文章总结： 工信部警示MuddyWater组织针对关键行业实施攻击，建议禁用宏并监控注册表；微软披露针对能源行业的AiTM攻击链及绕过网关的Teams钓鱼手法；新型Vishing攻击突破SSO多因素认证；2025年数据泄露报告指出黑产呈现联邦化且金融领域高危；HaxorSEO黑产劫持合法域名进行SEO投毒；湖南开出首例数据分包违规罚单；Anthropic推出深度嵌入办公工具的交互式Claude应用。 综合评分： 88 文章分类： 威胁情报,安全大事件,数据安全,政策法规,WEB安全

工信部发布关于防范MuddyWater组织网络攻击的风险提示；湖南首例！未履责分包数据被罚30万，第三方协作成安全雷区 | 牛览

安全牛

2026年1月27日 12:29 北京

点击蓝字 关注我们

新闻速览

• 工信部发布关于防范MuddyWater组织网络攻击的风险提示
• 湖南首例！未履责分包数据被罚30万，第三方协作成安全雷区
• 耐克回应WorldLeaks威胁调查潜在数据泄露，审计仍在进行中
• AI驱动效率提升背后：Amazon计划裁撤3万岗位应对管理臃肿
• 绕过邮件网关！新型Teams钓鱼攻击借官方通知诱骗用户致
• Anthropic 推出交互式 Claude 应用，深度嵌入 Slack 等办公工具
• 微软披露能源行业AiTM攻击链，密码重置已不足以应对BEC威胁
• 新型Vishing攻击突破多因素认证，单点登录系统成重灾
• 2025数据泄露报告：41,644起事件透视黑产“联邦化”攻势与金融高危态势
• HaxorSEO黑产曝光：6美元即可劫持合法域名提升恶意网站排名

特别关注

工信部丨关于防范MuddyWater组织网络攻击的风险提示

工信部网络安全威胁和漏洞信息共享平台(CSTIS)近日发布风险提示，MuddyWater组织正针对政府、军事、电信、能源等关键机构实施网络攻击。

攻击者采用双重伪装策略投递恶意载荷：一是将可执行文件伪装成PDF文档(如”xxx.pdf.exe”)，二是在DOC文档中嵌入恶意宏代码。受害者误启伪装PDF后，将立即释放UDPGangster后门;打开含宏文档则会静默执行代码，解密释放novaservice.exe可执行文件。

后门成功部署后，会将自身复制为SystemProc.exe，并通过写入注册表HKCU\Software…\UserShellFolders\Startup实现持久化。攻击者采用动态C2连接策略，优先读取本地配置，失败则回退至硬编码地址。后门程序收集主机名、系统版本等信息并加密回传，最终实现远程控制。

建议立即禁用Office宏执行、部署邮件网关沙箱检测伪装文件、监控注册表异常写入并清除SystemProc.exe持久化项。

原文链接：

https://cn-sec.com/archives/4949464.html

热点观察

AI驱动效率提升背后：Amazon计划裁撤3万岗位应对管理臃肿

Amazon正准备启动第二轮大规模裁员，最快可能于下周开始。据知情人士透露，此次裁员是公司削减约3万个企业岗位计划的一部分。去年10月，Amazon已裁减约1.4万名办公室员工，占计划总数的一半。

新一轮裁员规模预计与上轮相当，可能波及Amazon Web Services、零售业务、Prime Video以及负责人力资源的People Experience and Technology等多个核心部门。不过具体涉及的团队名单尚未最终确定。Amazon官方未对此发表评论。

公司CEO Andy Jassy在第三季度财报会上明确表示，裁员”并非出于财务原因，也不直接关联AI”，而是为了改善企业文化、精简管理层级。他指出，Amazon管理结构已显臃肿。同时，Jassy也提到，通过部署AI工具实现代码编写自动化、流程优化等措施，可逐步提升企业效率、降低对人工的依赖。

若3万人裁员计划全部实施，虽仅占Amazon全球158万员工的小部分，但将涉及约10%的办公室人员，可能成为公司史上最大规模裁员，超过2022年的2.7万人规模。

原文链接：

https://www.securitylab.ru/news/568557.php

绕过邮件网关！新型Teams钓鱼攻击借官方通知诱骗用户致

Check Point Research披露，攻击者正利用Microsoft Teams的合法邀请机制发起新型钓鱼攻击。攻击者创建名为“Subscription Auto-Pay Notice”等仿冒账单通知的团队，并将受害者以“访客”身份邀请入群。由于邀请邮件由Microsoft官方系统自动发送，内容看似可信，常规邮件安全网关难以识别。邮件中嵌入虚假客服电话（如“Ivoice ID： 2025_614632PPOT_SAG Amount 629.98 USD”），诱导用户致电以窃取银行账户或凭证。该活动已发送12，866封邮件，波及6，135名用户，日均活跃约990次。主要受害行业为制造与工程（27.4%）、科技与SaaS（18.6%）及教育（14.9%）。美国为首要目标（67.9%），其次为欧洲（15.8%）和亚洲（6.4%）。

