2026-03-10 01:37:28 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周网安资讯涵盖政策法规、威胁情报与漏洞预警。国家网信办等八部门印发未成年人网络平台认定办法以强化保护。Seedworm与APT36组织分别针对美印发起攻击，LastPass用户遭钓鱼攻击，DragonBreath利用双重DLL侧加载技术。此外，XikeStorXSS、ApacheAirflow信息泄露等多个漏洞被披露。文末附带捷普公司业务介绍。 综合评分： 64 文章分类： 威胁情报,漏洞预警,政策法规,网络安全

cover_image

每周网安资讯（3.3-3.9）| 八部门联合印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》

交大捷普

2026年3月9日 18:11 陕西

2026

[ 每周网安资讯 ]

网安资讯

1、八部门联合印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》

2026 年 2 月 11 日国家网信办等八部门印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》，自 4 月 1 日起施行。办法明确了两类平台的认定标准，规定认定工作每 3 年开展一次、特殊情况可适时启动，平台需按要求自评估并提交报告，认定过程公开征求意见，相关部门将实施监管，被认定平台若持续 6 个月不达标可申请移出名单，此举推动未成年人网络保护走向精细化、法治化。

安全情报

1、Seedworm组织针对美国多个机构开展网络攻击

近期安全研究人员披露，与伊朗相关的高级持续性威胁组织Seedworm在2026年2月开始针对美国多个机构网络实施入侵行动。攻击目标包括一家美国银行、机场、一家非营利组织以及一家美国软件公司的以色列业务部门。

2、APT36组织采用AI开发模式针对印度发起攻击

Bitdefender的研究人员发现，巴基斯坦威胁组织APT36采用AI驱动的“vibeware”开发模式，主要针对印度政府及外交使团、阿富汗政府和部分私营企业发动攻击。攻击始于2025年12月8日，目前仍在进行中。攻击者利用恶意邮件，通过PDF文件作为视觉诱饵，诱导用户点击“下载文档”按钮，重定向至攻击者控制的网站，下载包含快捷方式文件的压缩包或ISO镜像。

3、攻击者发送模仿LastPass官方支持的钓鱼邮件以窃取用户凭证

2026年3月1日左右，LastPass的研究人员发现一场针对LastPass用户的精心策划的钓鱼攻击活动。攻击者通过多个邮箱地址发送主题多样的钓鱼邮件，邮件伪装成内部转发信息，显示有人试图对用户LastPass账户进行未授权操作，如导出保险库、完全恢复账户、注册新的可信设备等。

4、Dragon Breath组织使用双重DLL侧加载技术逃避检测

Sophos近日报道称，一个名为“Dragon Breath”(别称Golden Eye Dog、APT-Q-27)的黑客组织正展开一种新的攻击趋势，即使用双重DLL侧加载技术来逃避恶意软件检测。其中，DLL侧加载技术自2010年以来一直被攻击者所利用，该技术使得攻击者只需在应用程序的目录中放置与合法DLL同名的恶意DLL，便能在用户启动可执行文件时，执行恶意的DLL。

漏洞预警

1、XikeStor SKS8310-8X通过系统名称存储XSS

XikeStor SKS8310-8X网络交换机固件版本1.04.B07及更早版本包含一个存储的跨站点脚本漏洞，允许经过身份验证的攻击者通过系统名称字段注入任意脚本内容。攻击者可以注入恶意脚本，当由于输出编码不当而查看存储值时，这些脚本会在受害者的浏览器中执行。

2、SourceCodester计算机实验室管理系统跨站点请求伪造

SourceCodester计算机实验室管理系统1.0中发现了一个缺陷。这会影响一个未知的部分。这种操作会导致跨站点请求伪造。攻击可以远程进行。该漏洞已发布，可能会被使用。

3、其源码大学管理系统view_result.php sql注入

在其源代码大学管理系统1.0中检测到漏洞。此漏洞影响文件/view_result.php的未知代码。对参数seme执行操作会导致sql注入。攻击可以远程进行。该漏洞现已公开，可以使用。

4、Apache Airflow存在通过错误消息导致的信息暴露漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套具有创建、管理和监控工作流程功能的开源平台。该平台具有可扩展和动态监控等特点。Apache Airflow 3.1.4之前版本和2.11.1之前版本存在安全漏洞，该漏洞源于UI错误报告可能包含传递给操作符的完整kwargs，可能导致敏感信息泄露。

关于捷普

捷普作为一家国内先进的新时代网络信息安全产品和服务提供商，坚持以“全面安全智慧安全”为产品理念，持续技术创新，为广大用户提供基础设施安全、数据安全、信创安全、工业互联网安全、云安全、物联网安全、国密安全等七大系列网络安全产品。并在风险评估、渗透测试等安全服务上占据优势，协助用户全面提升IT基础设施的安全性、合规性和生产效能，面向数字时代保障信息系统全面安全。

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：交大捷普《每周网安资讯（3.3-3.9）| 八部门联合印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》》