嘶吼

1 概述

“游蛇”黑产团伙（又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等）自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。

安天持续对“游蛇”黑产团伙进行跟踪，发布多篇报告。近期，两类较为活跃的恶意样本持续传播：第一类是伪装成文档的恶意程序，此类恶意程序多使用Qt库进行开发，也存在部分恶意程序是在开源软件代码的基础上添加恶意代码形成的，通过释放“白加黑”组件最终执行后门文件。第二类是伪装成应用软件的恶意MSI安装程序，包含正常应用软件安装程序以及其他数十个正常文件，攻击者将“白加黑”组件隐藏在其中，最终执行上线模块及登录模块。

“游蛇”黑产团伙仍在频繁地对恶意软件及免杀手段进行更新，并且由于该黑产团伙使用的远控木马及攻击组件的源代码在网络中流传，因此存在更多恶意变种，每天有大量的用户遭受攻击并被植入远控木马。安天CERT建议用户从官方网站下载安装应用程序，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击造成损失。

用户可以在安天垂直响应平台（https://vs2.antiy.cn）中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具（ATool）对“游蛇”木马进行排查和清除。

2 样本分析

2.1 伪装成文档的恶意程序列表列举

表格 2‑1相关样本文件名称

样本文件名称

2025年4月份第一批信息列表pdf.exe

2025年省局辖区315晚会企业曝光名单.exe

2025年4月第二批信息公示pdf.exe

2025年4月第一批公示文件pdf.exe

2025年稳岗补贴名单.exe

关于清明节，放假安排，大家自己查看.exe

稽查人员名单.exe

2.1.1 通过QT库开发的恶意程序

此类恶意程序近期多使用Qt库进行开发，执行后会进行多层反调试检测，并执行大量无效代码以阻碍分析。然后该程序会在内存中执行Shellcode，解密得到一个原名称为“InjectFile.dll”的DLL文件，并执行其“run”导出函数。

图 2‑1 InjectFile.dll文件信息

此类DLL文件会对当前进程进行判断，然后注入至目标进程的内存中执行，目前发现此类DLL文件的目标进程包括svchost.exe、spoolsv.exe、explorer.exe、winlogon.exe等。

图 2‑2此类DLL文件“run”导出函数的主逻辑

然后在指定路径中释放“白加黑”组件，通常由一个可执行程序、一个恶意DLL文件以及一个含有Shellcode内容的BIN文件组成。

图 2‑3释放“白加黑”组件

通过COM接口为释放的“白加黑”组件创建计划任务，计划任务名称为“.NET Framework NGEN v4.0.30318”。

图 2‑4通过COM接口为“白加黑”组件创建计划任务

“白加黑”组件中的EXE程序被用于加载执行恶意DLL文件，该恶意DLL文件会读取同路径中BIN文件的内容，对其进行解密并将载荷写入内存中执行。

图 2‑5 读取bin文件内容并写入内存中执行

该载荷是一个原名称为“Server64.dll”的DLL文件，是“游蛇”黑产团伙使用的后门文件，具有网络通信、下载文件、远程控制、窃密等多种功能。

图 2‑6下载执行功能

2.1.2 篡改开源软件代码形成的恶意程序

近期还发现攻击者通过篡改开源软件的代码形成恶意程序。此类初始恶意样本通常为压缩包文件，内含一个恶意可执行程序和一个后缀名为“.dll”的文件。

图 2‑7恶意文件组成

其中的恶意可执行程序是攻击者在开源软件的源代码基础上，添加恶意的功能函数后形成的。而后缀名为“.dll”的文件则是经过加密的二进制文件。

图 2‑8恶意代码（左）与开源代码（右）进行比对

恶意代码会读取加密二进制文件内容，对其进行解密得到载荷，并在指定路径中释放和2.1.1中相同的“白加黑”组件。

图 2‑9读取加密二进制文件内容并进行解密

2.2 伪装成应用软件的恶意MSI安装程序列表举例

表格 2‑2相关样本文件名称

样本文件名称

Google   AI Browser v2.4.1.msi

Youdao   Translates v1.1.1.msi

King   of WPS v1.1.7.msi

Sogou   AI inputs v2.1.4.msi

DeepSeek   AI Assiant v2.4.5.msi

攻击者将“白加黑”组件（uc.exe、UCore.dll、Ucore3.cpy、update.cab）隐藏在MSI安装程序中，其中包含正常应用软件安装程序以及其他数十个正常文件，并且在用户执行后执行其中的正常应用软件安装程序，以此迷惑用户。

图 2‑10隐藏在MSI安装程序中的恶意组件

该MSI安装程序将Ucore3.cpy文件释放至C:\ProgramData\11UCore3.cpy，“白加黑”组件执行后调用UCore.dll中的“run”函数，通过COM接口为释放的“白加黑”组件创建计划任务。

图 2‑11创建计划任务

然后读取11UCore3.cpy文件内容，并使用指定密钥对其进行xor解密得到一个DLL文件。

图 2‑12对11UCore3.cpy文件进行xor解密

该DLL文件会读取update.cab文件内容，并对其进行RC4解密得到最终载荷。

图 2‑13对update.cab文件进行RC4解密得到最终载荷

该载荷文件原名称为“上线模块.dll”，是WinOs远控木马中的一个功能插件。该模块会解析硬编码的C2服务器、功能等配置信息，回连C2服务器获取载荷文件，载荷文件通常为WinOs远控木马的“登录模块”。

图 2‑14上线模块

3 使用工具排查与处置“游蛇”木马

用户可以在安天垂直响应平台（https://vs2.antiy.cn）中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具对“游蛇”木马进行排查和清除。

“游蛇”专项排查工具可用于排查“游蛇”黑产团伙在攻击活动中投放的加载器和加载至内存中的远控木马。

安天系统安全内核分析工具（简称ATool）是一款面向威胁检测与威胁分析人员的Windows系统深度分析工具，其能够有效检测操作系统中潜在的窃密木马、后门及黑客工具等恶意程序并辅助专业人员开展手动处置工作，具有已知威胁有效检测，未知威胁及时发现，顽固感染一键处置等功能特点。

图 3‑1安天垂直响应平台

3.1 使用“游蛇”专项排查工具排查“游蛇”木马

由于“游蛇”黑产团伙使用的攻击载荷迭代较快，且持续更新免杀技术，为了更精准、更全面的清除受害主机中存在的威胁，客户在使用专项排查工具检出威胁后，可以联系安天应急响应团队（cert@antiy.cn）。

图 3‑2 使用“游蛇”专项排查工具发现恶意进程

3.2 使用安天系统安全内核分析工具清除“游蛇”木马

发现“游蛇”威胁后，用户可以在安天垂直响应平台下载使用ATool对“游蛇”木马进行清除。例如，在ATool的“进程管理”页面中，右键点击恶意进程“uc.exe”：先点击“在Windows文件管理器中定位”定位“uc.exe”所在的路径，然后点击“终止”结束“uc.exe”进程，最后删除“uc.exe”所在路径中的所有文件。

图 3‑3使用ATool工具定位、终止恶意进程

在ATool的“计划任务”页面中，使用“查找”功能搜索恶意进程名称，发现并删除恶意计划任务。

图 3‑4通过恶意进程名称查找恶意计划任务

此外，ATool针对可执行对象支持四个对象维度的信誉查询，即“发布者信誉”、“内容信誉”、“行为信誉”和“路径信誉（位置信誉）”。点击工具上方的“信誉分析”按钮能够执行对当前清单对象的云端信誉查询，从而帮助用户发现系统中的潜在威胁。

图 3‑5使用ATool的“信誉分析”功能发现恶意进程

4 终端安全防护

4.1 部署安天智甲加强终端文件接收和执行防护

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测，对发现病毒可在其落地时第一时间发送告警并进行处置，另外，安天AVLSDK威胁检测引擎支持提取恶意代码最核心的部分作为检测特征，可有效应对恶意代码的变形与衍生，更能提升智甲产品对游蛇变种病毒的查杀效果。

图 4‑1发现病毒时，智甲第一时间捕获并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 4‑2提供统一管理平台对威胁事件高效处置

