点击蓝字关注江南信安

安全专栏

2025/4/26-2025/4/30

江南信安网络安全汇总专栏，每周为您提供网络安全领域「标准规范、安全热点、行业发展、深度好文、融资信息」等最新资讯的追踪与共享。

标准规范

1、国家密码管理局公告丨关于调整商用密码检测认证业务实施的公告

根据中央编办批复，撤销国家密码管理局商用密码检测中心，设立商用密码检测认证中心（商用密码标准研究院），主要承担商用密码标准体系、关键技术研究，国家统一推行的商用密码检测认证以及其他技术支持与服务保障工作。为做好商用密码检测认证业务衔接，更好服务商用密码产业高质量发展，经研究，现就调整商用密码检测认证业务实施有关事项公告如下。

（一）自2025年5月1日起，国家密码管理局商用密码检测中心不再开展商用密码检测认证业务，其尚未完成的检测认证工作交由商用密码检测认证中心承接。

（二）对于国家密码管理局商用密码检测中心颁发的有效期内的《商用密码产品认证证书》，持证单位可于2025年6月30日前，自愿申请更换为商用密码检测认证中心颁发的《商用密码产品认证证书》，更换后的认证证书有效期不变。为方便证书更换，持证单位可持原认证证书到单位所在省（区、市）密码管理部门进行更换。

（三）对于国家密码管理局商用密码检测中心发放的纸质认证标志，商用密码检测认证中心将依申请予以免费更换。

（四）自2025年7月1日起，国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》统一注销。

原文链接：

https://mp.weixin.qq.com/s/wTAr_Q36szEbtKLlACZngQ

2、《2025年提升全民数字素养与技能工作要点》印发，提出营造安全有序数字环境

近日，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2025年提升全民数字素养与技能工作要点》（以下简称《工作要点》）。

《工作要点》指出，要坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大和二十届二中、三中全会精神，进一步健全数字人才培育体系，拓展数字经济增长空间，构建普惠包容数字社会，打造智慧便捷数字生活，营造安全有序数字环境，完善协同联动工作格局，不断夯实新质生产力发展的人力资源基础，助力我国人口高质量发展。

《工作要点》明确了工作目标：到2025年底，我国全民数字素养与技能发展水平再上新台阶，数字素养与技能培育体系基本建成，数字资源供给能力显著增强，数字人才队伍进一步壮大，劳动者数字工作能力明显提高，群体间数字技能鸿沟不断缩小，数字发展环境更加普惠包容，数字生活智慧便捷，网络空间安全有序，数字法治道德伦理水平持续提升。

《工作要点》部署了6个方面16项重点任务。一是健全数字人才培育体系，包括培养复合型人工智能人才、完善高水平人才培育体系、壮大应用型技能人才队伍、增强劳动者数字工作能力。二是拓展数字经济增长空间，包括释放数字消费潜力、激发企业数字动能。三是构建普惠包容数字社会，包括推进数字助老助残行动、促进教学资源开放共享、实施数字公益志愿项目。四是打造智慧便捷数字生活，包括强化人工智能应用赋能、丰富新型数字应用场景。五是营造安全有序数字环境，包括健全人工智能治理机制、强化法治道德规范意识、筑牢网络安全防护屏障。六是完善协同联动工作格局，包括深化多方协作机制、加强国际交流合作。

原文链接：

https://mp.weixin.qq.com/s/PTjEIJu5c1EAJ1u-D6oYug

安全热点

1、全球能源巨头成为目标：揭秘"电力寄生虫"多语言钓鱼攻击

近日发布的一份全面威胁报告显示，复杂钓鱼活动"Power Parasites"（电力寄生虫）自2024年以来一直活跃。这一持续的攻击活动主要利用西门子能源、施耐德电气、法国电力集团、雷普索尔和森科能源等知名能源公司的名称和品牌，通过精心设计的投资诈骗和虚假工作机会进行欺诈。

攻击者建立了一个由超过150个活跃域名组成的庞大网络，这些域名被设计用来冒充合法公司，主要针对孟加拉国、尼泊尔和印度等亚洲国家的个人。攻击者通过欺骗性网站、社交媒体群组和Telegram频道出击受害者，并使用本地化内容以提高有效性。Silent Push研究人员发现，威胁行为者采用"广撒网"方法，同时滥用多个品牌名称并部署众多网站以最大化受害者覆盖范围。

感染途径主要涉及两种不同的社会工程学方法：投资诈骗变体通过假冒能源公司支持的虚假投资平台，诱使受害者提供敏感的个人和财务信息；而就业诈骗变体则以知名企业的虚假就业机会吸引受害者，要求申请人在"入职"过程中提供银行账户详细信息、身份证件和空白支票。

