工业网络安全周报（2025年第12期）

本期摘要

政策法规方面，本周观察到国外网络安全相关政策法规12项，值得关注的有工信部等三部门联合印发《轻工业数字化转型实施方案》。

漏洞预警方面，本周监测到ICS漏洞51条，值得关注的有网络安全公司Forescout揭露Sungrow等太阳能系统46个漏洞，威胁电网安全。

安全事件方面，本周监测到重大网络安全事件28起，其中典型的事件有以色列关键基础设施情报信息遭Babuk2攻击、巴西农业化学产品开发和制造公司IHARA遭勒索攻击。

风险预警方面，Claroty 2025报告警示医疗机构OT安全漏洞危及患者安全。

政策法规方面

01、工信部发布《智能制造典型场景参考指引(2025年版)(征求意见稿)》

3月19日，工信部公开征求《智能制造典型场景参考指引(2025年版)(征求意见稿)》意见。根据智能制造多年探索实践，结合技术创新和融合应用发展趋势，凝练出8个环节的40个智能制造典型场景，作为智能工厂梯度培育、智能制造系统解决方案“揭榜挂帅”、智能制造标准体系建设等工作的参考指引。

资料来源：工信部

02、工业和信息化部办公厅关于做好2025年信息通信业安全生产和网络运行安全工作的通知

工信厅通信函〔2025〕82号 各省、自治区、直辖市通信管理局，中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国卫星网络集团有限公司、中国广播电视网络集团有限公司、中国铁塔股份有限公司、中国卫通集团股份有限公司，中国通信企业协会，相关互联网企业，相关通信工程参建单位：为做好2025年信息通信业安全生产和网络运行安全工作，现就有关事项通知如下：

参考来源：https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_7c2bbce8116a48aab7bc2bda327d1be3.html

03、李强签署国务院令 公布修订后的《保障中小企业款项支付条例》

国务院总理李强日前签署国务院令，公布修订后的《保障中小企业款项支付条例》(以下简称《条例》)，自2025年6月1日起施行。《条例》共5章37条，修订的主要内容如下。

资料来源：新华社

04、工信部等三部门联合印发《轻工业数字化转型实施方案》

2025年3月27日，工业和信息化部联合教育部、市场监管总局发布《轻工业数字化转型实施方案》。该方案旨在贯彻落实国务院制造业数字化转型部署，推动数字技术全面赋能轻工业发展，促进产业升级。方案提出到2027年和2030年的两步走目标，部署新一代信息技术赋能、新模式新业态创新应用等四大行动，强调网络安全分级分类防护，为轻工业数字化转型提供支撑。

资料来源： http://3f2.9dw2.sbs/2ILFsfq

05、英国NCSC发布特权访问工作站八项原则强化高权限账户安全

2025年3月25日，英国国家网络安全中心(NCSC)近日提出特权访问工作站(PAW)八项原则，旨在提升高权限账户安全管理。该框架要求组织建立专用安全策略、构建可信环境、缩减攻击面、隔离高风险活动、实施实时监控及数据管控，并评估第三方高风险设备安全性。核心目标是通过物理隔离与最小权限机制，防止攻击者利用高权限账户横向渗透，降低勒索软件等网络攻击影响。NCSC强调，PAW需结合组织威胁环境定制，作为整体安全策略的一部分，同时需动态调整以应对业务变化。此举针对特权账户滥用风险激增的现状，为航空、公共部门等关键领域提供标准化防护方案。

资料来源： https://www.ncsc.gov.uk/collection/principles-for-secure-paws

06、美国NIST发布《对抗性机器学习攻击分类及缓解指南》应对AI系统安全威胁

2025年3月24日，美国NIST发布《对抗性机器学习攻击分类及缓解指南》，系统分类针对预测性AI(如分类模型)和生成式AI(如大语言模型)的攻击，涵盖**规避攻击(欺骗模型)、投毒攻击(污染训练数据)和隐私攻击(数据泄露)**三大类。报告提出基于攻击阶段、目标、能力等维度的分类框架，并指出现有防御技术(如对抗训练、差分隐私)因缺乏信息论安全证明存在局限。该指南为行业建立统一术语与风险评估基准，助力优先修复高风险漏洞，提升AI系统安全性。