5 IoCs

90D4BA33990011A5C8A203AC236B3B8C

470C3D37A8E518BD8D728D01CFBE3647

24B970B2C9D988DC74E7F945D0866017

DA5CF5E3158057D0D7B6D6F2D17DD888

BA8F5D8DF47283A34A71EB03DDE3C36B

039E9EF2E283E8341B297DA686182412

FE2D6987326CDFF72DC3AA378C1B8680

FCA4C875B3E1AD8CD50D18450B08D14A

D6435074233583A7CB4A6FA2FE09FA8B

89AAE1127681E672E7D836D0DB372847

18.166.199[.]216

13.215.69[.]47

43.199.120[.]146

52.128.225[.]126

安天针对“游蛇”威胁历史报告清单：

[1] 通过伪造中文版Telegram网站投放远控木马的攻击活动分析 [R/OL].(2022-10-24)

https://www.antiy.cn/research/notice&report/research_report/20221024.html

[2] 利用云笔记平台投递远控木马的攻击活动分析[R/OL].(2023-03-24)

https://www.antiy.cn/research/notice&report/research_report/20230324.html

[3] 利用云笔记平台投递远控木马的黑产团伙分析[R/OL].(2023-03-30)

https://www.antiy.cn/research/notice&report/research_report/20230330.html

[4] “游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析[R/OL].(2023-05-18)

https://www.antiy.cn/research/notice&report/research_report/20230518.html

[5] “游蛇”黑产团伙近期钓鱼攻击活动分析[R/OL].(2023-07-11)

https://www.antiy.cn/research/notice&report/research_report/TrojanControl_Analysis.html

[6] “游蛇”黑产团伙利用微信传播恶意代码的活动分析[R/OL].(2023-08-22)

https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html

[7] “游蛇”黑产团伙专题分析报告 [R/OL].(2023-10-12)

https://www.antiy.cn/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html

[8] “游蛇”黑产团伙针对财务人员及电商客服的新一轮攻击活动分析[R/OL].(2023-11-11)

https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis.html

[9] “游蛇”黑产近期攻击活动分析 [R/OL].(2024-04-07)

https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202404.html

[10] “游蛇”黑产团伙利用恶意文档进行钓鱼攻击活动分析[R/OL].(2024-06-21)

https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202406.html

[11] 钓鱼下载网站传播“游蛇”威胁，恶意安装程序暗藏远控木马[R/OL].(2024-12-20)

https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202412.html

如今，黑客们进行网络攻击不是横冲直撞的直接闯入，而是采用更隐秘的登录方式。网络犯罪分子会使用有效的凭证，绕过安全系统，同时在监控工具面前显得合法。

这个问题很普遍；谷歌Cloud报告称，47%的云数据泄露是由于凭证保护薄弱或不存在造成的，而IBM X-Force将全球近三分之一的网络攻击归咎于账户泄露。

那这对企业防御意味着什么呢？用户需要了解有关如何保护系统免受基于凭证的攻击、当防御失败时应该做什么。

为什么基于凭证的攻击是黑客的首选方法

网络罪犯喜欢基于凭证的攻击有以下几个原因：

·易于执行：与更复杂的零日攻击相比，基于凭证的攻击相对容易部署。

·成功率高：用户在多个账户上重复使用相同的密码，攻击者更容易获得广泛的访问权限；一把钥匙可以打开许多扇门。

·检测风险低：因为它们使用有效的凭据进行攻击，黑客可以混入正常的流量中，从而避开安全警报。

·价格便宜：基于凭证的攻击需要最少的资源，但可以产生大量的奖励。黑客可以很容易地（而且花费不高）在暗网上买到一套被盗的凭证，然后使用免费的自动化工具跨多个系统测试凭证。

·系统通用：基于凭证的攻击可以在任何需要凭证的地方使用，这意味着黑客有多个潜在的入口点——从web应用程序到云服务。

为什么企业会成为攻击首选目标

企业会成为基于凭证的黑客的一个有吸引力的目标吗？如果存在一些安全漏洞，那么企业的系统可能比人们想象的更容易受到攻击。以下是企业成为首要目标的原因：

·弱密码策略为攻击者创建了一个公开的邀请，使其可以通过自动化工具和通用密码列表轻松猜测或破解凭证

·如果不能实现多因素身份验证，即使是最强大的密码也容易被窃取

·不充分的安全培训使员工更容易受到网络钓鱼电子邮件、社会工程策略和其他攻击的攻击

·糟糕的网络分割让黑客一旦攻破了一个端点就可以开放访问

·监视不足会使攻击者在关键系统内操作数天、数周甚至数月而不被发现

·员工密码重复使用会放大任何违规行为的影响，因为一个被盗的凭证可以解锁个人和公司环境中的多个系统。

当凭证被泄露时应如何应对

如果企业成为基于凭证的攻击的目标，应意识到后果会有多么严重。

以下是企业在应对攻击时遵循的典型防范步骤：

1.初始检测和警报。一旦监控工具检测到异常并提醒安全团队时，企业必须迅速采取行动以限制损害。

2.评估和分类。验证警报是否合法。然后，确定哪些系统和帐户受到影响，评估对企业的潜在影响。

3.隔离和遏制。切断受感染设备与网络的连接，切断黑客的接入点。撤销对受感染帐户的访问权限，并分割网络以遏制威胁。

4.详细的调查。通过分析日志和取证数据跟踪攻击者的活动。确定黑客是如何破坏凭证的，并评估黑客在访问时所做的事情。

5.沟通和通知。透明滋生信任，而保密滋生猜疑。考虑到这一点，向所有相关的利益相关者提供清晰、真实的更新，包括高级管理层、法律团队和受影响的用户。

6.根除和恢复。开始重建自己的安全系统，让它们更强大。重置所有受损帐户的密码，修补被利用的漏洞，从干净的备份中恢复系统，并实现多因素身份验证。

7.事后审查。防范未来攻击的最佳方法是从当前的漏洞中吸取教训。在泄露事件发生后，分析事件响应流程，更新响应计划，并根据经验教训实施额外的安全措施。

人工智能的蓬勃发展为网络安全领域的产品创新与运营模式带来革命性机遇，同时也对AI自身的安全可控提出了严峻挑战，正如硬币有正反两面。拥抱AI赋能安全的效率提升，同时构建坚实的AI防护体系，成为核心议题。

AI for Security

在AI赋能安全的实践中，中国电信安全公司致力于通过智能化手段实现安全运营效率的持续提升。2023年，中国电信安全公司打造了国内首个安全领域的高质量数据集-阡陌，推出了安全垂类大模型-见微。见微安全大模型深度聚焦网络安全赋能，围绕数据、代码、运营、攻防，构建“四位一体”技术框架，全面覆盖威胁研判、智能运营等核心应用场景，对外全面升级云堤·抗D、天翼安全大脑等产品的核心能力，对内赋能MSSP平台及SOC体系。

Security for AI

新技术催生新业务引发新风险，自然也需要新的安全能力进行防护。随着AI从1.0时期的对话式向2.0时期的智能体，乃至未来的3.0时期具身智能演进，攻击面也在发生深刻变革。AI过度灵活的交互方式引入了新的攻击变量，不安全的输出、数据边界消融、算力资源滥用（DoS）、智能体权限失控等问题尤为突出。然而，安全的底层逻辑仍然不变，那就是：漏洞的必然存在、权限与信任体系的根基、数据保护的刚需，以及攻防对抗的本质。为了应对这些挑战，中国电信安全公司构建了立体化、多层次的大模型安全动态防护体系。

在IaaS和PaaS层，中国电信安全公司能够提供从网络边界到核心算力的防护，通过部署多重防火墙、增强DDoS防护能力，实施实时流量监控与异常检测来加固入口，推进硬件级安全隔离与完整性校验，落实严格的物理安全措施。在DaaS层，提供全生命周期的数据保护，确保数据的完整性与可追溯性。在MaaS层，针对AI模型与交互的特有风险，部署专项防护能力-大模型护栏，采用对抗样本防御、输入过滤净化来抵御针对模型的攻击，约束模型行为，减少不安全输出等原生风险，并通过红蓝对抗演练持续检验和提升防护水位。在SaaS层，提供零信任安全架构，利用动态令牌强化认证，实现用户交互行为监控；并对新兴的Agent智能体工具调用行为进行实时监控、审计与安全评估，确保其安全可控。

“以攻促防”是提升安全能力的有效途径。通过构建生成式对抗环境模拟复杂攻击，并积极探索强化学习（RL）驱动的深层隐蔽攻击等前沿技术研究，持续优化防御策略，以应对不断进化的威胁，最终确保AI系统实现真正的安全、可靠、可控，为未来更高级智能应用的发展奠定坚实的安全基石。

为应对AI安全挑战，中国电信安全公司整合自身安全能力与实践经验，推出一站式大模型安全运营服务。该服务体系化地融合了风险评测（涵盖环境与模型自身）、纵深防护（覆盖网络、环境、数据、模型、应用）和持续运营（提供7x24小时监控、响应与优化）三大核心环节，形成安全闭环。中国电信安全公司致力于通过专业的安全托管服务，赋能千行百业安全、放心地拥抱和应用AI技术，共同开创并守护智能安全的未来。

