参与实施亚冬会网络攻击，3名美国特工被我公安机关悬赏通缉；肾透析巨头DaVita遭遇勒索软件攻击，部分运营受影响 | 牛览

•国家发展改革委 国家数据局印发2025年数字经济工作要点

•参与实施亚冬会网络攻击，3名美国特工被我公安机关悬赏通缉

•OWASP发布生成式AI安全治理清单

•肾透析巨头DaVita遭遇勒索软件攻击，部分运营受影响

•全内存运行的隐形威胁：ResolverRAT针对全球医药行业发起攻击

•美国收费公路用户遭遇精准短信钓鱼攻击

•美国政府承包商Conduent遭遇数据泄露，客户信息被黑客窃取

•警惕slopsquatting攻击：LLM代码生成的包幻觉可能引发新型供应链攻击

•Windows Server 2025重启后或导致域控制器连接中断，影响相关应用程序和服务

•威胁情报公司Prodaft出资收购暗网论坛账户以增强情报能力

近日，为全面贯彻落实党的二十大和二十届二中、三中全会精神，按照中央经济工作会议和2025年政府工作报告部署，加快构建促进数字经济发展体制机制，国家发展改革委、国家数据局印发《2025年数字经济发展工作要点》。

原文链接：
https://mp.weixin.qq.com/s/GF87KQDc5VEtDTWDJhGXeA

为依法严厉打击境外势力对我网络攻击窃密犯罪，切实维护国家网络空间安全和人民生命财产安全，黑龙江省哈尔滨市公安局决定对3名隶属于美国国家安全局（NSA）的犯罪嫌疑人凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J. Snelling）、斯蒂芬·约翰逊（Stephen W. Johnson）进行通缉。

“2025年哈尔滨第九届亚冬会”遭受境外网络攻击事件经媒体报道后，国家计算机病毒应急处理中心和亚冬会赛事网络安全保障团队及时向哈尔滨市公安局提交了相关的全部数据。哈尔滨市公安局立即组织技术专家组成技术团队开展溯源调查，成功追查到美国国家安全局（NSA）的3名特工和两所美国高校参与实施了此次网络攻击活动。

调查发现，此次活动是由美国国家安全局（NSA）精心组织实施的一次网络攻击行动，具体实施组织是美国国家安全局信息情报部（代号S）数据侦察局（代号S3）下属特定入侵行动办公室（Office of Tailored Access Operation，简称“TAO”，代号S32）。TAO为了掩护其攻击来源和保护网络武器安全，依托所属多家掩护机构购买了一批不同国家的IP地址，并匿名租用了一大批位于欧洲、亚洲等国家和地区的网络服务器。

美国国家安全局（NSA）赛前攻击主要集中在亚冬会注册系统、抵离管理系统、竞赛报名系统等重要信息系统，意图窃取参赛运动员的个人隐私数据；从2月3日第一场冰球比赛开始，攻击重点方向为赛事信息发布系统（包括API接口）、抵离管理系统等，妄图破坏系统，扰乱影响赛事的正常运行。同时，美国国家安全局（NSA）针对黑龙江省内能源、交通、水利、通信、国防科研院校等重要行业开展网络攻击，意图破坏我关键信息基础设施引发社会秩序混乱和窃取我相关领域重要机密信息。

经持续攻坚溯源，哈尔滨市公安局成功锁定了参与网络攻击亚冬会的美国国家安全局（NSA）3名特工。技术团队同时发现，具有美国国家安全局（NSA）背景的美国加利福尼亚大学、弗吉尼亚理工大学也参与了本次网络攻击。

原文链接：

https://mp.weixin.qq.com/s/8hj2ENnxqJENip9noLJzqA

OWASP（开放Web应用安全项目）近日发布了"LLM AI网络安全与治理清单"，旨在帮助企业安全部署生成式AI和大语言模型(LLM)技术。

该清单主要帮助企业领导者快速识别与生成式AI相关的风险，并采取适当的缓解措施。OWASP强调，这份清单并非详尽无遗，将随着技术的成熟而不断发展。清单将LLM威胁分为多个类别，并提出了六步法来制定有效的LLM策略。

