每周网络安全简讯 ( 2025年 第44周 )

01

 01 

近日，APT组织Lazarus（APT38）近期针对欧洲无人机技术研发企业发起代号"DreamJob"的网络间谍行动，该行动采用伪造职位描述的社交工程学手段，向目标企业发送带有木马化PDF阅读器的虚假招聘文件，触发多阶段感染流程。研究人员在受感染系统中发现名为DroneEXEHijackingLoader.dll的恶意投放器，其内部DLL名称直接证实该行动以无人机技术窃取为核心目标。Welivesecurity安全分析师确认主要载荷为ScoringMathTea远程访问木马（RAT），该木马自2022年底以来已成为Lazarus组织的旗舰工具，支持文件操作、进程控制和数据窃取等功能。为维持通信隐蔽性，该木马通过受控的WordPress目录服务器与C&C基础设施建立连接，并采用IDEA算法加密与Base64编码的双重加密传输机制。目前，研究人员表示该组织已成功入侵中欧和东南欧地区三家国防相关机构。

 02 

今年上半年卡巴斯基实验室捕获一起针对俄罗斯和白俄罗斯组织的精密间谍行动，该行动代号为Operation ForumTroll，实施者为APT组织ForumTroll。该组织通过伪造学术论坛邀请邮件作为诱饵，植入恶意软件发起攻击。此次攻击使用的工具链中，包含意大利间谍软件厂商Hacking Team的新款间谍软件Dante（但丁）。Operation ForumTroll的感染流程始于鱼叉式钓鱼邮件，邮件伪装成Primakov Readings科学与专家论坛的邀请信息，邮件中包含的链接指向短期存在的恶意站点。受害者只需使用Chrome或Chromium内核浏览器访问该链接，无需其他交互操作即可触发感染。卡巴斯基检测引擎在首轮攻击中拦截关键恶意组件，发现其中存在沙箱逃逸0day漏洞CVE-2025-2783。研究人员已及时向Google通报该漏洞，Chrome 134.0.6998.177/.178版本已完成漏洞修补。

 03 

近日，研究人员发现APT组织BlueNoroff发动的两起并行行动GhostCall和GhostHire，针对Web3与区块链从业者及高管的计算机展开长期侦察与入侵。网络攻击通过Telegram定向接触受害者，利用伪造的Zoom/Teams通话页面、假招聘或作业仓库诱导下载恶意脚本（AppleScript、PowerShell、bash等），并以DownTroy、CosmicDoor、RooTroy、RealTimeTroy等多种载荷实现持久化与数据窃取。该组织还借助生成式AI美化诱饵资料以提高欺骗成功率。

02

 01 

 02 

近日，一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露，该方法通过在合法的Microsoft域名上托管可定制的AI Agent，包装传统的OAuth同意攻击，使其看起来可信并绕过用户怀疑。最新报告详述的这种攻击凸显了基于云的AI工具持续存在的漏洞，尽管微软已努力收紧同意政策。攻击者利用Copilot Studio的灵活性创建看似无害的聊天机器人，诱导用户输入登录凭证，最终窃取OAuth令牌用于恶意操作（如读取邮件或访问日历）。随着AI服务的快速发展，本意为提高生产力的用户可配置功能可能无意中助长钓鱼攻击。在企业日益采用Copilot等工具之际，此类漏洞利用凸显了对低代码平台保持警惕的必要性。

 03 

10月27日，十四届全国人大常委会第十八次会议10月28日表决通过关于修改网络安全法的决定，自2026年1月1日起施行。2016年制定的网络安全法是网络安全领域的基础性法律。此次网络安全法的修改，适应网络安全新形势新要求，重点强化网络安全法律责任，加强与相关法律的衔接协调。回应人工智能治理和促进发展的需要，修改后的网络安全法明确，国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。

 04 

近日，瑞典电力公司（Svenska kraftnät）于当地时间10月27日晚间确认遭遇勒索软件攻击，导致约280GB的内部数据可能被窃取。该公司首席信息安全官Cem Göcgören在声明中表示，此次事件影响了有限的外部文件传输解决方案，但电力供应未受影响，关键任务系统保持安全运行。勒索软件团伙Everest声称对此次攻击负责，此前该组织曾对都柏林机场、阿拉伯航空以及美国航空航天供应商柯林斯宇航实施攻击，导致9月份欧洲多个城市的航班运营中断。

