嘶吼

名为“Midnight Blizzard”的间谍组织发起了一场新的鱼叉式网络钓鱼活动，目标是欧洲的外交机构，包括大使馆。

“Midnight Blizzard”，又名“APT29”，是一个与俄罗斯对外情报局（SVR）有关的国家支持的网络间谍组织。

据Check Point Research称，新的攻击活动引入了一种以前未见过的恶意软件加载程序“GrapeLoader”，以及一种新的“WineLoader”后门。

恶意软件泛滥

这次网络钓鱼活动始于2025年1月，以一封从bakenhof （bakenhof）发送的欺骗外交部的电子邮件开始。com‘或’silry '。]com，邀请收件人参加品酒活动。

该电子邮件包含一个恶意链接，如果满足受害者目标条件，则触发下载ZIP归档文件（wine.zip）。如果不是，它会将受害者重定向到合法的外交部网站。

该存档文件包含一个合法的PowerPoint可执行文件（wine.exe），一个程序运行所需的合法DLL文件，以及恶意的GrapeLoader有效载荷（ppcore.dll）。

恶意软件加载程序通过DLL侧加载执行，它收集主机信息，通过Windows注册表修改建立持久性，并联系命令和控制（C2）来接收它在内存中加载的shellcode。

grapheloader执行链

GrapeLoader可能会取代之前使用的第一级HTA加载器RootSaw，它更隐蔽、更复杂。

Check Point强调其使用“PAGE_NOACCESS”内存保护和通过“ResumeThread”运行shellcode之前的10秒延迟，以隐藏反病毒和EDR扫描仪的恶意有效负载执行。

隐身的内存负载执行

GrapeLoader在这次活动中的主要任务是秘密侦察和交付WineLoader，它以木马化的VMware Tools DLL文件的形式到达。

一个后门

WineLoader是一个模块化的后门程序，可以收集详细的主机信息并促进间谍活动。

收集的数据包括：IP地址、运行进程名、Windows用户名、Windows机器名、进程ID、特权级别。

被盗的主机数据结构

这些信息可以帮助识别沙箱环境，并评估投放后续有效载荷的目标。

在最新的APT29活动中发现的新变体使用RVA复制，导出表不匹配和垃圾指令严重混淆，使其更难进行逆向工程。

解包程序比较

Check Point指出，与旧版本相比，新的WineLoader变体中的字符串混淆起着关键的反分析作用。

研究人员解释，以前像FLOSS这样的自动化工具可以很容易地从未包装的WINELOADER样本中提取和消除混淆字符串。新版本的改进实现破坏了这一过程，使自动字符串提取和去混淆失败。

由于该活动具有高度针对性，并且恶意软件完全在内存中运行，Check Point无法检索WineLoader的完整第二阶段有效载荷或额外插件，因此其功能的全部范围或每个受害者的定制性质仍然模糊。

Check Point的研究结果表明，APT29的战术和工具集不断发展，变得更加隐蔽和先进，需要多层防御和提高警惕来发现和阻止。

4月13日至16日，备受瞩目的第二届“香港世界青年科学大会”暨2025“香江诺贝论坛”在香港举行。这场全球顶尖科技盛会吸引了8位诺贝尔奖和图灵奖得主、40位海内外院士以及众多世界顶尖科学家和青年科技人才，共同聚焦大数据、人工智能、生物科技等前沿科技议题，探讨科技创新赋能高质量发展的未来路径。

作为京津冀地区新型网络安全科创力量的杰出代表，盛邦安全受邀参会。集团高级副总裁方伟在京津冀粤港澳青年创科论坛的智慧城市圆桌论坛中，分享了网络安全在智慧城市发展中的关键作用。

方伟详细介绍了盛邦安全在物联网、大数据、云计算与人工智能等新兴技术场景下的安全挑战与创新实践。他指出，随着智慧城市的快速发展，网络安全的重要性愈发凸显。盛邦安全凭借持续的技术创新，在卫星互联网安全、低空通信安全、传统安全和场景安全等领域展现出卓越的技术能力，通过融合多领域技术优势，为智慧城市的发展筑牢了坚实的网络安全防线。

方伟表示，京津冀地区与粤港澳地区在科技创新方面各具优势，双方的合作将为网络安全领域带来全新机遇。盛邦安全期待通过与粤港澳地区的深度交流与联动，共同推动网络安全技术的发展，助力粤港澳地区在智慧城市建设和科技创新中取得更大突破。

以技术创新筑牢智慧城市网络安全防线

此次大会不仅是科技领域的盛会，更是全球青年科技人才、顶尖科技力量深度对接、交流与合作的绝佳平台。未来，盛邦安全将积极拓展与粤港澳地区的合作，携手更多伙伴，探索网络安全在智慧城市中的创新应用，开拓网络安全发展与科技创新的更多优秀实践。

原文链接

一、前言

本文主要分享一些我们最近对iDirect设备的研究，篇幅较长，我们公开了部分研究成果，也希望更多对卫星网络安全研究感兴趣的读者能加入这个新赛道。

二、事件回顾

2.1 事件概况

2025年3月18日，黑客组织Lab Dookhtegan（又称“Read My Lips”）宣称对伊朗两大国有航运公司—伊朗国家油轮公司（NITC）和伊斯兰共和国航运公司（IRISL）的116艘船只发动大规模网络攻击，导致油轮的卫星通信系统全面瘫痪。此次攻击正值美国对也门胡塞武装发动军事打击之际，被外界视为针对伊朗地区代理人的“数字报复”。

此次攻击主要针对船舶的卫星通信系统，导致船上和陆地间的通信中断，该组织利用Shodan等互联网搜索工具扫描并锁定了暴露在互联网上的iDirect卫星通信终端，通过默认口令获取终端root权限。攻击者随后部署自动攻击脚本，利用终端自带的dd指令擦除存储器，导致终端系统无法正常工作。

本次攻击事件的技术复杂度表明，这绝非普通黑客组织所能独立完成，背后可能存在国家行为体的间接支持。Lab Dookhtegan 在Telegram上表示，发起这项行动是为了配合美国对也门胡塞武装的袭击，这两家公司负责向胡塞武装供应弹药。根据技术分析，此次攻击手法与2022年2月针对Viasat卫星网络的攻击高度相似，同样利用了设备弱口令和系统版本陈旧(2020年版本)的安全缺陷，反映了卫星通信设备面临的普遍安全挑战。

2.2 冲突焦点

在此次事件中，美国ST Engineering iDirect公司的iDirect卫星调制解调器成为攻击者的核心目标。作为船舶与外界通信的关键桥梁，iDirect卫星调制解调器在船只远离陆地时提供可靠的高带宽通信链路。这些设备采用"星状网"拓扑结构，通过Ka或Ku波段与地球同步轨道卫星相连，形成覆盖全球海域的通信网络，在伊朗海事领域有大量部署。iDirect卫星调制解调器存在默认口令（root,P@55w0rd!），一般用户不会主动修改该密码导致默认口令的风险存在。另一方面，系统版本的陈旧也增加了较大风险，通过此次事件获取到的信息，该设备系统为2020年版本，OpenSSH等关键服务版本老旧，主要由于设备厂商较少提供系统更新服务导致，这些脆弱性与设备厂商缺乏持续更新支持直接相关，造成"技术债务"不断积累。

从功能角度看，这些卫星终端负责船舶的互联网接入、远程监控、船员通信及数据传输等关键业务。虽然目前多数船只的总线系统与通信系统相对隔离，限制了攻击影响范围，但随着船舶自动化程度提高和系统互联深化，这种隔离正逐渐弱化。攻击者通过破坏这些终端，不仅造成通信中断，还展示了针对关键基础设施的精准打击能力。美国企业生产的卫星通信设备在伊朗油轮上的广泛应用，形成了一种特殊的技术依赖关系，使伊朗关键海运基础设施在国际政治博弈中处于脆弱位置。

