新闻速览

•《2025年提升全民数字素养与技能工作要点》印发，提出营造安全有序数字环境

•全球能源巨头成为目标：揭秘”电力寄生虫”多语言钓鱼攻击

•教育云遭遇重创：黑客利用AzureChecker部署加密货币挖矿容器

•网络犯罪新模式：ToyMaker为勒索软件团伙提供双重勒索攻击入口

•普莱德科技工业设备发现多个严重安全漏洞，可导致设备被完全控制

•Rack Ruby发现三个严重漏洞，严重漏洞可能泄露敏感信息

•PoC攻击暴露Linux安全工具核心设计缺陷

•工业VPN安全警报：IXON客户端漏洞允许攻击者获取系统最高权限

特别关注

《2025年提升全民数字素养与技能工作要点》印发，提出营造安全有序数字环境

近日，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2025年提升全民数字素养与技能工作要点》（以下简称《工作要点》）。

《工作要点》指出，要坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大和二十届二中、三中全会精神，进一步健全数字人才培育体系，拓展数字经济增长空间，构建普惠包容数字社会，打造智慧便捷数字生活，营造安全有序数字环境，完善协同联动工作格局，不断夯实新质生产力发展的人力资源基础，助力我国人口高质量发展。

《工作要点》明确了工作目标：到2025年底，我国全民数字素养与技能发展水平再上新台阶，数字素养与技能培育体系基本建成，数字资源供给能力显著增强，数字人才队伍进一步壮大，劳动者数字工作能力明显提高，群体间数字技能鸿沟不断缩小，数字发展环境更加普惠包容，数字生活智慧便捷，网络空间安全有序，数字法治道德伦理水平持续提升。

《工作要点》部署了6个方面16项重点任务。一是健全数字人才培育体系，包括培养复合型人工智能人才、完善高水平人才培育体系、壮大应用型技能人才队伍、增强劳动者数字工作能力。二是拓展数字经济增长空间，包括释放数字消费潜力、激发企业数字动能。三是构建普惠包容数字社会，包括推进数字助老助残行动、促进教学资源开放共享、实施数字公益志愿项目。四是打造智慧便捷数字生活，包括强化人工智能应用赋能、丰富新型数字应用场景。五是营造安全有序数字环境，包括健全人工智能治理机制、强化法治道德规范意识、筑牢网络安全防护屏障。六是完善协同联动工作格局，包括深化多方协作机制、加强国际交流合作。

原文链接：

https://mp.weixin.qq.com/s/PTjEIJu5c1EAJ1u-D6oYug

网络攻击

全球能源巨头成为目标：揭秘”电力寄生虫”多语言钓鱼攻击

近日发布的一份全面威胁报告显示，复杂钓鱼活动”Power Parasites”（电力寄生虫）自2024年以来一直活跃。这一持续的攻击活动主要利用西门子能源、施耐德电气、法国电力集团、雷普索尔和森科能源等知名能源公司的名称和品牌，通过精心设计的投资诈骗和虚假工作机会进行欺诈。

攻击者建立了一个由超过150个活跃域名组成的庞大网络，这些域名被设计用来冒充合法公司，主要针对孟加拉国、尼泊尔和印度等亚洲国家的个人。攻击者通过欺骗性网站、社交媒体群组和Telegram频道出击受害者，并使用本地化内容以提高有效性。Silent Push研究人员发现，威胁行为者采用”广撒网”方法，同时滥用多个品牌名称并部署众多网站以最大化受害者覆盖范围。

感染途径主要涉及两种不同的社会工程学方法：投资诈骗变体通过假冒能源公司支持的虚假投资平台，诱使受害者提供敏感的个人和财务信息；而就业诈骗变体则以知名企业的虚假就业机会吸引受害者，要求申请人在”入职”过程中提供银行账户详细信息、身份证件和空白支票。

原文链接：

New Power Parasites Phishing Attack Targeting Energy Companies and Major Brands

教育云遭遇重创：黑客利用AzureChecker部署加密货币挖矿容器

微软威胁情报团队近日披露，威胁行为者Storm-1977在过去一年中对教育领域的云租户实施了密码喷洒攻击，部署容器进行非法加密货币挖矿活动。

攻击者主要使用AzureChecker.exe这一命令行工具。该工具连接到外部服务器”sac-auth.nodefunction.vip”获取AES加密数据，包含密码喷洒攻击目标列表。同时，该工具接受名为”accounts.txt”的文本文件作为输入，其中包含用于实施攻击的用户名和密码组合。在一次成功的账户入侵案例中，攻击者利用来宾账户在被入侵的订阅中创建了资源组，随后在该资源组内部署了200多个容器，最终目的是进行非法加密货币挖矿活动。

