每周网络安全简讯 ( 2025年 第30周 )

2025年7月19日至2025年7月25日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计19条。

APT攻击

俄罗斯APT组织APT28利用Authentic Antics恶意程序对目标用户实施网络攻击

近日，英国国家网络安全中心(NCSC)发布报告，披露与俄罗斯军事情报局(GRU)有关的APT组织APT28使用Authentic Antics新型恶意程序对目标用户实施网络攻击。经分析，该恶意程序经过专门设计，与合法应用程序行为相混合，仿制微软Outlook登录界面，诱骗用户在该页面输入登录密钥，以达到窃取登录密钥和微软服务OAuth身份验证令牌的目的。同时，该恶意程序还会将受控设备上的用户电子邮件转发给APT组织指定的电子邮件地址，从而窃取用户敏感信息。

链接：https://www.infosecurity-magazine.com/news/new-malware-targeting-email/

疑似APT组织APT28利用基于AI的LameHug恶意程序对乌克兰目标用户实施攻击

近日，乌克兰国家计算机应急响应小组(CERT-UA)称，疑似APT组织APT28通过嵌入恶意载荷的电子邮件对该国目标用户实施钓鱼攻击，并试图植入LameHug恶意程序。经分析，该恶意程序采用Python语言进行开发，可根据文本描述，通过调用LLM生成相应攻击指令，并根据相应指令收集受控设备系统参数、用户文档等敏感信息。安全人员声称，该恶意程序由于采取人工智能方式实施攻击，因此该APT组织可在不部署任何新载荷的情况下调整攻击策略，且由于相应攻击指令由LLM自动声称，因此可绕过硬编码代码检测、静态分析等安全软件的查杀，攻击手段更加灵活，通信过程更加隐蔽，可在用户不易察觉的情况下对受控设备实施持久化远控。

链接：https://industrialcyber.co/ransomware/ukraine-pins-ai-powered-lamehug-malware-attacks-on-defense-sector-to-russian-backed-apt28-group/

APT组织DarkHotel利用DarkSeal对目标用户实施网络攻击

安全人员监测发现，APT组织DarkHotel自2024年10月份起，利用名为“hana9.30_x64_9.exe”伪装成合法朝鲜输入法安装应用的恶意程序，以及名为“winrar-x64-540.exe”伪装成合法压缩工具的恶意程序对目标用户实施网络钓鱼攻击。当用户点击安装时，钓鱼应用会从资源中提取原始的安装程序并释放到执行目录，拷贝机器的白程序作为启动程序并为之创建计划任务实现持久化，最后创建dllhost.exe进程，通过远程线程的方式注入一段Shellcode，用于将之前释放的正常程序替换当前的恶意安装程序。经分析发现，自2022年起，该载荷的形式和功能就稳定下来，其植入受控设备后会通过计划任务启动一个白程序，利用DLL劫持解密加载Meterpreter和Thinmon功能载荷，并最终实施命令执行、键盘记录、屏幕截图、文件下载、内存注入、横向渗透等操作，以达到对受控设备持久化远控的目的。

链接：

APT组织Gamaredon对乌克兰目标用户实施网络攻击

近日，安全研究人员监测发现APT组织Gamaredon对乌克兰职能部门用户实施网络钓鱼攻击。此次攻击活动中，该APT组织向用户投递钓鱼文档，诱使用户点击实施渗透入侵。攻击成功后，文档内的恶意宏将会解密释放vbs脚本文件，收集用户设备参数，进而使用正则表达式提取硬编码在其代码中的IP地址，进行DNS解析后拼接成C2通联地址。然后，该vbs脚本将会与C2服务器建立通联关系，下载后续功能性载荷，对受控设备实施持久化远控。

链接：

网络动态

美国总统特朗普拟发布三项人工智能行政命令

近日，美国总统特朗普特朗普拟发布三项人工智能行政命令，聚焦于基础设施、人工智能技术出口，以及纠正大型语言模型存在的偏见问题。其中，第一项命令由能源部牵头，解决数据中心能源和许可问题，同时发布新建数据中心招标；第二项命令联合美国国际开发金融公司和进出口银行，加速AI技术海外推广；第三项命令针对联邦政府采购的AI工具，清除“觉醒AI”概念及意识形态偏见，由白宫AI主管和高级政策顾问主导设计。此外，行动计划强调推动联邦政府内部AI应用，设立由国土安全部主导的AI信息共享与分析中心，发布针对AI的网络安全指南，更新美国国家标准与技术研究院的AI风险管理框架，移除其中关于多样性、公平性及气候变化的内容。

链接：https://www.whitehouse.gov/presidential-actions/2025/07/preventing-woke-ai-in-the-federal-government/