4月30日，第八届数字中国建设峰会·2025智能云生态大会主论坛在福州成功举行。大会围绕数字基础设施、智能云、人工智能、网信安全等前沿话题，旨在打造一场融合政策引领、前沿探索、技术创新与产业落地的交流盛会，携手合作伙伴开展全方位、多领域合作，持续构建开放创新生态，加速新质生产力发展。会上，中国电信一站式大模型安全能力平台重磅发布，安全护智、智惠安全！

 天翼安全科技有限公司党委书记、总经理刘紫千指出，人工智能时代AI安全将是高质量发展的基石，立足于中国电信的云改数转和智惠升级的战略，中国电信推出一站式大模型安全能力平台，具备三大核心能力：

一、大模型应用的风险预警能力

基于中国电信安全公司自主研发的广目资产测绘能力和网络原生的灵犀威胁情报能力，实时动态地感知我国互联网空间中部署的大模型服务，并对其在环境、数据、模型、应用等不同层面的风险进行实时全网探测，呈现宏观的大模型风险态势，实现智算服务的风险可视可知。

二、大模型安全的技术检测能力

在技术检测方面，AI技术的引用带来了新的变化，例如难以控制的输入、难以预料的输出、数据边界的消融、智能体权限滥用，然而安全的本质仍然不变，包括漏洞的必然存在、权限与信任体系的根基、数据保护的刚需，以及攻防对抗的本质。中国电信安全公司打造大模型安全靶场，基于11种安全的测试方法，对目前主流大模型进行动态实时的安全性检测，为客户提供大模型深度安全检测服务，精准识别模型层安全漏洞，全面排查风险隐患。

三、大模型安全护栏能力

面对新型攻击面利用所带来的安全挑战，以及传统漏洞与威胁持续演变形成的安全风险，中国电信安全公司构建了多层次、立体化的大模型安全动态防护体系。该体系从前场（业务访问端）、中场（服务开放端）到后场（资源载体端）等不同层面为客户提供全链路的大模型安全防护能力。实践表明，通过加载中国电信提供的大模型安全防护方案，将大大降低攻击者对大模型的攻击成功率，全面提升大模型系统的安全性。中国电信安全公司通过持续迭代、以攻促防的方式，构建生成式对抗环境模拟复杂攻击，持续优化防御策略，以应对高度迭代动态变化的的AI安全风险，打造AI安全防护标杆体系，通过持续技术演进使防护能力与业界前沿标准同频共振。

一站式大模型安全能力平台

 站在客户的角度，中国电信的AI安全防护体系一定是一站式的能力平台。中国电信安全公司通过整合自身安全能力与实践经验，推出一站式大模型安全能力平台。该平台体系化地融合了风险评测（涵盖传统环境与模型自身）、纵深防护（覆盖网络、环境、数据、模型、应用）和持续运营（提供7x24小时监控、响应与优化）三大核心环节，形成安全闭环，致力于以专业化的安全托管服务，助力千行百业安心拥抱人工智能技术，共同开创智能时代，守护安全未来。

在人工智能技术加速迭代、网络安全威胁呈现多元化交织演进的时代背景下，中国电信安全将充分依托技术积淀与资源禀赋优势，构建全方位大模型动态防护体系，实现人工智能安全、可靠、可控。

一封邮件让IT员工”破防”,这类钓鱼邮件千万要警惕！

据《2024中国企业邮箱安全报告》显示，2024年伪装成安全通知类主题的钓鱼邮件数量高达192.9万封，其中IT、金融行业成重灾区。这些钓鱼邮件犹如一把暗箭，随时可瓦解企业员工邮箱账号，窃取关键信息。

对于企业来说，构筑一道防得住，能反击的安全防线迫在眉睫——CACTER CAC２.０反钓鱼防盗号（以下简称：CAC2.0），是一款同时具备邮件识别过滤、邮箱账号异常监测与准实时告警、泄露账号威胁登录拦截，以及综合型邮件威胁情报（攻击IP、威胁URL、钓鱼邮件主题、重保紧急情报等）的云安全服务，为企业全面防范邮件威胁和邮件账号威胁。

案例还原：一场精心设计的“账号认证”骗局

2024年12月，某知名IT企业员工小张收到一封“邮件异常登录提醒”的邮件通知，邮件显示其邮箱在几天前在加拿大被异常登录，并要求小张立即进行“安全认证”。小张担心自己被盗号便立即点击链接进行认证。殊不知第二天小张的邮箱已被攻陷，无法登录。

经管理员排查发现原来所谓的“安全认证”就是罪魁祸首，这无疑是一场黑客精心设计的“贼喊捉贼”式骗局。

案例源自《2024中国企业邮箱安全性研究报告》

此类”安全认证“钓鱼邮件屡见不鲜，黑客伪造企业内部域名绕过常规安全防护体系，

利用”异常登录”制造恐慌，精准触发用户应激反应，引导其点击伪装成“安全认证”的恶意链接。

一旦邮箱账号被攻陷，邮箱中的核心数据随时都会被泄露.被盗邮箱进一步会作为跳板，渗透企业内部网络，获取更多权限和敏感信息，给企业带来不可挽回的损失。无论企业安全部门还是企业员工，都应对此提高警惕。

CAC2.0反钓鱼防盗号：从拦截到反杀

我们来看看小张的企业若提前部署CAC2.0后，可以预防哪些风险？

1. 反垃圾反钓鱼监测：CAC2.0依据数亿级的垃圾邮件样本特征，可对恶意邮件意图精准分析，并进行恶意URL检测和附件检测，迅速识别恶意钓鱼邮件。

 案例直击：小张收到的这封“安全认证”主题的钓鱼邮件将会经由CAC2.0在0.3秒内被识别为“高风险”邮件，直接隔离至垃圾箱。

２．邮箱账号防暴：CAC2.0”防暴卫士”可快速识别出风险IP登录，即使账号密码正确，邮件系统放行,CAC2.0仍然可拦截不允许登录，并准实时告警，管理员可通过面板查看本域的拦截日志。

案例直击：当黑客盗取小张的邮箱账号并尝试登录时，CAC2.0将触发“风险IP拦截”，实时同步向管理员推送告警：检测到异常IP登录。 

３．邮件威胁情报系统：CAC2.0会通过邮件实时推送紧急安全情报至管理员邮箱，并结合最新典型威胁邮件案例，分析本域类似的威胁邮件检测及相关收件人，帮助管理员全面掌握自身系统的潜在风险，提前筑牢安全屏障。

案例直击：针对小张此类异常行为用户，CAC2.0会在24小时内推送安全报告，帮助管理员排查风险，并采取措施永久封禁攻击IP。

员工自保指南：3招识破“贼喊捉贼”

针对此类“安全通知“，到底如何防范？CACTER小助手为大家准备一些自保小贴士：

1、认清发信人域名：在收到各类“系统通知”时，注意认清发信人域名，办公系统和管理员不可能使用外部域名发送通知。

2、识别钓鱼网站：任何系统的安全认证不可能在外部网站进行，识别所谓“安全网站”的域名可以规避大部分钓鱼网站。

3、警惕”认证“要求：邮箱系统对异常登录的账号会采取直接进行锁定或要求重置口令，决不会要求输入口令进行”认证“，因此以安全认证为主题的基本可判定为钓鱼邮件。

在钓鱼邮件套路无穷的当下，多一份防护，多一份安心，CAC2.0拥有“事前拦截，事中告警，事后处置”的全流程能力，能够在企业邮箱管理的苛刻环境下，提供稳定可靠的服务。

今年以来，多起数据泄露事件引发监管重拳整治

多款APP因未通过合规审查被通报下架

移动应用安全治理正面临着

合规高压与安全风险叠加的双重困扰

「梆梆产品季」助力企业破局

“应用加固+合规检测+安全测评”

三大核心产品，即日起至5月23日

免费试用

通过轻量化部署实现安全能力前置，既满足政策对关键业务系统的刚性要求，又为快速迭代的数字化场景提供动态防护。这场安全之旅的起点，正是企业从被动合规转向主动防御的必经之路。

一图速览「试用规则」

梆梆产品季限时福利

参与转发抽奖，赢取超值礼包！

转发本篇文章到朋友圈，将“转发截图”发送至公众号后台即可参与抽奖，截至5月12日12:00，小编将抽取5名幸运用户，每位可获得“梆梆安全春促大礼包”一份，行业权威报告、移动应用技术干货等书籍文献，以及定制周边等精美礼品应有尽有！

说明：活动结束后，获奖用户ID将在梆梆安全官方公众号统一公布，请及时关注并留意相关推送信息。（每个ID不可重复领取，最终解释权归梆梆安全所有）

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用、窃密等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、瑞典、印度。主要情况如下：

