文章总结： 本周网络安全态势显示国家APT、犯罪集团与黑客活动分子三线交织，勒索软件技术升级且数据泄露规模化，硬件级漏洞与供应链攻击频发。政策层面聚焦数字主权与关键设施保护，云安全并购加速但威胁持续深化。可操作建议包括关注CISA漏洞目录、强化供应链审查及制定断网应急计划。 综合评分： 82 文章分类： 威胁情报,漏洞分析,应急响应,政策法规,云安全

每周网安态势概览【20260621】025期

原创

网空闲话 网空闲话

网空闲话plus

2026年6月21日 09:57 北京

在小说阅读器读本章

去阅读

编者按

2026年6月15日至6月21日，网空闲话关注并分享的国际网安领域的热点事件，以及每日国际网络安全态势一览。

一、威胁行为体

本周威胁行为体活动呈现国家APT、犯罪集团与黑客活动分子三线交织态势。国家层面，UNC6508滥用Google Workspace规则窃取北美医疗、学术及军事研究机构邮件；UNC1151/Ghostwriter对波兰Gmail用户发动AiTM钓鱼窃取2FA代码。朝鲜黑客利用开发者工具传播恶意软件，FishMonger部署SprySOCKS Windows变种并滥用内核驱动实现隐蔽。犯罪集团方面，Hive0117攻击约400家俄罗斯公司并扩展至独联体；Sapphire Sleet以虚假软件更新窃取macOS用户密码与加密货币；TeamPCP利用供应链信任缺陷发动大规模攻击。值得注意的是，学生黑客Poisson仅花费数欧元构建持久化基础设施攻击法国汽车公司，凸显攻击门槛持续降低。Conti成员最终认罪引渡美国，标志勒索软件生态面临司法清算。

二、战术技术与程序（TTPs）

本周战术技术呈现EDR对抗升级、云与通信平台滥用、移动端威胁深化三大趋势。EDR绕过成为勒索软件标配：Gentlemen勒索软件标准化多种EDR杀手工具，INC勒索软件采用双重勒索叠加打印机勒索信施压。通信平台武器化方面，DragonForce滥用Microsoft Teams TURN中继实施隐蔽C2，微软揭露利用Tor隐藏通信的剪贴板劫持恶意软件。移动端威胁显著，Rokarolla安卓木马针对217款银行与加密应用，禁用Google Play Protect实现完全设备控制；Amos Stealer窃取macOS钥匙串与浏览器密码。社会工程与初始访问持续进化：AI生成ClickFix活动传播SmartRAT瞄准巴西银行，Payroll Pirate绕过MFA窃取企业薪资，黑客利用微软Graph侦察工具精准定位HR员工。供应链与隐蔽技术层面，SprySOCKS新增内核驱动实现进程、文件与流量三重隐藏，Argamal恶意软件藏匿于可运行成人游戏中。MITRE推出Grid Watch DNP3模拟器，为电力网安全培训提供实操环境。

三、漏洞与代码

本周漏洞态势高危密集，硬件级、零日与供应链漏洞交织威胁。硬件层面，苹果A12/A13芯片SecureROM存在不可修复漏洞，影响iPhone 11等设备，研究人员发布checkm8风格BootROM利用，标志移动安全进入硬件持久化威胁时代。零日漏洞方面：微软Defender RoguePlanet零日被公开且补丁开发中；JCE 0day使Joomla网站入侵速度超越图片上传；Cisco SD-WAN vManage零日遭野外利用后已修复。CISA将LiteSpeed cPanel插件CVE-2026-54420及CVE-2026-48172列入KEV目录，Jenkins CVE-2026-53435 PoC公开并遭野外攻击。Fortinet FortiSandbox三项关键漏洞正被积极利用，影响近14000台SimpleHelp服务器的认证绕过漏洞暴露大量攻击面。AI与开发工具风险凸显：Splunk AI Toolkit存在OS命令执行与数据外泄漏洞，Langflow RCE影响流程共享环境，GitHub遭遇Shai-Hulud蠕虫利用提交伪造感染全球开发者。NCSC警告AI加速技术债利用将引发补丁浪潮。

