文章总结： 本周全球网络安全态势严峻，勒索软件持续横扫欧美亚关键部门，数据泄露事件频发。政策层面，全球数字立法呈现高压合规与精准打击双轨态势，美英澳制裁俄托管服务，英国拟立法禁止关键基础设施付赎金。漏洞方面，FortiWeb零日漏洞被广泛利用，多个关键基础设施组件曝出远程代码执行缺陷。APT组织活动活跃，伊朗和朝鲜黑客组织针对关键基础设施和供应链发动攻击。攻击者正利用碎片化勒索、云依赖与地缘掩护，将传统犯罪升级为系统性经济战。 综合评分： null 文章分类： 威胁情报,漏洞预警,安全大事件,数据安全,恶意软件

每周网安态势概览【20251123】045期

网空闲话

网空闲话plus

2025年11月23日 07:15 北京

编者按

2025年11月17日至11月23日，网空闲话关注并分享的国际网络安全领域的热点事件，以及每日国际网络安全态势一览。

每日热点追踪

黑鹰直升机的无人化飞行意味着什么？

2025-11-17

疑俄机密泄露：《图-160战略轰炸机：设计与历史》

2025-11-17

美国国税局（IRS）疑似遭遇大规模数据泄露，1800万公民个人信息被兜售

2025-11-18

FortiWeb的重大漏洞恐引发一轮攻击热潮

2025-11-18

印度北方邦电力公司UPPCL大规模用户数据泄露

2025-11-18

35亿WhatsApp用户电话号码被“扫”光：一个简单功能酿成史上最大号码泄露事件

2025-11-19

士兵被定位，只因为朋友圈妈妈的点赞

2025-11-19

雷神公司涉密文件疑似外泄：国防巨头敏感技术细节现身暗网

2025-11-19

美国国家网络战略成型：进入征求意见阶段，重点关注“塑造对手行为”

2025-11-19

开源情报研究：恐怖分子和暴力极端分子利用人工智能推进其议程

2025-11-19

俄罗斯保险巨头VSK深陷勒索软件风暴，系统已瘫痪七日

2025-11-20

英伟达数据泄露初步分析

2025-11-20

知名黑客“miyako”批量兜售全球十家机构防火墙访问权限：疑FortiWeb零日漏洞余波显现

2025-11-20

这是什么东东？懂行的看看！

2025-11-21

意大利国家铁路集团2.3TB数据泄露警示：你的供应商可能是你最大的安全漏洞！

2025-11-21

Sturnus木马如何窥视你的WhatsApp、Telegram和Signal等私密聊天与金融资产？

2025-11-21

VPN设备遭“地毯式”扫描，预计将有0day漏洞公布

2025-11-22

Scattered Lapsus$ Hunters出手：网安巨头CrowdStrike陷内鬼交易风波

2025-11-22

每周网安态势

政策法规方面，本周全球数字立法呈现“高压合规+精准打击”双轨态势。美英澳同步制裁俄“防弹托管”Media Land，切断勒索软件资金链；英国拟立法禁止关键基础设施付赎金，倒逼企业前置防护。美国更新国家网络战略，明确以规则塑造对手行为，同步撤销SolarWinds诉讼、强化CALEA通信监管，向市场释放“合规免责+监管趋严”信号。欧盟跨国冻结5500万美元盗版加密资产，显示跨境执法链已闭合。新加坡启用Cyber5G平台、美ICIT联合高校推进基础设施研究，将政策落地为可测试工程。印度把数据隐私转为“工程挑战”，谷歌强制实名上架，均预示合规正从“纸面”走向“代码”。俄罗斯将《潜行者》开发商列为“不受欢迎组织”，首次将游戏产业纳入地缘博弈。全球30余团体联署反加密后门，与美欧“合法访问”议程形成对峙，加密完整性成下一立法焦点。

安全事件方面，勒索软件继续主导威胁版面，Brotherhood、Nova、Akira、Safepay等家族48小时内横扫欧美亚，制造、医疗、教育、能源、物流全线失守，瑞典国家电网、宾州总检察长、肯尼亚内政部等关键部门均遭渗透，数据泄露总量逾TB级。朝鲜IT潜伏团队借JSON与WhatsApp Web渗透136家美企，显示APT手法向“求职—入职—潜伏”服务链延伸。云生态单点故障风险集中爆发：Cloudflare、Azure、X平台先后因配置错误、15 Tbps DDoS及CDN异常出现全球宕机，数千网站与支付通道瘫痪。第三方供应链成为最大敞口，Oracle EBS、Salesforce、Logitech、安联人寿均因零日或供应商泄漏被“连坐”，暴露客户数据超千万条。暗网凭证交易活跃，富时100近50万账户、三星Galaxy预装间谍软件、LG与SAS源代码被挂售，显示“硬件—软件—数据”全链条可被标价。总体看，攻击者正利用碎片化勒索、云依赖与地缘掩护，把传统犯罪升级为系统性经济战。