原文链接：

Fake Microsoft Teams Billing Phishing Alerts Reach 6,135 Users via 12,866 Emails

微软披露能源行业AiTM攻击链，密码重置已不足以应对BEC威胁

Microsoft近日披露一起正在活跃的多阶段钓鱼与Business Email Compromise(BEC)攻击活动，主要针对能源行业组织。攻击者滥用SharePoint文件共享链接，并结合对邮箱收件规则的恶意配置，实现凭据窃取和持续控制。

该攻击以受信任组织账号为入口，通过伪装成正常文档共享的SharePoint链接绕过邮件安全检测，诱导用户访问伪造登录页面，从而实施Adversary-in-the-Middle(AiTM)攻击，窃取凭据和有效会话信息。成功登录后，攻击者创建邮箱规则自动删除或标记安全提醒邮件，以隐藏异常行为并维持访问权限。

微软观察到，攻击者利用已入侵账户向内外部联系人和分发列表发送超过600封钓鱼邮件，并通过实时监控回复实施BEC诈骗，显著扩大攻击影响范围。由于AiTM能够劫持活动会话，单纯重置密码无法彻底缓解风险。

Microsoft Defender XDR通过异常登录行为和恶意邮箱规则识别该活动，并强调应结合会话撤销、MFA配置回滚、条件访问策略和持续监测，才能有效遏制此类高级钓鱼攻击的持久化能力。

原文链接：

Energy sector targeted in multi-stage phishing and BEC campaign using SharePoint

HaxorSEO黑产曝光：6美元即可劫持合法域名提升恶意网站排名

Fortra安全研究团队在Telegram和WhatsApp上发现名为”HaxorSEO”的大型黑链交易市场，该组织通过Google Sheet提供超过1000个已被入侵的合法域名反向链接。

这些域名通常有15-20年历史，配有PA(页面权重)、DA(域名权重)、DR(域名评级)等SEO指标，帮助买家评估投毒效果。攻击者仅需支付6美元，HxSEO即可通过预置的webshell在目标网站植入恶意反向链接，自动提升买家钓鱼页面的搜索排名。研究发现，部分伪造银行登录页面的搜索排名甚至超过官方网站。

HxSEO主要利用PHP组件和WordPress插件的文件上传、远程代码执行漏洞入侵目标，尤其偏好被遗忘的学术期刊网站。该组织还声称可通过垃圾低权重站点的坏链接降低正版页面SEO得分。

Fortra建议用户将敏感登录页面加入书签而非通过搜索引擎访问，并仔细核对URL域名拼写，避免访问仿冒网站。目前已与域名服务商和搜索引擎协作下架恶意页面。

原文链接：

https://www.infosecurity-magazine.com/news/researchers-haxor-seo-poisoning/

2025数据泄露报告：41，644起事件透视黑产“联邦化”攻势与金融高危态势

2025年数据泄露风险态势持续高位运行，威胁猎人监测到全年41，644起有效数据泄露事件，同比上升约10.8%，其中银行业连续三年位居泄露风险首位，泛金融板块在高风险行业中占据四席，显示黑产攻击重心聚焦高变现价值数据。

威胁情报显示，黑产组织呈现“联邦化”趋势，诸如Scattered Spider、Lapsus$与ShinyHunters等团伙协同作战，攻击策略从传统漏洞利用逐步向社会工程与身份滥用转变。典型案例包括语音钓鱼与恶意OAuth集成导致对Salesforce等企业大量客户数据泄露。匿名群聊与暗网为主要泄露与交易渠道，约88.8%数据通过这些平台流通，头部暗网论坛终结后交易迅速迁移至替代渠道。

黑产交易市场具备较强自我修复能力，高价值金融数据被细分为多种产品形态以提升交易效率。新型泄露入口如“106拓展

原文链接：

https://cn-sec.com/archives/4949464.html

安全事件

耐克回应WorldLeaks威胁调查潜在数据泄露，审计仍在进行中

据SecurityAffairs报道，全球运动品牌Nike正调查一起潜在的数据泄露事件，此前网络犯罪组织WorldLeaks在暗网泄露站点上声称已从耐克系统访问并窃取敏感数据，并威胁如未支付赎金将在指定时间公布数据样本。Nike公开声明称，公司高度重视消费者隐私与数据安全，目前正调查该潜在网络安全事件并积极评估情况。

