新闻速览

•增速加快！一季度我国信息安全产品和服务收入481亿元，同比增长8.6%

•因流量欠费，哪吒汽车App和官网一度断网

•特朗普政府使用的加密聊天应用遭黑客攻破

•用户个人数据违规出境？在爱尔兰被罚5.3亿欧元

•英国零售业遭遇网络攻击潮：Harrods成为继玛莎和Co-op后的最新受害者

•黑客”NullBulge”承认窃取迪士尼Slack数据

•沉睡六年的威胁：21个Magento扩展程序后门突然激活

•数十亿美元网络攻击背后的黑手：Golden Chickens推出两款新型恶意软件

•Apache Parquet Java严重安全缺陷允许攻击者执行任意代码

•Trellix推出AI驱动钓鱼模拟器，主动识别和缓解钓鱼攻击

特别关注

增速加快！一季度我国信息安全产品和服务收入481亿元，同比增长8.6%

2025年一季度，我国软件和信息技术服务业运行态势良好，软件业务收入稳健增长，利润总额保持两位数增长，软件业务出口增速由负转正。

一季度，我国软件业务收入31479亿元，同比增长10.6%；软件业利润总额3726亿元，同比增长11.6%；软件业务出口131亿美元，增速由负转正，同比增长2.4%。

其中，信息安全收入增速加快：信息安全产品和服务收入481亿元，同比增长8.6%。

原文链接：

https://mp.weixin.qq.com/s/CWLmR9Sx3fqGYafqIaD3Jw

热点观察

因流量欠费，哪吒汽车App和官网一度断网

近日，哪吒汽车App和官网出现断网故障，导致车主无法远程操控车辆，引发广泛关注。据多位车主反映，从5月2日开始，哪吒汽车App出现无法登录、显示”HTTP 502 Bad Gateway”错误提示，或虽能打开但汽车定位无法更新、无法查看充电和续航信息等问题。同时，官网也无法正常访问。

一位不愿具名的知情人士透露,此次哪吒汽车App出现断网等问题，主要是流量欠费，假期无人看管造成的。这些服务已恢复正常运行。

值得注意的是，这已非哪吒汽车首次出现类似问题。今年1月和4月，哪吒汽车官网和App均曾被曝出现异常。作为曾在2022年以约15.21万辆年销量登顶造车新势力榜首的”黑马”，哪吒汽车自2023年销量大幅下滑后，经营状况持续恶化。2024年10月起，公司被曝出大规模裁员、降薪、拖欠供应商货款和停工停产等负面消息。

原文链接：

https://36kr.com/p/3280515080921218

特朗普政府使用的加密聊天应用遭黑客攻破

曾被特朗普政府官员使用的聊天应用TM SGNL因数据泄露事件暂停运营。此次安全漏洞导致存档消息、政府官员联系信息、后台面板的用户名和密码，以及客户机构信息被黑客获取。

TM SGNL由美以合资公司TeleMessage开发。据报道，一名匿名黑客声称仅用”15-20分钟”就成功入侵了TeleMessage的后台基础设施。受影响的客户包括美国海关与边境保护局(CBP)和加密货币巨头Coinbase，但黑客表示未获取特朗普内阁官员或国家安全顾问Mike Waltz的消息。

软件工程师Micah Lee分析应用源代码后发现严重漏洞，包括硬编码凭证。此前TeleMessage对Signal进行了修改，添加了消息存档功能，这可能是为了满足政府官员的记录保存合规要求。然而，这种修改导致解密后的消息以明文形式存储在TeleMessage的服务器上，成为安全隐患。黑客确认被入侵的正是用于消息存档的Amazon Web Services(AWS)服务器，证实了这一漏洞。Signal发言人重申，该公司”无法保证非官方版Signal的隐私或安全属性”。

