2025-12-22 03:55:10 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档报道了中国牵头制定全球首个工业5G国际标准，以及OpenAI推出基于GPT-5的AI安全工具Aardvark，能检测92%的漏洞。同时记录了多起网络安全事件，包括虚拟劫车、Qilin勒索软件攻击银行、美国国会预算办公室遭攻击等。文章还介绍了Gootloader恶意软件新战术、Cisco防火墙严重漏洞CVE-2025-20333，以及Google收购云安全公司Wiz的交易进展。这些内容展示了当前网络安全领域的威胁态势和技术发展。 综合评分： 86 文章分类： AI安全,漏洞分析,安全大事件,网络安全,威胁情报

cover_image

中国牵头制定的工业5G国际标准发布；92%漏洞检测率!OpenAI推出AI安全研究员颠覆传统防御模式 | 牛览

安全牛

2025年11月7日 14:24 北京

新闻速览

中国牵头制定的工业5G国际标准发布
92%漏洞检测率!OpenAI推出AI安全研究员颠覆传统防御模式
虚拟劫车：黑客冒充承运商窃取真实货物
Qilin勒索软件组织窃取瑞士Habib Bank 2.5TB敏感数据
网络犯罪团伙利用ClickFix策略攻击酒店系统,非法获利超2000万美元
搜索引擎毒化新战术：Gootloader借“合法文件”诱导用户触发Windows专属恶意载荷
ENISA报告:欧盟公共管理部门成头号攻击目标,DDoS占比达60%
美国国会预算办公室确认遭网络攻击:立法机构敏感通信面临泄露风险
AI生成勒索软件扩展潜入VS Code市场,微软审核机制遭质疑
Cisco防火墙曝严重漏洞CVE-2025-20333,CVSS 变种
Google 320亿美元收购Wiz获反垄断审查通过,2026年初完成交割

特别关注

中国牵头制定的工业5G国际标准发布

中新社北京11月6日电 (记者刘亮)中国国家市场监管总局6日披露，国际电工委员会近日正式发布全球首个工业5G国际标准《工业网络5G通信技术通用要求》。该标准的发布，标志着中国在“5G+工业”融合应用领域取得具有里程碑意义的国际成果。

当前，5G与工业的深度融合已成为推动全球工业数字化、网络化、智能化转型的核心引擎。该标准由中国与德国联合提出，由美国、法国、日本等多国专家协同攻关、共同研制完成，填补了工业5G领域国际标准的空白。

该标准聚焦5G网络在工业现场应用的基本架构、工作机制与维护管理，提供多种5G与工业现场融合的应用场景用例，适用于5G工业无线通信系统从规划、设计、建设到优化的全生命周期，为国内外用户、设计单位及设备制造商在工业环境中部署和应用5G技术提供统一的技术规范。

原文链接：

https://mp.weixin.qq.com/s/MZTxrM8D0zkGtMw-0B0hMA?scene=1

热点观察

ENISA报告:欧盟公共管理部门成头号攻击目标,DDoS占比达60%

欧盟网络安全局(ENISA)最新报告显示,欧盟公共管理部门已成为网络攻击的首要目标,在其网络威胁态势报告中占所有事件的38%。该部门因管理大量敏感数据并提供教育、医疗等关键服务,被NIS2指令列为高度关键领域,但目前仍处于合规初期,网络安全韧性不足。

报告分析了2024年公开披露的586起网络事件,其中中央政府机构占69%,主要针对议会、部委和国家机关网站。DDoS攻击占所有事件的60%,虽持续时间短且影响有限,但数据泄露(17.4%)和勒索软件造成的破坏更为严重,目标包括就业服务、地方政府平台和执法门户。

黑客主义者活动占比高达63%,主要出于意识形态动机制造混乱;网络犯罪团伙和国家支持的入侵组织分别占16%和2.5%。尽管网络间谍活动仅占2.5%,但对成员国国家安全影响重大。钓鱼攻击虽事件数量较少,但仍是常见的初始访问途径。

ENISA执行董事Juhan Lepassaar强调,保障公共管理部门网络安全对公民福祉和单一市场运作至关重要。报告建议采取分层防护措施,包括部署CDN/WAF防御DDoS、全面实施多因素认证(MFA)和特权访问管理(PAM)防范数据泄露、部署端点检测响应(EDR)应对勒索软件等,并呼吁成员国加强协作以应对日益严峻的威胁态势。

原文链接：

https://www.enisa.europa.eu/news/public-administration-increasingly-targeted-by-ddos-attacks

