2025年4月19日,第八届关键信息基础设施自主安全创新论坛暨《2024网信自主创新调研报告》发布活动在北京隆重举行,重庆信通设计院作为重要贡献单位荣幸出席发布仪式。
在发布仪式上,重庆信通设计院被授予“《2024网信自主创新调研报告》突出贡献单位”荣誉称号。
据悉,本年度调研在思路、流程和呈现形式上都进行了大胆创新,收获了积极成果。编委会在调研和编写过程中共收集220个案例,原始素材105万字,涉及10个重点行业(领域)、28个应用场景、155 个真实案例。这些来自行业和产业一线的数据真实地反映了网信自主创新工作的成果和现实问题。
在4月21日线上成果展示环节,重庆信通设计院软件成本度量专家展示了公司在“信息技术应用创新应用软件适配改造成本度量方法研究”方面的能力以及取得的一些成果。
要想掌握发展主动权,只有自主创新。重庆信通设计院将与业界一道,在充满机遇与挑战的2025年,肩负起网信自主创新的重任,在这条长征路上砥砺前行。
来源:重庆信通设计院天空实验室
速速锁定4月25日15:00
立即扫码预约:免费试用15天+千元好礼 +解决方案,收获多重好礼!
当大模型开启邮件安全新范式,AI如何让每封邮件及邮件安全防线都自带“智慧基因”?
直播亮点抢先看:
邮件系统大模型对接模块
- 大模型对接模块方案解读与核心场景演示
- 大模型在邮箱中的未来展望
大模型邮件安全网关
- 三大AI防护能力深度解读
- 一次性掌握网关选型逻辑
快来直播间,获取AI大模型在邮件智能应用与安全防护干货内容~
在一次相当巧妙的攻击中,黑客利用了一个漏洞,得以发送一封看似来自谷歌系统的虚假电子邮件,通过了所有验证,但指向了一个用于收集登录信息的欺诈页面。
攻击者利用谷歌的基础设施诱骗收件人访问一个看似合法的“支持门户”,该门户要求提供谷歌账户凭证。
这条欺诈信息看似来自“no-reply@google.com”,并且通过了域名密钥识别邮件(DKIM)验证方法,但实际发件人却并非如此。
带有谷歌“域密钥识别邮件”印章的虚假电子邮件
以太坊域名服务(ENS)的首席开发者尼克·约翰逊收到了一封看似来自谷歌的安全警报,称执法部门已向谷歌发出传票,要求获取他的谷歌账户内容。
谷歌甚至将其与其他合法的安全提醒放在一起,以至于几乎所有东西看起来都合情合理,这很可能会欺骗那些不太懂技术、不知道从何处寻找欺诈迹象的用户。
通过谷歌系统转发的网络钓鱼邮件
然而,约翰逊敏锐发现,电子邮件中的虚假支持门户网站托管在sites.google.com——谷歌的免费网站建设平台上,这引起了人们的怀疑。
在谷歌域名上,收件人意识到他们被瞄准的机会更低。约翰逊说,这个虚假的支持门户网站“和真实的完全一样”,唯一的迹象是它托管在sites.google.com上,而不是accounts.google.com上。
假冒谷歌支持门户
开发人员认为,欺诈性网站的目的是收集凭据,以破坏收件人的帐户。
假门户在骗局中很容易解释,但聪明的部分是传递一条似乎已经通过谷歌的DKIM验证的消息,即所谓的DKIM重放网络钓鱼攻击。
仔细观察电子邮件的详细信息就会发现,mailed-by头显示的地址与谷歌的no-reply不同,收件人是一个me@地址,位于一个看起来像是由谷歌管理的域。然而,这条消息是由谷歌签署和传递的。
邮件标头显示真实的收件人和投递地址
约翰逊将线索拼凑起来,识破了骗子的伎俩。首先,他们会注册一个域名,并为“me@域名”创建一个谷歌账号。域名不是特别重要,但看起来像某种基础设施会有所帮助。选择“me”作为用户名很聪明,这位开发者解释道。
随后,攻击者创建了一个谷歌 OAuth 应用程序,并将其名称设为整个钓鱼信息。在某个时候,该信息包含大量空白,以使其看起来已经结束,并与谷歌关于攻击者 me@domain 电子邮件地址的访问权限通知区分开来。
当攻击者授权他们的OAuth应用程序访问谷歌工作区中的电子邮件地址时,谷歌会自动向该收件箱发送安全警报。
由于谷歌生成了这封电子邮件,它用一个有效的DKIM密钥签名,并通过了所有的检查。最后一步是将安全警报转发给受害者。
谷歌系统的弱点是DKIM只检查消息和头,而不检查信封。因此,假电子邮件通过了签名验证,并在收件人的收件箱中看起来是合法的。
此外,通过将欺诈地址命名为me@, Gmail将显示消息,就好像它是发送到受害者的电子邮件地址一样。
电子邮件认证公司EasyDMARC也详细介绍了约翰逊描述的DKIM重放式网络钓鱼攻击,并对每一步进行了技术解释。
PayPal选项以同样的方式被滥用
谷歌以外的其他平台也尝试过类似的技巧。今年3月,一场针对PayPal用户的攻击活动采用了同样的方法,即欺诈性信息来自这家金融公司的邮件服务器,并通过了DKIM的安全检查。
测试显示,攻击者使用“礼物地址”选项将新电子邮件链接到他们的PayPal账户。
添加新地址时有两个字段,攻击者用电子邮件填充其中一个字段,并将网络钓鱼信息粘贴到第二个字段中。
PayPal会自动向攻击者的地址发送确认信息,该地址会将其转发到一个邮件列表,该邮件列表会将其转发给群组中所有潜在的受害者。
PayPal骗局使用类似的伎俩
事后有媒体就此事联系了PayPal,但从未收到回复。Johnson还向谷歌提交了一份bug报告,而谷歌最初的回复是“这个过程是按计划进行的”。但不久后,谷歌认识到它对用户来说存在一定风险,目前正在努力修复OAuth的弱点。
1 概述
近年来,利用开源生态的信任在GitHub伪装开源项目进行恶意代码“投毒”的攻击活动持续存在。自2024年底以来,安天CERT持续监测到通过此方式投递使用Electron打包的远控木马的攻击活动。攻击者通过伪装漏洞利用工具、游戏外挂等,针对下载开源项目进行编译、开发和使用的用户群体,将恶意代码植入开源代码的Visual Studio项目编译配置中,使项目在编译时先执行隐蔽命令,并利用多层不同语言和编译工具链开发的载荷实现混淆加载,规避安全检测,最终执行使用Electron打包的远控木马。相关攻击活动仍在活跃,样本中载荷下载URL等基础设施仍可访问。
目前相关样本在各类杀毒引擎中检出率较低,安天AVL SDK反病毒引擎通过全格式精准识别和深度预处理,支持对使用Electron打包的asar等格式的应用程序分发包裹文件进行细粒度拆解,对内嵌的恶意脚本等子文件进行精准检测。安天智甲终端防御系统可实现对该远控木马的有效查杀。
ASAR文件是一种常用于Electron应用程序的专有格式。其全称为“Atom Shell Archive”,是一种档案文件格式,类似于ZIP或TAR,能够将多个文件打包整合为一个文件。它把应用所需的众多文件,如JavaScript文件、HTML文件、CSS文件、图片、字体等资源,按照特定的结构和算法打包成一个文件。
该格式文件相关信息详见安天病毒百科。
图 1-1长按识别二维码查看ASAR文件详细信息
2 攻击活动分析
攻击者创建漏洞利用工具、游戏外挂等内容的开源项目,在其Visual Studio项目配置中嵌入恶意编译配置代码,并上传至GitHub开源平台,利用开源用户对开源资源的信任诱导下载。
图 2‑1在开源平台的部分投毒项目
伪装的项目利用GitHub Action功能自动向项目仓库中反复提交当前日期,使得项目最后更新日期始终较新,增加受害者下载编译项目的几率。其提交代码使用了硬编码的邮箱地址ischhfd83@rambler.ru。
图 2‑2自动提交项目代码
恶意代码通过Visual Studio项目的PreBuildEvent机制触发,该设置项用于指定项目编译前执行的命令行代码,存储在项目文件中(.*proj文件,如.vcproj、.vbproj等),可通过项目属性窗口查看,无法通过检查项目源代码发现。当编译项目代码时恶意代码便会触发执行。
图 2‑3通过项目属性查看恶意代码
图 2‑4通过项目文件查看恶意代码
该代码利用Bat、PowerShell脚本和Base64、AES等算法,嵌套执行多层后续载荷,尝试从pastebin、rlim等多个公开网站中获取下载地址,从该地址下载一个包含多个文件的加密压缩包并解压(压缩包中的文件为Electron打包的一组Node.JS程序),然后执行解压出的主程序SearchFilter.exe。使用Electron打包的程序实际执行的是JavaScript代码,代码进行了高度扁平化混淆,实现了通过Telegram API回传系统信息、反虚拟机、关闭Windows Defender反病毒软件、屏幕截图、计划任务持久化、下载后续载荷等远控功能。
图 2‑5多层载荷
图 2‑6下载执行的Electron打包程序
由于攻击手法较新,截至本报告发稿时,在国家计算机病毒协同分析平台中,恶意开源项目的.vbproj工程文件在各杀毒引擎中检出率较低,目前仅安天检出。
图 2‑7样本检出情况
进一步关联攻击手法、提交代码邮箱地址(ischhfd83@rambler.ru)等信息,发现了更多嵌入了恶意代码的恶意开源项目,项目创建时间几天内到几个月内不等,说明攻击仍在持续进行中,具体列表如下所示。请注意避免下载以下包含恶意代码的开源项目文件。
表 2‑1植入恶意代码的GitHub项目
嵌入恶意代码的项目
伪造项目类型
AurelienConte/Helldivers2-Internal-Cheat-FULL
游戏外挂
BlackStons/AsyncRAT-Dark-Mode
远控木马(RAT)
Check-W/Autowithdraw
虚拟货币窃取器
DrMACSH/Aviator-Predictor-FULL
漏洞利用工具
FunnyDuckyy/Muck-Cheat-FULL-Source
游戏外挂
Hastorners/PUBG-Cheat-Source
游戏外挂
hmate9/Valorant-Plus-Cheat
游戏外挂
Hoddorz/COD-DLL-Injector
游戏外挂
HouseMades/SilverRAT-FULL-Source-Code
远控木马(RAT)
hustleroleplayid/FiveM-External
游戏外挂
joobinwaaw/Etherum-Balance-Checker
虚拟货币窃取器
Kareasst/Simple-RunPE-Process-Hollowing
进程注入/免杀工具
Karitosmuan/Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud
漏洞利用工具
KatosdX/FiveM-External-Cheat
游戏外挂
Kawa1sk/Email-Bomber-SMTP
邮件轰炸工具
Kickhing/Reverse-Proxy-Soruce-Code
网络工具
MyksLoL/League-of-Legends-Cheat-Source
游戏外挂
MyskHccr/Encryptix-Crypter
加密/免杀工具
NhanX999/Free-Fire-Monster-Cheat
游戏外挂
noradlb1/PUBG-Mobile-Bypass-Antiban-BRAVE-Bypass-vb
游戏外挂
Oxygen1a1/BioGuard-Hwid-Spoofer-Hwid-Changer-BIOS-CPU
硬件信息伪造工具
Rmejia39/Discord-Token-Password-Stealer
信息窃取工具
ShelMaxs/Sleak-Crypter-FUD
加密/免杀工具
Snowjamil/Aviator-Predictor-FULL
游戏外挂
StupMain/Bitcoin-Auto-Withdraw
虚拟货币窃取器
Teastors/XWorm-5.6-FULL-Source-Code
远控木马(RAT)
Terdims/Interic-Fortnite-External-Cheat
游戏外挂
Terdims/Subzero-Fortnite-Cheat
游戏外挂
therealelyayo/Ethereum-PrivateKey-Checker-Balance
虚拟货币窃取器
ThoristKaw/Anydesk-Exploit-CVE-2025-12654-RCE-Builder
漏洞利用工具
TiggoProx8/COD-Warzone-AIO-Tool-FULL-Features
游戏外挂