原文链接：

https://cybersecuritynews.com/new-power-parasites-phishing-attack/

2、教育云遭遇重创：黑客利用AzureChecker部署加密货币挖矿容器

微软威胁情报团队近日披露，威胁行为者Storm-1977在过去一年中对教育领域的云租户实施了密码喷洒攻击，部署容器进行非法加密货币挖矿活动。

攻击者主要使用AzureChecker.exe这一命令行工具。该工具连接到外部服务器"sac-auth.nodefunction.vip"获取AES加密数据，包含密码喷洒攻击目标列表。同时，该工具接受名为"accounts.txt"的文本文件作为输入，其中包含用于实施攻击的用户名和密码组合。在一次成功的账户入侵案例中，攻击者利用来宾账户在被入侵的订阅中创建了资源组，随后在该资源组内部署了200多个容器，最终目的是进行非法加密货币挖矿活动。

微软指出，Kubernetes集群、容器注册表和镜像等容器化资产容易受到多种攻击，包括利用被入侵的云凭证接管集群、利用存在漏洞的容器镜像执行恶意操作、利用配置错误的管理接口访问Kubernetes API等。

为防范此类攻击，微软建议组织加强容器部署和运行时安全，监控异常的Kubernetes API请求，配置策略防止从不受信任的注册表部署容器，并确保部署的容器镜像无漏洞。

原文链接：

https://thehackernews.com/2025/04/storm-1977-hits-education-clouds-with.html

3、网络犯罪新模式：ToyMaker为勒索软件团伙提供双重勒索攻击入口

网络安全研究人员近期披露了初始访问代理商(IAB) ToyMaker的活动，该组织向CACTUS等实施双重勒索的勒索软件团伙提供系统访问权限。

ToyMaker被认为是一个以财务利益为动机的威胁行为者，主要通过扫描易受攻击的系统并部署自定义恶意软件LAGTOY(又称HOLERUN)来获取初始访问权限。Cisco Talos研究人员指出，LAGTOY可用于创建反向shell并在受感染的终端上执行命令。

ToyMaker利用大量已知的面向互联网应用程序安全漏洞获取初始访问权限，随后在一周内进行侦察、凭证收集和LAGTOY部署。攻击者还会打开SSH连接下载名为Magnet RAM Capture的取证工具，以获取机器内存转储，可能是为了收集受害者的凭证。

LAGTOY设计为联系硬编码的命令与控制(C2)服务器，获取命令并在终端上执行。它能够处理来自C2服务器的三个命令，每个命令之间有11000毫秒的休眠间隔。

Talos表示："在大约三周的活动停滞后，我们观察到CACTUS勒索软件组织利用ToyMaker窃取的凭证进入受害企业。"研究人员认为，基于相对较短的驻留时间、缺乏数据窃取以及随后向CACTUS的移交，ToyMaker不太可能有任何间谍动机或目标。

原文链接：

https://thehackernews.com/2025/04/toymaker-uses-lagtoy-to-sell-access-to.html

4、普莱德科技工业设备发现多个严重安全漏洞，可导致设备被完全控制

网络安全公司Immersive近日发现中国台湾IP网络产品制造商普莱德科技的网络管理工具和工业交换机存在多个严重安全漏洞，这些漏洞可能允许攻击者完全控制所有受管理的网络设备。

这些问题存在于普莱德科技的网络管理系统（用于远程监控众多Planet设备）和工业交换机（特别是WGS-80HPT-V2和WGS-4215-8T2S型号）中。发现的主要漏洞包括：

CVE-2025-46271：网络管理系统中的预认证命令注入漏洞，允许完全控制；
CVE-2025-46274：网络管理系统中硬编码的、可远程访问的Mongo数据库凭据；
CVE-2025-46273：网络管理系统与受管设备之间的硬编码通信凭据；
CVE-2025-46272：工业交换机中的后认证命令注入漏洞，授予root访问权限；
CVE-2025-46275：工业交换机中的认证绕过漏洞，允许未授权配置修改。

研究人员还发现网络管理系统存在隐藏的默认用户名和密码（如MQTT的"client:client"和MongoDB的"planet:123456"），攻击者可利用这些凭据查看网络上的所有活动并更改设备配置。

Immersive已与CISA分享了他们的发现，后者协助联系了普莱德科技。该公司现已发布软件更新（补丁）修复这些问题。CISA建议所有使用这些普莱德科技产品的用户尽快采取措施保护其网络。

原文链接：

https://hackread.com/planet-technology-industrial-switch-flaws-full-takeover/

5、详情公布！美情报机构对中国大型商用密码产品提供商实施网络攻击

2024年，国家互联网应急中心CNCERT发现处置一起美情报机构对中国大型商用密码产品提供商网络攻击事件。本报告将公布此事件网络攻击详情，为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。