此事件引发对政府官员通信工具选择的质疑，尤其是在处理敏感信息和遵守记录保存法规方面，凸显了对政府通信系统进行全面重新评估的必要性。

原文链接：

Chat App Used by Trump Admin Suspends Operation Amid Hack

用户个人数据违规出境？在爱尔兰被罚5.3亿欧元

爱尔兰数据保护委员会(DPC)因TikTok违反欧盟GDPR数据保护法规，非法将欧洲经济区(EEA)用户个人数据传输至中国，对其处以5.3亿欧元(约合6.01亿美元)罚款。

此次罚款包括两部分：因违反GDPR第46(1)条关于数据传输合法性规定被罚4.85亿欧元，以及因违反第13(1)(f)条关于透明度不足被罚4500万欧元。DPC还要求TikTok在六个月内使其数据处理符合规定，否则将暂停所有对中国的数据传输。

DPC副专员Graham Doyle指出，TikTok未能验证、保证并证明中国员工远程访问的EEA用户个人数据得到与欧盟同等水平的保护。TikTok欧洲公共政策与政府关系主管Christine Grahn表示公司不认同DPC的决定，并计划提出上诉，理由是DPC未考虑TikTok新推出的Project Clover数据安全计划。该计划实施了先进的隐私增强技术，确保非限制性数据在中国员工访问前被去识别化。

这是爱尔兰数据保护机构迄今为止施加的第三大罚款，仅次于对亚马逊的7.46亿欧元和对Facebook的12亿欧元罚款。

原文链接：

https://www.bleepingcomputer.com/news/security/tiktok-fined-530-million-for-sending-european-user-data-to-china/

英国零售业遭遇网络攻击潮：Harrods成为继玛莎和Co-op后的最新受害者

英国著名百货公司Harrods近日证实遭遇恶意威胁行为者的网络攻击尝试，成为继玛莎百货和Co-op之后又一家受到攻击的英国零售巨头。

据悉，此次事件发生在上周，促使Harrods采取保护措施，包括限制其实体店铺的互联网访问。尽管如此，Harrods强调其在线商店在5月1日晚间仍正常运营。虽然此次事件导致后台运营调整，但这家奢侈品零售商向客户保证，其位于骑士桥的旗舰店以及H Beauty和机场门店仍正常营业。目前没有迹象表明客户数据遭到泄露。

近期，英国零售业面临一系列网络攻击。玛莎百货遭受的攻击已被归因于复杂黑客组织Scattered Spider，导致其在线业务瘫痪，订单停止，部分实体店货架空空如也，市值大幅下跌。同时，Co-op也成为网络攻击的受害者，实施了严格的内部安全协议，包括在线会议强制使用摄像头以验证参会者身份。

英国国家网络安全中心(NCSC)正积极参与调查，与受影响的组织合作，了解这些事件的性质和潜在联系。

原文链接：

https://hackread.com/uk-luxury-retailer-harrods-by-cyber-attack-ms-co-op/

黑客”NullBulge”承认窃取迪士尼Slack数据

黑客”NullBulge”，一名25岁加州男子Ryan Kramer近日认罪，承认非法访问迪士尼内部Slack频道并窃取超过1.1TB的公司内部数据。

据美国司法部透露，Kramer于2024年初创建了一个恶意程序，在GitHub等平台上将其伪装成AI图像生成工具。这款恶意软件能让Kramer访问安装者的计算机，窃取设备上的数据和密码。据报道，迪士尼员工Matthew Van Andel下载并执行了该程序，从而让Kramer获得了他设备的访问权限，包括存储在1Password密码管理器中的凭证。利用这些被盗凭证，Kramer进入迪士尼的Slack频道，下载了1.1TB的企业数据。

随后，Kramer冒充俄罗斯黑客组织”NullBulge”联系Van Andel，威胁称如不配合，将公开其个人信息和迪士尼被盗的Slack数据。在未收到回应后，NullBulge于2024年7月12日在黑客论坛BreachForums上发帖，标题为”DISNEY INTERNAL SLACK”，声称已入侵迪士尼并泄露了1.1TB的被盗数据。

