新闻速览
•两部委联合印发《国家智能制造标准体系建设指南(2024 版)》
•工信部CSTIS提醒:防范Outlaw恶意软件的风险
•FBI揭示:2024年网络犯罪损失创纪录达166亿美元
•勒索软件攻击困局:86%企业选择支付赎金
•Verizon数据泄露调查报告:漏洞利用攻击激增34%,成为主要入侵途径
•美国医疗机构网络安全危机升级:三大机构相继沦陷
•Docker安全警报:攻击者利用多层混淆技术实施加密货币劫持
•Commvault命令中心发现高危远程代码执行漏洞,可导致系统完全沦陷
•华硕发布修复程序解决AMI高危漏洞,可致服务器瘫痪
•SWE-agent可让大语言模型自主解决GitHub问题
特别关注
两部委联合印发《国家智能制造标准体系建设指南(2024 版)》
为落实《“十四五”智能制造发展规划》,深入实施智能制造工程,打造智能制造“升级版”,工业和信息化部、国家标准化管理委员会近日联合印发《国家智能制造标准体系建设指南(2024版)》(以下简称2024版《指南》)。
2015年以来,工业和信息化部会同国家标准化管理委员会等部门,统筹推进智能制造标准化工作,迭代发布四版《国家智能制造标准体系建设指南》。截至目前,我国累计发布智能制造国家标准472项、国际标准50余项,支持建设135个标准应用试点项目,加速标准落地、引领产业应用、深化国际合作,为智能制造深入发展提供有力支撑。
根据《指南》,智能制造标准体系结构包括基础共性、关键技术、行业应用等3个部分。基础共性标准主要包括通用、安全、可靠性、检测、评价、人员能力等6个部分。其中,安全标准主要包括功能安全、网络安全、数据安全等3个部分。功能安全标准主要包括智能制造中功能安全系统的设计、实施、测试等标准。网络安全标准指以确保智能制造中相关终端设备、控制系统、工业互联网平台、边缘计算、工业数据等可用性、机密性、完整性为目标的标准,重点包括企业网络安全分类分级管理、安全管理、安全成熟度评估和密码应用等标准。数据安全标准主要包括工业数据质量管理、加密、脱敏及风险评估等标准。
原文链接:
工信部CSTIS提醒:防范Outlaw恶意软件的风险
工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)4月23日发布《关于防范Outlaw恶意软件的风险提示》,指出监测发现监测发现Outlaw恶意软件持续活跃,其主要攻击目标为Linux系统,可能导致敏感信息泄露、业务中断、系统受控等风险。
Outlaw是一种针对Linux系统的恶意软件程序,最早发现于2018年。该恶意软件利用目标系统的弱口令或默认凭据缺陷,通过SSH爆破的方式获得访问权限,然后下载并执行带有shell脚本、挖矿木马、后门木马的压缩包文件dota3.tar.gz,在感染一台主机后,Outlaw会通过本地子网扫描和SSH爆破扩大感染范围,形成僵尸网络,可进行加密货币挖矿、DDoS攻击等恶意行为,并通过创建多个cron作业以确保在系统重启或被终止后继续启动运行。此外,Outlaw会删除并重新创建用户的SSH目录,注入由攻击者控制的SSH密钥,并使用chattr+ia命令设置文件的不可变属性,阻止管理员删除或修改密钥以实现对目标系统的持续控制。
CSTIS建议相关单位和用户立即组织排查,针对受感染的系统及时采取措施,开展服务器安全加固,避免采用弱密码或默认凭据,保持防病毒软件更新,定期开展全盘病毒查杀,并可通过及时修复安全漏洞、定期备份数据等措施,防范网络攻击风险。
原文链接:
热点观察
FBI报告揭示:2024年网络犯罪损失创纪录达166亿美元
据FBI互联网犯罪投诉中心(IC3)发布的《2024年互联网犯罪报告》显示,2024年网络犯罪造成的损失达到创纪录的166亿美元,较2023年增长33%,数额”惊人”。
网络欺诈成为主要损失来源,占IC3投诉总量的38%和记录损失的83%,金额高达137亿美元。投资欺诈连续第三年成为最昂贵的互联网犯罪类型,损失达65亿美元,较2023年的45亿美元显著增加。其次是商业电子邮件诈骗(BEC),损失27亿美元,较2023年的29亿美元略有下降。技术支持诈骗和个人数据泄露分别造成14亿美元的损失。
尽管勒索软件攻击报告从2023年的2825起增至2024年的3156起,成为关键基础设施最普遍的威胁,但相关损失从2023年的596亿美元大幅下降至124亿美元。FBI在2024年识别了67种新的勒索软件变种,其中报告最多的是Fog、Lynx、Cicada 3301、Dragonforce和Frag。
