新闻速览
数据要素市场化提速:11月招标透露哪些技术风向?
欺诈团伙工业化运作:AI驱动的支付欺诈激增477%
Cisco报告:全球关键基础设施深陷“技术债务”危机
伪装做标书,窃密千余台电脑:亿元串标案曝光
390余个废弃iCalendar同步域名或危及400万设备安全
勒索即服务新威胁:Qilin借MSP跳板横扫韩国金融圈
日本啤酒巨头Asahi数据中心被黑,近200万人信息遭窃
OpenAI用户数据或因Mixpanel被黑而泄露
你的设备是否已成“肉鸡”?GreyNoise推免费僵尸网络检测工具
恶意AI实战化:WormGPT 4与KawaiiGPT批量生成勒索代码与钓鱼剧本
上线仅11天即遭破解:谷歌AI开发环境面临提示注入与RCE风险
热点观察
欺诈团伙工业化运作:AI驱动的支付欺诈激增477%
Visa最新报告显示,支付欺诈正以工业化模式快速演进,传统防御体系面临严峻挑战。
犯罪团伙已从零散作案转向组织化运营,利用僵尸网络、合成身份和AI脚本构建可复用基础设施。地下论坛数据显示,与AI代理相关的自动化社交工程、数据提取讨论激增477%。大规模凭证泄露事件导致账户恢复案件暴涨220%。
攻击者采用"潜伏-变现"两阶段策略:先缓慢积累被盗凭证,再通过即时支付、移动钱包和跨境转账快速套现。Token provisioning欺诈利用脚本批量测试卡片,验证后立即在发卡地区外的欺诈商户执行高额交易。
AI生成内容显著削弱身份验证效力。伪造的商户网站、文件和合成身份可通过初审,欺诈商户常伪装成咨询公司或政府机构。AI驱动的对话代理可进行长时间互动并适应受害者行为,传统检测手段难以识别。
2025年1至6月,影响支付生态系统的勒索软件事件增长41%,通过账户管理系统的被盗账户分发激增173%。第三方服务商的薄弱防护成为系统性风险来源,单个供应商遭攻击可导致跨网络、跨地区的大规模数据泄露。
Visa支付生态系统风险与控制团队指出,犯罪团伙的适应速度和规模化能力已超越传统防御体系的应对范围。
原文链接:
https://www.helpnetsecurity.com/2025/11/27/visa-payment-fraud-trends-report/
390余个废弃iCalendar同步域名或危及400万设备安全
近期,Guardio Labs披露一项重大安全隐患:超过390个曾用于iCalendar(.ics)日历同步的域名已被弃用且未妥善处置,可能使约400万台设备面临安全威胁。这些域名原用于提供公共日历订阅服务(如节假日、课程表等),但服务终止后未被注销或重定向,导致其可被第三方重新注册。一旦攻击者控制此类域名并部署恶意.ics文件,所有仍保留旧订阅链接的设备将自动拉取恶意内容,引发日历垃圾信息泛滥、钓鱼事件注入甚至凭证泄露。受影响设备主要为Apple生态用户,因其广泛使用iCloud日历订阅功能。研究人员强调,该问题凸显了“数字遗产管理”的缺失——服务下线不等于风险终结。建议用户立即检查并清理已订阅的日历源,企业应通过MDM策略限制外部订阅,并优先采用带身份验证的同步机制以降低供应链风险。
原文链接:
https://cybersecuritynews.com/over-390-abandoned-icalendar-sync-domains-could-expose/
上线仅11天即遭破解:谷歌AI开发环境面临提示注入与RCE风险
谷歌近期发布的AI代理开发环境Antigravity在上线不到11天内被曝存在多项高危漏洞。据Mindgard及安全研究员Adam Swanda披露,该工具核心设计存在逻辑缺陷:攻击者可创建包含恶意指令的源代码仓库,一旦开发者打开,AI代理会基于“严格遵守用户规则”的特性在系统中植入持久化后门。由于代理直接继承用户权限运行,常规身份验证无法有效缓解此类攻击。
此外,该工具还被发现存在间接提示注入漏洞,因无法区分可信指令与不受信的外部网页内容,可能导致数据泄露及远程命令执行(RCE)。面对质疑,谷歌已更新已知问题页面并着手修复。但在根本性架构调整前,专家建议将AI开发环境视为敏感基础设施,严格管控外部代码源的准入,警惕辅助工具被转化为攻击向量。