一、恶意地址信息

（一）恶意地址：ddos.8ucddos.com

关联IP地址：38.165.82.8

归属地：美国/加利福尼亚州/圣何塞

威胁类型：僵尸网络

病毒家族：XorDDoS

描述：这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（二）恶意地址：amushuvfikjas.b2047.com

关联IP地址：104.155.138.21

归属地：美国/艾奥瓦州/康瑟尔布拉夫斯

威胁类型：僵尸网络

病毒家族：XorDDoS

描述：这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（三）恶意地址：a.gandzy.shop

关联IP地址：104.131.68.180

归属地：美国/新泽西州/克利夫顿

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（四）恶意地址：shetoldmeshewas12.uno

关联IP地址：104.131.68.180

归属地：美国/新泽西州/克利夫顿

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（五）恶意地址：yu5bca55387d2a9ba0d7.ddnsfree.com

关联IP地址：173.208.162.39

归属地：美国/密苏里州/北堪萨斯城

威胁类型：后门

病毒家族：AsyncRAT

描述：该恶意地址关联多个AsyncRAT病毒家族样本，部分样本的MD5值为31bfa56bcd984d9a334a3006d3cc323d。该网络后门采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（六）恶意地址：sbdar.com

关联IP地址：23.20.239.12

归属地：美国/弗吉尼亚州/阿什本

威胁类型：窃密

病毒家族：AmosStealer

描述：该恶意地址关联到AmosStealer病毒家族样本，部分样本的MD5值为9841c50833e3c05e74bffd97b3737d46。AmosStealer（也称为“Atomic Stealer”）是一种针对macOS系统的信息窃取恶意软件，能够窃取用户的登录凭证、浏览器数据、加密货币钱包信息等，该恶意软件通过伪装成合法软件或利用恶意广告（malvertising）进行传播。

（七）恶意地址：34.58.66.17

归属地：美国/加利福尼亚州/山景城

威胁类型：后门

病毒家族：AsyncRAT

描述：该恶意地址关联多个AsyncRAT病毒家族样本，部分样本的MD5值为91aa773721ad37dc7205accac80dbf76。该网络后门采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（八）恶意地址：reald27.duckdns.org

关联IP地址：46.246.86.20

归属地：瑞典/斯德哥尔摩省/斯德哥尔摩

威胁类型：后门

病毒家族：NjRAT

描述：该恶意地址关联到NjRAT病毒家族样本，部分样本程序的MD5值为b28304414842bcacb024d0b5c70fc2ea。该后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（九）恶意地址：serisbot.geek

关联IP地址：139.59.53.195

归属地：印度/卡纳塔克邦/班加罗尔

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网址和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

苹果的AirPlay协议和AirPlay软件开发工具包（SDK）中的一系列安全漏洞使未打补丁的第三方和苹果设备暴露于各种攻击中，包括远程代码执行。

网络安全公司Oligo Security的安全研究人员发现并报告了这些漏洞，他们可以利用零点击和一键式RCE攻击、中间人（MITM）攻击和拒绝服务（DoS）攻击，以及绕过访问控制列表（ACL）和用户交互，获得敏感信息的访问权限，并读取任意本地文件。

Oligo向苹果披露了23个安全漏洞，苹果于3月31日发布了针对iphone和ipad （iOS 18.4和iPadOS 18.4）、mac （macOS Ventura 13.7.5、macOS Sonoma 14.7.5和macOS Sequoia 15.4）和Apple Vision Pro （visionOS 2.4）设备的安全更新来解决这些漏洞（统称为“AirBorne”）。

该公司还修补了AirPlay音频SDK、AirPlay视频SDK和CarPlay通信插件。

虽然“AirBorne”漏洞只能被攻击者通过无线网络或点对点连接在同一网络上利用，但它们允许接管易受攻击的设备，并使用访问作为启动台来破坏同一网络上其他启用airplay的设备。

Oligo的安全研究人员表示，他们能够证明攻击者可以使用两个安全漏洞（CVE-2025-24252和CVE-2025-24132）来创建可蠕虫的零点击RCE漏洞。

此外，CVE-2025-24206用户交互绕过漏洞允许威胁者绕过AirPlay请求的“接受”点击要求，并可以与其他漏洞链接以发起零点击攻击。

这意味着攻击者能够控制某些支持 AirPlay 的设备，并实施诸如部署恶意软件之类的操作，这种恶意软件会传播到受感染设备所连接的任何本地网络中的设备。这可能会导致与间谍活动、勒索软件、供应链攻击等相关的其他复杂攻击的发生。

由于 AirPlay 是苹果设备（Mac、iPhone、iPad、Apple TV 等）以及利用 AirPlay 软件开发工具包的第三方设备的一项基础软件，这类漏洞可能会产生深远的影响。

网络安全公司建议用户应立即把所有企业苹果设备和启用 AirPlay 的设备更新到最新软件版本，并要求员工也更新他们所有的个人 AirPlay 设备。

用户还可以采取以下措施来缩小攻击面：将所有苹果设备更新至最新版本；若不使用，禁用 AirPlay 接收器；通过防火墙规则限制仅允许受信任设备访问 AirPlay；仅允许当前用户使用 AirPlay 以缩小攻击面。

苹果公司称，全球活跃的苹果设备（包括 iPhone、iPad、Mac 以及其他设备）超过 23.5 亿台，而 Oligo 估计，还有数千万台支持 AirPlay 的第三方音频设备，如扬声器和电视，这还不包括支持 CarPlay 的汽车信息娱乐系统。

近日，中国互联网协会数据安全与治理工作委员会（以下简称“委员会”）在第二届委员会第一次全体成员会议上举行了“专家证书颁发仪式”，重庆信通设计院入选“中国互联网协会数据安全与治理工作委员会成员单位”，同时我院两名行业专家入选专家库，成为“中国互联网协会数据安全与治理工作委员会专家”。

未来，委员会专家库将充分发挥专家智库支撑作用，提升委员会在数据安全与治理领域政策研究、决策咨询、评审评价等工作的科学性、规范化、专业化水平，助力委员会持续发展，不断推动数据安全与治理工作迈上新台阶。

来源：重庆信通设计院天空实验室

一种名为“Cookie-Bite”的概念验证攻击利用浏览器扩展程序从 Azure Entra ID 中窃取浏览器会话 Cookie，以绕过多因素身份验证（MFA）保护，并保持对 Microsoft 365、Outlook 和 Teams 等云服务的访问。

此次攻击由 Varonis 安全研究人员设计，他们分享了一种概念验证（PoC）方法，涉及一个恶意的和一个合法的 Chrome 扩展程序。然而，窃取会话 cookie 并非新鲜事，因为信息窃取程序和中间人网络钓鱼攻击通常都会将其作为目标。

虽然通过窃取 Cookie 来入侵账户并非新手段，但“Cookie-Bite”技术中恶意 Chrome 浏览器扩展程序的使用因其隐秘性和持久性而值得关注。

Cookie扩展攻击

“Cookie-Bite”攻击由一个恶意的 Chrome 扩展程序构成，该扩展程序充当信息窃取器，专门针对 Azure Entra ID（微软基于云的身份和访问管理（IAM）服务）中的“ESTAUTH”和“ESTSAUTHPERSISTNT”这两个 Cookie。

ESTAUTH 是一个临时会话令牌，表明用户已通过身份验证并完成了多因素身份验证。它在浏览器会话中有效，最长可达 24 小时，在应用程序关闭时过期。

ESTSAUTHPERSISTENT 是在用户选择“保持登录状态”或 Azure 应用 KMSI 策略时创建的会话 Cookie 的持久版本，其有效期最长可达 90 天。

应当注意的是，虽然此扩展程序是为针对微软的会话 Cookie 而创建的，但它可以被修改以针对其他服务，包括谷歌、Okta 和 AWS 的 Cookie。

Varonis 的恶意 Chrome 扩展程序包含用于监控受害者登录事件的逻辑，监听与微软登录网址匹配的标签页更新。

当登录发生时，它会读取所有作用域为“login.microsoftonline.com”的 Cookie，应用过滤以提取上述两个令牌，并通过 Google 表单将 Cookie 的 JSON 数据泄露给攻击者。

“在将该扩展程序打包成 CRX 文件并上传至 VirusTotal 后，结果显示目前没有任何安全供应商将其检测为恶意程序，”Varonis 警告称。

Chrome扩展窃取微软会话cookie

如果攻击者可以访问设备，他们可以部署一个PowerShell脚本，通过Windows任务调度程序运行，在每次启动Chrome时使用开发者模式自动重新注入未签名扩展。

PowerShell攻击中使用的例子

一旦cookie被盗，攻击者就会将其注入浏览器，就像其他被盗的cookie一样。这可以通过合法的Cookie-Editor Chrome扩展等工具来实现，该扩展允许威胁行为者将被盗的cookie导入到他们的浏览器“login.microsoftonline.com”下。

