研究人员在 Microsoft Defender 中发现了名为“红日”的安全漏洞，攻击者可利用该漏洞提升权限，恶意文件可覆盖系统文件，造成严重危害。由于与微软安全响应中心的矛盾，研究人员公开了该漏洞，导致黑客开始利用。微软需尽快修复漏洞并解决与研究人员的矛盾。

飞牛fnOS疑似存在0Day漏洞，未登录状态下可遍历目录并注入恶意文件。官方未及时发布预警，建议用户关闭公网访问、更新至v1.1.15版本，并备份重要数据，等待修复工具。

钓鱼邮件常见类型包括奖金/补贴、异常发信、社交平台和账号异常等。它们通过伪装和制造焦虑来诱导用户泄露信息或下载恶意文件，具有高度欺骗性，用户需保持警惕。

Tableau Server 存在严重安全漏洞 CVE-2025-26496，允许攻击者上传恶意文件并执行代码，影响多个版本。建议立即升级以修复此漏洞，防止数据泄露和系统被攻陷。

火绒监测到“银狐”系列变种木马，通过阿里云存储传播恶意文件，利用Python脚本控制电脑。火绒6.0有效拦截此类病毒，保护用户安全。银狐组织的后门程序升级，采用新型“白文件+脚本”攻击方式，规避常规检测，控制大量终端设备实施诈骗。

本文分析了DedeCMS的安全漏洞，攻击者可通过前台密码重置和后台密码修改获取管理员权限，从而上传恶意PHP文件。实验使用BurpSuite和火狐浏览器进行渗透测试，揭示了系统设计缺陷带来的安全隐患。

文章介绍了一种针对微信的攻击漏洞，攻击者通过篡改聊天记录中的内存数据，诱导用户下载恶意文件。该文件可利用路径穿越技术写入用户启动目录，导致用户重启时自动执行，从而使攻击者获得用户电脑的控制权。

在应急响应中，识别恶意文件需关注文件名、路径、时间戳和权限等特征。总结了20种特征及其查找方法，适用于Windows和Linux系统，帮助快速定位潜在威胁，提高安全防护效率。

近期出现一起利用电子发票的钓鱼案件，攻击者伪装发件人并隐藏链接，诱导用户下载恶意文件。该病毒具备反沙箱能力，难以被检测。企业需加强防范，更新钓鱼防护措施。

朝鲜黑客组织Kimsuky通过伪装合法文件的钓鱼邮件，利用GitHub和Dropbox进行网络间谍活动，嵌入PowerShell脚本以下载恶意文件并收集受害者数据，显示出与朝鲜的紧密联系。

文件上传漏洞是指应用程序未有效验证用户上传的文件，导致攻击者可上传恶意文件并执行，可能控制服务器或窃取数据。常见实现方式如Spring MultipartFile和Apache Commons FileUpload，存在路径遍历、文件类型未验证、文件覆盖及权限设置不当等风险。修复建议包括生成随机文件名和设置文件权限。

Flowise是一款开源低代码工具，但存在严重的文件上传漏洞。攻击者可通过特殊编码绕过限制，上传恶意文件，获取服务器控制权，威胁使用该平台的组织安全。该漏洞源于未认证的API端点设计，允许未经授权的文件操作。

WordPress的Jupiter X Core插件存在CVE-2025-0366安全漏洞，影响超过9万网站。攻击者可上传恶意SVG文件并执行任意代码。已发布修复版本，建议用户及时更新并加强安全措施。

123网盘的下载域名被卡巴斯基拦截，用户可临时关闭卡巴斯基或添加白名单以继续访问。拦截通常因用户托管恶意文件，建议下载后使用安全软件扫描文件以防病毒。

Microsoft Windows SmartScreen存在安全漏洞（CVE-2024-21412），允许远程攻击者绕过安全警告并传播恶意文件。多个恶意软件家族在过去一年中利用了这个漏洞。攻击者利用这个漏洞通过欺骗受害者点击精心设计的URL文件链接来下载恶意可执行文件。下载的LNK文件提取包含HTA脚本的可执行文件，解码和解密PowerShell代码以获取最终URL、诱饵PDF文件和恶意代码。攻击者将窃取的数据注入合法进程并发送回C&C服务器。他们使用不同的恶意代码和PDF文件来逃避不同地区的检测。攻击链以一个恶意链接开始，导向远程服务器，下载调用PowerShell脚本的URL文件，使用forfiles命令执行mshta从远程服务器提取可执行文件。对LNK文件的调查发现它们都下载包含嵌入HTA脚本的相似可执行文件。HTA脚本设置为静默运行，没有任何弹出窗口。解码和解密脚本后，PowerShell代码将两个文件下载到%AppData%文件夹：一个诱饵PDF文件和一个注入恶意代码的可执行文件。攻击者使用不同的方法注入代码，包括使用图像文件和从数据段解密代码。攻击者使用Meduza Stealer 2.9版本进行加密货币盗窃。该窃取者的控制面板位于hxxp://5[.]42[.]107[.]78/auth/login。HijackLoader的控制面板也可能加载ACR Stealer，该窃取者将C&C服务器地址隐藏在Steam社区中。可以通过在Steam上搜索特定字符串“t6t”来找到C&C服务器。攻击者针对各种应用程序进行攻击，包括浏览器、加密货币钱包、即时通讯软件、FTP客户端、电子邮件客户端、VPN客户端、密码管理器和其他软件。攻击者还针对Chrome浏览器扩展进行攻击。IOCs包括IP地址和域名。

俄罗斯威胁行动者FlyingYeti在乌克兰网络钓鱼活动中被Cloudforce One成功阻止。FlyingYeti利用乌克兰市民对住房和公共事业服务失去访问权的焦虑，通过欠款主题的诱饵诱使目标打开恶意文件。Cloudforce One采取了内外合作措施，成功延长了FlyingYeti的操作时间。他们发现FlyingYeti主要针对乌克兰军事实体，使用动态DNS和云平台进行恶意内容的托管和控制。文章提供了防御建议和检测指标。