在看 | 周报：北京移动早高峰期间网络故障；台外事部门机密文件再次在暗网被打包售卖；智能公交系统曝出严重漏洞 - 新鲜讯息

热点事件，政策法规，产业要闻，资讯报告，尽在「网安周报」。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

安全事件

8月13日早高峰，北京移动发生网络故障，导致滴滴出行、闲鱼、支付宝、瑞幸咖啡、小红书等多款APP及部分小程序无法使用。用户反映，尽管手机显示4G/5G信号，仍无法上网，部分区域甚至出现“无服务”，影响扫码乘车、网约车、外卖柜和公司考勤等日常场景。

“台外事部门”近日被曝出疑似电子公文外流，并在暗网兜售，引发各界关注。泄露文件内容多集中在2024年，正值“台地区领导人选举”前后，部分内容涉及涉外事务与机密信息。

近期，安全研究人员披露了一项严重漏洞（编号 CVE-2025-44179），该漏洞影响多家公共交通运营商正在使用的智能公交远程管理系统，可能使攻击者实现对公交车辆的实时跟踪，甚至直接远程操控关键子系统。

8月11日，因国家平台(上海节点)结算交易出现异常，上海方面下发指令统一切换到应急备份系统进行上海医保结算。截至8月11日下午，系统仍在逐步恢复中，部分医院结算功能尚未完全正常。用户可通过“上海医保”公众号或“随申办”APP跟踪通知。

近日，接上级网信部门通报，南昌市某医疗机构所属IP疑似被黑客远程控制，并频繁与恶意域名进行通联。7月3日，经过现场勘验、远程勘验（采样技术分析）、笔录问询等工作，查明：该医疗机构未履行网络安全保护义。8月11日，南昌市网信办依据《中华人民共和国网络安全法》第五十九条的规定，对该医疗机构作出警告的行政处罚。

CVE-2025-41236的CVSS评分高达9.3分，可允许未经身份验证的远程攻击者在虚拟环境中执行任意代码、提升权限或部署勒索软件；该漏洞利用难度极低，利用代码据称已在地下论坛流传，扫描数据显示国内有1700余台服务器受影响，建议用户尽快检查是否受影响。

8、Curly COMrades间谍组织袭击格鲁吉亚与摩尔多瓦

https://businessinsights.bitdefender.com/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds

2025年8月12日，网络安全公司Bitdefender披露，新兴网络间谍组织“Curly COMrades”自2024年中起活跃，近期针对格鲁吉亚政府与司法机构及摩尔多瓦能源企业发动攻击。该组织使用自研三阶段后门“MucorAgent”，可执行AES加密的PowerShell脚本，并利用curl.exe进行数据窃取与C2通信。攻击链中还部署Go语言编写的Resocks代理、定制SOCKS5服务器及SSH+Stunnel隧道，实现多重冗余通信。

9、荷兰多机构遭Citrix零日漏洞入侵

https://nvd.nist.gov/vuln/detail/CVE-2025-6543

2025年8月11日，荷兰国家网络安全中心（NCSC）警告，关键漏洞CVE-2025-6543在Citrix NetScaler设备中被黑客利用，黑客因此入侵了荷兰多家关键机构。调查显示，该内存溢出漏洞最初被认为仅能引发拒绝服务攻击，但实际上攻击者已经实现了远程代码执行，并在入侵后清除入侵痕迹。攻击自2025年5月初即作为零日漏洞被利用，早于官方6月发布补丁近两个月。

10、康奈克斯信用社数据泄露影响17.2万会员

https://www.bleepingcomputer.com/news/security/connex-credit-union-discloses-data-breach-impacting-172-000-people/

2025年8月11日报道，美国康涅狄格州大型信用社康奈克斯（Connex Credit Union）确认，其系统在6月初遭黑客入侵，导致约17.2万名会员的个人及财务信息被窃取。泄露数据包括姓名、账号、借记卡信息、社保号及政府身份证明等，但暂无证据显示账户资金受损。事件于6月3日被发现，黑客疑在6月2日至3日期间非法访问或下载相关文件。

11、Manpower数据泄露影响近14.5万人

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/7f78311b-64ff-4436-82b7-187ed0d23685.html

2025年8月11日，全球大型人力资源公司Manpower披露，其美国密歇根州兰辛市加盟商在2024年12月底至2025年1月中遭遇网络入侵，约14.4万名个人信息被窃取。泄露数据包括护照扫描件、社保号、联系方式、财务信息、合同及人事资料等。事件最初在1月因系统中断被发现，RansomHub勒索团伙曾声称窃取约500GB数据并在暗网发布，后删除相关信息，疑似已获赎金。

12、Charon勒索软件攻击中东公共部门和航空业

https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html

2025年8月13，网络安全公司Trend Micro披露，一种名为“Charon”的新型勒索软件针对中东公共部门与航空业发起攻击，其展现APT级别的隐蔽与规避技术。攻击链利用DLL侧加载、进程注入及EDR绕过手段，与疑似关联组织Earth Baxia的战术相似。恶意程序通过伪装Edge.exe加载恶意DLL，再部署勒索载荷，终止安全进程、删除备份并使用多线程与部分加密加速加锁过程。

13、PS1Bot恶意广告投放多阶段内存攻击

https://blog.talosintelligence.com/ps1bot-malvertising-campaign/

2025年8月12日报道，Cisco Talos研究人员发现新型PS1Bot恶意活动正通过恶意广告（Malvertising）传播。该框架采用模块化设计，能利用PowerShell与C#实现多阶段纯内存攻击，可窃取信息、记录键盘输入、截取屏幕、窃取加密货币钱包数据并建立持久访问。攻击自2025年初活跃，初始入口为压缩包中的JS下载器，其通过外部服务器获取脚本执行，逐步加载模块，几乎不留磁盘痕迹。

