工业网络安全月报（2025年04月）

4月速递

工业信息安全“信息共享”，金瀚信安带您一站式掌握2025年04月份国内外工业信息安全资讯～

政策法规

本月观察到国内外网络安全相关政策法规12项，中国5项、涉及欧盟3项、美国3项、日本1项。值得关注的有国内方面工信部等两部门联合印发《国家智能制造标准体系建设指南（2024 版）》；ISC2发布了卫星通信网络安全的全面指南。欧盟委员会发布《人工智能大陆行动计划》，通过建设“人工智能工厂”网络等措施，全面提升欧盟在人工智能领域的竞争力。

两部门联合印发《国家智能制造标准体系建设指南（2024 版）》

2025年4月22日，为落实《“十四五”智能制造发展规划》，深入实施智能制造工程，打造智能制造“升级版”，工业和信息化部、国家标准化管理委员会近日联合印发《国家智能制造标准体系建设指南（2024版）》。指南提出到2026年，制修订100项以上国家标准与行业标准的目标。在前三版基础上，新版《指南》优化了标准体系框架和标准布局，进一步聚焦人工智能等新技术与制造业的融合应用，新增了工业软件、智能装备、制造模式等标准方向，以及轻工、化工等细分行业标准体系建设内容。

资料来源：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_03f60d66fa7b4b95abbea92d155da941.htm

ISC²发布了卫星通信网络安全的全面指南

2025年4月28日，ISC²已经发布了一本指南，帮助网络安全从业者评估私有化卫星通信（SATCOM）的风险、挑战和使用案例。卫星通信（SATCOM）变得比以往任何时候都更可及，消费者移动设备现在可以连接到这些网络。报告指出，当前是一个新兴的私营太空行业时代，也被称为“新太空”，发射成本显著降低，越来越多的公司正在进入这个市场。这些私人卫星网络可以完成许多功能，但主要用途是为未被服务的群体提供通信，特别是在传统网络无法访问的偏远地区，以及在传统网络可能不可用的紧急情况下使用SATCOM。ISC²进行了关于卫星通信（SATCOM）的三个关键领域的调查，这些领域与网络安全有关，包括集中控制和地缘政治风险；信号拦截、干扰和隐私风险；以及供应链和硬件依赖。

资料来源：https://www.ncsc.gov.uk/collection/principles-for-secure-paws

《香港生成式人工智能技术及应用指引》发布

数字政策办公室（数字办）4月15日公布《香港生成式人工智能技术及应用指引》，为技术开发者、服务提供商和使用者提供实务操作指引，内容涵盖生成式人工智能的应用范围和局限、潜在风险与治理原则，包括数据泄露、模型偏见和错误等技术风险。数字办早前委托香港生成式人工智能研发中心，就生成式人工智能技术及应用的准确性、责任、信息保安等范畴，研究及建议适当的规则和指引。数字办考虑研究结果及建议后制定指引，目标是平衡人工智能的创新发展、应用与责任，为人工智能生态圈各持份者建构一套符合香港的治理框架。

资料来源：https://industrialcyber.co/news/isc2-unveils-comprehensive-guide-for-cybersecurity-in-satellite-communications/

欧盟委员会发布《人工智能大陆行动计划》

2025年4月9日，欧盟委员会发布了“人工智能大陆行动计划”，其中明确提到将简化人工智能相关法规，并通过建设“人工智能工厂”网络等措施，全面提升欧盟在人工智能领域的竞争力。据悉，欧盟将把重点放在建设人工智能数据和计算基础设施上。在建设“人工智能工厂”网络方面，欧盟委员会希望通过开发所谓的“人工智能超级工厂网络”，帮助企业训练最复杂的模型。这些工厂将配备约10万个最新的人工智能芯片，是目前在建的人工智能工厂数量的四倍。这一举措旨在增强欧盟在全球人工智能领域的竞争力，尤其是在与美国和中国的竞争中保持领先地位。