原文链接:
https://www.infosecurity-magazine.com/news/fbi-staggering-lost-cybercrime-2024/
勒索软件攻击困局:86%企业选择支付赎金
根据Rubrik Zero Labs最新发布的”2025年数据安全状态:分布式危机”报告,尽管网络安全工具和意识宣传活动大幅增加,全球86%的组织在过去一年遭遇网络攻击后仍选择支付赎金。
研究揭示了一个令人担忧的趋势:74%的组织表示其备份和恢复基础设施被部分破坏,35%报告完全被攻破。Rubrik Zero Labs负责人Joe Hladik指出,攻击者越来越专注于在部署加密前先瘫痪备份基础设施。常见手段包括使用Mimikatz等工具进行凭证盗窃和权限提升,或利用暴露的接口提取明文凭证。
即使拥有不可变备份、气隙存储和自动恢复等网络弹性解决方案,组织在遭受攻击时仍然措手不及。除技术因素外,双重勒索策略的兴起(攻击者窃取敏感数据并威胁公开泄露)也迫使企业支付赎金。
身份认证系统已成为主要攻击载体,Rubrik的数据显示,近80%的所有入侵都是通过身份认证系统实现的。特别是传统的Active Directory实现,已成为攻击者的首要目标。
报告指出,减少赎金支付的关键在于提高恢复准备度,包括隔离备份系统、保护API、实施行为异常检测,以及定期进行威胁恢复演练。
原文链接:
Verizon数据泄露调查报告:漏洞利用攻击激增34%,成为主要入侵途径
Verizon最新发布的第18份年度数据泄露调查报告(DBIR)显示,漏洞利用作为初始访问媒介导致网络事件的比例在过去两年增长了三倍,仅去年一年就上升了34%。
该报告分析了2023年11月1日至2024年10月31日期间发生在139个国家的22,052起网络事件,其中确认的数据泄露事件达12,195起,创下DBIR历史新高。漏洞利用现已占所有数据泄露事件的20%,仅次于凭证滥用(22%),而钓鱼攻击(16%)位居第三。
报告显示,导致漏洞利用激增的两大趋势是:边缘设备和VPN的零日漏洞攻击,以及第三方供应链攻击的爆发。边缘设备和VPN的攻击从3%激增至22%,增长近8倍。尽管组织努力修补漏洞,但Verizon分析显示,仅54%的漏洞在中位数32天内得到完全修复。其中,在GitHub存储库中发现的泄露密钥的中位修复时间为94天。
此外,涉及第三方的数据泄露比例从去年的15%翻倍至30%,其中81%的第三方泄露涉及受害者系统的入侵。
原文链接:
网络攻击
美国医疗机构网络安全危机升级:三大机构相继沦陷
2025年第一季度,美国医疗行业遭遇严重网络安全危机,三家重要医疗机构相继确认遭受数据泄露。阿拉巴马眼科协会(AOA)、DaVita透析公司和Bell救护车服务公司成为勒索软件攻击的最新受害者。
AOA在1月22日至30日期间遭遇数据泄露,影响了131,576名个人。被泄露的数据包括姓名、社会安全号码、健康保险信息和医疗记录等关键个人信息。勒索软件组织BianLian声称对此次攻击负责,并威胁公开窃取的数据。
Bell救护车服务公司于2月13日检测到网络安全事件,影响了114,000人。勒索软件组织Medusa声称窃取了220GB数据,并要求支付40万美元赎金,否则将在7天内拍卖被盗数据。
透析公司DaVita则在4月12日遭遇勒索软件攻击,导致某些本地系统被加密。该公司目前正在实施应急计划和手动流程,以维持其医疗中心和家庭护理患者的服务。
另据Comparitech的记录,2025年美国医院、诊所和其他医疗提供者遭受16起已被确认的勒索软件攻击,约47万人的个人和健康数据受到影响。这些攻击进一步强调了医疗行业亟需加强网络安全措施,以保护患者数据并确保关键医疗服务的连续性。
原文链接:
Docker安全警报:攻击者利用多层混淆技术实施加密货币劫持
安全研究人员近期发现一起针对Docker环境的恶意软件攻击活动。该活动采用了复杂的多层混淆技术来逃避检测并劫持计算资源进行加密货币挖掘。
攻击始于从Docker Hub拉取名为kazutod/tene:ten的容器镜像。该容器设计用于执行嵌入在镜像层中的Python脚本ten.py。安全分析师使用Docker内置工具提取并分析了该镜像,发现了一个复杂的混淆方案。
