工業網絡安全周報（2025年第15期）

本期摘要

政策法規方面，《香港生成式人工智能技術及應用指引》發布;美國CISA緊急續約MITRE以維持CVE漏洞數據庫運作，反映國家級網絡安全基礎設施的維穩需求。

漏洞預警方面，Gladinet曝出CVE-2025-30406漏洞并被黑客攻擊;CISA緊急發布9項ICS安全漏洞，針對工控系統關鍵漏洞強化防護;CISA警告蘋果和微軟漏洞可能被利用情況，亟需企業加強漏洞監測與應急響應能力。

安全事件方面，地緣政治相關黑客行動激增，如CrazyHunter針對中國臺灣關鍵部門、匿名者泄露俄羅斯數據，以及PowerModul植入程序攻擊俄組織。勒索軟件持續肆虐，攻擊量激增126%。此外，Fortinet設備遭后門攻擊、科技巨頭Conduent數據泄露，以及新型ResolverRAT攻擊醫療行業，凸顯供應鏈、關鍵基礎設施和醫療領域的脆弱性。

風險預警方面，BPFDoor控制器針對電信、金融和零售業發起隱秘反向shell攻擊，顯示高級威脅向關鍵行業滲透。加拿大政府警示邊緣設備安全風險，反映物聯網安全防御短板。能源行業因地緣沖突面臨攻擊激增，成為網絡戰重點目標。AI幻覺代碼依賴問題表明人工智能技術應用正引入新的安全盲區。

產業發展方面，關鍵基礎設施領域持續承壓，天然氣行業因網絡威脅升級和地緣政治因素面臨重大安全挑戰;《2025年滲透測試狀態報告》的發布則揭示了當前網絡安全防御體系中感知與現實之間的差距。

01、《香港生成式人工智能技術及應用指引》發布

數字政策辦公室(數字辦)4月15日公布《香港生成式人工智能技術及應用指引》，為技術開發者、服務提供商和使用者提供實務操作指引，內容涵蓋生成式人工智能的應用范圍和局限、潛在風險與治理原則，包括數據泄露、模型偏見和錯誤等技術風險。數字辦早前委托香港生成式人工智能研發中心，就生成式人工智能技術及應用的準確性、責任、信息保安等范疇，研究及建議適當的規則和指引。數字辦考慮研究結果及建議后制定指引，目標是平衡人工智能的創新發展、應用與責任，為人工智能生態圈各持份者建構一套符合香港的治理框架。

資料來源：http://kv2.9dw7.sbs/P7x5ASa

02、CISA緊急續約MITRE，確保網絡安全數據庫CVE持續運作

2025年4月16日，美國網絡安全和基礎設施安全局(CISA)宣布，已簽署與MITRE的合同延期協議，確保“通用漏洞與披露數據庫”(CVE)服務不中斷。CISA在聲明中表示：“CVE計劃對整個網絡安全社區至關重要，我們已執行了合同中預設的延期選項，保障關鍵服務不斷檔。”據悉，此次續約時限為11個月。

資料來源：http://gy1.9dw7.sbs/ykxdpNYbreach-ransomware

03、GladinetCVE-2025-30406漏洞被黑客利用

2025年4月15日，Huntress 的安全研究人員警告稱，Gladinet CentreStack 和 Triofox 軟件中存在一個嚴重漏洞(CVE-2025-30406)，目前有7個組織和120個端點遭到了攻擊。研究人員指出，數百臺暴露在互聯網上的易受攻擊的服務器面臨風險。美國網絡安全和基礎設施安全局 (CISA) 于 2025年4月將該漏洞添加到其已知被利用漏洞 (KEV) 目錄中。此漏洞源于web.config文件中的硬編碼密鑰，該漏洞允許ViewState反序列化攻擊。如果不修復，該漏洞將導致遠程代碼執行和服務器全面入侵。必須同時保護根配置和門戶配置，以防止漏洞被利用。

資料來源：http://gr1.9dw9.sbs/FgGH4wn

04、CISA發布9項新的ICS安全公告解決關鍵漏洞

2025年4月16日，美國網絡安全和基礎設施安全局 (CISA) 發布了九項新公告，詳細說明了廣泛使用的工業控制系統 (ICS) 產品中的嚴重漏洞。9項工業控制系統警告包括西門子 Mendix Runtime(編號為 CVE-2025-30280)，;西門子工業邊緣設備套件(CVE-2024-54092);西門子SIMOCODE、SIMATIC、SIPLUS、SIDOOR、SIWAREX (CVE-2024-23814);Growatt云應用程序(CVE-2025-30511、CVE-2025-31933、CVE-2025-31949、CVE-2025-31357);Lantronix Xport (CVE-2025-2567);美國國家儀器 LabVIEW(CVE-2025-2631、CVE-2025-2632);臺達電子 COMMGR (CVE-2025-3495);ABB M2M 網關(CVE-2022-23521、CVE-2022-41903、CVE-2023-25690);三菱電機歐洲有限公司 smartRTU(CVE-2025-3232、CVE-2025-3128)。CISA 敦促各組織審查所有建議，立即應用可用的補丁和緩解措施，并遵循最佳安全實踐，以確保關鍵基礎設施系統的完整性和可用性。

