國家互聯網應急中心（CNCERT）發佈「游蛇」黑產攻擊活動的風險提示

網安資訊

1. 國家互聯網應急中心（CNCERT）發布「游蛇」黑產攻擊活動風險提示
   近期，CNCERT與安天聯合監測到「游蛇」黑產團伙（又名「銀狐」、「谷墮大盜」、「UTG-Q-1000」等）活動頻繁。攻擊者利用搜索引擎SEO推廣手段，偽造Chrome瀏覽器下載站。偽造站與正版官網高度相似，極具迷惑性。用戶一旦誤載惡意安裝包，「游蛇」遠控木馬便會植入系統，實現對目標設備的遠程操控與敏感數據竊取。監測顯示其每日上線境內肉雞IP數最高逾1.7萬。

安全情報

1. 新型竊密惡意軟件EDDIESTEALER通過假驗證碼傳播
   近期，一款以Rust編寫的新型竊密軟件EDDIESTEALER正通過偽造「我不是機器人」驗證頁面傳播。攻擊者誘導用戶執行惡意PowerShell腳本，最終部署EDDIESTEALER於Windows主機。該軟件可竊取憑證、瀏覽器數據及加密貨幣錢包信息，並通過C2服務器接收任務配置。其採用字符串混淆、API調用混淆及自定義模塊加載機制，增加分析難度。雖當前樣本未見複雜反虛擬化機制，但後續變種可能將檢測邏輯遷移至服務器端。

2. Siemens SiPass Integrated漏洞預警
   Siemens SiPass Integrated存在越界讀取漏洞（CVE-2022-31812），未經身份驗證的遠程攻擊者可利用此漏洞引發服務拒絕。受影響版本為SiPass Integrated V2.95.3.18之前版本。

3. Instantel Micromate漏洞預警
   Instantel Micromate配置端口缺乏身份驗證（CVE-2025-1907），攻擊者可通過此漏洞執行命令。所有版本均受影響。

4. Silent Werewolf針對俄摩兩國發動釣魚攻擊
   間諜組織Silent Werewolf近期針對俄羅斯能源、航空企業及摩爾多瓦目標發起攻擊。攻擊者通過偽裝郵件投遞含惡意LNK文件的ZIP壓縮包，利用Windows系統工具自動部署加載器連接C2服務器。攻擊戰術高度匹配其歷史行為（如XDigo惡意軟件），並大量使用微軟官方工具與加密混淆技術提升隱蔽性。

漏洞預警

1. WordPress插件Dreamstime Stock Photos跨站腳本漏洞
   WordPress插件Dreamstime Stock Photos 4.0及之前版本存在反射型XSS漏洞，源於輸入中和不當。

2. Linux等多廠商產品空指針解引用漏洞
   Xen虛擬機監視器因空指針解引用可能導致系統拒絕服務。

3. PHPGurukul醫療卡生成系統HTML注入漏洞
   PHPGurukul Medical Card Generation System v1.0的admin/contactus.php中pagedes參數存在HTML注入風險。

4. 華碩GT-AC2900路由器認證繞過漏洞
   華碩GT-AC2900設備3.0.0.4.386.42643之前版本允許未認證用戶遠程訪問管理員界面（CVE待分配）。