新闻速览

•美国商务部以数据隐私为借口全面禁用DeepSeek

•美国最大精子捐献机构提醒遭遇数据泄露，客户个人信息被泄

•331个恶意应用潜入Google Play商店，影响60万用户

•新型Windows木马StilachiRAT带来数据窃取与横向移动双重威胁

•警惕！免费文档转换工具暗藏恶意软件

•mySCADA myPRO系统发现两个高危命令注入漏洞，或致工控系统被完全接管

•AMI MegaRAC严重漏洞，可能导致服务器被劫持甚至损毁

•CrowdStrike与NVIDIA合作推出AI增强网络安全工具

热点观察  

美国商务部以数据隐私为借口全面禁用DeepSeek

据路透社报道，美国商务部下属机构近期通知员工，禁止在政府设备上使用我国人工智能模型 DeepSeek 。根据路透社获取的内部邮件和两位知情人士的消息，这一禁令已在近几周内向员工发出通知。

内部邮件明确指出：”为保障商务部信息系统安全，在所有政府配发设备(GFE)上广泛禁止访问新的中国 AI 模型 DeepSeek 。请勿下载、查看或访问任何与 DeepSeek 相关的应用程序、桌面应用或网站。”

目前尚不清楚这一禁令在整个美国政府系统中的实施范围。今年 1月，DeepSeek 低成本 AI 模型的出现曾引发全球股市大幅抛售，投资者担忧美国在 AI 领域的领先地位受到威胁。

美国官员和国会议员已表达了对 DeepSeek 可能威胁数据隐私和敏感政府信息的担忧。众议院情报常设委员会成员 Josh Gottheimer 和Darin LaHood 于2 月提出立法，禁止在政府设备上使用 DeepSeek 。本月早些时候，他们致信美国各州州长，敦促禁止在政府发放的设备上使用这款中国 AI 应用。目前，包括弗吉尼亚州、德克萨斯州和纽约州在内的多个州已在政府设备上禁用该模型，21 个州的总检察长联盟也敦促国会通过相关立法。

原文链接：

https://www.reuters.com/technology/artificial-intelligence/us-commerce-department-bureaus-ban-chinas-deepseek-government-devices-sources-2025-03-17/

网络攻击

美国最大精子捐献机构提醒遭遇数据泄露，客户个人信息被泄

美国最大精子捐赠机构California Cryobank近日向客户发出警告，称公司遭遇了数据泄露事件，导致客户个人信息被暴露。

California Cryobank是美国规模最大的精子库，提供冷冻捐赠精子和专业生殖服务，如卵子和胚胎存储。该公司业务覆盖美国全部50个州和全球30多个国家。California Cryobank于2024年4月21日检测到网络上的可疑活动，随即将受影响计算机与IT网络隔离。通过调查，California Cryobank确定未授权方获取了其IT环境的访问权限，并可能在2024年4月20日至4月22日期间访问和/或获取了某些计算机系统上维护的文件。经过近一年的调查，该公司确认此次攻击暴露了客户的多种个人数据，包括姓名、银行账户和路由号码、社会安全号码、驾驶执照号码、支付卡号码和/或健康保险信息。对于社会安全号码或驾驶执照号码被泄露的客户，California Cryobank提供了一年免费信用监控服务。

值得注意的是，精子捐赠通常以匿名方式进行，捐赠者会被分配一个ID号码。这些捐赠者ID会与精子接收者共享，并可能被后代在18岁后用于了解其生物学父亲的信息。目前尚不清楚捐赠者信息（包括捐赠者ID号码）是否在此次泄露中被窃取，这对过去匿名捐赠精子的人来说将是重大隐私隐忧。

原文链接：

https://www.bleepingcomputer.com/news/security/sperm-donation-giant-california-cryobank-warns-of-a-data-breach/

331个恶意应用潜入Google Play商店，影响60万用户

近日，安全研究人员揭露了一起代号为”Vapor”大规模Android恶意应用攻击事件。据Bitdefender最新报告，共有331个恶意应用被上传至Google Play商店，累计下载量超过3亿次，影响约60万用户。这些应用主要充当广告软件或试图窃取用户凭证和信用卡信息。