三、海事卫星通信骨干单元iDirect设备

3.1 iDirect设备简介

iDirect设备指的是美国ST Engineering iDirect公司（其母公司为新加坡ST Engineering）的卫星通信产品。ST Engineering iDirect产品类型包括调制解调器、集线器和卫星通信解决方案，主要服务于服务商、网络运营商、政府机构、大型企业、军队等客户，其全资子公司iDirect Government是美国国防部领先的卫星通信产品供应商。其产品线涵盖iQ系列、Evolution系列、Evolution Defense 系列、Velocity 系列、MDM系列及9系列等多个方向，其中Evolution系列主要用于星状组网架构的VSAT场景，在海事通信领域具有广泛应用。消息表明，我国目前仍有Evolution系列的设备正在服役。

iDirect相关设备并不依赖于特定的卫星系统，而是通过与不同的卫星服务提供商合作，使用多种卫星来提供通信服务。伊朗的油轮具体使用哪颗卫星来提供通信服务取决于服务提供商的选择和船舶的航行区域。此次攻击的核心目标是船载iDirect VSAT（甚小孔径终端）卫星通信设备中的调制解调器。

iDirect VSAT设备的工作原理基于卫星通信的基本架构，实现了地面站点与卫星之间的双向数据传输。其通信链路包括从中心站点（Hub）到远程站点的前向链路和从远程站点回传到中心站点的返回链路。

其技术特点是采用基于TDMA（时分多址）和SCPC（单载波每信道）的混合访问方式：支持DVB-S2/S2X标准，实现高效的带宽利用；实现动态带宽分配(DBWA)，根据流量需求自动调整带宽资源；集成QoS(服务质量)功能，确保关键业务流量优先处理。采用IP封装技术，将用户数据封装成适合卫星传输的格式，实现加密和压缩功能，保障数据安全和传输效率，支持TCP加速和Web缓存，优化卫星链路的数据传输性能。

其网络架构由中心主站、卫星转发器和远程终端组成，主站连接互联网骨干网，负责管理整个网络，远程终端通过天线和调制解调器与卫星通信。

3.2 主要部署场景与应用生态

iDirect在全球范围内实现了可靠的卫星通信，特别是在传统通信基础设施不可用或不可靠的地区发挥着重要作用,如在海事通信、能源行业、政府和军事应用、偏远地区连接等场景下应用。

在海事领域，iDirect设备广泛应用于海上通信。可用于商业船队，为船员提供互联网访问和通信服务，支持船舶远程监控和诊断系统，提供航线优化和天气导航信息服务；也可用于邮轮和客运船，为乘客提供高速互联网服务，支持船上娱乐系统和支付系统，实现船舶安全监控和紧急通信；还可用于海上石油平台，提供远程操作和监控能力，支持视频会议和专家远程协助，确保关键业务数据的实时传输。

在石油和天然气行业，iDirect设备可应用于偏远油气田的通信和管道监控等场景。可连接偏远油气田现场与总部的通信，支持SCADA系统和远程监控，提供员工福利通信服务；可用于管道监控，实现长距离管道的实时监控，支持泄漏检测系统数据传输，提供安全监控和紧急响应通信。

在政府和军事领域也有广泛应用。iDirect的军用级产品线可应用于战术通信，提供易于部署的机动通信系统，支持加密和抗干扰通信，实现指挥控制系统的网络化；还可应用于边境监控，连接偏远监控站点，支持视频监控和传感器数据回传，提供紧急情况下的通信保障。

在缺乏传统通信基础设施的偏远地区通信方面也有着应用。可在缺乏传统通信基础设施的地区提供互联网接入，支持远程教育和医疗服务，实现政府公共服务的数字化；在灾难响应场景下，可以提供快速部署的应急通信系统，支持救灾指挥和协调以及在传统通信中断时提供备份连接。

3.3 互联网设备分布情况

从DayDayMap的测绘结果显示，共有12922个设备暴露在互联网上。

其中印尼、德国、沙特、美国和英国使用的该设备最多，这些国家也都对应有大量的海上通信业务。

四、iDirect设备相关协议分析

4.1 分析思路

iDirect设备提供的协议从多个方面进行分析，一个是根据伊朗反政府黑客组织“Lab Dookhtegan”公布的信息；另一个是设备的官方文档；三是根据设备的应用场景入手；最后通过未知协议带有特定信息入手。

4.1.1 根据伊朗反政府黑客组织“Lab Dookhtegan”公布信息

根据伊朗反政府黑客组织“Lab Dookhtegan”公布的iDirect设备内部监听端口信息可知，目前TCP端口443，80，22，2494，以及UDP端口36057，53471，9000，60989，67，1492均有机会对其进行尝试。

A、80，443webserver

在daydaymap上根据如下指纹搜索到相关设备，其中title=="iDirect Terminal"可以确认是该产品，而另一个无法对其进行确认。

body="<input type=\"hidden\" name=\"fail\" value=\"/login.html\"/>"||title=="iDirect Terminal"

B、22端口的ssh信息

C、Falcon主要是用于运行所有的satellite functions。

在2494端口探测数据时发现有iDirect证书的数据，用于佐证2494端口对iDirect设备的识别。

4.1.2 iDirect Velocity的说明书发现其支持snmp功能

4.2 设备的应用场景

i. Mikrotik

从《俄罗斯Dozor-Teleport卫星通信运营商遭黑中断情况分析》一文中发现了iDirect与Mikrotik混合的应用场景，同时在其Mikrotik官网论坛里发现用户关于iDirect和Mikrotik混合场景的讨论。再根据Mikrotik提供的协议，进行涉及协议的分析。如下图，可以获取到这个设备的hostname,当将TIRTASARI在海事网站MarineTraffic: Global Ship Tracking Intelligence | AIS Marine Traffic进行搜索时，可以发现这是一艘货轮的名称。

Mikrotik一般在外部的协议主要是PPTP,L2TP,IPsec以及bandwidth-test。其中pptp和l2tp协议能获取更多有效信息供指纹进行识别。

ii. Cisco

iDirect X7-EC Satellite Router内嵌了Cisco 5921 Embeded services Router，也就是说可以通过Cisco端口进行iDirect设备的识别。

未知协议

banner="iDIRECT"&&service="junoscript"

    对内容进行分析后发现，KVH V7-HTS是真实的VSAT设备

五、iDirect设备指纹特征

iDirect设备相关指纹特征包括：http/https协议指纹、PPTP协议指纹、title类指纹、banner类指纹、组织类指纹。在DayDayMap平台搜索单一指纹特征或组合指纹特征，可进行iDirect设备确认。考虑到信息敏感性，以下章节部分检索指纹已做模糊处理。

5.1 http/https协议指纹特征

A、在daydaymap平台搜索title=="iDirect Terminal"

可以看到是iDirect公司的设备，继续研究发现可以进一步获取到设备型号：

该型号是iDirect的一款卫星调制解调器：

B、在daydaymap平台搜索body="*****码住)login.html\"/>"，结合iDirect Evolution路由器说明书可以看到web登录页面如下：

继续研究可以获取到设备型号：

可以看到是iDirect Evolution X7卫星路由器设备。

C、在daydaymap平台搜索title=="Newtec Satellite Modem"

点击页面的Device Info，可以看到设备型号：

可以看到ST Engineering把Newtec收购了，Newtec MDM2200是卫星调制解调器设备。

5.2 pptp协议指纹特征

在daydaymap平台搜索banner="iDirect" && service="pptp"，主要有两个厂商的路由器会出现在iDirect设备系统中，MikroTik和Cisco。MikroTik的指纹特征如下：

Cisco的指纹特征如下：

1、org组织指纹特征

在daydaymap平台搜索org:"APT MOBILE *****(码住)" && service="pptp"，数据中的主机名是船的名字：

这些船名字在https://www.marinetraffic.com/en/ais/home/centerx:25.2/centery:-51.6/zoom:4网站上搜索船的名字，可以看到船的位置信息。

2、其他iDirect相关设备指纹特征

A、在daydaymap平台搜索banner="IDIRECT: *****(码住)" && service="ddp"

可以看到厂商以及设备型号，结合搜索引擎得知是VSAT系统设备：

B、在daydaymap平台搜索banner="IDIRECT: *****(码住)" && service="unknown"，能够发现一些未知协议信息

C、在daydaymap平台搜索title=="Sea Tel",访问web登录页面如下：

可以看到是Sea Tel的产品，结合Sea Tel官网可以看到Sea Tel的产品也是应用在VSAT系统中：

D、在daydaymap平台搜索banner="Houston combined*****(码住)"