美国白宫发布《赢得人工智能竞赛：美国人工智能行动计划》

美国白宫官方网站发布《赢得人工智能竞赛：美国人工智能行动计划》，旨在落实特朗普总统今年1月发布的关于消除美国在人工智能领域领先地位障碍的行政命令。该计划确定了特朗普政府在未来几周和几个月内采取的三大支柱（加速创新、建设美国人工智能基础设施以及领导国际外交和安全）90多项联邦政策行动，其主要政策包括：一是出口美国人工智能资源，如：硬件、模型、软件、应用程序、标准等；二是促进数据中心快速建设，加快数据中心、半导体工厂的许可证发放，同时制定全国性措施，增加多类型技术人员的职业岗位；三是促进创新，取消阻碍人工智能发展和部署的联邦法规，并寻求私营部门对取消规则的意见；四是维护前沿模型的言论自由，更新联邦采购方案，以确保美国政府与前沿大型语言模型开发商的合同签订工作，确保他们的人工智能系统保持客观，且不受意识形态偏见的影响。

链接：https://www.whitehouse.gov/articles/2025/07/white-house-unveils-americas-ai-action-plan/

谷歌公司拟推出OSS Rebuild计划，增强开源软件包生态系统安全性

近日，谷歌公司宣布推出名为“OSS Rebuild”的计划，旨在加强开源软件生态系统的安全性，并进一步降低软件供应链攻击风险。据分析，该计划项目为Python包索引（PyPI）、npm（JS/TS）和Crates.io（Rust）包注册表建立“构建来源”，利用“声明式构建定义”（Declarative build definitions）、“构建过程检测机制”（Build instrumentation）和网络监控功能的组合，生成可靠性较高的安全元数据，并利用这些元数据验证包的来源，以防相关包遭到篡改。同时，一旦相关软件包被复制或进行其他操作，“构建定义”部分将会同步声明并通过SLSA Provenance进行发布，允许用户对其来源进行验证，甚至从已知的功能基线进行定制化重构。此外，谷歌公司表示，OSS Rebuild可为多种类型供应链漏洞提供检测，包括：软件包中具有公共源存储库不存在的代码、可疑构建活动，以及程序包中嵌入异常执行路径和可疑操作行为。

链接：https://thehackernews.com/2025/07/google-launches-oss-rebuild-to-expose.html

黑客组织Proxy Trickster对俄罗斯等58个国家目标实施攻击

近日，Solar 4RAYS安全团队监测发现黑客组织Proxy Trickster对俄罗斯在内的58个国家的900多台服务器实施入侵。据称，此次攻击活动首现于2024年5月份，并利用Selenium Grid等多个公开服务存在的安全漏洞实施入侵。攻击成功后，将会用自定义脚本替换ps、pstree、pkill等系统程序，并利用多层自动化攻击机制，对目标设备实施远控。目前，该组织仍保留着对大部分受感染服务器的访问权限，存在较大的安全风险。

链接：https://hackmag.com/news/proxy-trickster

针对俄罗斯航空航天、国防等目标实施入侵的CargoTalon攻击行动被披露

近日，安全研究人员监测发现疑似Head Mare黑客组织对俄罗斯航空航天、国防部门等目标实施代号为“Operation CargoTalon”的网络攻击活动。据分析，该黑客组织以“俄罗斯物流运输托运单（TTN）”为话题制作钓鱼邮件，诱使用户点击实施渗透入侵，并在攻击成功后经过多阶段感染链，部署EAGLET恶意程序载荷。然后，该载荷将会模仿Microsoft Store合法流量，利用Windows网络API（WinHttpOpen、WinHttpConnect等）与黑客组织指定服务器建立HTTP通信隧道，进而在绕过用户设备安全检测的情况下窃取敏感信息。

链接：https://cybersecuritynews.com/operation-cargotalon-attacking-russian-aerospace/

美国能源部主办CyFERS峰会联合40州强化能源行业网络安全

近日，美国能源部网络安全、能源安全和应急响应办公室（CESER）于盐湖城举办为期三天的“能源韧性网络安全峰会”（CyFERS），汇聚来自40个州的80余位州政府领导人、能源企业代表和国家实验室专家，共同商议能源行业网络空间威胁情报和信息共享等项事宜。此次峰会结合线上会议研讨和实际网络演习的方式，增强各州保护其关键资产免受网络攻击的能力。

链接：https://industrialcyber.co/news/does-cyfers-summit-unites-40-states-to-tackle-energy-sector-cyber-threats/

纽约为供水系统出台网络安全新规

近日，纽约州宣布针对服务人口超过3300人的供水和废水处理系统推出新的网络安全法规，要求其建立全面的安全计划、定期风险评估并实施技术防护和事件响应机制，同时受监管的水务机构还必须制定并测试恢复计划，以确保在遭受网络攻击时能够持续运营。该法规适用于服务人口超过3300人的社区供水系统，对于服务人口超过5万人的机构，则有额外要求。纽约州多个机构将在9月前接受意见征询，受监管实体必须在2027年初之前符合该法规相关要求。

链接：https://therecord.media/new-york-cyber-regulations-water-grant

漏洞资讯

Microsoft SharePoint存在远程代码执行漏洞

近日，安全研究人员发现企业级协作平台Microsoft SharePoint存在远程代码执行漏洞（CVE-2025-53770），是由SharePoint处理HTTP Referer头时存在缺陷所导致，攻击者可将其与CVE-2025-49706和CVE-2025-49704安全漏洞联合使用，对目标用户实施ToolShell攻击，进而远程执行任意代码。漏洞影响本地部署的Microsoft SharePoint Server 2019等产品版本，目前用户可通过补丁更新修复上述安全漏洞。