混淆过程通过一个lambda函数工作,该函数反转base64编码字符串,解码后使用zlib解压,然后执行生成的代码。这个过程递归重复,每次传递一个新的混淆字符串。研究人员发现,需要经过63次解码循环才能最终揭示实际的恶意代码。解混淆后的代码连接到一个合法的Web3初创公司teneo.pro,通过运行节点并发送持续的”保持活动”ping,恶意软件赚取”Teneo Points”私人加密代币。值得注意的是,恶意软件并不执行任何实际的数据抓取,而只是模拟活动以最大化代币奖励。
安全专家强调,Docker环境仍然是高度吸引攻击者的目标,并敦促组织:避免将Docker服务暴露在互联网上;使用强身份验证和防火墙限制访问;定期审计和监控容器活动;仅从可信来源拉取镜像并扫描恶意软件。
原文链接:
Commvault命令中心发现高危远程代码执行漏洞,可导致系统完全沦陷
安全研究人员近日发现Commvault Command Center Innovation Release存在一个严重安全漏洞(CVE-2025-34028),允许未经身份验证的远程攻击者执行任意代码。该漏洞CVSS评分高达9.0,如被利用可能导致系统完全沦陷。
研究人员指出,这是一个路径遍历漏洞,未授权攻击者可上传恶意ZIP文件,当目标服务器解压这些文件时,可能触发远程代码执行(RCE)。攻击者可以操纵文件路径,从而破坏系统完整性,导致未授权访问和执行恶意命令。
该漏洞影响运行在Linux和Windows平台上的Commvault部署,具体为11.38.0至11.38.19版本。Commvault已在2025年4月10日发布的11.38.20和11.38.25版本中修复了这一问题。根据Commvault的说明,Innovation版本会按预定计划自动管理,大多数组织无需手动干预即可获得更新。
原文链接:
安全漏洞
华硕发布修复程序解决AMI高危漏洞,可致服务器瘫痪
华硕近日发布安全更新,修复了一个最高危险级别漏洞(CVE-2024-54085)。该漏洞影响AMI(American Megatrends International)的MegaRAC基板管理控制器(BMC)软件,这款软件被包括HPE、ASUS和ASRock在内的十多家服务器硬件供应商使用。
攻击者可通过访问远程管理接口(Redfish)或内部主机到BMC接口来利用该漏洞。成功利用后,攻击者能远程控制被入侵的服务器,部署恶意软件,篡改固件,甚至通过过压对主板组件造成不可逆的物理损坏。虽然AMI于2025年3月11日发布了修复公告和补丁,但这些补丁并不能直接应用到最终用户的设备上,受影响的OEM厂商需要时间在其产品上实施这些修复。华硕现已为四款受影响的主板型号发布了相应的修复程序:
- PRO WS W790E-SAGE SE (版本1.1.57)
- PRO WS W680M-ACE SE (版本1.1.21)
- PRO WS WRX90E-SAGE SE (版本2.1.28)
- Pro WS WRX80E-SAGE SE WIFI (版本1.34.0)
鉴于该漏洞的严重性和远程利用的可能性,建议用户尽快通过Web界面进行固件更新,并选择”完全刷新”选项以确保安全。
原文链接:
行业动态
SWE-agent可让大语言模型自主解决GitHub问题
近日,一款名为SWE-agent的开源工具正在改变软件开发领域,它通过将GPT-4o和Claude Sonnet 3.5等强大的语言模型与实际工具连接,使AI能够自主执行复杂任务,包括修复GitHub仓库中的bug、解决网络安全挑战、浏览网页以及执行自定义工作流程。
普林斯顿大学研究软件工程师、SWE-agent联合创始人Kilian Lieret表示,该工具是首个在SWE-bench基准测试中展示显著成果的开源代理,证明了其在解决GitHub问题上的潜力。SWE-agent的独特之处在于其简洁性——在初始提示后,语言模型可以执行任何操作,直到调用”提交”命令或达到成本限制。
值得注意的是,SWE-agent包含一个名为EnIGMA的模式,专为解决网络安全攻防任务而设计,如CTF挑战。在多项基准测试中,EnIGMA位列顶级表现者之列。该模式的许多功能现已整合到完整的SWE-agent工具中,包括调试器、远程服务器连接工具和输出摘要器,这些工具使语言模型能够独立解决复杂问题。SWE-agent已在GitHub上免费提供。
原文链接:
