2026-01-21 00:55:08 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周汇总了FortinetFortiSIEM严重漏洞、VoidLink云恶意软件及Copilot攻击等重大威胁。执法部门打击RedVDS，谷歌发布NTLMv1彩虹表。热门CVE涵盖Cisco、PaloAlto等厂商。建议组织优先修复关键漏洞，强化云与AI环境安全配置，警惕社会工程学及剪贴板劫持攻击。 综合评分： 88 文章分类： 威胁情报,漏洞预警,恶意软件,AI安全,云安全

cover_image

Fortinet漏洞、RedLine Clipjack、NTLM破解、Copilot攻击热门事件

原创

ZM ZM

暗镜

2026年1月20日 20:42 北京

在网络安全领域，普通更新与严重事件之间的界限正变得越来越模糊。曾经可靠的系统如今也面临着持续变化的压力。新型人工智能工具、联网设备和自动化系统悄然创造了更多入侵途径，其速度往往远超安全团队的反应速度。本周的案例表明，一个小小的失误或一项隐藏的服务是如何轻易地演变成真正的入侵的。

透过新闻标题，我们可以看到一个清晰的模式：自动化系统正被用来对付构建它的人。攻击者不再构建新系统，而是重复利用现有系统。他们的行动速度远超大多数组织修复或响应的速度。从隐蔽的代码漏洞到运行时会发生变化的恶意软件，攻击不再追求速度，而是更加注重隐蔽性和控制力。

如果您正在保护任何联网设备——开发者工具、云系统或内部网络——本版将向您展示攻击的下一步发展方向，而不是攻击过去发生的方向。

⚡上周威胁

Fortinet 严重漏洞遭攻击——Fortinet FortiSIEM 的一个严重安全漏洞已被攻击者利用。该漏洞编号为 CVE-2025-64155（CVSS 评分：9.4），允许未经身份验证的攻击者通过精心构造的 TCP 请求执行未经授权的代码或命令。Horizon3.ai 在一份技术分析报告中指出，该问题包含两个方面：一是未经身份验证的参数注入漏洞，可导致任意文件写入，从而允许以管理员身份远程执行代码；二是文件覆盖权限提升漏洞，可导致 root 权限获取并完全控制设备。该漏洞影响 phMonitor 服务，phMonitor 是 FortiSIEM 的一个内部组件，以提升的权限运行，在系统健康和监控中发挥着至关重要的作用。由于该服务深度嵌入在 FortiSIEM 的运行工作流程中，因此成功利用该漏洞将使攻击者完全控制设备。