Tphinso/COD-MW3-UnlockALL-Tool-FULL
游戏外挂
YugrajVishwakarma/Bitcoin-bot
虚拟货币窃取器
3 终端安全防护
目前,该攻击活动利用Visual Studio开源项目打包和分发内嵌恶意木马绕过反病毒引擎的检测,安天AVL SDK反病毒引擎通过全格式精准识别和深度预处理,支持对asar等应用程序分发包裹文件进行细粒度拆解,对内嵌的恶意脚本等子文件进行精准检测。
建议企业用户部署专业的终端安全 防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。安天智甲终端安全系列产品(以下简称“智甲”)依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。
智甲可对本地磁盘进行实时监测,对新增文件自动化进行病毒检测,对发现病毒可在其落地时第一时间发送告警并进行处置,避免恶意代码启动。
图 3‑1发现病毒时,智甲第一时间捕获并发送告警
智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。
图 3‑2通过智甲管理中心查看并完成威胁事件处置
4 样本对应的ATT&CK映射图谱
图 4‑1技术特点对应ATT&CK的映射
ATT&CK技术行为描述表如下。
表 4‑1 ATT&CK技术行为描述表
ATT&CK阶段/类别
具体行为
注释
资源开发
环境整备
上传恶意项目
初始访问
入侵供应链
利用开源供应链攻击
执行
利用命令和脚本解释器
使用VBS和PowerShell
执行
利用计划任务/工作
创建计划任务
防御规避
反混淆/解码文件或信息
解码后续载荷
削弱防御机制
关闭Windows Defender
混淆文件或信息
加密载荷
虚拟化/沙箱逃逸
检测虚拟机环境
发现
规避调试器
获取和规避进程
发现进程
获取系统进程
发现系统信息
获取系统基础信息
发现系统地理位置
获取系统地理位置
虚拟化/沙箱逃逸
检测虚拟机环境
收集
自动收集
自动获取数据
屏幕捕获
捕获屏幕截图
命令与控制
使用应用层协议
使用HTTP协议
利用合法Web服务
利用Pastebin等在线服务
数据渗出
使用C2信道回传
使用C2信道回传
影响
金融窃取
窃取加密钱包
5 安天澜砥威胁检测分析垂直大模型分析与评估
安天澜砥威胁检测分析垂直大模型对app.asar包样本进行自动化分析,解析内容如下:
根据提供的日志和分析结果,可以得出以下结论:
判定结论
初步判定结论为 Trojan.Win32.Bandos 木马,被识别为恶意软件。以下是详细的判定和评估:
准确度评估
评估日志中的结果准确度约为85%。原因如下:多个特征段看起来是无意义的字符数据,但结合上下文可能暗示混淆或加密技术的使用。结果中包含危险调用和恶意行为的迹象。
判定依据
1. 危险调用和可疑行为:
·日志中包含多次内存操作和函数调用,包括处理二进制数据的迹象,这可能用于恶意行为,例如内存注入(0x48 0xFF 0xC3)。
·出现了“Anti-Virus”相关的信息,可能与检测或规避安全机制的功能有关。
·"ENAMETOOLONG"、"IDECODERERROR" 等错误或状态信息暗示可能在试图访问或操作文件系统时扰乱正常操作。
2. 特征段分析:
·多处出现“;;;;;AAAA,O”和其他无实际意义的字符序列,可能表明填充或混淆技术。
·编码中的 ?? 表示数据未被选为特征,通常在特征很可能是加密或随机的数据时出现。
·段中包含的指令集和全局变量(例如 V(60)+e[3][0]+"y"),表明可能有动态构造和运行时代码生成的行为,属于木马常用的方法。
3. 整体逻辑和行为:
·日志结尾指出多个缓冲处理和指针操作,这是许多木马用来修改进程内存或加载恶意代码的常见手段。
·某些段落(例如AVIsolate@2@XZ)中 JavaScript 和 C++ 的代码段或注释融合,这种不一致可能表面软件试图混淆来源或用途。
其他判定依据
无效的字符集和符号:特征中多处见到乱码字符,表明有编码变换或混淆。
响应时间和分析速度:正常检测需要相当算力,表明复杂度高,可能为通过多次迭代改进的恶意软件。
额外说明
由于部分数据未被选为特征,最终结论依赖对所见数据的解释和分析,因此可能存在略微偏差。在没有更深入的文件分析(例如逆向工程)的情况下,此结果为初步判定。
总体建议
建议进行更详细的静态和动态分析。若确认为恶意,应立即隔离发现的文件,并执行全面系统扫描以确认系统完整性和安全性。
按照国标草案给出威胁分类为Trojan.Win32.Bandos,自动提取特征生成的YARA规则如下:
rule Trojan.Win32.Bandos:Trojan { meta: description = "这是一段由 VILLM V2 模型生成的 YARA 规则。用于检测Trojan.Win32.Bandos" strings: $a = { 24 64 65 66 65 6e 64 65 72 45 78 63 6c 75 73 69 6f 6e 73 2e 45 78 63 6c 75 73 69 6f 6e 50 72 6f 63 65 73 73 } $b = { 50 72 6f 67 72 61 6d 73 5c 5c 43 6f 6d 6d 6f 6e 5c 5c 4f 6e 65 44 72 69 76 65 43 6c 6f 75 64 5c 5c 6d 62 61 6d 2e 70 73 31 } $c = { 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 22 2e 63 6f 6e 63 61 74 28 } condition: all of them }安天澜砥威胁检测分析垂直大模型是国内首个通过国家网信办备案的威胁检测生成式模型。模型基于安天赛博超脑20余年积累的海量样本特征工程数据训练而成,训练数据包括文件识别信息、判定信息、属性信息、结构信息、行为信息、主机环境信息、数据信息等,支持对不同场景下向量特征进行威胁判定和输出详实的知识理解,形成应用不同需求和场景的多形态的检测方式,提升后台隐蔽威胁判定能力,进一步为安全运营赋能。
图 5‑1安天澜砥威胁检测分析垂直大模型样本分析结果
6 IoCs
URL
https://rlim[.]com/seraswodinsx/raw
https://popcorn-soft.glitch[.]me/popcornsoft.me
https://pastebin[.]com/raw/LC0H4rhJ
https://pastejustit[.]com/raw/tfauzcl5xj
https://github[.]com/unheard44/fluid_bean/releases/download/releases/SearchFilter.7z
MD5
19A2ABA4E6B2C96C45A404A35AC9F302
976D02B2567125131C707C03C97F4593
1ABC159DFE1C1375F5FB935FA83185B8
9C9DB4C1F98A6E2A89E104AF803E80C7
3829E837F6D29C7B2FA8E06C798D7EAC
A0A162A82E0CA0F43643FC842B7D3775
3D396670A8494DB9246491E0C3D3EAFE
A0EE88E4F69C3B97B86B86A73F93E2EB
48F75BFCC571EAB5318C99DE1DFF2543
B41FBCB71C23E469BCDB94C8692B7418
4F0B9C2F1848F2081A099E4E3E0DE6F1
B71C0960D6AB4F6332595BDEBEBCAF5A
4FABE1ABAE75BE0C4DA16E440D0E3F84
BD11D5DA183FA3DD7BF923073E305A32
57E2A3587C2A74CA31FE0799F0CDB0E8
C0F503A88BB0568CBC37169C2DA4E6F8
59F25C363C0DBC6C1D63F6968E180055
C332B4DC17F962DC5D856E3AE5025303
5B320E19CA10A6E3F3F0DAF6BAB3EF46
D12F585DBAC74FD2445B47447A10DEF0
5E39A413A2D83EDC484541313FBBDB1F
E1DF5B5E9812C5D65F1E5893A668112E
6C3B95FA628A33073EBDA2A8B23E991F
E335E6A1D22702FEEED2367DDBC30DA2
6E5AE6D2C1EF55B817D474C1019D8E8C
F604752DD982930E8D0412F8B2AA817C
7B574745F57E85648852C5B776C5F5A9
F7BE2CAA2D0C3DD06D8D2A32EBF243B7
8C91BE158349799D93BD1D384002465B
FB5A9459CFD2F1C0DB9BDCD90C11E7CB
F237706156DF9761F419FE5729A7045B
837B9B6A3E38AD1A6C58CF9130B28DA9
C964F701CCB7B17776E21A9082F9E3B2
[1] GitHub开源项目被投毒,后门病毒跟随开发流程传播蔓延 [R/OL].(2025-01-23)
https://mp.weixin.qq.com/s/MF2lvyH6BxBE_muCwkOCPg
4月18日晚间,网络安全行业领军企业天融信(002212.SZ)发布2024年年度报告。
报告期内,受益于公司长期坚定的创新布局、稳中释放的营销韧性及持续推进的提质增效战略,天融信实现营业收入28.20亿元,归属于上市公司股东的净利润为8301.32万元,实现扭亏为盈,毛利率同比增长0.85个百分点。期间费用总计同比下降10.73%,研发费用同比下降16.42%,管理费用同比下降40.95%。报告期内,公司每股收益0.0733元/股,同比增加0.3998元/股。
盈利质量结构性改善,提质增效成果有效释放。报告期内,公司聚焦运营效率的提升及盈利能力的修复,实现营业总收入28.20亿元,其中来自能源行业的收入同比增长22.86%、来自卫生行业的收入同比增长17.90%。归属于上市公司股东的净利润8301.32万元,较上年同期亏损3.71亿元,实现扭亏为盈。毛利率同比上涨0.85个百分点,结合此前年报相关信息,近三年天融信整体毛利率分别为59.72%、60.19%和61.04%,逐年稳健增长,规模经济效应进入加速释放期。
得益于公司精准控费能力的提升,报告期内,公司期间费用总计同比下降10.73%,其中,研发费用同比下降16.42%,主要是因为在新方向和新技术的前期布局基本完成。管理费用同比下降40.95%,主要系加强和提升管理效率,及股份支付费用减少所致,实现费用压降与经营质量的同步优化。
网络安全龙头地位稳固,深化“AI+安全”战略布局。年报显示,报告期内公司网络安全产品收入25.50亿元,占整体收入比重为90.42%,是公司收入实现的核心支柱。IDC数据显示,报告期内公司防火墙市占率达23.63%,已连续25年位居国内第一,同时公司横向发力多赛道,形成以防火墙为核心的“一专多强”的网络安全与数据安全技术能力,数十款产品服务入选IDC、Gartner、Frost & Sullivan、CCID等权威机构报告,政府、运营商、税务等多行业保持供应商名录入围,多元化产品服务在各自细分市场、细分行业已形成领先优势。
据年报,公司是“AI+安全”最早实践者。报告期内公司陆续发布天问大模型系统、产品小天、云上小天等,助力客户提升网络安全防御能力。面对大模型自身安全,公司推出大模型安全防护产品与评估服务。报告期内,公司自研的天问大模型率先完成网信办“生成式人工智能服务备案”“境内深度合成服务算法备案”的双备案,首批通过中国软件评测中心的大模型安全性测评“磐石·X”榜单计划获最高A级认定,通过中国信息通信研究院安全大模型基础网络安全能力评估。据IDC报告显示,公司天问大模型在业内处于领先地位,态势感知、蜜罐、大数据分析系统等多款融入AI的创新型产品列入推荐厂商。
