每周网络安全简讯 ( 2025年 第23周 )

2025年5月31日至2025年6月6日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计22条。

APT攻击

朝鲜APT组织APT37对韩国目标用户实施网络攻击

近日，安全研究人员发现朝鲜APT组织APT37以“韩国国家安全智库邀请”为话题制作钓鱼邮件，诱使目标用户点击实施渗透入侵。攻击成功后，邮件内嵌入的恶意LNK文件将会自动执行PowerShell脚本，释放诱饵文件的同时，采用后缀名分割字符串的代码混淆手段，向受控设备写入RoKRAT功能性载荷，以规避安全软件的静态脚本内容检测分析。然后，PowerShell脚本会将相关载荷加载到受控设备内存中，通过Windows API（GlobalAlloc、VirtualProtect、CreateThread）的方式调用恶意载荷，进而与基于Dropbox的云端C2服务器建立通联关系，对受控设备实施持久性远控。此次攻击事件证明，该APT组织的攻击手段正在不断演变，安全人员检测难度不断加大，传统端点检测系统愈加难以对其进行有效防护，对安全人员的安全检测分析能力提出了严峻挑战。

链接：https://cybersecuritynews.com/apt37-hackers-mimic-academic-forum-invites/

APT组织APT-Q-27利用“银狐”木马程序对东南亚等地区国家用户实施网络攻击

近日，安全研究人员监测发现APT组织APT-Q-27通过构建经过SEO优化的钓鱼网站方式，对东南亚等地区国家用户实施水坑攻击。当用户在该钓鱼网站下载安装伪装成ToDesk应用软件的恶意程序时，该恶意程序将会在用户设备上自动释放合法ToDesk.exe安装包及恶意程序载荷Build.exe。经分析，该载荷实为“银狐”家族木马载荷，在植入受控设备后，将会采取C盘文件写入、注册表键值修改、脚本执行、C2通联等一系列恶意操作，并在与C2服务器成功通联后向受控设备植入黑产工具木马Winos4.0，最终实现对用户设备的持久性远控。奇安信安全人员声称，该APT组织自2022年起，就利用类似的攻击手段对目标用户实施网络入侵，且在“SEO优化”等方面不断更新迭代，攻击成功率日益提升，建议用户谨防网络钓鱼，同时对来历不明的应用程序进行安全检测，以降低遭受攻击的风险。

链接：

伊朗APT组织BladedFeline攻击活动被披露

近日，ESET安全公司发布伊朗APT组织BladedFeline攻击行为报告。据称，该APT组织为伊朗APT组织APT34（Oilrig、Hazel Sandstorm）下属组织，并有如下攻击特征：一是在组织背景方面，该APT组织自2017年以来攻击活动较为活跃，长期针对伊拉克、库尔德斯坦等地区和国家目标实施针对性网络攻击；二是在攻击流程方面，疑似利用相关目标用户互联网资产的Web安全漏洞作为初始攻击媒介，并在入侵成功后植入Shahmaran、Whisper后门程序，进而采用反向Shell、PowerShell等手段实施各类恶意操作；三是在潜伏远控方面，据安全人员监测发现，该APT组织已对库尔德斯坦地区某政府官员网络设备进行了持续8年的远程控制，可能为其他黑客组织更广泛的间谍活动提供支撑。

链接：https://www.darkreading.com/threat-intelligence/iranian-apt-bladedfeline-hides-network-8-years

网络动态

英国推出《2025年战略防御评估》

近日，英国首相基尔·斯塔默制定了影响英国未来十年的《2025年战略防御评估》，深入探讨了英国国防和国家安全面临的挑战，并就应对相关威胁提出了62项建议。经分析，与网络安全领域相关的建议包括：一是组建新的“数字作战部队”，与常规作战部队并列部署；二是成立“网络与电磁司令部”（CyberEM），负责协调相关领域内的军事行动；三是构建“数字目标定位网络”，以实现更快速、一体化的战场决策体系；四是国防部每年至少将10%设备采购预算用于新技术研发工作，以实现更快速的成果转化和全面的商业化应用。

链接：https://bfpg.co.uk/2025/06/10-key-takeaways-strategic-defence-review/

微软公司向欧盟国家推出免费网络安全计划

近日，微软公司在柏林宣布了一项新的欧洲网络安全计划，承诺加强欧盟国家政府网络安全。该计划由微软公司现有政府安全计划拓展而来，对所有欧盟国家均免费提供，涉及欧盟加入国、欧洲自由贸易联盟（EFTA）成员国、英国、摩纳哥和梵蒂冈。经分析，该计划以人工智能驱动情报为技术核心，以数字犯罪部门和威胁分析中心威胁情报为数据来源，根据每个相关国家的需求，提供实时的威胁洞察、漏洞预警和补救指导，同时以此方式加强伙伴关系，识别新型威胁，制定安全防护措施，并协同合作有效打击网络犯罪。

