安全简讯(2025.09.19)
1. 宝马集团遭Everest勒索软件攻击9月17日,德国宝马集团遭遇Everest勒索软件组织攻击,成为8月31日捷豹路虎后不到一个月内第二个被黑的豪华汽车品牌。该组织在暗网洋葱站点发布公告,声称窃
阅读全文【漏洞通告】Chrome V8 类型混淆远程执行漏洞(CVE-2025-10585)
一、漏洞概述漏洞名称Chrome V8 类型混淆远程执行漏洞CVE IDCVE-2025-10585漏洞类型类型混淆发现时间2025-09-19漏洞评分8.8漏洞等级高危攻击向量网络所需权限无利用
阅读全文专访黑客应急专家朽木:百战取证,跨界传灯【T00ls人物专访第十六期】
自我介绍大家好,我是朽木。目前担任一家金融公司的安全负责人,同时也是米斯特安全应急组长,还有包括一家知名司法鉴定所的外聘电子数据领域高级专家,几个大学的培训讲师,多年参与wxb/大ga/小ga/部委
阅读全文宝马被勒索组织点名,大量内部文件疑似被窃
Everest勒索软件组织近日在其泄露门户公开点名宝马,声称已掌握约60万行内部数据,并通过倒计时威胁公开。事件真实性尚待进一步确认,但已在网络安全与汽车产业链引发广泛警觉。事件概况宝马被勒索组织点名
阅读全文ATT&CK实战框架 — Lab14 正式发布!(限时免费开放)
内网攻防教学演练来了!Lab14 聚焦 权限提升、横向移动、内网持久化与域渗透,以 MITRE ATT&CK 为骨架,设计真实、可复盘的攻击链场景,帮助你把理论转化为可复现的实战能力。💡 一句话亮点面
阅读全文欧摩威:上市即涨10个点!
点击上方蓝字谈思实验室获取更多汽车网络安全资讯德国时间2025年9月18日上午9点,原大陆集团汽车事业部、汽车智能驾驶、安全控制与用户体验领域专家级制造商——欧摩威(AUMOVIO)在法兰克福证券交易
阅读全文习近平致信祝贺中国致公党成立100周年
习近平致信祝贺中国致公党成立100周年强调广泛团结海外侨胞归侨侨眷和留学人员为强国建设民族复兴伟业作出新的更大贡献王沪宁出席庆祝大会并讲话在中国致公党成立100周年之际,中共中央总书记、国家主席、中央
阅读全文习近平致中国致公党成立100周年的贺信
习近平致中国致公党成立100周年的贺信值此中国致公党成立100周年之际,我代表中共中央,表示热烈祝贺!向致公党全体同志致以诚挚问候!作为我国最早成立的民主党派,致公党始终同中国共产党风雨同舟、肝胆相照
阅读全文自从进了这个京东捡漏福利群,拿了很多0元商品,还有很多秒杀呢!
很遗憾地说,这不是一篇告诉你京东plus怎么充值,哪款电商平台适合购物,这篇文章仅推荐优惠群。声明一下:一、本人已从京东离职。二、以下内容,100000%基于个人观点。我无法保证信息百分百准确,但我能
阅读全文高级 Windows 持久性(第 2 部分):使用注册表来维持持久性
Windows 系统上的持久性一直是一场猫捉老鼠的游戏,攻击者寻求可靠的立足点,防御者则试图切断攻击途径。Windows 本身提供了各种机制,这些机制是系统功能的合法组成部分,但每一种机制都可能被用来
阅读全文新型 HybridPetya 勒索软件可绕过 UEFI 安全启动
最近发现的一种名为 HybridPetya 的勒索软件可以绕过 UEFI 安全启动功能,在 EFI 系统分区上安装恶意应用程序。HybridPetya 似乎受到了破坏性的 Petya/NotPetya
阅读全文新的 HTTP/2“MadeYouReset”漏洞可引发大规模 DoS 攻击
已发现多种 HTTP/2 实现容易受到一种名为 MadeYouReset 的新攻击技术的影响,该技术可被利用来发起强大的拒绝服务 (DoS) 攻击。研究人员 Gal Bar Nahum、Anat Br
阅读全文“s1ngularity”供应链攻击导致数千个GitHub令牌遭泄露
根据Nx“s1ngularity”NPM供应链攻击的调查显示,数千个账户令牌和代码仓库密钥遭泄露。Wiz研究人员事后评估,此次Nx安全漏洞在三个不同阶段共导致2180个账户和7200个仓库面临风险。W
阅读全文CIA最大内鬼落网:将国家机密明码标价,一份情报2万美元!
