工业网络安全周报-2025年第15期

本文预计阅读时间 18分钟

2025-15

本期摘要

BREAKING NEWS

政策法规方面，《香港生成式人工智能技术及应用指引》发布；美国CISA紧急续约MITRE以维持CVE漏洞数据库运作，反映国家级网络安全基础设施的维稳需求。

漏洞预警方面，Gladinet曝出CVE-2025-30406漏洞并被黑客攻击；CISA紧急发布9项ICS安全漏洞，针对工控系统关键漏洞强化防护；CISA警告苹果和微软漏洞可能被利用情况，亟需企业加强漏洞监测与应急响应能力。

安全事件方面，地缘政治相关黑客行动激增，如CrazyHunter针对中国台湾关键部门、匿名者泄露俄罗斯数据，以及PowerModul植入程序攻击俄组织。勒索软件持续肆虐，攻击量激增126%。此外，Fortinet设备遭后门攻击、科技巨头Conduent数据泄露，以及新型ResolverRAT攻击医疗行业，凸显供应链、关键基础设施和医疗领域的脆弱性。

风险预警方面，BPFDoor控制器针对电信、金融和零售业发起隐秘反向shell攻击，显示高级威胁向关键行业渗透。加拿大政府警示边缘设备安全风险，反映物联网安全防御短板。能源行业因地缘冲突面临攻击激增，成为网络战重点目标。AI幻觉代码依赖问题表明人工智能技术应用正引入新的安全盲区。

产业发展方面，关键基础设施领域持续承压，天然气行业因网络威胁升级和地缘政治因素面临重大安全挑战；《2025年渗透测试状态报告》的发布则揭示了当前网络安全防御体系中感知与现实之间的差距。

政策法规

《香港生成式人工智能技术及应用指引》发布

数字政策办公室（数字办）4月15日公布《香港生成式人工智能技术及应用指引》，为技术开发者、服务提供商和使用者提供实务操作指引，内容涵盖生成式人工智能的应用范围和局限、潜在风险与治理原则，包括数据泄露、模型偏见和错误等技术风险。数字办早前委托香港生成式人工智能研发中心，就生成式人工智能技术及应用的准确性、责任、信息保安等范畴，研究及建议适当的规则和指引。数字办考虑研究结果及建议后制定指引，目标是平衡人工智能的创新发展、应用与责任，为人工智能生态圈各持份者建构一套符合香港的治理框架。

资料来源：

http://kv2.9dw7.sbs/P7x5ASa

CISA紧急续约MITRE，确保网络安全数据库CVE持续运作

2025年4月16日，美国网络安全和基础设施安全局（CISA）宣布，已签署与MITRE的合同延期协议，确保“通用漏洞与披露数据库”（CVE）服务不中断。CISA在声明中表示：“CVE计划对整个网络安全社区至关重要，我们已执行了合同中预设的延期选项，保障关键服务不断档。”据悉，此次续约时限为11个月。

资料来源：

http://gy1.9dw7.sbs/ykxdpNYbreach-ransomware

漏洞预警

GladinetCVE-2025-30406漏洞被黑客利用

2025年4月15日，Huntress 的安全研究人员警告称，Gladinet CentreStack 和 Triofox 软件中存在一个严重漏洞（CVE-2025-30406），目前有7个组织和120个端点遭到了攻击。研究人员指出，数百台暴露在互联网上的易受攻击的服务器面临风险。美国网络安全和基础设施安全局 (CISA) 于 2025年4月将该漏洞添加到其已知被利用漏洞 (KEV) 目录中。此漏洞源于web.config文件中的硬编码密钥，该漏洞允许ViewState反序列化攻击。如果不修复，该漏洞将导致远程代码执行和服务器全面入侵。必须同时保护根配置和门户配置，以防止漏洞被利用。

资料来源：

http://gr1.9dw9.sbs/FgGH4wn

CISA发布9项新的ICS安全公告解决关键漏洞

2025年4月16日，美国网络安全和基础设施安全局 (CISA) 发布了九项新公告，详细说明了广泛使用的工业控制系统 (ICS) 产品中的严重漏洞。9项工业控制系统警告包括西门子 Mendix Runtime（编号为 CVE-2025-30280），；西门子工业边缘设备套件（CVE-2024-54092）；西门子SIMOCODE、SIMATIC、SIPLUS、SIDOOR、SIWAREX (CVE-2024-23814)；Growatt云应用程序（CVE-2025-30511、CVE-2025-31933、CVE-2025-31949、CVE-2025-31357）；Lantronix Xport (CVE-2025-2567)；美国国家仪器 LabVIEW（CVE-2025-2631、CVE-2025-2632）；台达电子 COMMGR (CVE-2025-3495)；ABB M2M 网关（CVE-2022-23521、CVE-2022-41903、CVE-2023-25690）；三菱电机欧洲有限公司 smartRTU（CVE-2025-3232、CVE-2025-3128）。CISA 敦促各组织审查所有建议，立即应用可用的补丁和缓解措施，并遵循最佳安全实践，以确保关键基础设施系统的完整性和可用性。