安全事件

虚拟劫车：黑客冒充承运商窃取真实货物

近期,一个网络犯罪团伙对北美地区的卡车运输、货运及物流企业展开了系统性攻击活动。攻击者通过精心伪装成合法承运商身份,成功劫持真实货物并将其转运至未经授权的目的地实施盗窃行为。被窃取的商品种类繁多,涵盖能量饮料、电子产品等多个品类,其中食品与饮料制品尤为受到攻击者青睐。此类网络犯罪行为不仅给企业造成高达数百万美元的直接经济损失,更对全球供应链体系的稳定运行构成严重威胁。

攻击者采用三种主要技术路径实施入侵活动:其一,通过伪造”货运配载信息板”(load board)虚假订单,诱导承运商点击内嵌恶意链接的邮件,从而在目标系统中植入远程监控与管理(Remote Monitoring and Management, RMM)软件;其二,劫持现有活跃邮箱账户,冒充货主身份向承运商发送携带恶意载荷的通信;其三,直接实施钓鱼邮件攻击,利用伪造的账单文件诱使受害者触发恶意链接。值得注意的是,RMM工具本质上属于IT运维团队进行远程维护的合法软件,然而其固有的合法性特征使其更易规避传统杀毒软件的检测机制,因而被攻击者恶意利用以窃取账户凭证并进一步渗透企业内部网络。

原文链接：

Hackers commit highway robbery, stealing cargo and goods

Qilin勒索软件组织窃取瑞士Habib Bank 2.5TB敏感数据

Qilin勒索软件组织近日成功入侵瑞士金融机构Habib Bank AG Zurich的服务器,窃取了高达2.5TB的数据,涉及超过200万份文件。被盗数据包含账户余额、护照号码、交易记录以及内部源代码等高度敏感信息。

该黑客组织威胁将窃取的数据发布到暗网,以此施压银行支付赎金。这种”数据泄露”策略是勒索软件团伙常用的升级手段,旨在制造紧迫感迫使受害者就范。

Habib Bank AG Zurich服务于瑞士、南非、加拿大、阿联酋、英国和美国等地的国际客户。目前该银行已启动危机管理程序,采取安全预防措施防止进一步的未授权访问,并与网络安全专家合作加强防御。银行计划通过数字通信方式通知受影响客户,说明数据泄露情况及应对措施。

原文链接：

Qilin Ransomware gang steals 2.5TB data from Swiss Bank

美国国会预算办公室确认遭网络攻击:立法机构敏感通信面临泄露风险

美国国会预算办公室(CBO)周四证实遭遇网络安全事件,已采取紧急措施遏制影响并部署新的安全控制措施。CBO发言人Caitlin Emma表示,该机构已识别安全事件并立即采取行动,事件正在调查中,国会工作正常进行。

据《华盛顿邮报》报道,官员怀疑此次攻击由外国行为体发起,黑客可能已获取CBO的电子邮件和聊天记录,这威胁到立法者与无党派工作人员之间的敏感通信。CBO负责评估立法的财务影响,包括对法案如何影响国家债务进行”评分”,其数据对两党立法工作至关重要。

此次事件发生在网络安全与基础设施安全局(CISA)今年9月发布紧急指令之后。当时CISA警告称至少一家政府机构遭黑客入侵,威胁行为体可以”惊人轻松”地利用Cisco软件漏洞。上个月,CISA再次发布紧急指令,警告”与民族国家有关的网络威胁行为体”通过F5设备和软件访问联邦网络。

值得关注的是,CBO此前因评估特朗普总统的”重大法案”将在十年内增加2.4万亿美元赤字而遭共和党批评,众议院议长Mike Johnson和参议员Rand Paul均对其评估结果表示质疑。目前CBO表示将继续监控威胁并加强系统防护。

原文链接：

https://thehill.com/policy/national-security/5594139-cbo-hacking-incident-investigation/

网络犯罪团伙利用ClickFix策略攻击酒店系统,非法获利超2000万美元

网络安全专家发现了一起针对Booking.com合作伙伴账户的大规模钓鱼活动。根据Sekoia.io今日发布的报告,自2025年4月以来,网络犯罪分子通过复杂的恶意软件攻击入侵酒店系统并窃取客户数据。

攻击者从合法酒店账户发送钓鱼邮件或冒充Booking.com,通过重定向链引导受害者执行ClickFix社会工程学策略。受害者被诱导执行PowerShell命令下载恶意软件,最终感染PureRAT远程访问木马。PureRAT具有模块化设计,可远程控制受感染设备、窃取凭证、截屏并外泄敏感数据。

攻击者首先窃取酒店员工的Booking.com、Airbnb和Expedia等平台登录凭证,然后在网络犯罪论坛出售或直接用于诈骗。获取合作伙伴凭证后,攻击者通过电邮或WhatsApp联系酒店客人,声称存在银行验证问题,并利用真实预订详情增加可信度,将受害者引导至托管在Cloudflare后的虚假Booking.com页面窃取支付信息。

