新闻速览

•工信部CSTIS提醒：防范WinRAR安全绕过漏洞的风险

•第一季度159个CVE遭到野外利用，近三成漏洞24小时内被武器化

•仅2000美元被叫卖？黑客论坛BreachForums第四次重启惨遭失败

•TikTok被曝遭入侵，超90万用户凭证疑被泄露

•美国耶鲁健康系统或遇今年最大医疗隐私泄露事件，超550万患者信息恐被窃取

•DragonForce推出全新联盟模式, 勒索软件白标服务引发安全忧虑

•SAP紧急修复NetWeaver满分零日漏洞，已遭黑客积极利用

•警惕：新型“Inception”越狱攻击突破主流AI安全防线

•三六零发布2024年报，营收下降12.23%，安全业务营收降27.06%

特别关注

工信部CSTIS提醒：防范WinRAR安全绕过漏洞的风险

工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）4月27日通过微信公众号发布《关于防范WinRAR安全绕过漏洞的风险提示》 ，指出监测发现，WinRAR存在安全绕过高危漏洞。

WinRAR是德国RARLAB公司开发的压缩文件管理工具，广泛用于数据压缩、备份和文件传输。由于WinRAR在解析包含符号链接的文件时会绕过Windows内置的“网页标记”（MoTW）安全机制，攻击者可构造恶意链接诱导用户点击，导致恶意代码执行等危害。受影响版本为WinRAR＜7.11。

目前WinRAR官方已修复漏洞并发布软件更新公告（https://www.win-rar.com/features.html?&L=0），CSTIS 建议相关单位和用户立即开展全面排查，及时升级至最新安全版本，避免点击不明链接，防范网络安全风险。

原文链接：

https://mp.weixin.qq.com/s/BQxqn88VNRJHTwoMGmVANA

热点观察

第一季度159个CVE遭到野外利用，近三成漏洞24小时内被武器化

2025年第一季度，网络安全研究人员记录到漏洞利用活动的惊人增长，共有159个通用漏洞和暴露(CVE)在野外被利用。这一数据反映了恶意行为者持续快速武器化新披露漏洞的令人担忧趋势。

数据显示，28.3%的漏洞在CVE披露后仅一天内就被利用，表明防御者实施补丁以防系统被入侵的时间窗口正在缩小。漏洞利用活动呈现季节性模式，1月开始缓慢，2月和3月显著加速。特别令人担忧的是，25.8%的已知被利用漏洞(KEV)仍在等待或正在接受NIST国家漏洞数据库的分析，这为试图优先修复的安全团队带来了额外挑战。

攻击者特别关注面向互联网的系统和终端用户可访问的系统。内容管理系统(CMS)以35个被利用的漏洞位居榜首，其次是网络边缘设备(29个)、操作系统(24个)，开源软件和服务器软件各有14个。这种分布模式揭示了攻击者倾向于针对具有广泛攻击面和潜在高价值数据的系统。

Microsoft Windows仍然是最受攻击的平台，有15个被利用的漏洞，其次是Broadcom VMware(6个)、Cyber PowerPanel(5个)和Litespeed Technologies(4个)。攻击技术频繁利用未修补的系统，攻击者创建复杂的恶意负载以利用这些安全漏洞。

原文链接：

159 CVEs Exploited in The Wild in Q1 2025, 8.3% of Vulnerabilities Exploited Within 1-Day

仅2000美元被叫卖？黑客论坛BreachForums第四次重启惨遭失败

黑客论坛BreachForums的最新所有者Anastasia宣布放弃重启该论坛（这将是第四次重启尝试），并以仅2000美元的价格出售BF的数据库和源代码，同时声称FBI再次查封了该网站。

自2023年其创始人兼管理员Pompompurin被捕以来，BreachForums一直在不同管理员的领导下挣扎求存。Anastasia曾向媒体宣布该网站将于上周四（4月24日）恢复运营。然而，就在重启宣言发布后几小时内，黑客组织Dark Storm Team再次对该网站发动DDoS攻击，这已是一周内第二次将其攻击下线。周四，Anastasia在网站上发布消息称他们已经受够了这些纷争，接受BreachForums最终消亡的命运。

网站上的声明写道：”BreachForums.ST被查封！IntelBroker和Shiny被捕。FBI将很快发布公告！我（Anastasia）辞职并认为BF永远关闭，不想再玩了。我出售完整备份数据库（2025年4月10日）+源代码。如果你想购买请联系我：[地址] 价格：2,000美元。”

