新闻速览
深入学习贯彻二十届四中全会精神 扎实推进“十五五”网信工作——访中央网信办主任庄荣文
关于启用新版密评备案表的通知
北京三部门约谈18款涉诈小众通联APP 严打电信网络诈骗守护群众财产
只要200美元月费?网络犯罪“即服务”(CaaS)模式大幅降低攻击门槛
冒充Disney等75个知名品牌:AI驱动的商业凭证窃取活动曝光
2025年标志性威胁:ClickFix如何诱导用户成为攻击“共犯”
印度强推“不可卸载”官方安全应用,引发隐私监控担忧
CISA内部禁令:员工不得擅自对外发声,强化信息管控
保险与风控闭环:Cowbell推出CRS自助平台并新增AI合规服务
LLM驱动漏洞扫描新范式:开源工具Rogue如何颠覆传统Web安全检测
特别关注
深入学习贯彻二十届四中全会精神 扎实推进“十五五”网信工作——访中央网信办主任庄荣文
中央网信办主任庄荣文近日就网络强国建设与“十五五”规划接受专访。回顾“十四五”,我国网络空间综合实力显著跃升:2021年至2024年累计清理违法信息8.14亿条;截至2025年6月,IPv6活跃用户达8.34亿,网民规模突破11.23亿;“一点发现、全网防御”的安全防御体系已初步构建。
面向“十五五”,网信工作将聚焦新质生产力与安全治理。技术层面,将加速集成电路、RISC-V生态及6G研发,深化“人工智能+”行动与算力网建设。治理层面,截至2025年12月已有663款大模型完成备案,未来将进一步完善数据分类分级保护及跨境流动制度,统筹发展与安全,全面推进国家网络安全体系现代化。
原文链接:
https://mp.weixin.qq.com/s/bdYPUARLAUIckoy5wARTdg
热点观察
关于启用新版密评备案表的通知
2025年12月2日,北京市密码管理局官网发布《关于启用新版密评备案表的通知》,提出接国家密码管理局通知,即日起启用新版密码备案表,样表及填写说明详见附件。
附件文件包括:《密评备案信息统计表》模板(Windows版)、《密评备案信息统计表》使用说明(Windows版)、《密评备案信息统计表》模板(KylinLinux信创版)、《密评备案信息统计表》使用说明(KylinLinux信创版)。
原文链接:
https://www.bjgm.gov.cn/xwdt/tzgg/c52f95fec4da40b2997ba9b8b04840e4.html
冒充Disney等75个知名品牌:AI驱动的商业凭证窃取活动曝光
近期,Push Security发现一起高度定向的钓鱼攻击活动,攻击者冒充Unilever、Disney、MasterCard、LVMH和Uber等知名品牌,利用Calendly会议邀请为诱饵,窃取Google Workspace与Facebook Business账户凭证。攻击始于伪造招聘邮件,内含恶意链接,引导受害者进入仿冒Calendly页面,随后通过AI驱动的中间人(AiTM)钓鱼页面窃取会话令牌,绕过2FA验证。部分变种还采用Browser-in-the-Browser(BitB)技术,弹出看似合法的登录窗口以骗取凭证。研究人员已识别31个专属URL,并发现攻击者同时通过恶意广告投放,将搜索“Google Ads”的用户引流至仿冒登录页。被盗营销账户可被用于精准恶意广告投放或直接转售,构成直接变现路径。防御建议包括使用硬件安全密钥、仔细核对URL及拖拽弹窗验证真伪。
原文链接:
https://www.bleepingcomputer.com/news/security/fake-calendly-invites-spoof-top-brands-to-hijack-ad-manager-accounts/
印度强推“不可卸载”官方安全应用,引发隐私监控担忧
