每周网络安全简讯 ( 2025年 第25周 )

2025年6月14日至2025年6月20日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计20条。

APT攻击

APT组织TaxOff利用谷歌Chrome浏览器漏洞对俄罗斯目标用户实施网络攻击

近日，安全研究人员监测发现APT组织TaxOff以“Primakov Readings 论坛邀请”为话题制作嵌入恶意链接的钓鱼邮件，诱使俄罗斯目标用户点击实施渗透入侵。当用户点击恶意链接时，将会触发谷歌Chrome浏览器安全漏洞（CVE-2025-2783），无需用户交互即可绕过Chrome浏览器的沙盒安全机制，向受控设备植入Trinper后门程序。经分析，该后门程序采用了多层加密系统对抗代码分析技术，并会在植入受控设备后执行环境检查，当发现自身处于真实的用户设备且目标系统固件UUID匹配正确后，将会把进程环境块(PEB)结构中的ImagePathName作为附加解密密钥，对自身代码进行解密及载荷执行操作，以实施文件操作、键盘记录、C2通信等恶意操作。此外，经安全人员追踪发现，该APT组织与Team46组织在PowerShell命令结构、URL模式和加载器功能等方面存在较多相似之处，疑似为不同身份运营的相同APT组织。

链接：https://thehackernews.com/2025/06/google-chrome-zero-day-cve-2025-2783.html

APT组织Kimsuky利用Endoor恶意软件对韩国目标用户实施网络攻击

近日，安全研究人员捕获到APT组织Kimsuky对韩国目标用户实施网络攻击所采用的Endoor恶意软件样本。经分析发现，该样本实用Go语言进行编写，在植入用户设备后，首现会生成用户识别UID、设备主机名等参数信息，然后通过POST方式与C2服务器建立通联关系，进而实施后门创建、敏感信息窃取等恶意操作。同时，该样本与历史样本相比具有以下特点：一是恶意函数的文件路径以local.github.com开头，试图伪装为来自GitHub的开源代码，避开代码审查；二是后门连接C2服务器的53端口，而不是常规的80或者443端口，一定程度上可以绕过对恶意流量的检测，体现了Kimsuky组织在实施攻击时不断调整手法的灵活性。

链接：

APT组织APT-C-60近期攻击手段演进情况被披露

近日，安全人员监测发现朝鲜APT组织APT-C-60通过滥用GitHub等可信云平台构建隐蔽指令通道，将GitHub作为指令中继和前置载荷存储平台，以Bitbucket作为后门功能性载荷，不仅实现了动态载荷分发，还显著提升了攻击的隐匿性。经分析，该APT组织利用的GitHub仓库中存在多个功能分类的文件，包括：一是测试工程功能，该APT组织于2025年1月份上传了文档、加密数据等测试用文件，且内涵加密的合法DLL；二是版本管理功能，上传的“version.txt”写入了组件版本信息，用于恶意程序定期维护；三是指令下发功能，上传的“机器指纹UID.txt”文件写入了载荷URL、JS动态指令、目录遍历指令等内容；四是加密载荷功能，上传的“coninsfile.dat”等文件，经过XOR算法加密，绝大部分加密载荷均为可执行文件或后门程序。同时，经对GitHub上的所有文件分析统计发现，涉及的攻击组件关键样本涉及：“UsrClassCache.dat”，为VHDX虚拟文件系统中释放的文件，功能用于执行Github项目指令功能；“Backdoor Installer”，为第二阶段执行载荷，可对下一阶段功能性载荷进行Base64附加特定密钥的解密操作；“Backdoor Config.dat”，为后门程序功能性载荷，在植入受控设备后可实施文件上传、屏幕截图、目录遍历等恶意操作。

链接：

网络动态

以色列、伊朗冲突期间网络安全事件概要

2025年6月13日凌晨，以色列发动代号为“狮子力量”的大规模军事行动，对伊朗境内目标实施多轮精准打击，双方战事正式升级，且战事冲突逐步蔓延至网络空间，引发多个具有国家背景支持的黑客组织攻击行动，造成了一定影响。部分网络安全事件概要如下：

1）勒索软件组织handala对以色列Delek燃料供应公司、YG New Idan建筑公司、099 Primo Telecommunications互联网提供商、阿根廷AeroDreams无人机制造商实施攻击，并声称已窃取超过2TB数据；

2）伊朗政府声称，已限制本国互联网访问，以降低以色列网络攻击影响，WhatsApp、Instagram、苹果应用商店、谷歌Play商店、Facebook等应用已无法访问；

