每日安全简讯(20250520)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Modiloader恶意软件使用伪装驱动更新进行攻击

安全公司Cyble披露，一种名为Modiloader的新型恶意软件通过伪造硬件驱动程序更新进行传播，目前已感染全球超过2.3万台Windows设备。攻击者将恶意安装包伪装成惠普、戴尔等品牌的驱动更新程序，诱导用户从钓鱼网站或被劫持的合法CDN节点下载。该恶意软件加载后，会植入模块化后门，窃取浏览器凭证、加密货币钱包信息及系统信息，并下载Cobalt Strike等工具实施横向渗透。Modiloader利用经过签名的旧版驱动文件来绕过驱动程序验证，通过内存注入技术劫持合法进程以规避检测。此外，其命令与控制（C2）通信采用域生成算法（DGA）动态解析地址，每6小时更换一次服务器。受影响的设备大多位于制造业和教育行业。

https://cybersecuritynews.com/modiloader-malware-attacking-windows-users/

---

2 黑客利用Confluence服务器漏洞实现RDP访问和远程代码执行

研究人员发现了一种复杂的攻击活动，攻击者利用Atlassian Confluence服务器中已知的漏洞CVE-2023-22527来部署勒索软件。该漏洞属于模板注入漏洞，攻击者能够在未打补丁的服务器上执行任意命令，进而获得初始访问权限。在2024年6月的入侵行动中，攻击者展现出了极大的耐心，从初始漏洞利用到最终勒索软件部署，他们等待了大约62小时。攻击链始于对Confluence漏洞的利用，这一步骤允许攻击者在目标系统上执行任意命令。成功利用漏洞后，攻击者部署了Metasploit载荷，建立了命令和控制（C2）渠道，并安装了AnyDesk以实现持久的远程访问。随后，攻击者提升了权限，使用Mimikatz等工具收集凭证，启用了远程桌面协议（RDP）访问，并在网络中进行了横向移动。最终，他们部署了ELPACO-team勒索软件，这是Mimic勒索软件的一个变体。在整个入侵过程中，攻击者创建了多个后门以维持访问权限，包括在Confluence服务器上部署AnyDesk，并通过批量脚本创建新的本地管理员账户。

https://cybersecuritynews.com/hackers-exploiting-confluence-server/

---

3 WordPress Crawlomatic插件曝高危漏洞可致网站遭远程接管

WordPress插件Crawlomatic Multipage Scraper Post Generator被披露存在高危漏洞（CVE-2025-4389）。攻击者可通过未授权的文件上传操作实现远程代码执行（RCE），进而完全控制受影响的网站。该漏洞源于插件中的crawlomatic_generate_featured_image()函数未对上传的文件类型进行验证，这导致攻击者能够通过构造恶意请求，直接将WebShell等恶意文件上传至服务器，且无需任何身份认证。攻击者可以直接通过HTTP请求来触发此漏洞。该漏洞影响所有2.6.8.1版本及更早版本的插件，其CVSS评分为9.8分，这意味着全球超过5万个使用该插件的网站正面临风险。

https://thecyberexpress.com/crawlomatic-plugin-hit-by-cve-2025-4389/?&web_view=true

---

4 Firefox零日漏洞允许攻击者执行恶意代码

Mozilla发布了紧急安全更新，成功修复了Firefox中的两个关键漏洞（CVE-2025-4918和CVE-2025-4919）。这些漏洞可能使攻击者能够在用户系统上执行恶意代码。攻击者可以通过诱导用户访问恶意制作的网站来利用这些漏洞，进而触发越界写入操作并执行任意代码。受影响的Firefox版本包括110.0至138.0.3，同时，受影响的Firefox ESR版本包括102.0至128.10.0。这些漏洞的CVSS评分为8.8分，表明其风险极高。因此，用户应立即将Firefox更新至最新版本，如Firefox 138.0.4、Firefox ESR 128.10.1或Firefox ESR 115.23.1。

https://cybersecuritynews.com/firefox-0-day-vulnerabilities/

---

5 新型Defendnot工具滥用Windows机制强制禁用Microsoft Defender

安全研究人员es3n1n发布了一款名为Defendnot的工具，该工具通过滥用Windows安全中心中未公开的API，注册虚假的杀毒软件产品，进而强制禁用Microsoft Defender的实时防护功能。此工具已引发广泛关注，微软已将其标记为恶意程序（检测名称：Win32/Sabsik.FL.!ml）并进行自动拦截。

https://www.bleepingcomputer.com/news/microsoft/new-defendnot-tool-tricks-windows-into-disabling-microsoft-defender/

---

6 大众汽车连接应用程序漏洞导致车主个人数据泄露

安全研究员Vishal Bhaskar发现，大众汽车的My Volkswagen应用程序存在严重安全漏洞。攻击者可以利用车辆的VIN号码，通过简单的手段访问用户数据，而该号码通常可在大多数汽车的挡风玻璃上看到。研究人员指出了三个关键安全漏洞：内部凭证泄露、通过VIN号暴露的个人详细信息以及完整的车辆服务历史记录访问权限。这些漏洞可能使潜在攻击者获取车辆位置、发动机健康状况、燃油统计和轮胎压力数据；获取车主的个人信息，包括家庭住址和驾驶执照详情；查看完整的车辆服务历史记录以及客户投诉；甚至可能远程控制某些车辆功能。

https://cybersecuritynews.com/volkswagen-car-hacked/

---