資料來源：https://gbhackers.com/cisa-issues-9-new-ics-advisories/?web_view=true

05、緊急安全警報：CISA 警告蘋果和微軟漏洞可能被利用

2025年4月18日，美國網絡安全和基礎設施安全局 (CISA) 發布警告，在其已知可利用漏洞目錄中新增三個漏洞，強調受影響系統亟需快速修補。這些漏洞影響蘋果和微軟產品，目前已被惡意攻擊者積極利用，對組織和個人構成重大風險。CVE-2025-31200 Apple多款產品內存損壞漏洞：此漏洞存在于 CoreAudio 中，可通過處理惡意構建的音頻流觸發;CVE-2025-31200 Apple 多款產品內存損壞漏洞：此漏洞存在于CoreAudio中，可通過處理惡意構建的音頻流觸發。Microsoft Windows也遭受攻擊，漏洞CVE-2025-24054 Microsoft Windows NTLM哈希泄露欺騙漏洞正被利用，利用活動在 2025 年 3 月 20 日至 25 日之間達到峰值。

資料來源：http://hq1.9dw9.sbs/wWx7eZH

06、CrazyHunter 攻擊活動瞄準中國臺灣關鍵部門

2025年4月16日，CrazyHunter 迅速崛起，成為嚴重的勒索軟件威脅。該組織上個月首次公開其數據泄露網站，并公布了十名受害者的信息，全部來自中國臺灣。自一月初以來，觀察到其明顯以中國臺灣為目標。該組織的受害者主要包括醫院和醫療中心、教育機構和大學、制造公司和工業組織，這反映出其針對性強，尤其針對擁有寶貴數據和敏感業務的組織。趨勢科技通過Trend Vision One檢測并阻止CrazyHunter攻擊活動中使用的惡意組件，相關辦法可詳見鏈接。

資料來源：http://r82.9dw7.sbs/obOznFG

07、勒索軟件團伙稱其入侵了俄勒岡州環境質量部門

2025年4月15日，勒索軟件組織 Rhysida聲稱對上周俄勒岡州環境質量部門遭受的網絡攻擊負責。2025年4月9日，俄勒岡州環境質量局(DEQ)表示，正在調查一起針對其企業信息服務的網絡攻擊事件。此次攻擊導致該部門關閉了電子郵件系統、計算機工作站、服務臺和車輛檢測站。截至4月14日，大部分服務已恢復正常。該勒索軟件組織要求該部門在7天內支付30比特幣的贖金(價值約270萬美元)。俄勒岡州環境質量局(DEQ)的最新公告稱沒有證據表明存在數據泄露，但Rhysida表示其入侵了DEQ并竊取了超過2.5 TB的數據。

資料來源：http://oi2.9dw7.sbs/awt0GyD

08、勒索軟件攻擊激增126%

2025年4月17日，網絡安全領域勒索軟件攻擊急劇升級，這標志著全球企業令人擔憂的趨勢。根據 Check Point Research 最近的分析，勒索軟件事件與 2024 年同期相比激增了驚人的 126%。這種激增并不是無差別的;消費品和服務行業成為最受攻擊的行業，占全球勒索軟件攻擊總數的 13.2%。商業服務和工業制造等其他行業也遭受了重大攻擊，分別占全球事件的 9.8% 和 9.1%。這些攻擊的擴展表明勒索軟件團體不僅數量在增加，而且其策略也在多樣化，影響廣泛的行業，旨在破壞關鍵業務運營并提取最高贖金。

資料來源：http://7t2.9dw7.sbs/OjnclOT

09、匿名者發布針對俄羅斯的10TB泄露數據

2025年4月17日，近期，黑客組織“匿名者”(Anonymous)宣布對俄羅斯發動的大規模網絡攻擊負責，并泄露了高達10TB的數據，并稱此舉旨在“保衛烏克蘭”。該組織稱，此次泄露的數據泄露暴露了與俄羅斯政府、克里姆林宮相關個人和組織以及與親俄勢力網絡相關的外國資產相關的敏感內部文件。令人震驚的是，泄露文件還包括一份名為“唐納德·特朗普數據泄露”的文件，暗示這位美國前總統可能與克里姆林宮的親俄關系存在關聯或情報。

