5th域安全微讯早报【20250328】075期

2025-03-28 星期五 Vol-2025-075

今日热点导读

1. 俄罗斯拟立法规范人机交互构建AI技术发展框架

2. 足球俱乐部强化数字安全防御马德里竞技联手谷歌云应对网络威胁

3. OpenAI豪掷10万美元悬赏漏洞启动AI系统安全强化计划

4. 俄罗斯加强金融监管：涉洗钱账户将遭10天冻结

5. AI红队测试兴起：动态防御人工智能系统安全新挑战

6. 美国防务承包商MORSE因网络安全违规支付460万美元和解金

7. 新南威尔士州法院系统遭入侵致9000份敏感文件泄露

8. 勒索软件组织BlackLock因网站漏洞导致瓦解

9. Synology邮件服务器漏洞允许攻击者篡改系统配置

10. NetApp SnapCenter曝严重漏洞可致远程系统管理权限遭劫持

11. 智能电视曝重大安全漏洞企业网络面临新型威胁

12. 勒索软件组织加速采用EDR杀手工具安全防御面临新挑战

13. 自动化攻击工具Atlantis AIO助长撞库攻击威胁

14. AI驱动的权限提升工具RamiGPT引发安全行业关注

15. ENISA报告揭示商业卫星网络安全风险呼吁全球协作强化防护

16. 国际民航组织等机构警告卫星导航干扰风险加剧呼吁全球采取紧急防护措施

17. Classiscam诈骗团伙利用自动化技术窃取用户财务数据

18. 黑客滥用COM组件实现无文件恶意软件横向渗透

19. DeepSeek搜索广告遭恶意仿冒网络犯罪团伙借机传播木马

20. 黑客冒充Booking.com钓鱼攻击全球酒店业窃取客户支付数据

备注: 更多专题资讯信息，欢迎订阅！

资讯详情

政策法规

1. 俄罗斯拟立法规范人机交互构建AI技术发展框架

【SecurityLab网站3月27日报道】俄罗斯国家杜马主席维亚切斯拉夫·沃洛金在政府工作报告中呼吁紧急制定规范人类与机器人互动的法律框架。沃洛金强调，新立法旨在促进人工智能等前沿技术的有序发展，同时规避技术应用中的潜在风险。报道指出，该立法提案将为技术创新提供明确的法律边界，避免试验性项目可能引发的社会问题，并吸引国际研发力量。目前相关具体条款尚在拟定中，议会已要求加快立法进程。

2. 足球俱乐部强化数字安全防御马德里竞技联手谷歌云应对网络威胁

【SecurityLab网站3月27日报道】西甲劲旅马德里竞技俱乐部宣布与谷歌云深化合作，全面升级数字安全防护体系。此次合作将部署Gemini和Vertex等AI安全平台，实现从票务系统到会员数据的全链条保护，重点防范网络钓鱼、数据泄露和票务诈骗等数字风险。报道指出，体育行业正成为网络犯罪新靶点。2024年意大利博洛尼亚俱乐部遭黑客入侵，导致青训球员资料和商业合同外泄。而2020年曼联与巴萨则因预先建立的防御体系成功抵御攻击。马竞此次战略合作标志着职业体育组织开始将网络安全视为核心竞争力，其主教练西蒙尼表示："这不仅是技术升级，更是为欧洲足球树立数字安全新标准"。

3. OpenAI豪掷10万美元悬赏漏洞启动AI系统安全强化计划

【SecurityLab网站3月27日报道】OpenAI宣布将其漏洞赏金计划最高奖励提升至10万美元，并启动为期五周的限时双倍奖励活动，重点征集IDOR等关键漏洞报告。该公司同步扩大网络安全研究资助范围，新增AI代理防护、模型隐私等前沿领域，目前已资助28个研究项目。为应对AI代理规模化部署带来的安全挑战，OpenAI正与SpecterOps等专业机构合作，通过模拟真实攻击测试云环境和生产系统。公司还推出"小额资助"计划，提供API额度支持快速原型开发，并启动开源代码漏洞排查行动。这些举措标志着AI行业正从被动防御转向主动安全建设，特别是针对即时注入攻击等新型威胁的防范。

