2025-12-22 03:49:20 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这份工业网络安全周报报告了多项关键漏洞预警，包括西门子、施耐德等ICS产品漏洞和Fortinet、Cisco等厂商被实际利用的高危漏洞，以及React2Shell漏洞被用于部署Linux后门的情况。安全事件方面，LKQ公司OracleEBS系统遭入侵、GNV客轮疑似遭网络攻击、委内瑞拉石油公司运营受干扰。风险预警显示CloudAtlas、俄罗斯GRU、伊朗APT等组织持续活跃，Gentlemen勒索软件肆虐制造业与医疗行业，互联网连接太阳能系统存在严重安全隐患。建议相关组织及时修补漏洞，加强网络设备配置管理，实施网络分段和访问控制，并提升对APT组织和勒索软件的防御能力。 综合评分： 81 文章分类： 漏洞预警,威胁情报,工业安全,安全事件,网络安全

cover_image

工业网络安全周报-2025年第48期

OT网络安全领军者

安帝Andisec

2025年12月20日 12:00 北京

本文预计阅读时间27分钟

2025-48

本期摘要

BREAKING NEWS

漏洞预警方面，工业控制系统领域方面，西门子、施耐德电气、罗克韦尔自动化等厂商的ICS产品被发现存在多项漏洞，可能影响关键基础设施安全。在网络与终端设备领域，Fortinet新漏洞、ASUS Live Update严重漏洞以及Sierra Wireless路由器高危漏洞已被CISA纳入“已知被利用漏洞目录（KEV）”，表明相关缺陷已被攻击者用于实际攻击。与此同时，CISA还将Cisco、SonicWall和ASUS等多家厂商的漏洞列入KEV清单，凸显其被广泛利用的现实威胁。Cisco进一步警告，其AsyncOS零日漏洞正遭到活跃攻击。开源与应用层面，React2Shell漏洞已被积极利用部署Linux后门，而Gladinet Triofox 0-Day远程代码执行漏洞的利用风险也持续升级。

安全事件方面，汽车零部件巨头LKQ确认其Oracle EBS系统遭入侵，可能导致敏感数据泄露；GNV客轮“Fantastic”疑似遭网络攻击，引发远程劫持风险；委内瑞拉石油公司运营因网络攻击受到干扰。

风险预警方面，Cloud Atlas利用微软Office漏洞开展复杂攻击，俄罗斯GRU针对能源及关键网络边缘设备持续施压，伊朗APT组织“波斯王子”重新活跃，攻击范围扩展至全球关键基础设施。同时，Gentlemen勒索软件在制造业与医疗行业肆虐，互联网连接太阳能系统存在严重安全隐患，Kimwolf Android僵尸网络感染逾180万设备并发动大规模攻击，BI.ZONE监测到“Arcane Werewolf”针对俄罗斯制造业企业的网络钓鱼行动。

漏洞预警

西门子、施耐德电气、罗克韦尔自动化等公司的产品中存在 ICS 漏洞

2025年12月19日，美国网络安全和基础设施安全局 (CISA) 周四发布了九份工业控制系统 (ICS) 安全公告，警告关键基础设施行业注意影响Inductive Automation、施耐德电气、美国国家仪器公司、三菱电机、西门子、研华科技、罗克韦尔自动化和安讯士通信等公司产品的硬件漏洞。这些公告概述了当前存在的安全问题和已知漏洞，为运营商提供有关ICS环境中风险和潜在利用的及时指导Inductive Automation的Ignition平台存在一个 CVSS v3 评分为6.4的漏洞。施耐德电气已获悉微软在Windows Server Update Services (WSUS) 中发现的一个漏洞，该漏洞被EcoStruxure Foxboro DCS Advisor 服务所使用。CISA披露了影响美国国家仪器公司的约9个漏洞，例如越界写入和读取漏洞、释放后使用漏洞以及基于堆栈的缓冲区溢出漏洞。CISA发现三菱电机Iconics Digital Solutions和三菱电机旗下产品存在一个编号为CVE-2025-11774的漏洞。CISA建议组织限制设备网络暴露、隔离关键系统、更新补丁并实施防火墙与VPN等措施以降低漏洞利用风险，目前尚无已知大规模利用事件。