可以看到这也是iDirect路由器设备，结合搜索引擎可以得知该厂商也是做卫星互联网相关的设备及解决方案：

E、在daydaymap平台搜索banner="Broadband Satellit*****(码住)"

可以看到HN7000S是HUGHES的卫星调制解调器。

六、 iDirect设备漏洞信息

6.1 iDirect设备默认口令

6.1.1 ssh默认口令

公开资料表明，此次伊朗油轮事件中，攻击组织Lab Dookhtegan通过iDirect设备弱口令获得root权限，从而导致116艘油轮上的卫星通信中断。iDirect系列调制解调器通常存在默认口令（root,P@55w0rd!），一般用户不会主动修改，从而导致默认口令风险。

6.1.2 web管理后台默认口令

经分析研究，Web iSite是iDirect Evolution系列卫星路由器（如X1、X7和e150型号）内置的Web服务器界面，允许用户通过Web浏览器直接访问和管理这些设备。iDirect Evolution X1路由器基本属性为：

默认登录地址：192.168.0.1

默认登录用户名：Admin

初始密码为：*****(码住)

互联网上暴露的很多web页面并未修改初始密码导致能进入管理后台。相关POC已录制到daydaypoc平台。

6.2 iDirect设备其他漏洞

iDirect设备属于ST Engineering公司，该公司收购了Newtec，从前面的测绘分析可以看出，Newtec Satellite Modem与iDirect设备MDM系列相关联。

1、CVE-2024-13502

该漏洞属于Web界面命令注入漏洞，影响的设备为Newtec Satellite Modem，影响的版本是1.0.1.1 到 2.2.6.19。在管理界面中用于配置多播的‘commit_multicast’页面会将请求中的传入数据传递给 bash 脚本中的‘eval’语句导致任意命令执行。经daydaymap测绘验证，可以未授权进入该设备后台：

相关POC已录制到daydaypoc平台，具体如下：

2、CVE-2024-13503

Newtec 更新信号中的基于堆栈的缓冲区溢出导致 RCE，该漏洞显示parse_INFO 函数使用不受限制的“sscanf”将传入网络数据包的字符串读入静态大小的缓冲区中，swdownload 二进制文件中的堆栈缓冲区溢出允许攻击者执行任意代码。

七、油轮到地缘博弈的卫星互联网暗战逻辑

伊朗油轮通信中断事件中，卫星互联网攻击对航运安全的影响受到普遍关注，实质上，此类事件只是冰山一角。随着低轨卫星星座快速铺设，卫星互联网深度嵌入全球通信、导航与信息分发体系，掌握对抗技术主动权的国家，可借助卫星互联网拓展更广泛的地缘触角。

卫星互联网暗战是指国家或非国家行为体通过利用、干扰、劫持、或入侵卫星网络系统，对偏远地区、关键航道、战区前沿、舆论空间等实现低成本、高速度的隐蔽性信息技术干预，借此获得政治、军事、经济优势地位。其对地缘博弈的强化作用，主要体现在以下三方面：

首先，卫星互联网暗战可突破地理边界，实现“全域触达”。卫星互联网不依赖传统地面通信基础设施，无需穿越他国边境或依赖海底光缆，天然具备跨越地理阻隔与主权壁垒的能力，无论是偏远山区、广袤沙漠，还是深海远洋、极地孤岛，卫星互联网都能直接打通“地缘盲区”，让通信“触角”延伸到传统地缘力量难以触达的地方；

其次，卫星互联网暗战可塑造全球认知触角，影响跨境舆论空间。卫星互联网通过全球终端接入，可绕开本地网络安全监管，直接影响不同国家或地区用户的信息来源和上网路径，成为“舆论入口”的新平台，这种“技术通道+认知影响”双维度触角，赋予主导国以跨境信息渗透与舆论操控的潜在能力，正日益成为信息战场的新焦点；

最后，卫星互联网暗战有助于战略前沿外推，地缘防线前置。卫星互联网以其全球可达、实时覆盖的特性，依托低轨星座构建的全球通信体系，使具备主导地位的国家能够远距离感知关键区域动态，部署远程通信压制、数据干扰、电子诱导等“非接触式”对抗手段，从而将战略控制能力由本土边境推向遥远海域、岛链前沿、冲突边缘区。

卫星互联网暗战在地缘博弈中具有不可忽视的作用。它不仅改变了信息传输的传统模式，还赋予国家在全球范围内展开隐蔽战斗、操控舆论、推进战略布局的新能力，成为新时代地缘博弈的重要武器。

八、如何加强卫星互联网防御？

卫星互联网的安全防御是一个复杂的系统工程，涉及到通信链路、卫星设备、网络架构以及地面终端等多个层面。鉴于卫星互联网安全在政治、军事、经济等领域的广泛影响，应高度重视卫星互联网安全防御问题，具体措施包括：

（1）建立网络测绘驱动的卫星互联网安全防御机制

通过部署卫星互联网专用测绘系统，对卫星互联网拓扑结构、节点特征、漏洞风险等进行实时监控，发现卫星互联网设备暴露情况、攻击入口，识别不合规的卫星互联网终端，绘制卫星互联网可视化地图，为卫星互联网安全威胁预警和应急响应处置提供决策依据。

（2）采用成体系的国产化卫星网络通信加密解决方案

在不同类型的卫星通信链路与终端设备中，部署支持国密算法的软硬件加密模块，包括高速、中低速、嵌入式卫星通信密码模块及无人机加密模块，实现多场景、多速率、多平台的通信加密覆盖，提升卫星互联网的体系化安全能力。

（3）研制轻量级的星载边缘AI安全防护模块

针对卫星资源受限的特点，开发低功耗、高实时性的星载边缘AI安全防护模块，通过轻量化神经网络模型与星上数据处理能力，实现卫星互联网的本地化实时安全监测与响应，减少地面站依赖，构建星端协同的智能化安全防护体系。

原文链接

1、漏洞概述

近日，CrushFTP 发布更新修复高风险漏洞（CVE-2025-2825），攻击者可以利用该漏洞绕过认证机制，访问高风险接口，可造成敏感信息泄露，上传恶意内容，创建管理员账号等恶意利用。建议您及时开展安全风险自查。

CrushFTP 是一款‌多协议、跨平台的企业级文件传输服务器软件‌，专注于提供安全、高效的文件传输与管理服务‌‌。 支持 FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV 等多种文件传输协议。

据描述，CrushFTP 支持多种协议, 自第10版起，CrushFTP 还实现了与 S3 兼容的 API 访问，允许客户端使用与 Amazon S3 存储服务相同的 API 格式与其进行交互。服务器从凭证字段（Credential field）中提取 AccessKey 值以识别用户，然后验证签名（Signature）以确保请求的真实性。然而，CrushFTP 在实现这一机制时存在一个关键缺陷。由于其低复杂度、基于网络的攻击向量以及潜在的影响，获得了 CVSS 评分 9.8（严重）。CrushFTP 在版本 11.3.1 解决了此漏洞。

漏洞影响的产品和版本：

10.0.0 <= CrushFTP <= 10.8.3

11.0.0 <= CrushFTP <= 11.3.0

2、漏洞复现

3、资产测绘

据daydaymap数据显示互联网存在33,112个资产，国内风险资产分布情况如下：

4、解决方案

临时缓解方案：

公网部署需要添加限制，允许IP白名单访问。

升级修复：

目前官方已发布修复安全补丁

5、参考链接

原文链接

4月14日，备受瞩目的2025年世界互联网大会亚太峰会在香港盛大召开。本次峰会以“数智融合引领未来——携手构建网络空间命运共同体”为主题，汇聚了全球政要、国际组织代表、技术领军企业精英，共同探寻数字领域的无限潜力。