4. 俄罗斯加强金融监管：涉洗钱账户将遭10天冻结

【SecurityLab网站3月27日报道】俄罗斯联邦金融监测局(Rosfinmonitoring)宣布自2025年6月1日起实施新规，该机构在怀疑账户涉及洗钱或资助极端主义时，有权冻结公民银行账户最长10天。副局长German Neglyad表示，新措施主要针对非法金融活动的组织者，而非被利用的"跑分"参与者（指提供个人账户进行非法交易者）。据官方数据，2024年俄罗斯约有70万至200万人参与非法资金转移，2023年通过个人账户洗钱规模达449亿卢布。此次修法还配套多项打击措施：建立银行间可疑账户信息共享平台、拟立法追究明知故犯的账户出借者刑责、研究限制个人办卡数量及缩短外籍人士银行卡有效期等。当局强调将审慎使用冻结权限，避免影响正常金融活动。

安全事件

5. AI红队测试兴起：动态防御人工智能系统安全新挑战

【TechNewsWorld网站3月27日报道】随着AI系统在各行业的广泛应用，针对性的红队测试（Red Teaming）正成为保障AI安全的关键防线。与传统静态系统测试不同，AI红队测试面临三大独特挑战：动态模型的行为不可预测性、对抗性机器学习等新型攻击向量，以及模型文件本身可能成为恶意代码载体的风险。报道指出，医疗、金融等关键领域尤其需要防范模型被逆向工程或投毒攻击，例如攻击者可能通过篡改序列化模型文件获取系统权限。为应对这些挑战，专家建议企业建立跨学科红队，整合AI专家、网络安全人员和数据科学家；优先测试涉及敏感数据或关键决策的AI资产；采用专用于对抗样本生成、API攻击模拟的测试工具；并通过自动化测试实现大规模AI部署的安全覆盖。值得注意的是，有效的AI红队测试需与蓝队协同，在遵守隐私法规前提下，将发现的漏洞转化为防御策略的升级。随着AI系统日益复杂，这种主动式安全评估将成为企业构建可信AI的必要环节。

6. 美国防务承包商MORSE因网络安全违规支付460万美元和解金

【SecurityWeek网站3月27日报道】美国马萨诸塞州国防承包商MORSE公司已同意支付460万美元，就未能遵守政府网络安全要求的指控达成和解。根据司法部公告，该公司被举报未完整实施规定的NIST数据安全控制措施、缺乏系统安全整合计划，以及使用不符合政府安全要求的电子邮件服务。举报人于2023年1月首次提出相关指控，涉及MORSE与美国陆军及空军的合同项目。美国检察官Leah B. Foley强调，联邦承包商必须履行保护政府敏感信息的义务。此次和解凸显美国政府正加强对承包商网络安全合规性的监管力度。目前国会正在推动立法，拟强制要求联邦承包商建立漏洞披露政策，以促进安全问题的及时报告和修复。

7. 新南威尔士州法院系统遭入侵致9000份敏感文件泄露

【CybersecurityNews网站3月27日报道】澳大利亚新南威尔士州网上注册网站(ORW)发生重大数据泄露事件，约9000份包含暴力预防令(AVO)和法律宣誓书等内容的敏感法庭文件被非法下载。州总检察长迈克尔·戴利证实，漏洞是在社区和司法部例行维护时发现，一名JusticeLink系统账户持有者实施了非法访问。报道指出，虽然被盗文件尚未公开，但由于包含家庭暴力受害者等弱势群体的个人信息，其潜在危害性极高。当局已成立"帕尔迪打击队"专案组展开调查，并采取关闭涉事账户、修复漏洞等应急措施。社区和司法部表示正在紧急联系受影响用户，同时建议潜在受害者通过联邦政府ReportCyber网站提交报告。此次事件再次凸显司法系统数据库的安全防护挑战。