资料来源：

http://yf3.d1k.top/w/2QHEP9

Fortinet新漏洞在实际环境中遭到利用

2025年12月18日，Fortinet漏洞被利用Arctic Wolf警告称，威胁行为者在Fortinet发布补丁后仅几天就开始利用这两个最新的漏洞。这两个缺陷分别被追踪为CVE-2025-59718和CVE-2025-59719（CVSS评分为9.8），被描述为对加密签名验证不当的问题，影响FortiOS、FortiWeb、FortiProxy和FortiSwitchManager。Fortinet于12月9日推出了针对这两个漏洞的修复程序，并警告称，攻击者可以通过精心构造的SAML响应消息来利用这些漏洞绕过FortiCloud SSO登录身份验证。建议管理员排查潜在的恶意活动，如发现任何恶意活动，应重置凭据。防火墙管理界面的访问权限应仅限于受信任的内部网络。针对被利用的Fortinet漏洞的补丁已包含在FortiOS版本7.6.4、7.4.9、7.2.12和7.0.18、FortiProxy版本7.6.4、7.4.11、7.2.15和7.0.22、FortiSwitchManager版本7.2.7和7.0.6 以及FortiWeb版本8.0.1、7.6.5和7.4.10中。

资料来源：

https://www.securityweek.com/in-the-wild-exploitation-of-fresh-fortinet-flaws-begins/

ASUS Live Update严重漏洞入CISA已知利用漏洞目录

2025年12月18日，美国网络安全和基础设施安全局（CISA）于2025年12月18日将影响华硕（ASUS）Live Update工具的严重安全漏洞（CVE-2025-59374）列入其已知被攻击者利用的漏洞目录（KEV），原因是有证据显示该漏洞已在野外被实际利用。该漏洞的CVSS评分为9.3，属于嵌入恶意代码漏洞，源自软件供应链被攻破后生成的带有未授权修改的Live Update客户端版本，这些被篡改的软件若安装在符合特定条件的设备上，会导致设备执行攻击者意图之外的动作。该事件与2018年6月至11月的“ShadowHammer”供应链攻击有关，当时攻击者入侵华硕服务器，将含有后门的Live Update安装程序分发，内嵌了超过600个目标MAC地址的列表，用以精确锁定特定用户设备，实现选择性攻击。该安全问题最初于2019年被披露，华硕随后在3.6.8版本中修复了此问题。

资料来源：

https://thehackernews.com/2025/12/cisa-flags-critical-asus-live-update.html

CISA将Cisco、SonicWall和ASUS等漏洞列入已知被利用漏洞目录E攻击风险

2025年12月18日，美国网络安全与基础设施安全局（CISA）近日更新了其已知被利用漏洞目录（KEV），将三项在“野外”被证实已被利用的高风险漏洞纳入名单，提醒各类组织尽快修补以降低网络风险。CVE-2025-20393-Cisco-多款产品存在输入验证不当漏洞，CVSS评分10.0（最高级别），攻击者可在受影响设备上执行任意命令。CVE-2025-40602-SonicWall SMA1000-管理控制台存在缺失授权漏洞（CVSS 6.6），已在真实攻击中被利用，并可能与其他漏洞链式利用。CVE-2025-59374 -ASUS Live Update-软件存在嵌入恶意代码漏洞（CVSS 9.3），源于供应链攻击，曾在ShadowHammer活动中被攻击者利用对特定设备发起恶意操作。其中Cisco漏洞与远程命令执行攻击活动相关，SonicWall漏洞已被作为零日漏洞利用，而ASUS漏洞则关联2018年被曝光的ShadowHammer供应链攻击事件，虽当时已修补，但该漏洞经确认仍存在风险。

资料来源：

http://9i3.d1k.top/w/vzOVNN

Cisco警告：AsyncOS零日漏洞遭活跃攻击利用

2025年12月18日，据Cisco于2025年12月10日发布的安全通告称，其AsyncOS软件中存在一项未修补的严重零日漏洞（CVE-2025-20393，CVSS评分10.0）正在被“UAT-9686”高级持续性威胁（APT）组织积极利用，针对启用了“Spam Quarantine”且可从互联网访问的Cisco Secure Email Gateway及Cisco Secure Email and Web Manager设备发起攻击，攻击者可借此执行任意代码并获取系统root权限，植入后门并保持长期控制。该漏洞影响所有AsyncOS版本，但需满足特定配置条件才可被成功利用。Cisco指出，这一攻击活动至少自2025年11月下旬开始，攻击者使用了如AquaTunnel、Chisel等工具和“AquaShell”轻量级Python后门实现持续访问，并在受感染设备上执行未经授权的命令。由于当前尚无补丁可用，Cisco建议用户采取恢复设备到安全配置、限制互联网访问、隔离邮件与管理功能、监控日志等缓解措施，如果确认设备已被攻陷，唯一有效的清除办法是重建设备软件。此外，美国网络安全和基础设施安全局（CISA）已将该漏洞加入其已知被利用漏洞目录（KEV），并要求联邦机构在2025年12月24日前实施必要的缓解措施以保障网络安全。

