2026年1月网络安全威胁情报与技术动态

qife122
5 阅读5分钟

2026年1月 威胁情报部门是全球威胁研究人员和数据科学家组成的团队,结合数据分析和机器学习方面的专有技术,分析着全球规模最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报,为弹性威胁检测和响应提供支持,即使在组织的攻击面扩大、技术发展以及对手改变其战术、技术和程序时也是如此。

威胁情报更新提供了最新的威胁新闻,包括对检测功能的最新更新以及发表在开放威胁交换平台上的新威胁情报,该平台是全球最大的开放威胁情报共享社区之一。

威胁情报新闻

MongoBleed:正在被积极利用的关键MongoDB漏洞 2025年12月19日,MongoDB中一个被称为MongoBleed(CVE-2025-14847)的严重漏洞被披露,影响了大多数MongoDB部署。该漏洞评分为CVSSv4 8.7,允许未经身份验证的攻击者泄露未初始化的堆内存,暴露密码和API密钥等敏感数据。公开利用代码于12月25日出现,到12月28日,广泛利用得到确认。尽管进行了紧急修补,但12月30日的扫描显示,近70%的可公开访问实例仍然存在漏洞,使数千个组织面临风险。全球有超过300,000台面向互联网的MongoDB服务器,且正在被积极利用,风险是即时且重大的。

MongoBleed影响从4.4到8.2的版本,补丁已在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中提供。敦促组织立即升级或应用临时缓解措施,例如禁用zlib压缩请求和执行严格的网络分段(从互联网阻止TCP/27017)。除了打补丁,检测和响应至关重要:取证指标包括通过db.serverStatus().asserts和FTDC遥测数据发现的用户断言激增。

React2Shell(CVE-2025-55182):React.js中正被积极利用的关键RCE漏洞 2025年12月3日,React Server Components中披露了一个未经身份验证的关键远程代码执行漏洞CVE-2025-55182(React2Shell),CVSS v3评分为10.0,CVSS v4评分为9.3。该漏洞最初由研究人员报告,允许攻击者通过单个HTTP请求执行任意代码,影响了Next.js等流行框架。几天之内,就观察到了广泛的利用,包括网络犯罪参与者和疑似间谍组织。已知的活动会部署MINOCAT、SNOWLIGHT、HISONIC和COMPOOD等恶意软件家族,以及XMRIG加密货币挖矿程序。地下论坛迅速传播了PoC代码和扫描工具,推动了快速武器化,包括内存中的Next.js Web Shell和Unicode混淆的有效负载。

React2Shell影响React Server Component包react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0、19.1.0、19.1.1和19.2.0版本。组织必须立即修补到19.0.1、19.1.2或19.2.1(或更高版本)以防止RCE,并应用后续补丁(19.2.2–19.2.3)以解决相关漏洞(CVE-2025-55183、CVE-2025-55184、CVE-2025-67779)。其他缓解措施包括部署WAF规则、审计依赖项中的易受攻击组件,以及监控入侵指标,例如隐藏目录($HOME/.systemd-utils)、恶意Shell注入和未经授权的持久化机制。

追踪、检测与狩猎能力

威胁情报团队创建了以下对抗者追踪器,以自动识别和检测部署的恶意基础设施:VenomRat、NanoCore、Amadey和Vidar。

团队已将以下恶意软件/威胁参与者确定为12月份最活跃的。 图1. 2025年12月恶意软件趋势。 追踪器已为其跟踪的不同家族识别了超过16,353个新的IOC。12月份最繁忙的追踪器是: 图2. 2025年12月来自追踪器的新IOC。

检测功能改进

在12月,威胁情报团队添加或更新了15个检测功能。以下是开发和改进的一些示例:

  • 新增规则用于检测Office工具中procdump的使用以及滥用Azure Azcopy进行数据外泄。
  • 改进了O365规则,以识别从消费级VPN创建的收件箱规则或识别可疑用户代理。 请访问成功中心查看改进、新元素、发现的问题和创建的任务的完整列表。

开放威胁交换

开放威胁交换平台是全球最大的开放威胁情报共享社区之一,由来自全球140个国家的330,000名威胁研究人员组成,他们每天向平台发布威胁信息。威胁情报团队验证、分析和丰富这些威胁情报。OTX成员受益于集体研究,可以为社区做出贡献,分析威胁,创建公共和私人威胁情报共享组等。在此处了解有关OTX、其优势以及如何加入的更多信息。

新的OTX脉冲 威胁情报团队根据其研究和发现,不断在OTX上发布新的脉冲。脉冲是关于威胁、威胁参与者、活动等的交互式且可研究的信息库。其中包括对成员有用的妥协指标。12月,实验室团队创建了90个新脉冲,为最新的威胁和活动提供了覆盖。以下是一些最新相关脉冲的示例:

  • Shai-Hulud V2对NPM供应链构成风险
  • 防御React Server Components中的CVE-2025-55182(React2Shell)漏洞
  • HoneyMyte APT现在使用内核模式rootkit保护恶意软件
  • 检测到规避性SideWinder APT活动
avatar
文章
阅读
粉丝