 05 

近日，Google宣布，自2026年10月发布的Chrome 154起，浏览器将默认在访问未使用HTTPS的公共网站前提示用户确认，以强化防护中间人攻击与数据篡改风险。此举相当于默认启用“始终使用安全连接”功能，该模式自2021年起为可选设置。未来Chrome将在首次访问非加密网站时请求许可，而对经常访问的HTTP站点不重复提醒。预计2026年4月起，启用增强安全浏览的用户将率先体验该机制。Google表示，目前全球95%以上网站已采用HTTPS，因此此次过渡影响有限，但仍建议网站管理员尽早迁移至安全协议，以避免未来访问受限或出现安全提示。

 06 

近日，日本广告公司电通（Dentsu）披露，其美国子公司Merkle遭遇网络安全事件，导致员工及客户数据被窃取。事件发生后，公司立即启动应急响应并关闭部分系统。泄露信息包括员工薪资资料、个人联系方式及部分客户与供应商数据。电通已通知受影响个人，并向相关国家监管机构报告。Merkle是电通旗下专注客户体验与数据营销的全球子公司，在北美及亚太地区运营，客户涵盖微软、英特尔、宝洁及希尔顿等国际品牌。目前调查仍在进行，电通确认日本国内系统未受影响，但预计事件将造成一定财务损失。

 07 

2025年10月29日，微软遭遇大规模基础设施故障，导致全球多项服务瘫痪，企业和个人用户均受到影响。事件起因是微软云网络中的配置变更出错，进而引发关键平台的连锁故障。微软发布状态更新称，其Azure Front Door内容分发系统及部分内部路由受到影响，导致DNS解析失败和服务连接问题。根据DownDetector等监测网站数据，此次故障始于美国东部时间中午，并迅速蔓延至全球多个区域。

 08 

近日，据Symantec与Carbon Black威胁狩猎团队报告，黑客组织近期针对乌克兰多家机构展开间谍活动，旨在窃取敏感数据并维持长期访问权限。攻击者通过在公共服务器上植入Web Shell（如LocalOlive）入侵系统。入侵行动包括执行PowerShell命令、修改注册表、建立RDP连接、部署OpenSSH并定时运行后门脚本等。尽管未发现确凿证据指向Sandworm组织，但其手法与俄方网络间谍活动高度相似。与此同时，Gamaredon组织亦利用WinRAR漏洞（CVE-2025-8088）攻击乌克兰政府机构，显示俄方网络攻击在持续演进与协同。

 09 

近日，Mirai、Gafgyt及Mozi等多种僵尸网络对PHP服务器、物联网设备与云网关发起自动化攻击激增。攻击者利用已知漏洞及云配置错误，控制易受害系统并扩展僵尸网络，其中PHP框架漏洞如CVE-2017-9841（PHPUnit）、CVE-2021-3129（Laravel）和CVE-2022-47945（ThinkPHP）被频繁利用。部分攻击还滥用Xdebug调试会话或云服务基础设施掩盖溯源。研究指出，这些僵尸网络除传统DDoS外，正演化为可执行凭证填充、AI爬取与钓鱼活动的多功能平台。安全专家建议及时修补系统、禁用调试组件并限制云资源外部访问。

 10 

2025年10月29日，美国海军发布了一份关于军人使用社交媒体的最新指导文件（ALNAV 080/25），进一步细化军人在社交媒体上的行为规范。这份备忘录不仅重申了此前3月发布的政策，还通过加强内部审查机制和纪律处分措施，试图应对日益复杂的网络环境对军方形象和安全构成的挑战。此次更新背后，既有对近期违规事件的反思，也折射出美国海军在数字时代对军人网络行为管理的深层考量。美国海军此前的社交媒体政策自2019年《海军社交媒体手册》发布以来，已历经多次调整。2023年1月发布的《第5400.17号指令》明确禁止军人在社交媒体上发表可能损害军方声誉或引发争议的言论。然而，2025年3月的一份备忘录首次提出对军人社交媒体行为的“内部审查”，标志着政策从被动应对转向主动监控。

03

 01 

 02 

 03 

 04 

 05 

点赞在看转发 是对我们最好的支持