资料来源：

https://thehackernews.com/2025/12/cisco-warns-of-active-attacks.html

React2Shell漏洞已被积极利用，用于部署Linux后门

2025年12月16日，编号为CVE-2025-55182的React2Shell远程代码执行漏洞（CVSS评分10.0）正被多个威胁组织积极利用，部署包括KSwapDoor、ZnDoor在内的Linux后门。据Palo Alto Networks Unit 42和NTT Security披露，KSwapDoor具备军事级加密、内部Mesh网络通信及“休眠唤醒”机制，疑似中国背景高级持续性威胁（APT）组织所为；而ZnDoor自2023年12月起已在日本活跃，支持交互式Shell、文件操作、SOCKS5代理及端口转发等功能。微软指出，攻击者还利用该漏洞部署Cobalt Strike、MeshAgent等工具，并通过Cloudflare Tunnel绕过防御，针对Azure、AWS、GCP等云平台的元数据服务窃取身份令牌，甚至搜刮OpenAI API密钥、Kubernetes凭证等敏感信息。意大利Beelzebub公司追踪的“Operation PCPcat”行动已入侵59,128台服务器。Shadowserver数据显示，全球超111,000个IP暴露于该漏洞，其中美国占77,800个。

资料来源：

http://fy3.d1k.top/w/zKKcrU

CISA将Sierra Wireless路由器高危漏洞纳入已知被利用漏洞目录

2025年12月13日，美国网络安全与基础设施安全局（CISA）于2025年12月12日将影响Sierra Wireless AirLink ALEOS路由器的一项高危漏洞（CVE-2018-4063）加入其已知被利用漏洞目录（Known Exploited Vulnerabilities Catalog，KEV），原因是有证据显示该漏洞在野外被真实利用。该漏洞为不受限制的文件上传漏洞，攻击者可通过特制的HTTP请求上传恶意文件至设备并在Web服务器上执行，从而实现远程代码执行（RCE）。该问题最早由Cisco Talos于2019年4月公开披露，影响Sierra Wireless AirLink ES450 固件4.9.3版本的ACEManager组件upload.cgi功能，该组件运行在root权限下，进一步加剧了风险。由于该产品已停止支持（EOL），CISA建议相关机构升级至受支持的版本或停止使用受影响设备以防止潜在攻击风险。CISA此举是基于活跃利用报告，将此漏洞纳入KEV目录以敦促联邦及其他组织尽快采取修补或缓解措施，降低网络安全威胁。

资料来源：

http://mf2.d8k.top/w/UetRND

Gladinet Triofox 0-Day远程代码执行漏洞被攻击者利用风险升级

2025年12月19日，报道指出，Gladinet Triofox企业级文件共享与远程访问平台存在严重的零日漏洞（CVE-2025-12480），目前已被威胁行为者在野外主动利用，可能导致未经授权的远程代码执行。该漏洞源于Triofox管理界面在验证Host头时的缺陷，使攻击者可通过伪造Host值绕过认证访问本地系统配置页面，进而创建管理员账户并借助平台内置防病毒功能上传并执行恶意载荷，实现系统级权限执行恶意代码。安全研究显示，整个利用链较为复杂，需要发起大量HTTP请求才能完成攻击流程，且攻击者需应对多个基础设施及技术难点。鉴于该漏洞已被实际利用，研究人员建议运行受影响版本的组织立即应用厂商发布的补丁，以免企业文件共享与远程访问基础设施遭受侵害。