資料來源：http://er1.9dw8.sbs/EoN8Hh4

10、新型PowerModul植入程序及攻擊策略瞄準俄羅斯組織關鍵網絡

2025年4月14日，APT 組織 GOFFEE 再次現身，其武器庫煥然一新，對俄羅斯戰略部門發動了定向網絡攻擊。根據卡巴斯基實驗室發布的一份全面新報告，該組織已改變先前的攻擊策略，采用 PowerModul、復雜的魚叉式網絡釣魚誘餌和定制的 Mythic 代理來滲透關鍵網絡。卡巴斯基高度確信此次攻擊活動是由APT組織GOFFEE發起的，因為惡意軟件特征、受害者特征和感染鏈都較為一致。該組織在2024年7月至12月期間專門針對俄羅斯機構發動攻擊，并保持了對該地區的高度關注。

資料來源：http://or1.9dw7.sbs/hxNvtxK

11、INC 勒索軟件攻擊后，Ahold Delhaize 確認數據被盜

2025年4月17日，食品零售巨頭阿霍德德爾海茲 (Ahold Delhaize) 證實，在 2024年11月的網絡攻擊中，其美國業務系統的數據被竊取。Ahold Delhaize是一家跨國零售和批發公司，在歐洲和美國經營著近8,000家商店，擁有超過410,000名員工。勒索軟件組織INC Ransom將Ahold Delhaize添加到其暗網上的數據泄露勒索網站，其中包括他們涉嫌從該公司竊取的文件樣本。Ahold Delhaize指出，對該事件的調查仍在進行中，如果確認客戶數據受到影響，將會通知相關人員。

資料來源：http://xi2.9dw7.sbs/HDJjvas

12、超過16,000臺Fortinet設備遭符號鏈接后門攻擊

2025年4月16日，超過 16,000 臺暴露在互聯網上的Fortinet設備被檢測到受到新的符號鏈接后門的攻擊，該后門允許對之前受到攻擊的設備上敏感文件進行只讀訪問。Shadowserver的Piotr Kijewski告訴BleepingComputer，該網絡安全組織現在檢測到16,620臺設備受到最近披露的持久性機制的影響。Fortinet 表示，這并不是通過利用新的漏洞，而是與2023年開始并持續到2024年的攻擊有關，其中威脅行為者利用零日漏洞破壞了FortiOS設備。Fortinet已發布更新的AV/IPS簽名，可檢測并從受感染設備中刪除此惡意符號鏈接。最新版本的固件也已更新，可檢測并刪除此鏈接。此更新還可阻止內置Web服務器提供未知文件和文件夾。

資料來源：http://bb1.9dw9.sbs/fMHyk0o

13、科技巨頭Conduent確認客戶數據在一月份網絡攻擊中被盜

2025年4月14日，美國商業服務巨頭和政府承包商Conduent披露，客戶數據在2025年1月的網絡攻擊中被盜。Conduent是一家商業服務公司，為交通、醫療保健、客戶體驗和人力資源領域的政府和商業客戶提供數字平臺和解決方案。該公司擁有超過33,000名員工，為一半的財富100強公司和超過600個政府和交通機構提供服務。Conduent在今天向美國證券交易委員會提交的新FORM-8K文件中確認，威脅行為者竊取了包含該公司客戶信息的文件。該公司表示，沒有跡象表明被盜數據已在暗網或其他公開渠道發布，此次攻擊并未對其運營造成任何實質性影響，但第一季度已產生與攻擊相關的費用。

資料來源：http://rx1.9dw9.sbs/sjYzvCw

14、新型ResolverRAT惡意軟件攻擊全球制藥和醫療保健機構

2025年4月14日，一種名為“ResolverRAT”的新型遠程訪問木馬 (RAT)正在全球范圍內被用于攻擊組織，最近的攻擊中所使用的惡意軟件針對的是醫療保健和制藥行業。ResolverRAT通過網絡釣魚電子郵件進行分發，電子郵件包含下載合法可執行文件(“hpreader.exe”)的鏈接，該可執行文件利用反射DLL加載將ResolverRAT注入內存。Morphisec觀察到意大利語、捷克語、印地語、土耳其語、葡萄牙語和印度尼西亞語中存在網絡釣魚攻擊，因此該惡意軟件具有全球操作范圍，可以擴展到更多國家。

資料來源：http://je2.9dw7.sbs/VmAUuVc

15、針對電信、金融和零售的隱秘反向shell攻擊的BPFDoor控制器

2025年4月17日，趨勢科技的研究人員本周透露，與BPFDoor后門關聯的控制器可以打開反向 Shell，使攻擊者能夠更深入地入侵受感染的網絡。BPFDoor以其隱秘的防御規避技術而聞名，并被用于近期針對電信、金融和零售行業的網絡間諜活動。攻擊已在韓國、香港、緬甸、馬來西亞和埃及等地被發現。在調查過程中，該團隊發現了一個此前未曾發現的控制器，并將其歸咎于Red Menshen，這是一個由趨勢科技追蹤的高級持續性威脅 (APT) 組織，名為Earth Bluecrow。