资料来源： https://csrc.nist.gov/pubs/ai/100/2/e2025/final

07、瑞典发布2025-2029年网络安全战略

2025年3月20日，瑞典政府向议会提交《国家网络安全战略2025-2029年》，旨在应对复杂网络安全威胁，提升国家整体网络安全水平。该战略围绕三大支柱：系统高效的网络安全工作、知识和能力提升、事件预防处置，提出13项具体目标。重点包括强化关键基础设施保护、提升公私部门网络安全能力、增强全社会网络安全意识、完善事件响应机制等，同时强调减少对非欧盟技术依赖，发展本土加密技术，填补人才缺口。

资料来源： http://ym1.9dw2.sbs/MCG8tXN

漏洞预警

01、重大Chrome漏洞致攻击者可执行任意代码

Google 已确认 Chrome 中存在一个严重安全漏洞，该漏洞影响了Windows、Mac、Linux 和 Android平台上的数十亿用户。该漏洞可能允许攻击者通过特制网页执行任意代码，促使紧急更新版本在广泛利用之前解决该问题。被跟踪为 CVE-2025-2476 的安全漏洞已被归类为 Chrome 的 Lens 组件中的严重释放后使用(UAF)内存漏洞。

资料来源：https://mp.weixin.qq.com/s/zK_Aakzd2jg2P_WwfDIOLg

02、VMware漏洞被积极利用以绕过安全控制并部署勒索软件

利用关键 VMware虚拟化漏洞的勒索软件攻击激增已触发全球警报。威胁行为者利用 ESXi、Workstation 和 Fusion 产品中的缺陷来瘫痪企业基础架构。 漏洞 CVE-2025-22224 (CVSS 9.3)、CVE-2025-22225 (CVSS 8.2)和 CVE-2025-22226(CVSS 7.1)使攻击者能够逃避虚拟机(VM) 遏制、劫持虚拟机管理程序并在整个集群中部署勒索软件。Shadowserver 观察到，截至 2025 年 3 月 4 日，有41,500+个暴露在互联网上的VMware ESX管理程序容易受到 CVE-2025-22224 的攻击，CVE-2025-22224是一个在攻击中被积极利用的关键零日漏洞。

资料来源：https://mp.weixin.qq.com/s/24XoMuHD9bjQm2CTBskjZQ

03、Veeam备份服务器现重大漏洞，速更新补丁!

近期Veeam Backup & Replication软件被曝出一项严重的远程代码执行漏洞(CVE-2025-23120)，给众多企业和组织的数据安全带来了巨大风险。据相关报道，该漏洞是由watchTowr Labs发现的，主要影响Veeam Backup & Replication版本12.3.0.310及所有早期版本12构建。漏洞根源在于软件的Veeam.Backup.EsxManager.xmlFrameworkDs和Veeam.Backup.Core.BackupSummary .NET 类中存在反序列化问题。反序列化漏洞是一种常见的安全风险，当应用程序对序列化数据处理不当，攻击者便能注入恶意对象，从而执行有害代码。

资料来源：https://mp.weixin.qq.com/s/KCL9hs1AaCjorODY0tPBWA

04、JumpServer漏洞使攻击者可绕过认证并获取完全控制权

Fit2Cloud 开发的开源特权访问管理 (PAM) 工具 JumpServer 中发现一系列严重漏洞，引发了重大的安全担忧。JumpServer 作为内部网络的堡垒主机，通过用户友好的 Web 界面提供通过 SSH、RDP、数据库和 FTP 隧道访问内部资源的集中点。发现的缺陷可能允许未经身份验证的攻击者绕过身份验证并完全控制 JumpServer 基础设施。

资料来源：https://mp.weixin.qq.com/s/g8pdwr-4b1xYvLvVRyTr7Q

05、Ingress-nginx漏洞可能导致Kubernetes集群被接管

近日，Kubernetes 的Ingress NGINX Controller被曝出五个严重安全漏洞，这些漏洞可能导致未经身份验证的远程代码执行(RCE)，使超过6,500个集群面临直接风险。这些漏洞由云安全公司 Wiz 发现，并统称为“IngressNightmare”。值得注意的是，这些漏洞并不影响 NGINX Ingress Controller，后者是 NGINX 和NGINX Plus 的另一种实现。