原文链接:
https://www.csoonline.com/article/4097698/security-researchers-caution-app-developers-about-risks-in-using-google-antigravity.html
安全事件
勒索即服务新威胁:Qilin借MSP跳板横扫韩国金融圈
Qilin RaaS(勒索软件即服务)近期通过攻陷一家韩国Managed Service Provider(MSP),成功窃取超100万份文件及2TB敏感数据。该MSP为多家企业提供IT运维支持,其系统被突破后,攻击者获得对下游客户网络的广泛访问权限。Qilin采用典型的“双重勒索”策略:先加密数据,再以泄露相胁。其运营模式类似“零工经济”,核心团队提供加密工具与泄露平台,收取15%–20%分成,实际入侵由高分成 affiliates 执行。此次事件凸显MSP作为关键供应链节点的安全脆弱性。专家建议立即实施多因素认证(MFA)、严格网络分段,并部署EDR/XDR等端点检测响应方案,以缩短攻击者驻留时间。企业亦需重新评估第三方服务商的权限管理与应急响应能力,防止单点失陷引发连锁灾难。
原文链接:
https://cybersecuritynews.com/qilin-raas-exposed-1-million-files/
OpenAI用户数据或因Mixpanel被黑而泄露
2025年11月27日,OpenAI通报部分用户数据可能因第三方分析平台Mixpanel遭网络攻击而泄露。Mixpanel于11月8日检测到一起smishing(短信钓鱼)攻击,导致其系统中存储的有限用户资料外泄。受影响数据来自platform.openai.com,包括用户姓名、邮箱、大致地理位置、操作系统/浏览器信息、组织或用户ID及来源网站,但不涉及ChatGPT聊天记录、API数据、密码、密钥或支付信息。OpenAI已从生产环境移除Mixpanel,并正通知受影响用户,同时密切监控潜在滥用行为。Mixpanel已重置员工密码、撤销会话、轮换凭证,并配合第三方取证团队调查。
原文链接:
https://securityaffairs.com/185121/data-breach/openai-data-may-have-been-exposed-after-a-cyberattack-on-analytics-firm-mixpanel.html
伪装做标书,窃密千余台电脑:亿元串标案曝光
2025年11月,海南警方破获一起特大串通投标案,犯罪团伙以“代做标书”为名,在500余家企业千余台办公电脑中植入远程控制软件,窃取投标报价、技术方案等核心商业数据,涉案金额超亿元。作案手法并不依赖高深技术,而是利用企业对外部合作方过度信任及终端安全防护薄弱。植入的恶意程序可远程监控操作、回传敏感信息,再经专业分析形成“最优报价”,实现围标牟利。奇安信指出,此类攻击凸显企业在合作流程中缺乏安全准入机制与终端防护能力,建议部署如天擎终端安全系统和“数据侦探”等工具,强化数据分级管控与异常行为监测。
原文链接:
https://mp.weixin.qq.com/s/2oxHItid72dl_qY-pVVSUg
日本啤酒巨头Asahi数据中心被黑,近200万人信息遭窃
2025年11月27日,日本最大酿酒企业Asahi Group Holdings确认,在9月29日遭遇的勒索软件攻击中,约200万客户与员工的个人信息遭窃。攻击者通过集团现场的网络设备非法接入数据中心网络,同时部署勒索软件加密多台服务器及PC。泄露数据包括152.5万名联系客服用户的姓名、地址、电话和邮箱;11.4万名外部联系人信息;10.7万名员工(含退休人员)及16.8万名其家属的出生日期、性别等敏感信息。Asahi强调,信用卡等金融数据未受影响。勒索团伙Qilin已在其Tor泄密站点公布部分被盗文件。公司正分阶段恢复系统,并加强全集团信息安全措施。
原文链接:
https://securityaffairs.com/185126/data-breach/asahi-says-crooks-stole-data-of-approximately-2m-customers-and-employees.html
攻防技术
恶意AI实战化:WormGPT 4与KawaiiGPT批量生成勒索代码与钓鱼剧本
Palo Alto Networks Unit42的研究显示,WormGPT 4和KawaiiGPT等无限制大语言模型(LLM)正显著增强网络犯罪能力。WormGPT 4作为付费的无审查工具,已被证实能生成基于AES-256算法的功能性勒索软件加密脚本,并能编写带有军事级加密谎言的勒索信。相比之下,免费的KawaiiGPT虽未生成加密载荷,但在自动化横向移动(Lateral Movement)和编写逼真的钓鱼邮件方面表现出色,能生成通过SSH连接执行命令的Python脚本。这些工具通过提供即用型恶意代码和无语法的诱饵文本,使低技能攻击者得以发起复杂的网络攻击,证明恶意AI已从理论威胁转变为现实风险。
原文链接:
https://www.bleepingcomputer.com/news/security/malicious-llms-empower-inexperienced-hackers-with-advanced-tools/
产业动态
数据要素市场化提速:11月招标透露哪些技术风向?
2025年数据要素市场招投标活跃度显著攀升,大额项目密集落地。近期披露的19个重点项目中,7个金额破亿,最高单项达5.23亿元(青岛地铁垂域大模型)。
技术路径上,“可信数据空间”正从概念走向实操。北京、雄安等地积极部署基于IDS RAM 4.0架构的基础设施,通过应用数据连接器、沙箱动态配置等技术,在保障数据主权与隐私安全的前提下,打通跨域流通堵点。
AI领域则呈现“国产化”与“全栈化”趋势。浙江耗资2.9亿元打造医学AI设施,明确要求全面采用国产算力设备,构建异构资源统一调度池;安徽亦在此领域建设国家级中试基地。这表明,兼顾安全合规与高性能的国产智算底座,已成为支撑医疗、城轨等关键关键行业数字化转型的核心引擎。
原文链接:
https://mp.weixin.qq.com/s/3BzkRNCk12r3O3jgCmHO3A
Cisco报告:全球关键基础设施深陷“技术债务”危机
Cisco最新报告揭示,国家关键基础设施中的“技术债务”正成为网络攻击的主要突破口。评估显示,英国在生命周期结束(End of Life)系统暴露风险评分中居首(92分),美国紧随其后。医疗行业因设备更新滞后被列为最高危领域,例如部分医院仍运行Windows 7。数据显示,欧盟近两年60%的入侵源于未修补的已知漏洞,攻击者常利用处于EoL状态的边缘设备渗透网络。美国政府每年约800亿美元用于维护旧系统,严重挤占现代化预算。这种对过时技术的依赖不仅导致安全防线脆弱,更造成每分钟高达9000美元的停机损失,严重削弱国家数字弹性。
原文链接:
https://www.helpnetsecurity.com/2025/11/27/cisco-legacy-system-vulnerabilities-report/
新品发布
你的设备是否已成“肉鸡”?GreyNoise推免费僵尸网络检测工具
2025年11月27日,网络安全公司GreyNoise推出一款免费在线工具Botnet Scanner,帮助用户快速检测其公网IP是否已被纳入已知僵尸网络(botnet)。该工具基于GreyNoise长期收集的全球恶意IP活动数据,可识别包括Mirai、Mozi、Dark.IoT等主流僵尸网络的C2通信特征。用户只需输入IP地址,即可获知是否在过去30天内与僵尸网络控制服务器发生过连接。GreyNoise强调,该扫描器不收集用户身份信息,仅用于安全自查。此举旨在提升公众对设备被控风险的认知,尤其适用于家庭路由器、IoT设备等常被忽视的薄弱节点。
原文链接:
https://www.bleepingcomputer.com/news/security/greynoise-launches-free-scanner-to-check-if-youre-part-of-a-botnet/