资料来源：https://baijiahao.baidu.com/s?id=1829025953954173130&wfr=spider&for=pc

日本通过《主动网络防御法案》，授权军方实施先制网络打击

2025年4月2日，日本国会正式通过《主动网络防御法案》，标志着该国网络安全战略的重大转变。该法案核心内容包括：1）建立网络安全委员会强化威胁分析能力；2）强制要求关键基础设施运营商即时报告网络安全事件；3）授权政府监控跨境通信数据（含IP地址及传输时间）；4）设立"网络危害预防官"职位，赋予军方在攻击事件中瘫痪境外服务器的权力。分析人士指出，此举使日本网络防御体系与欧美国家接轨，但Tripwire专家Josh Breaker-Rolfe警告称，法案未明确界定行动授权边界，可能导致执法部门权力过度扩张。日本政府表示将制定实施细则确保权力规范行使。

资料来源：https://www.darkreading.com/cybersecurity-operations/japan-passes-cyber-defense-bill

工信部等七部门印发《医药工业数智化转型实施方案（2025—2030年）》

2025年4月24日，工业和信息化部、商务部、国家卫生健康委等七部门近日联合印发《医药工业数智化转型实施方案（2025—2030年）》（以下简称《实施方案》），提出到2030年，规上医药工业企业基本实现数智化转型全覆盖，并聚焦数智技术赋能行动、数智转型推广行动、数智服务体系建设行动、数智监管提升行动等四个方面系统提出14项具体工作任务，以场景化、图谱化方式推进医药工业高端化、智能化、绿色化、融合化发展。

资料来源：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_13998d1c720e41438c5d25a943101f76.html

安全事件

本月监测到安全事件共31起，其中勒索事件14起。其中典型的勒索事件为工业技术巨头Sensata Technologies遭遇勒索软件攻击，部分网络被加密，核心业务功能被迫中断，恢复时间仍不明确；德国电缆制造巨头HELUKABEL遭勒索，30GB敏感数据泄露。关系到国内的网络攻击典型事件为哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次监测报告发布。

勒索软件激增：Sensata Technologies 和美国政府机构成为大规模网络攻击的目标

2025年4月11日，工业技术公司森萨塔科技（Sensata Technologies）披露，该公司遭受勒索软件攻击，部分网络被加密。该公司已关闭系统，启动响应协议，并与第三方网络安全专家展开调查。执法部门已收到通知并已介入调查。与此同时，美国多个州（包括亚利桑那州、阿肯色州、爱达荷州、内布拉斯加州和俄勒冈州）最近披露了影响关键政府服务的网络事件。

资料来源：http://w61.9dw7.sbs/LQRNT1x

德国电缆制造巨头HELUKABEL遭勒索，30GB敏感数据泄露

2025年4月25日监测发现，德国电缆系统制造龙头HELUKABEL GmbH遭遇勒索软件组织“RALord”的针对性攻击，该公司于4月19日已出现在该组织暗网站点的受害者列表上，已开启付款倒计时。目前勒索者已窃取企业内部30GB核心数据并提供样例下载，并对文件服务器加密，涉及财务记录、客户隐私、技术图纸、SSH配置、银行账户信息及认证证书等敏感内容。攻击者通过加密全盘数据（包括服务器和用户终端）瘫痪企业网络，并在WhatsApp和邮箱投递勒索信，要求支付赎金以换取解密密钥及停止数据泄露。HELUKABEL官网显示，该公司为全球43国提供电缆解决方案，客户涉及能源、汽车制造、基建等关键领域，此次事件恐引发跨国产业链连锁风险。

资料来源：https://mp.weixin.qq.com/s/rMgQ5VZEk48ZocnBI_DaHg

哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次监测报告发布

2025年4月3日，国家计算机病毒应急处理中心计算机病毒防治技术国家工程实验室发布“2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击情况监测分析报告。本报告相关统计数据表明，赛事期间，各赛事信息系统、黑龙江省域范围内的关键信息基础设施遭到来自境外的大量网络攻击。攻击源大部分来自美国、荷兰等国家和地区。发现自2025年1月26日至2月14日期间，亚冬会赛事信息系统遭到来自境外的网络攻击270167次。

资料来源：https://www.cverc.org.cn/head/zhaiyao/news20250403-haerbinyadonghui.htm

莫斯科地铁系统遭疑似网络攻击，网站及APP服务中断

2025年3月31日，莫斯科地铁系统网站及移动应用程序当日出现服务中断，网站页面一度显示乌克兰国家铁路公司Ukrzaliznytsia的标志，疑似遭遇报复性网络攻击。此次中断导致乘客无法远程充值交通卡，部分自动售票机也出现故障。莫斯科交通部门声称是"技术维护"所致，但俄罗斯互联网监管机构Roskomnadzor已确认服务异常。事件发生前一周，乌克兰铁路系统刚遭受大规模网络攻击，致使其不得不临时增加人工售票窗口。此次事件再次凸显关键基础设施面临的网络安全风险正在持续升级。