VoidLink Linux恶意软件实现长期访问——一款名为VoidLink的新型云原生Linux恶意软件框架专注于云环境，为攻击者提供种类繁多的自定义加载器、植入程序、rootkit和插件，旨在增强隐蔽性，并用于侦察、权限提升以及在受感染网络内部横向移动。该功能丰富的框架专为长期访问、监视和数据收集而设计，而非短期破坏，它允许操作者通过一个针对中国用户本地化的基于Web的控制面板来控制代理、植入程序和插件。该恶意软件架构的关键在于“尽可能自动化规避”，通过分析Linux环境并智能地选择最佳策略来实现不被发现的运行。事实上，当在受感染的机器上检测到篡改或恶意软件分析的迹象时，它可以删除自身并调用旨在清除其活动痕迹的反取证模块。它配备了一套“异常广泛”的功能集，包括类似rootkit的功能、用于扩展功能的内存插件系统，以及根据检测到的安全产品调整运行时规避的能力。VoidLink的设计灵感来源于Cobalt Strike，这是一个多年来被攻击者广泛采用和滥用的对抗模拟框架。据信，VoidLink是由中国开发者开发的。Check Point表示：“这些插件共同构建在一个已经非常复杂的核心实现之上，将VoidLink的功能从云环境扩展到直接与云环境交互的开发者和管理员工作站，从而将任何受感染的机器变成一个灵活的跳板，用于更深入的访问或供应链入侵。它的设计体现了通常与专业威胁行为者而非机会主义攻击者相关的规划和投入水平。”然而，其预期用途仍然不明，也没有观察到任何实际感染的证据，这支持了这样一种假设：这款模块化恶意软件的创建“要么是作为一种产品提供，要么是作为为客户开发的框架”。
微软联手美国和英国（首次）的法律合作伙伴，联合打击了RedVDS犯罪服务——RedVDS是一个网络犯罪分子提供的订阅服务平台，该平台利用网络犯罪进行诈骗活动，造成数百万美元的损失。微软表示，他们已查封了RedVDS的网站和基础设施。RedVDS是一个提供网络犯罪即服务（CaaS）工具的平台，用于网络钓鱼和诈骗活动，用户每月只需支付24美元即可使用。据悉，自2025年3月以来，仅在美国，该订阅服务就已造成超过4000万美元的损失。微软已确认全球近19万家机构成为RedVDS支持的犯罪活动的受害者。该公司指出，在一个月内，约有2600台RedVDS虚拟机平均每天向微软客户发送100万条网络钓鱼信息。RedVDS为网络犯罪分子提供了廉价、高效且可随意丢弃的虚拟计算机，这些计算机运行着未经授权的软件，包括Windows系统，使犯罪分子能够实施网络钓鱼攻击和商业电子邮件入侵（BEC）计划。据称，该服务还参与了房地产支付转移诈骗的传播，影响了主要位于加拿大和澳大利亚的9000多名客户。RedVDS本身并不拥有实体数据中心，而是从美国、加拿大、英国、法国和荷兰的第三方托管服务商处租用服务器。微软表示：“一旦配置完成，这些克隆的Windows主机就为犯罪分子提供了一个现成的平台，让他们能够研究目标、搭建网络钓鱼基础设施、窃取凭证、劫持邮箱，并以最小的阻力实施基于身份冒用的金融诈骗。威胁行为者利用RedVDS不受限制的管理权限和几乎可以忽略不计的日志记录，在缺乏有效监管的情况下开展活动。RedVDS服务器的统一性和一次性使用特性，使得网络犯罪分子能够快速迭代攻击活动，大规模自动化投放，并迅速从最初的目标锁定过渡到金融盗窃。”
自2025年10月以来，Lumen Technologies旗下的Black Lotus Labs已封禁了超过550个与Aisuru和Kimwolf服务器关联的命令与控制（C2）节点。这些僵尸网络因其在策划超大规模分布式拒绝服务（DDoS）攻击中的作用而备受关注。据称，Kimwolf主要针对未经授权的安卓电视盒，其发展迅猛，已将超过200万台设备纳入其僵尸网络。2025年8月，RapperBot的瓦解及其头目被捕，是Aisuru和Kimwolf崛起的重要因素。齐安信XLab和Synthient的最新研究揭示了该僵尸网络的运营者如何利用代理服务扩大其影响范围。 Infoblox 在另一份报告中指出，自 2025 年 10 月 1 日以来，其近 25% 的云客户曾向 Kimwolf 域名发起过查询。“关键在于，这些住宅代理服务器几乎无处不在，”Lumen Technologies 旗下 Black Lotus Labs 的高级首席信息安全工程师 Chris Formosa 告诉 The Hacker News，“几乎遍布所有你能想到的组织机构。鉴于我们知道攻击者一直在利用这一点，这主要反映出许多你可能认为很安全的网络，但实际上却存在运行住宅代理服务器的设备，这可能为攻击者提供初始立足点，绕过你可能部署的绝大多数安全设备。”
Reprompt攻击瞄准微软Copilot——安全研究人员发现了一种名为Reprompt的新型攻击，该攻击允许攻击者在受害者点击指向人工智能（AI）聊天机器人的特制链接后，从微软Copilot中窃取用户数据。该攻击绕过了数据泄露保护机制，即使在Copilot会话关闭后，也能持续窃取会话数据。该攻击结合了参数2提示（P2P）注入（即利用“q”参数）、双重请求技术和链式请求技术，从而获取数据窃取原语。“客户端监控工具无法捕获这些恶意提示，因为真正的数据泄露发生在来回通信过程中动态发生，而不是来自用户提交的提示中的任何明显信息，”Varonis表示。该攻击不会影响使用Microsoft 365 Copilot的企业客户。微软已对此问题进行了修复。
AWS CodeBuild 配置错误引发供应链风险——亚马逊云服务 (AWS) CodeBuild 的一个关键配置错误可能导致攻击者完全控制该云服务提供商的 GitHub 代码库，包括其 AWS JavaScript SDK，从而使所有 AWS 环境面临风险。该漏洞代号为 CodeBreach，已于 2025 年 9 月由 AWS 修复。“攻击者利用 CodeBreach 漏洞，可以注入恶意代码，从而发起平台范围的攻击，不仅可能影响无数依赖于该 SDK 的应用程序，还可能影响 AWS 控制台本身，从而威胁到每个 AWS 账户，”Wiz 表示。