参考链接：https://mp.weixin.qq.com/s/_Gfb64LQv7i4s22dicBhAQ

06、Next.js框架惊现致命漏洞，黑客可轻松绕过授权

最近，一个名为CVE-2025-29927的重大漏洞在Next.js开源框架中被发现，这一消息瞬间在开发界和安全领域引发了轩然大波。Next.js作为一款广受欢迎的 React 框架，拥有每周超900万次的npm下载量，是众多企业构建全栈 Web 应用的首选。从TikTok、Twitch等社交娱乐巨头，到 Hulu、Netflix 等流媒体大咖，再到Uber、Nike等出行和运动品牌，Next.js的身影无处不在，它凭借强大的功能和出色的性能，助力企业打造出高效、美观的Web应用。

资料来源：https://mp.weixin.qq.com/s/Vzd_rH45eUH1TOHhZEBhdg

07、研究人员揭露macOS漏洞可导致系统密码泄露

Noah Gregory最近发表的一篇文章，着重指出了macOS系统中一个严重的漏洞，其编号为CVE-2024-54471。好在该漏洞已在macOS Sequoia 15.1、macOS Sonoma 14.7.1以及macOS Ventura 13.7.1的最新安全更新中得到修复。此漏洞存在暴露系统密码的风险，这也充分说明了将macOS设备更新至最新版本的重要性。

资料来源：https://mp.weixin.qq.com/s/l-XeHsnuNJxXYOpOHdKvRA

08、谷歌Chrome浏览器零日漏洞遭大规模利用

卡巴斯基网络安全研究人员发现高级威胁攻击者正在利用Chrome浏览器零日漏洞后，谷歌已紧急发布安全更新。该漏洞编号为CVE-2025-2783，攻击者通过Chrome安全框架与Windows操作系统交互过程中的逻辑错误，成功绕过了浏览器的沙箱保护机制，致使防护措施完全失效。

资料来源：https://mp.weixin.qq.com/s/y-PTflo_4RfzGaA9CFdujg

09、Windows 新型零日漏洞：远程攻击可窃取 NTLM 凭证，非官方补丁已上线

近日，安全研究人员披露了一个新型 Windows 零日漏洞，影响从Windows 7和Server 2008 R2到最新Windows 11 v24H2及Server 2025的所有Windows操作系统版本。攻击者只需诱使用户在Windows资源管理器中查看恶意文件，即可利用该零日漏洞窃取NTLM(NT LAN Manager)身份验证凭证。

资料来源：https://mp.weixin.qq.com/s/ldc5t_Q3x2OB3gQiH7uY6Q

10、逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞

近日，网络安全公司Forescout旗下研究机构Vedere Labs发布了一份重磅报告，披露了全球三大领先太阳能逆变器制造商——尚德(Sungrow)、固德威(Growatt)和SMA的产品中存在多达46个安全漏洞。这些漏洞可能被攻击者利用，远程控制设备或在厂商的云平台上执行恶意代码，潜在影响被评估为“严重”，可能威胁电网稳定和用户隐私。

资料来源：https://mp.weixin.qq.com/s/ngxcXa3gF6ajxq6IpZiHug

11、Forescout揭露Sungrow等太阳能系统46个漏洞，威胁电网安全

2025年3月27日，据.securityweek报道，网络安全公司Forescout近期在太阳能供应商Sungrow、Growatt和SMA的产品中发现46个漏洞，其中SMA的漏洞允许云端恶意代码执行，Growatt的30个漏洞可引发XSS攻击及设备物理损坏，Sungrow存在敏感信息泄露和远程代码执行风险。部分漏洞可能使攻击者劫持逆变器，导致电网长时间故障或价格操控。SMA和Sungrow已修补漏洞并获CISA全球安全警示，但截至2024年2月底，Growatt多数漏洞仍未修复。Forescout建议加强设备安全隔离、监控及采购环节安全审查，以降低电网和用户数据风险。

资料来源：http://ne2.9dw2.sbs/9ma1ccb

12、Splunk 高危漏洞：攻击者可通过文件上传执行任意代码

Splunk 近日发布补丁，修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行(RCE)漏洞。该漏洞编号为 CVE-2025-20229，可能允许低权限用户通过上传恶意文件执行任意代码。