8. 勒索软件组织BlackLock因网站漏洞导致瓦解

【SecurityLab网站3月27日报道】网络安全公司Resecurity发现勒索软件组织BlackLock（又称El Dorado）的暗网网站存在严重漏洞。该漏洞为本地文件包含错误，使研究人员能够访问该组织的内部服务器文件，包括配置信息、SSH凭证和操作日志。调查显示，BlackLock使用8个MEGA云存储账户存放窃取数据，并通过临时邮箱服务联系受害者。报道指出，该组织已确认入侵至少46家医疗、国防和教育等行业的机构。3月，另一勒索组织DragonForce入侵了BlackLock的暗网网站并公开其内部通信，导致该组织信誉崩溃。分析发现两个组织的恶意代码高度相似，暗示可能存在业务转移或合并。专家认为，由于持续的信息泄露和执法压力，BlackLock已难以恢复运营。

漏洞预警

9. Synology邮件服务器漏洞允许攻击者篡改系统配置

【CybersecurityNews网站3月27日报道】Synology邮件服务器被曝存在一个中危漏洞（CVE-2025-2848），该漏洞允许经过认证的远程攻击者读取和修改非敏感设置，甚至禁用某些非关键功能。安全研究员Chanin Kim发现并向Synology报告了这一漏洞，该漏洞影响DSM 7.1和7.2版本的Synology Mail Server。根据报道，该漏洞CVSS评分为6.3分（满分10分），属于中等严重程度。Synology已发布修复版本：DSM 7.2用户需升级至1.7.6-20676或更高版本，DSM 7.1用户需升级至1.7.6-10676或更高版本。专家建议用户立即更新系统，并采取启用双因素认证、配置地理封锁等额外防护措施。这已是Synology今年第二次修补类似漏洞，此前该公司还修复了其路由器管理软件中的多个漏洞。

10. NetApp SnapCenter曝严重漏洞可致远程系统管理权限遭劫持

【TheCyberExpress网站3月27日报道】NetApp企业级数据保护管理软件SnapCenter被发现存在高危权限提升漏洞（CVE-2025-26512），CVSS评分高达9.9分。该漏洞影响6.0.1P1和6.1P1之前的所有版本，允许已认证的攻击者在安装SnapCenter插件的远程系统上获取管理员权限。据NetApp官方公告，成功利用该漏洞可能导致攻击者篡改敏感数据、破坏系统配置，甚至完全控制IT基础设施。目前尚未发现公开利用案例，但鉴于漏洞可远程利用且影响范围涵盖数据保密性、完整性和可用性，企业应立即升级至修补版本。SnapCenter作为企业核心数据管理平台，提供关键业务的备份恢复功能，此次漏洞凸显了企业软件供应链安全的重要性。

11. 智能电视曝重大安全漏洞企业网络面临新型威胁

【SecurityBrief网站3月28日报道】网络安全公司CYFOX最新研究发现，多品牌智能电视存在严重架构性漏洞，可能危及企业网络安全。其OmniSec vCISO平台检测发现，这些设备因TCP通信协议管理缺陷，可成为攻击者破坏企业网络的入口点。CYFOX首席执行官Joseph Tal表示，该漏洞凸显物联网设备与核心网络隔离不足的风险。尽管未公开具体品牌，研究证实漏洞具有跨厂商普遍性。其OmniSec平台通过连接入侵检测系统、IoT传感器等设备，可自动识别此类漏洞并即时通报安全团队，结合GenAI技术提供修复方案。专家建议企业加强网络分段，隔离IoT设备与关键业务系统。

风险预警

12. 勒索软件组织加速采用EDR杀手工具安全防御面临新挑战

【SecurityWeek网站3月27日报道】网络安全公司ESET发布研究报告指出，包括RansomHub、Play、Medusa和BianLian在内的多个勒索软件组织正在广泛采用专门针对终端检测与响应(EDR)系统的破坏工具。报告揭露，自2024年LockBit和BlackCat团伙瓦解后，新兴的RansomHub勒索软件即服务(RaaS)组织通过向附属团伙提供名为"EDRKillShifter"的自定义工具迅速崛起，该工具利用密码保护的shellcode作为中间层，可有效瘫痪多种安全解决方案。研究发现，尽管Play和BianLian属于封闭式勒索组织，但它们对EDR杀手工具的使用表明可能与RansomHub存在协作关系。ESET将相关攻击者命名为"QuadSwitcher"，并确认其同时为四个勒索组织效力。值得注意的是，攻击者主要复用少量经过验证的漏洞驱动程序（在1700多个潜在漏洞中仅选用部分），既保证攻击效果又避免开发新代码的风险。除RansomHub外，Embargo是另一个提供EDR杀手工具（基于公开PoC代码开发的MS4Killer）的RaaS运营商，但其攻击规模相对有限。专家警告，EDR杀手工具的泛滥反映出安全软件对文件加密恶意软件检测能力的提升已迫使攻击者调整策略。