Kramer已对一项访问计算机并获取信息罪和一项威胁损害受保护计算机罪认罪，每项罪名最高可判处五年联邦监禁。他还承认有另外两人下载了他的恶意软件，FBI正在调查这些额外受害者。

原文链接：

https://www.bleepingcomputer.com/news/security/hacker-nullbulge-pleads-guilty-to-stealing-disneys-slack-data/

网络攻击

沉睡六年的威胁：21个Magento扩展程序后门突然激活

安全研究公司Sansec近日披露，一起大规模的协调供应链攻击已经危及约500至1000家使用Magento平台的电子商务网站，其中包括一家市值400亿美元的跨国公司。攻击者通过在21个Magento扩展程序中植入后门代码实施了这次攻击，并获取电子商务服务器的完全控制权。

研究人员发现，这些恶意代码早在2019年就已被注入，但直到2025年4月才被激活。受影响的扩展程序来自三家供应商：Tigren、Meetanshi和MGS。在所有观察到的案例中，扩展程序都在许可证检查文件中包含了PHP后门。这些恶意代码会检查包含特殊参数”requestKey”和”dataSign”的HTTP请求，并根据PHP文件中的硬编码密钥进行验证。如果验证成功，后门将允许访问文件中的其他管理功能，包括允许远程用户上传新许可证并将其保存为文件。然后，该文件通过”include_once()”PHP函数加载并自动执行上传的许可证文件中的任何代码。

Sansec表示，这个后门被用来向其客户网站上传webshell。鉴于能够上传和运行任何PHP代码，攻击可能导致数据窃取、信用卡窃取器注入、任意管理员账户创建等严重后果。

安全专家建议使用上述扩展程序的用户建议对服务器进行完整扫描，检查Sansec在报告中分享的入侵指标，并尽可能从已知干净的备份中恢复站点。

原文链接： https://www.bleepingcomputer.com/news/security/magento-supply-chain-attack-compromises-hundreds-of-e-stores/

数十亿美元网络攻击背后的黑手：Golden Chickens推出两款新型恶意软件

安全研究人员近期发现，臭名昭著的恶意软件即服务(MaaS)提供商Golden Chickens(又称Venom Spider)在2025年初推出了两款新型恶意软件工具：TerraStealerV2和TerraLogger，旨在窃取用户凭证和加密货币钱包数据。

据Insikt Group的威胁研究人员报告，他们在2025年1月至4月期间发现了与Golden Chickens相关的10个恶意软件样本。其中：•TerraStealerV2主要针对Chrome浏览器的”Login Data”数据库，收集保存的密码和浏览器扩展信息，但目前尚未能绕过Chrome在2024年中引入的应用程序绑定加密(ABE)安全功能。该恶意软件通过Telegram和可疑的文件传输域名wetransfers[.]io将数据外泄，并以多种文件格式(LNK、MSI、DLL和EXE)传播。•TerraLogger则作为独立模块运行，通过设置低级钩子捕获键盘输入并在本地记录。该工具没有数据外泄组件或命令与控制通信功能，可能是设计用于与更复杂工具配合使用的模块化组件。

Golden Chickens在过去七年中建立了作为可靠恶意软件供应商的声誉，其产品曾被FIN6、Cobalt Group和Evilnum等威胁组织使用，造成了全球航空、零售和金融机构数十亿美元的损失。Golden Chickens的工具库还包括VenomLNK、TerraLoader、TerraTV、TerraCrypt、TerraRecon、TerraWiper、more_eggs和Lite_more_eggs等多种恶意软件，曾被用于针对英国航空、Newegg和Ticketmaster UK等高调攻击。

原文链接：

https://cybernews.com/security/golden-chickens-new-malware-steal-passwords/

安全漏洞

零点击漏洞威胁旧版Windows：Telnet服务器认证可被完全绕过

研究人员最近发现一个影响微软Telnet服务器的严重漏洞。该漏洞允许攻击者完全绕过身份验证，无需有效凭据即可获得管理员访问权限。这个被指定为零点击的漏洞无需用户交互，可远程利用。