盛邦安全与世界互联网大会一同自乌镇启航，历经古都西安的数字丝路发展论坛，如今走到香港的亚太峰会。在这一历程中，盛邦安全始终积极参与、深度融入，借助数字浪潮的契机发挥盛邦能力。香港，作为全球金融、贸易和航运中心，凭借独特的国际地位与自由开放的营商环境，为本次峰会打造了绝佳的交流平台，吸引了世界各地的前沿理念与创新技术在此交融。

盛邦安全权小文受邀参加峰会，并在数字政府与智慧生活论坛进行主旨发言，就低空经济安全这一前沿科技领域的最新发展趋势展开分享。 权小文表示：“在当今数字经济蓬勃发展的时代，数据要素已成为关键生产要素，低空经济、卫星互联网作为新质生产力的代表，已然成为当下科技创新的重要方向。”

当下，国内低空经济与各领域深度融合，创新成果不断涌现。在载人交通、紧急救援、空中物流、农林作业及城市治理等场景中，低空经济应用蓬勃发展，正重塑人们的生产生活方式 。权小文在论坛分享中提到：“国内某省借助低空网打造城市级血液运输方案，将原本需要数小时的配送时间大幅缩短，显著提升了生命救助率；在高空作业领域，传统方式事故率高且效率低下，引入无人机作业后，效率提升了 50%，安全性也大幅提升；而天津‘黑飞’事件致使机场关闭，严重影响民航秩序；俄乌冲突也让我们看到无人装备应用的另一种可能……总而言之，低空网以无人装备为核心，如同拥有上帝视角。运用得当，它将助力打造美好生活；若使用不当，则如同打开地狱之门，后果不堪设想。”

构建起坚实的数据安全防护网，才能让低空经济的创新发展之路行稳致远。4月15日正值第十个全民国家安全教育日，网络安全作为国家安全的重要一环，意义愈发凸显。

此次亚太峰会为亚太地区数字融合搭建起关键桥梁，盛邦安全等企业的深度参与，不仅推动了自身的发展，更为峰会注入新兴活力，助力推动全球数智融合迈向新高度，为构建更加安全、智慧、美好的未来生活筑牢根基。

原文链接

在5G、人工智能及物联网技术的驱动下，全球移动应用市场正加速重塑商业生态，深度赋能金融、政务、医疗、零售等关键领域。据《2024年Q4移动互联网行业数据研究报告》显示，人均每日使用APP时长突破5.57小时，用户依赖性趋近刚性需求。然而，行业高速发展的背后，安全隐患亦如影随形。

图片来源于网络

·某社交平台因安全防护缺失，遭攻击者逆向破解核心算法及交易接口，仿冒应用致用户资金损失超千万元；

·头部手游因代码泄露导致外挂泛滥，日活跃用户骤降30%，年营收损失达数亿元；

·某支付工具因调试漏洞被攻破，用户信用卡信息泄露，平台被迫停业整顿。

随着移动应用承载的商业价值持续攀升，其安全体系正面临技术漏洞迭代加速、攻击手段多元化叠加的复杂格局。企业不仅需应对数据窃取、业务逻辑篡改等威胁，更需警惕法律合规红线、用户信任链断裂等隐性风险，移动应用的安全防护正在面临多维度风险与挑战。

·安全监管高压升级

《网络安全法》《数据安全法》《个人信息保护法》等法规构建起严苛的监管框架，明确要求企业落实应用安全防护责任，忽视安全加固不仅意味着高额罚款，更将导致商业准入门槛的永久性关闭。

·攻击手段持续迭代

从静态反编译到动态内存注入，从代码窃取到运行环境渗透，攻击技术不断迭代。若仅依赖基础防护，应用如同“裸奔”于数字战场，攻击者可轻易篡改代码、植入恶意程序，窃取用户账号、支付信息等敏感数据，造成直接经济损失与隐私侵害。

·知识产权泄露威胁

移动应用凝聚开发者的核心算法、业务逻辑及创新成果等商业价值。攻击者通过窃取代码、植入木马等手段，可盗用知识产权、劫持支付接口，导致企业技术优势流失、市场份额萎缩，甚至引发品牌信任危机。

面对复杂的安全挑战，移动应用加固技术已成为不可或缺的防护手段。梆梆安全依托在移动安全领域十余年技术积累与实战经验，构建覆盖应用开发、测试、发布、运维全流程的一体化防护体系，通过动态加固技术为开发者提供从代码到运行环境的纵深防御能力。

梆梆安全移动应用加固

梆梆安全应用加固基于虚拟化保护技术（VMP）、SO动态清除技术、高级防动态调试技术、“源到源”加固保护技术等核心技术手段，为客户提供全生命周期一体化安全保障服务，有效防止针对移动应用的反编译、二次打包、内存注入、动态调试、数据窃取、交易劫持、应用钓鱼等恶意攻击行为，保护应用核心代码安全。

支持应用形态包括：Android、iOS、鸿蒙、H5、小程序等。

一、核心能力

1.防逆向破解

采用代码混淆、虚拟化加密等技术，防止应用被逆向还原，保护核心逻辑与算法。

2. 防调试分析

通过防调试、防注入技术，阻断内存数据篡改与动态攻击。

3. 防篡改打包

基于完整性校验与签名验证，确保应用不被非法篡改或二次打包。

4. 防数据泄露

对本地存储的敏感数据实施透明加密，杜绝信息外泄风险。

5. 运行环境安全保护

实时监测并拦截Root、模拟器等高风险环境，保障应用运行安全。

二、用户价值

合规监管保障

满足上级监管机构对应用的安全测评、合规过检要求。协助企业完成依赖Android应用加固技术的风险项目的整改。

全方位攻击防御

提供多层级防护机制，精准阻断破解、篡改、盗版等黑产攻击行为，保障应用运行环境的安全性及业务连续性。

核心知识产权保护

通过代码加密与动态保护技术，全面守护核心算法、业务逻辑等关键资产，防止技术成果被恶意窃取或非法利用，稳固企业技术优势与市场竞争力。

随着国家网络安全法规持续收紧，合规要求日益严苛，移动应用面临的安全威胁更趋复杂多元。为此，梆梆安全即将启动“产品季”限时免费试用活动——通过应用加固技术，助您快速构建安全防线，抵御逆向破解、数据泄露、恶意篡改等风险。

敬请关注梆梆安全官方渠道，第一时间获取活动详情，抢占免费试用名额！

4月18日晚间，网络安全行业领军企业天融信（002212.SZ）发布2024年年度报告。

报告期内，受益于公司长期坚定的创新布局、稳中释放的营销韧性及持续推进的提质增效战略，天融信实现营业收入28.20亿元，归属于上市公司股东的净利润为8301.32万元，实现扭亏为盈，毛利率同比增长0.85个百分点。期间费用总计同比下降10.73%，研发费用同比下降16.42%，管理费用同比下降40.95%。报告期内，公司每股收益0.0733元/股，同比增加0.3998元/股。

盈利质量结构性改善，提质增效成果有效释放。报告期内，公司聚焦运营效率的提升及盈利能力的修复，实现营业总收入28.20亿元，其中来自能源行业的收入同比增长22.86%、来自卫生行业的收入同比增长17.90%。归属于上市公司股东的净利润8301.32万元，较上年同期亏损3.71亿元，实现扭亏为盈。毛利率同比上涨0.85个百分点，结合此前年报相关信息，近三年天融信整体毛利率分别为59.72%、60.19%和61.04%，逐年稳健增长，规模经济效应进入加速释放期。

得益于公司精准控费能力的提升，报告期内，公司期间费用总计同比下降10.73%，其中，研发费用同比下降16.42%，主要是因为在新方向和新技术的前期布局基本完成。管理费用同比下降40.95%，主要系加强和提升管理效率，及股份支付费用减少所致，实现费用压降与经营质量的同步优化。

网络安全龙头地位稳固，深化“AI+安全”战略布局。年报显示，报告期内公司网络安全产品收入25.50亿元，占整体收入比重为90.42%，是公司收入实现的核心支柱。IDC数据显示，报告期内公司防火墙市占率达23.63%，已连续25年位居国内第一，同时公司横向发力多赛道，形成以防火墙为核心的“一专多强”的网络安全与数据安全技术能力，数十款产品服务入选IDC、Gartner、Frost & Sullivan、CCID等权威机构报告，政府、运营商、税务等多行业保持供应商名录入围，多元化产品服务在各自细分市场、细分行业已形成领先优势。