云计算构筑第二增长曲线,发力智算云实现版图升维。报告期内,公司云计算产品收入2.56亿元,同比增长10.09%,兼具成长性与确定性。相关负责人介绍,目前公司云计算产品方案在政府、金融、运营商、教育、医疗卫生、企业等行业实现了规模化应用,营收占比持续提升。官方资料显示,公司2015年就已布局云计算研发,并于2019年步入快速发展阶段,细分场景覆盖广、国产化平台适配全,在2022年和2024年两次被Gartner列为超融合跨界厂商。近年来,公司超融合获中国信息安全测评中心颁发的《自主原创产品测评证书》,桌面云、超融合先后获中国软件行业协会“优秀软件产品”等荣誉,在业内已逐步形成一定的行业地位与口碑。
与此同时,公司积极把握智算风口,完善智算云全栈技术体系建设,打造业绩增长新引擎。报告期内公司发布算力服务器、智算云平台等,近期推出的智算一体机首批通过工信领域大模型一体机能力验证,该产品有助于客户快速构建智算基础设施,降低大模型AI应用门槛,加速行业大模型应用落地。报告还重点提到公司未来十年的战略发展目标,即成为中国领先的网络安全和智算云解决方案提供商。
巩固信创领域先发优势,打造国产替代协同新范式。资料显示,天融信深耕国产化二十余载,先手布局地位稳固,构筑起显著且难以复制的竞争优势。截至报告期末,公司基于国产软硬件的“天融信昆仑·信创”系列网络安全与“天融信太行·信创”云计算产品已累计发布74款294个型号,取得3100余项兼容性认证证书,始终保持信创产品品类最全、型号最多的行业领先地位。在应用层面,公司信创产品与解决方案已在政府、运营商、金融、能源、交通、教育、医疗卫生、航空航天等近30个行业实现规模化、深度化应用,为国家关键信息基础设施安全稳定运行提供了坚实的保障。据艾媒咨询显示,公司两度入选“中国信创企业百强榜”、两度获评“中国信创年度杰出企业”与“中国信创信息安全卓越品牌”。
公司坚持“技术+生态”的双轮驱动,在增强自身技术实力的同时,积极联合上下游产业构建信创产业生态体系。近日公司与华为正式启动全面合作,并联合发布两款重量级新品——天融信智算一体机(昇腾版)和基于华为鲲鹏构架的天融信昆仑·信创产品系列,打开智算与信创市场的增量空间,为中国关键行业数智化转型提供了安全可控的底层支撑。业内专家表示,双方通过技术互补与生态闭环,正在智能算力与网络安全领域掀起新一轮技术融合浪潮,为实现国产化替代从“能用”到“好用”跨越提供新范式。
网络安全行业温和复苏,在手订单验证景气度。公司在年报中表示,网络安全作为新质生产力的基石和重要组成部分,需求将不断释放,未来发展长期向好。但近年来受宏观经济等外部因素影响,网络安全市场存在短期需求承压与长期政策支持、技术革新共同作用的局面。
官方资料显示,2024年天融信中标十余个千万级以上项目,其中包括深圳智慧城市科技发展集体有限公司1.08亿大单、南方电网2400余万大单、中国航空工业集团1600余万大单、中国烟草1500余万大单和海口海关1100余万大单等等,此外还斩获广州地铁、中国移动、中国联通、广西电网、平安银行、长安汽车等数十个百万级大单,展现出作为头部网络安全企业,其良好的业绩稳定性与增长潜力。
根据同日发布的2025年第一季度业绩预告,公司同比减亏1431.36-2431.36万元,毛利率上升超10个百分点,三项费用同比减少超过6%。公司于2025年2月11日发布的智算一体机,在报告期已实现销售收入。
名为“Midnight Blizzard”的间谍组织发起了一场新的鱼叉式网络钓鱼活动,目标是欧洲的外交机构,包括大使馆。
“Midnight Blizzard”,又名“APT29”,是一个与俄罗斯对外情报局(SVR)有关的国家支持的网络间谍组织。
据Check Point Research称,新的攻击活动引入了一种以前未见过的恶意软件加载程序“GrapeLoader”,以及一种新的“WineLoader”后门。
恶意软件泛滥
这次网络钓鱼活动始于2025年1月,以一封从bakenhof (bakenhof)发送的欺骗外交部的电子邮件开始。com‘或’silry '。]com,邀请收件人参加品酒活动。
该电子邮件包含一个恶意链接,如果满足受害者目标条件,则触发下载ZIP归档文件(wine.zip)。如果不是,它会将受害者重定向到合法的外交部网站。
该存档文件包含一个合法的PowerPoint可执行文件(wine.exe),一个程序运行所需的合法DLL文件,以及恶意的GrapeLoader有效载荷(ppcore.dll)。
恶意软件加载程序通过DLL侧加载执行,它收集主机信息,通过Windows注册表修改建立持久性,并联系命令和控制(C2)来接收它在内存中加载的shellcode。
grapheloader执行链
GrapeLoader可能会取代之前使用的第一级HTA加载器RootSaw,它更隐蔽、更复杂。
Check Point强调其使用“PAGE_NOACCESS”内存保护和通过“ResumeThread”运行shellcode之前的10秒延迟,以隐藏反病毒和EDR扫描仪的恶意有效负载执行。
隐身的内存负载执行
GrapeLoader在这次活动中的主要任务是秘密侦察和交付WineLoader,它以木马化的VMware Tools DLL文件的形式到达。
一个后门
WineLoader是一个模块化的后门程序,可以收集详细的主机信息并促进间谍活动。
收集的数据包括:IP地址、运行进程名、Windows用户名、Windows机器名、进程ID、特权级别。
被盗的主机数据结构
这些信息可以帮助识别沙箱环境,并评估投放后续有效载荷的目标。
在最新的APT29活动中发现的新变体使用RVA复制,导出表不匹配和垃圾指令严重混淆,使其更难进行逆向工程。
解包程序比较
Check Point指出,与旧版本相比,新的WineLoader变体中的字符串混淆起着关键的反分析作用。
研究人员解释,以前像FLOSS这样的自动化工具可以很容易地从未包装的WINELOADER样本中提取和消除混淆字符串。新版本的改进实现破坏了这一过程,使自动字符串提取和去混淆失败。
由于该活动具有高度针对性,并且恶意软件完全在内存中运行,Check Point无法检索WineLoader的完整第二阶段有效载荷或额外插件,因此其功能的全部范围或每个受害者的定制性质仍然模糊。
Check Point的研究结果表明,APT29的战术和工具集不断发展,变得更加隐蔽和先进,需要多层防御和提高警惕来发现和阻止。
4月13日至16日,备受瞩目的第二届“香港世界青年科学大会”暨2025“香江诺贝论坛”在香港举行。这场全球顶尖科技盛会吸引了8位诺贝尔奖和图灵奖得主、40位海内外院士以及众多世界顶尖科学家和青年科技人才,共同聚焦大数据、人工智能、生物科技等前沿科技议题,探讨科技创新赋能高质量发展的未来路径。
作为京津冀地区新型网络安全科创力量的杰出代表,盛邦安全受邀参会。集团高级副总裁方伟在京津冀粤港澳青年创科论坛的智慧城市圆桌论坛中,分享了网络安全在智慧城市发展中的关键作用。
方伟详细介绍了盛邦安全在物联网、大数据、云计算与人工智能等新兴技术场景下的安全挑战与创新实践。他指出,随着智慧城市的快速发展,网络安全的重要性愈发凸显。盛邦安全凭借持续的技术创新,在卫星互联网安全、低空通信安全、传统安全和场景安全等领域展现出卓越的技术能力,通过融合多领域技术优势,为智慧城市的发展筑牢了坚实的网络安全防线。
方伟表示,京津冀地区与粤港澳地区在科技创新方面各具优势,双方的合作将为网络安全领域带来全新机遇。盛邦安全期待通过与粤港澳地区的深度交流与联动,共同推动网络安全技术的发展,助力粤港澳地区在智慧城市建设和科技创新中取得更大突破。
以技术创新筑牢智慧城市网络安全防线
此次大会不仅是科技领域的盛会,更是全球青年科技人才、顶尖科技力量深度对接、交流与合作的绝佳平台。未来,盛邦安全将积极拓展与粤港澳地区的合作,携手更多伙伴,探索网络安全在智慧城市中的创新应用,开拓网络安全发展与科技创新的更多优秀实践。
一、前言
本文主要分享一些我们最近对iDirect设备的研究,篇幅较长,我们公开了部分研究成果,也希望更多对卫星网络安全研究感兴趣的读者能加入这个新赛道。
二、事件回顾
2.1 事件概况
2025年3月18日,黑客组织Lab Dookhtegan(又称“Read My Lips”)宣称对伊朗两大国有航运公司—伊朗国家油轮公司(NITC)和伊斯兰共和国航运公司(IRISL)的116艘船只发动大规模网络攻击,导致油轮的卫星通信系统全面瘫痪。此次攻击正值美国对也门胡塞武装发动军事打击之际,被外界视为针对伊朗地区代理人的“数字报复”。
此次攻击主要针对船舶的卫星通信系统,导致船上和陆地间的通信中断,该组织利用Shodan等互联网搜索工具扫描并锁定了暴露在互联网上的iDirect卫星通信终端,通过默认口令获取终端root权限。攻击者随后部署自动攻击脚本,利用终端自带的dd指令擦除存储器,导致终端系统无法正常工作。
本次攻击事件的技术复杂度表明,这绝非普通黑客组织所能独立完成,背后可能存在国家行为体的间接支持。Lab Dookhtegan 在Telegram上表示,发起这项行动是为了配合美国对也门胡塞武装的袭击,这两家公司负责向胡塞武装供应弹药。根据技术分析,此次攻击手法与2022年2月针对Viasat卫星网络的攻击高度相似,同样利用了设备弱口令和系统版本陈旧(2020年版本)的安全缺陷,反映了卫星通信设备面临的普遍安全挑战。
2.2 冲突焦点
在此次事件中,美国ST Engineering iDirect公司的iDirect卫星调制解调器成为攻击者的核心目标。作为船舶与外界通信的关键桥梁,iDirect卫星调制解调器在船只远离陆地时提供可靠的高带宽通信链路。这些设备采用"星状网"拓扑结构,通过Ka或Ku波段与地球同步轨道卫星相连,形成覆盖全球海域的通信网络,在伊朗海事领域有大量部署。iDirect卫星调制解调器存在默认口令(root,P@55w0rd!),一般用户不会主动修改该密码导致默认口令的风险存在。另一方面,系统版本的陈旧也增加了较大风险,通过此次事件获取到的信息,该设备系统为2020年版本,OpenSSH等关键服务版本老旧,主要由于设备厂商较少提供系统更新服务导致,这些脆弱性与设备厂商缺乏持续更新支持直接相关,造成"技术债务"不断积累。
从功能角度看,这些卫星终端负责船舶的互联网接入、远程监控、船员通信及数据传输等关键业务。虽然目前多数船只的总线系统与通信系统相对隔离,限制了攻击影响范围,但随着船舶自动化程度提高和系统互联深化,这种隔离正逐渐弱化。攻击者通过破坏这些终端,不仅造成通信中断,还展示了针对关键基础设施的精准打击能力。美国企业生产的卫星通信设备在伊朗油轮上的广泛应用,形成了一种特殊的技术依赖关系,使伊朗关键海运基础设施在国际政治博弈中处于脆弱位置。
三、海事卫星通信骨干单元iDirect设备
3.1 iDirect设备简介
iDirect设备指的是美国ST Engineering iDirect公司(其母公司为新加坡ST Engineering)的卫星通信产品。ST Engineering iDirect产品类型包括调制解调器、集线器和卫星通信解决方案,主要服务于服务商、网络运营商、政府机构、大型企业、军队等客户,其全资子公司iDirect Government是美国国防部领先的卫星通信产品供应商。其产品线涵盖iQ系列、Evolution系列、Evolution Defense 系列、Velocity 系列、MDM系列及9系列等多个方向,其中Evolution系列主要用于星状组网架构的VSAT场景,在海事通信领域具有广泛应用。消息表明,我国目前仍有Evolution系列的设备正在服役。
iDirect相关设备并不依赖于特定的卫星系统,而是通过与不同的卫星服务提供商合作,使用多种卫星来提供通信服务。伊朗的油轮具体使用哪颗卫星来提供通信服务取决于服务提供商的选择和船舶的航行区域。此次攻击的核心目标是船载iDirect VSAT(甚小孔径终端)卫星通信设备中的调制解调器。
iDirect VSAT设备的工作原理基于卫星通信的基本架构,实现了地面站点与卫星之间的双向数据传输。其通信链路包括从中心站点(Hub)到远程站点的前向链路和从远程站点回传到中心站点的返回链路。