当国家最机密的数据库,沦为付费查询的“商业知识库”,会发生什么?想象一下,如果你能把美国中央情报局(CIA)的内部系统当作自己的私人搜索引擎,随手一搜就能拿到国家最高机密,你会用它来做什么?对于68岁
阅读全文顶级网络安全风险投资机构遭勒索软件攻击
资本圈最不愿看到的一幕,终究还是上演了。当一家管理着超过900亿美元资产、投资了半个网络安全“名人堂”(包括Wiz、SentinelOne等)的顶级风险投资机构,自己却被勒索软件攻破。这次事件的主角,
阅读全文重磅发布|Phalcon Explorer 新版本正式上线,全方面升级Web3交易分析体验
为精准解决 Web3 安全从业者在区块链交易解析中的核心痛点,BlockSec 深度调研全球 20+ 国家的 100+ 用户,全网收集超 2000 份有效调查问卷,覆盖安全研究员、开发者、链上交易员等
阅读全文特权升级(查看者 → 所有者)— 绕过他们修复的方法
官网:http://securitytech.cc/特权升级漏洞 是一种安全缺陷,它允许某个用户获取比应有权限更高的权限。换言之,它使得权限受限的用户可以执行本应只有更高权限用户(比如管理员或所有者)
阅读全文领跑行业!默安科技三项案例入选国家级软件供应链安全标准化实践案例
在近日举行的2025国家网络安全宣传周上,全国网络安全标准化技术委员会(以下简称“网安标委”)正式公布“网络安全国家标准应用实践案例库(供应链安全方向)”入选名单。默安科技凭借在软件供应链安全领域深厚
阅读全文网安原创文章推荐【2025/9/18】
2025-09-18 微信公众号精选安全技术文章总览洞见网安 2025-09-18 0x1 在Windows平台上使用C/C++语言编写Shellcodecrackme安全实验室 2025-09-
阅读全文CVE-2025-4275 - 不仅仅是基于 Insyde H2O 的 UEFI 固件 SecureBoot 绕过 第 2 部分
本文将再次深入探讨我称之为 Hydroph0bia(取自 Insyde H2O 的谐音梗)的漏洞,即 CVE-2025-4275 或 INSYDE-SA-2025002。这一部分将介绍如何从单纯的 S
阅读全文CVE-2025-4275 - 基于 Insyde H2O 的 UEFI 固件的 SecureBoot 补丁分析 第 3 部分
本文很可能是关于我称之为 Hydroph0bia(取自 Insyde H2O 的谐音梗)漏洞的最后一篇文章,即 CVE-2025-4275 或 INSYDE-SA-2025002。这一部分将检查 In
阅读全文实战攻防 | 某学校授权渗透测试评估
文章作者:奇安信攻防社区(hey)参考来源:https://forum.butian.net/share/2673从今年的五月份正式接触渗透实战到现在我依旧觉得攻防的本质仍是信息收集并且自身的知识面决
阅读全文“AI 抖音求真”功能上线,可通过大模型识别网络谣言
9月19日,星期五,您好!中科汇能与您分享信息安全快讯:01WatchGuard 紧急修复Fireware系统远程执行代码漏洞WatchGuard 日前发布安全公告,紧急修复其 Fireware 操作
阅读全文Solr任意文件读取快速利用工具 -- Solr-Exploit-Solr
80T资源合集下载链接:https://pan.quark.cn/s/5643428d4f9f===================================免责声明请勿利用文章内的相关技术从事
阅读全文每周高级威胁情报解读(2025.09.12~09.18)
2025.02.14~02.20攻击团伙情报绘制 MuddyWater 基础设施和恶意软件生态系统图APT28 组织 Phantom Net Voxel 行动揭秘深入分析“伪猎者”组织Github仓库
阅读全文当AI智能体学会了“自主思考”,你的防火墙还好吗?
AI智能体,是超级助理还是“定时炸弹”?当它不再是一个听话的程序,而变成一个有自主决策能力的“操作员”时,整个网络安全的游戏规则都被改写了,攻击面正以前所未有的方式爆炸式增长,而过去那些固若金汤的防御
阅读全文网络犯罪组织WhiteCobra植入24款恶意扩展程序 瞄准VSCode、Cursor及Windsurf用户
威胁组织WhiteCobra通过在Visual Studio应用商店和Open VSX注册表中植入24款恶意扩展程序,针对VSCode、Cursor和Windsurf代码编辑器用户发起攻击。目前该攻击
阅读全文