资料来源：https://therecord.media/moscow-subway-system-disruption-ukraine-hack-message

CrazyHunter攻击活动瞄准中国台湾关键部门

2025年4月16日，CrazyHunter 迅速崛起，成为严重的勒索软件威胁。该组织上个月首次公开其数据泄露网站，并公布了十名受害者的信息，全部来自中国台湾。自一月初以来，观察到其明显以中国台湾为目标。该组织的受害者主要包括医院和医疗中心、教育机构和大学、制造公司和工业组织，这反映出其针对性强，尤其针对拥有宝贵数据和敏感业务的组织。趋势科技通过Trend Vision One检测并阻止CrazyHunter攻击活动中使用的恶意组件，相关办法可详见链接。

资料来源：https://www.trendmicro.com/en_us/research/25/d/crazyhunter-campaign.html?&web_view=true

科技巨头Conduent确认客户数据在一月份网络攻击中被盗

2025年4月14日，美国商业服务巨头和政府承包商Conduent披露，客户数据在2025年1月的网络攻击中被盗。Conduent是一家商业服务公司，为交通、医疗保健、客户体验和人力资源领域的政府和商业客户提供数字平台和解决方案。该公司拥有超过33,000名员工，为一半的财富100强公司和超过600个政府和交通机构提供服务。Conduent在今天向美国证券交易委员会提交的新FORM-8K文件中确认，威胁行为者窃取了包含该公司客户信息的文件。该公司表示，没有迹象表明被盗数据已在暗网或其他公开渠道发布，此次攻击并未对其运营造成任何实质性影响，但第一季度已产生与攻击相关的费用。

资料来源：http://9b2.9dw7.sbs/sjYzvCw

韩国电信巨头SK Telecom遭黑客攻击

2025年4月23日，韩国电信巨头SK电讯的系统最近遭到黑客攻击，该公司的调查确定客户数据已被泄露。SK Telecom是韩国最大的无线运营商，拥有数千万用户，占据韩国大约一半的市场份额。该公司周二在其网站上发布的声明中透露，它于4月19日检测到了一次入侵事件。调查显示，攻击者部署了恶意软件并成功获取了客户的个人信息。目前尚不清楚SK电信是否遭遇勒索软件攻击。截至本文撰写时，尚无任何已知的勒索软件组织承认对此次攻击负责。

资料来源：https://www.securityweek.com/korean-telco-giant-sk-telecom-hacked/

跨国"电力寄生虫"网络钓鱼攻击瞄准全球能源巨头及消费品牌

2025年4月25日，安全公司Silent Push披露名为"Power Parasites"的大规模网络钓鱼行动正针对西门子能源、施耐德电气等能源企业及星链、Netflix等消费品牌。攻击者通过150余个仿冒域名搭建虚假招聘及投资平台，主要针对孟加拉国、尼泊尔等亚洲地区受害者实施金融诈骗。该行动采用多维度攻击策略：1）利用能源行业术语注册伪装域名（如repsolhub[.]buzz）；2）在YouTube等平台投放当地语言诱饵内容；3）伪造包含银行信息收集功能的"雇佣协议"。尽管受害企业多次发布警告，攻击仍持续升级，最新变种甚至采用邀请码机制规避安全检测。分析师指出，此类攻击正与AI伪造技术结合，通过非官方渠道精准模仿企业通信，形成跨平台联动的欺诈生态。

资料来源：https://cyberpress.org/power-parasites-phishing-attack-hits-energy-sector/

漏洞态势

本月月监测到漏洞预警17项， CISA发布了16个关键ICS漏洞。

思科确认部分产品受严重Erlang/OTP漏洞影响

2025年4月24日，思科正在调查最近披露的Erlang/OTP漏洞的影响，并已确认其多款产品受到严重远程代码执行漏洞的影响。Erlang/OTP的SSH实现中发现了一个允许设备接管的严重漏洞。该漏洞由德国波鸿鲁尔大学的一组研究人员发现，编号为 CVE-2025-32433，它被描述为SSH协议消息处理问题，可允许未经身份验证的攻击者访问受影响的系统并执行任意代码。研究人员警告称，漏洞利用可能导致“主机完全被攻陷，允许第三方未经授权访问和操纵敏感数据，或发起拒绝服务攻击”。Qualys研究员Mayuresh Dani警告说：“任何使用 Erlang/OTP 的 SSH 库进行远程访问的服务（例如在 OT/IoT 设备、边缘计算设备中使用的服务）都容易受到攻击。”