资料来源：

Hackers Leverage Gladinet Triofox 0-Day Vulnerability to Run Malicious Code

安全事件

汽车零部件巨头LKQ确认Oracle EBS系统遭入侵

2025年12月17日，汽车零部件巨头LKQ公司正式确认其成为近期针对Oracle E-Business Suite（EBS）客户的大规模网络攻击受害者。该公司于10月3日启动调查，12月1日完成分析，并向缅因州总检察长办公室通报：超过9000名个体经营供应商的个人信息遭泄露，包括雇主识别号码和社会保障号等敏感数据。据称，攻击者已将从LKQ 的EBS实例窃取的数TB文件在Cl0p勒索软件团伙泄露网站上提供下载。LKQ是Cl0p最早点名的EBS攻击目标之一。此次并非其首次遇袭——一年前其加拿大业务曾因网络攻击中断。目前Cl0p网站列出了逾100家Oracle EBS攻击受害者，包括罗技、佳能、马自达及几所重要的美国大学，但多数尚未公开回应。专家指出，尽管Cl0p通常有据点名，但此次影响范围或被网络犯罪分子部分夸大。

资料来源：

http://fn3.d1k.top/w/DO1MOz

GNV客轮“Fantastic”疑遭网络攻击引发远程劫持担忧

2025年12月17日，法国检方正在调查一起疑似针对GNV航运公司运营的豪华客轮“Fantastic”的网络攻击事件，安全当局担忧攻击者可能试图通过恶意软件实现对船舶系统的远程控制和劫持。据报道，该渡轮在地中海法国塞特港口停靠时，其IT系统被怀疑遭到破坏，意大利情报机构向法国方面通报称存在远程访问木马（RAT）等恶意软件迹象，引发安全警戒。法国巴黎检察官网络犯罪部门称此次事件涉及“为外国势力服务的组织性攻击”，两名船员——一名拉脱维亚人和一名保加利亚人因涉嫌间谍和试图侵入计算机系统被拘捕；保加利亚人随后获释，而拉脱维亚籍船员在巴黎面临多项指控。GNV公司表示已识别并中和了入侵企图，未对关键系统造成实际影响，并正与有关当局合作调查。因媒体关注事件可能与外国势力干预或国家背景的混合战争行动有关，法国国内安全总局（DGSI）主导调查，并对渡轮系统进行了安全检查，确保其恢复正常运营。该事件凸显海上交通基础设施面临的网络安全风险和国家级安全威胁的交叉挑战。

资料来源：

http://d52.d8k.top/w/DhOhd3

网络攻击扰乱委内瑞拉石油公司运营

2025年12月17日，据CyberMaterial报道，委内瑞拉国有石油公司Petróleos de Venezuela（PDVSA）在12月中旬遭遇一起网络攻击事件，事件发生在一个周六清晨，导致PDVSA用于管理出口运营的部分网络系统出现中断和停机情况。PDVSA于周一发布声明称，该攻击仅影响其部分行政管理系统，并强调借助内部人员的专业措施及时将攻击遏制住，运营核心设施未被破坏，且供应国内市场与履行出口承诺的正常活动被安全协议保障得以持续。然而，来自内部的其他消息显示，多数系统当时仍处于脱机状态，并且原油装运业务曾一度完全停止。为应对这一局面，PDVSA还曾指示员工断开网络连接并关闭电脑等以遏制入侵扩散。该公司在声明中将此次网络攻击归咎于“外国势力及国内合谋者”，称这是一种试图破坏国家稳定并劫取能源资源的行动”，并特别提到了美国政府的可能参与。该攻击发生在美国当局扣押一艘载有委内瑞拉原油的受制裁油轮之后的紧张局势中，凸显出能源基础设施在国际政治对抗背景下面临的复杂网络安全和地缘政治风险。

资料来源：

http://tw3.d1k.top/w/QGyyvl

风险预警

Cloud Atlas高级持续性威胁组织利用微软Office漏洞实施复杂攻击行动

2025年12月19日，高级持续性威胁（APT）组织Cloud Atlas在2025年上半年持续开展针对东欧与中亚游客户的网络间谍活动，主要通过鱼叉式钓鱼邮件传播恶意文档，利用微软Office中公式编辑器漏洞CVE-2018-0802发动多阶段恶意载荷下载与执行攻击链。安全分析显示，攻击从恶意RTF文档开始，当用户打开文档时，漏洞触发并从攻击者控制的服务器下载HTML应用程序，该初始载荷随后提取多个VBS脚本，为部署包括VBShower、PowerShower、VBCloud及CloudAtlas等后门组件铺平道路。每种组件承担不同任务，如VBShower作为主启动器加载其他脚本，VBCloud维持与控制服务器的加密通信并执行载荷，而CloudAtlas后门通过WebDAV协议与云服务通信、检索插件模块以实现文件抓取、密码窃取及系统信息收集，其中文件抓取插件主要针对常见文档格式进行筛选和外泄。该组织采用Windows计划任务等持久性机制确保攻击在系统重启后仍然有效，并通过伪装任务名隐藏恶意活动。Cloud Atlas的目标包括俄罗斯及白俄罗斯的电信、建筑、政府机构和工业设施，显示其具备高度隐蔽性、复杂的多阶段感染流程及强大的后渗透能力，给相关组织带来显著数据泄露和安全风险。