据年报，公司是“AI+安全”最早实践者。报告期内公司陆续发布天问大模型系统、产品小天、云上小天等，助力客户提升网络安全防御能力。面对大模型自身安全，公司推出大模型安全防护产品与评估服务。报告期内，公司自研的天问大模型率先完成网信办“生成式人工智能服务备案”“境内深度合成服务算法备案”的双备案，首批通过中国软件评测中心的大模型安全性测评“磐石·X”榜单计划获最高A级认定，通过中国信息通信研究院安全大模型基础网络安全能力评估。据IDC报告显示，公司天问大模型在业内处于领先地位，态势感知、蜜罐、大数据分析系统等多款融入AI的创新型产品列入推荐厂商。

云计算构筑第二增长曲线，发力智算云实现版图升维。报告期内，公司云计算产品收入2.56亿元，同比增长10.09%，兼具成长性与确定性。相关负责人介绍，目前公司云计算产品方案在政府、金融、运营商、教育、医疗卫生、企业等行业实现了规模化应用，营收占比持续提升。官方资料显示，公司2015年就已布局云计算研发，并于2019年步入快速发展阶段，细分场景覆盖广、国产化平台适配全，在2022年和2024年两次被Gartner列为超融合跨界厂商。近年来，公司超融合获中国信息安全测评中心颁发的《自主原创产品测评证书》，桌面云、超融合先后获中国软件行业协会“优秀软件产品”等荣誉，在业内已逐步形成一定的行业地位与口碑。

与此同时，公司积极把握智算风口，完善智算云全栈技术体系建设，打造业绩增长新引擎。报告期内公司发布算力服务器、智算云平台等，近期推出的智算一体机首批通过工信领域大模型一体机能力验证，该产品有助于客户快速构建智算基础设施，降低大模型AI应用门槛，加速行业大模型应用落地。报告还重点提到公司未来十年的战略发展目标，即成为中国领先的网络安全和智算云解决方案提供商。

巩固信创领域先发优势，打造国产替代协同新范式。资料显示，天融信深耕国产化二十余载，先手布局地位稳固，构筑起显著且难以复制的竞争优势。截至报告期末，公司基于国产软硬件的“天融信昆仑·信创”系列网络安全与“天融信太行·信创”云计算产品已累计发布74款294个型号，取得3100余项兼容性认证证书，始终保持信创产品品类最全、型号最多的行业领先地位。在应用层面，公司信创产品与解决方案已在政府、运营商、金融、能源、交通、教育、医疗卫生、航空航天等近30个行业实现规模化、深度化应用，为国家关键信息基础设施安全稳定运行提供了坚实的保障。据艾媒咨询显示，公司两度入选“中国信创企业百强榜”、两度获评“中国信创年度杰出企业”与“中国信创信息安全卓越品牌”。

公司坚持“技术+生态”的双轮驱动，在增强自身技术实力的同时，积极联合上下游产业构建信创产业生态体系。近日公司与华为正式启动全面合作，并联合发布两款重量级新品——天融信智算一体机（昇腾版）和基于华为鲲鹏构架的天融信昆仑·信创产品系列，打开智算与信创市场的增量空间，为中国关键行业数智化转型提供了安全可控的底层支撑。业内专家表示，双方通过技术互补与生态闭环，正在智能算力与网络安全领域掀起新一轮技术融合浪潮，为实现国产化替代从“能用”到“好用”跨越提供新范式。

网络安全行业温和复苏，在手订单验证景气度。公司在年报中表示，网络安全作为新质生产力的基石和重要组成部分，需求将不断释放，未来发展长期向好。但近年来受宏观经济等外部因素影响，网络安全市场存在短期需求承压与长期政策支持、技术革新共同作用的局面。

官方资料显示，2024年天融信中标十余个千万级以上项目，其中包括深圳智慧城市科技发展集体有限公司1.08亿大单、南方电网2400余万大单、中国航空工业集团1600余万大单、中国烟草1500余万大单和海口海关1100余万大单等等，此外还斩获广州地铁、中国移动、中国联通、广西电网、平安银行、长安汽车等数十个百万级大单，展现出作为头部网络安全企业，其良好的业绩稳定性与增长潜力。  

4月15日，来自人民日报、新华社、中央广播电视总台、光明日报、经济日报、中国日报、中新社、福建日报、福建省广播影视集团、香港大公文汇传媒集团、香港商报等20多家中央、省、市主要新闻媒体和境外新闻媒体的记者组成的2025年“央媒话厦门”主题采访活动走进国投智能，通过参观、交流、采访等方式，了解了公司在人工智能领域的创新产品及应用成果。国投智能副总经理栾江霞代表公司迎接陪同并接受采访。

媒体团参观

栾江霞介绍了国投智能在人工智能领域的技术创新、产业应用及场景落地成果，重点强调了人工智能安全的重要性，并推荐了“美亚鉴真平台”小程序。目前，“鉴真”已在全国近百个省、市级政务平台上线，引发现场媒体记者的热烈反响。媒体团一行参观了企业文化及荣誉展厅、产品体验中心、人工智能专区等区域，对公司进行了深入了解。

栾江霞接受媒体采访

作为网络空间安全与社会治理领域国家队，国投智能抢抓人工智能发展新机遇，高度重视人工智能安全，聚力公司AI研发力量，发布美亚“天擎”公共安全大模型及信创一体机，推出相关产品，赋能各行业产品线提质增效。近期，国投智能还参与了《人工智能生成合成内容标识办法》起草工作，，获各级媒体关注报道。下一步，国投智能还将继续聚焦大模型技术应用、生成式人工智能和人工智能安全三个核心方向，深化人工智能技术在全行业、全产品线中的应用,从“All in AI”到“AI is All”，打造更加智能、高效、便捷的产品与服务，为推动我国人工智能行业的多元化发展贡献力量。

前 言

本期要点：

• NSA 的技术渗透能力：从 “棱镜门” 到哈尔滨事件的延续

• 国际信任危机：跨大西洋关系的裂痕与重构

• 战略隐喻：技术防御背后的政治信号

16日，中国公安部发布消息，公开悬赏通缉3名美国特工，他们参与了美国国家安全局（简写：NSA）组织实施的亚冬会网络攻击活动；就在前两日，据英国《金融时报》报道，欧盟向赴美官员发放一次性手机和基础款电脑。

两起事件虽无直接因果关系，但两者共同折射出 NSA 长期网络监控和攻击对国际社会的系统性威胁，以及全球对美国技术霸权的集体防御。以下从三个维度解析其深层关联。

NSA 的技术渗透能力

从 “棱镜门” 到哈尔滨事件的延续

NSA 的监控网络覆盖全球

美国 NSA 自 2013 年 “棱镜门” 事件曝光以来，其监控范围已从通信数据扩展到操作系统、硬件设备等底层架构。例如，哈尔滨冬运会事件中，NSA 被证实利用微软 Windows 系统预留后门，通过发送加密字节激活潜伏程序。这种 “系统级渗透” 能力，使得欧盟官员的电子设备即使未连接互联网，仍可能通过物理层漏洞被监控。

• 技术证据：中国技术团队在攻击溯源中发现，NSA 向黑龙江境内 Windows 设备发送的加密指令与微软系统的 “调试接口” 高度吻合，这与欧盟担忧的 “微软后门” 形成技术呼应。

• 历史案例：2023 年丹麦国防情报局解密报告显示，NSA 通过海底光缆监听欧盟 26 名高官通讯，而哈尔滨事件中的 “多级跳板隐蔽” 手法（如租用荷兰云服务器）与丹麦案例中的 “跨大西洋监控网络” 如出一辙。