资料来源：https://mp.weixin.qq.com/s/6GQRH-hgWQtR1u-wEnDDvQ

安全事件

01、因存在安全风险，900 万次安装量的 VSCode 扩展被下架

微软已从 Visual Studio 市场中移除了两个热门的 VSCode 扩展程序“Material Theme - Free”和“Material Theme Icons - Free”，原因是发现它们包含恶意代码。这两个扩展程序非常受欢迎，总共被下载了近 900 万次，现在 VSCode 用户会收到安全提醒，提示这两个扩展程序已被自动禁用。

资料来源：https://mp.weixin.qq.com/s/HDBpMo8i8MQNTVrGe7_I5w

02、黑客窃取 32 亿个登录凭证 全球 2300 万台设备被攻击

lashpoint 的最新情报报告清晰地揭示了持续升级的网络威胁态势，着重指出了泄露凭证和恶意软件感染数量惊人增长的情况。在2024年，威胁行为者成功窃取了数量前所未有的 32 亿个登录凭证，相较于上一年增长了33%。这一惊人数字突出表明，网络犯罪分子愈发依赖被盗数据来开展勒索软件攻击、数据泄露等恶意活动。

资料来源：https://mp.weixin.qq.com/s/BQk1gYn8PXMCXlN8J3u5Ng

03、黑客声称出售从Oracle 云服务器窃取的600万条记录

一名名为“rose87168”的威胁行为者声称从Oracle云服务器窃取了600万条记录。据报道，被盗数据包括Java密钥库(JKS)文件、加密的单点登录(SSO)密码、哈希处理的轻量级目录访问协议(LDAP)密码、密钥文件以及企业管理器Java平台安全(JPS)密钥。此次泄露据称影响了全球超过14万名租户，并引发了人们对云安全的严重担忧。

资料来源：https://mp.weixin.qq.com/s/1G1UcBYxHXfgHK-aBIDwjw

04、SpyX 数据泄露，涉及近 200 万用户隐私

SpyX 是一家因开发间谍软件而声名狼藉的公司，该公司遭遇了数据泄露事件，致使近 200 万用户的个人信息被泄露。根据 Have I been Pwned 发布的一份报告，此次泄密事件发生在 2024 年 6 月 24 日，大量敏感数据遭到泄露，其中包括电子邮件地址、IP 地址、设备信息、地理位置以及密码。

资料来源：https://mp.weixin.qq.com/s/kfw8xn0PM4z9B3PHhip3Sw

05、GitHub供应链攻击升级：Coinbase超218代码库暴露，CI/CD密钥泄露

涉及 GitHub Actions 工具 "tj-actions/changed-files" 的供应链攻击最初是针对 Coinbase 一个开源项目的定向攻击，随后演变为范围更广的安全事件。

资料来源：https://mp.weixin.qq.com/s/5K5KG3I1bBVaEyjdDCJSkw

06、巴西农业化学产品开发和制造公司IHARA遭勒索攻击

2025年3月27日，巴西农业化学产品开发和制造公司IHARA遭勒索软件攻击，攻击者为Ralord。此次攻击导致公司运营中断，敏感数据泄露。这凸显了农业企业面临网络威胁的严重性，强调了加强技术基础设施防护的重要性。

资料来源： http://ao2.9dw2.sbs/i8pgf9X

07、以色列关键基础设施情报信息遭Babuk2攻击

2025年3月26日，以色列的关键基础设施和秘密文件情报信息遭Babuk2勒索软件组织攻击。攻击者窃取了大量涉及国家安全运营和基础设施系统的重要文件，威胁泄露敏感数据，可能被恶意利用。此次事件凸显了网络犯罪组织攻击手段的复杂性，以及加强网络安全防护、保护关键资产和敏感信息的紧迫性。

资料来源： http://nx2.9dw5.sbs/NeL9VUK

08、德国Conterra公司遭RansomHub勒索软件攻击

2025年3月26日，德国明斯特的Conterra公司官网conterra.com遭RansomHub勒索软件攻击。Conterra专注于智能制图和地理空间数据管理，服务于运输、公用事业和公共安全等行业。此次攻击影响了公司运营及客户关键数据，凸显了地理空间数据管理企业面临网络威胁的严重性，可能导致业务中断和客户信任受损。

