5th域安全微讯早报【20250326】073期

1. 俄罗斯立法加强反诈骗保护，建立统一欺诈者数据库

【SecurityLab网站3月25日消息】俄罗斯国家杜马全票通过新反诈骗法案，重点包括：1）建立基于"蚂蚁"系统的全国性欺诈者数据库，由数字发展部运营，FSB、央行等多部门共享；2）强制来电显示功能，允许用户屏蔽广告电话；3）禁止政府机构和银行使用外国即时通讯工具与公民沟通；4）严格限制SIM卡转让，仅限直系亲属间转赠。金融保护措施要求：银行需对ATM交易实施反欺诈检测，可疑交易将冻结48小时（单日限额5万卢布）；允许用户设置交易确认人；对曾被欺诈账户设置10万卢布/月的取现上限。新规将于2025年9月1日生效，特别侧重保护老年人群体。国家杜马主席沃洛金表示，该法案旨在全面保障公民资金安全。

2. 特朗普提名网络司令部资深专家担任五角大楼网络政策助理部长

【TheRecord网站3月26日消息】美国总统特朗普提名现任美国网络司令部五角大楼行动指挥官凯瑟琳·萨顿(Katherine Sutton)担任国防部负责网络政策的助理部长。萨顿曾任参议院军事委员会网络安全小组委员会共和党工作人员负责人，在网络政策领域拥有丰富经验。此次提名正值网络司令部推进"网络司令部2.0"现代化计划之际，司令霍夫将军表示已向国防部提交改革实施方案。值得注意的是，这是特朗普政府第二位获得提名的该职位人选，此前该职位在拜登执政期间由迈克尔·苏尔迈尔担任。同时，退役陆军上校劳里·巴克豪特被任命为国防部网络政策副助理部长(无需参议院确认)。这些人事变动凸显美国正加强网络战领域的政策领导力。

3. NIST发布AI系统防护最终指南，警告现有防御技术仍不足

【Nextgov网站3月25日消息】美国国家标准与技术研究院(NIST)发布对抗性机器学习防护最终指南，首次区分预测型AI和生成式AI的不同攻击类型。该指南指出，当前所有AI模型在开发、部署和使用阶段均存在漏洞，且"攻击手段的数量和能力普遍超过现有防御技术"。主要攻击类型：预测型AI：规避攻击、数据投毒攻击、隐私攻击；生成式AI：供应链攻击、直接提示注入、间接提示注入。NIST研究主管Apostol Vassilev强调，尽管指南提出了数据净化、道德护栏等具体缓解措施，但防御效果存在理论局限，建议组织结合传统网络安全措施，并制定风险预算和应急恢复计划。该版本较2024年1月草案新增生成式AI学习阶段分析及开放性问题索引。

4. 2024年移动银行恶意软件激增，24.8万用户遭社会工程攻击

【Cybersecurity News网站3月25日报道】卡巴斯基Securelist最新报告显示，2024年移动银行恶意软件感染用户达24.8万，较2023年暴涨360%。其中俄罗斯Mamont恶意软件家族占比36.7%，通过"照片里是你吗？"等社交话术及伪造电商/物流应用传播，主要针对俄罗斯及独联体国家用户。攻击手法呈现三大特征：1）利用虚假亚马逊、Netflix等钓鱼网站诱导下载；2）获取短信/通知权限后劫持OTP验证码；3）在银行APP界面叠加伪造交易窗口。土耳其成为重灾区（5.68%用户受影响），其次为印尼（2.71%）和印度（2.42%）。专家建议用户仅从官方应用商店下载程序，并启用多因素认证防御。

5. 马来西亚总理拒绝向机场网络攻击者支付1000万美元赎金

【TheRecord网站3月26日报道】马来西亚总理安瓦尔·易卜拉欣证实，吉隆坡国际机场(KLIA)3月23日遭遇网络攻击，攻击者索要1000万美元赎金。总理表示立即拒绝支付，强调"国家绝不能向罪犯屈服"。尽管马来西亚国家网络安全局(NACSA)声称机场运营未受影响，但现场照片显示工作人员被迫使用白板手动记录航班信息，值机及行李系统中断超10小时。此次攻击针对机场运营商马来西亚机场控股公司(MAHB)，目前尚无组织宣称负责。这是半年内全球第三起重大机场网络攻击事件，此前西雅图、日本和墨西哥机场均曾遭勒索软件侵袭。专家建议关键基础设施运营商加强网络分段和实时监控。

6. 乌克兰IT Army宣称对俄罗斯互联网服务商Lovit发起持续攻击

【TheRecord网站3月25日报道】乌克兰黑客组织"IT Army"声称对俄罗斯互联网服务提供商Lovit发起持续三天的网络攻击，导致莫斯科和圣彼得堡多栋公寓楼的对讲系统、支付终端等服务中断。Lovit是俄罗斯最大房地产开发商PIK旗下独家网络服务商，此次攻击影响其移动应用、网站及用户账户系统。俄罗斯通信监管局(Roskomnadzor)表示，此次DDoS攻击源自美、德等多国服务器。这是近期针对俄罗斯电信行业的系列攻击之一，今年1月以来已有Nodex、Rostelecom等多家运营商遭袭。专家指出，攻击者有意选择垄断性区域服务商以扩大破坏效果。受影响的Lovit用户计划向反垄断机构投诉其高价垄断行为。