热门 CVE

黑客行动迅速，他们能在数小时内利用新发现的漏洞。一次更新疏忽就可能导致重大安全漏洞。以下是本周最严重的几个安全漏洞。请检查这些漏洞，优先修复关键问题，确保自身安全。

本周的漏洞列表包括：CVE-2025-20393（Cisco AsyncOS 软件）、CVE-2026-23550（Modular DS 插件）、CVE-2026-0227（Palo Alto Networks PAN-OS）、CVE-2025-64155（Fortinet FortiSIEM）、CVE-2026-20805（Microsoft Windows 桌面窗口管理器）、CVE-2025-12420（ServiceNow）、CVE-2025-55131、CVE-2025-55131、CVE-2025-59466、CVE-2025-59465（Node.js）、CVE-2025-68493（Apache Struts 2）、CVE-2026-22610（Angular 模板编译器）。CVE-2025-66176、CVE-2025-66177（海康威视）、CVE-2026-0501、CVE-2026-0500、CVE-2026-0498、CVE-2026-0491（SAP）、CVE-2026-21859、CVE-2026-22689（Mailpit）、CVE-2026-22601、CVE-2026-22602、CVE-2026-22603、CVE-2026-22604（OpenProject）、CVE-2026-23478（Cal.com）、CVE-2025-14364（Demo Importer Plus 插件）、CVE-2025-14502（News and Blog Designer Bundle）CVE-2025-14301（Opvius AI for WooCommerce 集成插件）、CVE-2025-52493（PagerDuty Runbook）、CVE-2025-55315（ASP.NET Core Kestrel 服务器）、CVE-2026-20965（Microsoft Windows 管理中心）和CVE-2025-14894（Livewire 文件管理器）。