链接：https://www.bleepingcomputer.com/news/microsoft/microsoft-unveils-free-eu-cybersecurity-program-for-governments/

英国国家网络安全中心发布《网络安全文化原则》

近日，英国国家网络安全中心（NCSC）与相关行业和政府合作伙伴联合研究发布《网络安全文化原则》指南，描述了组织机构网络安全方面必要的基础文化条件，并提供了6项原则为组织发展网络安全文化提供建议。相关原则包括：一是将网络安全视为推动因素，支持组织实现其目标，将网络安全作为全组织各级部门共同目标；二是建立安全、信任的工作环境，以及成熟的工作流程，确保安全事件以透明、公正方式进行，重点关注问题并避免过度追究责任；三是适应网络安全领域防护技术和攻击威胁手段的不断变化，并利用发现的风险事件进行改进和提升；四是除正式规则外，相关组织均有不成文的规则体系，即社会规范，组织应利用相关社会规范促进网络安全工作发展；五是领导者应通过自身行动促进组织人员网络安全文化发展，使用奖励和其他激励措施积极鼓励安全行为，并消除导致不良安全行为的“激励”措施；六是平衡组织内各项规则、指南的规范性与灵活性，以确保规则、指南的落地执行有效性。

链接：https://www.ncsc.gov.uk/blog-post/creating-the-right-organisational-culture-for-cyber-security

美国网络安全和基础设施安全局发布《互联网暴露减少指南》

近日，美国网络安全和基础设施安全局（CISA）发布《互联网暴露减少指南》，旨在协助相关组织部门主动识别和消除网络安全暴露风险，减少在线足迹，以加强网络安全态势。为此，该指南涵盖了4项关键步骤，包括：首先，对当前的风险端口进行梳理，利用CISA网络漏洞扫描、Shodan、Censys.io等安全工具，确定资产是否应暴露于互联网上；然后，评估互联网暴露必要性，对于不需要外部访问的系统，在审查系统依赖性后进行移除和限制连接权限；同时，对于必须保持互联网连接的资产，采取高强度密钥凭证、应用最新安全补丁、采用虚拟专用网络（VPN）、多因素认证、Thingful工具利用等措施，降低遭受网络攻击的安全风险；最后，建立持续评估的工作流程，定期审查面向互联网的资产，并确保在IT环境演变过程中及时发现新的安全风险。

链接：https://industrialcyber.co/cisa/cisas-internet-exposure-reduction-guidance-urges-action-on-exposed-and-misconfigured-critical-infrastructure/

美国国防信息系统局发布《数据管理指南》

近日，美国国防信息系统局（DISA）发布《数据管理指南》，涵盖国防信息系统局、国防部、联邦政府等相关组织在数据管理和风险最小化方面的行业最佳实践、标准及监管要求。同时，该指南还提供了模板和框架体系，以消除政策、工作流程和实践方面的歧义，并为数据生命周期提供一致性的管理方法。

链接：https://executivegov.com/2025/06/disa-data-lifecycle-management-guidebook/

美国网络司令部举行“网络卫士25-2”年度训练演习

6月5日，美国网络司令部官方网站发文称，2025年6月2日，美国网络司令部举办了“网络卫士25-2”（Cyber Guard 25-2）年度网络安全演习，汇聚了来自盟友国家、政府机构和军事单位的参演人员，以攻防型网络作战为主要参演项目、多领域及全球协调网络活动为核心参演任务，旨在提升相关参与组织机构和国家的威胁检测、敏捷响应与基础设施保护能力。据称，此次网络安全演习模拟了全球范围内真实的网络威胁事件，各参与人员需运用先进工具进行快速威胁识别和精准的网络作战。美国海岸警卫队、部队发展部主任、海军少将格雷格·罗斯洛克表示，“战备状态”为此次网络安全演习的主基调，此次演习确保了美国网络司令部做好应对数字领域任何挑战的准备，也代表着美国对不断演变威胁保持领先地位的意愿。

链接：https://www.cybercom.mil/Media/News/Article/4206702/uscybercom-demonstrates-global-cyber-superiority-with-cyber-guard-25-2/

微软与CrowdStrike合作推进黑客组织名称映射工作

近日，微软与CrowdStrike公司宣布，将合作推进黑客组织名称映射工作，将多个厂商、安全团队针对特定黑客组织的不同别名进行映射关联，以避免跟踪威胁行为者的安全工作出现重叠情况，且可帮助相关客户和安全社区更轻松地整合威胁情报，更敏捷地做出响应。目前，微软已推出《威胁行为者参考指南》，包含CrowdStrike和Redmond公司追踪的常见黑客组织列表，所有黑客组织均使用了每个公司的命名系统进行映射。微软安全公司副总裁Vasu Jakkal表示：该指南只是一个起点，未来谷歌Mandiant、Palo Alto Networks Unit42等安全团队也将共享相关组织信息，以期安全人员能够做到更快、更清晰的归因，建立更准确的关联视图，进而提升威胁情报工作效率和安全防护能力。