四、安全事件与态势

本周安全事件呈现数据泄露规模化、关键基础设施受创、供应链攻击频发三大特征。数据泄露方面：LockBit攻击MCNA牙科致近900万人信息泄露并达成数百万美元和解；德克萨斯州政府超300万驾照信息暴露；ShinyHunters泄露2600万MSG记录；诺和诺德遭入侵致1.3TB数据及临床信息泄露，任天堂美国员工调查数据亦遭窃取。关键基础设施遭受重创：伊朗银行业遭网络攻击致全国系统瘫痪，被迫恢复纸质结算；意大利亚得里亚海港务局遭Anubis勒索软件攻击致航运中断；俄罗斯科技公司Astral遭攻击致业务与政府服务中断一周。供应链与平台风险突出：JetBrains Marketplace 15个恶意插件窃取AI API密钥，UPSIDER遭软件供应链攻击，Klue供应链攻击波及Huntress与Recorded Future，Steam Workshop通过Wallpaper Engine传播恶意软件。执法与行业动态方面，九国联合行动摧毁近15000个SocGholish僵尸网站，终局行动清理14971个WordPress站点；埃森哲以41.8亿美元收购Dragos、runZero和NetRise押注工业网络安全。ThreatLabz报告显示政府钓鱼攻击激增50%，AI生成钓鱼站点超41万。

五、网络犯罪与暗网市场

本周网络犯罪与暗网市场呈现执法打击深化、犯罪生态重组、诈骗产业化三大趋势。执法层面，警方查封SocGholish服务器并清理恶意陷阱网站，伦敦警方与苹果合作打击手机盗窃使被盗iPhone重置率大幅下降，FBI警告诈骗者利用快递员在加密货币骗局中窃取现金。大规模凭证泄露成为焦点：FortiBleed漏洞导致近7.4万台Fortinet设备凭证暴露，73,000台设备VPN凭证泄露，CISA已发布警告；攻击者通过FortiBleed获取194个国家公司防火墙访问权限。犯罪生态重组显著，勒索软件生态系统围绕LockBit老成员、Qilin、Hyflock和The Gentlemen重新整合，INC Ransom攻击BELFOR亚洲并公开数据。亚洲网络诈骗产业年收入高达4000亿美元，利用AI与呼叫中心实施大规模欺诈，标志犯罪经济进入工业化阶段。暗网活动方面，World Leaks声称攻击日本TSN泄露2.7TB数据，Dynatrace员工GitHub令牌遭窃取疑泄露246个仓库，欧洲委员会正调查ShinyHunters数据泄露声明。

六、网络空间政策与标准

本周政策与标准领域围绕数字主权、关键基础设施韧性、AI治理与地缘政治博弈全面展开。数字主权成为核心议题：法德联合定义数字主权框架，巴黎推出149亿欧元科技基金；欧洲数字主权从愿景转向运营需求，强调控制、选择与连续性；欧盟授予乌克兰网络安全储备访问权。关键基础设施保护方面，NIST发布OT备份快速入门指南，CISA敦促关键服务提供商制定断网应对计划，澳大利亚CISC发布增强版CIRMP规则覆盖AI、遗留系统与供应链风险；NCSC负责人警告英国基础设施遭俄中伊持续攻击，四分之三关键基础设施攻击系国家行为。AI与内容治理层面，美国国会提出NO FAKES法案打击深度伪造，司法部依据TAKE IT DOWN法案查封CFAKE和SOCFAKE网站；英国拟要求社交媒体实名认证并禁止16岁以下儿童使用。军事与供应链安全方面，NDAA修正案拟将CVE纳入CISA管理，DARPA寻求保护卫星免受网络攻击与轨道核武器威胁，美国要求北约盟友替换华为设备，NEC与BAE Systems加强日本主动网络防御。后量子密码学加速，澳大利亚设2030年全面采用目标。

七、云安全与网络数字空间

本周云安全与数字空间领域呈现并购整合加速、云原生威胁深化、安全运营范式转型三大趋势。并购层面，埃森哲以41.8亿美元收购Dragos、runZero和NetRise，押注工业网络安全并扩展OT能力；1Password以250亿至300亿日元收购以色列Apono公司，强化云身份治理。Dragos提出xOT概念重新定义运营技术安全边界，并发布第九届年度OT网络安全回顾。云安全威胁方面，黑客滥用云日志服务逃避检测并维持持续可见性；Google Vertex AI SDK存在存储桶抢占漏洞，允许攻击者劫持模型上传；谷歌承认ConfigConfusion漏洞却拒付赏金且未修复，引发争议。安全运营范式持续进化，业界倡导统一上下文、治理行动与AI协作的新模式；Positive Technologies推出”网络天气”平台预测外部生态系统攻击，MITRE推出Grid Watch DNP3模拟器培训电力网安全。Cloudflare伽利略计划12周年报告显示民间社会遭受攻击更频繁猛烈。数字基础设施方面，eSIM因远程配置与安全优势加速取代传统SIM卡，日本通过法律强制数据SIM实名制打击诈骗。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《每周网安态势概览【20260621】025期》