刷新页面后，Azure将攻击者的会话视为完全经过身份验证，绕过MFA并给予攻击者与受害者相同的访问级别。

注入偷来的 cookie

从那里，攻击者可以使用Graph Explorer枚举用户、角色和设备，发送消息或访问Microsoft Teams上的聊天，并通过Outlook Web阅读或下载电子邮件。

通过TokenSmith、ROADtools和AADInternals等工具，还可能进一步利用特权升级、横向移动和未经授权的应用程序注册。

Cookie-Bite攻击概述

微软将研究人员在攻击演示中的登录尝试标记为“atRisk”，因为他们使用了VPN，因此监控异常登录是防止这些攻击的关键。

此外，建议实施条件访问策略（CAP），以限制对特定IP范围和设备的登录。

关于Chrome扩展，建议执行Chrome ADMX策略，只允许预先批准的扩展运行，并完全阻止用户从浏览器的开发者模式。

根据安全研究人员最新发现，iOS系统的一个关键漏洞可能允许恶意应用程序仅用一行代码就永久禁用iphone。该漏洞被命名为CVE-2025-24091，利用操作系统的达尔文通知系统触发无尽的重启周期，有效地“阻塞”设备并需要完整的系统恢复。

iOS Darwin通知漏洞

该漏洞利用了Darwin通知，这是CoreOS层中的一种低级消息传递机制，允许进程通信系统范围的事件。

与NSNotificationCenter或NSDistributedNotificationCenter等更常见的通知系统不同，Darwin通知是传统API的一部分，在苹果操作系统的基础层面上运行。

安全研究员Guilherme Rambo发现了这一漏洞，他解释说：“达尔文通知甚至更简单，因为它们是 CoreOS 层的一部分。它们为苹果操作系统上的进程之间提供了一种简单的消息交换底层机制。”

关键漏洞在于，iOS上的任何应用程序都可以在无需特殊权限或授权的情况下发送敏感的系统级 Darwin 通知。

最危险的一点在于，这些通知可能会触发强大的系统功能，包括进入“正在恢复”模式。

仅需一行代码即可完成

该漏洞利用起来非常简单——只需一行代码就能触发漏洞：当执行此代码时，会迫使设备进入“正在恢复”状态。由于实际上并未进行恢复操作，该过程必然失败，从而提示用户重启设备。

研究人员创建了一个名为“VeryEvilNotify”的概念验证攻击，将此漏洞利用程序嵌入到了一个小部件扩展中。并指出：“iOS 会定期在后台唤醒部件扩展。”

由于系统中小部件的使用非常普遍，所以当安装并启动包含小部件扩展的新应用时，系统会非常急切地执行其小部件扩展。

通过将漏洞利用程序置于一个在发送通知后会反复崩溃的小部件中，研究人员制造了一种持续攻击，每次重启后都会触发，形成一个无休止的循环，致使设备无法使用。

缓解措施

苹果公司在 iOS 18.3 中通过为敏感的 Darwin 通知实施新的授权系统解决了这一漏洞。该研究人员获得了 17500 美元的漏洞赏金。

具体来说，系统通知现在需要以“com.apple.private.restrict-post.”为前缀，并且发送进程必须具备以“com.apple.private.darwin-notification.restrict-post.

这并非苹果系统中首次出现与达尔文相关的漏洞。此前，卡巴斯基实验室曾发现一个名为“达尔文核弹”的漏洞，该漏洞能让远程攻击者通过专门设计的网络数据包发起拒绝服务攻击。

强烈建议所有 iPhone 用户立即更新至 iOS 18.3 或更高版本。运行早期版本的设备仍易受此攻击，该攻击可能通过看似无害的应用程序或小部件通过 App Store 或其他分发方式部署。

该案例凸显了移动操作系统中持续存在的安全挑战，即便是简单且容易被忽视的旧版应用程序编程接口（API），如果安全防护不当，也会带来重大风险。

今日，ISC.AI 2025互联网安全大会正式宣布启动，并将于4月30日开启全球议题征集。2025年，全球大模型技术参数规模跨入百万亿级，正加速走进百行千业，成为推动我国科技进步、经济增长和国家强盛的关键力量。然而技术狂飙下，大模型安全漏洞呈指数级增长，迫使AI与安全进入共生新纪元。在此变革浪潮中，这场以“AI+安全”为核心命题的大会，将汇聚全球政要、行业领袖、专家学者，共同破解智能时代的“安全方程”，通过建立政产学研用协同创新网络，进一步推动大模型产业价值释放和数字安全的跃迁。

五大板块：打造AI产业全价值链体系

 ISC.AI 2025以“构建全球数智共同体”为目标，创新打造五大会议板块，覆盖从技术前沿到产业落地、从学术研究到生态共建的全价值链体系，形成大模型应用发展的超级枢纽。

一场开幕式，将邀请全球专家智囊深度参与，搭建起“政产学研用”的国际交流平台，探讨复杂国际背景下的安全治理与对抗，共商共议大模型开发应用和数字安全发展方向，输出紧贴国家、经济、社会、企业的前瞻观点洞察。

AI和安全峰会“双峰并立”，将邀请行业领袖和技术大咖围绕大模型和数字安全探讨最新技术和行业应用，带领参会者沉浸式探索技术深水区与产业无人区。

二十余场垂直论坛全景扫描AI行业生态，包括大模型安全应用、大模型多模态应用、安全即服务、安全大模型应用、AI原生应用开发、AI攻防、智能化安全运营等技术论坛，与AI反诈、医疗AI多模态诊断、智慧城市数字孪生等行业赋能专场论坛。

一大创新赛事，培育数智时代新生力量，秉承产教融合、科教融汇、教育赋能。创新独角兽沙盒大赛开设AI应用、数字安全、ISC沙盒新星三大赛道。其中，新星赛聚焦数智时代新质人才的培养和挖掘，引导高校学生直面产业级场景需求，锤炼AI大模型创新思维与工程能力。大赛旨在为AI产业输送兼具技术底蕴与应用视野的复合型人才。

一场实战训练营，基于“产教融合、科教融汇、教育赋能“的培养理念，开设三大课程。学生先锋营（大会前开课） 聚焦"行业认知+实战筑基"双维度提升，帮助学生建立数字安全与人工智能产业图谱认知，掌握前言工具基础应用能力；专业精进营（大会期间开课） 围绕安全+AI最新技术议题进行深度讲解，助力从业者打造"技术纵深+生态连接"核心竞争力 ；师资领航营（大会前开课） 通过AI增强型课堂工作坊，助力教师"教学赋能+科研反哺"双向增强，掌握前沿数字教学能力。

一大生态展区，包含AI未来体验馆和数字安全生态展。AI未来体验馆将迎来三个全新升级：创新升级、技术升级、体验升级。不仅有最新的AI应用创新技术展示，还有机器人互动、低空飞行模拟器、数字人人工智能陪伴等全新产品带来的震撼体验。此外，数字安全生态展将聚集百家上下游企业，展示行业最新解决方案和创新产品。

全球议题招募：AI+安全共生未来

ISC.AI 2025将于4月30日至 6月20日面向全球征集AI和安全双赛道议题，向AI与数字安全领域的企业、高校及技术极客发出邀请。为持续发扬探索会议新形态的办会精神，本届大会鼓励公众通过应用“纳米AI”的创新功能来生成议题，积极参与到议题征集活动中来。

AI议题方向：

·AI技术：大模型安全技术、大模型多模态应用、AI安全创新人才培养、AI技术融合教学实践、大模型与智能体前沿技术、视觉大模型关键技术与应用……

·AI应用：垂直行业大模型价值落地方法论、大模型开源生态建设策略、数字教学体系设计、大模型驱动的产业数字化转型……

数字安全议题方向：

·技术创新：安全大模型技术应用、自动化安全运营SOAR、漏洞发现与修复、APT攻击分析溯源……

·行业应用：关键基础设施安全防护升级、数字人才培养（安全+AI）、中小微企业安全防护体系创新……

包括但不限于以上议题方向。

即刻加入，定义未来

我们诚邀全球创新力量提交最具突破性、实践性、争议性的议题，提交议题入围者将获得演讲机会、展区资源、ISC媒体矩阵公众曝光、专属礼遇等丰富权益。

访问ISC官方网站提交议题，成为AI安全时代的规则制定者！

一种名为“SuperCard X”的新型恶意软件即服务（MaaS）平台已经出现，该平台通过NFC中继攻击安卓设备，使销售点和ATM交易能够使用受损的支付卡数据。

SuperCard X是由移动安全公司Cleafy发现的，该公司报告称，在意大利发现了利用这种安卓恶意软件的攻击。这些攻击涉及多个具有细微差异的样本，表明分支机构可以根据区域或其他特定需求定制构建。