欧盟对 NSA 的防御升级

欧盟此次采取的 “一次性设备” 策略，本质是对 NSA 技术渗透的被动防御。

• 物理隔离：设备无法存储数据且用后即焚，避免 NSA 通过固件漏洞（如蓝牙、Wi-Fi）实施 “零点击攻击”。

• 系统替代：欧盟委员会向赴美官员发放的基本款笔记本电脑是预装基础操作系统的设备，但未具体说明是Windows、macOS还是其他操作系统。

这种防御逻辑与中国在关键领域国产化替代的应对策略，共同构成对 NSA 技术霸权的反制。

国际信任危机

跨大西洋关系的裂痕与重构

欧盟对美国的战略警惕

欧盟发放一次性设备是对美国 “潜在安全威胁” 的重新定位。

• 政策背景：2024 年《涉外情报监视法》“702 条款” 延续，允许美国情报机构无差别监控外国目标。

• 事件催化：2025 年 3 月，一名法国学者因在社交媒体批评美国政策遭遣返，加剧了欧盟对 “美国滥用技术手段干预内政” 的担忧。

哈尔滨事件中，NSA 攻击黑龙江能源系统、窃取运动员隐私数据的行为，进一步验证了欧盟对 “美国将网络武器化” 的判断。

全球网络安全秩序的碎片化

欧盟的 “数字断舍离” 与中国的 “网络主权” 主张，共同推动国际社会对美国主导的网络安全规则的质疑。

• 技术脱钩：欧盟通过《芯片法案》，并持续推进“数字欧洲计划”，再拟投入13亿欧元强化AI的部署及其在企业和公共管理、云计算、网络韧性和数字技能方面应用等重要领域技术主权，加强欧洲在半导体领域的技术领导地位，减少对外部依赖，确保供应链的安全和韧性；中国则推动 “国产化” 替代美国技术，两者均试图构建独立于 NSA 监控的技术生态。

• 规则博弈：中国主动参与网络空间国际治理新秩序构建，联合其它发展中国家推动形成在网络领域具有国际法效力的全球性规范性文件《联合国打击网络犯罪公约》；欧盟则通过《通用数据保护条例》、《数字市场法案》、《数字服务法案》等立法监管，并开出高额罚款，强化数据主权。两者均通过规则制定挑战美国 “数字世界” 特权和霸权。

战略隐喻

技术防御背后的政治信号

欧盟的 “技术主权” 觉醒

一次性设备的发放，标志着欧盟对美战略从 “合作伙伴” 向 “竞争对象” 的转变。

• 早在2020年，欧盟就通过了75亿欧元“数字欧洲计划”。该计划旨在推动欧洲数字化转型，提升全球数字经济竞争力，实现超级计算、人工智能（AI）、网络安全等关键领域的技术主权。

• 2020年，欧盟向欧洲云计划GAIA-X投资20亿欧元，以建立属于欧洲的 “母云端” 基础设施，制定通用云标准、互操作性要求，确保数据主权与安全流通。

这种转变与中国在哈尔滨事件中 “公开通缉 NSA 特工” 的强硬姿态，形成对美国网络霸权的东西夹击。

全球治理的新范式

哈尔滨事件与欧盟防御措施，共同揭示了网络空间的 “安全困境”：

技术依赖：使得任何国家都可能成为 NSA 的攻击目标

• 垄断芯片（英特尔、高通）、操作系统（Windows）、GPS 系统，预装后门（如英特尔 ME 微处理器远程控制功能）。

• 监听全球 90% 国际数据传输的海底光缆。

• 通过智能设备（如特斯拉汽车传感器、高通芯片手机）实时采集地理位置、用户行为等数据（如美土安全部每分钟采集重点人员 26 次位置信息）。

集体行动：构建多极化的安全合作架构

• 2016 年《中俄关于协作推进信息网络空间发展的联合声明》提出共同反对网络干涉内政

• 2016 年启动 “中欧网络安全产品双边互认机制研究”，探索统一安全标准

• 2020年，《全球数据安全倡议》纳入联合国网络安全政府专家组（UNGGE）报告

• 2022 年，中国与东盟建立跨境网络安全事件联合处置机制，加强日常联络和演练

• 2023年，《全球人工智能治理倡议》提出防止人工智能被滥用为网络攻击工具，推动建立透明、包容的全球治理框架

• 2024年，金砖国家加强网络安全合作

结 语

NSA 威胁下的全球共振

欧盟的一次性设备举措与哈尔滨事件，本质是同一威胁下的不同防御形态：

• 技术层面：两者均指向 NSA 对操作系统、硬件设备的深度渗透，以及 “AI + 自动化” 攻击的升级。

• 政治层面：反映国际社会对美国 “网络单边主义” 的集体反弹，以及 “技术主权” 意识的觉醒。

• 战略层面：预示全球网络安全秩序将从 “美国主导” 转向 “多极共治”，而 NSA 的持续扩张将加速这一进程。

参考来源：中国外交部、国家互联网应急中心、中国网络安全审查认证和市场监管大数据中心、新华社新媒体、未央网、中国社会科学网、澎湃新闻、中国科学院知识产权信息等

来源：重庆信通设计院天空实验室

一种名为“ResolverRAT”的新型远程访问木马（RAT）正被用于攻击全球的组织，发现该恶意软件最近被用于针对医疗保健和制药行业的攻击。

ResolverRAT通过网络钓鱼邮件传播，违反法律或版权，根据目标国家的语言量身定制。电子邮件包含下载合法可执行文件（'hpreader.exe'）的链接，该链接利用反射DLL加载将ResolverRAT注入内存。

Morphisec发现了之前未记录的恶意软件，他们指出，Check Point和Cisco Talos最近的报告中也记录了相同的网络钓鱼基础设施。

然而，这些报告强调了Rhadamanthys和Lumma窃取者的分布，未能捕获独特的ResolverRAT有效载荷。

ResolverRAT功能

ResolverRAT是一个完全在内存中运行的隐形威胁，同时它还滥用 net ‘ resourcerresolve ’事件来加载恶意程序集，而不执行可能被标记为可疑的API调用。

“这种资源解析器劫持代表了恶意软件的最佳进化——利用一个被忽视的。net机制完全在托管内存中运行，绕过了传统的安全监控，重点是Win32 API和文件系统操作，”Morphisec描述道。

研究人员报告说，ResolverRAT使用复杂的状态机来混淆控制流，使静态分析变得极其困难，通过识别资源请求来检测沙箱和分析工具。

即使它在调试工具的存在下执行，它对误导和冗余代码/操作的使用也会使分析复杂化。

该恶意软件通过在Windows注册表中最多20个位置添加xor混淆键来确保持久性。同时，它还将自己添加到文件系统位置，如“Startup”、“Program Files”和“LocalAppData”。

基于注册的持久性

ResolverRAT尝试以随机间隔在计划回调时进行连接，以逃避基于不规则信标模式的检测。

操作员发送的每个命令都在专用线程中处理，在确保失败的命令不会使恶意软件崩溃的同时，启用并行任务执行。

虽然Morphisec没有深入研究ResolverRAT支持的命令，但它提到了数据泄露功能，该功能具有用于大数据传输的分块机制。

具体来说，大于1MB的文件被分成16KB的块，这样可以通过将恶意流量与正常流量混合来逃避检测。

将较大的文件分成小块

在发送每个块之前，ResolverRAT检查套接字是否好写，防止拥塞或网络不稳定导致的错误。该机制具有最佳的错误处理和数据恢复功能，从最后一个成功的块恢复传输。

Morphisec在意大利、捷克、印度、土耳其、葡萄牙和印度尼西亚观察到网络钓鱼攻击，因此该恶意软件具有全球操作范围，可以扩展到更多国家。

在“终局行动（Operation Endgame）”的后续行动中，执法部门追踪到了“Smokeloader”僵尸网络的客户，并拘留了至少5人。

在去年的“终局行动”中，超过100台主要恶意软件加载操作（如IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBC）使用的服务器被查获。

在今年的新闻发布会上，欧洲刑警组织表示，执法人员正在分析被扣押服务器上的数据，并正在追踪恶意企业的客户，行动仍在继续。该机构没有提供被拘留人员的任何细节，并表示调查还导致了审讯和服务器关闭。