3）亲以色列黑客组织Predatory Sparrow声称，其对伊朗Sepah银行实施一系列网络攻击，并删除了国有银行系统的部分数据；

4）伊朗针对以色列工业和关键系统的网络活动激增700%，受伊朗政府支持的APT组织APT34(OilRig)和APT39(Remix Kitten)在冲突期间持续对以色列用户实施间谍活动，并试图破坏基础设施，同时黑客组织“阿拉伯幽灵”（Arabian Ghost）声称已关闭以色列广播电台；

5）6月16日，在野发现名为“encryption.exe”的勒索软件样本，疑似为Anon-g Fox黑客组织所用，该勒索软件样本在入侵设备后会检查系统时区是否为以色列标准时区，且系统语言是否为希伯来语，若条件不成立则停止运行，因此判断与此次以色列、伊朗冲突有关；

6）据安全人员监测称，6月13日至6月18日，共有超过74个黑客组织针对中东地区实施网络攻击，其中大部分黑客组织将以色列政府、国防、媒体、能源等领域组织机构作为优先入侵目标。

信息来源：cyberdaily、thehackernews、industrialcyber等多家媒体

美国国会发布《医疗网络安全法案》拟议提案

近日，美国国会众议员 Brian Fitzpatrick 和 Jason Crow发布名为《医疗网络安全法案》的拟议提案，将在CISA与HHS之间建立正式沟通渠道，促进实时威胁情报共享、加强事件安全响应，并促进医疗人员的网络安全培训工作。相关议员声称，该法案旨在应对近期激增的网络攻击情况，这些攻击会造成医院关闭、紧急服务中断等情况，同时也会造成医患的敏感信息泄露。同时，据法案描述，CISA与HHS在该法案通过的一年内，需向国会提交报告，详细说明与特定医疗保健产品或医疗资产相关的网络安全风险细节，梳理高风险设备清单，以备后期定期进行更新换代。

链接：https://www.halcyon.ai/blog/bipartisan-bill-proposes-cisa-hhs-liaison-to-address-hospital-cyberattacks

美国DARPA计划通过“形式化方法”推动国防工业基础发展

近日，美国国防高级研究计划局（DARPA）启动一个名为“迷你”的网络安全顶点计划（“mini” cybersecurity capstone program），旨在通过数学驱动的形式化方法重构国防工业基础（DIB）网络防御体系。为推动该计划不断发展，DARPA做出了如下努力：一是推动“弹性软件系统加速器”项目（Resilient Software Systems Accelerator），为国防企业开发“形式化方法工具”提供种子资金，为开发几乎不存在安全漏洞的应用软件提供数学证明；二是美国空军将“形式化方法”纳入MQ-9 Reaper无人机计划，提速开发具备网络弹性和性能强大的武器系统软件，并以此提升对DARPA的支持力度，该项是第一个确定试点武器系统的军种，未来“迷你”网络安全顶点计划将涉及每个军种的作战平台，其中陆军、海军和美国国家航空航天局将在未来一至两个月内正式启动“迷你”网络安全顶点计划。目前，美国国防部高级研究计划局信息创新办公室副主任凯瑟琳·菲舍尔声称：“继发布迷你顶点计划后，DARPA将会向各公司提供信息请求，要求其提交获取‘形式化方法’资金后具体用途的提案声明”。

链接：https://breakingdefense.com/2025/06/darpa-aims-to-make-defense-firms-much-much-harder-to-hack-with-formal-methods-push/

G7国家承诺推进人工智能与量子技术合作发展

6月17日，加拿大政府官方网站发文称，在加拿大卡纳纳斯基斯举行的七国集团（G7）峰会后，美国、加拿大、法国、日本、德国、意大利和英国领导人达成共识，推动人工智能（AI）和量子技术的联合研究及政策制定，以促进创新与全球领导力。同时，为了充分发挥人工智能的潜力，G7国家计划：一是发起七国集团人工智能大挑战（the G7 GovAI Grand Challenge），并构建一系列“快速解决方案实验室”，以开发创新、可扩展的人工智能解决方案，为公共部门部署人工智能平台提供助力；二是建立七国集团人工智能网络（GAIN），制定人工智能项目线路图，且为成员国提供开源、可共享的人工智能解决方案目录；三是以变革性的方式加速公共部门人工智能采用部署，包括大语言模型和数字基础设施；四是合作开发创新解决方案，以应对能源危机；五是投资本地主导的人工智能创新项目，与高校合作，按照商定条款共享各类资源；六是制定自愿性最佳实践汇编，为人工智能人才培养提供支撑，同时鼓励各性别工作者在未来人工智能工作上的平等性；七是通过“人工智能促进发展”、“人工智能可持续发展中心”、“当代人工智能”、“公平与创新”（FAIR Forward）、“广岛人工智能进程之友小组” 、“人工智能造福公众”等倡议，推动人工智能发展和各成员国的协作关系。

