新闻速览
后门+僵尸网络双线攻击:国家级通报揭露跨境APT新动向
网信部门依法查处网络名人账号违法违规行为
英国拟推行勒索软件支付禁令:设“国家安全豁免”以防关键服务停摆
峰值近30Tbps!Aisuru僵尸网络刷新DDoS攻击历史记录
Orange Cyberdefense发布年度安全报告《Security Navigator 2026》
防火墙失守:Marquis遭袭波及全美74家金融机构
2025全球反诈风暴:执法联动重创网络犯罪帝国
ChatGPT清晨突发宕机:Codex任务异常引发全球用户历史记录消失恐慌
英国NCSC“主动防御”显成效:通过ISP端DNS过滤拦截近10亿次网络攻击
Cisco发布Llama微调安全模型:以“代理式AI”重塑SOC自动化运营
身份认证成新边界:2026年美国医疗网络安全投资首选
特别关注
后门+僵尸网络双线攻击:国家级通报揭露跨境APT新动向
中国国家网络与信息安全信息通报中心近日通报一批境外恶意网址和IP地址,这些资源被境外黑客组织用于对华持续发起网络攻击,威胁类型涵盖后门植入与僵尸网络构建。恶意地址归属地主要涉及美国、英国、德国、荷兰等九个国家。
通报显示,RemCos远程管理工具及其变种具备键盘记录、截屏和密码窃取功能,可通过后门实现远程控制。Mirai及其变种MooBot则是典型的Linux僵尸网络病毒,通过Telnet/SSH暴力破解和IoT漏洞(如CVE-2022-28958)传播,组建僵尸网络后可发起大规模DDoS攻击。此外,Tasker木马通过任务计划实现持久化,并可借助Tor网络匿名连接C&C服务器;Gafgyt基于IRC协议攻击路由器和网络摄像机等IoT设备。
通报建议各联网单位详细分析浏览器记录和DNS请求,部署流量检测设备追踪可疑通信,对受攻击设备进行勘验取证。同时要求在威胁情报产品中及时更新规则,拦截上述恶意地址访问,并对社交平台和电子邮件中的可疑文件保持警惕,必要时向公安机关报告配合溯源。
原文链接:
https://mp.weixin.qq.com/s/4U-hxgyPigX7T1iikun2GA?scene=25#wechat_redirect
热点观察
网信部门依法查处网络名人账号违法违规行为
近期,网信部门指导有关网站平台,依法处置网络名人账号违法违规行为。现将其中典型案例通报如下:
一、网络账号“户晨风”在多个平台长期编造所谓“安卓人”“苹果人”等煽动群体对立言论,各平台相关账号已关闭。
二、微博账号“郭美May努力努力”、小红书账号“亿颜LuLu”、快手账号“忘川”、抖音账号“Ayuki_888”、微信视频号“周熙凯XK”等持续宣扬炫富拜金等不良价值观,相关账号已关闭或长期禁言。
三、微博账号“阑夕”发布宣介境外色情影片内容,抖音主播“张雪峰”在直播中长时间使用污言秽语,相关账号已限期禁言、停播。
四、根据税务部门通报的网络主播偷税案件情况,抖音、快手等平台账号“小影夫妇”“曳步舞鑫鑫”已长期禁言停播、暂停带货营利权限。网络主播“王子柏”相关账号此前因偷逃税款、炫富拜金行为被关闭,近期发现重新注册,网信部门已督促相关平台开展核查处置。
网络名人账号影响力大、社会关注度高,运营者更应自觉依法用网、文明上网,规范网上言行,合理使用流量。各级网信部门持续督促相关网站平台履行主体责任,健全社区规则、用户协议,加强对运营者的教育提醒,依法依约开展账号和信息管理工作,防止已查处的问题反弹复发。
原文链接:
https://www.cac.gov.cn/2025-12/03/c_1766488328081202.htm
英国拟推行勒索软件支付禁令:设“国家安全豁免”以防关键服务停摆
英国安全大臣Dan Jarvis在12月3日举行的《金融时报》欧洲网络弹性峰会上透露,英国政府拟议中的勒索软件支付禁令将包含“国家安全豁免”条款。该提案旨在禁止公共部门及关键国家基础设施(CNI)机构向网络攻击者支付赎金,并要求其他企业在有意支付赎金时必须强制上报政府。
此前于2025年1月至4月进行的公众咨询显示,该禁令获得了四分之三受访者的支持。Jarvis强调,当前任由组织自行决定是否支付赎金的模式“不可持续”,且无法保证数据恢复。关于立法进程,他表示一旦议会时间允许将立即通过,目前正与CNI机构及私营部门协商以优化方案。
针对业界担忧禁令可能导致严重后果(如医院停摆),Jarvis明确表示将设置“国家安全豁免”,避免受害者陷入服务中断与牢狱之灾的两难境地。此外,英国正与五眼联盟(Five Eyes)及G7盟友讨论推广类似禁令的可能性。
原文链接:
https://www.infosecurity-magazine.com/news/uk-ransomware-payment-ban/
峰值近30Tbps!Aisuru僵尸网络刷新DDoS攻击历史记录
据Cloudflare最新披露,规模庞大的僵尸网络服务Aisuru在短短三个月内发起了超过1300次分布式拒绝服务(DDoS)攻击。其中,发生在2025年第三季度的一次攻击峰值达到了惊人的29.7 Tbps,刷新了历史记录。此次攻击持续了69秒,采用了UDP地毯式轰炸(carpet-bombing)技术,每秒向平均15000个目标端口发送垃圾流量。
Aisuru通过漏洞利用或暴力破解弱口令,控制了全球约100万至400万台路由器和IoT设备。作为一种“僵尸网络租赁”服务,它已被网络犯罪分子广泛利用。Cloudflare数据显示,今年以来已缓解了2867次Aisuru攻击,其中近45%为超过1 Tbps或10亿数据包每秒(Bpps)的超大流量攻击(hyper-volumetric)。此前,微软Azure网络也曾遭受该僵尸网络发起的15 Tbps攻击。
目前,Aisuru正频繁针对游戏、托管服务、电信和金融服务领域的企业。Cloudflare警告称,此类攻击不仅能瘫痪目标,溢出的流量甚至足以中断ISP的基础设施服务,对关键基础设施构成严峻威胁。
原文链接:
https://www.bleepingcomputer.com/news/security/aisuru-botnet-behind-new-record-breaking-297-tbps-ddos-attack/
2025全球反诈风暴:执法联动重创网络犯罪帝国
2025年,全球执法机构对跨国网络犯罪展开了史无前例的打击。美国调查人员查获了与Prince Group相关的约150亿美元比特币,该公司涉嫌强迫劳动及加密货币欺诈。东南亚及缅甸边境的诈骗园区面临政府压力,逾1590名外籍人员被捕。在非洲,INTERPOL主导的行动逮捕了1209人,拆除了11432个恶意基础设施,追回9700万美元涉案资金。
欧洲方面,当局捣毁了一个大型加密欺诈网络,并在Operation Endgame行动中查封了Rhadamanthys信息窃密软件相关的千余台服务器及域名。此外,全球协作行动成功瘫痪了Lumma Stealer这一恶意软件即服务(MaaS)平台。Intel 471等私营机构的情报共享与UN首个反网络犯罪公约的推出,极大增强了针对勒索软件及诈骗网络的防御与打击效能。
原文链接:
https://www.helpnetsecurity.com/2025/12/03/law-enforcement-agencies-cybercrime-efforts-2025/
英国NCSC“主动防御”显成效:通过ISP端DNS过滤拦截近10亿次网络攻击
英国安全大臣Dan Jarvis在12月3日的欧洲网络弹性峰会上透露,得益于NCSC部署的“Share and Defend”服务,英国在过去一年内成功拦截近10亿次早期网络攻击尝试。
该服务于2024年5月上线,是主动网络防御体系的核心组件。其运作机制是收集威胁情报与入侵指标(IOCs),结合被动DNS(PDNS)分析识别恶意域名,并将数据集实时共享给BT、Vodafone等互联网服务提供商(ISPs)。ISPs将这些数据集成至DNS过滤器中,当用户点击钓鱼邮件或诈骗广告中的链接时,网络连接会被自动阻断,从而在终端受损前消除威胁。
此外,英国计划于2026年发布更新版《国家网络战略》,旨在修正旧版战略权责模糊的问题,明确各类企业在国家网络防御中的具体角色。
原文链接:
https://www.infosecurity-magazine.com/news/uk-cyber-service-blocks-billion/
安全事件
防火墙失守:Marquis遭袭波及全美74家金融机构
金融软件供应商Marquis Software Solutions披露,其于2025年8月14日遭受勒索软件攻击,致使美国74家银行及信用社的超40万名客户数据泄露。调查显示,攻击者突破了SonicWall防火墙窃取数据,涉案敏感信息包含姓名、社保号(SSN)、纳税人识别号及财务账户信息。虽然Marquis未证实数据被滥用,但相关文件暗示公司已支付赎金以防泄露。
分析指出,此次入侵路径与Akira勒索软件团伙利用SonicWall VPN漏洞窃取凭证并绕过MFA的手法高度吻合。目前,Marquis已采取修补防火墙、强制开启多因素认证及实施Geo-IP过滤等措施加强防御。