SuperCard X攻击是如何展开的

攻击开始时，受害者会收到一条假冒银行的假短信或WhatsApp消息，声称他们需要拨打一个号码来解决可疑交易引起的问题。

接电话的是一名冒充银行客服人员的骗子，他利用社会工程学欺骗受害者“确认”他们的卡号和密码。然后，他们试图说服用户通过他们的银行应用取消消费限制。

最后，威胁者说服用户安装一个伪装成安全或验证工具的恶意应用程序（Reader），其中包含SuperCard X恶意软件。

安装后，Reader app只需要很少的权限，主要是NFC模块的访问权限，这就足够进行数据窃取了。

诈骗者指示受害者将他们的支付卡轻敲到他们的手机上以验证他们的卡，允许恶意软件读取卡芯片数据并将其发送给攻击者。

攻击者在他们的安卓设备上接收这些数据，该设备运行另一个名为Tapper的应用程序，该应用程序使用被盗数据模拟受害者的卡片。

这两款应用和设备参与了此次攻击

这些“模拟”卡允许攻击者在商店和自动取款机上进行非接触式支付，但金额有限制。由于这些小额交易是即时的，对银行来说似乎是合法的，因此它们更难被标记和逆转。

SuperCard X攻击概述

规避恶意软件

Cleafy指出，SuperCard X目前没有被VirusTotal上的任何防病毒引擎标记，并且没有危险的权限请求和侵略性攻击功能，如屏幕覆盖，确保它不受启发式扫描的影响。

该卡的仿真是基于atr （Answer to Reset）的，这使得该卡在支付终端看来是合法的，显示了技术的成熟度和对智能卡协议的理解。

另一个值得注意的技术方面是使用互TLS （mTLS）进行基于证书的客户机/服务器身份验证，保护C2通信免受研究人员或执法部门的拦截和分析。

保密通信系统

根据目前的检测，谷歌Play上没有发现包含此恶意软件的应用程序。Android用户将自动受到谷歌Play Protect的保护，该保护在带有谷歌Play Services的Android设备上默认是开启的。谷歌Play Protect可以提醒用户或阻止已知表现出恶意行为的应用，即使这些应用是来自Play之外的来源。

4月28日，在第八届数字中国建设峰会期间，第二届“长城杯”信息安全铁人三项赛（防护赛）总决赛在福建福州举办。本届大赛由中央网络安全和信息化委员会办公室、教育部、国家市场监督管理总局、国家数据局指导，中国信息安全测评中心、北京师范大学、中国电信集团有限公司、中国移动通信集团有限公司联合主办。第十二届全国政协副主席、国家电子政务专家委员会主任王钦敏出席活动并致闭幕辞。

第十二届全国政协副主席、国家电子政务专家委员会主任王钦敏致辞

本届大赛以“智能防护，开启数字安全新时代”为主题，经过线上初赛、半决赛的激烈角逐，来自84所高校的100支参赛队伍、近400名参赛学生会师总决赛。

总决赛现场

福建省委常委、常务副省长王永礼专程到比赛现场看望大赛组委会同志和参赛选手，福建省政协副主席黄如欣也出席此次活动。总决赛开幕仪式上，国家数据局数字科技和基础设施建设司司长杜巍、中国信息安全测评中心主任彭涛、中国电信集团有限公司网络和信息安全管理部总经理谷红勋、中国移动通信集团有限公司网络与信息安全管理部副总经理袁捷等嘉宾致辞，大赛主办、承办单位的代表共同启动本次总决赛。

国家数据局数字科技和基础设施建设司司长杜巍致辞

中国信息安全测评中心主任彭涛致辞

中国电信集团有限公司网络和信息安全管理部总经理谷红勋致辞

中国移动通信集团有限公司网络与信息安全管理部副总经理袁捷致辞

总决赛启动现场

经过7小时激烈角逐及大赛裁判组严格评审，本次总决赛评比出一、二、三等奖和专项奖。来自广州大学、南京邮电大学通达学院、合肥师范学院的队伍获得一等奖；来自浙江师范大学、吉林大学、国防科技大学、哈尔滨工业大学、西北工业大学、西北大学、山东警察学院、安徽工业经济职业技术学院、北京航空航天大学、中山大学、五邑大学、安徽大学、上海交通大学、南昌航空大学科技学院、广东外语外贸大学等15所高校的队伍获得二等奖；来自东南大学无锡校区的队伍获得逆向分析专项奖，来自南京航空航天大学的队伍获得人工智能专项奖，来自电子科技大学的队伍获得网络渗透专项奖；此外，来自全国高校的79支队伍获得三等奖。

颁奖仪式现场

与会嘉宾认为，随着AI技术的迅猛发展以及行业渗透加快，网络空间安全形势渐趋复杂。作为一项面向高等院校全日制在校生的公益性科技类竞赛，本届大赛通过模拟真实的网络环境和企业计算环境，检验了参赛选手的网络安全实战能力，不仅为高校网络安全专业学生提供了一个展示才华的舞台，也为网络安全产业的发展引入了新的生力军。期待未来有更多高校网络安全专业学生踊跃参赛，加快推动网络空间创新发展、安全发展、普惠发展，携手迈进更加美好的“数字未来”。

本届大赛由中国信息产业商会信息安全产业分会、北京中测安华科技有限公司、《中国信息安全》杂志社有限公司、启明星辰信息技术集团股份有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、北京西普阳光科技有限公司、网安世纪科技有限公司、奇安信科技集团股份有限公司、永信至诚科技集团股份有限公司、北京长亭科技有限公司、福州大学网络系统信息安全福建省高校重点实验室等单位承办。

企业邮箱如同数字城堡，而邮件安全网关则是城墙上的智能哨兵——它需精准拦截恶意钓鱼邮件、病毒附件等“外敌”，还要保证正常邮件高效流通。然而面对硬件网关、软件网关、云网关三种哨兵形态，企业如何精准匹配自身能力和需求并做出正确的选择？

答案：没有“最好”，只有“最合适”！本文将从形态优势和适用场景两大维度，帮助企业找到最合适的邮件安全“哨兵”。

三大形态对比：你的企业适合哪种“哨兵”？

1、硬件网关：本地部署的“硬核卫士”

优势：

·一站式安装部署：由厂商提供全面的硬件、软件和服务支持，涵盖从采购到部署的全过程。企业无需自行挑选和整合不同组件。

·数据本地化：部署在企业内网，数据不出本地，满足对数据安全要求极高、网络环境复杂的大型企业或涉密机构。

适用场景：

·适合对数据安全要求严格的企业，如政府、金融行业。

·已具备专业IT团队，无需自行配备相应的硬件资源。

2、软件网关：灵活轻量的“全能选手”

优势：

·无需购买硬件：直接部署在现有服务器上，节省硬件成本和电力成本。

·高效兼容：可兼容大部分硬件设备，支持虚拟机资源部署。

适用场景：

·适合对数据敏感度高且需专业防护的企业。

·已具备专业IT团队，需配备相应的硬件资源。

硬件/软件网关升级推荐：

面对AI 邮件攻击来势汹汹，CACTER深度融合大模型技术, 在传统邮件安全网关基础上全面赋能AI能力，推出了新一代 CACTER 大模型邮件安全网关：

3、云网关：即开即用的“云端守护者”

优势：

·即开即用：无需复杂的安装和配置，企业可以在短时间内快速启用邮件安全服务。

·按需付费：采用按需付费的模式，企业只需支付实际使用的费用，无需购买的硬件设备和软件许可。

适用场景：

·适合企业邮件流量较小的企业。

·无专业IT人员运维，对部署速度要求较高。

选型口诀，即刻锁定最优解

CACTER 邮件安全网关：全场景覆盖的 “安全管家”

CACTER 邮件安全网关涵盖三种形态，均能为你提供以下功能：

1、独家完整域内安全管控方案：三种形态均支持域内垃圾邮件过滤检测，域内发信行为管控和告警功能，全面检测图片、二维码、附件、链接型钓鱼软件等。

2、层层过滤：依托全国上百万个海量样本检测，对收发信行为分析，恶意URL检测、邮件内容特征检测、附件检测等进行层层过滤，反垃圾误判率低于0.02%。

3、灵活拓展能力：硬件/软件网关可拓展AI大模型能力，解锁高管保护、大模型URL沙箱、AI统计报告等高级功能。

4、检测能力实时更新：拥有数亿恶意邮件样本，实时更新邮件检测引擎规则，提供最新邮件防护技术和能力。

邮件安全从来都不是 “选择题”，而是 “必答题”！

最新发现，一个名为“Scallywag”的大规模广告欺诈操作，通过精心制作的WordPress插件，每天产生数十亿的欺诈请求，从盗版和URL缩短网站中获利。

Scallywag是由机器人和欺诈检测公司HUMAN发现的，该公司绘制了一个由407个域名组成的网络，支持该操作，最高时每天有14亿个欺诈性广告请求。

HUMAN阻止和报告Scallywag流量的行为导致其减少了95%，尽管威胁者通过轮换域名和转向其他货币化模式显示出了弹性。

围绕WordPress广告欺诈插件构建

由于法律风险、品牌安全问题、广告欺诈和缺乏高质量的内容，合法的广告提供商会避免盗版和网址缩短网站。

Scallywag是一个围绕四个WordPress插件建立的欺诈即服务运营，帮助网络罪犯从高风险和低质量的网站中赚钱。

该操作创建的WordPress插件是Soralink（2016年发布），Yu Idea（2017年），WPSafeLink（2020年）和Droplink（2022年）。