链接：https://www.pm.gc.ca/en/news/statements/2025/06/17/g7-leaders-statement-ai-prosperity

美国国家标准与技术研究院发布《5G网络安全设计原则》白皮书

6月17日，据美国NIST官方网站报道，美国国家标准与技术研究院（NIST）近日发布《5G网络安全设计原则》白皮书，为商业和私人5G网络运营商提供网络基础设施安全设计指导。这份12页的白皮书由NIST国家网络安全卓越中心（NCCoE）开发，是“应用5G网络安全和隐私功能”系列文件的一部分，探讨了数据中心和云环境面临的挑战，指导相关用户确保5G流量的逻辑分离，并提供了底层网络基础设施如何隔离数据平面、信令和运维流量的详细说明。

链接：https://www.nist.gov/news-events/news/2025/06/network-security-design-principles-applying-5g-cybersecurity-and-privacy

英国正式通过《数据使用和访问法案》

6月19日，英国信息委员会官方网站发文称，近日，英国政府已正式批准《数据（使用和访问）法案》（The Data (Use and Access) Act 2025，DUAA）。该法案更新了《数据保护法》的关键内容，旨在使英国在发展和创新产品、服务的同时轻松保护用户个人信息。相较于《数据保护法》，该法案的更新内容包括：一是澄清个人信息用于研究目的的理由；二是取消对特定自动决策的限制；三是规定未经同意使用用户Cookie的限定条件；四是允许慈善机构在特殊情况下可不经用户同意向其发送营销电子邮件；五是要求相关组织建立数据保护投诉程序。

链接：https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/06/uk-organisations-stand-to-benefit-from-new-data-protection-laws/

国际自动化学会拟推出ISASecure 工业自动化控制系统安全保障(ACSSA)检查和认证计划

近日，在布鲁塞尔举行的ISA OT网络安全峰会上，国际自动化学会(ISA)宣布即将推出ISASecure工业自动化控制系统安全保障(ACSSA)检查和认证计划。该计划基于ISA/IEC 62443网络安全评估方案，将通过一种通用的方法，评估工业自动化和控制系统（IACS）是否符合ISA/IEC 62443系列标准。对于保险承保人而言，他们可利用该计划框架将评估流程整合至承保风险评估和精算模型中，改善工业环境的风险分析；对于产品供应商和服务提供商而言，将使其更清晰明确网络安全责任，同时该计划为站点级网络安全合规性的独立验证提供了明确思路；对于政府、立法者和监管机构而言，其将会把该计划框架列为广泛接受、行业支持的基础网络安全指标，进而提高各个行业的OT网络安全基准。

链接：https://industrialcyber.co/isa-iec-62443/isas-acssa-scheme-targets-patchwork-ot-security-with-unified-site-level-certification/

漏洞资讯

MCP Inspector存在远程代码执行漏洞

近日，安全研究人员发现用于测试和调试MCP服务器的交互式开发者工具MCP Inspector存在远程代码执行漏洞（CVE-2025-49596），是由Inspector客户端与代理之间缺乏身份验证机制所导致，允许未经身份验证的攻击者通过stdio启动MCP命令。漏洞影响MCP Inspector < 0.14.1等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://securityonline.info/cve-2025-49596-critical-rce-vulnerability-in-mcp-inspector-exposes-ai-developer-environments/

VMware Spring Framework存在反射文件下载(RFD)漏洞

近日，安全研究人员发现VMware Spring Framework存在反射文件下载（RFD）漏洞（CVE-2025-41234），允许攻击者利用Web应用程序中配置不当的Content-Disposition标头执行任意恶意代码。漏洞影响version < 6.2.8等版本，目前用户可通过将版本升级至6.2.8、6.1.21、6.0.29修复上述安全漏洞。

链接：https://gbhackers.com/spring-framework-flaw/

泛微E-cology9存在远程代码执行漏洞

近日，安全研究人员发现企业级协同办公自动化系统泛微E-cology9存在远程代码执行漏洞（XVE-2025-21313），是由该系统对用户输入参数缺乏安全验证和转义机制所导致，允许攻击者利用该漏洞向数据库中写入数据，并利用Ole组件导出为Webshell，实现远程代码执行，进而获取服务器权限。漏洞影响version < v10.75等版本，目前用户可通过补丁更新修复上述安全漏洞。

链接：

LangFlow平台存在安全漏洞

近日，安全研究人员发现用于构建AI应用的Python平台LangFlow存在安全漏洞（CVE-2025-3248），未经身份验证的远程攻击者可通过向用户设备发送特制恶意HTTP请求的方式，远程执行任意代码。目前，该漏洞已发现被攻击者利用部署Flodrix僵尸网络等情况，漏洞影响Langflow version < 1.3.0等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://www.trendmicro.com/en_us/research/25/f/langflow-vulnerability-flodric-botnet.html

