2025年可信数据空间创新发展试点工作启动，可申报；暗网惊现黑客助手Xanthorox AI, 网络安全面临新挑战 | 牛览

•2025年可信数据空间创新发展试点工作启动，可申报

•英国多个关键防务机构遭遇高级网络攻击

•暗网惊现黑客助手Xanthorox AI, 网络安全面临新挑战

•猎人变猎物：Everest勒索软件暗网泄露网站遭篡改并下线

•利用AI深度伪造技术实施投资诈骗，六人被捕

•警惕：黑客利用Windows屏幕保护文件部署ModiLoader恶意软件

•澳大利亚养老金系统遭遇凭证填充攻击，2万账户被劫持

•Google发布网络安全AI模型Sec-Gemini v1

•一季度邮件安全趋势观察：强调更严格的身份验证要求

国家数据局综合司近日发布关于组织开展2025年可信数据空间创新发展试点工作的通知。根据通知，为落实《可信数据空间发展行动计划（2024—2028年）》（国数资源〔2024〕119号）工作部署，引导和支持可信数据空间发展，促进数据要素合规高效流通，深化数据资源开发利用，现组织开展2025年可信数据空间创新发展试点工作。

试点工作重点面向应用需求旺盛、发展基础良好、经济社会价值高、示范带动力强的领域，组织开展企业、行业、城市三类可信数据空间试点工作，通过两年试点培育，形成一批资源丰富、应用创新、生态繁荣、成效显著的可信数据空间，在数据资源开发利用、数据安全可信流通、数据要素价值共创、数据制度机制创新等方面，形成可复制推广的经验模式，探索数据资源规模化流通利用新模式新路径，积累国家数据基础设施运营经验，支撑全国一体化数据市场建设。

试点重点工作任务包括打造应用共创模式、构建数据资源高效流通机制、建立产业生态培育体系、构建可持续运营发展模式、推进可落地易复制的技术路径、探索数据空间互联互通。

当前试点申报工作已经启动，有意申报的单位可打开原文链接查看申报详情。

原文链接：

https://mp.weixin.qq.com/s/3gYu3E7PAGoLpNm8FN_Efg

英国多个关键防务机构近日成为一场高度复杂的网络攻击目标，包括英国陆军、皇家海军和核安全办公室。据报道，这次攻击由黑客组织Holy League Coalition发起。

这些攻击主要采用分布式拒绝服务(DDoS)策略，通过大量流量涌入使目标系统无法正常运行。部分攻击还似乎旨在分发恶意软件，可能使被攻击机构面临更严重的数据泄露或系统故障风险。

Telegram用户Mr. Hamza宣称对这些攻击负责，并发布了令人担忧的声明，警告称这仅仅是开始，未来可能会有更具破坏性的攻击。根据该消息，最严重的情况尚未到来，英国公众将面临更多具有破坏性的网络行动。虽然英国政府被攻击的确切原因尚不清楚，但有猜测与英国长期支持乌克兰有关。国际法明确谴责网络战的使用，参与此类行动的国家可能面临全球社会的制裁。

网络安全社区越来越担忧"独狼"黑客和试图附属于更大、更知名国家或事业的组织的兴起。较小、技术不太成熟的黑客常常声称与国家支持的组织有关联，在社交媒体平台上传播他们的主张，希望在国际媒体中获得关注和信誉。

原文链接：

https://www.cybersecurity-insiders.com/hackers-launch-cyber-attacks-on-british-army-royal-navy-and-office-for-nuclear-security/

网络安全公司SlashNext最新发现高级人工智能平台Xanthorox AI正在暗网论坛和加密渠道中流传。它被宣传为一个模块化系统，能够进行代码生成、漏洞利用、数据分析，并集成语音和图像处理功能，实现自动化和交互式攻击。

该平台于2025年第一季度末首次出现，专为攻击性网络行动而设计。与此前的恶意AI工具如WormGPT、FraudGPT和EvilGPT不同，Xanthorox AI采用独立的多模型框架，由五个针对特定网络操作优化的AI模型组成。这些模型托管在卖家控制的私有服务器上，而非公共云基础设施或开放API。Xanthorox AI是完全定制构建的平台，使用自主开发的语言模型，而非现有的LLaMA或Claude等模型。