资料来源： https://www.hendryadrian.com/ransom-conterra-com/

09、Arkana勒索组织攻击美国电信商WOW!致数据泄露及系统控制

2025年3月25日，勒索软件组织Arkana Security宣称入侵美国电信运营商WideOpenWest(WOW!)，窃取包含220万账户的客户数据库(含密码、邮箱等敏感信息)，并控制其核心系统(AppianCloud、Symphonica)。攻击者威胁公开或出售数据，同时在暗网泄露公司高管个人信息施压。WOW!为19州近200万用户提供服务，若违规属实将面临重大声誉损失及法律风险。截至报道时，WOW!尚未确认事件真实性。

资料来源： http://x91.9dw2.sbs/9PPpkXV

10、Babuk2勒索组织攻击土耳其国防企业Kale Savunma威胁国家安全

2025年3月25日，土耳其国防公司Kale Savunma遭勒索软件组织Babuk2攻击，敏感国防数据面临泄露风险。此次事件引发对国家安全及国防机密保护的严重担忧。Kale Savunma作为土耳其重要国防承包商，正全力应对损害并配合当局调查，以强化网络安全措施。目前攻击具体影响及数据泄露范围尚未完全披露，但潜在威胁可能波及国家军事安全与战略利益。

资料来源： https://www.hendryadrian.com/ransom-kalesavunma-com-kale-savunma/

11、美国交通控制公司Direct Traffic Control遭Lynx勒索软件攻击

2025年3月25日，美国俄克拉荷马州的交通控制公司Direct TrafficControl成为勒索软件攻击的受害者，攻击者为Lynx网络犯罪组织。该公司以交通管理专业服务和划线团队著称。此次攻击可能影响其运营和客户信任，凸显了交通行业企业面临网络安全威胁的严峻性，以及加强数据保护的必要性。

资料来源： https://www.hendryadrian.com/ransom-direct-traffic-control/

12、西班牙能源巨头Endesa数据泄露事件：近4000万客户信息受影响

2025年3月25日，西班牙能源巨头Endesa被曝光涉嫌数据泄露事件。攻击者“AgencyInt”声称成功入侵Endesa，导致3060万电力客户和860万天然气客户的数据泄露。泄露信息包括姓名、身份证号、电话号码、地址、邮箱、银行账号等。Endesa表示暂未发现系统被攻击的证据，但此次事件引发对数据安全的高度关注。

资料来源： http://0z1.9dw2.sbs/kMld1es

13、加拿大钢铁生产和回收公司Kimco Steel遭Play勒索软件攻击

2025年3月25日，加拿大钢铁生产和回收公司Kimco Steel成为Play网络犯罪组织策划的勒索软件攻击的受害者。此次攻击扰乱了公司运营，引发了数据安全和敏感信息泄露的担忧。事件凸显了工业部门面临复杂网络威胁的脆弱性，也凸显了加强网络安全措施、提升防御能力的紧迫性。

资料来源： https://www.hendryadrian.com/ransom-kimco-steel/

14、美国B&C Industries遭勒索软件攻击

2025年3月25日，美国公司B&C Industries成为勒索软件攻击的受害者，攻击者为Play组织。此次攻击导致公司运营严重中断，数据泄露风险增加。事件凸显了网络威胁的严峻性，以及企业加强网络安全措施、应对复杂攻击的紧迫性。

资料来源： https://www.hendryadrian.com/ransom-bc-industries/

15、马来西亚机场控股有限公司(MAHB)遭网络攻击

2025年3月23日，马来西亚机场控股有限公司(MAHB)的数字系统遭到网络攻击，导致系统中断，黑客索要1000万美元赎金。。首相安华在3月25日的讲话中确认了此次攻击，并表示政府拒绝支付赎金。他强调政府将加强网络安全措施，投入更多资源以应对未来威胁。此次事件凸显了关键基础设施面临的网络威胁，以及加强网络安全的紧迫性。