其技术特点是采用基于TDMA(时分多址)和SCPC(单载波每信道)的混合访问方式:支持DVB-S2/S2X标准,实现高效的带宽利用;实现动态带宽分配(DBWA),根据流量需求自动调整带宽资源;集成QoS(服务质量)功能,确保关键业务流量优先处理。采用IP封装技术,将用户数据封装成适合卫星传输的格式,实现加密和压缩功能,保障数据安全和传输效率,支持TCP加速和Web缓存,优化卫星链路的数据传输性能。
其网络架构由中心主站、卫星转发器和远程终端组成,主站连接互联网骨干网,负责管理整个网络,远程终端通过天线和调制解调器与卫星通信。
3.2 主要部署场景与应用生态
iDirect在全球范围内实现了可靠的卫星通信,特别是在传统通信基础设施不可用或不可靠的地区发挥着重要作用,如在海事通信、能源行业、政府和军事应用、偏远地区连接等场景下应用。
在海事领域,iDirect设备广泛应用于海上通信。可用于商业船队,为船员提供互联网访问和通信服务,支持船舶远程监控和诊断系统,提供航线优化和天气导航信息服务;也可用于邮轮和客运船,为乘客提供高速互联网服务,支持船上娱乐系统和支付系统,实现船舶安全监控和紧急通信;还可用于海上石油平台,提供远程操作和监控能力,支持视频会议和专家远程协助,确保关键业务数据的实时传输。
在石油和天然气行业,iDirect设备可应用于偏远油气田的通信和管道监控等场景。可连接偏远油气田现场与总部的通信,支持SCADA系统和远程监控,提供员工福利通信服务;可用于管道监控,实现长距离管道的实时监控,支持泄漏检测系统数据传输,提供安全监控和紧急响应通信。
在政府和军事领域也有广泛应用。iDirect的军用级产品线可应用于战术通信,提供易于部署的机动通信系统,支持加密和抗干扰通信,实现指挥控制系统的网络化;还可应用于边境监控,连接偏远监控站点,支持视频监控和传感器数据回传,提供紧急情况下的通信保障。
在缺乏传统通信基础设施的偏远地区通信方面也有着应用。可在缺乏传统通信基础设施的地区提供互联网接入,支持远程教育和医疗服务,实现政府公共服务的数字化;在灾难响应场景下,可以提供快速部署的应急通信系统,支持救灾指挥和协调以及在传统通信中断时提供备份连接。
3.3 互联网设备分布情况
从DayDayMap的测绘结果显示,共有12922个设备暴露在互联网上。
其中印尼、德国、沙特、美国和英国使用的该设备最多,这些国家也都对应有大量的海上通信业务。
四、iDirect设备相关协议分析
4.1 分析思路
iDirect设备提供的协议从多个方面进行分析,一个是根据伊朗反政府黑客组织“Lab Dookhtegan”公布的信息;另一个是设备的官方文档;三是根据设备的应用场景入手;最后通过未知协议带有特定信息入手。
4.1.1 根据伊朗反政府黑客组织“Lab Dookhtegan”公布信息
根据伊朗反政府黑客组织“Lab Dookhtegan”公布的iDirect设备内部监听端口信息可知,目前TCP端口443,80,22,2494,以及UDP端口36057,53471,9000,60989,67,1492均有机会对其进行尝试。
A、80,443webserver
在daydaymap上根据如下指纹搜索到相关设备,其中title=="iDirect Terminal"可以确认是该产品,而另一个无法对其进行确认。
body="<input type=\"hidden\" name=\"fail\" value=\"/login.html\"/>"||title=="iDirect Terminal"
B、22端口的ssh信息
C、Falcon主要是用于运行所有的satellite functions。
在2494端口探测数据时发现有iDirect证书的数据,用于佐证2494端口对iDirect设备的识别。
4.1.2 iDirect Velocity的说明书发现其支持snmp功能
4.2 设备的应用场景
i. Mikrotik
从《俄罗斯Dozor-Teleport卫星通信运营商遭黑中断情况分析》一文中发现了iDirect与Mikrotik混合的应用场景,同时在其Mikrotik官网论坛里发现用户关于iDirect和Mikrotik混合场景的讨论。再根据Mikrotik提供的协议,进行涉及协议的分析。如下图,可以获取到这个设备的hostname,当将TIRTASARI在海事网站MarineTraffic: Global Ship Tracking Intelligence | AIS Marine Traffic进行搜索时,可以发现这是一艘货轮的名称。
Mikrotik一般在外部的协议主要是PPTP,L2TP,IPsec以及bandwidth-test。其中pptp和l2tp协议能获取更多有效信息供指纹进行识别。
ii. Cisco
iDirect X7-EC Satellite Router内嵌了Cisco 5921 Embeded services Router,也就是说可以通过Cisco端口进行iDirect设备的识别。
未知协议
banner="iDIRECT"&&service="junoscript"
对内容进行分析后发现,KVH V7-HTS是真实的VSAT设备
五、iDirect设备指纹特征
iDirect设备相关指纹特征包括:http/https协议指纹、PPTP协议指纹、title类指纹、banner类指纹、组织类指纹。在DayDayMap平台搜索单一指纹特征或组合指纹特征,可进行iDirect设备确认。考虑到信息敏感性,以下章节部分检索指纹已做模糊处理。
5.1 http/https协议指纹特征
A、在daydaymap平台搜索title=="iDirect Terminal"
可以看到是iDirect公司的设备,继续研究发现可以进一步获取到设备型号:
该型号是iDirect的一款卫星调制解调器:
B、在daydaymap平台搜索body="*****码住)login.html\"/>",结合iDirect Evolution路由器说明书可以看到web登录页面如下:
继续研究可以获取到设备型号:
可以看到是iDirect Evolution X7卫星路由器设备。
C、在daydaymap平台搜索title=="Newtec Satellite Modem"
点击页面的Device Info,可以看到设备型号:
可以看到ST Engineering把Newtec收购了,Newtec MDM2200是卫星调制解调器设备。
5.2 pptp协议指纹特征
在daydaymap平台搜索banner="iDirect" && service="pptp",主要有两个厂商的路由器会出现在iDirect设备系统中,MikroTik和Cisco。MikroTik的指纹特征如下:
Cisco的指纹特征如下:
1、org组织指纹特征
在daydaymap平台搜索org:"APT MOBILE *****(码住)" && service="pptp",数据中的主机名是船的名字:
这些船名字在https://www.marinetraffic.com/en/ais/home/centerx:25.2/centery:-51.6/zoom:4网站上搜索船的名字,可以看到船的位置信息。
2、其他iDirect相关设备指纹特征
A、在daydaymap平台搜索banner="IDIRECT: *****(码住)" && service="ddp"
可以看到厂商以及设备型号,结合搜索引擎得知是VSAT系统设备:
B、在daydaymap平台搜索banner="IDIRECT: *****(码住)" && service="unknown",能够发现一些未知协议信息
C、在daydaymap平台搜索title=="Sea Tel",访问web登录页面如下:
可以看到是Sea Tel的产品,结合Sea Tel官网可以看到Sea Tel的产品也是应用在VSAT系统中:
D、在daydaymap平台搜索banner="Houston combined*****(码住)"
可以看到这也是iDirect路由器设备,结合搜索引擎可以得知该厂商也是做卫星互联网相关的设备及解决方案:
E、在daydaymap平台搜索banner="Broadband Satellit*****(码住)"
可以看到HN7000S是HUGHES的卫星调制解调器。
六、 iDirect设备漏洞信息
6.1 iDirect设备默认口令
6.1.1 ssh默认口令
公开资料表明,此次伊朗油轮事件中,攻击组织Lab Dookhtegan通过iDirect设备弱口令获得root权限,从而导致116艘油轮上的卫星通信中断。iDirect系列调制解调器通常存在默认口令(root,P@55w0rd!),一般用户不会主动修改,从而导致默认口令风险。
6.1.2 web管理后台默认口令
经分析研究,Web iSite是iDirect Evolution系列卫星路由器(如X1、X7和e150型号)内置的Web服务器界面,允许用户通过Web浏览器直接访问和管理这些设备。iDirect Evolution X1路由器基本属性为:
默认登录地址:192.168.0.1
默认登录用户名:Admin
初始密码为:*****(码住)
互联网上暴露的很多web页面并未修改初始密码导致能进入管理后台。相关POC已录制到daydaypoc平台。
6.2 iDirect设备其他漏洞
iDirect设备属于ST Engineering公司,该公司收购了Newtec,从前面的测绘分析可以看出,Newtec Satellite Modem与iDirect设备MDM系列相关联。
1、CVE-2024-13502
该漏洞属于Web界面命令注入漏洞,影响的设备为Newtec Satellite Modem,影响的版本是1.0.1.1 到 2.2.6.19。在管理界面中用于配置多播的‘commit_multicast’页面会将请求中的传入数据传递给 bash 脚本中的‘eval’语句导致任意命令执行。经daydaymap测绘验证,可以未授权进入该设备后台:
相关POC已录制到daydaypoc平台,具体如下:
2、CVE-2024-13503
Newtec 更新信号中的基于堆栈的缓冲区溢出导致 RCE,该漏洞显示parse_INFO 函数使用不受限制的“sscanf”将传入网络数据包的字符串读入静态大小的缓冲区中,swdownload 二进制文件中的堆栈缓冲区溢出允许攻击者执行任意代码。
七、油轮到地缘博弈的卫星互联网暗战逻辑
伊朗油轮通信中断事件中,卫星互联网攻击对航运安全的影响受到普遍关注,实质上,此类事件只是冰山一角。随着低轨卫星星座快速铺设,卫星互联网深度嵌入全球通信、导航与信息分发体系,掌握对抗技术主动权的国家,可借助卫星互联网拓展更广泛的地缘触角。
卫星互联网暗战是指国家或非国家行为体通过利用、干扰、劫持、或入侵卫星网络系统,对偏远地区、关键航道、战区前沿、舆论空间等实现低成本、高速度的隐蔽性信息技术干预,借此获得政治、军事、经济优势地位。其对地缘博弈的强化作用,主要体现在以下三方面:
首先,卫星互联网暗战可突破地理边界,实现“全域触达”。卫星互联网不依赖传统地面通信基础设施,无需穿越他国边境或依赖海底光缆,天然具备跨越地理阻隔与主权壁垒的能力,无论是偏远山区、广袤沙漠,还是深海远洋、极地孤岛,卫星互联网都能直接打通“地缘盲区”,让通信“触角”延伸到传统地缘力量难以触达的地方;
其次,卫星互联网暗战可塑造全球认知触角,影响跨境舆论空间。卫星互联网通过全球终端接入,可绕开本地网络安全监管,直接影响不同国家或地区用户的信息来源和上网路径,成为“舆论入口”的新平台,这种“技术通道+认知影响”双维度触角,赋予主导国以跨境信息渗透与舆论操控的潜在能力,正日益成为信息战场的新焦点;
最后,卫星互联网暗战有助于战略前沿外推,地缘防线前置。卫星互联网以其全球可达、实时覆盖的特性,依托低轨星座构建的全球通信体系,使具备主导地位的国家能够远距离感知关键区域动态,部署远程通信压制、数据干扰、电子诱导等“非接触式”对抗手段,从而将战略控制能力由本土边境推向遥远海域、岛链前沿、冲突边缘区。
卫星互联网暗战在地缘博弈中具有不可忽视的作用。它不仅改变了信息传输的传统模式,还赋予国家在全球范围内展开隐蔽战斗、操控舆论、推进战略布局的新能力,成为新时代地缘博弈的重要武器。
八、如何加强卫星互联网防御?