清单涵盖了多个关键领域，包括：对抗性风险评估、威胁建模、AI资产清单、安全与隐私培训、业务案例建立、治理框架、法律合规、监管要求、LLM解决方案实施、测试评估验证(TEVV)、模型风险图谱、检索增强生成(RAG)以及AI红队测试等。

OWASP特别强调了几个关键点：企业必须了解竞争对手如何使用AI；进行全面的威胁建模；维护完整的AI资产清单；提供适当的安全培训；建立明确的业务案例；实施强有力的治理框架；定期进行安全测试和评估。

原文链接：

https://www.csoonline.com/article/3493126/genai-security-als-checkliste.html

美国最大肾脏护理服务提供商DaVita于周一（4月14日）披露，该公司在周末遭遇了勒索软件攻击，导致部分网络系统被加密，运营受到影响。

作为美国肾脏护理领域的主要服务商，DaVita在全球12个国家运营超过2600个门诊治疗中心，为肾病患者提供透析服务。根据DaVita向美国证券交易委员会提交的8-K表格显示，攻击发生在周六（4月12日）。该公司在发现攻击后立即启动了响应机制，实施了隔离措施，主动隔离受影响的系统。虽然攻击和应对措施对部分运营产生了不利影响，但公司已实施临时措施协助恢复，并表示各设施的患者护理服务仍在继续。

目前，对该事件的调查仍在进行中，尚未确定攻击的完整范围，包括患者数据是否被窃取的可能性。截至发稿时，尚无勒索软件组织宣称对DaVita的攻击负责。

原文链接：

https://www.bleepingcomputer.com/news/security/kidney-dialysis-firm-davita-hit-by-weekend-ransomware-attack/

安全研究人员发现，新型远程访问木马(RAT) "ResolverRAT”正在全球范围内发起攻击，近期主要针对医疗保健和制药行业。

据Morphisec研究团队披露，ResolverRAT通过伪装成法律或版权侵犯通知的钓鱼邮件传播，这些邮件会根据目标国家定制不同语言版本。邮件中包含下载合法可执行文件('hpreader.exe')的链接，该文件随后利用反射式DLL加载技术将ResolverRAT注入内存。

这款恶意软件具有多项高级特性，使其极难被检测：

• 完全在内存中运行，不留下文件痕迹；

• 滥用.NET的'ResourceResolve'事件加载恶意程序集，避免调用可疑API；

• 使用复杂状态机混淆控制流，使静态分析极其困难；

• 通过资源请求指纹识别沙箱和分析工具；

• 使用误导性和冗余代码干扰分析。

ResolverRAT通过在Windows注册表中添加XOR混淆密钥（多达20个位置）来确保持久性，同时将自身添加到"启动"、"程序文件"和"LocalAppData"等文件系统位置。该恶意软件采用随机间隔的回调机制规避基于不规则信标模式的检测，并使用分块机制（将大于1MB的文件分割成16KB的块）进行数据窃取，以混入正常流量模式。

原文链接：

https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/

一场针对美国收费公路用户的大规模短信钓鱼(smishing)攻击正在进行中，对车主的财务安全构成重大威胁。自2024年10月中旬以来，网络犯罪分子冒充E-ZPass等合法收费公路支付服务，试图窃取受害者的信用卡信息。

据Cisco Talos分析师监测发现，这些攻击已覆盖华盛顿、佛罗里达等至少八个州。研究表明，多个以财务为动机的威胁行为者正在使用由"Wang Duo Yu"开发的通用钓鱼工具包实施这些攻击。

钓鱼短信通知收件人有未付通行费，通常不到5美元，并警告如不及时支付将产生约35美元的滞纳金，还可能面临"处罚或法律诉讼"。短信中包含指向伪造域名的超链接，这些域名模仿官方收费服务。点击链接后，受害者会经历一个精心设计的钓鱼流程：首先遇到假CAPTCHA验证，然后被重定向到显示合法收费服务标志的伪造网页，该页面要求受害者输入姓名和邮编以查看账单。随后，受害者会看到一个显示其姓名和约4美元未付余额的虚假账单，以及关于35美元滞纳金的警告。当受害者点击"立即处理"按钮时，会被引导至另一个索取包括姓名、地址、电话号码和信用卡详细信息的假网页。