漏洞存在于Telnet MS-TNAP（微软Telnet认证协议）扩展的NTLM认证过程中的配置错误。受影响系统包括从Windows 2000到Windows Server 2008 R2的旧版微软操作系统。虽然这些系统相对较旧，但许多组织仍在使用它们运行遗留应用程序或基础设施。

技术上，漏洞源于认证握手过程中SSPI（安全支持提供程序接口）标志配置不当。服务器使用SECPKG_CRED_BOTH标志初始化NTLM安全，并使用带有ASC_REQ_DELEGATE和ASC_REQ_MUTUAL_AUTH标志的AcceptSecurityContext()，这种组合允许攻击者颠倒认证关系。

目前微软尚未发布补丁，安全专家建议采取以下措施降低风险：•立即禁用所有受影响系统上的Telnet服务器服务；•使用SSH等更安全的替代方案进行远程管理；•实施网络过滤，限制只有受信任网络才能访问Telnet；•部署应用程序控制，防止未授权的Telnet客户端连接。

原文链接：

Critical Microsoft Telnet 0-Click Vulnerability Exposes Windows Credentials

Apache Parquet Java严重安全缺陷允许攻击者执行任意代码

近日，Apache Parquet Java中一个严重安全缺陷被披露，该缺陷可能允许攻击者通过精心构造的Parquet文件执行任意代码，影响Apache Parquet Java 1.15.1及之前的所有版本。

Apache Parquet是一种广泛应用于大数据生态系统中的列式存储文件格式，常与Apache Hadoop、Spark和Flink等处理框架配合使用。该安全缺陷存在于parquet-avro模块中，该模块负责处理嵌入在Parquet文件元数据中的Avro模式。该缺陷特别针对使用”specific”或”reflect”模型读取Parquet文件的应用程序。对于可能从不受信任来源摄取Parquet文件的数据处理管道，这一缺陷尤其令人担忧。

使用Apache Parquet Java的parquet-avro模块从Parquet文件反序列化数据的应用程序，如果处理不受信任的文件，存在远程代码执行的风险。该缺陷源于反序列化过程中Avro模式的处理方式，可能允许攻击者注入在模式解析期间被执行的恶意代码。

Apache Parquet团队于2025年5月1日发布了版本1.15.2，完全解决了该漏洞。用户有两种推荐的修复选项：•升级到Apache Parquet Java 1.15.2；•对于无法立即升级但运行1.15.1版本的用户，将系统属性org.apache.parquet.avro.SERIALIZABLE_PACKAGES设置为空字符串。

原文链接： https://cybersecuritynews.com/apache-parquet-java-vulnerability/

行业动态

Trellix推出AI驱动钓鱼模拟器，主动识别和缓解钓鱼攻击

Trellix近日发布了新一代钓鱼模拟器(Phishing Simulator)，为组织提供针对当今最持久威胁之一的强化防御能力。该解决方案使安全团队能够通过逼真的模拟识别员工漏洞，同时提供有针对性的培训干预以降低风险。

这款钓鱼模拟器作为Trellix电子邮件安全云服务(Email Security – Cloud)的配套产品，为安全管理员提供了一套强大的工具包，用于创建真实的钓鱼场景、提供个性化培训并跟踪员工进步。Trellix钓鱼模拟器的核心是其复杂的人工智能引擎，利用大型语言模型(LLMs)和生成式AI，基于Trellix客户群中观察到的当前威胁创建高度逼真的钓鱼模板。该平台支持多种攻击载体，包括商业电子邮件入侵、二维码钓鱼(quishing)和针对高管的鲸钓(whaling)活动。

当员工与模拟钓鱼尝试互动时，系统通过交互式登录页面提供即时教育反馈，突出显示钓鱼内容中的特定危险信号，帮助员工将理论知识与日常工作流程中可能遇到的真实示例联系起来，从而发展实用的识别技能。

原文链接：

Trellix Unveils New Phishing Simulator to Proactively Identify & Mitigate Phishing Attacks