14、亲俄黑客对挪威水坝实施破坏行动

https://www.bleepingcomputer.com/news/security/pro-russian-hackers-blamed-for-water-dam-sabotage-in-norway/

2025年8月14日，挪威警察安全局（PST）披露，2025年4月亲俄黑客入侵挪威Bremanger大坝控制系统，非法开启泄水阀门。PST负责人Beate Gangås在阿伦达尔论坛上表示，此次攻击旨在展示能力而非实施破坏，目的是制造恐慌、施加政治影响。黑客通过破坏数字控制系统触发阀门开启，导致超过720万升（190万加仑）水非计划性泄流，操作员耗时约4小时恢复系统。

15、加拿大众议院遭遇数据泄露事件

https://www.bleepingcomputer.com/news/security/canadas-house-of-commons-investigating-data-breach-after-cyberattack/

2025年8月14日报道，加拿大众议院于8月8日遭遇网络攻击导致员工信息泄露，调查正在进行。8月11日工作人员收到通知，确认攻击者利用近期微软漏洞入侵设备管理系统数据库，窃取包含姓名、职位、办公地点及电邮等非公开员工信息。当局警示需警惕利用这些信息实施的欺诈活动。加拿大网络安全中心声明正支持众议院进行调查，但尚未将攻击归因于特定组织。

16、宾夕法尼亚州总检察长电子邮件系统遭遇网络攻击后瘫痪

https://www.bleepingcomputer.com/news/security/pennsylvania-attorney-generals-email-site-down-after-cyberattack/

2025年8月13日，宾夕法尼亚州总检察长办公室遭遇网络攻击导致系统全面瘫痪，网站、电子邮件及座机电话服务中断。司法部长戴夫·桑德周一宣布，办公室正协同执法部门调查事件原因并全力恢复服务。尽管尚未确认攻击方，但系统瘫痪特征与勒索软件攻击模式相符。安全专家发现其网络存在Citrix漏洞（CVE-2025-5777），两台涉事设备已于7月底下线。

17、黑客泄露安联人寿在Salesforce攻击中所失窃的数据

https://www.bleepingcomputer.com/news/security/hackers-leak-allianz-life-data-stolen-in-salesforce-attacks/

2025年8月12日报道，美国安联人寿280万条客户及合作方敏感数据遭黑客泄露，涉及姓名、税号等核心信息。该事件源于7月第三方Salesforce系统遭入侵，勒索组织ShinyHunters宣称负责并创建Telegram专用频道公开挑衅。攻击者通过诱导员工授权恶意OAuth应用窃取数据库权限，该组织近期声称与Scattered Spider合并，并承认会延续Lapsus$组织的社会工程攻击模式。

18、圣保罗市网络攻击事件与Interlock勒索软件团伙有关

https://www.bleepingcomputer.com/news/security/saint-paul-cyberattack-linked-to-interlock-ransomware-gang/

2025年8月12日报道，美国圣保罗市市长确认市政系统于7月遭Interlock勒索团伙攻击，导致公共服务大面积瘫痪。州长紧急调动国民警卫队支援，在线支付等市政服务仍受限但豁免滞纳金。该团伙窃取43GB市政数据并部分泄露，以此宣称造成了"重大基础设施损失"。市长强调居民个人信息未泄露且拒绝支付赎金。威胁情报显示攻击始于7月20日，攻击者使用定制版SystemBC恶意软件实施入侵。

19、朝鲜黑客组织Kimsuky遭遇数据泄露事件

https://www.bleepingcomputer.com/news/security/north-korean-kimsuky-hackers-exposed-in-alleged-data-breach/

2025年8月11日报道，朝鲜APT组织Kimsuky遭内部人员"Saber"和"cyb0rg"背叛，导致8.9GB核心数据在DEF CON 33会议期间通过《Phrack》杂志公开曝光。泄密者强烈谴责该组织"为政治目的实施道德扭曲的黑客行为"。值得注意的是，泄露内容包含：韩国国防反情报司令部钓鱼攻击日志、外交部邮件系统源代码、定制化钓鱼工具包及未公开恶意软件。更关键的是，泄露数据揭露了该组织拥有台湾军事站点侦察记录和VPN设备采购痕迹，进一步证实其跨国网络间谍活动特征。

20、墨西哥电力巨头遭遇数据泄露

https://cybernews.com/security/cfe-data-leak-mexico-critical-infrastructure/

2025年8月13日报道，墨西哥国家电力公司CFE超600GB安防日志遭泄露，具体包含电网控制系统漏洞详情、员工网络行为日志及实时威胁警报。经调查发现，该数据是通过安全公司Teliko管理的Kibana暴露于公网的，且自2021年11月起即可公开访问。攻击者若获取这些数据可精准绘制电网安防弱点，进而实施供应链攻击甚至物理损毁。研究人员严正警告："入侵者可能篡改工业控制系统最终引发全国性断电事故"。

21、CISA要求的最后期限临近，微软仍有2.9万个IP未修复

https://cybernews.com/security/thousands-microsoft-exhange-servers-left-unprotected/

2025年8月11日报道，截止CISA要求的最后期限—— 2025 年8月11日上午 9：00 ，全球仍有2.9万台微软Exchange服务器未修复高危漏洞CVE-2025-53786。该本地权限提升漏洞允许攻击者通过本地服务器渗透云端M365环境，严重威胁混合部署架构安全。Shadowserver监测显示美国（7246台）、德国（6682台）、俄罗斯（2513台）为受影响最严重地区，且四日内漏洞主机数量未现下降趋势。微软强调仅安装补丁不足，必须同步执行安全配置指南操作。

法规政策