2026年1月更新
我们是威胁情报部门,由全球威胁研究人员和数据科学家团队组成,结合数据分析和机器学习(ML)领域的专有技术,分析着世界上规模最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报,为弹性的威胁检测和响应提供支持——即使组织的攻击面扩大、技术演进、对手改变其战术、技术和程序。
我们的月度更新提供最新的威胁新闻,包括对USM Anywhere检测功能的最新更新,以及在我们公开威胁情报交换平台上发布的新威胁情报,该平台是全球最大的开放式威胁情报共享社区之一。
威胁情报新闻
MongoBleed:被积极利用的关键MongoDB漏洞
2025年12月19日,MongoDB中一个严重的漏洞被披露,该漏洞名为MongoBleed(CVE-2025-14847),影响大多数MongoDB部署。该漏洞被评为CVSSv4 8.7分,允许未经身份验证的攻击者泄漏未初始化的堆内存,从而暴露密码和API密钥等敏感数据。公开的漏洞利用于12月25日出现,到12月28日,已确认存在广泛利用。尽管进行了紧急修补,但12月30日的扫描显示,近70%的公开可访问实例仍然存在漏洞,导致数千个组织面临风险。目前有超过300,000台面向互联网的MongoDB服务器,且存在活跃利用,风险是直接且重大的。
MongoBleed影响版本4.4至8.2,补丁已在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中提供。敦促组织立即升级或应用临时缓解措施,例如禁用zlib压缩请求并执行严格的网络分段(从互联网阻止TCP/27017端口)。除修补外,检测和响应至关重要:取证指标包括通过db.serverStatus().asserts和FTDC遥测数据观察到的用户断言激增。
React2Shell (CVE-2025-55182):React.js中被积极利用的关键RCE漏洞
2025年12月3日,React Server Components中一个关键的无认证远程代码执行漏洞CVE-2025-55182(React2Shell)被披露,其CVSS v3评分为10.0,CVSS v4评分为9.3。该漏洞最初由Lachlan Davidson报告,允许攻击者通过单个HTTP请求执行任意代码,影响Next.js等流行框架。在几天内,观察到了广泛的利用,包括网络犯罪活动者和疑似间谍组织。已知的活动部署了MINOCAT、SNOWLIGHT、HISONIC和COMPOOD等恶意软件家族,以及XMRIG加密货币挖矿程序。地下论坛迅速传播PoC代码和扫描工具,推动了快速的武器化,包括内存中的Next.js Web Shell和Unicode混淆的有效负载。
React2Shell影响19.0、19.1.0、19.1.1和19.2.0版本的react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopackReact Server Component软件包。组织必须立即修补至19.0.1、19.1.2或19.2.1(或更高)版本以防止RCE,并应用后续补丁(19.2.2–19.2.3)以解决相关漏洞(CVE-2025-55183, CVE-2025-55184, CVE-2025-67779)。其他缓解措施包括部署WAF规则、审计依赖项中是否存在易受攻击的组件,以及监控危害指标,例如隐藏目录($HOME/.systemd-utils)、恶意Shell注入和未经授权的持久化机制。
跟踪、检测与狩猎能力
我们团队创建了以下对手跟踪器,以自动识别和检测部署的恶意基础设施:VenomRat、NanoCore、Amadey和Vidar。
团队已将以下恶意软件/威胁行为者确定为12月份最活跃的。
图 1. 2025年12月恶意软件趋势。
我们的跟踪器已为其跟踪的不同家族识别了超过16,353个新IOC。12月份最繁忙的跟踪器包括:
图 2. 2025年12月来自跟踪器的新IOC。
USM Anywhere检测改进
在12月,我们添加或更新了15项USM Anywhere检测。以下是开发和改进的几个示例:
- 新增规则,用于检测Office工具中procdump的使用以及滥用Azure Azcopy进行数据渗透。
- 改进了O365规则,以识别来自消费级VPN创建的收件箱规则或识别可疑用户代理。
请访问成功中心以获取完整的改进、新元素、发现的问题和创建的任务列表。
公开威胁情报交换平台
公开威胁情报交换平台(OTX)是全球最大的开放式威胁情报共享社区之一,由来自全球140个国家的330,000名威胁研究人员组成,他们每天向平台发布威胁信息。我们对这些威胁情报进行验证、分析和丰富。OTX成员受益于集体研究,可以为社区做出贡献,分析威胁,创建公共和私人威胁情报共享小组等。在此处了解有关OTX、其好处以及如何加入的更多信息。
新的OTX脉冲
我们团队根据他们的研究和发现,正在OTX中持续发布新的脉冲。脉冲是关于威胁、威胁行为者、活动等的交互式可搜索信息库,其中包含对成员有用的妥协指标(IoC)。12月,实验室团队创建了90个新脉冲,为最新的威胁和活动提供覆盖。以下是几个最具相关性的新脉冲示例:
- Shai-Hulud V2对NPM供应链构成风险
- 防御React Server Components中的CVE-2025-55182(React2Shell)漏洞
- HoneyMyte APT现在使用内核模式Rootkit保护恶意软件
- 检测到规避性SideWinder APT活动
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
