本文预计阅读时间 18分钟
漏洞预警方面,俄罗斯黑客利用MSC EvilTwin和CVE-2025-26633漏洞,部署SilentPrism和DarkWisp,实施复杂渗透。佳能打印机驱动漏洞使全球用户面临远程代码执行风险,Apache Parquet中发现的RCE缺陷对大数据处理系统构成威胁。CISA发布的建议揭示了工业控制系统(ICS)中的高风险漏洞,进一步暴露了关键基础设施的脆弱性。WordPress插件的漏洞也为攻击者提供了可乘之机。
安全事件方面,哈尔滨亚冬会赛事信息系统遭境外攻击超过27万次。乌克兰铁路网络也检测到带有“俄罗斯痕迹”的攻击。乌克兰国家系统遭遇了WRECKSTEEL恶意软件攻击,俄罗斯国防部门遭遇武器化文件渗透。此外,美国超过半数电力与供水公司遭受攻击,莫斯科地铁系统出现疑似网络攻击,导致网站和APP服务中断。
风险预警方面,Hunters International从传统勒索软件攻击转向纯粹的数据勒索,威胁更具针对性和隐蔽性。思科警告其CSLU后门管理员帐户被黑客利用进行攻击。
产业发展方面,欧盟委员会将投资13亿欧元用于网络安全和人工智能。
近日,由交通运输信息安全中心有限公司承担主要编制工作的《交通运输行业网络安全实战演练工作规程》(JT/T 1545—2025)行业标准正式发布,将于2025年7月1日实施。该标准是国内首部网络安全实战演练领域标准,网络安全实战演练可通过模拟真实网络攻击场景,检验和提升组织的网络安全防护能力,能更好应对日益复杂的网络安全威胁。
资料来源:
https://www.secrss.com/articles/77291
2025年4月3日,美国网络安全与基础设施安全局(CISA)与国家安全局(NSA)及其他政府和国际合作伙伴共同发布了一份联合网络安全咨询(CSA),警告组织、互联网服务提供商(ISPs)和网络安全服务提供商关于一种能够持续逃避检测的快速转换恶意活动。CSA还提供了防御快速转换的推荐行动。
资料来源:
https://www.secrss.com/articles/77291
2025年3月31日,欧洲网络安全能力中心(ECCC)正式通过"数字欧洲计划(DEP)"首个网络安全工作计划,将在2025-2027年间重点投资三大领域。一是前沿技术布局。投入1.8亿欧元开发基于生成式AI的网络安全系统,提升威胁情报分析能力;建立欧洲后量子密码学测试基础设施,应对量子计算破解风险;专项支持中小企业满足《网络弹性法案》等新规要求。二是关键立法实施;构建欧洲网络安全警报系统(ECAS),整合跨境威胁检测网络;落实《网络团结法案》应急机制,建立成员国互助框架。三是重点领域防护。协调NIS2指令、DORA法规等多项立法要求;专项保护医疗系统网络安全;加强海底电缆等关键通信基础设施监控。
资料来源:
http://5p1.9dw5.sbs/Jn7VzOF
2025年4月2日,日本国会正式通过《主动网络防御法案》,标志着该国网络安全战略的重大转变。该法案核心内容包括:1)建立网络安全委员会强化威胁分析能力;2)强制要求关键基础设施运营商即时报告网络安全事件;3)授权政府监控跨境通信数据(含IP地址及传输时间);4)设立"网络危害预防官"职位,赋予军方在攻击事件中瘫痪境外服务器的权力。分析人士指出,此举使日本网络防御体系与欧美国家接轨,但Tripwire专家Josh Breaker-Rolfe警告称,法案未明确界定行动授权边界,可能导致执法部门权力过度扩张。日本政府表示将制定实施细则确保权力规范行使。
资料来源:
http://l41.9dw2.sbs/xMVmEif
2025年4月2日,美国联邦通信委员会(FCC)共和党委员Nathan Simington透露,当前针对消费级物联网设备的"网络信任标志"认证体系或将扩展至无线通信设备和工业物联网领域。该计划自年初实施以来,已依据拜登政府行政令要求联邦承包商在2027年前优先采购带有该标志的产品。Simington在IT产业委员会活动中表示,FCC正通过与其他执法及情报机构协作推进网络安全治理,而非独立制定政策。专家指出,自适应物联网安全认证框架的建立,对防范供应链安全风险至关重要。
资料来源:
http://ew1.9dw5.sbs/XppTRnT
俄罗斯黑客通过MSC EvilTwin利用CVE-2025-26633 部署 SilentPrism 和 DarkWisp