卫星互联网的安全防御是一个复杂的系统工程,涉及到通信链路、卫星设备、网络架构以及地面终端等多个层面。鉴于卫星互联网安全在政治、军事、经济等领域的广泛影响,应高度重视卫星互联网安全防御问题,具体措施包括:
(1)建立网络测绘驱动的卫星互联网安全防御机制
通过部署卫星互联网专用测绘系统,对卫星互联网拓扑结构、节点特征、漏洞风险等进行实时监控,发现卫星互联网设备暴露情况、攻击入口,识别不合规的卫星互联网终端,绘制卫星互联网可视化地图,为卫星互联网安全威胁预警和应急响应处置提供决策依据。
(2)采用成体系的国产化卫星网络通信加密解决方案
在不同类型的卫星通信链路与终端设备中,部署支持国密算法的软硬件加密模块,包括高速、中低速、嵌入式卫星通信密码模块及无人机加密模块,实现多场景、多速率、多平台的通信加密覆盖,提升卫星互联网的体系化安全能力。
(3)研制轻量级的星载边缘AI安全防护模块
针对卫星资源受限的特点,开发低功耗、高实时性的星载边缘AI安全防护模块,通过轻量化神经网络模型与星上数据处理能力,实现卫星互联网的本地化实时安全监测与响应,减少地面站依赖,构建星端协同的智能化安全防护体系。
1、漏洞概述
近日,CrushFTP 发布更新修复高风险漏洞(CVE-2025-2825),攻击者可以利用该漏洞绕过认证机制,访问高风险接口,可造成敏感信息泄露,上传恶意内容,创建管理员账号等恶意利用。建议您及时开展安全风险自查。
CrushFTP 是一款多协议、跨平台的企业级文件传输服务器软件,专注于提供安全、高效的文件传输与管理服务。 支持 FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV 等多种文件传输协议。
据描述,CrushFTP 支持多种协议, 自第10版起,CrushFTP 还实现了与 S3 兼容的 API 访问,允许客户端使用与 Amazon S3 存储服务相同的 API 格式与其进行交互。服务器从凭证字段(Credential field)中提取 AccessKey 值以识别用户,然后验证签名(Signature)以确保请求的真实性。然而,CrushFTP 在实现这一机制时存在一个关键缺陷。由于其低复杂度、基于网络的攻击向量以及潜在的影响,获得了 CVSS 评分 9.8(严重)。CrushFTP 在版本 11.3.1 解决了此漏洞。
漏洞影响的产品和版本:
10.0.0 <= CrushFTP <= 10.8.3
11.0.0 <= CrushFTP <= 11.3.0
2、漏洞复现
3、资产测绘
据daydaymap数据显示互联网存在33,112个资产,国内风险资产分布情况如下:
4、解决方案
临时缓解方案:
公网部署需要添加限制,允许IP白名单访问。
升级修复:
目前官方已发布修复安全补丁
5、参考链接
4月14日,备受瞩目的2025年世界互联网大会亚太峰会在香港盛大召开。本次峰会以“数智融合引领未来——携手构建网络空间命运共同体”为主题,汇聚了全球政要、国际组织代表、技术领军企业精英,共同探寻数字领域的无限潜力。
盛邦安全与世界互联网大会一同自乌镇启航,历经古都西安的数字丝路发展论坛,如今走到香港的亚太峰会。在这一历程中,盛邦安全始终积极参与、深度融入,借助数字浪潮的契机发挥盛邦能力。香港,作为全球金融、贸易和航运中心,凭借独特的国际地位与自由开放的营商环境,为本次峰会打造了绝佳的交流平台,吸引了世界各地的前沿理念与创新技术在此交融。
盛邦安全权小文受邀参加峰会,并在数字政府与智慧生活论坛进行主旨发言,就低空经济安全这一前沿科技领域的最新发展趋势展开分享。 权小文表示:“在当今数字经济蓬勃发展的时代,数据要素已成为关键生产要素,低空经济、卫星互联网作为新质生产力的代表,已然成为当下科技创新的重要方向。”
当下,国内低空经济与各领域深度融合,创新成果不断涌现。在载人交通、紧急救援、空中物流、农林作业及城市治理等场景中,低空经济应用蓬勃发展,正重塑人们的生产生活方式 。权小文在论坛分享中提到:“国内某省借助低空网打造城市级血液运输方案,将原本需要数小时的配送时间大幅缩短,显著提升了生命救助率;在高空作业领域,传统方式事故率高且效率低下,引入无人机作业后,效率提升了 50%,安全性也大幅提升;而天津‘黑飞’事件致使机场关闭,严重影响民航秩序;俄乌冲突也让我们看到无人装备应用的另一种可能……总而言之,低空网以无人装备为核心,如同拥有上帝视角。运用得当,它将助力打造美好生活;若使用不当,则如同打开地狱之门,后果不堪设想。”
构建起坚实的数据安全防护网,才能让低空经济的创新发展之路行稳致远。4月15日正值第十个全民国家安全教育日,网络安全作为国家安全的重要一环,意义愈发凸显。
此次亚太峰会为亚太地区数字融合搭建起关键桥梁,盛邦安全等企业的深度参与,不仅推动了自身的发展,更为峰会注入新兴活力,助力推动全球数智融合迈向新高度,为构建更加安全、智慧、美好的未来生活筑牢根基。
在5G、人工智能及物联网技术的驱动下,全球移动应用市场正加速重塑商业生态,深度赋能金融、政务、医疗、零售等关键领域。据《2024年Q4移动互联网行业数据研究报告》显示,人均每日使用APP时长突破5.57小时,用户依赖性趋近刚性需求。然而,行业高速发展的背后,安全隐患亦如影随形。
图片来源于网络
·某社交平台因安全防护缺失,遭攻击者逆向破解核心算法及交易接口,仿冒应用致用户资金损失超千万元;
·头部手游因代码泄露导致外挂泛滥,日活跃用户骤降30%,年营收损失达数亿元;
·某支付工具因调试漏洞被攻破,用户信用卡信息泄露,平台被迫停业整顿。
随着移动应用承载的商业价值持续攀升,其安全体系正面临技术漏洞迭代加速、攻击手段多元化叠加的复杂格局。企业不仅需应对数据窃取、业务逻辑篡改等威胁,更需警惕法律合规红线、用户信任链断裂等隐性风险,移动应用的安全防护正在面临多维度风险与挑战。
·安全监管高压升级
《网络安全法》《数据安全法》《个人信息保护法》等法规构建起严苛的监管框架,明确要求企业落实应用安全防护责任,忽视安全加固不仅意味着高额罚款,更将导致商业准入门槛的永久性关闭。
·攻击手段持续迭代
从静态反编译到动态内存注入,从代码窃取到运行环境渗透,攻击技术不断迭代。若仅依赖基础防护,应用如同“裸奔”于数字战场,攻击者可轻易篡改代码、植入恶意程序,窃取用户账号、支付信息等敏感数据,造成直接经济损失与隐私侵害。
·知识产权泄露威胁
移动应用凝聚开发者的核心算法、业务逻辑及创新成果等商业价值。攻击者通过窃取代码、植入木马等手段,可盗用知识产权、劫持支付接口,导致企业技术优势流失、市场份额萎缩,甚至引发品牌信任危机。
面对复杂的安全挑战,移动应用加固技术已成为不可或缺的防护手段。梆梆安全依托在移动安全领域十余年技术积累与实战经验,构建覆盖应用开发、测试、发布、运维全流程的一体化防护体系,通过动态加固技术为开发者提供从代码到运行环境的纵深防御能力。
梆梆安全移动应用加固
梆梆安全应用加固基于虚拟化保护技术(VMP)、SO动态清除技术、高级防动态调试技术、“源到源”加固保护技术等核心技术手段,为客户提供全生命周期一体化安全保障服务,有效防止针对移动应用的反编译、二次打包、内存注入、动态调试、数据窃取、交易劫持、应用钓鱼等恶意攻击行为,保护应用核心代码安全。
支持应用形态包括:Android、iOS、鸿蒙、H5、小程序等。
一、核心能力
1.防逆向破解
采用代码混淆、虚拟化加密等技术,防止应用被逆向还原,保护核心逻辑与算法。
2. 防调试分析
通过防调试、防注入技术,阻断内存数据篡改与动态攻击。
3. 防篡改打包
基于完整性校验与签名验证,确保应用不被非法篡改或二次打包。
4. 防数据泄露
对本地存储的敏感数据实施透明加密,杜绝信息外泄风险。
5. 运行环境安全保护
实时监测并拦截Root、模拟器等高风险环境,保障应用运行安全。
二、用户价值
合规监管保障
满足上级监管机构对应用的安全测评、合规过检要求。协助企业完成依赖Android应用加固技术的风险项目的整改。
全方位攻击防御
提供多层级防护机制,精准阻断破解、篡改、盗版等黑产攻击行为,保障应用运行环境的安全性及业务连续性。
核心知识产权保护
通过代码加密与动态保护技术,全面守护核心算法、业务逻辑等关键资产,防止技术成果被恶意窃取或非法利用,稳固企业技术优势与市场竞争力。
随着国家网络安全法规持续收紧,合规要求日益严苛,移动应用面临的安全威胁更趋复杂多元。为此,梆梆安全即将启动“产品季”限时免费试用活动——通过应用加固技术,助您快速构建安全防线,抵御逆向破解、数据泄露、恶意篡改等风险。
敬请关注梆梆安全官方渠道,第一时间获取活动详情,抢占免费试用名额!