该平台具备多项先进功能：模块化设计支持未来更新，内置语音和图像处理模块，可通过50多个搜索引擎进行实时网络搜索，提供离线功能，强调数据隔离以消除第三方AI数据收集风险。Xanthorox工具包包括：自动化代码创建的Xanthorox Coder，支持图像分析的Xanthorox Vision，模拟人类决策的Reasoner Advanced，以及支持语音交互的实时通话和异步语音消息功能。

原文链接：

https://hackread.com/xanthorox-ai-dark-web-full-spectrum-hacking-assistant/

Everest勒索软件团伙的暗网泄露网站在周末遭到未知攻击者入侵，目前已经下线。攻击者将网站内容替换为一条带有讽刺意味的信息："不要犯罪。犯罪是不好的。来自布拉格的问候xoxo"。

随后，Everest组织关闭了其泄露网站，现在访问该网站会显示"Onion site not found"（洋葱站点未找到）错误。虽然目前尚不清楚攻击者如何获取Everest网站的访问权限，或者该网站是否确实被黑客入侵，但一些安全专家，如Flare高级威胁情报研究员Tammy Harper指出，可能是WordPress漏洞被利用来篡改该勒索软件组织的泄露网站。

自2020年出现以来，Everest勒索软件组织已经从仅窃取数据的企业勒索策略转变为在攻击中加入勒索软件来加密受害者的受感染系统。Everest运营者还以初始访问代理商(initial access brokers)的身份为其他网络犯罪团伙和威胁行为者提供服务，出售被入侵企业网络的访问权限。在过去5年中，Everest已经在其暗网泄露网站上添加了超过230个受害者，该网站被用作双重勒索攻击的一部分，勒索软件团伙试图通过威胁发布包含敏感信息的文件来迫使受害者支付赎金。

原文链接：

https://www.bleepingcomputer.com/news/security/everest-ransomwares-dark-web-leak-site-defaced-now-offline/

西班牙警方近日成功逮捕了六名犯罪嫌疑人，他们利用人工智能技术生成知名公众人物的深度伪造广告，实施了一起大规模加密货币投资诈骗，导致全球共有208名受害者被骗取约1900万欧元（2090万美元）。

据警方通报，犯罪团伙创建了多家空壳公司洗钱，而团伙头目使用了超过50个不同的化名。这起诈骗案分为多个阶段：首先通过"浪漫诱饵"或假扮"财务顾问"接触潜在受害者，最后以虚假的资金追回声明作为诈骗收尾。犯罪分子使用算法选择符合其目标要求的受害者，然后利用AI生成的深度伪造广告进行诱骗。

受害者最初是因平台上生成的虚假数据看到了丰厚的投资回报。在某个时刻，假扮财务顾问或与受害者模拟浪漫关系的诈骗者告知他们，投资已被冻结，只有支付大额费用才能取回资金。在最后阶段，诈骗者再次联系受害者，这次假扮欧洲刑警组织特工或英国律师，声称已追回资金，只需支付当地税费即可取回。

警方提醒公众警惕保证回报的承诺，并在存入任何资金前验证投资平台的合法性和可信度。其他警示信号包括投资压力、无法提款、意外余额"冻结"以及提款需要额外"费用/税金"的声明。

原文链接：

https://www.bleepingcomputer.com/news/security/six-arrested-for-ai-powered-investment-scams-that-stole-20-million/

Broadcom旗下赛门铁克分析师通过记录2025年3月至4月间的一场持续攻击活动，发现威胁行为者正持续利用Windows屏幕保护文件(.scr)格式分发ModiLoader恶意软件，旨在窃取数据。

攻击者通过模仿台湾货运物流公司发送钓鱼邮件，这些邮件以中文撰写，引用虚构的海关清关和国际货运信息以增加可信度。感染机制始于一封标题为"//AMD ISF+AMD BL DRAFT//聯盛－裝船通知單－4/7 結關 KAO TO ATLANTA, GA VIA NYC CFS【友鋮】 SO.N023"的钓鱼邮件。邮件指示收件人查看附带的RAR压缩包，其中包含一个.scr文件，解压后会执行ModiLoader。

ModiLoader使用HTTP GET请求与命令与控制(C2)服务器通信，下载加密负载以逃避基于签名的检测。该恶意软件通过进程空洞化技术将这些负载注入explorer.exe或svchost.exe等合法进程中，用恶意代码替换可执行内存部分。为对抗分析，.scr文件执行反沙箱检查，查询系统运行时间和已安装的安全软件。一旦激活，它会释放一个名为"Invoice_JN-032525C.pdf"的诱饵文档，在后台执行恶意操作的同时维持合法性的假象。该加载器随后会获取Remcos、Agent Tesla和Formbook等二级负载，使攻击者能够窃取凭证、监控按键和建立持久访问。