链接：https://www.bleepingcomputer.com/news/security/microsoft-and-crowdstrike-partner-to-link-hacking-group-names/

俄罗斯主要互联网服务提供商ASVT遭受DDoS攻击

近日，俄罗斯主要互联网服务提供商ASVT遭受分布式拒绝服务攻击（DDoS），导致莫斯科及周边城市数万居民无法使用互联网、电子支付和智能门禁系统。ASVT声称，他们已将该情报送俄罗斯通信监管机构Roskomnadzor，并与其合作开展互联网服务恢复工作。此外，ASVT将本次攻击事件归咎于乌克兰黑客组织IT Army，但该组织暂未对此进行回应。

链接：https://www.scworld.com/brief/major-ddos-attack-disrupts-moscows-internet-services

Meta和Yandex公司疑似利用安卓应用程序绕过隐私限制，监听用户浏览器行为

近日，西班牙 IMDEA Networks、荷兰拉德堡德大学和比利时鲁汶大学安全研究人员发现，美国社交媒体巨头Meta和俄罗斯搜索引擎Yandex公司使用原生安卓应用程序（Facebook、Instagram、Yandex地图及浏览器），通过设备环回接口（Localhost）收集用户设备cookie等敏感数据。当用户在互联网上正常浏览访问存在Meta Pixel和Yandex Metrica脚本的网页时，原生安卓程序将通过这些脚本接收浏览器元数据、cookie等敏感数据，由于相关原生安卓程序可以访问安卓广告ID、登录凭证、身份验证等用户身份标识数据，因此上述行为将会把浏览器中的cookie和用户身份进行关联。同时，原生安卓程序具有较高的设备权限，因此能够通过cookie清除、隐身模式等措施绕过用户设备隐私保护措施，对用户个人身份信息造成威胁。目前，自研究报告发布以来，Meta删除了所有嵌入网页Meta/Facebook Pixel脚本的cookie发送功能代码。

链接：https://www.theregister.com/AMP/2025/06/03/meta_pauses_android_tracking_tech/

乌克兰军事情报部门声称对俄罗斯战略轰炸机制造商网络实施入侵

近日，乌克兰军事情报机构（HUR）对外宣称，其在乌克兰对俄罗斯空军基地发动突然无人机袭击后，对俄罗斯主要国有飞机制造商图波列夫的内部系统实施网络入侵，并成功窃取了4.4 GB数据，涉及：内部通信、人事档案、采购记录、闭门会议记录等敏感信息。目前，图波列夫和俄罗斯官员均未对此次泄密事件公开发表评论。

链接：https://therecord.media/ukraine-military-russia-strategic-bomber

漏洞资讯

Next.js存在安全漏洞

近日，安全研究人员发现被广泛使用的开发框架Next.js存在安全漏洞（CVE-2025-48068），是由WebSocket组件缺乏来源验证所导致，允许攻击者对目标设备实施跨站点WebSocket劫持攻击，进而窃取用户敏感信息。漏洞影响Next.js 13.0至15.2.2版本，目前用户可通过将版本升级至15.2.2的方式修复上述安全漏洞。

链接：https://www.wiz.io/vulnerability-database/cve/cve-2025-48068

Ollama_Index存在SQL注入漏洞

6月2日，阿里云漏洞库披露，广泛用于LLM应用程序的数据框架llama_Index存在SQL注入漏洞（CVE-2025-1750），位于llama_Index的DuckDBVectorStore组件中，是由该组件ref_doc_id参数未对用户输入数据严格限制所导致，允许攻击者向目标设备发送恶意请求，进而实现任意文件的读取和写入。漏洞影响llama_Index version<=0.12.19等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://avd.aliyun.com/detail?id=AVD-2025-1750

Roundcube Webmail存在反序列化漏洞

近日，安全研究人员发现广泛运用的开源Web电子邮件客户端Roundcube Webmail存在反序列化漏洞（CVE-2025-49113），位于program/actions/settings/upload.php文件中，是由该文件未对URL中的_from参数进行验证所导致，允许攻击者通过操纵PHP序列化对象的方式在目标服务器上执行任意代码。漏洞影响1.6.10之前的所有版本，目前用户可通过将版本升级至1.6.11和1.5.10 TLS的方式修复上述安全漏洞。