WorldLeaks是一支近年来活跃的勒索数据组织，其作案模式与传统勒索软件不同，重点在于数据偷取与公开威胁而非文件加密；该组织曾将Under Armour等知名企业列为受害者。1月22日，该组织将Nike列入其暗网泄露页面，并在随后发布了约1.4 TB的数据条目清单，但关于数据内容的具体性质与完整性尚未经Nike确认。

安全界专家指出，此类事件再次提示企业必须强化多因素认证、网络分段与异常流量监控等防护措施，以遏制凭证被盗或内部网络被横向渗透的风险。

原文链接：

Nike is investigating a possible data breach, after WorldLeaks claims

湖南首例！未履责分包数据被罚30万，第三方协作成安全雷区

2026年1月23日，湖南省网信办公布两起数据安全违法案件。其一为某科技公司在未获授权情况下，擅自向第三方提供个人信息，且未核验其安全能力，被依《网络数据安全管理条例》处以警告及30万元罚款（主管人员罚3万元），系该条例施行后湖南首案。其二为某信息公司因技术负责人违规开放ES数据库公网端口，叠加缺乏加密、访问控制及日志留存等管理措施，导致数据泄露，被依《数据安全法》等处以警告及15万元罚款（主管及直接责任人分别罚2万、1万元）。两案凸显第三方协作管控缺位与技术防护疏漏两大风险，警示企业须健全制度、强化技术、落实全链条责任。

原文链接：

https://mp.weixin.qq.com/s/W0JYHBpncsdere-MUqpikQ

攻防技术

新型Vishing攻击突破多因素认证，单点登录系统成重灾

安全研究机构正紧急应对一波针对单点登录(SSO)服务的语音钓鱼(vishing)攻击。攻击者综合运用语音呼叫和高级钓鱼工具包，实时诱导受害者交出访问权限。自称ShinyHunters的网络犯罪组织已公开点名目标企业并泄露窃取的数据样本。

Mandiant首席技术官Charles Carmakal确认，攻击者使用进化的vishing技术成功窃取SSO凭证，并将受控设备注册到受害者的多因素认证系统中。攻击得手后，威胁行为者会渗透SaaS环境窃取敏感数据并实施勒索。

攻击手法上，犯罪分子注册仿冒合法SSO门户的定制域名，部署定制化语音钓鱼工具包，在致电受害者时远程控制其浏览器页面。这使攻击者能将语音提示与多因素认证请求实时同步，显著提高受害者批准或输入验证码的成功率。

Okta威胁情报副总裁Brett Winterford表示，研究人员已观察到至少两种能实时模拟身份提供商认证流程的钓鱼工具包，具备专用面板可伪装Google、Microsoft和Okta登录界面。

目前已有SoundCloud、Betterment等公司确认遭受攻击。SoundCloud约3600万用户(占总数20%)的个人身份信息被泄露，Betterment则因社会工程攻击导致客户数据被窃。Sophos追踪到约150个从上月开始建立的恶意域名，涉及教育、房地产、能源、金融服务和零售等行业。

安全专家强调，此类攻击并非利用SSO产品漏洞，而是针对身份访问管理的持续性弱点。语音钓鱼结合实时个性化内容使攻击更具欺骗性，降低了用户的警惕性。

原文链接：

A new wave of ‘vishing’ attacks is breaking into SSO accounts in real time

新品发布

Anthropic 推出交互式 Claude 应用，深度嵌入 Slack 等办公工具

人工智能公司 Anthropic 于 1 月 26 日发布了交互式 Claude 应用（Interactive Claude apps），使用户可在聊天界面直接调起第三方办公工具并完成实际操作，包括 Slack、Canva、Figma、Box、Clay 等，未来还将支持 Salesforce 集成。Anthropic

新版应用基于 Model Context Protocol (MCP) 构建，该开放标准允许 Claude 与特定服务建立已登录的会话，为用户在企业工作环境中提供更深层次的交互能力。启用后例如可以发送 Slack 消息、生成图表或访问云端文件，整合智能助手与可视化工具的优势，提高团队协作效率。

此次功能向 Pro、Max、Team 和 Enterprise 付费用户开放，免费用户暂不支持。Anthropic 提示安全风险，建议在授权访问敏感数据之前谨慎配置权限，避免因过度授权导致信息泄露或误操作。

与此前推出的 Claude Cowork 智能代理工具配合使用时，此次交互式应用可让 Claude 在多阶段复杂任务中调用第三方服务，进一步打通生成式 AI 与工作流之间的边界，标志着 AI 助手从被动响应向主动协作的关键演进。

原文链接：

Anthropic launches interactive Claude apps, including Slack and other workplace tools

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《工信部发布关于防范MuddyWater组织网络攻击的风险提示；湖南首例！未履责分包数据被罚30万，第三方协作成安全雷区 | 牛览》