微软指出，Kubernetes集群、容器注册表和镜像等容器化资产容易受到多种攻击，包括利用被入侵的云凭证接管集群、利用存在漏洞的容器镜像执行恶意操作、利用配置错误的管理接口访问Kubernetes API等。

为防范此类攻击，微软建议组织加强容器部署和运行时安全，监控异常的Kubernetes API请求，配置策略防止从不受信任的注册表部署容器，并确保部署的容器镜像无漏洞。

原文链接：

https://thehackernews.com/2025/04/storm-1977-hits-education-clouds-with.html

网络犯罪新模式：ToyMaker为勒索软件团伙提供双重勒索攻击入口

网络安全研究人员近期披露了初始访问代理商(IAB) ToyMaker的活动，该组织向CACTUS等实施双重勒索的勒索软件团伙提供系统访问权限。

ToyMaker被认为是一个以财务利益为动机的威胁行为者，主要通过扫描易受攻击的系统并部署自定义恶意软件LAGTOY(又称HOLERUN)来获取初始访问权限。Cisco Talos研究人员指出，LAGTOY可用于创建反向shell并在受感染的终端上执行命令。ToyMaker利用大量已知的面向互联网应用程序安全漏洞获取初始访问权限，随后在一周内进行侦察、凭证收集和LAGTOY部署。攻击者还会打开SSH连接下载名为Magnet RAM Capture的取证工具，以获取机器内存转储，可能是为了收集受害者的凭证。

LAGTOY设计为联系硬编码的命令与控制(C2)服务器，获取命令并在终端上执行。它能够处理来自C2服务器的三个命令，每个命令之间有11000毫秒的休眠间隔。

Talos表示：”在大约三周的活动停滞后，我们观察到CACTUS勒索软件组织利用ToyMaker窃取的凭证进入受害企业。”研究人员认为，基于相对较短的驻留时间、缺乏数据窃取以及随后向CACTUS的移交，ToyMaker不太可能有任何间谍动机或目标。

原文链接：

https://thehackernews.com/2025/04/toymaker-uses-lagtoy-to-sell-access-to.html

安全漏洞

普莱德科技工业设备发现多个严重安全漏洞，可导致设备被完全控制

网络安全公司Immersive近日发现中国台湾IP网络产品制造商普莱德科技的网络管理工具和工业交换机存在多个严重安全漏洞，这些漏洞可能允许攻击者完全控制所有受管理的网络设备。

这些问题存在于普莱德科技的网络管理系统（用于远程监控众多Planet设备）和工业交换机（特别是WGS-80HPT-V2和WGS-4215-8T2S型号）中。发现的主要漏洞包括：

• CVE-2025-46271：网络管理系统中的预认证命令注入漏洞，允许完全控制；
• CVE-2025-46274：网络管理系统中硬编码的、可远程访问的Mongo数据库凭据；
• CVE-2025-46273：网络管理系统与受管设备之间的硬编码通信凭据；
• CVE-2025-46272：工业交换机中的后认证命令注入漏洞，授予root访问权限；
• CVE-2025-46275：工业交换机中的认证绕过漏洞，允许未授权配置修改。

研究人员还发现网络管理系统存在隐藏的默认用户名和密码（如MQTT的”client:client”和MongoDB的”planet:123456″），攻击者可利用这些凭据查看网络上的所有活动并更改设备配置。

Immersive已与CISA分享了他们的发现，后者协助联系了普莱德科技。该公司现已发布软件更新（补丁）修复这些问题。CISA建议所有使用这些普莱德科技产品的用户尽快采取措施保护其网络。

原文链接：

https://hackread.com/planet-technology-industrial-switch-flaws-full-takeover/

PoC攻击暴露Linux安全工具核心设计缺陷

云和Kubernetes安全公司Armo近日发布了一个名为”Curing”的概念验证(PoC)rootkit，成功绕过了多款主流Linux运行时安全工具，揭示了当前Linux安全产品的设计局限性。