原文链接：
https://cybersecuritynews.com/beware-of-5-sms-phishing-attack/

美国商业服务巨头和政府承包商Conduent于4月14日确认，其在2025年1月遭遇的网络攻击中，客户数据被窃取。

Conduent是一家为政府和商业客户提供数字平台和解决方案的商业服务公司，业务涵盖交通、医疗保健、客户体验和人力资源领域，为半数《财富》100强企业以及600多家政府和交通机构提供服务。

根据Conduent向美国证券交易委员会(SEC)提交的最新8-K表格文件，公司确认威胁行为者窃取了包含客户信息的文件，并透露已经聘请了网络安全数据挖掘专家评估被窃数据，确认数据集包含与客户终端用户相关的大量个人信息。Conduent表示，目前没有迹象表明被窃数据已在暗网或其他公开方式发布。该公司称，此次攻击对其运营没有造成实质性影响，但在第一季度产生了与攻击相关的费用。

值得注意的是，Conduent此前在2020年曾遭遇过数据泄露，当时Maze勒索软件团伙加密了公司设备并窃取了企业数据。

原文链接：

https://www.bleepingcomputer.com/news/security/govtech-giant-conduent-confirms-client-data-stolen-in-january-cyberattack/

大语言模型(LLM)的"幻觉"倾向可能成为一种新型供应链攻击的基础，这种攻击被Python软件基金会安全开发者Seth Larson命名为"slopsquatting"（滑动抢注）。

研究人员发现，当开发者使用LLM辅助编程时，这些模型偶尔会推荐不存在的软件库和包，这一弱点可被攻击者利用，在PyPI或npm等流行代码仓库上创建同名恶意包。

研究人员对16个代码生成AI模型（包括GPT-4、Claude、CodeLlama等）进行了测试。研究人员使用两个独特的提示数据集，获得了576,000个Python和JavaScript代码样本，发现近20%的推荐包实际上并不存在。研究表明，这些幻觉并非随机错误。当重复查询同一个生成幻觉的提示时，43%的幻觉包在所有10次查询中都被重复推荐，而58%的幻觉包在10次迭代中至少重复出现过一次以上。这种持续性使得恶意行为者更容易利用此漏洞。攻击者可以轻松创建一个与幻觉包同名的新包，并注入恶意代码。当不知情的用户执行代码时，这个恶意包就会被下载并在用户机器上执行。

安全专家建议，对于依赖LLM的开发者，建议在包含生成的代码前，务必验证所有推荐的包是否真实存在。

原文链接：

https://www.helpnetsecurity.com/2025/04/14/package-hallucination-slopsquatting-malicious-code/

Microsoft近日警告IT管理员，部分Windows Server 2025域控制器(DC)在重启后可能变得无法访问，导致应用程序和服务失败或无法连接。

根据Microsoft的更新说明，这一问题源于服务器在重启后加载了标准防火墙配置文件，而非域防火墙配置文件。Windows Server 2025域控制器（包括托管Active Directory域控制器角色的服务器）重启后出现网络流量管理异常，导致域控制器可能在网络中完全无法访问，或者某些本应被域防火墙阻止的端口和协议被错误开放。这使得受影响服务器上运行的应用程序和服务可能失效，同时网络中的其他设备也无法与这些域控制器正常通信。

Microsoft提供了临时解决方案：管理员可以使用多种方法手动重启受影响服务器上的网络适配器，包括使用PowerShell命令：Restart-NetAdapter *。值得注意的是，由于该问题在每次域控制器重启时都会触发，管理员必须在每次重启后重新启动网络适配器。为解决这一问题，Microsoft建议创建一个计划任务，在DC服务器重启时自动重启网络适配器。Microsoft透露，其工程师正在开发永久性修复方案，将在未来更新中推出。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-server-2025-restarts-break-services-on-domain-controllers/