链接：https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html

谷歌Chrome浏览器存在越界读写漏洞

近日，安全研究人员发现谷歌Chrome浏览器存在越界读写漏洞（CVE-2025-5419），允许攻击者通过诱使目标用户访问恶意HTML的方式造成用户设备堆溢出，进而实现远程任意代码执行。目前，该漏洞已出现在野利用情况，用户可通过将Chrome版本升级至137.0.7151.68/.69、137.0.7151.68（Linux）的方式修复上述安全漏洞。

链接：https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html

Linux核心转储处理程序apport和systemd-coredump存在安全漏洞

近日，安全研究人员发现在Ubuntu、Red Hat Enterprise Linux和Fedora等Linux系统使用的核心转储处理程序apport和systemd-coredump存在安全漏洞。其中，位于apport程序的安全漏洞（CVE-2025-5054）允许本地攻击者利用命名空间通过PID重用方式泄露用户敏感信息；位于systemd-coredump程序的安全漏洞（CVE-2025-4598）允许攻击者强制造成目标设备SUID进程崩溃，并将其替换为非SUID二进制文件，进而通过访问原始特权进程coredump的方式读取/etc/shadow等原始进程加载的用户敏感数据。目前，用户可通过采取程序版本升级、禁用所有SUID程序核心转储、加强访问控制等措施降低安全风险。

链接：https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html

高通Adreno GPU驱动程序存在安全漏洞

近日，安全研究人员发现高通公司Adreno 图形处理单元(GPU)驱动程序存在安全漏洞（CVE-2025-21479、CVE-2025-21480、CVE-2025-27038），前两个安全漏洞是由图形框架存在不正确授权弱点所导致，在执行特定命令序列时会导致内存损坏；第三个安全漏洞为内存使用后重用漏洞，在使用Chrome中的Adreno GPU驱动程序渲染图形时会导致内存损坏。目前，上述安全漏洞已发现在野利用情况，用户可通过版本升级降低安全风险。

链接：https://www.bleepingcomputer.com/news/security/qualcomm-fixes-three-adreno-gpu-zero-days-exploited-in-attacks/

DataEase存在3个安全漏洞

近日，安全研究人员发现开源数据可视化分析工具DataEase存在3个安全漏洞。其中，第一个安全漏洞为后台Redshift数据源JDBC漏洞（CVE-2025-48999），拥有后台权限的攻击者可通过该漏洞执行任意Java代码，从而获取服务器权限；第二个安全漏洞为后台H2数据源JDBC漏洞（CVE-2025-49002），拥有后台权限的攻击者可通过该漏洞执行任意Java代码，从而获取服务器权限；第三个安全漏洞为权限绕过漏洞（CVE-2025-49001），由于JWT鉴权逻辑缺陷，在密钥验证失败的情况下未停止流程，仍进入到目标函数，导致攻击者可伪造JWT密钥，绕过鉴权安全机制，对用户设备造成威胁。漏洞影响version < 2.10.10等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：

木马病毒

Pure Crypter新变种被披露

近日，安全研究人员捕获到Pure Crypter新变种样本。经分析发现，该样本与此前版本相比，有如下特点：一是采用了反恶意软件扫描接口(AMSI)绕过、网络连接中断、执行延迟、动态反VM、反调试例程、NtManageHotPatch API内存修补，以及DLL解除挂钩等技术，可规避Windows 11 24H2版本（build 26100）在内的用户设备安全防护机制；二是在该样本植入受控设备后，会解密自身代码并反序列化基于Protobufs的配置文件，进而通过攻击者添加的功能模块，实施Defender禁用、命令执行、注册表修改键值等恶意操作；三是采用了多种功能性载荷执行方法，包括：.NET反射加载、RunPE进程挖空、基于VirtualAlloc和CreateThread API调用的Shellcode注入等，极大提升了恶意程序部署的灵活性。

链接：https://cyberpress.org/pure-crypter-deploys-sophisticated-evasion-tactics/

Crocodilus安卓木马新变种被披露

近日，安全研究人员捕获到Crocodilus安卓木马新变种样本。经分析发现，该样本与以往版本相比较具有多个新型特征，包括：一是该样本攻击目标涉及的地理位置不断扩大，美国、阿根廷、巴西、印度、印度尼西亚、西班牙和土耳其用户均受到影响；二是在植入受控设备后，会根据攻击者“TRU9MMRHBCRO”指令将指定的联系人添加到受控设备的联系人列表中，以应对谷歌安卓系统针对未知号码而引入的最新安全保护措施；三是采用了新的自动种子短语收集器，可利用解析器提取特定加密货币钱包的种子短语和私钥。综上，该安卓木马样本不仅在短时间内迭代更新了更多的攻击技术和信息收集手段，其攻击范围也呈现不断扩大的态势，存在较大潜在安全威胁，建议使用电子货币钱包的用户提升自身安全意识，降低遭受此类攻击的安全风险。

链接：https://thehackernews.com/2025/06/android-trojan-crocodilus-now-active-in.html

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持