据调查人员称，Smokeloader是由一个化名为“Superstar”的威胁者运行的，他提供了按安装付费的僵尸网络服务，允许客户访问受害者的机器。

在一系列协调一致的行动中，Smokeloader按安装付费僵尸网络的用户面临着逮捕、搜查房屋、逮捕令或‘敲门谈话’等后果。

Smokeloader被用于各种网络犯罪活动，从部署勒索软件和运行加密矿工到访问网络摄像头和记录击键。

在“终局行动”中缴获的一个数据库中，包括了Smokeloader僵尸网络服务的注册用户，警方可以通过将网络犯罪分子的网络化名与现实生活中的个人联系起来，追踪网络犯罪分子。

一些嫌疑人选择与执法部门合作，允许检查他们个人设备上的数字证据。由于“终局行动”仍在继续，欧洲刑警组织设立了一个专门的网站，分享有关犯罪活动调查的最新消息。

此外，为了更好地了解行动的各个阶段，还发布了一系列动画视频，描述了警察的活动，以及他们是如何追踪Smokeloader组织的分支机构和客户的。

欧盟机构鼓励任何掌握有关被调查犯罪活动信息的人通过“终局行动”网站与当局联系，该网站也方便地翻译成俄语。

在去年大规模关闭恶意软件加载程序之后，欧盟对六名参与网络攻击的个人实施了一系列制裁，这些攻击影响了与“关键基础设施、关键国家功能、机密信息的存储或处理以及欧盟成员国政府应急小组”相关的系统。

美国财政部还制裁了加密货币交易所Cryptex和PM2BTC，包括俄罗斯勒索软件团伙在内的多个网络犯罪集团曾利用这两家交易所进行非法行为。

近期，网络安全界被一则消息炸开了锅——一款名为AkiraBot的Python框架能绕过CAPTCHA（全自动区分计算机和人类的公开图灵测试），利用AI生成内容对中小企业网站实施大规模垃圾信息攻击。截止现在，该工具已成功向8万个网站发送垃圾信息，这一事件再次敲响了中小企业邮件安全的警钟。

一、为何中小企业难逃邮件攻击？

1、技术短板：AI邮件攻击手段不断升级，中小企业缺乏专业的安全团队，大部分中小企业邮件系统还处在“裸奔”状态，仅依靠基础的防火墙。

2、成本困局：中小企业受限于自身成本预算，传统硬件方案费用相对高昂，难以投入大量资源用于邮件安全防护。

可想而知，一旦邮件系统被攻破，企业的机密信息，客户资料等重要数据都可能面临泄露的风险。面对技术短板和成本困局的双重夹击，邮件云网关或许是中小企业不错的选择 。

二、邮件云网关，物美价廉的高性价比之选

邮件云网关是一种基于云计算技术的邮件安全管理服务平台，它通过云端的强大计算能力和先进的安全技术，为企业提供全方位的邮件安全防护，其优势主要体现在以下几个方面：

1、功能全面，安全有保障：邮件云网关就像一个“超级卫士”，能够提供强大的反垃圾邮件、反病毒和反钓鱼功能。它能够有效识别和拦截各种恶意邮件，保护企业的邮件系统免受侵害。

2、性价比高，省钱又省心：邮件云网关前期投资低，中小企业无需购置昂贵的硬件设备，也无需聘请专业 IT 人员进行维护，极大地节省了物力与人力成本。

3、强大兼容，快速上线：邮件云网关产品能快速适配各种软硬件，包括服务器、操作系统、邮件系统等，中小企业无需额外变更网络架构和系统架构，真正做到即买即用。

大家可能会问：有没有一款安心、省心又放心适合中小企业的邮件安全云网关呢？

答案当然是肯定的。

三、安全云网关：中小企业邮件安全的“护身符”

CACTER邮件安全云网关以其卓越的性能和全面的功能脱颖而出，完美符合中小企业的各项需求：

1.精准拦截恶意邮件：基于自主研发的神经网络平台NERVE2.0深度学习能力，全面检测并拦截各类恶意邮件，包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件；反垃圾准确率高达99.8%。

2.零门槛部署上线：无需硬件投入，免运维，5分钟接入，普通员工也能上手。

3.无缝对接兼容：可兼容Coremail、Exchange、O365、Gmail、IBM Domino、lotus notes、飞书企邮等几乎所有邮件系统。

4.在线运维支持：26年专业技术沉淀，提供5X8小时专家在线服务，突发攻击30分钟响应，为企业提供一对一的解决方案。

选择CACTER邮件安全云网关，就是选择您的专属安心、省心和放心。

近日，全球领先的IT市场研究和咨询公司IDC发布《中国AI Agent市场剖析及厂商推荐，1Q25》（Doc#CHC53057025，2025年3月）报告。根据企业级智能体的产品能力、技术支持等进行了评估，甄选代表厂商为企业级用户提供选型指南。经评估，360数字安全集团凭借360安全智能体成为唯一获得推荐的安全厂商。

智能体迎来规模化落地浪潮，找到垂直场景是关键

近年来，大模型技术在各行各业的应用日益广泛。然而，大模型虽然能理解、问答、生成，但是在执行复杂的专业任务方面却显得“力不从心”，只有加上专家经验、知识获取、工具调用等能力，变成智能体才能执行复杂的专业任务。正如360集团创始人周鸿祎所说，大模型的短板在于难以直接融入生产业务流程，而智能体赋予大模型“手脚”，使其能够使用工具、执行具体任务。

通用模型解决“广度”，垂直模型决定“深度”，只有以专业大模型为基础，打造针对垂直场景的专业智能体，才能真正让AI在业务中切实落地。IDC指出，2025年，AI Agent将迎来规模化落地浪潮，以360数字安全为代表聚焦垂直场景的应用技术厂商，通过差异化解决方案形成竞争壁垒。

在安全行业，相较于传统的安全工具和安全产品，安全智能体能够更便捷高效的满足用户安全运营、安全检测、安全处置等需求，帮助各类安全专家从日常任务和重复劳动中解放出来，真正帮助用户提升安全能力、提高运营效率。

作为国内唯一兼具数字安全和人工智能双重能力的企业，360自2023年起就专注于安全智能体的研发与应用。提出用AI重塑安全并推出首个AI实战应用的安全行业大模型：360安全大模型，并以其为大脑构建智能体框架，持续推进AI智能体落地。

深耕安全智能体研究，360持续推进标杆客户落地

360 AI智能体产品主要聚焦于智能体开发平台搭建以及智能体应用，通过低代码开发平台实现工作流的定制化、工具调用和知识应用，通过生成式提升用户体验。

· 在基础模型方面，360独创“类脑分区协同（CoE）”安全大模型结构，与大模型底座解耦，在模型结构、推理程序等模型底层进行创新，真正做到掌握模型核心机理，模型可以“打的开，调的了，训的起来”。

· 在开发平台方面，360以近20年安全领域实战化专家经验为基础，采用低代码方式，整合丰富的安全工具、安全知识，场景化落地agentic workflow。

· 在应用场景方面，360锚定自动化威胁狩猎、深度分析研判、威胁攻击溯源、钓鱼邮件检测等领域进行专项训练，推出100+安全数字专家，帮助企业进行针对性安全防护能力提升，低成本、高效率地实现24小时不间断安全守护。

IDC在报告中提到，360智能体产品服务完善、行业经验丰富、定制化能力强且具有创新精神，在网络安全防护、终端安全管理等场景表现卓越。

2024年1月，360安全智能体首次实现APT分钟级猎杀。此后，360安全智能体在勒索拦截、漏洞防护、攻防演练等实战场景落地应用。近期，在针对亚冬会网络攻击的溯源中，360安全智能体也对锁定NSA三名个人特工发挥了关键作用。

自发布以来，360安全智能体已经为北京市朝阳区政府、重庆大学等近500家用户在真实环境中完成测试应用与交付，加持政府、金融、央企、运营商、交通、教育、医疗等行业客户实现智能化安全运营。

对智能体发展带来的安全问题，360提出“以模制模”，用AI解决AI的安全问题，推出大模型安全解决方案，全面覆盖大模型应用中的系统安全、数据安全、内容安全、幻觉问题和智能体行为失控等问题，为人工智能安全保驾护航。