13. 自动化攻击工具Atlantis AIO助长撞库攻击威胁

【CybersecurityNews网站3月27日报道】网络安全公司Abnormal Security发现名为"Atlantis AIO"(All-In-One)的自动化攻击工具正在地下论坛扩散，该工具可大幅提升撞库攻击的规模和效率。研究人员指出，这款工具采用模块化架构，配备专门针对云服务和邮件提供商的预置模块，能自动测试数百万组被盗凭证，并通过轮换代理网络分发认证请求，有效规避传统防御措施。报道显示，Atlantis AIO可自动捕获成功登录的会话令牌并标记账户，使攻击者能轻松实施后续利用。目前依赖云基础设施和单因素认证的企业面临最高风险，可能遭遇数据泄露、金融欺诈等多重威胁。专家建议企业立即部署多因素认证和异常登录检测等防护措施，以应对这种新型自动化攻击工具带来的挑战。

14. AI驱动的权限提升工具RamiGPT引发安全行业关注

【SecurityLab网站3月27日报道】开发者M507发布了一款名为RamiGPT的开源AI工具，该工具整合OpenAI技术与传统渗透测试脚本（如LinPEAS和BeRoot），可在不到一分钟内完成系统权限分析。该工具通过Docker或本地Python环境部署，能自动识别操作系统类型并推荐相应的漏洞检测脚本，同时支持CTF场景下的指令导入导出功能。报道强调，RamiGPT需要OpenAI API密钥运行，开发者明确声明该工具仅限合法安全研究和授权渗透测试使用。安全专家指出，此类AI自动化工具虽然提升了测试效率，但也可能被恶意利用，建议企业加强系统权限管理和漏洞修补。目前该项目已在GitHub开源，附带详细使用演示和免责声明。

15. ENISA报告揭示商业卫星网络安全风险呼吁全球协作强化防护

【IndustrialCyber网站3月27日消息】欧盟网络安全局（ENISA）发布《太空威胁形势报告》，全面剖析商业卫星面临的网络安全挑战。报告指出，当前卫星系统存在七大关键风险：供应链漏洞（全球采购组件可能被植入后门）、依赖商用现货（COTS）组件的安全隐患、老旧系统缺乏现代防护、有限的可视性阻碍威胁监测、加密机制薄弱、人为操作失误，以及国家级黑客组织的定向攻击。ENISA特别警告，卫星系统一旦遭入侵，不仅影响通信、导航等关键服务，还可能引发地缘政治危机。报告提出125项具体防护措施，包括实施零信任架构、强化数据加密、建立分段隔离网络、定期漏洞修补等，并建议行业采用"设计安全"原则，遵守NIS2指令加强供应链管理。报告呼吁建立跨国协作机制，共享威胁情报，同时通过培训减少人为风险。ENISA执行董事强调，随着商业卫星在经济和国防领域作用提升，其网络安全已成为全球性议题，需政府、企业、学术界共同应对。

16. 国际民航组织等机构警告卫星导航干扰风险加剧呼吁全球采取紧急防护措施

【IndustrialCyber网站3月27日报道】国际民用航空组织(ICAO)、国际电信联盟(ITU)和国际海事组织(IMO)近日联合向联合国成员国发出警告声明，对日益增多的卫星导航干扰和欺骗攻击表示"严重关切"。这些攻击主要针对无线电导航卫星服务(RNSS)，已严重影响民用航空、海上航运、人道主义救援及电信网络同步等关键领域。三机构指出，干扰事件频发表明各国亟需加强对关键无线电频段的保护。声明具体列举了五项关键应对措施：保护RNSS免受有害干扰；增强导航系统的抗干扰能力；保留常规导航设施作为应急备份；开发服务中断缓解技术；加强跨部门协作与事件报告机制。国际民航组织秘书长强调，此类干扰可能产生跨区域的连锁安全风险。该警告基于国际民航组织第A41-8/C号决议，特别呼吁各国避免影响民航的干扰行为，并在军事行动可能波及民航时提前协调。