赛门铁克通过多层防御，包括启发式检测(Heur.AdvML.B)和静态分析规则(Trojan.Gen.MBT)来缓解这些威胁。安全专家建议企业在高风险环境中阻止.scr文件执行，并强制执行电子邮件附件沙箱以在部署前拦截恶意负载。

原文链接：

https://cybersecuritynews.com/threat-actors-weaponize-windows-screensavers-files-to-deliver-malware/#google_vignette

澳大利亚多家养老金基金提供商近日遭遇大规模网络攻击，据报道约有2万个客户账户被黑客劫持，攻击手法疑似为凭证填充攻击。

澳大利亚养老金基金协会(ASFA)于上周五发表声明，确认黑客在前一周末针对"多家基金"发起攻击。声明称："虽然大多数攻击尝试被成功阻止，但不幸的是仍有部分会员受到影响。相关基金正在联系所有受影响会员并为数据遭到泄露的用户提供帮助。"据当地新闻报道，此次事件可能导致数万个账户被入侵，损失金额高达50万美元。

其中，管理着约3650亿澳元(约2190亿美元)资产、拥有约350万会员的澳大利亚最大的养老金基金AustralianSuper确认有600名会员受到网络攻击影响。管理约930亿澳元(约560亿美元)的Rest Super表示约有8000名会员的"有限个人信息被访问"，包括名字、电子邮件地址和会员识别号码，但声称这些受害者的资金未受影响。

原文链接：

https://www.infosecurity-magazine.com/news/aussie-pension-savers-hit/

Google近日宣布推出实验性网络安全AI模型Sec-Gemini v1，旨在通过先进人工智能彻底改变网络安全防御领域。

该模型由Sec-Gemini团队开发，专为帮助安全专业人员应对日益复杂的网络威胁而设计。Sec-Gemini团队在博客中指出网络安全存在固有不对称性：防御者必须防范所有可能的攻击，而攻击者只需利用单一漏洞即可得手。Sec-Gemini v1通过AI赋能安全工作流程，旨在将优势重新转移到防御方。

该模型基于Google的Gemini模型构建，整合了近实时的网络安全知识和先进的推理能力。它从Google威胁情报(GTI)、开源漏洞(OSV)数据库和Mandiant威胁情报等广泛数据源获取信息，在事件根因分析、威胁分析和漏洞影响评估等关键领域表现卓越。Google提供的一个实例展示了模型的实用价值：当被询问关于某具体威胁行为者时，Sec-Gemini v1不仅正确识别其身份，还提供了由Mandiant威胁情报数据丰富的详细描述，并分析了与该威胁行为者相关的漏洞。

为促进行业合作，Google将向特定组织、机构、专业人士和NGO免费提供Sec-Gemini v1用于研究目的。随着网络威胁不断演变，此类工具有望在平衡攻防双方实力方面发挥关键作用。

原文链接：

https://cybersecuritynews.com/sec-gemini-v1/

根据ASRC (Asia Spam-message Research Center) 研究中心与守内安公司发布的《守内安 & ASRC 2025年第一季度电子邮件安全观察报告》，2025年邮件安全趋势强调更严格的身份验证要求。Gmail和Yahoo等主要邮件服务提供商除了持续推动SPF、DKIM和DMARC等认证协议的采用，还逐步将目标指向DMARC的p=reject邮件策略，以防止域名被冒用。发送来源的验证与检测也逐渐从IP信誉转向域名信誉。

报告特别强调要关注并防范7-Zip软件重大安全漏洞（CVE-2025-0411），以及影响Microsoft Office和Windows操作系统的严重漏洞（CVE-2025-21298）。报告还列举了本季度值得留意的邮件样本，包括：压缩文件携带VHD的攻击、社交工程手法诱骗和技术支持攻击。

报告最后指出，网络安全威胁不断演变，安全策略和意识培训也需同步更新。邮件安全部署可参考“最小权限原则”：仅允许发送合理使用的附件类型，对特殊附件默认拦截并人工审核，再根据实际情况调整策略；同时限制内部群组邮件的收件范围，减少暴露风险。

原文链接：

https://mp.weixin.qq.com/s/XixHFqsd8xk0X076wYtQdw