Livewire 文件管理器存在未修复漏洞——Livewire文件管理器（一款基于 Laravel 框架的网站文件管理器组件，支持文件上传）中披露了一个未修复的安全漏洞。该漏洞（CVE-2025-14894，CVSS 评分：7.5）可能允许攻击者将恶意 PHP 文件上传到远程服务器并触发其执行。CERT 协调中心 (CERT/CC) 表示：“当用户将 PHP 文件上传到应用程序时，可以通过访问可从 Web 访问的文件托管目录来访问和执行该文件。这使得攻击者能够创建恶意 PHP 文件，将其上传到应用程序，然后强制应用程序执行该文件，从而在主机设备上实现未经身份验证的任意代码执行。”
LayerX发现更多 GhostPoster 扩展程序——该公司表示，他们发现了 17 个与GhostPoster相关的新扩展程序，这些扩展程序会影响 Google Chrome 和 Microsoft Edge 浏览器。这些新扩展程序旨在劫持联盟链接、注入跟踪代码并进行点击和广告欺诈，其总安装用户超过 84 万，其中一些扩展程序可以追溯到 2020 年。GhostPoster 于上个月首次被披露，它是名为DarkSpectre 的中国黑客组织发起的更大规模攻击活动的一部分。最新发现表明，GhostPoster 最初于 2020 年 2 月出现在 Microsoft Edge 浏览器上，随后扩展到 Firefox 和 Chrome 浏览器
RedLineCyber 散播剪贴板劫持恶意软件——一个名为 RedLineCyber 的威胁行为者被发现利用臭名昭著的 RedLine 信息窃取程序的知名度，散播名为“Pro.exe”（或“peeek.exe”）的可执行文件。这是一款基于 Python 的剪贴板劫持木马，旨在通过持续监控 Windows 剪贴板中的加密货币钱包地址，并将其替换为受其控制的钱包地址，从而窃取加密货币。CloudSEK表示：“该威胁行为者利用 Discord 社区中与游戏、赌博和加密货币直播相关的信任关系。其传播方式是通过直接的社会工程，该行为者会与潜在受害者，特别是加密货币主播和网红，建立长期关系，然后将恶意载荷伪装成‘安全工具’或‘直播实用程序’进行植入。”
伪造货运单据传播 Remcos RAT ——Fortinet 表示，一种新的网络钓鱼活动利用货运主题的诱饵，诱骗收件人打开恶意 Microsoft Word 文档。该文档会触发对 Microsoft Office 中一个存在多年的安全漏洞（CVE-2017-11882 ）的利用，从而传播一种直接在内存中执行的新型Remcos RAT。成功利用该漏洞会触发一个 Visual Basic 脚本的下载，该脚本执行 Base64 编码的 PowerShell 代码，以下载并启动一个 .NET DLL 加载器模块。该模块负责启动 RAT，并通过计划任务设置持久性。Remcos RAT（版本 7.0.4 Pro）是一种现成的恶意软件，具备全面的数据收集功能，包括系统管理、监控、网络、通信和代理控制。 AhnLab还发现，韩国用户成为 Remcos RAT 恶意软件的目标，该恶意软件伪装成 VeraCrypt 安装程序或与非法赌博网站相关的软件。
谷歌发布彩虹表加速淘汰 Net-NTLMv1——谷歌旗下威胁情报部门 Mandiant 发布了一份全面的Net-NTLMv1彩虹表数据集，旨在强调迫切需要淘汰这一过时的协议。尽管微软此前已宣布计划弃用NTLM 协议，转而使用 Kerberos 协议，但谷歌表示，他们仍在活跃环境中发现 Net-NTLMv1 的使用，这使得企业组织很容易遭受凭证窃取。“虽然利用此协议的工具已经存在多年，但它们通常需要将敏感数据上传到第三方服务，或者使用昂贵的硬件进行暴力破解，”谷歌表示。“此次发布该数据集，使得防御者和研究人员能够使用价格低于 600 美元的消费级硬件，在 12 小时内恢复密钥。”
美国前海军水兵魏金超（又名帕特里克·魏），25岁，曾是美国海军水兵，因滥用安全许可和获取有关两栖攻击舰“埃塞克斯”号的敏感国防信息，向中国出售机密，在美国被判处200个月监禁。魏于2023年8月被捕，并于2025年8月被判犯有间谍罪。美国海军犯罪调查局局长奥马尔·洛佩兹表示： “魏下士与一名中国情报官员分享了数千份文件、操作手册以及受出口管制的敏感信息，他明知故犯地背叛了战友和美国人民。”魏于2022年2月被一名中国情报官员招募，并通过加密通讯应用程序发送了“埃塞克斯”号的照片和视频，并向该官员提供了多艘海军舰艇的位置信息。他还描述了“埃塞克斯”号的防御武器，发送了数千页关于美国海军水面作战舰艇的技术和操作资料，并出售了大约60本关于美国海军舰艇的技术和操作手册。作为交换，魏在18个月内获得了超过12000美元的报酬。被捕后，魏向联邦调查局（FBI）承认，他的行为构成间谍活动，并表示“我完蛋了”。
澳大利亚警告国内企业注意人工智能安全风险——澳大利亚信号局 (ASD) 警告本地企业，在未进行适当匿名化处理的情况下，切勿将客户数据和文件上传至人工智能聊天机器人或 genAI 平台。ASD表示： “一些人工智能提供商可能会使用客户提交的数据来训练或改进其模型。这取决于配置设置或订阅类型。因此，输入到这些平台的信息可能会在日后以意想不到的方式被重复使用或泄露。” ASD 还警告称，人工智能系统容易受到干扰，恶意网络攻击者可以通过“提示注入”来欺骗系统。“提示注入”指的是将恶意输入伪装成合法请求，旨在迷惑或误导人工智能，使其给出敏感、错误或不安全的答案。此外，ASD 还警告称，人工智能集成可能会带来潜在的供应链风险，并强调安全部署人工智能聊天机器人的必要性。
约旦公民承认出售网络访问权限——一名约旦公民在美国承认通过网络犯罪论坛出售至少50家公司网络访问权限的指控。现年40岁的费拉斯·哈利勒·艾哈迈德·阿尔巴什蒂（Feras Khalil Ahmad Albashiti，又名r1z、Feras Bashiti和Firas Bashiti）因涉嫌欺诈及与访问凭证相关的其他活动，面临最高10年监禁。阿尔巴什蒂于2024年7月被捕，将于2026年5月接受判决。美国联邦调查局（FBI）于2026年9月以卧底身份联系了被告，并表示之所以能够追踪到“r1z”网络犯罪论坛账户与阿尔巴什蒂的关联，是因为该账户于2018年注册，使用的Gmail邮箱地址与阿尔巴什蒂在2016年10月申请美国签证时使用的邮箱地址相同。据SentinelOne报道，“r1z”账户在地下论坛上销售一款名为EDR Killer的恶意软件投放器和绕过服务。该账户此前被确认为利用 Confluence 关键的未经身份验证的远程代码执行 (RCE) 漏洞（编号为 CVE-2022-26134）发布对 50 台存在漏洞的 Confluence 服务器的访问权限，并声称拥有超过 10,000 台存在漏洞的 Confluence 服务器的列表。其他工具包括非法版本的 Cobalt Strike、针对不同服务中本地权限提升 (LPE) 漏洞的私有漏洞利用程序、对 30 台 SonicWall VPN 服务器和 50 台 Microsoft Exchange 服务器的访问权限（已包含可用的漏洞利用程序），以及一项从 XSS 论坛上其他犯罪分子处获取被盗 VPN 和 RDP 登录凭据的服务。据称，R1z 自 2019 年以来一直活跃于 XSS 论坛。
据《记录报》报道，谷歌同意支付825万美元，以和解一起集体诉讼。该诉讼指控谷歌非法收集13岁以下儿童设备上的数据。两年前，六名未成年孩子的家长提起诉讼，指控他们的孩子从谷歌应用商店下载了面向儿童的应用和游戏，例如“Fun Kid Racing”、“GummyBear”和“Friends Speed Racing”。诉讼称，这些应用都预装了谷歌的AdMob软件开发工具包，该工具包大规模收集儿童数据，违反了《儿童在线隐私保护法》（COPPA）。
美国一家大型银行遭遇键盘记录器攻击——Sansec公司在美国一家大型银行的员工商品商店中发现了一个键盘记录器。该商店供该银行的20万名员工订购公司品牌商品。这家荷兰公司表示：“该恶意软件会拦截用户在网站表单中输入的所有内容：登录凭证、支付卡号和个人信息。被盗数据通过图像信标技术泄露，这是一种常见的绕过多种安全控制的技术。”目前，该恶意软件已从网站上移除。经评估，此次攻击与2024年10月绿湾包装工队官方商店遭受的网络攻击存在重叠之处，理由是两者的基础设施模式相似。
“工资系统盗贼”将员工工资转入其控制的账户——在针对一家未具名机构的新型社交工程攻击中，“工资系统盗贼”背后的攻击者通过电话联系目标机构，冒充员工操控多个服务台，成功重置密码并重新注册多重身份验证 (MFA) 设备。攻击者还被发现试图通过在客户的 Azure AD 环境中注册外部电子邮件地址作为服务帐户的身份验证方式来建立持久性。“一旦通过身份验证进入工资系统，攻击者便迅速行动，”Palo Alto Networks 42 号部门表示。“他们总共入侵了多个员工帐户，每个帐户都获得了访问敏感工资信息的权限。随后，攻击者修改了多名员工的直接存款信息，将他们的工资转入攻击者控制的银行账户。由于凭据有效且 MFA 看起来合法，因此该活动与正常运营混为一谈。直到员工报告工资丢失，该事件才被发现。”
一种新的攻击利用 DLL 侧加载技术传播 PDFSIDER 恶意软件——一名身份不明的威胁行为者正在利用DLL 侧加载技术，通过与 PDF24 Creator（“pdf24.exe”）关联的合法可执行文件部署 PDFSIDER 后门程序。PDFSIDER 是一款具有加密 C2 功能的后门程序。该恶意软件主要在内存中运行，最大限度地减少了磁盘痕迹。Resecurity表示：“PDFSIDER 将传统的网络间谍行为与现代远程命令功能相结合，使操作者能够收集系统情报并秘密地远程执行 shell 命令。该恶意软件使用伪造的 cryptbase.dll 文件来绕过端点检测机制。一旦加载，该恶意软件就会为攻击者提供一个交互式的隐藏命令 shell，并通过其加密通道泄露命令输出。”该恶意软件通过鱼叉式网络钓鱼邮件传播，这些邮件会将受害者引导至邮件附件中的 ZIP 压缩文件。 Resecurity 向 The Hacker News 透露，PDFSIDER 已被用于定向攻击，攻击手段包括鱼叉式网络钓鱼和社会工程攻击。攻击者会冒充技术支持人员联系大型企业和政府机构的员工，并通过 Microsoft Teams 或 Quick Assist 等工具传播恶意软件。这家网络安全公司还表示，他们观察到麒麟勒索软件的一个关联组织正在使用该恶意软件，并预计会有更多组织效仿。目前没有证据表明该恶意软件以“恶意软件即服务”（MaaS）模式进行推广。

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Fortinet漏洞、RedLine Clipjack、NTLM破解、Copilot攻击热门事件》