资料来源： https://thecyberexpress.com/mahb-cyberattack/

风险预警

01、浏览器遭受攻击：AI 驱动网络钓鱼攻击呈爆发式增长

浏览器安全至关重要。人们大部分工作时间都在浏览器上度过，而攻击者也将大部分攻击目标锁定在浏览器上。根据Menlo Security数据，过去 12 个月 75 万次网络钓鱼攻击的分析，涉及 800 多个实体，分析显示，浏览器网络钓鱼攻击增加了 140%，其中包括零时网络钓鱼攻击增加了130%(实际上，这是应用于网络钓鱼的零日攻击)。攻击手段愈发复杂，攻击规模不断扩大，令人忧心。

资料来源：https://mp.weixin.qq.com/s/bulzTJYZRGne1AseFYn4NQ

02、“开盒事件”敲响警钟：当物联网成为隐私"潘多拉魔盒"

当智能设备成为"开盒"帮凶。 "开盒"事件掀起的不仅是个人信息保卫战，更暴露出物联网生态的脆弱性。你的智能音箱可能正在偷听，家庭摄像头或许已沦为偷窥孔——这不是科幻片，而是正在发生的现实。

资料来源：https://mp.weixin.qq.com/s/h1ELjT8eqYZzzzbJ7dWYBA

03、黑客利用 Gamma AI 创建复杂的 Microsoft 主题网络钓鱼重定向器

网络犯罪新手法：滥用Gamma AI构建钓鱼跳转器 攻击链暗藏CAPTCHA验证迷惑用户 网络安全研究人员披露，黑客组织正利用AI内容生成平台Gamma(gamma.app)创建高度复杂且难以侦测的钓鱼重定向系统。该平台原用于快速生成演示文稿、网站及文档，现被恶意分子用于在gamma.app官方域名下直接托管钓鱼跳转页面——这种"寄生式攻击"引发业界对AI工具武器化的深度担忧。

资料来源：https://mp.weixin.qq.com/s/ROHU-MkSUQtX5IJFKQ7bVw

04、黑客使用虚假的 Semrush 广告窃取 Google 帐户登录凭据

网络钓鱼新手段：虚假Semrush广告窃取Google账户凭证、数字营销及SEO从业者面临高危风险。网络安全研究人员发现，网络犯罪分子近期在Google搜索结果中大量投放伪装成正规Semrush广告的恶意链接，利用该SEO工具在行业内日益增长的知名度，诱骗数字营销从业者和搜索引擎优化专家点击，进而窃取其Google账户登录凭证。

资料来源：https://mp.weixin.qq.com/s/Zt2euDG6Y5N3qoN5TKJc0A

05、伪装成 DeepSeek 的 Android 恶意软件窃取用户登录凭证

最近，一种伪装成 DeepSeek AI 应用程序的 Android 恶意软件出现，构成了严重的网络安全威胁。该恶意软件旨在诱使用户下载 DeepSeek 应用程序的虚假版本，进而通过窃取登录凭据等敏感信息，危害用户设备的安全。

资料来源：https://mp.weixin.qq.com/s/uWg38LOgDG-YHHQMLNWPYA

06、研究人员揭示了FIN7组织基于Python的Anubis的隐秘后门程序

网络安全专家已经确定了由臭名昭著的金融网络犯罪组织 FIN7 开发的一种复杂的新后门工具。这种基于 Python 的恶意软件被称为“Anubis Backdoor”，代表了该组织的战术、技术和程序(TTP)的演变，这些策略、技术和程序在历史上曾在全球范围内造成数十亿美元的损失。G Data 研究人员发现，最初的感染是通过一个看似无辜的 ZIP 档案发生的，其中包含多个 Python 文件，通过有针对性的网络钓鱼活动进行分发。

资料来源：https://mp.weixin.qq.com/s/VPU2goR2nFZXcAnwBYB4Gw

07、Microsoft 受信任签名服务被滥用于对恶意软件进行代码签名

网络犯罪分子正在滥用 Microsoft 的受信任签名平台，使用有效期为三天的短期证书对恶意软件可执行文件进行代码签名。长期以来，威胁行为者一直在寻找代码签名证书，因为它们可用于对恶意软件进行签名，使其看起来像是来自合法公司。签名恶意软件还有一个优势，即可能会绕过通常会阻止未签名的可执行文件的安全过滤器，或者至少对它们持较少的怀疑态度。