Human表示，多个独立的威胁者购买并使用这些WordPress插件来建立自己的广告欺诈计划，有些人甚至在YouTube上发布教程，详细说明如何做到这一点。

这些扩展降低了潜在威胁者的进入门槛，他们想要从通常无法通过广告获利的内容中获利；事实上，一些威胁者已经发布了视频来指导其他人建立自己的计划。

Droplink是这种销售模式的唯一例外，因为它可以通过为卖家执行各种赚钱步骤而免费获得。

访问盗版目录网站查找电影或高级软件的用户点击嵌入的url缩短链接，并通过该操作的现金支付基础设施被重定向。

不能直接投放广告的盗版目录网站不一定是由Scallywag运营的。相反，它们的运营商与广告欺诈者结成了“灰色伙伴关系”，将盈利外包出去。

盗版网站（左）链接到Scallywag网站（右）

重定向过程将访问者带过中间的大量广告页面，这些页面会给Scallywag运营商带来欺诈性印象，并最终进入一个包含承诺内容（软件或电影）的页面。

中间站点是运行Scallywag插件的WordPress站点。这些处理重定向逻辑，广告加载，验证码，计时器和隐形机制，它显示一个干净的博客在广告平台检查。

Scallywag的操作概述

破坏Scallywag

HUMAN通过分析其合作伙伴网络中的流量模式来检测Scallywag活动，例如来自看似良性的WordPress博客的高广告印象量，伪装行为，以及在重定向之前强制等待时间或CAPTCHA交互。

直接访问（左）和通过url缩短器访问（右）的同一站点

随后，它将Scallywag列为欺诈网络，与广告提供商合作，停止对广告请求的竞标，并削减了Scallywag的收入来源。

作为回应，Scallywag的参与者试图通过使用新的现金支付域名和打开重定向链来隐藏真正的推荐者来逃避检测，但HUMAN表示他们也检测并阻止了这些。

Scallywag请求随时间的推移

结果，Scallywag的每日广告欺诈流量从14亿急剧下降到几乎为零，许多分支机构放弃了这种方法，转而采用其他骗局。

尽管Scallywag生态系统在经济上已经崩溃，但它的运营商很可能会继续试图逃避缓解措施，重新盈利。

注：以下内容为RC² 近期活动介绍，以及第一次发布的报告介绍，希望大家喜欢。

01 “商旅出差反偷拍”专题活动

4月18日，上海，RC² 联合G4S(H&A)在一家五星酒店，为企业客户举办了“商旅出差反偷拍”专题活动，此活动目的是帮助商务人士更好地保护自己的隐私。

由于专门增加了在五星酒店客房里的实景体验，于是，嘉宾们一边结合杨叔分享的反偷拍背景知识，一边在实践中纷纷解锁了个人技能树上关于“酒店反偷拍”的技能徽章~

虽然只是一个基本的技能，但衷心地希望参会嘉宾同学们从此以后都开启隐私保护的荆棘光环。

02 “企业出海安全”主题沙龙

4月19日，上海，RC² 受邀参与由安全圈新媒体 安在 举办的“企业出海安全”主题沙龙，杨叔在会上分享了最新的全球商业竞争案例，海外遭遇非法窃密的风险，以及企业出海的商业安全与技术防御需求。

到访嘉宾们都是来自各大型企业的信息安全、法务、出海方面的主管，这样很有聚焦性的沙龙可以说是完全满足了当前企业面的诉求，可惜时间有限，期望在安在的下一期沙龙上，我们可以更深入地讨论出海安全~

03  重磅报告发布！ 

经常得受迫害妄想症的朋友们都知道：

出国旅行，安全从来都不是一件小事！

最近这几年，随着社会发展和各类隐私案件的层出不穷，更多人在外出差旅时都开始注重保护个人及家庭隐私，这是一个非常值得鼓励的事情。

为帮助到更多的朋友们，经过数月筹备，今天，RC² 反窃密实验室 与 P.S.T隐私盾学院 共同发布第一份研究报告：

《2025旅行隐私保护指南-日本盗撮偷拍犯罪调研报告》

感谢RC² 威胁情报团队的默默付出，感谢合作方G4S(H&A)、安在、诸子云的大力支持，期待更多合作方的支持与加入~

★本调研报告概要 

报告从简入深地，通过总结分析日本近些年发生的各类偷拍案件，结合RC² 在日本东京、大阪等城市对线下偷拍器材销售商店的实地调研，梳理了日本市场的偷拍器材类型，并评估了日本偷拍产业链（黑产）的态势，再结合日本政府当前的法律法规，以及警方的处理流程机制，为日本旅行的朋友们提供了更为针对性的隐私保护建议。

咳咳，这应该是中国大陆发布的第一个针对偷拍产业的调研报告，虽然报告研究方向是日本~~或者大家更喜欢了解哪些隐私保护内容，可以在本文下方留言告诉杨叔~

★点击下方链接即可下载报告：

《2025旅行隐私保护指南-日本盗撮偷拍犯罪调研报告》.pdf

或通过扫描下方二维码直接下载PDF报告。

04  活动/课程 预告

2025年5月，新课将发布：「PPES-201：现代智能手机防窃听课程」。

2025年6月，RC²将会与G4S(H&A)、ASIS和TAPA，再次举办商业秘密保护的专题活动，届时欢迎更多业内人士，及对隐私保护有兴趣的朋友们参加活动。

2025年7月，日本青少年调查员活动第二期，即将开始募集~

2025年，除了更多的线下活动，RC²计划发布一系列“出海安全方向”的报告，以及更多深入的全新高级隐私保护课程，期望从专业性、实用性、可落地性方面来帮助到更多的企业与个人，敬请期待~

请关注RC²，及时获取更多活动信息~

近日，以“云聚安全 联赢未来”为主题的360数字安全集团安全云联运商座谈会在北京圆满举行，近百家安全云联运商伙伴齐聚一堂，积极探索联营联运合作新模式。360集团创始人周鸿祎出席会议，并围绕如何进一步优化联营联运机制，提升合作伙伴的技术能力与市场竞争力与众多联运商们进行了深入交流。

会议上，周鸿祎鼓励联运商积极拥抱以360纳米AI等为代表的大模型技术，强化自身技术创新能力，通过整合360安全云的技术资源与服务体系，共同打造更具竞争力的安全解决方案，更好地满足企业客户不断升级的安全需求。

随后，360数字安全集团总裁胡振泉以数字化发展趋势为切入点，阐释了安全云战略布局的深远意义。他指出，随着数字化转型的加速推进，安全问题日益凸显。作为一家AI驱动的安全云服务公司，360数字安全集团将安全云确立为战略核心地位，通过打造城市级安全公共服务平台将服务国家的安全能力变成公共服务，以智能化、体系化的安全服务解决方案为城市和企业提供坚实的安全保障。

胡振泉强调了安全云联运商体系建设的战略价值。他指出，在数字安全需求爆发式增长的背景下，原厂服务面临人力成本与服务规模的双重制约，发展渠道合作模式是推动安全云业务规模化、生态化发展的必然选择。360 数字安全集团将与合作伙伴形成命运共同体，打造闭环式安全运营体系，为企业客户提供更具效率、更有质量的安全服务。他呼吁合作伙伴以战略眼光布局安全云业务，360将以全周期政策扶持、技术赋能、资源倾斜等支持举措，与伙伴共同书写安全云事业发展新篇章。

360 安全运营中心总经理张帆在主题演讲中对安全云业务进行了全景式解读。他表示，360安全云并非单一的技术方案，而是一个开放共享、合作共赢的生态平台。截止目前，安全云联运商体系已经吸引了众多行业伙伴加入，并在全国多地打造出标杆性安全运营案例。联营联运模式的成功实践，充分验证了360 SaaS化服务战略的前瞻性与适配性，切实为城市数字经济发展筑牢了安全基石。