TTPs动向

17. Classiscam诈骗团伙利用自动化技术窃取用户财务数据

【CybersecurityNews网站3月27日报道】Group-IB研究人员发现名为"Classiscam"的诈骗团伙正在发展中国家在线市场活跃作案。该团伙采用"诈骗即服务"模式，通过高度自动化的手段创建仿冒物流平台的钓鱼网站，专门窃取卖家银行凭证。诈骗流程显示，犯罪分子首先在正规交易平台物色卖家，随后诱导其转至Telegram沟通。作案过程中，不同角色分工明确：伪造收据的"假客服"、处理赃款的数据操作员，以及通过Telegram机器人批量生成钓鱼链接的执行者。这些仿冒网站不仅界面专业，还植入虚假客户评价增强可信度。值得注意的是，该团伙使用的"Namangun团队"Telegram机器人可实现钓鱼链接的即时生成，并自动收集受害者输入的敏感信息。专家强烈建议用户保持交易全程在正规平台完成，警惕任何要求转向第三方通讯工具或支付页面的请求，以防范此类精心设计的自动化诈骗。

18. 黑客滥用COM组件实现无文件恶意软件横向渗透

【CybersecurityNews网站3月27日报道】IBM安全研究人员发现黑客正在利用Windows组件对象模型(COM)实现无文件恶意软件的横向移动。该技术基于Google Project Zero研究员James Forshaw在2025年2月披露的分布式COM(DCOM)远程技术漏洞，通过操纵注册表设置和COM劫持，可在受保护的svchost.exe进程中执行.NET托管代码。研究显示，攻击者首先修改目标主机的HKLMSoftwareMicrosoft.NetFramework注册表路径，随后利用StandardFont CLSID的TreatAs键重定向执行流。该技术的独特之处在于完全在内存中执行恶意程序集，不留下磁盘痕迹，且能绕过Protected Process Light(PPL)保护机制。安全专家建议监控svchost.exe进程中的CLR加载事件，并实施基于主机的防火墙限制来防御此类新型攻击。

19. DeepSeek搜索广告遭恶意仿冒网络犯罪团伙借机传播木马

【SecurityLab网站3月27日报道】网络安全公司Malwarebytes发现网络犯罪团伙正利用Google广告系统散布仿冒DeepSeek搜索平台的恶意链接。这些精心设计的诈骗广告不仅在外观上完全复制DeepSeek官网，还通过支付高价占据搜索结果首位，诱导用户下载包含MSIL木马的虚假客户端。分析显示，攻击者注册了希伯来语名称"תמיר כץ"作为广告主身份以规避审查。专家建议用户避免点击赞助链接，通过检查URL旁的三点菜单验证广告主信息，或直接使用广告拦截工具。此次事件凸显搜索引擎广告系统正成为网络犯罪新阵地，Malwarebytes强调平台方需加强广告主资质审核机制。目前DeepSeek官方尚未就仿冒事件发表声明。

20. 黑客冒充Booking.com钓鱼攻击全球酒店业窃取客户支付数据

【GBHackers网站3月27日报道】微软威胁情报部门发现一个代号为Storm-1865的黑客组织自2024年12月起针对全球酒店业发起精心设计的钓鱼攻击。攻击者通过伪造Booking.com的电子邮件（包含客户差评、预订确认等诱饵内容），诱导酒店员工点击恶意链接。该链接会跳转至虚假验证码网站，最终在受害者设备上植入Vidar信息窃取程序，盗取Booking.com管理后台凭证。获得凭证后，攻击者可直接访问客户预订信息，并向住客发送虚假"付款失败"通知以窃取信用卡信息。值得注意的是，Booking.com酒店账户缺乏双重认证机制，仅凭密码即可登录，大大降低了攻击难度。安全专家建议酒店加强员工培训、部署邮件过滤系统，同时提醒消费者警惕任何意外付款请求。