4月18日晚间,网络安全行业领军企业天融信(002212.SZ)发布2024年年度报告。
报告期内,受益于公司长期坚定的创新布局、稳中释放的营销韧性及持续推进的提质增效战略,天融信实现营业收入28.20亿元,归属于上市公司股东的净利润为8301.32万元,实现扭亏为盈,毛利率同比增长0.85个百分点。期间费用总计同比下降10.73%,研发费用同比下降16.42%,管理费用同比下降40.95%。报告期内,公司每股收益0.0733元/股,同比增加0.3998元/股。
盈利质量结构性改善,提质增效成果有效释放。报告期内,公司聚焦运营效率的提升及盈利能力的修复,实现营业总收入28.20亿元,其中来自能源行业的收入同比增长22.86%、来自卫生行业的收入同比增长17.90%。归属于上市公司股东的净利润8301.32万元,较上年同期亏损3.71亿元,实现扭亏为盈。毛利率同比上涨0.85个百分点,结合此前年报相关信息,近三年天融信整体毛利率分别为59.72%、60.19%和61.04%,逐年稳健增长,规模经济效应进入加速释放期。
得益于公司精准控费能力的提升,报告期内,公司期间费用总计同比下降10.73%,其中,研发费用同比下降16.42%,主要是因为在新方向和新技术的前期布局基本完成。管理费用同比下降40.95%,主要系加强和提升管理效率,及股份支付费用减少所致,实现费用压降与经营质量的同步优化。
网络安全龙头地位稳固,深化“AI+安全”战略布局。年报显示,报告期内公司网络安全产品收入25.50亿元,占整体收入比重为90.42%,是公司收入实现的核心支柱。IDC数据显示,报告期内公司防火墙市占率达23.63%,已连续25年位居国内第一,同时公司横向发力多赛道,形成以防火墙为核心的“一专多强”的网络安全与数据安全技术能力,数十款产品服务入选IDC、Gartner、Frost & Sullivan、CCID等权威机构报告,政府、运营商、税务等多行业保持供应商名录入围,多元化产品服务在各自细分市场、细分行业已形成领先优势。
据年报,公司是“AI+安全”最早实践者。报告期内公司陆续发布天问大模型系统、产品小天、云上小天等,助力客户提升网络安全防御能力。面对大模型自身安全,公司推出大模型安全防护产品与评估服务。报告期内,公司自研的天问大模型率先完成网信办“生成式人工智能服务备案”“境内深度合成服务算法备案”的双备案,首批通过中国软件评测中心的大模型安全性测评“磐石·X”榜单计划获最高A级认定,通过中国信息通信研究院安全大模型基础网络安全能力评估。据IDC报告显示,公司天问大模型在业内处于领先地位,态势感知、蜜罐、大数据分析系统等多款融入AI的创新型产品列入推荐厂商。
云计算构筑第二增长曲线,发力智算云实现版图升维。报告期内,公司云计算产品收入2.56亿元,同比增长10.09%,兼具成长性与确定性。相关负责人介绍,目前公司云计算产品方案在政府、金融、运营商、教育、医疗卫生、企业等行业实现了规模化应用,营收占比持续提升。官方资料显示,公司2015年就已布局云计算研发,并于2019年步入快速发展阶段,细分场景覆盖广、国产化平台适配全,在2022年和2024年两次被Gartner列为超融合跨界厂商。近年来,公司超融合获中国信息安全测评中心颁发的《自主原创产品测评证书》,桌面云、超融合先后获中国软件行业协会“优秀软件产品”等荣誉,在业内已逐步形成一定的行业地位与口碑。
与此同时,公司积极把握智算风口,完善智算云全栈技术体系建设,打造业绩增长新引擎。报告期内公司发布算力服务器、智算云平台等,近期推出的智算一体机首批通过工信领域大模型一体机能力验证,该产品有助于客户快速构建智算基础设施,降低大模型AI应用门槛,加速行业大模型应用落地。报告还重点提到公司未来十年的战略发展目标,即成为中国领先的网络安全和智算云解决方案提供商。
巩固信创领域先发优势,打造国产替代协同新范式。资料显示,天融信深耕国产化二十余载,先手布局地位稳固,构筑起显著且难以复制的竞争优势。截至报告期末,公司基于国产软硬件的“天融信昆仑·信创”系列网络安全与“天融信太行·信创”云计算产品已累计发布74款294个型号,取得3100余项兼容性认证证书,始终保持信创产品品类最全、型号最多的行业领先地位。在应用层面,公司信创产品与解决方案已在政府、运营商、金融、能源、交通、教育、医疗卫生、航空航天等近30个行业实现规模化、深度化应用,为国家关键信息基础设施安全稳定运行提供了坚实的保障。据艾媒咨询显示,公司两度入选“中国信创企业百强榜”、两度获评“中国信创年度杰出企业”与“中国信创信息安全卓越品牌”。
公司坚持“技术+生态”的双轮驱动,在增强自身技术实力的同时,积极联合上下游产业构建信创产业生态体系。近日公司与华为正式启动全面合作,并联合发布两款重量级新品——天融信智算一体机(昇腾版)和基于华为鲲鹏构架的天融信昆仑·信创产品系列,打开智算与信创市场的增量空间,为中国关键行业数智化转型提供了安全可控的底层支撑。业内专家表示,双方通过技术互补与生态闭环,正在智能算力与网络安全领域掀起新一轮技术融合浪潮,为实现国产化替代从“能用”到“好用”跨越提供新范式。
网络安全行业温和复苏,在手订单验证景气度。公司在年报中表示,网络安全作为新质生产力的基石和重要组成部分,需求将不断释放,未来发展长期向好。但近年来受宏观经济等外部因素影响,网络安全市场存在短期需求承压与长期政策支持、技术革新共同作用的局面。
官方资料显示,2024年天融信中标十余个千万级以上项目,其中包括深圳智慧城市科技发展集体有限公司1.08亿大单、南方电网2400余万大单、中国航空工业集团1600余万大单、中国烟草1500余万大单和海口海关1100余万大单等等,此外还斩获广州地铁、中国移动、中国联通、广西电网、平安银行、长安汽车等数十个百万级大单,展现出作为头部网络安全企业,其良好的业绩稳定性与增长潜力。
4月15日,来自人民日报、新华社、中央广播电视总台、光明日报、经济日报、中国日报、中新社、福建日报、福建省广播影视集团、香港大公文汇传媒集团、香港商报等20多家中央、省、市主要新闻媒体和境外新闻媒体的记者组成的2025年“央媒话厦门”主题采访活动走进国投智能,通过参观、交流、采访等方式,了解了公司在人工智能领域的创新产品及应用成果。国投智能副总经理栾江霞代表公司迎接陪同并接受采访。
媒体团参观
栾江霞介绍了国投智能在人工智能领域的技术创新、产业应用及场景落地成果,重点强调了人工智能安全的重要性,并推荐了“美亚鉴真平台”小程序。目前,“鉴真”已在全国近百个省、市级政务平台上线,引发现场媒体记者的热烈反响。媒体团一行参观了企业文化及荣誉展厅、产品体验中心、人工智能专区等区域,对公司进行了深入了解。
栾江霞接受媒体采访
作为网络空间安全与社会治理领域国家队,国投智能抢抓人工智能发展新机遇,高度重视人工智能安全,聚力公司AI研发力量,发布美亚“天擎”公共安全大模型及信创一体机,推出相关产品,赋能各行业产品线提质增效。近期,国投智能还参与了《人工智能生成合成内容标识办法》起草工作,,获各级媒体关注报道。下一步,国投智能还将继续聚焦大模型技术应用、生成式人工智能和人工智能安全三个核心方向,深化人工智能技术在全行业、全产品线中的应用,从“All in AI”到“AI is All”,打造更加智能、高效、便捷的产品与服务,为推动我国人工智能行业的多元化发展贡献力量。
前 言
本期要点:
NSA 的技术渗透能力:从 “棱镜门” 到哈尔滨事件的延续
国际信任危机:跨大西洋关系的裂痕与重构
战略隐喻:技术防御背后的政治信号
16日,中国公安部发布消息,公开悬赏通缉3名美国特工,他们参与了美国国家安全局(简写:NSA)组织实施的亚冬会网络攻击活动;就在前两日,据英国《金融时报》报道,欧盟向赴美官员发放一次性手机和基础款电脑。
两起事件虽无直接因果关系,但两者共同折射出 NSA 长期网络监控和攻击对国际社会的系统性威胁,以及全球对美国技术霸权的集体防御。以下从三个维度解析其深层关联。
NSA 的技术渗透能力
从 “棱镜门” 到哈尔滨事件的延续
NSA 的监控网络覆盖全球
美国 NSA 自 2013 年 “棱镜门” 事件曝光以来,其监控范围已从通信数据扩展到操作系统、硬件设备等底层架构。例如,哈尔滨冬运会事件中,NSA 被证实利用微软 Windows 系统预留后门,通过发送加密字节激活潜伏程序。这种 “系统级渗透” 能力,使得欧盟官员的电子设备即使未连接互联网,仍可能通过物理层漏洞被监控。
技术证据:中国技术团队在攻击溯源中发现,NSA 向黑龙江境内 Windows 设备发送的加密指令与微软系统的 “调试接口” 高度吻合,这与欧盟担忧的 “微软后门” 形成技术呼应。
历史案例:2023 年丹麦国防情报局解密报告显示,NSA 通过海底光缆监听欧盟 26 名高官通讯,而哈尔滨事件中的 “多级跳板隐蔽” 手法(如租用荷兰云服务器)与丹麦案例中的 “跨大西洋监控网络” 如出一辙。
欧盟对 NSA 的防御升级
欧盟此次采取的 “一次性设备” 策略,本质是对 NSA 技术渗透的被动防御。
物理隔离:设备无法存储数据且用后即焚,避免 NSA 通过固件漏洞(如蓝牙、Wi-Fi)实施 “零点击攻击”。
系统替代:欧盟委员会向赴美官员发放的基本款笔记本电脑是预装基础操作系统的设备,但未具体说明是Windows、macOS还是其他操作系统。
这种防御逻辑与中国在关键领域国产化替代的应对策略,共同构成对 NSA 技术霸权的反制。
国际信任危机
跨大西洋关系的裂痕与重构
欧盟对美国的战略警惕
欧盟发放一次性设备是对美国 “潜在安全威胁” 的重新定位。
政策背景:2024 年《涉外情报监视法》“702 条款” 延续,允许美国情报机构无差别监控外国目标。
事件催化:2025 年 3 月,一名法国学者因在社交媒体批评美国政策遭遣返,加剧了欧盟对 “美国滥用技术手段干预内政” 的担忧。
哈尔滨事件中,NSA 攻击黑龙江能源系统、窃取运动员隐私数据的行为,进一步验证了欧盟对 “美国将网络武器化” 的判断。
全球网络安全秩序的碎片化
欧盟的 “数字断舍离” 与中国的 “网络主权” 主张,共同推动国际社会对美国主导的网络安全规则的质疑。
技术脱钩:欧盟通过《芯片法案》,并持续推进“数字欧洲计划”,再拟投入13亿欧元强化AI的部署及其在企业和公共管理、云计算、网络韧性和数字技能方面应用等重要领域技术主权,加强欧洲在半导体领域的技术领导地位,减少对外部依赖,确保供应链的安全和韧性;中国则推动 “国产化” 替代美国技术,两者均试图构建独立于 NSA 监控的技术生态。
规则博弈:中国主动参与网络空间国际治理新秩序构建,联合其它发展中国家推动形成在网络领域具有国际法效力的全球性规范性文件《联合国打击网络犯罪公约》;欧盟则通过《通用数据保护条例》、《数字市场法案》、《数字服务法案》等立法监管,并开出高额罚款,强化数据主权。两者均通过规则制定挑战美国 “数字世界” 特权和霸权。
战略隐喻
技术防御背后的政治信号
欧盟的 “技术主权” 觉醒
一次性设备的发放,标志着欧盟对美战略从 “合作伙伴” 向 “竞争对象” 的转变。
早在2020年,欧盟就通过了75亿欧元“数字欧洲计划”。该计划旨在推动欧洲数字化转型,提升全球数字经济竞争力,实现超级计算、人工智能(AI)、网络安全等关键领域的技术主权。
2020年,欧盟向欧洲云计划GAIA-X投资20亿欧元,以建立属于欧洲的 “母云端” 基础设施,制定通用云标准、互操作性要求,确保数据主权与安全流通。
这种转变与中国在哈尔滨事件中 “公开通缉 NSA 特工” 的强硬姿态,形成对美国网络霸权的东西夹击。
全球治理的新范式
哈尔滨事件与欧盟防御措施,共同揭示了网络空间的 “安全困境”:
技术依赖:使得任何国家都可能成为 NSA 的攻击目标
垄断芯片(英特尔、高通)、操作系统(Windows)、GPS 系统,预装后门(如英特尔 ME 微处理器远程控制功能)。
监听全球 90% 国际数据传输的海底光缆。
通过智能设备(如特斯拉汽车传感器、高通芯片手机)实时采集地理位置、用户行为等数据(如美土安全部每分钟采集重点人员 26 次位置信息)。
集体行动:构建多极化的安全合作架构
2016 年《中俄关于协作推进信息网络空间发展的联合声明》提出共同反对网络干涉内政
2016 年启动 “中欧网络安全产品双边互认机制研究”,探索统一安全标准
2020年,《全球数据安全倡议》纳入联合国网络安全政府专家组(UNGGE)报告
2022 年,中国与东盟建立跨境网络安全事件联合处置机制,加强日常联络和演练
2023年,《全球人工智能治理倡议》提出防止人工智能被滥用为网络攻击工具,推动建立透明、包容的全球治理框架
2024年,金砖国家加强网络安全合作
结 语
NSA 威胁下的全球共振
欧盟的一次性设备举措与哈尔滨事件,本质是同一威胁下的不同防御形态:
技术层面:两者均指向 NSA 对操作系统、硬件设备的深度渗透,以及 “AI + 自动化” 攻击的升级。
政治层面:反映国际社会对美国 “网络单边主义” 的集体反弹,以及 “技术主权” 意识的觉醒。
战略层面:预示全球网络安全秩序将从 “美国主导” 转向 “多极共治”,而 NSA 的持续扩张将加速这一进程。
参考来源:中国外交部、国家互联网应急中心、中国网络安全审查认证和市场监管大数据中心、新华社新媒体、未央网、中国社会科学网、澎湃新闻、中国科学院知识产权信息等
来源:重庆信通设计院天空实验室
一种名为“ResolverRAT”的新型远程访问木马(RAT)正被用于攻击全球的组织,发现该恶意软件最近被用于针对医疗保健和制药行业的攻击。
ResolverRAT通过网络钓鱼邮件传播,违反法律或版权,根据目标国家的语言量身定制。电子邮件包含下载合法可执行文件('hpreader.exe')的链接,该链接利用反射DLL加载将ResolverRAT注入内存。
Morphisec发现了之前未记录的恶意软件,他们指出,Check Point和Cisco Talos最近的报告中也记录了相同的网络钓鱼基础设施。
然而,这些报告强调了Rhadamanthys和Lumma窃取者的分布,未能捕获独特的ResolverRAT有效载荷。
ResolverRAT功能
ResolverRAT是一个完全在内存中运行的隐形威胁,同时它还滥用 net ‘ resourcerresolve ’事件来加载恶意程序集,而不执行可能被标记为可疑的API调用。
“这种资源解析器劫持代表了恶意软件的最佳进化——利用一个被忽视的。net机制完全在托管内存中运行,绕过了传统的安全监控,重点是Win32 API和文件系统操作,”Morphisec描述道。
研究人员报告说,ResolverRAT使用复杂的状态机来混淆控制流,使静态分析变得极其困难,通过识别资源请求来检测沙箱和分析工具。
即使它在调试工具的存在下执行,它对误导和冗余代码/操作的使用也会使分析复杂化。
该恶意软件通过在Windows注册表中最多20个位置添加xor混淆键来确保持久性。同时,它还将自己添加到文件系统位置,如“Startup”、“Program Files”和“LocalAppData”。
基于注册的持久性
ResolverRAT尝试以随机间隔在计划回调时进行连接,以逃避基于不规则信标模式的检测。
操作员发送的每个命令都在专用线程中处理,在确保失败的命令不会使恶意软件崩溃的同时,启用并行任务执行。
虽然Morphisec没有深入研究ResolverRAT支持的命令,但它提到了数据泄露功能,该功能具有用于大数据传输的分块机制。
具体来说,大于1MB的文件被分成16KB的块,这样可以通过将恶意流量与正常流量混合来逃避检测。
将较大的文件分成小块
在发送每个块之前,ResolverRAT检查套接字是否好写,防止拥塞或网络不稳定导致的错误。该机制具有最佳的错误处理和数据恢复功能,从最后一个成功的块恢复传输。
Morphisec在意大利、捷克、印度、土耳其、葡萄牙和印度尼西亚观察到网络钓鱼攻击,因此该恶意软件具有全球操作范围,可以扩展到更多国家。
在“终局行动(Operation Endgame)”的后续行动中,执法部门追踪到了“Smokeloader”僵尸网络的客户,并拘留了至少5人。
在去年的“终局行动”中,超过100台主要恶意软件加载操作(如IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBC)使用的服务器被查获。
在今年的新闻发布会上,欧洲刑警组织表示,执法人员正在分析被扣押服务器上的数据,并正在追踪恶意企业的客户,行动仍在继续。该机构没有提供被拘留人员的任何细节,并表示调查还导致了审讯和服务器关闭。
据调查人员称,Smokeloader是由一个化名为“Superstar”的威胁者运行的,他提供了按安装付费的僵尸网络服务,允许客户访问受害者的机器。
在一系列协调一致的行动中,Smokeloader按安装付费僵尸网络的用户面临着逮捕、搜查房屋、逮捕令或‘敲门谈话’等后果。
Smokeloader被用于各种网络犯罪活动,从部署勒索软件和运行加密矿工到访问网络摄像头和记录击键。
在“终局行动”中缴获的一个数据库中,包括了Smokeloader僵尸网络服务的注册用户,警方可以通过将网络犯罪分子的网络化名与现实生活中的个人联系起来,追踪网络犯罪分子。
一些嫌疑人选择与执法部门合作,允许检查他们个人设备上的数字证据。由于“终局行动”仍在继续,欧洲刑警组织设立了一个专门的网站,分享有关犯罪活动调查的最新消息。
此外,为了更好地了解行动的各个阶段,还发布了一系列动画视频,描述了警察的活动,以及他们是如何追踪Smokeloader组织的分支机构和客户的。
欧盟机构鼓励任何掌握有关被调查犯罪活动信息的人通过“终局行动”网站与当局联系,该网站也方便地翻译成俄语。
在去年大规模关闭恶意软件加载程序之后,欧盟对六名参与网络攻击的个人实施了一系列制裁,这些攻击影响了与“关键基础设施、关键国家功能、机密信息的存储或处理以及欧盟成员国政府应急小组”相关的系统。
美国财政部还制裁了加密货币交易所Cryptex和PM2BTC,包括俄罗斯勒索软件团伙在内的多个网络犯罪集团曾利用这两家交易所进行非法行为。
近期,网络安全界被一则消息炸开了锅——一款名为AkiraBot的Python框架能绕过CAPTCHA(全自动区分计算机和人类的公开图灵测试),利用AI生成内容对中小企业网站实施大规模垃圾信息攻击。截止现在,该工具已成功向8万个网站发送垃圾信息,这一事件再次敲响了中小企业邮件安全的警钟。
一、为何中小企业难逃邮件攻击?
1、技术短板:AI邮件攻击手段不断升级,中小企业缺乏专业的安全团队,大部分中小企业邮件系统还处在“裸奔”状态,仅依靠基础的防火墙。
2、成本困局:中小企业受限于自身成本预算,传统硬件方案费用相对高昂,难以投入大量资源用于邮件安全防护。
可想而知,一旦邮件系统被攻破,企业的机密信息,客户资料等重要数据都可能面临泄露的风险。面对技术短板和成本困局的双重夹击,邮件云网关或许是中小企业不错的选择 。
二、邮件云网关,物美价廉的高性价比之选
邮件云网关是一种基于云计算技术的邮件安全管理服务平台,它通过云端的强大计算能力和先进的安全技术,为企业提供全方位的邮件安全防护,其优势主要体现在以下几个方面:
1、功能全面,安全有保障:邮件云网关就像一个“超级卫士”,能够提供强大的反垃圾邮件、反病毒和反钓鱼功能。它能够有效识别和拦截各种恶意邮件,保护企业的邮件系统免受侵害。
2、性价比高,省钱又省心:邮件云网关前期投资低,中小企业无需购置昂贵的硬件设备,也无需聘请专业 IT 人员进行维护,极大地节省了物力与人力成本。
3、强大兼容,快速上线:邮件云网关产品能快速适配各种软硬件,包括服务器、操作系统、邮件系统等,中小企业无需额外变更网络架构和系统架构,真正做到即买即用。
大家可能会问:有没有一款安心、省心又放心适合中小企业的邮件安全云网关呢?