这一攻击活动最早在2024年初被发现，180个相关应用每天生成2亿次欺诈性广告请求。受影响国家主要包括巴西、美国、墨西哥、土耳其和韩国。这些恶意应用伪装成各种实用工具，如健康和健身追踪器、笔记工具、电池优化器和二维码扫描器等。它们能够通过Google的安全审查，是因为初始版本不含恶意组件，而是在安装后通过命令控制（C2）服务器下载更新获得恶意功能。部分知名案例包括：

• AquaTracker：100万下载
• ClickSave Downloader：100万下载
• Scan Hawk：100万下载
• Water Time Tracker：100万下载

这些应用采用多种技术规避检测，如禁用启动器活动、重命名自身、使用原生代码启用隐藏组件等。一些应用甚至会显示虚假的Facebook和YouTube登录界面以窃取凭证。

Google已下架所有相关应用，但专家警告Vapor可能通过新应用卷土重来。建议Android用户谨慎安装来源不明的应用，仔细审查权限，并定期比对已安装应用列表。

原文链接：

https://www.bleepingcomputer.com/news/security/malicious-android-vapor-apps-on-google-play-installed-60-million-times/

新型Windows木马StilachiRAT带来数据窃取与横向移动双重威胁

Microsoft威胁分析团队周一警告，新型Windows远程访问木马(RAT) StilachiRAT正在小范围传播，已构成严重威胁。该恶意软件展示了复杂的技术，能够逃避检测、在目标环境中持久存在并窃取敏感数据。

StilachiRAT具备多种高级功能，包括收集目标系统信息（操作系统信息、硬件标识符、BIOS序列号、摄像头状态、活动RDP会话等）、信息和凭证窃取（Chrome浏览器存储的凭证、系统剪贴板数据、20种加密货币钱包扩展的配置数据）以及RDP监控。该恶意软件能够通过捕获前台窗口信息并复制安全令牌来模拟用户，监控RDP会话。这在托管管理会话的RDP服务器上尤其危险，因为它可能使攻击者在网络内部实现横向移动。

StilachiRAT还能执行来自命令与控制(C2)服务器的指令，包括重启/挂起系统、清除日志、执行应用程序、修改Windows注册表值、操作系统窗口、建立新的出站连接，甚至自我删除。该恶意软件采用多种反取证措施，包括清除安全日志、检查分析工具和沙箱环境、混淆Windows API调用以阻碍手动分析，并具备在目标计算机上确保持久性的机制。

Microsoft安全团队已分享了妥协指标和搜寻查询，帮助威胁猎手检查可疑的出站网络连接、持久性迹象和反取证行为。

原文链接：

Stealthy StilachiRAT steals data, may enable lateral movement

警惕！免费文档转换工具暗藏恶意软件

FBI近日发布紧急警告，指出利用恶意文件转换工具传播恶意软件的威胁日益严重。网络犯罪分子正在针对那些搜索免费文档格式转换工具的用户发起攻击，其中Word转PDF转换器成为特别常见的攻击载体。

据FBI报告，过去两周内，丹佛都会区已记录了一起涉及此类恶意软件的事件。许多受害者在遭受身份盗窃或勒索软件感染等重大损失前，完全不知道自己的系统已被入侵。

Bitdefender安全分析师发现，这些恶意文件转换器通常采用复杂技术来逃避标准防病毒解决方案的检测。分析显示，恶意软件常通过注册表修改和计划任务建立持久性，创建后门允许网络犯罪分子长期访问被感染系统。这些恶意转换器伪装成合法工具，在用户搜索免费转换工具时常出现在搜索结果顶部。一旦下载或访问，这些工具会执行请求的转换，同时在后台静默安装可能危及整个系统的恶意软件。感染后果可能非常严重，黑客可获取受害者计算机的远程访问权限，窃取电子邮件凭证、密码、社会安全号码和加密货币钱包详细信息等敏感信息。

为避免成为这些骗局的受害者，用户应依赖来自经过验证的发布者的可信软件进行文件转换。许多合法办公套件包含内置转换功能，无需第三方工具。

原文链接：

https://www.sdxcentral.com/articles/news/crowdstrike-enhances-cybersecurity-tools-with-nvidia-ai-collaboration/2025/03/

