工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）3月24日通过微信公众号发布《关于防范Auto-color恶意软件的风险提示》，指出监测发现Auto-color恶意软件持续活跃，其主要攻击目标为Linux系统，尤其是教育及政府相关用户，可能导致敏感信息泄露、业务中断等风险。

　　根据提示，该恶意软件一般通过网络钓鱼、漏洞利用等方式传播，并以常见词汇（如“door”或“egg”）伪装其初始可执行文件。一旦受到感染并运行后，攻击者便可进行系统信息收集、生成反向shell、创建或修改文件、运行程序等恶意行为。在攻击过程中，Auto-color以root权限启动后，会安装一个名为“libcext.so.2”的恶意库，并通过操纵ld.preload文件，确保恶意库优先加载，从而拦截和修改系统功能。此外，Auto-color还利用C标准库函数过滤其网络连接信息，并通过更改/proc/net/tcp文件以隐藏与命令和控制（C2）服务器通信，大幅增加安全监测和分析难度。

　　CSTIS建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，关闭非必要系统服务及端口，监控可疑进程及文件，并可通过及时修复安全漏洞，定期备份数据等措施，防范网络攻击风险。

　　近期，SANS研究所发布报告警示云原生勒索软件攻击正在采用新型手法，通过滥用云服务提供商的存储安全控制和默认设置实施攻击。根据Palo Alto Networks Unit 42云威胁报告显示，66%的云存储桶中存在敏感数据，这些数据极易受到勒索软件攻击。

　　SANS认证讲师Brandon Evans表示：仅在过去几个月，我就目睹了两种不同的勒索软件攻击方法，它们仅利用合法的云安全功能。安全公司Halcyon披露了一起攻击活动，攻击者利用Amazon S3的原生加密机制SSE-C对目标存储桶进行加密。此前，安全顾问Chris Farris演示了如何利用AWS的另一项安全功能——带外部密钥材料的KMS密钥——执行类似攻击。

　　为应对云勒索软件威胁，SANS建议组织采取以下措施：了解云安全控制的能力和局限性，使用云服务并不自动保障数据安全；阻止不受支持的云加密方法，通过IAM策略强制使用特定加密方法；启用备份、对象版本控制和对象锁定，提高勒索攻击后数据恢复几率；通过数据生命周期策略平衡安全与成本，自动管理对象、版本和备份。

　　专家提醒，攻击者也可能利用生命周期策略迫使目标快速支付赎金，组织应全面了解云安全控制并制定相应防御策略。

　　据CloudSEK安全研究团队报告，黑客rose87168声称已成功入侵Oracle云平台，窃取了600万条记录，可能影响超过14万个租户。该黑客自2025年1月开始活跃，声称已经入侵了一个子域目前已下线），并正在暗网论坛上出售窃取的敏感数据。

　　然而，Oracle已发表声明否认其云基础设施遭到任何入侵，并表示Oracle云没有发生任何安全漏洞；公布的凭证不属于Oracle云；没有Oracle云客户经历过数据泄露或丢失。这与CloudSEK的调查结果和攻击者的声明直接矛盾。

　　如果确实发生，此次数据泄露的影响可能相当严重，特别是JKS文件的泄露最为令人担忧，因为这些文件包含加密密钥，可用于解密敏感数据或访问受影响组织内的其他系统。

　　最近，网络安全研究人员发现威胁行为者利用微软可信签名服务，使用短期三天的代码签名证书签署其恶意软件。这些恶意软件样本由Microsoft ID Verified CS EOC CA 01签名，证书仅在三天内有效。虽然证书在签发后三天到期，但重要的是要注意，使用它签名的可执行文件在发行者撤销证书之前仍将被视为有效。自那时以来，研究人员在正在进行的恶意软件活动中发现了许多其他样本，包括那些用于Crazy Evil Traffers加密盗窃活动和Lumma Stealer活动的样本。

　　微软可信签名服务于2024年推出，是一项基于云的服务，允许开发人员轻松地让微软签署其程序。为了防止滥用，微软目前只允许在公司成立三年以上的情况下以公司名义颁发证书。但是，个人则可以更轻松地注册并获得批准。

　　微软表示，他们使用主动威胁情报监控来不断寻找任何滥用其签名服务的行为。当检测到威胁时，他们会立即采取广泛撤销证书和暂停帐户等缓解措施。

　　近日，复杂威胁行为者UAT-5918从2025年初起正在积极利用多个组织中未修补的Web和应用服务器已知漏洞，主要针对运行过时版本Apache、Nginx和Tomcat服务器的基础设施。安全研究人员在过去两周内检测到这类利用尝试显著增加。

　　攻击者利用已有补丁但尚未部署到易受攻击系统上的漏洞，特别是针对CVE-2024-4321和CVE-2024-5879两个中高危漏洞，这些漏洞允许在受影响系统上执行远程代码和提升权限。攻击者在成功利用漏洞后部署自定义恶意软件。

　　Cisco Talos研究人员发现，UAT-5918组织采用多阶段攻击方法，首先扫描易受攻击的实例，然后部署针对特定服务器版本的定制化利用代码。分析显示，攻击者使用分布在多个地理区域的命令与控制基础设施来逃避检测并维持持久性。攻击链通常始于探测请求以识别服务器类型和版本。一旦发现易受攻击的系统，攻击者注入恶意负载，创建后门以持续访问。被入侵的服务器随后被用作在网络内横向移动、建立持久性和窃取敏感数据的入口点。

　　安全团队报告称，尽管补丁已经发布数月，全球仍有超过1.2万台服务器易受这些攻击，突显了组织及时补丁管理的持续挑战。建议组织立即应用可用的安全补丁，并实施网络监控以检测与UAT-5918签名匹配的可疑流量模式。

　　安全研究人员确认，Coinbase是近期GitHub Actions级联供应链攻击的主要目标，该攻击导致数百个代码库的密钥泄露。

　　Unit 42和Wiz的报告证实，此次攻击活动最初高度集中于Coinbase，在初始尝试失败后才扩展到所有使用tj-actions/changed-files的项目。尽管有2.3万个项目使用了changed-files操作，但最终只有218个代码库受到了影响。

　　研究人员在开源特权访问管理(PAM)工具 JumpServer 中发现了一系列严重漏洞，这些漏洞可能允许未经身份验证的攻击者绕过认证并获得对 JumpServer 基础设施的完全控制权。JumpServer 由Fit2Cloud 开发，作为通往内部网络的堡垒机，一旦被攻击者入侵，可能导致整个组织内部网络沦陷。

　　Sonar 研究人员发现了多个身份验证绕过漏洞(CVE-2023-43650 、CVE-2023-43652 、CVE-2023-42818 、CVE-2023-46123)，这些漏洞源于架构设计缺陷，特别是微服务隔离不足。一个关键问题是公钥认证系统缺乏验证请求是否来自授权的 Koko 服务。从漏洞代码中可以看出，这允许攻击者直接通过 HTTP 接口执行相同的请求，有效地在没有密钥验证的情况下冒充 Koko 容器。即使启用了 MFA 的账户也存在漏洞，因为在 SSH 上下文中的双因素认证实现存在缺陷，攻击者可以操纵remote_addr参数绕过速率限制机制。

　　这些漏洞已在 JumpServer 3.10.12 和4.0.0 版本中得到修复。修复措施包括将公钥认证 API 与令牌生成分离、引入认证状态跟踪机制，以及为 remote_addr 参数实施基于签名的验证系统。使用 JumpServer 的组织应立即更新到这些已修补的版本。

　　该漏洞源于Veeam实现的反序列化处理存在缺陷，攻击者可以绕过其阻止列表并利用缺失的小工具（gadgets）实现远程代码执行。任何Veeam服务器上的本地用户，或者如果服务器已加入域，则任何域用户都可以利用此漏洞。

　　受影响版本包括12.3.0.310及所有早期的12版本构建，此漏洞已在12.3.1版本（构建号12.3.1.1139）中得到修复。Veeam的补丁阻止了已识别的小工具，但网络安全专家提醒win7自动连接vpn，如果发现新的反序列化小工具，类似风险仍然存在。

　　Cloudflare日前宣布关闭所有HTTP连接，现在仅接受安全的HTTPS连接。此举旨在防止非加密API请求的发送，即使是意外情况，也能消除敏感信息在服务器关闭HTTP连接并重定向到安全通信通道之前以明文形式暴露的风险。

　　Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务。此前，Cloudflare系统允许通过HTTP（非加密）和HTTPS（加密）两种方式访问API，通过重定向或拒绝HTTP请求。然而，即使被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据，如API密钥或令牌。这种情况在公共或共享Wi-Fi网络上尤其危险，因为中间人攻击更容易实施。通过完全禁用API访问的HTTP端口，Cloudflare在传输层阻止明文连接，在任何数据交换之前就强制使用HTTPS。

　　此变更立即影响所有使用HTTP访问Cloudflare API服务的用户。依赖该协议的脚本、机器人和工具将无法正常工作。同样受影响的还有不支持或由于配置不当而不默认使用HTTPS的遗留系统、自动化客户端、IoT设备和低级客户端。