资料来源：

https://gbhackers.com/cisa-issues-9-new-ics-advisories/?web_view=true

紧急安全警报：CISA 警告苹果和微软漏洞可能被利用

2025年4月18日，美国网络安全和基础设施安全局 (CISA) 发布警告，在其已知可利用漏洞目录中新增三个漏洞，强调受影响系统亟需快速修补。这些漏洞影响苹果和微软产品，目前已被恶意攻击者积极利用，对组织和个人构成重大风险。CVE-2025-31200 Apple多款产品内存损坏漏洞：此漏洞存在于 CoreAudio 中，可通过处理恶意构建的音频流触发；CVE-2025-31200 Apple 多款产品内存损坏漏洞：此漏洞存在于CoreAudio中，可通过处理恶意构建的音频流触发。Microsoft Windows也遭受攻击，漏洞CVE-2025-24054 Microsoft Windows NTLM哈希泄露欺骗漏洞正被利用，利用活动在 2025 年 3 月 20 日至 25 日之间达到峰值。

资料来源：

http://hq1.9dw9.sbs/wWx7eZH

安全事件

CrazyHunter 攻击活动瞄准中国台湾关键部门

2025年4月16日，CrazyHunter 迅速崛起，成为严重的勒索软件威胁。该组织上个月首次公开其数据泄露网站，并公布了十名受害者的信息，全部来自中国台湾。自一月初以来，观察到其明显以中国台湾为目标。该组织的受害者主要包括医院和医疗中心、教育机构和大学、制造公司和工业组织，这反映出其针对性强，尤其针对拥有宝贵数据和敏感业务的组织。趋势科技通过Trend Vision One检测并阻止CrazyHunter攻击活动中使用的恶意组件，相关办法可详见链接。

资料来源：

http://r82.9dw7.sbs/obOznFG

勒索软件团伙称其入侵了俄勒冈州环境质量部门

2025年4月15日，勒索软件组织 Rhysida声称对上周俄勒冈州环境质量部门遭受的网络攻击负责。2025年4月9日，俄勒冈州环境质量局（DEQ）表示，正在调查一起针对其企业信息服务的网络攻击事件。此次攻击导致该部门关闭了电子邮件系统、计算机工作站、服务台和车辆检测站。截至4月14日，大部分服务已恢复正常。该勒索软件组织要求该部门在7天内支付30比特币的赎金（价值约270万美元）。俄勒冈州环境质量局（DEQ）的最新公告称没有证据表明存在数据泄露，但Rhysida表示其入侵了DEQ并窃取了超过2.5 TB的数据。

资料来源：

http://oi2.9dw7.sbs/awt0GyD

勒索软件攻击激增126%

2025年4月17日，网络安全领域勒索软件攻击急剧升级，这标志着全球企业令人担忧的趋势。根据 Check Point Research 最近的分析，勒索软件事件与 2024 年同期相比激增了惊人的 126%。这种激增并不是无差别的；消费品和服务行业成为最受攻击的行业，占全球勒索软件攻击总数的 13.2%。商业服务和工业制造等其他行业也遭受了重大攻击，分别占全球事件的 9.8% 和 9.1%。这些攻击的扩展表明勒索软件团体不仅数量在增加，而且其策略也在多样化，影响广泛的行业，旨在破坏关键业务运营并提取最高赎金。

资料来源：

http://7t2.9dw7.sbs/OjnclOT

匿名者发布针对俄罗斯的10TB泄露数据

2025年4月17日，近期，黑客组织“匿名者”（Anonymous）宣布对俄罗斯发动的大规模网络攻击负责，并泄露了高达10TB的数据，并称此举旨在“保卫乌克兰”。该组织称，此次泄露的数据泄露暴露了与俄罗斯政府、克里姆林宫相关个人和组织以及与亲俄势力网络相关的外国资产相关的敏感内部文件。令人震惊的是，泄露文件还包括一份名为“唐纳德·特朗普数据泄露”的文件，暗示这位美国前总统可能与克里姆林宫的亲俄关系存在关联或情报。