Sekoia.io在俄语论坛发现活跃的Booking.com凭证交易,价格从5美元到5000美元不等。一名用户声称非法获利超2000万美元。截至2025年10月,数百个恶意域名持续活跃,显示该攻击活动具有强韧性和高盈利性。

原文链接：

https://www.infosecurity-magazine.com/news/i-paid-twice-phishing-campaign/

AI生成勒索软件扩展潜入VS Code市场,微软审核机制遭质疑

安全研究公司Secure Annex的研究员John Tuckner发现,一款名为susvsex的恶意扩展被发布到微软官方VS Code市场。该扩展由”suspublisher18″发布,其描述公开宣称具备勒索软件功能,包括窃取文件至远程服务器并使用AES-256-CBC加密所有文件。

研究人员认为该扩展为”vibe coding”(AI辅助编程)产物,技术并不复杂。代码中包含大量注释,表明并非直接由发布者编写,很可能通过AI生成。该扩展在安装或启动VS Code时自动激活,执行extension.js文件,其中硬编码了IP地址、加密密钥和命令控制(C2)服务器地址。

激活后,扩展调用zipUploadAndEncrypt函数检查标记文件,启动加密流程。它会将目标目录文件打包为ZIP压缩包并传输至C2服务器,随后用加密版本替换所有原文件。此外,该扩展会定期轮询一个私有GitHub仓库的index.html文件获取指令,使用PAT令牌进行身份验证并执行命令。

原文链接：

https://www.bleepingcomputer.com/news/security/ai-slop-ransomware-test-sneaks-on-to-vs-code-marketplace/

攻防技术

搜索引擎毒化新战术：Gootloader借“合法文件”诱导用户触发Windows专属恶意载荷

恶意软件活动Gootloader卷土重来,攻击者精心选用”合同””协议”等法律术语进行搜索引擎优化,通过100余个被入侵网站广泛散布恶意ZIP压缩包,诱使用户下载内嵌JScript载荷的文件,从而为后续勒索软件攻击构建初始访问通道。

该威胁团伙的最新变种在技术层面实现了两项重要升级:其一为分众化欺诈页面机制,通过严格筛选地理位置、操作系统等关键参数,仅向符合特定条件的用户呈现高仿真钓鱼页面(域名采用视觉混淆的西里尔字母);其二为针对性ZIP文件操控技术——当使用Windows资源管理器解压时会释放恶意.JS文件,而在VirusTotal等自动化检测平台上则显示为无害的.TXT文件,巧妙利用不同解压引擎的解析差异实现检测规避。

值得关注的是,该恶意软件的持久化机制已由传统的计划任务演进为更隐蔽的.LNK快捷方式链,通过启动文件夹触发级联执行流程。安全研究团队Huntress于2025年11月初成功捕获该变种样本,并发出警示:攻击者正通过日益精细化的社会工程策略与技术规避手段,对特定目标群体实施高度精准的持续性威胁活动。

原文链接：

Gootloader is Back with New ZIP File Trickery that Decive the Malicious Payload

Cisco防火墙曝严重漏洞CVE-2025-20333,CVSS 变种

Cisco于近日披露其Secure Firewall ASA和FTD软件平台存在严重远程代码执行漏洞,漏洞编号为CVE-2025-20333,CVSS 3.1评分高达9.9,是企业防火墙基础设施面临的最严重安全威胁之一。

该漏洞位于VPN Web服务器组件,源于对HTTP(S)请求中用户输入的验证不当。拥有有效VPN凭证的攻击者可构造特制HTTP请求,利用输入验证缺陷在受影响设备上以Root权限执行任意代码,实现对防火墙设备的完全控制。Cisco确认该漏洞已在野外遭到主动利用,攻击者能够同时实现代码执行和服务中断。

2025年11月5日,Cisco披露了新的攻击变种,可导致未修补的易受攻击设备意外重载,触发拒绝服务状态,进一步加剧风险。

受影响的设备包括启用特定配置的ASA或FTD软件版本,具体为AnyConnect IKEv2远程访问(含客户端服务)、移动用户安全(MUS)、SSL VPN和AnyConnect SSL VPN功能。管理员可通过检查运行配置中的webvpn或crypto ikev2 enable命令确认是否受影响。

Cisco强调目前无可用的变通方案,打补丁是唯一的修复选项。公司提供Cisco Software Checker工具帮助组织识别暴露情况并确定适当的修复版本。完成修补后,管理员应审查VPN服务的威胁检测配置,启用针对远程访问VPN登录身份验证攻击和客户端启动尝试的防护措施。

原文链接：