原文链接:
https://www.bleepingcomputer.com/news/security/marquis-data-breach-impacts-over-74-us-banks-credit-unions/
ChatGPT清晨突发宕机:Codex任务异常引发全球用户历史记录消失恐慌
本周三早晨,数百万ChatGPT用户遭遇严重服务中断,全球工作流一度受阻。事件发生于6:30前后,大量用户无法访问服务,并出现聊天历史完全消失的异常。OpenAI随后确认系统已全面恢复。
根据OpenAI状态页面,故障最初由“Codex任务创建异常”触发。该组件是支撑代码生成与推理功能的关键后台模块。工程团队迅速实施修复,6:29状态更新为“监控中”,7:16宣布全部服务恢复。这段约45分钟的关键不稳定期凸显云端AI对企业用户的重要依赖及潜在脆弱性。
此次故障的用户侧表现尤为明显——历史记录栏无法加载,引发数据丢失恐慌。社交媒体上大量用户担心往期代码片段、创作草稿与研究记录被永久删除。通常该类问题源于后台API暂时性异常,并非真实数据损坏。
鉴于故障指向Codex模块,开发者工具链及依赖相关API的自动化应用受影响更为突出。OpenAI建议用户刷新会话以确保功能完全恢复。
原文链接:
https://cybersecuritynews.com/chatgpt-down-3/
产业动态
身份认证成新边界:2026年美国医疗网络安全投资首选
Black Book于2025年12月3日发布最新调查显示,为确保临床运营的安全与财务可行性,特定网络安全领域的投入将在2026至2028年间成为美国医院的“刚需”。这项针对211位医疗IT及安全高管的调研指出,身份管理已取代传统边界成为防御核心。
数据显示,71%的受访者将身份与访问管理(涵盖IAM、SSO、MFA及ZTNA等)列为2026年三大首要资助重点,位居榜首。紧随其后的是端点与邮件安全、备份恢复与勒索软件弹性,以及网络安全与Zero Trust连接。Black Book分析认为,医疗行业正呈现“双速”发展:基础防御领域被优先推进,而IoMT和第三方风险等领域因资源匮乏进展较慢。
调研警告,若到2028年备份恢复和身份管理仍投入不足,近九成受访者认为将对临床运营构成严重风险。尽管约三分之二的医院面临预算限制,超半数受困于人员短缺,但报告强调,机构必须在九大关键领域建立明确的KPI和长期规划,否则将暴露于巨大的勒索软件风险之中。
原文链接:
https://www.newswire.com/news/hospital-cybersecurity-leaders-identify-non-negotiable-domains-to-fund-22685385
Orange Cyberdefense发布年度安全报告《Security Navigator 2026》
欧洲网络安全服务提供商Orange Cyberdefense正式发布年度国际研究报告《Security Navigator 2026》。报告基于2024年10月至2025年9月期间全球逾13.9万起安全事件的分析,结合其专有威胁情报与开源情报,揭示了当前网络犯罪呈现产业化、全球化的发展态势,并对关键行业与企业提出警示。
原文链接:https://mp.weixin.qq.com/s/thbPnL5mUH14cCcPHKWnww
新品发布
Cisco发布Llama微调安全模型:以“代理式AI”重塑SOC自动化运营
Cisco Foundation AI团队近期在Hugging Face发布了一款基于Llama 80亿参数模型微调的专用安全模型。该模型针对严苛的数据隐私与合规需求优化,支持企业本地部署,规避了公有云AI的潜在风险。在GovWare大会上,Cisco利用该模型展示了“Agentic AI”(代理式AI)在安全运营中心(SOC)的应用前景。
演示中,系统加载了资源消耗更低的量化版本模型,并赋予AI“工具使用”能力——即调用特定的Python函数。该AI代理能模拟人类分析师,自主在Cisco XDR中提取IP、主机名等威胁指标,对复杂的JSON数据进行推理分析,最终生成简明的调查摘要。这一概念验证表明,结合基础模型与自主代理框架,可将耗时的手动调查转化为分钟级的自动化洞察。
原文链接:
https://blogs.cisco.com/security/cisco-xdr-agentic-ai-with-ciscos-foundational-ai-model/