資料來源：http://ho1.9dw9.sbs/TzrmBdS

16、加拿大警告網絡防御者加強邊緣設備

2025年4月10日，在一次深入研究中發布，作者是高級安全顧問兼前網絡工程師Guy Bruneau，揭示了多年存在的思科漏洞(CVE-2018-0171)的持續危險，帶來了新的見解和現實世界的測試。盡管在七年前披露，Smart Install 遠程代碼執行(RCE)漏洞仍然在野外活躍，超過1200臺思科設備仍然向互聯網暴露了易受攻擊的服務。

資料來源：http://nb1.9dw9.sbs/53aHE5U

17、地緣政治緊張局勢下，能源行業網絡攻擊激增

2025年4月17日，隨著全球地緣政治緊張局勢升級，能源行業已成為網絡空間的主要戰場。Resecurity 旗下 HUNTER 威脅情報部門的一份新報告顯示，針對核能、可再生能源和傳統化石燃料領域能源運營商的網絡攻擊數量激增，令人擔憂。這些攻擊涵蓋勒索軟件、國家間諜活動、黑客行動主義和訪問代理活動，加劇了 IT 和日益暴露的 OT(運營技術)環境的風險。

資料來源：http://uo1.9dw7.sbs/JZIqCMc

18、人工智能幻覺代碼依賴成為新的供應鏈風險

2025年4月12日，隨著生成式 AI 工具在編碼中的使用增多，以及模型傾向于“產生”不存在的包裹名稱，一種名為“slopsquatting”的新型供應鏈攻擊應運而生。“Slopsquatting”這個術語是由安全研究員Seth Larson創造的，是Typosquatting的一個變種，這是一種通過使用與流行庫非常相似的名稱來誘騙開發人員安裝惡意軟件包的攻擊方法。減輕這種風險的唯一方法是手動驗證包名稱，并且永遠不要假設AI生成的代碼片段中提到的包是真實或安全的。使用依賴掃描器、鎖文件和哈希驗證將軟件包固定到已知、受信任的版本是提高安全性的有效方法。最終，在生產環境中運行或部署 AI 生成的代碼之前，務必在安全、隔離的環境中對其進行測試。

資料來源：http://ov1.9dw9.sbs/OGjfywF

19、天然氣行業正處于十字路口，面臨網絡威脅和地緣政治風險

2025年4月16日，Rebel Global Security與美國州際天然氣協會 (INGAA) 合作，開展了一項行業調查，旨在評估當前戰略、發現差距并發掘整個行業的機遇。該報告探討了美國天然氣公司如何應對不斷變化的國家安全和地緣政治風險。研究發現，天然氣公司認為國家安全和地緣政治問題至關重要。報告中指出，在當今動蕩的地緣政治格局中，天然氣公司是國家網絡攻擊、國內極端主義和其他安全風險的主要目標。“該行業也是華盛頓國家安全議程的核心——確保美國的全球競爭力和人工智能 (AI) 革命，為美國盟友提供能源，將關鍵制造業回流美國，并解決資源充足性問題。因此，天然氣公司面臨著越來越大的壓力，需要主動管理國家安全和地緣政治問題。”

資料來源：http://wc1.9dw9.sbs/Lez7Tlc

20、《2025年滲透測試狀態報告》揭示的關于網絡安全情況

2025年2025年4月15日，2025年滲透測試報告揭示了在網絡安全方面的顯示情況。報告坦誠地展示了感知與現實之間的差距，特別是在漏洞管理、人工智能風險以及對程序化滲透測試日益增長的需求方面。2025年滲透測試狀態報告一開始就是一個引人注目的矛盾，81%的組織認為他們的網絡安全狀況是良好的。然而，現實世界的滲透測試講述的是另一個故事——在測試中發現的所有漏洞中，只有不到一半(48%)得到了解決。即使這些漏洞被判定為高風險，只有69%得到了處理，企業在防御上留下了多個漏洞。此外，雖然四分之三的公司聲稱擁有服務級別協議(SLA)，規定漏洞必須在14天內解決，但解決所有滲透測試結果的中位時間是驚人的67天——幾乎是目標的五倍。這個問題不僅僅是理論上的;這些是可被攻擊者利用的可操作漏洞，而解決延遲使系統暴露在外。

資料來源：https://thecyberexpress.com/state-of-pentesting-report-2025/