资料来源：http://qf2.9dw7.sbs/NgYU0Zh

2025年第1季度有159个CVE被利用—披露后24小时内利用了28.3%

2025年4月25日，2025年第一季度，多达159个CVE标识符被标记为在野外被利用，高于 2024年第四季度的151个。“我们继续看到漏洞被快速利用，28.3%的漏洞在CVE披露后的1天内被利用，”VulnCheck在与The Hacker News分享的一份报告中说。这意味着在披露后的一天内，有45个安全漏洞在实际攻击中被武器化。其他14个漏洞在一个月内被利用，另有45个漏洞在一年内被滥用。这家网络安全公司表示，大多数被利用的漏洞已在内容管理系统（CMS）中被发现，其次是网络边缘设备、作系统、开源软件和服务器软件。

资料来源：https://thehackernews.com/2025/04/159-cves-exploited-in-q1-2025-283.html

Yokogawa Recorder漏洞可能让攻击者劫持关键工业系统

2025年4月21日，在日本自动化和测量设备制造商横河电机公司生产的一系列工业记录仪和数据采集系统中发现了一个高严重性漏洞。此缺陷已被确定为CVE-2025-1863，并被归类为CWE-306：缺少关键功能的身份验证。该问题的CVSS v4基本分数为9.3，CVSS v3.1分数为9.8，凸显了它对受影响系统构成的极端风险。该漏洞影响了横河电机的各种无纸记录仪和数据采集单元。根据技术评估，横河电机漏洞可以被远程利用，并且攻击复杂度低。不需要身份验证或用户交互，使其成为网络攻击者的诱人目标。横河电机已为受影响产品的所有用户发布了指南。

资料来源：https://thecyberexpress.com/yokogawa-flaw-exposes-industrial-systems/

在广泛使用的Apache Parquet中发现的最大严重性 RCE缺陷

2025年4月3日，已发现一个最高严重性远程代码执行（RCE）漏洞，该漏洞会影响 Apache Parquet 1.15.0 及以下的所有版本。该问题源于不受信任的数据反序列化，这可能允许具有特制 Parquet 文件的攻击者控制目标系统、泄露或修改数据、中断服务或引入勒索软件等危险负载。该漏洞在 CVE-2025-30065 下进行跟踪，CVSS v4 评分为 10.0。该漏洞已在 Apache 版本 1.15.1 的发布中修复。

资料来源：

http://i21.9dw8.sbs/fDOXMdT

CISA警告工业控制系统存在严重缺陷

2025年4月2日，美国网络安全和基础设施安全局（CISA）对工业控制系统中存在的一系列高风险漏洞（CVE-2025-23120）发出了警报。这些漏洞是在罗克韦尔自动化和日立能源生产的系统中发现的，CVSS 严重性评级均高于 9，这表明它们不仅可能构成威胁，而且对于远程攻击者来说也相对容易利用。理想情况下，工业控制系统不会轻易暴露于此类缺陷。然而，随着 OT 系统的互联性越来越强，远程管理也变得越来越普遍，组织也越来越容易受到通过面向互联网的 IT 系统发起的攻击。

资料来源：

https://www.scworld.com/news/cisa-warns-of-critical-flaws-in-industrial-control-systems

CISA 标记了 Siemens、Schneider Electric、ABB 设备中的关键 ICS 漏洞

2025年4月23日，美国网络安全和基础设施安全局（CISA）周二发布了五项 ICS（工业控制系统）公告，及时提供有关当前安全问题、漏洞和围绕关键硬件的漏洞利用的信息。该机构警告称，西门子、施耐德电气和 ABB 硬件部署在关键基础设施安装中存在安全漏洞。

资料来源：http://ut2.9dw7.sbs/8kgmqKS

CISA发布9项新的ICS安全公告解决关键漏洞

资料来源：https://www.scworld.com/news/cisa-warns-of-critical-flaws-in-industrial-control-systems