资料来源：

Cloud Atlas Hacker Group Exploiting Office Vulnerabilities to Execute Malicious Code

俄罗斯GRU黑客组织持续攻击能源与关键基础设施网络边缘设备

2025年12月18日，Amazon Threat Intelligence披露，俄罗斯军事情报总局（GRU）下属的Sandworm（又称APT44或Seashell Blizzard）自2021年起持续针对西方国家能源行业及关键基础设施发动网络攻击。该组织近期战术转向利用客户配置错误的网络边缘设备（如企业路由器、VPN集中器、远程访问网关等）作为初始入口，通过设备内置的数据包捕获功能窃取凭证，并实施凭证重放攻击以实现横向移动和持久化访问。数据显示，2021–2022年主要利用WatchGuard设备漏洞（CVE-2022-26318），2022–2023年扩展至Confluence漏洞（CVE-2021-26084、CVE-2023-22518），2024年又利用Veeam漏洞（CVE-2023-27532），而到2025年则显著减少漏洞利用，转而专注攻击配置不当的边缘设备。Amazon强调，相关攻击并非源于AWS平台缺陷，而是客户设备配置疏漏所致。专家建议立即审计边缘设备配置、隔离管理接口、启用多因素认证，并加强凭证重放行为监测。

资料来源：

http://2q4.d8k.top/w/2fzij7

Gentlemen勒索软件肆虐全球制造业与医疗行业

2025年12月16日，韩国安博士安全情报中心（ASEC）警告称，名为“Gentlemen”的新型勒索软件自2025年8月首次出现以来迅速扩张，已对至少17个国家的制造业、医疗、建筑和保险等行业发动攻击，活动范围覆盖亚太、北美、南美及中东地区。该组织采用双重勒索模式，在加密受害者数据前会窃取敏感信息，并通过操控组策略对象（GPO）和利用自带易受攻击驱动（BYOVD）等高级战术实现内网横向传播。Gentlemen使用Go语言编写，执行时需输入正确密码参数以防在分析环境中运行；其加密机制结合X25519密钥交换与XChaCha20流加密算法，为每个文件生成独立密钥和随机数，确保无私钥则无法解密。此外，攻击者在勒索信中声称掌控整个网络，并威胁若不联系将泄露数据，同时提供免费解密两个样本文件以获取信任。Dragos公司Q3报告显示，Gentlemen与Devman并列当季工业领域最活跃勒索团伙，分别关联16起事件。

资料来源：

http://qs2.d8k.top/w/qdPeO5

互联网连接太阳能系统存在严重网络安全风险

2025年12月16日，随着全球太阳能发电基础设施迅速扩张，安全研究人员警告称大量基于互联网的太阳能系统存在显著网络漏洞，这使攻击者能够在几分钟内远程干扰或关闭电力输出，构成对可再生能源基础设施的严峻威胁。专家发现，许多太阳能农场的光伏组件并联到“串监控盒”（string monitoring boxes）上，这些设备使用已有50年历史的Modbus协议，该协议缺乏身份验证与加密机制，黑客只需访问开放的502端口即可发送控制命令关闭发电串，实现对电能产生的直接干扰。这类监控盒与SCADA控制系统紧密联动，本应读取电压、电流等运行数据，但攻击者利用现成开源工具（如Nmap、mbpoll）及自动化扫描脚本，很快就能识别连接的设备、枚举寄存器并写入控制值，使受影响系统在晴天也无法正常产电。研究还指出，当今攻击工具与AI自动化框架结合时，这些攻击从数日工作量缩短到数分钟，远远超出现有防御体系的监控与响应速度。专家建议运营商避免将工业设备直接暴露在公网、实施网络分段、持续监控Modbus事件并借助安全平台实时告警，以减轻潜在损害及对电网稳定性的威胁。