资料来源：

http://er1.9dw8.sbs/EoN8Hh4

新型PowerModul植入程序及攻击策略瞄准俄罗斯组织关

2025年4月14日，APT 组织 GOFFEE 再次现身，其武器库焕然一新，对俄罗斯战略部门发动了定向网络攻击。根据卡巴斯基实验室发布的一份全面新报告，该组织已改变先前的攻击策略，采用 PowerModul、复杂的鱼叉式网络钓鱼诱饵和定制的 Mythic 代理来渗透关键网络。卡巴斯基高度确信此次攻击活动是由APT组织GOFFEE发起的，因为恶意软件特征、受害者特征和感染链都较为一致。该组织在2024年7月至12月期间专门针对俄罗斯机构发动攻击，并保持了对该地区的高度关注。

资料来源：

http://or1.9dw7.sbs/hxNvtxK

INC 勒索软件攻击后，Ahold Delhaize 确认数据被盗

2025年4月17日，食品零售巨头阿霍德德尔海兹 (Ahold Delhaize) 证实，在 2024年11月的网络攻击中，其美国业务系统的数据被窃取。Ahold Delhaize是一家跨国零售和批发公司，在欧洲和美国经营着近8,000家商店，拥有超过410,000名员工。勒索软件组织INC Ransom将Ahold Delhaize添加到其暗网上的数据泄露勒索网站，其中包括他们涉嫌从该公司窃取的文件样本。Ahold Delhaize指出，对该事件的调查仍在进行中，如果确认客户数据受到影响，将会通知相关人员。

资料来源：

http://xi2.9dw7.sbs/HDJjvas

超过16,000台Fortinet设备遭符号链接后门攻击

2025年4月16日，超过 16,000 台暴露在互联网上的Fortinet设备被检测到受到新的符号链接后门的攻击，该后门允许对之前受到攻击的设备上敏感文件进行只读访问。Shadowserver的Piotr Kijewski告诉BleepingComputer，该网络安全组织现在检测到16,620台设备受到最近披露的持久性机制的影响。Fortinet 表示，这并不是通过利用新的漏洞，而是与2023年开始并持续到2024年的攻击有关，其中威胁行为者利用零日漏洞破坏了FortiOS设备。Fortinet已发布更新的AV/IPS签名，可检测并从受感染设备中删除此恶意符号链接。最新版本的固件也已更新，可检测并删除此链接。此更新还可阻止内置Web服务器提供未知文件和文件夹。

资料来源：

http://bb1.9dw9.sbs/fMHyk0o

科技巨头Conduent确认客户数据在一月份网络攻击中被盗

2025年4月14日，美国商业服务巨头和政府承包商Conduent披露，客户数据在2025年1月的网络攻击中被盗。Conduent是一家商业服务公司，为交通、医疗保健、客户体验和人力资源领域的政府和商业客户提供数字平台和解决方案。该公司拥有超过33,000名员工，为一半的财富100强公司和超过600个政府和交通机构提供服务。Conduent在今天向美国证券交易委员会提交的新FORM-8K文件中确认，威胁行为者窃取了包含该公司客户信息的文件。该公司表示，没有迹象表明被盗数据已在暗网或其他公开渠道发布，此次攻击并未对其运营造成任何实质性影响，但第一季度已产生与攻击相关的费用。

资料来源：

http://rx1.9dw9.sbs/sjYzvCw

新型ResolverRAT恶意软件攻击全球制药和医疗保健机构

2025年4月14日，一种名为“ResolverRAT”的新型远程访问木马 (RAT)正在全球范围内被用于攻击组织，最近的攻击中所使用的恶意软件针对的是医疗保健和制药行业。ResolverRAT通过网络钓鱼电子邮件进行分发，电子邮件包含下载合法可执行文件（“hpreader.exe”）的链接，该可执行文件利用反射DLL加载将ResolverRAT注入内存。Morphisec观察到意大利语、捷克语、印地语、土耳其语、葡萄牙语和印度尼西亚语中存在网络钓鱼攻击，因此该恶意软件具有全球操作范围，可以扩展到更多国家。

资料来源：

http://je2.9dw7.sbs/VmAUuVc

风险预警

针对电信、金融和零售的隐秘反向shell攻击的BPFDoor控制器

2025年4月17日，趋势科技的研究人员本周透露，与BPFDoor后门关联的控制器可以打开反向 Shell，使攻击者能够更深入地入侵受感染的网络。BPFDoor以其隐秘的防御规避技术而闻名，并被用于近期针对电信、金融和零售行业的网络间谍活动。攻击已在韩国、香港、缅甸、马来西亚和埃及等地被发现。在调查过程中，该团队发现了一个此前未曾发现的控制器，并将其归咎于Red Menshen，这是一个由趋势科技追踪的高级持续性威胁 (APT) 组织，名为Earth Bluecrow。