该PoC利用Linux内核接口io_uring（自Linux 5.1版本引入）实现绕过。研究人员测试了三款主流安全工具：Falco、Tetragon和Microsoft Defender。测试结果显示，Falco完全无法检测Curing，Defender既无法检测Curing也无法检测其他常见恶意软件，而Tetragon仅在使用Kprobes和LSM钩子（非默认配置）时才能检测io_uring活动。

安全研究人员指出，这些工具的共同问题在于过度依赖基于eBPF的代理来监控系统调用，而系统调用功能并不总是有效。io_uring接口允许用户应用程序在不使用系统调用的情况下执行各种操作，通过环形缓冲区提交多个I/O请求到内核。这种机制虽然提高了异步I/O性能，但也成为了安全盲点，自引入以来已出现多个CVE级别的漏洞。

尽管io_uring技术的安全风险已被记录至少两年，但Linux安全领域的供应商尚未对此危险做出充分反应。该公司呼吁安全解决方案应具备前向兼容性，能够应对Linux内核中的新特性和新技术。

原文链接：

https://www.csoonline.com/article/3971170/proof-of-concept-bypass-shows-weakness-in-linux-security-tools-claims-israeli-vendor.html

Rack Ruby发现三个严重漏洞，严重漏洞可能泄露敏感信息

研究人员近期发现Ruby服务器接口Rack存在三个严重漏洞，该接口被大多数Ruby Web应用框架使用，包括Ruby on Rails、Sinatra、Hanami和Roda等。

其中两个漏洞(CVE-2025-25184和CVE-2025-27111)可能允许攻击者操纵日志内容和条目，而第三个漏洞(CVE-2025-27610)是一个路径遍历漏洞，可能允许攻击者未经授权访问敏感信息。其中，CVE-2025-27610最为严重。该漏洞存在于Rack::Static中间件中，该中间件用于在Ruby Web应用程序中提供静态文件和内容。

研究人员开发了一个使用Rack 3.1.10版本的Ruby Web应用程序，证明在应用程序未明确定义root:选项的情况下，未经身份验证的攻击者可以访问指定静态文件目录之外的文件。这些文件可能包括配置文件、凭据和其他机密数据，但攻击者必须能够确定这些文件的路径。

Rack在全球拥有超过10亿次下载，这凸显了其在Ruby开发生态系统中的重要作用。这三个漏洞已经修复，建议开发人员将其Ruby应用程序中使用的Rack版本升级到已修补版本：2.2.13或更高版本、3.0.14或更高版本，或3.1.12或更高版本。或者，可以通过移除Rack::Static的使用或确保root:指向只包含应公开访问的文件的目录路径来缓解CVE-2025-27610。而CVE-2025-27111则可以通过消除Rack::Sendfile中间件的使用来缓解。

原文链接：

Rack Ruby vulnerability could reveal secrets to attackers (CVE-2025-27610)

工业VPN安全警报：IXON客户端漏洞允许攻击者获取系统最高权限

安全研究机构Shelltrail最近在IXON VPN客户端中发现了三个严重安全缺陷，可能允许攻击者在Windows和Linux系统上提升权限。

IXON是一家荷兰工业远程访问解决方案提供商，其VPN客户端作为Linux上的root级systemd服务和Windows上的NT Authority\SYSTEM运行，同时在https://localhost:9250上运行本地Web服务器 。

其中一个缺陷影响Linux系统。该缺陷源于VPN客户端将OpenVPN配置文件临时存储在可预测的/tmp/vpn_client_openvpn_configuration.ovpn位置。研究人员发现，攻击者可以通过使用mkfifo命令在此路径创建命名管道(FIFO)来阻止VPN客户端并注入恶意OpenVPN配置。这种配置可以包含如tls-verify和script-security 2等命令，从而实现root级代码执行。

还有一个缺陷影响Windows系统，VPN客户端同样将其OpenVPN配置存储在C:\Windows\Temp目录中，标准用户可以在该目录中创建具有完全权限的文件和文件夹。通过利用竞争条件，攻击者可以使用PowerShell脚本反复覆盖临时配置文件，实现SYSTEM级代码执行。与Linux不同，此方法不需要成功的VPN连接，使其特别强大。

IXON已在VPN客户端1.4.4版本中解决了权限提升漏洞，修复方法是将临时OpenVPN配置重新定位到只有高权限用户才能访问的目录。

原文链接：

Critical IXON VPN Vulnerabilities Let Attackers Gain Access to Windows & Linux Systems