安全漏洞

mySCADA myPRO系统发现两个高危命令注入漏洞，或致工控系统被完全接管

网络安全研究人员近日披露了影响mySCADA myPRO系统的两个严重漏洞。该系统广泛应用于运营技术(OT)环境中的监控与数据采集(SCADA)。这两个漏洞若被利用，可能使攻击者完全控制受影响系统。

这些漏洞一旦被利用，可能授予未授权用户访问工业控制网络的权限，导致严重的运营中断和财务损失。其中，CVE-2025-20014属于操作系统命令注入漏洞，攻击者可通过包含version参数的特制POST请求在受影响系统上执行任意命令；CVE-2025-20061属于操作系统命令注入漏洞，攻击者可通过包含email参数的特制POST请求在受影响系统上执行任意命令。安全公司PRODAFT指出，这两个漏洞都源于系统未能正确过滤用户输入，从而为命令注入提供了可能。成功利用任一漏洞都可能允许攻击者注入系统命令并执行任意代码。

安全专家建议组织采取以下措施：应用最新补丁、通过隔离SCADA系统与IT网络实施网络分段、强化身份验证机制，并监控可疑活动。

原文链接：

https://thehackernews.com/2025/03/critical-myscada-mypro-flaws-could-let.html

AMI MegaRAC严重漏洞，可能导致服务器被劫持甚至损毁

安全研究公司Eclypsium 3月18日报告，American Megatrends International的MegaRAC基板管理控制器(BMC)软件中发现一个新的严重漏洞（CVE-2024-54085），可允许攻击者劫持甚至损毁易受攻击的服务器。

远程未经身份验证的攻击者可以通过访问远程管理接口(Redfish)或BMC接口的内部主机来利用此漏洞实现低复杂度攻击，且不需要用户交互。成功利用此漏洞后，攻击者可以远程控制被入侵的服务器、部署恶意软件或勒索软件、篡改固件、损坏主板组件（BMC或潜在的BIOS/UEFI）、造成服务器物理损坏（过电压/损毁），以及受害者无法停止的无限重启循环。

MegaRAC BMC提供”无人值守”和”带外”远程系统管理功能，帮助管理员远程排除服务器故障。该固件被HPE、Asus、ASRock等十多家服务器供应商使用。HPE Cray XD670、Asus RS720A-E11-RS24U和ASRockRack在未修补的情况下容易受到该漏洞攻击，可能还有更多受影响的设备和/或供应商。安全研究人员发现超过1000台在线服务器可能暴露于互联网攻击。

Eclypsium透露，该漏洞尚未被用于攻击，但指出由于固件二进制文件未加密，创建漏洞利用程序并不具有挑战性。网络防御人员应尽快应用AMI、Lenovo和HPE于3月11日发布的补丁，不要将AMI MegaRAC实例暴露在网上，并监控服务器日志以发现可疑活动。

原文链接：

https://www.bleepingcomputer.com/news/security/critical-ami-megarac-bug-can-let-attackers-hijack-brick-servers/

行业动态

CrowdStrike与NVIDIA合作推出AI增强网络安全工具

CrowdStrike近日宣布与NVIDIA合作，推出由NVIDIA NIM微服务支持的人工智能网络安全创新产品。新推出的Charlotte AI检测分类系统比之前版本速度提高一倍，同时计算资源消耗减少50%，有效减轻了安全运营中心(SOC)的告警疲劳问题，提升了工作效率。

此次合作重点关注先进的推理模型，旨在提供更完善的自动化和决策能力，帮助安全团队快速准确地应对威胁。当前趋势显示，传统安全效能正在下降，而威胁在初始访问后迅速升级。

CrowdStrike的Falcon平台与NVIDIA AI的结合将显著改变安全运营模式。该计划的核心特点包括更快的检测流程和更精准的威胁识别。CrowdStrike正在研究多种AI推理模型，以进一步优化安全响应的运营效率。

原文链接：

https://www.sdxcentral.com/articles/news/crowdstrike-enhances-cybersecurity-tools-with-nvidia-ai-collaboration/2025/03/