资料来源：

http://az3.d1k.top/w/i3P5lo

伊朗APT组织“波斯王子”重新活跃攻击全球关键基础设施

2025年12月19日，报道指出，自称“波斯王子”（Prince of Persia，又名Infy）的伊朗国家支持高级持续性威胁（APT）组织在沉寂多年后重出江湖，针对全球网络与关键基础设施展开一系列复杂持续的恶意活动，该组织活跃时间可追溯至2000年代初，但于2022年因暴露而几乎消失；最新安全研究显示其于2025年9月开始部署新的恶意软件变种“Tonnerre v50”和“Foudre v34”，并显著升级其技术手法和通信策略。与传统使用FTP协议不同，该APT组织改用加密通讯平台Telegram作为命令与控制（C2）通道，通过Telegram机器人与特定用户账号下发指令和提取受感染主机数据，同时采用复杂的域名生成算法（DGA）维护其攻击基础设施的弹性。研究还发现，该组织将感染载荷嵌入至具有规避检测能力的Excel文件，并区分“测试”与“生产”服务器以提升作战效率。目前识别的主要受害者仍以伊朗异见人士为主，但其针对全球网络和关键基础设施的扩展趋势令安全防御者紧密关注，建议监测DGA行为异常及Telegram API流量以防御可能的入侵。

资料来源：

http://dc3.d1k.top/w/s177ln

Kimwolf Android僵尸网络感染180万设备并发动大规模网络攻击

2025年12月18日，报道指出，一种名为Kimwolf的新型Android僵尸网络已在全球范围内感染约180万台Android设备，包括智能电视、机顶盒和平板等设备，成为当前网络安全领域重大威胁。该僵尸网络于2025年10月首次被安全研究人员发现，其控制域名曾一度在Cloudflare全球域名访问量排行榜中名列前茅，显示其庞大的感染规模和活跃度。感染分布跨越 222个国家和地区，在巴西（约14.63%）、印度（12.71%）和美国（9.58%）等地设备数量最多。Kimwolf由 Android NDK 编译而成，具备 DDoS（分布式拒绝服务）攻击能力，同时整合了代理转发、反向 shell 和文件管理等功能，并通过 DNS over TLS 和椭圆曲线数字签名等技术隐藏通信和提升抗检测能力。研究还发现，该僵尸网络在2025年11月19日至22日间向全球目标发出了约17亿条DDoS攻击指令，支持包括UDP洪泛、TCP SYN 洪泛和 SSL 套接字等 13种不同攻击方式。由于其复杂的感染机制和强大的攻击能力，安全专家警告网络管理员和用户加强对Android设备的安全防护，以避免被利用于大规模恶意活动。

资料来源：

http://ut2.d8k.top/w/UdRp4t

BI.ZONE跟踪“Arcane Werewolf”网络钓鱼攻击俄罗斯制造业企业行动

2025年12月19日，网络安全机构BI.ZONE威胁情报近期监测到一个名为“Arcane Werewolf”（又称Mythic Likho）的威胁行为体针对俄罗斯制造业企业发起持续的钓鱼引导恶意活动，该行动在过去两个月内重现活跃态势。研究表明，此次攻击可能始于带有恶意链接的钓鱼邮件，尽管具体邮件内容未能被捕获，但受害人很可能被重定向至伪装成真实制造企业的网站，从而下载捆绑恶意代码的归档文件。分析人员发现，攻击者使用了Loki系列恶意载荷，包括最初的Loki 2.0加载器和更新的Loki 2.1植入体，其兼容Mythic和Havoc后渗透框架。加载器具备收集主机基本信息、AES加密并通过GET请求将数据外泄至控制服务器的能力，并可以从服务器获取更多恶意负载执行。此外，Loki 2.1版本在自身配置中包含并解密嵌入的升级植入体，执行更复杂的后期操作。为提升成功率，攻击者还注册了与目标企业域名极其相似的域名以伪造信誉。BI.ZONE强调，这类高级威胁不仅要及时检测，还必须在影响关键业务基础设施之前阻断，并建议企业采用端点检测响应（EDR）等防御措施强化防护策略，以应对现阶段不断演进的针对制造业的网络钓鱼和恶意载荷攻击。

资料来源：

http://0c2.d8k.top/w/Ess28u

往期内容回顾

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec OT网络安全领军者《工业网络安全周报-2025年第48期》