答案当然是肯定的。
三、安全云网关:中小企业邮件安全的“护身符”
CACTER邮件安全云网关以其卓越的性能和全面的功能脱颖而出,完美符合中小企业的各项需求:
1.精准拦截恶意邮件:基于自主研发的神经网络平台NERVE2.0深度学习能力,全面检测并拦截各类恶意邮件,包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件;反垃圾准确率高达99.8%。
2.零门槛部署上线:无需硬件投入,免运维,5分钟接入,普通员工也能上手。
3.无缝对接兼容:可兼容Coremail、Exchange、O365、Gmail、IBM Domino、lotus notes、飞书企邮等几乎所有邮件系统。
4.在线运维支持:26年专业技术沉淀,提供5X8小时专家在线服务,突发攻击30分钟响应,为企业提供一对一的解决方案。
选择CACTER邮件安全云网关,就是选择您的专属安心、省心和放心。
近日,全球领先的IT市场研究和咨询公司IDC发布《中国AI Agent市场剖析及厂商推荐,1Q25》(Doc#CHC53057025,2025年3月)报告。根据企业级智能体的产品能力、技术支持等进行了评估,甄选代表厂商为企业级用户提供选型指南。经评估,360数字安全集团凭借360安全智能体成为唯一获得推荐的安全厂商。
智能体迎来规模化落地浪潮,找到垂直场景是关键
近年来,大模型技术在各行各业的应用日益广泛。然而,大模型虽然能理解、问答、生成,但是在执行复杂的专业任务方面却显得“力不从心”,只有加上专家经验、知识获取、工具调用等能力,变成智能体才能执行复杂的专业任务。正如360集团创始人周鸿祎所说,大模型的短板在于难以直接融入生产业务流程,而智能体赋予大模型“手脚”,使其能够使用工具、执行具体任务。
通用模型解决“广度”,垂直模型决定“深度”,只有以专业大模型为基础,打造针对垂直场景的专业智能体,才能真正让AI在业务中切实落地。IDC指出,2025年,AI Agent将迎来规模化落地浪潮,以360数字安全为代表聚焦垂直场景的应用技术厂商,通过差异化解决方案形成竞争壁垒。
在安全行业,相较于传统的安全工具和安全产品,安全智能体能够更便捷高效的满足用户安全运营、安全检测、安全处置等需求,帮助各类安全专家从日常任务和重复劳动中解放出来,真正帮助用户提升安全能力、提高运营效率。
作为国内唯一兼具数字安全和人工智能双重能力的企业,360自2023年起就专注于安全智能体的研发与应用。提出用AI重塑安全并推出首个AI实战应用的安全行业大模型:360安全大模型,并以其为大脑构建智能体框架,持续推进AI智能体落地。
深耕安全智能体研究,360持续推进标杆客户落地
360 AI智能体产品主要聚焦于智能体开发平台搭建以及智能体应用,通过低代码开发平台实现工作流的定制化、工具调用和知识应用,通过生成式提升用户体验。
· 在基础模型方面,360独创“类脑分区协同(CoE)”安全大模型结构,与大模型底座解耦,在模型结构、推理程序等模型底层进行创新,真正做到掌握模型核心机理,模型可以“打的开,调的了,训的起来”。
· 在开发平台方面,360以近20年安全领域实战化专家经验为基础,采用低代码方式,整合丰富的安全工具、安全知识,场景化落地agentic workflow。
· 在应用场景方面,360锚定自动化威胁狩猎、深度分析研判、威胁攻击溯源、钓鱼邮件检测等领域进行专项训练,推出100+安全数字专家,帮助企业进行针对性安全防护能力提升,低成本、高效率地实现24小时不间断安全守护。
IDC在报告中提到,360智能体产品服务完善、行业经验丰富、定制化能力强且具有创新精神,在网络安全防护、终端安全管理等场景表现卓越。
2024年1月,360安全智能体首次实现APT分钟级猎杀。此后,360安全智能体在勒索拦截、漏洞防护、攻防演练等实战场景落地应用。近期,在针对亚冬会网络攻击的溯源中,360安全智能体也对锁定NSA三名个人特工发挥了关键作用。
自发布以来,360安全智能体已经为北京市朝阳区政府、重庆大学等近500家用户在真实环境中完成测试应用与交付,加持政府、金融、央企、运营商、交通、教育、医疗等行业客户实现智能化安全运营。
对智能体发展带来的安全问题,360提出“以模制模”,用AI解决AI的安全问题,推出大模型安全解决方案,全面覆盖大模型应用中的系统安全、数据安全、内容安全、幻觉问题和智能体行为失控等问题,为人工智能安全保驾护航。
此前,360安全大模型也荣获北京市科学技术进步奖、2024年度中国互联网企业创新发展十大典型案例、人工智能创新应用典型案例、年度大模型创新技术等诸多奖项。此外,平台已通过中国信通院安全大模型多项能力检测、中国软件测评中心大模型产品安全性检测认证、安全服务能力认证、人工智能管理体系认证等。
本次唯一入选IDC智能体报告垂直场景代表厂商,不仅是对360在技术创新上的认可,更是对360在推进智能体落地应用成功的积极肯定。未来,360将继续推进智能体在更多场景下的实践应用,为行业向智能化、高效化发展贡献力量!
当今移动互联网快速发展,数字经济时代加速推进,据CNNIC统计,截至2024年我国网民规模达11.08亿,其中手机网民规模达11.05亿,占比高达99.7%,我国以手机网民为核心的移动互联网生态已成为数字社会的新型基础设施,APP在人们生活工作中扮演着越来越重要的作用。个人信息数据不断被APP获取统计分析,进行用户画像分析、定向推送广告,来达成企业的商业利益。
国家高度重视网络安全、个人信息保护工作。随着用户隐私保护意识增强与监管体系日趋完善,企业面临的合规挑战日益复杂:
·合规要求持续深化
从隐私政策规范到数据安全、算法备案、跨境传输、第三方SDK管理等场景,监管范围不断扩展。5月1日即将实施的《个人信息保护合规审计管理办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,对个人信息保护合规审计工作提供了更加系统专业的指导性规范。
·多终端适配成本攀升
Android、iOS等操作系统以及小程序等轻量化形态并存,不同平台对权限管理、数据存储、用户授权等环节的合规要求存在差异,导致合规适配复杂度显著增加,进一步推高技术投入与风险管控成本。
·动态管理机制亟待完善
一次性合规评估难以应对高频监管抽查与版本迭代风险。企业亟需构建覆盖开发、测试、上架全流程的自动化检测体系,通过技术提效(如自动化扫描、风险预测)与流程优化(合规基线左移、分级管理)降低人力成本与法律风险。
为应对上述挑战,企业需建立系统化合规管理体系,实现从被动响应到主动防控的转型。梆梆安全移动应用合规平台基于政策法规与技术创新,支持对Android、iOS等多系统应用的静态代码解析与动态运行监控,通过自动化检测+专家分析,快速定位风险点,并提供可追溯的违规证据链,确保整改有据可依。
梆梆安全移动应用合规平台
梆梆安全移动应用合规平台,借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术,全面发现应用权限信息、集成第三方SDK信息,动态行为信息、通过场景化分析,发现应用潜在的隐私合规问题,帮助用户发现应用违规行为并输出合规评估报告及整改建议。
一 . 核心价值
1.隐私行为检测:依托定制化检测沙箱,实时监控移动应用程序运行时的隐私行为,完整记录调用堆栈信息及权限操作轨迹,为违规行为提供精准溯源依据。
2. 违规场景识别:结合政策要求与业务特征,对数据采集、传输、存储等环节进行多维度检测,同步生成堆栈日志与场景关联分析报告,支持快速取证与针对性修复。
3. 隐私合规左移:在应用上架前完成全量合规检测,识别隐私政策缺失、超范围采集等隐患,规避因不合规问题导致的审核驳回风险,推动合规管理前置化。
二 . 应用场景
1.监管机构
构建标准化检测体系,强化市场规范化治理,遏制违规收集处理个人信息行为,切实保障公民个人信息安全权益,可支撑监管单位输出权威性合规检测报告,快速筛查辖区应用。
2. 测评机构
为企业、开发运营者提供应用合规性技术检测服务,基于专业检测框架输出合规评估报告,系统识别潜在合规漏洞并提出整改路径规划,助力企业防范因数据违规引发的法律风险与商誉危机
3. APP/SDK开发运营者
在应用上架前实施全量合规性自检,精准定位产品存在的合规缺陷,针对性实施合规性修复方案,有效规避因违规问题导致的应用下架风险及用户权益纠纷。
4. 应用分发平台
完善应用准入审查体系,实现不合规应用实时发现、拦截,切实履行《个保法》《个保合规审计办法》等规定的平台法定义务,通过技术治理手段维护平台生态合规性。
在数字经济纵深发展的新阶段,个人信息保护已从合规基线演进为企业可持续发展的战略资产。梆梆安全通过自主创新的核心技术体系,构建覆盖数据全生命周期的智能防护机制,将安全能力深度植入企的业务场景。未来,梆梆安全将持续完善产品能力,协同产业各界伙伴,以动态化安全治理赋能千行百业数字化转型。
网络钓鱼或“语音网络钓鱼”是一种"社会工程攻击"形式,骗子利用电话欺骗受害者透露敏感信息或进行欺诈性付款。
虽然传统的钓鱼依赖于人类的模仿,但人工智能的发展使攻击者能够生成令人高度信服的合成声音,甚至克隆真实个体的声音以达到以假乱真的效果。
你的声音怎么能被克隆?
人工智能可以通过文本到语音(TTS)合成和深度学习技术创造逼真的人声。例如谷歌DeepMind的WaveNet和人工智能语音编码器等先进模型能够以惊人的精度复制人类语音模式。
微软声称,语音可以在三秒钟内克隆出来,这意味着骗子可以给某人打一个非常简短的电话,然后只用那段录音就能创造出逼真的人工智能语音。
他们通常会冒充银行、政府机构或企业高管,利用受害者的信任使用带有紧迫性、权威性的方式以及情感操纵来迫使目标尽快服从。
人工智能增强的欺骗更可信,也更难被发现,因为克隆的声音听起来非常逼真。
当与网络钓鱼(电子邮件)和短信诈骗(SMS)等其他社会工程技术结合使用时,即使是精通网络的专业人士也很难发现这些攻击。
关于人工智能钓鱼攻击的分析
典型的AI钓鱼攻击倾向于遵循以下过程:
1.侦察:攻击者收集目标的个人信息。
2.欺骗呼叫:攻击者冒充受信任的实体,使用人工智能生成的声音和虚假的来电显示。
3.紧迫性和操纵性:骗子制造一种紧急感,声称安全漏洞,逾期付款或其他危机。
4.信息提取:受害者被迫透露凭据、转账或安装恶意软件。
5.后续攻击:攻击者可能会通过网络钓鱼邮件或短信来加强他们的欺骗手段。
一些网络犯罪分子还提供“钓鱼即服务”(VaaS),他们将自己的技能出售给技能较差的诈骗者。这些服务包括人工智能语音克隆和自动电话,使更大范围的攻击者可以使用复杂的骗局。
随着进入门槛的降低,我们很可能会在未来几年看到越来越多的钓鱼攻击事件。
人工智能钓鱼是一种严重的、不断发展的网络威胁。随着人工智能使模仿可信声音变得更容易,企业和个人需要保持警惕。
通过实现身份验证措施、培训员工意识和采用安全最佳实践,企业可以减少遭受钓鱼攻击的风险。
防御的关键是要意识到——不要相信一个声音的表面价值,尤其是在涉及金钱或敏感信息的时候。
钓鱼攻击的迹象
·可疑的电话号码。
·紧急要求付款或敏感数据。
·音质差或声音模式不自然。
·不熟悉的电话号码或在奇怪的时间打来的电话。
·绕过标准安全程序的请求。
个人防范措施
·永远不要在电话里分享敏感信息,除非你能核实打电话的人。
·把未知号码转到语音信箱,在回复之前先查看一下。
·使用辅助通信通道验证异常请求,或使用多因素身份验证(MFA)验证发出敏感请求的调用者。
·注册电话号码与“不要打电话”注册和启用呼叫过滤功能。
企业安全措施
·在服务台实现强身份验证协议以验证呼叫者。
·要求对敏感事务进行多步骤验证。
·培训员工识别钓鱼危险信号。
·使用基于人工智能的呼叫监控来检测欺诈活动。
·限制公开可用的员工信息,以减少目标风险。
保护服务台不被钓鱼
服务台代理是钓鱼攻击的主要目标,因为它们经常处理敏感信息和用户身份验证请求。如果没有适当的验证协议,攻击者可以冒充员工、管理人员或供应商,以获得对系统和数据的未经授权的访问。
为了防御钓鱼威胁,企业可以在服务台实现强大的身份验证过程。多因素身份验证(MFA)和调用者验证技术可以帮助防止未经授权的访问并降低社会工程攻击的风险。
面对人工智能驱动的钓鱼威胁,企业应有相应应对方案,能够在处理此类事件发生之前识别钓鱼企图并验证呼叫者身份,这一点至关重要。
典型案例-米高梅度假村黑客攻击事件
米高梅酒店(MGM Resorts)的黑客攻击就是一个典型的例子,钓鱼可以用来绕过安全措施,获得对关键系统的未经授权的访问。
据悉,攻击者是ALPHV/黑猫勒索软件组织的一部分。他们冒充一名员工,打电话给米高梅服务台,要求访问其账户。
由于攻击者令人信服并利用了米高梅身份验证过程中的漏洞,使他们能够绕过安全检查并进入系统。
这种最初的访问导致了大规模的数据泄露,使米高梅度假村损失了数百万美元的收入,并造成了广泛的系统中断,包括预订、电子支付等问题。