Veeam Backup & Replication存在远程代码执行漏洞

近日，安全研究人员发现企业级备份和灾难恢复解决方案Veeam Backup & Replication存在远程代码执行漏洞（CVE-2025-23121），允许经过初步身份验证的攻击者在目标备份服务器上远程执行任意代码。漏洞影响Veeam Backup & Replication≤12.3.1.1139等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://thehackernews.com/2025/06/veeam-patches-cve-2025-23121-critical.html

Asana MCP服务存在安全缺陷

近日，安全研究人员发现美国Asana公司新推出的模型上下文协议（MCP）服务在运行过程中存在缺陷，是由其MCP服务器中一个软件存在安全漏洞所导致，允许Asana各实例中的数据可能被其他MCP用户访问，尽管数据访问范围受限于各用户的权限设定，但仍存在一定程度的数据暴露风险。为解决该缺陷问题，Asana公司于2025年6月5日至6月17日将MCP功能下线维护，目前已恢复正常运行。

链接：https://www.theregister.com/2025/06/18/asana_mcp_server_bug/

Cisco AnyConnect VPN存在安全漏洞

近日，安全研究人员发现Meraki MX与Z系列思科设备的AnyConnect VPN功能存在安全漏洞，是由其建立SSL VPN会话时变量初始化错误所导致，允许未经身份验证的远程攻击者通过构造特定HTTPS请求造成VPN服务崩溃并中断远程连接，最终造成目标设备服务拒绝。漏洞影响包括MX64至MX600全系列及Z3至Z4C等设备，目前除使用MX400与MX600等停产设备的其他用户可通过将固件版本升级至18.107.13、18.211.6 和19.1.8的方式修复上述安全漏洞。

链接：https://www.securityweek.com/high-severity-vulnerabilities-patched-by-cisco-atlassian/

木马病毒

AMOS信息窃取程序新变种被披露

近日，安全研究人员捕获到针对MacOS系统实施攻击的AMOS信息窃取程序新变种样本。经分析发现，该样本具备以下特点：一是通过伪装成Ledger Live等合法程序，托管在GitHub平台上进行传播；二是具备base64编码、XOR加密、自定义字符集解码等多重混淆能力，可有效规避传统安全软件的检测；三是该样本支持在x64和ARM64等架构上运行，具有较强的平台兼容性；四是植入受控设备后，会自动复制“.touchlock”文件到特定目录下，可绕过MacOS系统安全机制，以较高系统权限持续窃取用户加密货币钱包等敏感信息。此外，利用该样本实施攻击的运营者，不仅频繁动态更换GitHub存储库地址，而且部署了多个C2服务器，极大提升了该信息窃取程序样本的生存能力。

链接：https://cybersecuritynews.com/amos-macos-stealer-hides-in-github/

被GrayAlpha黑客组织利用的PowerNet等2款恶意程序被披露

近日，安全研究人员捕获到GrayAlpha黑客组织实施攻击所利用的PowerNet等2款恶意程序样本。经分析发现，第一款恶意程序为PowerNet，是该黑客组织定制研发的下载器载荷，可在植入受控设备后解压缩自身代码，并写入NetSupport RAT功能性载荷，对用户设备实施远控；第二款恶意程序为MaskBat，是该黑客组织定制研发的另一个下载器载荷，与FakeBat基础代码相似但经过多重混淆，且包含了与GrayAlpha相关的字符串。此外，经分析，该黑客组织所使用的C2服务器与APT组织FIN7有所重叠，且采用的其他功能性载荷和攻击技巧均与FIN7较为相似，安全人员建议相关用户应强制使用应用程序访问列表、提升安全意识、更新检测规则等措施，以降低遭受攻击的风险。

链接：https://malware.news/t/grayalpha-uses-diverse-infection-vectors-to-deploy-powernet-loader-and-netsupport-rat/95498

Amatera Stealer恶意程序被披露

近日，安全研究人员捕获到Amatera Stealer恶意程序样本。经分析发现，该样本是基于ACR Stealer迭代开发的全新变种版本恶意程序，以恶意软件即服务(MaaS)的形式对外出售。与此前版本相比，该变种版本存在如下特点：一是采用了ClickFix技术诱骗用户实施入侵；二是取代了Winsock库，利用NTSockets直接与C2服务器进行通联；三是使用WoW64 Syscalls进行动态API解析和执行，可绕过沙箱、EDR等安全设备检测。

链接：https://www.proofpoint.com/us/blog/threat-insight/amatera-stealer-rebranded-acr-stealer-improved-evasion-sophistication

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持