每日安全简讯（20251209）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客组织Storm-2657攻击美国高校

研究人员发现，黑客组织Storm-2657自2025年3月起针对美国多所大学发动精心策划的 "薪资海盗"(Payroll Pirate) 钓鱼攻击，涉及25所高校近6000名教职工。攻击者通过高度仿真的钓鱼邮件，伪装成同事或系统通知，诱导教职工登录伪造的Workday等人力资源系统页面，窃取登录凭证并篡改薪资发放账户。这些攻击采用 "会话中继" 技术，能有效绕过MFA(多因素认证)保护，将受害者工资转入攻击者控制的银行账户。

https://hackread.com/us-universities-domains-phishing-attacks/

---

2 众多勒索软件团伙利用Shanya绕过EDR

近日，安全研究人员发现一项名为Shanya（亦称VX Crypt）的新型“加壳即服务”正在网络犯罪地下论坛中被积极推广，并已被包括Akira、Qilin、Medusa、Crytox在内的多个主流勒索软件团伙所采用。该服务的核心作用是作为“加载器”，为勒索软件的初始攻击阶段提供高级混淆服务。其主要目的是封装和部署一个关键的恶意载荷——“EDR杀手”。这种工具在勒索软件最终载荷运行前，先行定位并强制终止受害系统上运行的端点检测与响应、防病毒软件等安全产品进程与服务，从而瘫痪系统的核心防御能力。

https://cybersecuritynews.com/shanya-edr-killer-leveraged-by-ransomware-groups/

---

3 利用CSS与SVG实现的新型点击劫持技术

安全研究人员近日披露了一种名为“SVG点击劫持”的攻击技术。该技术颠覆了传统点击劫持的运作模式，通过串联使用SVG滤镜（如feColorMatrix、feDisplacementMap、feComposite等），能够构建逻辑门电路，直接对跨域iframe的像素数据进行读取与运算。这使得覆盖层具备了“感知”和“响应”能力，可以根据目标网页的状态（如弹窗是否出现、错误提示是否可见）动态调整攻击界面，从而引导用户完成一系列复杂的交互操作。

https://www.theregister.com/2025/12/05/css_svg_clickjacking/?&web_view=true

---

4 Sneeit WordPress插件高危漏洞遭大规模利用

近期，一个存在于Sneeit Framework WordPress插件中的高危远程代码执行漏洞正被攻击者大规模利用。该漏洞编号为CVE-2025-6389，影响8.3及之前的所有版本。攻击始于2025年11月24日漏洞细节公开后，据安全公司统计，其防火墙已拦截超过13.1万次利用该漏洞的攻击。

https://thehackernews.com/2025/12/sneeit-wordpress-rce-exploited-in-wild.html

---

5 Apache Tika曝最高危XXE漏洞

近日，Apache软件基金会发布安全警报，其核心内容分析工具包Tika中存在一个最高严重级别（CVSS 10.0）的XML外部实体注入漏洞（CVE-2025-66516）。攻击者仅需上传一个嵌入了恶意XFA文件的特制PDF，即可利用该漏洞读取服务器敏感文件、发起网络请求，甚至可能执行远程代码，该漏洞实质上是对今年8月已修复漏洞（CVE-2025-54988）的修正范围扩展。最初报告错误地将漏洞定位在PDF解析模块，但实际根源在于tika-core核心模块。许多仅更新了PDF模块而未升级核心库至3.2.2或更高版本的系统，实际上仍处于暴露状态。

https://securityaffairs.com/185363/security/maximum-severity-xxe-vulnerability-discovered-in-apache-tika.html?web_view=true

---

6 WatchGuard Firebox高危RCE漏洞被公开利用

美国网络安全和基础设施安全局（CISA）于2025年11月13日将WatchGuard Firebox防火墙中的一个高危漏洞（CVE-2025-9242）列入“已知被利用漏洞”（KEV）目录。该漏洞CVSS评分高达9.3，允许未经身份验证的远程攻击者执行任意代码，完全控制设备。该漏洞存在于Fireware OS处理IKEv2 VPN协议的iked进程中。即便用户删除了易受攻击的VPN配置（如移动用户VPN），只要设备能配置了到静态网关对等的分支机构VPN，实际上仍处于暴露状态。

https://cybersecuritynews.com/watchguard-firebox-vulnerabilities/

---