一、网络攻击流程

（一）利用客户关系管理系统漏洞进行攻击入侵

该公司使用了某客户关系管理系统，主要用于存储客户关系及合同信息等。攻击者利用该系统当时尚未曝光的漏洞进行入侵，实现任意文件上传。入侵成功后，攻击者为清除攻击痕迹，删除了部分日志记录。

（二）对两个系统进行攻击并植入特种木马程序

2024年3月5日，攻击者在客户关系管理系统植入了特种木马程序，路径为/crm/WxxxxApp/xxxxxx/xxx.php。攻击者可以通过该木马程序，执行任意的网络攻击命令。为防止被监测发现，木马程序通信数据全过程加密，并进行特征字符串编码、加密、压缩等一系列复杂处理。2024年5月20日，攻击者通过横向移动，开始攻击该公司用于产品及项目代码管理的系统。

二、窃取大量商业秘密信息

（一）窃取客户及合同信息

2024年3月至9月，攻击者用14个境外跳板IP连接特种木马程序并窃取客户关系管理系统中的数据，累计窃取数据量达950MB。客户关系管理系统中有用户600余个，存储客户档案列表8000余条，合同订单1万余条，合同客户包括我相关政府部门等多个重要单位。攻击者可以查看合同的名称、采购内容、金额等详细信息。

（二）窃取项目信息

2024年5月至7月，攻击者用3个境外跳板IP攻击该公司的代码管理系统，累计窃取数据量达6.2GB。代码管理系统中有用户44个，存储了3个密码研发项目的代码等重要信息。

三、攻击行为特点

（一）攻击武器

通过对xxx.php特种木马程序的逆向分析，发现其与美情报机构前期使用的攻击武器具有明确同源关系。

（二）攻击时间

分析发现，攻击时间主要集中在北京时间22时至次日8时，相对于美国东部时间为10时至20时。攻击时间主要分布在美国时间的星期一至星期五，在美国主要节假日未出现攻击行为。

（三）攻击资源

攻击者使用的17个攻击IP完全不重复，同时可秒级切换攻击IP。攻击IP位于荷兰、德国和韩国等地，反映出其高度的反溯源意识和丰富的攻击资源储备。

（四）攻击手法

一是善于利用开源或通用工具伪装躲避溯源，例如在客户关系管理系统中还发现了攻击者临时植入的2个常见的网页木马。二是攻击者善于通过删除日志和木马程序，隐藏自身的攻击行为。

原文链接：

https://mp.weixin.qq.com/s/keoteQV1zMUl4ZyCSao7uw

行业动态

1、中国电子精彩亮相第八届数字中国建设峰会

4月29日，以“二十五载奋进路数字中国谱新篇——数智引领高质量发展”为主题的第八届数字中国建设峰会在福州开幕。中共中央政治局委员、国务院副总理张国清出席开幕式并致辞。中国电子连续八年深度参与数字中国建设峰会，今年聚焦“自主筑基、数智引领”主题，集中展现了中国电子在数据+AI等领域的最新技术产品和落地成果实践。峰会首日和体验区开放期间，中国电子党组书记、董事长李立功向中央领导同志汇报了中国电子的最新成果和技术产品攻关进展情况。国家数据局党组书记、局长刘烈宏，国务院国资委党委委员、副主任苟坪等有关部委、省市、中央企业领导先后莅临中国电子体验区现场互动交流。中国电子党组成员、副总经理谢庆林、王桂荣、张新亮出席峰会开幕式及相关活动。

原文链接：

https://mp.weixin.qq.com/s/pvkjcCUXNZAiGlslZULtOg

2、奇安信：2025年第一季度净亏损4.18亿元

奇安信公告，2025年第一季度营收为6.86亿元，同比下降2.65%；净亏损4.18亿元，去年同期净亏损4.8亿元。

原文链接：

https://news.10jqka.com.cn/20250429/c667872846.shtml

3、天融信2025年一季报迎来开门红：提质增效成效显著，智算云驱动新增长

4月28日晚间，网络安全龙头企业天融信（002212）(002212.SZ)发布了2025年第一季度报告。报告期内，公司实现营业收入3.36亿元，归母净利润同比实现大幅减亏。

尽管网络安全行业短期内仍面临需求承压的挑战，2025年第一季度，天融信方面通过深化战略转型、优化业务结构，在减亏增效、技术研发及市场布局等方面取得显著突破，为全年高质量发展奠定坚实基础。智算一体机产品的落地，更为公司构筑以云计算业务为代表的第二增长曲线提供了“加速度”。