2025年3月31日,利用微软Windows中最近修补的安全漏洞进行零日攻击的威胁行为者提供了两个新的后门,分别是SilentPrism和DarkWisp。疑似名叫Water Gamayun俄罗斯黑客组织,该组织也被称为 EncryptHub和LARVA-208。趋势科技研究人员 Aliakbar Zahravi 和 Ahmed Mohamed Ibrahim 在上周发布的后续分析中表示 “威胁行为者主要通过恶意配置包、签名.msi文件和 Windows MSC文件来部署有效负载,使用 IntelliJ runnerw.exe 等技术执行命令”。
2025年3月31日,佳能公司发布安全公告,披露其多款打印机驱动程序存在严重越界漏洞(CVE-2025-1268),CVSS 3.1评分高达9.4,属于“严重”级别安全风险。该漏洞影响Generic Plus系列驱动程序的多个版本(PCL6、UFR II、LIPS4、LIPSLX及PS驱动,V3.12及更早版本),攻击者可利用EMF Recode处理功能的缺陷,通过恶意打印任务远程执行任意代码,无需用户交互或特殊权限即可触发。该漏洞由微软MORSE团队研究员Robert Ord发现并报告,佳能已对其致谢。攻击者不仅能破坏打印服务,还可能进一步渗透系统,窃取敏感数据或部署恶意软件。
资料来源:
2025年4月3日,已发现一个最高严重性远程代码执行 (RCE) 漏洞,该漏洞会影响 Apache Parquet 1.15.0 及以下的所有版本。该问题源于不受信任的数据反序列化,这可能允许具有特制 Parquet 文件的攻击者控制目标系统、泄露或修改数据、中断服务或引入勒索软件等危险负载。该漏洞在 CVE-2025-30065 下进行跟踪,CVSS v4 评分为 10.0。该漏洞已在 Apache 版本 1.15.1 的发布中修复。
资料来源:
http://5p2.9dw5.sbs/fDOXMdT
2025年4月3日,网络安全与基础设施安全局(CISA)发布了两个关键的工业控制系统(ICS)建议,强调了可能对关键基础设施产生严重影响的漏洞。这些ICS建议,分别被标识为ICSA-25-091-01和ICSA-24-331-04,旨在向组织通报当前的网络安全威胁、漏洞和与ICS产品及系统相关的必要缓解措施。与罗克韦尔自动化发布的建议一样,CISA敦促用户立即实施缓解措施以减少风险。日立能源已经发布了受影响版本的补丁,包括对MicroSCADA Pro/X SYS600的10.6版本的紧急更新。
资料来源:
https://thecyberexpress.com/industrial-control-systems-vulnerabilities-2/
2025年4月1日,在WordPress的Kubio AI页面构建器插件中发现了一个严重的安全漏洞(CVE-2025-2294),影响所有版本直到2.5.1。此漏洞允许未认证的攻击者在服务器上执行任意PHP代码,对受影响的网站构成重大风险。建议用户更新到2.5.2或更高版本以减轻此威胁。
资料来源:
http://ah2.9dw2.sbs/fwzhyjs
2025年4月2日,美国网络安全和基础设施安全局(CISA)对工业控制系统中存在的一系列高风险漏洞(CVE-2025-23120)发出了警报。这些漏洞是在罗克韦尔自动化和日立能源生产的系统中发现的,CVSS 严重性评级均高于 9,这表明它们不仅可能构成威胁,而且对于远程攻击者来说也相对容易利用。理想情况下,工业控制系统不会轻易暴露于此类缺陷。然而,随着 OT 系统的互联性越来越强,远程管理也变得越来越普遍,组织也越来越容易受到通过面向互联网的 IT 系统发起的攻击。
资料来源:
https://www.scworld.com/news/cisa-warns-of-critical-flaws-in-industrial-control-systems
2025年4月3日,国家计算机病毒应急处理中心计算机病毒防治技术国家工程实验室发布“2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击情况监测分析报告。本报告相关统计数据表明,赛事期间,各赛事信息系统、黑龙江省域范围内的关键信息基础设施遭到来自境外的大量网络攻击。攻击源大部分来自美国、荷兰等国家和地区。发现自2025年1月26日至2月14日期间,亚冬会赛事信息系统遭到来自境外的网络攻击270167次。
资料来源:
https://www.cverc.org.cn/head/zhaiyao/news20250403-haerbinyadonghui.htm
2025年4月2日,在上个月对Ukrzaliznytsia的有针对性且复杂的网络攻击后,导致了在线售票和货物登记的中断,铁路运营商在事件中发现了明显的“俄罗斯痕迹”。“在对乌克兰铁路的大型网络攻击期间,不仅在线售票和服务系统受到影响,公司的服务器也受到了影响,”乌克兰铁路的一位发言人在《工业网络》中说道。“攻击部分影响了企业电子邮件服务、办公电脑、文档管理系统和一些内部企业资源。”目前,多达90%的重要在线客运服务已经恢复。