资料来源：

http://ho1.9dw9.sbs/TzrmBdS

加拿大警告网络防御者加强边缘设备

2025年4月10日，在一次深入研究中发布，作者是高级安全顾问兼前网络工程师Guy Bruneau，揭示了多年存在的思科漏洞（CVE-2018-0171）的持续危险，带来了新的见解和现实世界的测试。尽管在七年前披露，Smart Install 远程代码执行（RCE）漏洞仍然在野外活跃，超过1200台思科设备仍然向互联网暴露了易受攻击的服务。

资料来源：

http://nb1.9dw9.sbs/53aHE5U

地缘政治紧张局势下，能源行业网络攻击激增

2025年4月17日，随着全球地缘政治紧张局势升级，能源行业已成为网络空间的主要战场。Resecurity 旗下 HUNTER 威胁情报部门的一份新报告显示，针对核能、可再生能源和传统化石燃料领域能源运营商的网络攻击数量激增，令人担忧。这些攻击涵盖勒索软件、国家间谍活动、黑客行动主义和访问代理活动，加剧了 IT 和日益暴露的 OT（运营技术）环境的风险。

资料来源：

http://uo1.9dw7.sbs/JZIqCMc

人工智能幻觉代码依赖成为新的供应链风险

2025年4月12日，随着生成式 AI 工具在编码中的使用增多，以及模型倾向于“产生”不存在的包裹名称，一种名为“slopsquatting”的新型供应链攻击应运而生。“Slopsquatting”这个术语是由安全研究员Seth Larson创造的，是Typosquatting的一个变种，这是一种通过使用与流行库非常相似的名称来诱骗开发人员安装恶意软件包的攻击方法。减轻这种风险的唯一方法是手动验证包名称，并且永远不要假设AI生成的代码片段中提到的包是真实或安全的。使用依赖扫描器、锁文件和哈希验证将软件包固定到已知、受信任的版本是提高安全性的有效方法。最终，在生产环境中运行或部署 AI 生成的代码之前，务必在安全、隔离的环境中对其进行测试。

资料来源：

http://ov1.9dw9.sbs/OGjfywF

产业发展

天然气行业正处于十字路口，面临网络威胁和地缘政治风险

2025年4月16日，Rebel Global Security与美国州际天然气协会 (INGAA) 合作，开展了一项行业调查，旨在评估当前战略、发现差距并发掘整个行业的机遇。该报告探讨了美国天然气公司如何应对不断变化的国家安全和地缘政治风险。研究发现，天然气公司认为国家安全和地缘政治问题至关重要。报告中指出，在当今动荡的地缘政治格局中，天然气公司是国家网络攻击、国内极端主义和其他安全风险的主要目标。“该行业也是华盛顿国家安全议程的核心——确保美国的全球竞争力和人工智能 (AI) 革命，为美国盟友提供能源，将关键制造业回流美国，并解决资源充足性问题。因此，天然气公司面临着越来越大的压力，需要主动管理国家安全和地缘政治问题。”

资料来源：

http://wc1.9dw9.sbs/Lez7Tlc

《2025年渗透测试状态报告》揭示的关于网络安全情况

2025年2025年4月15日，2025年渗透测试报告揭示了在网络安全方面的显示情况。报告坦诚地展示了感知与现实之间的差距，特别是在漏洞管理、人工智能风险以及对程序化渗透测试日益增长的需求方面。2025年渗透测试状态报告一开始就是一个引人注目的矛盾，81%的组织认为他们的网络安全状况是良好的。然而，现实世界的渗透测试讲述的是另一个故事——在测试中发现的所有漏洞中，只有不到一半（48%）得到了解决。即使这些漏洞被判定为高风险，只有69%得到了处理，企业在防御上留下了多个漏洞。此外，虽然四分之三的公司声称拥有服务级别协议（SLA），规定漏洞必须在14天内解决，但解决所有渗透测试结果的中位时间是惊人的67天——几乎是目标的五倍。这个问题不仅仅是理论上的；这些是可被攻击者利用的可操作漏洞，而解决延迟使系统暴露在外。

资料来源：

https://thecyberexpress.com/state-of-pentesting-report-2025/

往期内容回顾

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