邮箱和帮助台信任流程都在被攻击者利用,而且不是靠一次表面修复就能收场。
要点: 今天早上有三件事必须立即关注:能够跨越补丁周期存活的防火墙恶意软件、仍有数千台暴露脆弱服务器的邮件平台,以及把正常支持流程变成入侵路径的语音钓鱼勒索团伙。
CISA 与英国 NCSC 警告称,Firestarter 后门可以在 Cisco Firepower 和 Secure Firewall 设备上跨越重启、固件升级和安全补丁继续存在。该恶意程序与 Cisco 跟踪的间谍活动有关,会挂钩 LINA 进程,在被终止后重新安装,并可通过构造的 WebVPN 流量触发。Cisco 的建议非常直接,修复版本很重要,但推荐的清理路径是重新镜像设备。
Shadowserver 表示,超过 10,500 台暴露在互联网上的 Zimbra Collaboration Suite 服务器仍然易受 CVE-2025-48700 影响,这是一处已被 CISA 列为正在被积极利用的 XSS 漏洞。该问题影响多个 ZCS 分支,攻击者无需认证即可在受害者使用 Classic UI 查看恶意邮件时,在其 Webmail 会话中执行 JavaScript。Zimbra 长期以来一直是邮件窃取和国家级目标攻击的跳板,这就是为什么这件事不能轻视。
BlackFile 被认为与一波针对零售和酒店业的语音钓鱼勒索攻击有关。攻击者冒充 IT 支持,通过伪造登录页面窃取员工凭证和一次性验证码,然后注册自己的设备来绕过 MFA。之后他们通过标准 API 洗劫 Salesforce 和 SharePoint,窃取敏感文件,并用勒索要求甚至 swatting 进一步施压。
结论: 今天的共同模式很难看但很清楚,边界设备、邮箱和帮助台信任流程都在被攻击者利用,而且不是靠一次表面修复就能收场。
保持警觉。
🗡️ KENSAI 安全团队