资料来源:
http://ua1.9dw5.sbs/JUV1v0L
2025年4月4日,乌克兰计算机紧急响应小组(CERT-UA)透露,针对该国国家行政机构和关键基础设施设施记录了至少三起网络攻击,目的是窃取敏感数据。该活动涉及使用被攻破的电子邮件账户发送包含指向合法服务(如DropMeFiles和Google Drive)链接的网络钓鱼消息。在某些情况下,链接嵌入在PDF附件中。这些攻击尚未归咎于任何国家。
资料来源:
https://thehackernews.com/2025/04/cert-ua-reports-cyberattacks-targeting.html
2025年4月4日,SEQRITE Labs的APT团队发布了一份报告,揭示了一项针对俄罗斯研发网络的复杂行动,该行动被称为“Operation HollowQuill”。此行动利用了带有恶意代码的诱饵文件,“HollowQuill”行动的主要目标是波罗的海国家理工学院,学员参与国防、航空航天和先进工程项目的研发,对俄罗斯的军事工业综合体有重要贡献。然而,这次行动的范围不仅限于学术界,还针对政府和国防相关的实体。
资料来源:
http://od1.9dw2.sbs/24H1RkP
2025年4月3日,根据Semperis的数据,去年美国和英国的五分之三的电力和供水公司遭受了网络攻击,其中大多数公司受到了严重干扰。记录的攻击中,大多数(82%)针对的是“零层”身份识别系统,如 Active Directory、Entra ID 和 Okta,这意味着攻击者可能借此完全控制网络。
资料来源:
2025年3月31日,莫斯科地铁系统网站及移动应用程序当日出现服务中断,网站页面一度显示乌克兰国家铁路公司Ukrzaliznytsia的标志,疑似遭遇报复性网络攻击。此次中断导致乘客无法远程充值交通卡,部分自动售票机也出现故障。莫斯科交通部门声称是"技术维护"所致,但俄罗斯互联网监管机构Roskomnadzor已确认服务异常。事件发生前一周,乌克兰铁路系统刚遭受大规模网络攻击,致使其不得不临时增加人工售票窗口。此次事件再次凸显关键基础设施面临的网络安全风险正在持续升级。
资料来源:
http://z22.9dw5.sbs/pharhcK
2025年4月3日,Hunters International勒索软件即服务(RaaS)业务正在关闭并重塑品牌,并计划改用仅限盗窃和勒索的攻击。Hunters International 于 2025年1月1日发起了一项名为“World Leaks”的新勒索业务。其勒索软件针对多个平台,包括 Windows、Linux、FreeBSD、SunOS 和 ESXi(VMware服务器),还支持x64、x86和ARM 架构。自出现以来,这个勒索软件团伙已声称对全球组织进行了 280 多次攻击,使其成为最活跃的勒索软件作之一。
资料来源:
http://wi1.9dw5.sbs/H80VKSo
2025年4月2日,Cisco 已警告管理员修补一个关键的 Cisco Smart Licensing Utility (CSLU) 漏洞(CVE-2024-20439),该漏洞暴露了一个用于攻击的内置后门管理员帐户。CSLU 是一款 Windows 应用程序,用于在本地管理许可证和链接产品,而无需将它们连接到思科基于云的智能软件管理器解决方案。 SANS 技术研究所的研究院长约翰内斯·乌尔里希 (Johannes Ullrich) 上个月发现,威胁者将 CVE-2024-20439 与CLSU 信息泄露漏洞 (CVE-2024-20440)联系起来,未经身份验证的攻击者可以利用该漏洞通过向易受攻击的设备发送精心设计的 HTTP 请求来访问包含敏感数据(包括 API 凭据)的日志文件。
资料来源:
http://1f1.9dw5.sbs/PLVyfqI
2025年3月31日,欧盟计划通过重大投资来加强其数字防御,并宣布在未来三年内拨款13亿欧元(14亿美元)来资助创新的网络安全和人工智能项目。体现欧盟对网络弹性的关注,并对人工智能和科技项目注入资金。
资料来源:
http://4k1.9dw2.sbs/p1petg5
安帝科技丨ANDISEC
原文始发于微信公众号(安帝Andisec):工业网络安全周报-2025年第13期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论