各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. AkiraBot：AI驱动的垃圾邮件机器人绕过验证码攻击超8万家网站

SentinelOne旗下SentinelLabs研究人员发现，这款名为AkiraBot的Python框架能绕过CAPTCHA（全自动区分计算机和人类的公开图灵测试），利用AI生成内容对中小企业网站实施大规模垃圾信息攻击。自2024年9月以来，该工具已扫描超过40万个网站，并成功向至少8万个网站发送垃圾信息。

2. SideCopy APT组织伪装政府人员部署开源XenoRAT工具

自2024年12月下旬以来，与巴基斯坦有关联的SideCopy高级持续威胁（APT）组织发起了一场针对印度政府关键部门的复杂攻击行动。该组织已将攻击范围从传统的国防和海事部门显著扩大，目前还涉及铁路、石油天然气以及外交事务部下属机构，显示出其网络间谍活动的危险扩张趋势。

3. 微软Exchange管理中心全球范围宕机

微软已确认Exchange管理中心发生全球性服务中断，导致管理员无法访问关键管理工具。该故障被标记为关键服务事件，对依赖Exchange Online的企业造成广泛影响。

4. APT-Q-12利用Foxmail邮件客户端高危漏洞瞄准国内企业用户

攻击者组合利用了 Foxmail 客户端存在的高危漏洞(QVD-2025-13936)，受害者仅需点击邮件本身即可触发远程命令执行，最终执行落地的木马。

5. CISA警告CentreStack硬编码MachineKey漏洞

美国网络安全和基础设施安全局（CISA）本周二将影响Gladinet CentreStack的一个严重安全漏洞列入其已知被利用漏洞（KEV）目录，指出该漏洞已在野外被积极利用。

6. 多家大型养老基金超2万个账号遭入侵，至少数百万元养老储蓄金被盗

多家大型养老基金超过2万个用户账号遭到入侵，其中仅AustralianSuper基金用户就有超过220万元资金被转出，目前整体损失规模尚不确定，澳大利亚政府已就此发布警告。

7. 争议性黑客组织EncryptHub的双面人生

微软公开致谢使用_EncryptHub_别名（又名SkorikARI）的独立黑客，因其报告了两个Windows安全漏洞。这一事件凸显了网络安全领域一个矛盾现象——同一人物既从事道德安全研究，又参与网络犯罪活动。

8. OpenAI投资的首家网络安全公司有何亮点？

初创厂商Adaptive Security近日宣布完成A轮4300万美元的首次融资，由OpenAI的初创基金和风险资本巨头安德森·霍洛维茨（又名a16z）联合领投。OpenAI向媒体确认，这是其首次投资网络安全领域的初创企业。

9. 专家利用ChatGPT-4o在5分钟内伪造护照 成功绕过KYC验证

波兰研究员Borys Musielak使用ChatGPT-4o在短短五分钟内生成了一份逼真的假护照。专家表示，该伪造文件足以通过自动化（KYC）验证流程。

10. 谷歌发布网络安全AI新模型Sec-Gemini v1

谷歌近日宣布推出实验性AI模型Sec-Gemini v1，旨在通过人工智能技术革新网络安全防御体系。该模型由Sec-Gemini团队成员Elie Burzstein和Marianna Tishchenko共同研发，旨在帮助网络安全人员应对日益复杂的网络威胁。

一周好文共读

1. 记一次域渗透实战之从边界突破到域内ADCS-9漏洞利用

信息收集端口扫描使用nmap进行端口探测，发现存在多个接口。 【阅读全文】

2. Fenjing 作者的 Jinja SSTI 完全进阶教程

Jinja SSTI 几乎所有进阶手法大合集，包含 Fenjing 开发两年中包含的几乎所有手法。 【阅读原文】

3. Apache Superset 漏洞组合利用拿权限

Apache Superset是一个开源的数据探索和可视化平台，设计为可视化、直观和交互式的数据分析工具。 当应用程序反序列化这些数据时，会导致Superset服务器上的远程代码执行。 【阅读原文】