资料来源：https://mp.weixin.qq.com/s/vQI5oDh8YPyczDT59BEufQ

08、关于防范Auto-color恶意软件的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现Auto-color恶意软件持续活跃，其主要攻击目标为Linux系统，尤其是教育及政府相关用户，可能导致敏感信息泄露、业务中断等风险。该恶意软件一般通过网络钓鱼、漏洞利用等方式传播，并以常见词汇(如“door”或“egg”)伪装其初始可执行文件。一旦受到感染并运行后，攻击者便可进行系统信息收集、生成反向shell、创建或修改文件、运行程序等恶意行为。

资料来源：https://mp.weixin.qq.com/s/5AdPpk5ZpUe441-YoddU8Q

09、Sophos警示：远程勒索软件攻击数量急剧攀升

Sophos发布的一项研究强调，远程勒索软件攻击显著增加，这类攻击会从不受管理和未受保护的设备对网络中的数据进行加密。据 Sophos X-Ops 称，自 2022 年以来，远程勒索软件事件增加了141%，仅在 2024年就增加了50%。尽管这种类型的勒索软件攻击并非新出现的，但由于它能够绕过端点安全措施，在勒索软件组织中变得更加普遍。

资料来源：https://mp.weixin.qq.com/s/q7B6PvGEUZAnR-GNmIl0tA

10、BlackLock勒索软件日益成为各行各业严重威胁

来自国外DarkAtlas研究团队研究发现，BlackLock成为2025年最活跃的 RaaS集团的崛起。BlackLock可能成为最活跃的远程即服务2025 年的勒索软件威胁。最新威胁报告《揭秘全球增长最快的勒索软件运营商 BlackLock》强调了该组织在整个行业中的关键相关性，因为该组织的策略不可预测且缺乏运营模式。该报告详细分析了BlackLock(也称为El Dorado)在 2024 年的快速崛起，重点介绍了它如何迅速将自己定位为主要勒索软件威胁。它还包括战略性、可操作的建议，以帮助组织减轻与这一新兴威胁相关的风险。

资料来源：https://mp.weixin.qq.com/s/oh9QLXThgCZciLWrQFjGOw

11、新型威胁! Albabat勒索软件借GitHub向Windows、Linux和macOS“开刀”

趋势科技近期的研究发现，Albabat勒索软件出现了重大演变。如今，它不再仅仅针对Windows系统，还将目标对准了Linux和macOS系统。这次扩张凸显出勒索软件团伙在利用多种操作系统以最大化其影响力方面，正变得越来越复杂。Albabat组织一直在借助GitHub来简化其运营流程，并利用该平台管理配置文件以及勒索软件的基本组件。

资料来源：https://mp.weixin.qq.com/s/XoRRKO-n2SkIn2cpkDlvcQ

12、Claroty 2025报告警示医疗机构OT安全漏洞危及患者安全

2025年3月27日，网络安全公司Claroty发布研究指出，医疗机构的运营技术(OT)设备存在严重安全隐患。分析显示，65%的OT设备(如楼宇自动化系统、温度传感器、配电单元等)携带已知被利用漏洞(KEV)且直接暴露于互联网，攻击者可劫持温控系统导致药物失效，或瘫痪电梯影响患者转运。78%的医疗机构存在OT漏洞，其中楼宇管理系统(BMS)被入侵可能破坏药物储存及关键设施运行。Claroty建议优先隔离高风险OT设备、强化访问控制，并持续监控恶意活动，以应对勒索软件攻击激增及患者安全威胁。

资料来源： http://to1.9dw2.sbs/RDl7bHo

13、三大国际组织联合警示卫星导航频段受扰敦促加强保护

2025年3月18日，据industrialcyber报道，国际民航组织(ICAO)、国际电信联盟(ITU)及国际海事组织(IMO)联合声明，警示全球卫星导航服务(RNSS)频段干扰与欺骗事件激增，威胁航空、航海及通信安全。声明呼吁各国紧急采取五项行动：保护频段免受干扰、强化导航系统韧性、保留传统应急设施、研发抗干扰技术、加强跨部门协作与干扰事件上报。三机构强调军事行动需避免影响民用导航，并与空管部门协调，以应对潜在安全风险及人道救援受阻问题。

资料来源： http://yf1.9dw2.sbs/kypr1c6d1es