媒体分析，这个声明不仅拼写、语法错误多，而且信息多处存疑，更何况黑客之间无信誉可言，不可完全相信最新BreachForums公告中的任何内容。

原文链接：

https://cybernews.com/cybercrime/breachforums-back-fbi-seizure-owner-sells-database-source-code-dark-storm-/

网络攻击

TikTok被曝遭入侵，超90万用户凭证疑被泄露

黑客组织R00TK1T近日宣称对TikTok实施了大规模数据入侵，据称泄露了超过90万用户的账号凭证。该组织表示已公开发布了927,000条TikTok用户记录作为“漏洞证明”。网络安全专家表示，如果得到验证，这将代表该平台面临的一次重大安全事件。

据称，此次泄露的信息包含用户名、密码以及可能来自平台后端系统的其他敏感账户详情。黑客组织将这次数据泄露描述为“即将到来的事情的一小部分”，并威胁称“下一阶段将打击更猛，暴露他们最深的秘密并摧毁他们的系统”。R00TK1T在一个知名暗网论坛上发帖称，他们此前曾警告ByteDance和TikTok存在安全漏洞，但遭到忽视。黑客声称他们访问了一个不安全的云服务器，其中包含用户凭证和平台代码。虽然确切的攻击途径尚未确认，但TikTok之前的漏洞据称包括不安全的API端点和不充分的服务器端验证协议。

截至发稿时，TikTok尚未对这些具体指控做出官方回应。此前该公司曾否认类似的入侵声明，表示其安全团队在系统中未发现安全漏洞的证据。安全专家建议TikTok用户立即采取预防措施：更改密码、启用双因素认证、监控账户可疑活动，并警惕利用泄露数据进行的潜在钓鱼尝试。

原文链接：
https://cybernews.com/security/tiktok-hack-passwords/

美国耶鲁健康系统或遇今年最大医疗隐私泄露事件，超550万患者信息恐被窃取

美国耶鲁纽黑文健康系统(YNHHS，Yale New Haven Health)近日通知超过550万人，他们的个人隐私信息可能在上个月的网络入侵事件中被不法分子窃取。

YNHHS隶属于耶鲁大学和耶鲁医学院，是康涅狄格州最大的医疗服务提供商。3月11日，该机构披露遭遇网络安全事件，并警告患者和员工可能会因几天前发生的IT系统入侵而遇到现场电话、互联网和应用程序连接问题。YNHHS随即聘请了Google旗下Mandiant的事件响应团队进行调查，确认确实发生了网络攻击，并通知了联邦机构和执法部门。根据其网站上的后续通知，入侵者窃取了部分患者数据，可能包括社会安全号码、人口统计信息、患者类型和医疗记录号码。该医疗机构于4月14日开始向受影响的患者发送通知信函，并最近向美国卫生与公众服务部民权办公室披露，将有5,556,702人收到这些信函。这使其成为今年最大的医疗隐私泄露事件之一，甚至可能是最大的一次。

尽管官方声明未提供有关攻击者如何入侵网络、是否加密了医院文件以及是否要求支付赎金的详细信息，但聘请Mandiant这样的顶级事件响应团队以及通知联邦当局和警方的行动表明，这是一起严重事件。对于社会安全号码被盗的个人，YNHHS正提供免费的信用监控和身份保护服务。

原文链接：

https://www.theregister.com/2025/04/24/yale_new_haven_health_breach/

DragonForce推出全新联盟模式, 勒索软件白标服务引发安全忧虑

DragonForce勒索软件组织正在重塑勒索软件行业格局，推出一种创新的分布式品牌联盟模式，允许其他勒索软件即服务(RaaS)运营商在不必承担基础设施维护成本和精力的情况下开展业务。

根据最新报道，DragonForce自称为“勒索软件卡特尔”，仅收取赎金的20%作为服务费，低于行业通常的30%标准。在这一模式下，合作伙伴可获得完整基础设施访问权限，并能以自己的品牌使用DragonForce加密工具。该组织在3月宣布这一“新方向”，表示合作伙伴可以“在已被验证的合作伙伴支持下创建自己的品牌”。DragonForce的目标是管理“无限品牌”，可针对ESXi、NAS、BSD和Windows系统发起攻击。DragonForce表示，他们的结构类似于一个市场，威胁行为者可以选择使用DragonForce品牌或自有品牌部署攻击。这使得合作伙伴无需处理数据泄露站点和谈判站点的运营、恶意软件开发或赎金谈判等繁琐工作。