原文链接：

https://news.10jqka.com.cn/20250429/c667869909.shtml

4、电科网安：净利润1.58亿元，密码业务营收占比持续提升

金融投资网讯(记者薛蕾)4月29日，电科网安（002268）发布2024年年报。报告显示，公司2024年营业收入为24.67亿元，同比下降19.71%；归母净利润为1.58亿元，同比下降54.65%；扣非归母净利润为1.02亿元，同比下降66.23%。

原文链接：

https://news.10jqka.com.cn/20250429/c667867551.shtml

5、安恒信息：2025年第一季度净亏损1.11亿元

安恒信息公告，2025年第一季度营收为3.11亿元，同比增长10.80%；净亏损1.11亿元，去年同期净亏损2亿元。

原文链接：

https://news.10jqka.com.cn/20250429/c667867486.shtml

6、吉大正元与尼日利亚行业代表达成合作意向

人民财讯4月29日电，近日，在中尼经济协调中心办公室组织的中尼科技代表座谈交流会上，吉大正元（003029）、中国通服等科技企业代表与尼日利亚科技行业代表艾米卡(Dr.EMEKA Agwu)博士等一行嘉宾进行了友好交流，多方畅谈了科技带来的全新生产力能够帮助尼日利亚社会各界带来的美好未来，同时也与吉大正元公司达成了初步合作意向。

原文链接：

https://news.10jqka.com.cn/20250429/c667852467.shtml

7、三六零在海南投资成立数智科技公司

人民财讯4月28日电，企查查APP显示，近日，海南三六零（601360）数智科技有限公司成立，法定代表人为曾珂，注册资本为100万元，经营范围包含：网络文化经营；互联网信息服务；人工智能应用软件开发；人工智能基础软件开发；人工智能硬件销售；电子产品销售等。企查查股权穿透显示，该公司由三六零旗下三六零数字安全科技集团有限公司全资持股。

原文链接：

https://news.10jqka.com.cn/20250428/c667809022.shtml

深度好文

1、深度研究 | Agentic AI系统安全防护实施指南

在人工智能迅猛发展的今天，Agentic AI系统以其前所未有的自主性、适应性和决策能力，正在重塑企业的数字化格局。这些具备"代理能力"的AI系统能够自主感知环境、制定决策并采取行动，为企业带来效率提升和创新机遇。然而，随之而来的是全新的安全挑战与风险维度：当AI拥有了更大的自主权，我们如何确保它始终在可控、安全、合规的轨道上运行？

Agentic AI系统的风险主要来源于企业的网络环境、外部风险环境及系统脆弱性。为了应对上述风险，企业在部署Agentic AI系统时，应构建一个多层次的安全保障体系。该体系不仅需要技术层面的防护措施，还需配套完善的管理流程。

原文链接：

https://mp.weixin.qq.com/s/RUvQ75n9ftinIcYVTu_sSA

2、天防安全段伟恒：AI赋能视频监控网络安全，助力视频安全建设及防护能力提升，重塑视频安全生态！

当今世界已跨入“AI+”时代，人工智能技术以其强大动能深度赋能各行各业，推动各领域新生态新业态加速形成。AI深度融入网络安全领域，深刻重塑网络安全格局，革新网络安全攻防对抗态势。由中关村华安关键信息基础设施安全保护联盟（简称“关保联盟”）主办的“AI+低空经济与数字化生态安全”技术研讨会于2025年4月22日在北京召开。

天防安全总经理段伟恒先生出席研讨会，并发表《AI赋能视频监控网络安全》主题演讲

，段伟恒指出当前国内视频监控网络安全快速发展的同时存在诸多问题、安全威胁与挑战。

原文链接：

https://mp.weixin.qq.com/s/jT1HPYN2zHMAEYCgreIyAw

3、央国企数智化｜携手国铁集团共创铁路信创发展新征程

当前，国家正大力推进自主可控信息系统建设，立足自主可控、构建自主的信息系统网络安全防护体系，从根本上解决关键技术受制于人的问题。但铁路行业由于软硬件基础设施不足、云计算能力弱、新技术应用挑战、产业链不完善、供应商依赖、业务需求复杂等原因，信创化进度迟缓。

在此背景下，国铁集团积极响应国家号召，与中国铁路信息科技集团携手中国电子云，借助中国电子云完全自主可控的信息基础设施建设能力和丰富的应用实践经验，不断推进铁路行业在信息技术应用的创新，研究适合未来铁路信息系统基础设施自主可控的实施路线建议和部署策略。

原文链接：

https://mp.weixin.qq.com/s/_NB4Li61YXys7ifbXV5Mtg