印度通信部近日下令,要求所有智能手机厂商在新设备中强制预装政府开发的“Sanchar Saathi”网络安全应用,并禁止用户卸载;同时需通过系统更新将该应用推送到旧机型。官方称该应用旨在打击电信诈骗、追踪被盗设备,自1月上线以来已协助找回超70万部手机,下载量逾500万次。然而,数字政策专家Nikhil Pahwa指出,此举剥夺用户选择权,可能为未来扩大设备监控权限铺路。尽管电信部长Jyotiraditya M. Scindia辩称该应用“可自愿启用并随时删除”,但其部门此前指令明确要求厂商确保应用功能“不得被禁用或限制”,表述矛盾引发质疑。此外,该政策或与Apple等厂商政策冲突——Apple禁止在iOS设备上预装第三方应用,包括政府软件。类似做法亦见于俄罗斯强制预装MAX通讯应用,后者被指具备监控功能。
原文链接:
https://abcnews.go.com/Technology/wireStory/india-mandates-pre-installation-government-cyber-safety-app-128025280
CISA内部禁令:员工不得擅自对外发声,强化信息管控
美国网络安全与基础设施安全局(CISA)近日向全体员工发送邮件,明确禁止未经授权与新闻媒体接触。代理局长Madhu Gottumukkala强调,所有对外发布的信息必须“准确、权威、无偏见”,并指出只有首席对外事务办公室(OCEAO/EA)有权代表CISA与媒体沟通。邮件还规定,内部备忘录、工作文档、聊天记录及会议材料等均不得对外披露。该指令由Politico率先报道,并获三名知情人士证实。CISA公共事务主管Marci McCarthy回应称,该机构不对泄露的内部邮件置评。此举发生在CISA经历大规模人事调整之际——自年初以来,约三分之一员工被解雇或接受延期离职,部分人员被调往边境安全相关岗位。此前,共和党方面批评CISA在拜登政府时期与社交媒体合作打击虚假信息,涉嫌压制言论自由。尽管近期有报道称CISA计划2026年重启招聘以应对对华网络威胁,但此次禁令具体动因尚不明确。
原文链接:
http://www.fcw.com/cybersecurity/2025/12/cisa-tells-staff-not-speak-reporters-internal-email-shows/409884/?oref=ng-homepage-river
安全事件
北京三部门约谈18款涉诈小众通联APP 严打电信网络诈骗守护群众财产
随着电信网络诈骗手段不断翻新,一些小众通联APP逐渐成为不法分子实施诈骗的工具,严重威胁群众财产安全。近日,北京市网信办、市公安局、市通管局依法联合约谈了18款存在涉诈风险的小众通联APP运营主体,向其通报了具体的涉诈风险点,明确责令限期整改,要求运营主体切实履行网络安全主体责任。
依据《反电信网络诈骗法》《网络安全法》等法律法规,三部门提出四项管理要求:一是全面落实用户实名制,未提供真实身份信息的用户不得使用服务;二是完善涉诈行为监测识别机制,对异常账号重新核验并采取限制功能等措施;三是健全内部反诈防控机制和安全责任制度,积极配合监管执法;四是加强反诈宣传提示,在注册使用环节显著位置宣传反诈知识,并完善用户投诉举报通道。下一步,三部门将持续协同开展网络巡查与执法检查,对拒不整改或整改不到位的主体依法处罚,合力遏制电信网络诈骗。同时提醒广大用户提高反诈意识,不点击未知链接、不下载陌生APP、不向陌生账户转账,守护自身财产安全。(来源:网信北京)
原文链接:
https://mp.weixin.qq.com/s/nxlkjBOlq7Y5EmWFKX5_lA
攻防技术
2025年标志性威胁:ClickFix如何诱导用户成为攻击“共犯”
一种被称为ClickFix的新型社会工程学攻击正迅速演变为2025年的主要网络威胁。与传统利用软件漏洞不同,ClickFix通过精妙的诱饵(如伪造的Google Meet连接错误或浏览器更新弹窗),诱导受害者手动执行恶意指令,使防御者面临巨大挑战。
攻击者利用JavaScript在网页上模拟虚假错误信息,并提示用户将“修复脚本”复制到剪贴板,随后通过Windows运行(Win+R)或PowerShell终端执行。这一过程直接绕过了基于文件的检测机制和邮件网关。
目前,TA571、ClearFake等威胁组织已利用该技术分发Lumma Stealer、Vidar Stealer及NetSupport RAT等恶意软件。由于攻击链主要依赖受害者的主动操作,企业亟需加强PowerShell执行策略管控及员工安全意识培训,以应对这一“让受害者成为帮凶”的新型战术。
原文链接:
https://securityonline.info/clickfix-signature-threat-of-2025-turning-victims-into-accomplices/
产业动态
只要200美元月费?网络犯罪“即服务”(CaaS)模式大幅降低攻击门槛
当前网络犯罪生态正加速向订阅制技术领域转型,形成类似合法云服务的“犯罪即服务”(CaaS)模式。攻击者无需精通代码,即可通过付费订阅获取所需资源,极大降低了技术门槛。
这一转型主要体现在五个方面:一是钓鱼即服务(PhaaS)高度成熟,利用SpamGPT等AI工具和MatrixPDF文档构建器,攻击者可获得全套自动化钓鱼方案及更新服务;二是Telegram成为社会工程学温床,如Apollo OTP bot以约70美元周费提供自动呼叫欺诈服务以窃取2FA代码;三是信息窃取日志转化为云数据流,Exodus Market等平台提供类似云数据库的精准搜索功能;四是初始接入代理(IAB)将网络入侵商品化,批量贩卖经过验证的VPN或RDP权限;五是Atroposia RAT等高级恶意软件以低至200美元的月费出租,提供企业级软件般的定价与支持。面对这一成熟的“服务经济”,防御者必须转向系统化、自动化的防御策略。
原文链接:
https://www.bleepingcomputer.com/news/security/cybercrime-goes-saas-renting-tools-access-and-infrastructure/
新品发布
保险与风控闭环:Cowbell推出CRS自助平台并新增AI合规服务
网络保险提供商Cowbell近日为其Cowbell Resiliency Services(CRS)推出了自助服务功能,旨在帮助中小企业用户更高效地管控网络风险。通过集成于保险仪表板的自助平台,投保人无需人工协调即可直接订阅MDR、身份监控及安全意识培训等服务,且所有服务均经过安全团队审核并享有预协议价格。此举将安全服务内嵌于保险流程,极大降低了企业响应风险的门槛。同时,Cowbell扩充了CRS产品线,新增AI治理与合规服务COMPaaS-AI。该服务专为部署AI系统的企业设计,支持NIST AI RMF和ISO 42001等框架,以满足日益增长的AI合规监管需求。
原文链接:
https://www.msspalert.com/brief/cowbell-adds-self-service-access-to-cyber-risk-services-for-policyholders
LLM驱动漏洞扫描新范式:开源工具Rogue如何颠覆传统Web安全检测
安全研究者Faizan Ahmad发布开源工具Rogue,采用大语言模型(LLM)革新自动化Web漏洞扫描。与依赖预定义规则的传统扫描器不同,Rogue利用OpenAI的GPT-4、o3-mini和o1-preview等模型,动态理解目标应用行为,生成上下文相关的测试用例,并基于响应自适应调整策略。其架构包含六大模块:Agent统筹流程,Planner制定LLM驱动的测试计划,Scanner通过Playwright交互采集数据,Proxy捕获分析流量,Reporter验证漏洞并生成报告,Tools提供利用能力。Rogue结合CISA已知可利用漏洞目录,实现技术栈感知的精准检测,显著降低误报率。支持自定义扫描深度(-i参数)、范围扩展及多模型切换,兼顾效率与覆盖。项目采用GPL-3.0许可,已在GitHub获317星,开发者强调须在授权前提下使用。
原文链接:
https://cyberpress.org/ai-based-web-app-scanner-rogue-uses-openai-for-analysis/