网络安全公司Secureworks的研究人员指出，DragonForce的模式可能吸引更广泛的合作伙伴，包括技术能力较弱的威胁行为者，甚至是高级威胁组织。目前，新兴勒索软件组织RansomBay和多家知名勒索软件团伙据称已经加入DragonForce的服务模式。

原文链接：

https://www.bleepingcomputer.com/news/security/dragonforce-expands-ransomware-model-with-white-label-branding-scheme/

SAP紧急修复NetWeaver满分零日漏洞，已遭黑客积极利用

SAP发布了紧急补丁，修复NetWeaver Visual Composer中一个疑似被积极利用的远程代码执行(RCE)零日漏洞（CVE-2025-31324）。该漏洞CVSS评分为10.0（最高危级别），存在于Metadata Uploader组件中。

这一漏洞允许攻击者在无需登录的情况下上传恶意可执行文件，可能导致远程代码执行和系统完全沦陷。安全公司ReliaQuest报告称，多个客户通过SAP NetWeaver上的未授权文件上传被入侵，攻击者将JSP网页后门上传到可公开访问的目录中。这些上传的文件使攻击者能够通过简单的GET请求执行远程代码，实现命令执行、文件管理等操作。在后渗透阶段，攻击者部署了”Brute Ratel”红队工具、”Heaven’s Gate”安全绕过技术，并将MSBuild编译的代码注入dllhost.exe以实现隐蔽操作。

该漏洞影响Visual Composer Framework 7.50，安全专家建议立即应用最新补丁。对于无法立即应用更新的用户，建议限制对/developmentserver/metadatauploader端点的访问，如果不使用Visual Composer，考虑完全关闭它，并将日志转发到SIEM并扫描servlet路径中的未授权文件。

原文链接：

https://www.bleepingcomputer.com/news/security/sap-fixes-suspected-netweaver-zero-day-exploited-in-attacks/

安全漏洞

警惕：新型“Inception”越狱攻击突破主流AI安全防线

研究人员近期发现两种新型AI越狱技术，暴露了当前主流生成式AI服务的系统性安全漏洞，受影响的平台包括OpenAI的ChatGPT、Google的Gemini、Microsoft的Copilot、DeepSeek、Anthropic的Claude、X的Grok、MetaAI和MistralAI。

其中，第一种，”Inception”的技术利用嵌套虚构场景逐步侵蚀AI的伦理边界，通过让AI进行角色扮演并在多轮对话中维持上下文，诱导模型生成违反其伦理和法律准则的内容。第二种技术则通过询问AI如何不应回应特定请求，从而获取有关其内部防护机制的信息，然后在常规和非法提示之间交替，利用AI的上下文记忆绕过安全检查。

CERT咨询报告指出，这两种方法都依赖于AI的基本设计、助人本能、上下文维持能力以及对语言和场景框架微妙操纵的敏感性。通过绕过安全措施，攻击者可以指示AI系统生成与受控物质、武器、钓鱼邮件、恶意软件和其他非法活动相关的内容。虽然每种越狱技术单独来看严重性可能较低，但漏洞的系统性本质显著增加了风险。有动机的威胁行为者可以利用这些弱点大规模自动创建有害内容，潜在地使用合法AI服务作为掩盖其活动的代理。

原文链接：

New Inception Jailbreak Attack Bypasses ChatGPT, DeepSeek, Gemini, Grok, & Copilot

行业动态

三六零发布2024年报，营收降12.23%，安全业务营收降27.06%

三六零安全科技股份有限公司（股票代码：601360）于4月26日发布2024年年度报告。年报显示，报告期内，该公司实现营业收入79.48亿元，同比下降12.23%；归属于上市公司股东的净利润为 -10.94亿元，亏损进一步扩大；其中，安全及其他业务收入为12.87亿元，同比下降 27.06%。

根据年报，报告期内，公司通过“360 安全云”将服务国家的能力云化，开放给城市和企业，以“安全即服务”理 念推动安全行业变革，助力国家、城市、行业、企事业单位数字化转型。同时，基于“以模制模” 的理念，公司将大模型与安全结合，发布 360 安全大模型，致力于实现大模型普惠和安全行业新 质生产力变革。360 安全云已入选工信部“网络安全技术应用试点示范项目”，截至目前，已服务多家中小企 业、教育机构、政府单位及特殊职能机构。同时，公司与各地市政府合作搭建数字安全的公共服务平台，落地超 20 个大中型城市，涵盖四大直辖市和部分省会城市。

原文链接：
http://www.cninfo.com.cn/new/disclosure/detail?stockCode=601360&announcementId=1223325025&orgId=9900021962&announcementTime=2025-04-26