7. 加密货币平台Abracadabra Finance遭黑客攻击，损失近1300万美元

【TheRecord网站3月26日报道】加密货币借贷平台Abracadabra Finance遭遇黑客攻击，损失价值约1290万美元的6260枚以太坊。该公司表示，漏洞源于其"cauldrons"隔离借贷产品，尽管该产品已通过安全公司Guardian审计，但攻击者仍利用未发现的漏洞发起攻击。事件发生后，Abracadabra Finance已暂时关闭前端服务，并向黑客提供20%被盗资金作为漏洞赏金。区块链分析公司Chainalysis正在追踪资金流向，初步调查显示攻击资金来源于混币器Tornado Cash。值得注意的是，去中心化交易所GMX澄清其系统未受影响。此次事件再次凸显DeFi领域的安全风险，特别是在美国法院近期取消对Tornado Cash制裁的背景下。

8. 数据分析公司Flurry因不当收集经期应用数据被罚350万美元

【TheRecord网站3月26日报道】已解散的数据分析公司Flurry同意支付350万美元和解一起集体诉讼。该诉讼指控Flurry通过软件开发工具包(SDK)不当收集经期追踪应用Flo Health的用户数据，包括性健康、生殖健康等敏感信息。Flo Health自称拥有1.65亿次安装量和3800万月活用户。此次和解仅针对Flurry的指控，而诉讼中提及的Meta、谷歌和AppsFlyer等其他数据接收方尚未达成和解。这起案件突显了健康科技领域日益严峻的数据隐私问题，特别是在罗诉韦德案被推翻后，美国对生殖健康数据的保护更为敏感。

9. Kubernetes曝Ingress-Nginx高危漏洞，可导致集群完全沦陷

【SecurityLab网站3月25日消息】云安全公司Wiz披露了Kubernetes Ingress-Nginx控制器中的一系列高危漏洞（统称为IngressNightmare）。其中最严重的CVE-2025-1974（CVSS 9.8）允许攻击者通过特制入口对象实现远程代码执行，进而完全控制集群。该漏洞影响全球超过6500个暴露集群，包括部分财富500强企业系统。攻击者可利用准入控制器配置验证缺陷注入恶意Nginx配置，在默认配置下还能获取集群所有命名空间的敏感数据。目前官方已发布Ingress-Nginx 1.12.1和1.11.5版本修复漏洞，Wiz建议管理员立即升级，或临时禁用准入控制器组件并限制其网络访问。同时需审计集群入口规则中的异常配置，防范潜在攻击。值得注意的是，由于Kubernetes通常托管关键业务应用，组件更新存在滞后风险，企业需特别重视该漏洞的修复优先级。

10. VMware Tools for Windows曝身份验证绕过漏洞威胁虚拟机安全隔离

【Cybersecurity News网站3月25日报道】VMware发布安全公告（VMSA-2025-0005），披露其Windows版VMware Tools套件中存在一个高危身份验证绕过漏洞（CVE-2025-22230，CVSSv3评分7.8）。该漏洞由俄罗斯Positive Technologies研究员Sergey Bliznyuk发现，影响11.xx至12.xx版本，可使虚拟机内非特权用户突破权限隔离执行高权限操作。攻击者利用此漏洞可能破坏虚拟环境的安全边界，威胁企业虚拟化基础设施。目前VMware已发布修复版本12.5.1，建议用户立即升级。值得注意的是，该漏洞仅影响Windows版本，Linux/macOS版本不受影响。由于未提供临时缓解措施，企业需优先安排补丁更新，特别是金融、医疗等依赖虚拟化技术的行业。

11. 黑客利用Windows MMC零日漏洞（CVE-2025-26633）发起针对性攻击

【Cybersecurity News网站3月25日报道】俄罗斯黑客组织Water Gamayun（又名EncryptHub）正在利用微软管理控制台（MMC）中的零日漏洞发起攻击。该漏洞允许攻击者通过篡改.msc控制台文件，绕过安全机制执行恶意代码。攻击特征：利用"MSC EvilTwin"技术传播窃密程序和后门（如DarkWisp/SilentPrism）；影响Windows Server 2016等旧版本系统，可能造成横向移动和数据泄露；美国CISA已将该漏洞列入已知利用漏洞目录，要求联邦机构于4月1日前修复。防护建议：立即安装微软3月补丁星期二更新；限制MMC远程访问权限；监控异常的MMC进程创建行为；审计全网管理权限分配。

12. CrushFTP文件传输软件曝高危漏洞，数千服务器面临风险

【BleepingComputer网站3月25日消息】文件传输软件CrushFTP发布紧急安全警告，其v10和v11版本存在未经身份验证的HTTP(S)端口访问漏洞。该漏洞允许攻击者绕过认证直接访问服务器，目前已有3400多个实例暴露在互联网上。安全建议：立即升级至v11.3.1及以上版本；无法立即更新者可启用DMZ功能临时防护；检查服务器是否暴露在公网。值得注意的是，这已是CrushFTP近一年来第三次曝出高危漏洞。2024年4月其零日漏洞(CVE-2024-4040)曾被用于针对美国机构的情报收集活动。专家提醒企业文件传输系统是勒索软件团伙的重点目标，需保持高度警惕。