链接：https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/

CrushFTP存在权限绕过漏洞

近日，安全研究人员发现企业文件传输服务器CrushFTP存在权限绕过漏洞（CVE-2025-54309），是由CrushFTP对“适用性声明2”（AS2）验证处理不当所导致，允许未经身份验证的攻击者通过HTTPS获取CrushFTP Web界面的管理员访问权限。漏洞影响CrushFTP 10 < v10.8.5、CrushFTP 11 < v11.3.4_23等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://www.helpnetsecurity.com/2025/07/21/crushftp-cve-2025-54309-vulnerability-exploited/

Laravel框架存在远程代码执行漏洞

近日，安全研究人员发现Laravel框架Livewire组件存在远程代码执行漏洞（CVE-2025-54068），是由该组件中多模块属性更新混合方式存在缺陷所导致，允许攻击者在特定场景下远程执行任意代码。漏洞影响3.0.0-beta.1至3.6.3版本，目前用户可通过将版本升级至3.6.4版本的方式修复上述安全漏洞。

链接：https://cybersecuritynews.com/livewire-rce-vulnerability/

ExpressVPN存在安全漏洞

近日，安全研究人员发现广泛使用的ExpressVPN存在安全漏洞，是由特定版本中某内部测试调试代码未被移除所导致，允许攻击者在用户使用远程桌面协议（RDP）连接时绕过VPN加密隧道，进而窃取真实IP地址。漏洞影响12.97至12.101.0.2-beta版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://cyberpress.org/expressvpn-windows-vulnerability/

谷歌Chrome浏览器存在多个安全漏洞

近日，安全研究人员发现谷歌Chrome浏览器存在多个安全漏洞，其中2个类型混淆漏洞（CVE-2025-8010、CVE-2025-8011）较为严重。攻击者可利用上述安全漏洞造成目标设备内存损坏，进而在浏览器上下文中执行任意代码。目前，用户可将Chrome浏览器版本升级至138.0.7204.168/.169（Windows）、138.0.7204.168（Linux）的方式修复上述安全漏洞。

链接：https://cybersecuritynews.com/chrome-type-confusion-attacks/

木马病毒

NailaoLocker新型勒索软件被披露

近日，安全研究人员捕获到NailaoLocker新型勒索软件样本。经分析发现，该样本与传统勒索软件具有较大区别，采用了SM2椭圆曲线公钥密码算法，对加密用户文件所使用的AES-256-CBC对称加密密钥和初始化向量（IV）进行加密，不仅提升了加密性能，也增加了传统检测技术的复杂度。同时，该样本在植入受控设备后，可通过DLL侧加载技术将3个恶意组件注入合法进程中：一是usysdiag.exe，为合法的可执行文件，可作为启动点，调用其他附属组件；二是sensapi.dll，为恶意DLL加载程序，用于加载和解密勒索软件载荷；三是usysdiag.exe.dat，为经过混淆的勒索软件功能核心载荷，含有勒索加密需要的所有功能性代码。综合以上多个组件，该样本可有效绕过传统杀毒软件的检测，还可通过执行后迅速进行扫尾工作，减少痕迹残留。

链接：https://cybersecuritynews.com/nailaolocker-ransomware-attacking-windows-systems/

新型安卓间谍软件DCHSpy被披露

近日，安全研究人员捕获到与伊朗情报和安全部(MOIS)有关的DCHSpy新型间谍软件样本。经分析发现，该样本是一种模块化木马程序，通常伪装成VPN应用程序或Starlink互联网连接服务软件向外投递传播，针对政客、活动人士、记者等目标用户安卓设备实施入侵。攻击成功后将会收集用户各类数据，涉及：设备账户、联系人、短信、通话记录、文件、地理位置、环境音频、照片等敏感信息。此外，经安全人员追踪溯源称，该样本还与另一款针对波斯语用户实施攻击的安卓恶意程序SandStrike共用同一个C2基础设施，且近期攻击活动较为活跃，疑似为伊朗、以色列冲突事件在网络空间的延续。

链接：https://thehackernews.com/2025/07/iran-linked-dchspy-android-malware.html

Coyote新型恶意程序变种被披露

近日，安全研究人员捕获到Coyote新型恶意程序变种样本。经分析发现，该样本属银行木马恶意程序，与传统银行木马不同的是，该样本可在入侵受控设备后调用其Windows操作系统上的UI自动化(UIA)功能组件，通过GetForegroundWindow() Windows API提取活动窗口信息，将其与硬编码在恶意程序内部的网址列表（75家不同金融机构网站）比对后，定向窃取用户登录凭证等敏感信息。此外，该样本可同时在离线与在线情况下稳定运行，执行信息筛查和检测，极大增加了攻击者窃取凭证的机会。

链接：https://thehackernews.com/2025/07/new-coyote-malware-variant-exploits.html

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持