风险预警方面，IT/OT融合、AI武器化与云依赖被连续点名。北美NERC GridEx VIII与Industrial Cyber报告共同警示：工控可见性不足、物理隔离神话破灭，电网、制造、医疗面临“一键到设备”的远程毁伤风险。Anthropic、CISA、Palo Alto先后预警AI已全面加速钓鱼、社工与代码生成，低门槛工具让“一人 APT”成为现实。Akira、Brotherhood集中瞄准VPN与S3存储，佐证“边界消失、凭证即入口”趋势。加拿大、德国、美国零售商相继发布假日攻击红色警报，预计勒索+供应链组合将冲顶。LinkedIn钓鱼、BitB浏览器内钓鱼、星巴克“Bearista”病毒营销揭示社工进入“品牌寄生”阶段。首席信息安全官职业倦怠攀升至38%，叠加小型企业被集中火力，全球防御端出现“人力缺口”放大器。ShadowRay 2.0、W3 Total Cache、FortiWeb等高危漏洞PoC公开，留给防御者的窗口已缩短至小时级。

漏洞警报方面，本周在野零日密集爆发，Fortinet FortiWeb路径遍历漏洞CVE-2025-64446被多国确认已遭利用，全球政府与金融客户紧急下线检修；SolarWinds Serv-U、Cisco Catalyst Center、IBM AIX、ServiceNow AI助手、微软Office等关键基础设施组件同曝远程代码执行或提权缺陷，部分漏洞补丁尚未完全推送。开源生态风险上扬：pgAdmin4、Ollama模型平台、npm包IndonesianFoods、WordPress W3 Total Cache插件均被捕获RCE或供应链投毒，百万级网站与AI训练集群受威胁。边缘设备成为新入口：华硕DSL与Keenetic路由器、ASUSTOR NAS、SonicWall SSLVPN相继发布弱密码与堆溢出补丁，但全球仍有数十万台未修复。CISA连续发布Lynx+网关明文传输、7-Zip与Chrome V8在野利用警告，敦促联邦机构72小时内强制更新。整体来看，漏洞披露到武器化周期已缩至48小时，防御方需假设“未打补丁即已沦陷”。

恶意软件方面，勒索、窃密、木马三线并进，平台化趋势明显。Akira勒索软件年内累计勒索逾2.44亿美元，CISA罕见发布专门警报；Kraken、Sarcoma、ShinySp1d3r等新兴家族采用自适应加密与双重勒索，首批目标即锁定制造、科技与建筑龙头。信息窃取器Lumma、DigitStealer、Nova Stealer分别针对浏览器指纹、Apple Silicon芯片与macOS加密钱包，助记词与生物特征成新硬通货。Remcos、gh0st RAT借“合法远程工具”外壳继续潜伏，巴西银行遭Maverick WhatsApp木马突袭，显示金融欺诈移动化。900万安装的“免费VPN”扩展内置代理木马，揭示浏览器生态已成主流投递面。Tsundere僵尸网络跨Windows/Linux/macOS三平台挖矿，Sturnus安卓木马可绕过端到端加密全控设备，移动端“后门即服务”模型成形。趋势科技、卡巴斯基同步指出，恶意软件正通过签名驱动、流量伪装、AI生成C2等多层隐匿技术，把检测窗口压缩至分钟级。

TTPs动向方面，攻击者把“老旧协议+新社工”玩到极限：Windows finger.exe、TCP 79端口被重新启用下载远程脚本，SilentButDeadly工具借WFP驱动阻断EDR云通信，实现“协议级隐身”。BitB与Sneaky2FA套件通过浏览器内嵌窗口劫持微软与MFA令牌，钓鱼进入“像素级克隆”阶段；ClickFix、TOAD电话钓鱼滥用Entra访客邀请，把企业信任链变成入口。朝鲜Lazarus、APT28持续更新DLL侧加载与宏后门NotDoor，借婚礼照片、无人机招聘广告完成初始投递。防御端，TaskHound、Ringfencing等开源与零信任工具开始反向利用攻击者技巧，强化白名单与微分段。AISURU僵尸网络15.72 Tbps DDoS证明IoT爆破+流量反射可在数小时内制造“海啸级”清洗需求；ShadowRay 2.0利用AI集群漏洞自传播挖矿，首次展示“AI攻击AI”的模板。整体来看，攻击链正从“单点突破”转向“信任链污染”，防守方需把检测重心前移到“凭证首次异常”与“协议异常最小化”。

组织跟踪方面，伊朗系APT成为本周主角：APT35（Charming Kitten）同步升级恶意软件库并拓展关键基础设施攻击面；APT42（Mint Sandstorm）被以色列曝光以伪装社交聊天应用实施SpearSpecter监视行动，目标涵盖国防与学术。伊朗UNC1549持续深耕航空航天供应链，美以两国同步发出行业警报。朝鲜Lazarus子组UNC2970针对乌克兰无人机公司发动“梦想工作行动”，显示其任务包已覆盖东欧军备生产链。乌克兰黑客“Tank”狱中供述Jabber Zeus与IcedID银行木马洗钱5400万美元细节，首次证实东欧犯罪团伙与俄情报资金通道。以色列NSO集团就WhatsApp案提出上诉，称禁令或致公司破产，折射商业间谍软件在地缘诉讼夹缝中求生。整体来看，国家级行为者正将恶意软件、社交工程、供应链与金融洗钱整合为“网络—实体—经济”复合战，私营威胁情报公司与政府共享罕见同步，预示后续可能展开集中清剿。