在实战经验分享环节，安徽惠丰科技有限公司总经理赵帮民、江苏晟晖信息科技有限公司董事长张建荣从技术落地、市场拓展、生态共建等维度分享了安全云联营联运实战经验，为与会者带来了新思路与启发。

会议最后，天津港信息技术发展有限公司、江苏晟晖信息科技有限公司、安徽惠丰科技有限公司等数十家企业被授予“安全云联合运营服务商”认证，正式成为 360安全云生态的重要战略伙伴，全面推动SaaS化服务战略合作迈向全新阶段。

未来，360数字安全集团将继续以安全云为纽带，与联运商合作伙伴持续深化合作，为企业的数字化转型与高质量发展保驾护航，筑就坚不可摧的安全防线！

近期，Ripple推荐加密货币NPM JavaScript库名为“xrpl.js”，被入侵窃取Ripple钱包种子和私钥，并将其转移到攻击者控制的服务器上，允许威胁者窃取存储在钱包中的所有资金。

恶意代码被添加到xrpl NPM包的2.14.2、4.2.1、4.2.2、4.2.3和4.2.4版本中，并于下午时间4:46到5:49之间发布到NPM注册表中。这些被破坏的版本已经被删除，现在有一个干净的4.2.5版本，所有用户都应该立即升级到这个版本。

xrpl.js库由Ripple币账本基金会（XRPLF）维护，是Ripple币通过JavaScript与Ripple币区块链交互的推荐库。它支持钱包操作、XRP转账和其他分类账功能。由于它是与XRP区块链交互的推荐库，它已经被广泛采用，在过去的一周内下载量超过14万次。

NPM库通过可疑方法进行了修改，名为CheckValitysofdeed将附加到折衷版本中的“

”文件的末尾进行了修改。此功能接受字符串作为参数，然后通过http Post请求转发给https：// 0x9c [。] xyz/xcm，威胁者可以在其中收集它。该代码试图通过使用“ AD-REFFERAL”用户代理使其看起来像网络流量监视系统的广告请求，从而试图变得隐秘。

恶意代码插入到xrpl.js NPM库中

根据开发安全公司Aikido的说法，checkValidityOfSeed（）函数在各种函数中被调用，用于窃取XRP钱包的种子、私钥和助记符。

通过checkValidityOfSeed函数窃取数据

威胁者可以利用这些信息在自己的设备上导入被盗的XRP钱包，以提取其中的任何资金。

目前已经确定，受感染的版本是在不同时间上传的，总共有452次下载。虽然总下载量并不大，但这个库可能被用来管理和连接更多的XRP钱包。

恶意代码似乎是由与Ripple组织相关的开发人员帐户添加的，可能是通过受损的凭证添加的。恶意提交没有出现在公共GitHub存储库中，这表明攻击可能发生在NPM发布过程中。

如果用户使用其中一个版本，请立即停止并旋转与受影响系统的任何私钥或秘密。XRP Ledger支持钥匙旋转：https：//xrpl.org/docs/tutorials/how-tos/how-tos/manage-manage-acccount-account-settings/assign-a-a-a-regular-regular-key-pair-，如果任何帐户的主密钥可能被妥协，则应将其禁用：https：//xrpl.org/docs/tutorials/how-tos/manage-manage-account-settings/disable-master-key-pair。”

开发人员称，XRP账本代码库或GitHub存储库没有受到影响。“澄清一下：这个漏洞存在于xrpl.js中，这是一个用于与XRP账本交互的JavaScript库。它不会影响XRP账本代码库或Github存储库本身。使用xrpl.js的项目应该立即升级到v4.2.5，”XRP账本基金会在X上发布。

开发商还证实，Xaman钱包、XRPScan、First Ledger和Gen3 Games项目没有受到供应链攻击的影响。这种供应链攻击类似于之前以太坊和索拉纳npm用于窃取钱包种子和私钥的攻击。

随着Apple Vision Pro的全球发布，智能VR应用正深度融入金融、娱乐、教育、医疗、工业等核心产业领域，成为数字世界的全新入口：

·金融机构打造沉浸式财富管理，用户可通过手势交互查看实时金价3D波动模型，在虚拟银行大厅完成黄金制品360°检视与一键交易，全息助手动态解析资产配置策略；

·文体娱乐产业革新全景交互体验，推出VIP视角观赛，用户可自由切换球员视角与战术俯瞰模式，通过眼动追踪标记明星球员运动轨迹；

·教育领域构建高精度实训系统，医学生可通过毫米级3D血管模型进行虚拟穿刺训练，系统实时压力反馈与误差标注。

在空间计算技术驱动创新场景落地的同时，VR应用承载的高价值交互算法、用户隐私数据及沉浸式体验核心代码，正面临代码逆向、动态注入、二次打包等愈发复杂的安全威胁。

作为移动安全领域的践行者，梆梆安全基于十余年技术积累和攻防实践经验，正式推出智能VR应用加固产品，以全栈安全能力护航VR生态，开启沉浸式体验安全新纪元！

梆梆安全智能VR应用加固

Apple Vision APP依托高性能3D引擎、空间计算算法及多模态交互技术，构建虚实融合的沉浸体验。其开发语言复杂（如Swift、C++、ARKit框架）、代码逻辑庞大，一旦核心算法与用户隐私数据泄露，将导致企业知识产权受损、用户信任崩塌，甚至引发重大安全事故。梆梆安全持续洞察VR生态，深度融合“源到源”加固技术方案，构建VR场景下的应用全维度防护体系：

一 三大核心能力

1.全栈代码保护：从源头阻断逆向攻击

·控制流隐匿与多样性混淆：通过控制流平坦化、虚假分支注入、符号混淆、不透明谓词等技术，彻底打乱VR应用逻辑结构，抵御IDA Pro等逆向工具解析。

·关键算法加密：对空间定位、手势识别、环境建模等核心算法代码进行动态混淆与分段加密，防止逻辑破解与算法盗用。

·高敏感字符串保护：采用随机化存储与分段加密技术，隐藏3D模型路径、API密钥等敏感信息，杜绝资源窃取风险。

2. 动态运行时防护：实时抵御虚实攻击

·防动态调试与注入：“动静结合”防调试保护技术，实时检测并阻断LLDB、Frida等调试工具攻击，识别Hook注入行为，保护交互逻辑完整性。

·防二次打包与篡改：校验开发者签名与Bundle ID，阻断恶意植入广告、木马的仿冒应用流通，守护品牌声誉。

·高风险环境拦截：精准识别越狱设备、模拟器及网络代理环境，确保VR应用仅在安全设备中运行。

3. 隐私与数据安全：捍卫沉浸式体验信任基石

·防屏幕信息泄露：实时监控VR应用屏幕录制与投屏行为，警示用户防范隐私窃取。

·防远程控制欺诈：实时监测VR应用屏幕共享行为，警示用户提高防诱导性欺诈、信息窃取行为。

·传输数据保护：增加对网络代理、VPN运行环境的监测，防止基于虚假代理、恶意VPN下的应用抓包行为，防止通信数据被恶意劫持、篡改、窃取。

·运行日志净化：自动清除调试日志信息，避免敏感信息残留导致的数据泄露。

二 四大产品优势

1.首套多模态开发语言全链路防护体系构建实践

梆梆安全智能VR加固技术全面支持Swift、ObJC/ObjC++、C/C++不同开发语言代码的加固保护，覆盖VR应用自身代码安全到运行环境安全的全栈风险防护，提供一站式安全闭环服务。

2.加固结果可视化，便于企业内部安全审查

梆梆安全特有的“源到源”加固技术方案，可以为VR应用开发企业提供直观、可视的加固后代码审查能力，充分保障VR应用在加固处理过程中不会引入不安全的第三方代码。

3.极简部署，无缝兼容开发流程

支持一键式加固，开发者无需修改代码即可完成加固保护能力集成，加固后应用启动耗时增量控制在毫秒级，用户体验“零感知”。

4.灵活适配多行业场景

方案已成功应用于VR金融、VR游戏、虚拟医疗培训、工业数字孪生、元宇宙社交等领域，保护高精度空间算法、实时协作协议及用户隐私数据，满足金融级安全合规要求。

作为移动安全技术领域的中坚力量，梆梆安全始终专注智能终端防护技术的研发与演进。此次智能VR应用加固产品的发布，完善了沉浸式体验应用保护细分领域技术体系，依托"攻防协同"创新机制，为多行业用户构建可信的虚实融合数字环境提供技术支撑。未来，我们将携手开发者与生态伙伴，共同推动VR安全标准建设，让每一次沉浸体验都安全无虞！

如需体验梆梆安全智能VR应用加固，为您的Vision APP穿上“隐形铠甲”，请咨询梆梆安全官方热线：4008-881-881。