此前，360安全大模型也荣获北京市科学技术进步奖、2024年度中国互联网企业创新发展十大典型案例、人工智能创新应用典型案例、年度大模型创新技术等诸多奖项。此外，平台已通过中国信通院安全大模型多项能力检测、中国软件测评中心大模型产品安全性检测认证、安全服务能力认证、人工智能管理体系认证等。

本次唯一入选IDC智能体报告垂直场景代表厂商，不仅是对360在技术创新上的认可，更是对360在推进智能体落地应用成功的积极肯定。未来，360将继续推进智能体在更多场景下的实践应用，为行业向智能化、高效化发展贡献力量！

当今移动互联网快速发展，数字经济时代加速推进，据CNNIC统计，截至2024年我国网民规模达11.08亿，其中手机网民规模达11.05亿，占比高达99.7%，我国以手机网民为核心的移动互联网生态已成为数字社会的新型基础设施，APP在人们生活工作中扮演着越来越重要的作用。个人信息数据不断被APP获取统计分析，进行用户画像分析、定向推送广告，来达成企业的商业利益。

国家高度重视网络安全、个人信息保护工作。随着用户隐私保护意识增强与监管体系日趋完善，企业面临的合规挑战日益复杂：

·合规要求持续深化

从隐私政策规范到数据安全、算法备案、跨境传输、第三方SDK管理等场景，监管范围不断扩展。5月1日即将实施的《个人信息保护合规审计管理办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，对个人信息保护合规审计工作提供了更加系统专业的指导性规范。

·多终端适配成本攀升

Android、iOS等操作系统以及小程序等轻量化形态并存，不同平台对权限管理、数据存储、用户授权等环节的合规要求存在差异，导致合规适配复杂度显著增加，进一步推高技术投入与风险管控成本。

·动态管理机制亟待完善

一次性合规评估难以应对高频监管抽查与版本迭代风险。企业亟需构建覆盖开发、测试、上架全流程的自动化检测体系，通过技术提效（如自动化扫描、风险预测）与流程优化（合规基线左移、分级管理）降低人力成本与法律风险。

为应对上述挑战，企业需建立系统化合规管理体系，实现从被动响应到主动防控的转型。梆梆安全移动应用合规平台基于政策法规与技术创新，支持对Android、iOS等多系统应用的静态代码解析与动态运行监控，通过自动化检测+专家分析，快速定位风险点，并提供可追溯的违规证据链，确保整改有据可依。

梆梆安全移动应用合规平台

梆梆安全移动应用合规平台，借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术，全面发现应用权限信息、集成第三方SDK信息，动态行为信息、通过场景化分析，发现应用潜在的隐私合规问题，帮助用户发现应用违规行为并输出合规评估报告及整改建议。

一 . 核心价值

1.隐私行为检测：依托定制化检测沙箱，实时监控移动应用程序运行时的隐私行为，完整记录调用堆栈信息及权限操作轨迹，为违规行为提供精准溯源依据。

2. 违规场景识别：结合政策要求与业务特征，对数据采集、传输、存储等环节进行多维度检测，同步生成堆栈日志与场景关联分析报告，支持快速取证与针对性修复。

3. 隐私合规左移：在应用上架前完成全量合规检测，识别隐私政策缺失、超范围采集等隐患，规避因不合规问题导致的审核驳回风险，推动合规管理前置化。 

二 . 应用场景

1.监管机构

构建标准化检测体系，强化市场规范化治理，遏制违规收集处理个人信息行为，切实保障公民个人信息安全权益，可支撑监管单位输出权威性合规检测报告，快速筛查辖区应用。

2. 测评机构

为企业、开发运营者提供应用合规性技术检测服务，基于专业检测框架输出合规评估报告，系统识别潜在合规漏洞并提出整改路径规划，助力企业防范因数据违规引发的法律风险与商誉危机

3. APP/SDK开发运营者

在应用上架前实施全量合规性自检，精准定位产品存在的合规缺陷，针对性实施合规性修复方案，有效规避因违规问题导致的应用下架风险及用户权益纠纷。

4. 应用分发平台

完善应用准入审查体系，实现不合规应用实时发现、拦截，切实履行《个保法》《个保合规审计办法》等规定的平台法定义务，通过技术治理手段维护平台生态合规性。

在数字经济纵深发展的新阶段，个人信息保护已从合规基线演进为企业可持续发展的战略资产。梆梆安全通过自主创新的核心技术体系，构建覆盖数据全生命周期的智能防护机制，将安全能力深度植入企的业务场景。未来，梆梆安全将持续完善产品能力，协同产业各界伙伴，以动态化安全治理赋能千行百业数字化转型。

网络钓鱼或“语音网络钓鱼”是一种"社会工程攻击"形式，骗子利用电话欺骗受害者透露敏感信息或进行欺诈性付款。

虽然传统的钓鱼依赖于人类的模仿，但人工智能的发展使攻击者能够生成令人高度信服的合成声音，甚至克隆真实个体的声音以达到以假乱真的效果。

你的声音怎么能被克隆？

人工智能可以通过文本到语音（TTS）合成和深度学习技术创造逼真的人声。例如谷歌DeepMind的WaveNet和人工智能语音编码器等先进模型能够以惊人的精度复制人类语音模式。

微软声称，语音可以在三秒钟内克隆出来，这意味着骗子可以给某人打一个非常简短的电话，然后只用那段录音就能创造出逼真的人工智能语音。

他们通常会冒充银行、政府机构或企业高管，利用受害者的信任使用带有紧迫性、权威性的方式以及情感操纵来迫使目标尽快服从。

人工智能增强的欺骗更可信，也更难被发现，因为克隆的声音听起来非常逼真。

当与网络钓鱼（电子邮件）和短信诈骗（SMS）等其他社会工程技术结合使用时，即使是精通网络的专业人士也很难发现这些攻击。

关于人工智能钓鱼攻击的分析

典型的AI钓鱼攻击倾向于遵循以下过程：

1.侦察：攻击者收集目标的个人信息。

2.欺骗呼叫：攻击者冒充受信任的实体，使用人工智能生成的声音和虚假的来电显示。

3.紧迫性和操纵性：骗子制造一种紧急感，声称安全漏洞，逾期付款或其他危机。

4.信息提取：受害者被迫透露凭据、转账或安装恶意软件。

5.后续攻击：攻击者可能会通过网络钓鱼邮件或短信来加强他们的欺骗手段。

一些网络犯罪分子还提供“钓鱼即服务”（VaaS），他们将自己的技能出售给技能较差的诈骗者。这些服务包括人工智能语音克隆和自动电话，使更大范围的攻击者可以使用复杂的骗局。

随着进入门槛的降低，我们很可能会在未来几年看到越来越多的钓鱼攻击事件。

人工智能钓鱼是一种严重的、不断发展的网络威胁。随着人工智能使模仿可信声音变得更容易，企业和个人需要保持警惕。

通过实现身份验证措施、培训员工意识和采用安全最佳实践，企业可以减少遭受钓鱼攻击的风险。

防御的关键是要意识到——不要相信一个声音的表面价值，尤其是在涉及金钱或敏感信息的时候。

钓鱼攻击的迹象

·可疑的电话号码。

·紧急要求付款或敏感数据。

·音质差或声音模式不自然。

·不熟悉的电话号码或在奇怪的时间打来的电话。

·绕过标准安全程序的请求。

个人防范措施

·永远不要在电话里分享敏感信息，除非你能核实打电话的人。

·把未知号码转到语音信箱，在回复之前先查看一下。

·使用辅助通信通道验证异常请求，或使用多因素身份验证（MFA）验证发出敏感请求的调用者。

·注册电话号码与“不要打电话”注册和启用呼叫过滤功能。

企业安全措施

·在服务台实现强身份验证协议以验证呼叫者。

·要求对敏感事务进行多步骤验证。

·培训员工识别钓鱼危险信号。

·使用基于人工智能的呼叫监控来检测欺诈活动。

·限制公开可用的员工信息，以减少目标风险。

保护服务台不被钓鱼

服务台代理是钓鱼攻击的主要目标，因为它们经常处理敏感信息和用户身份验证请求。如果没有适当的验证协议，攻击者可以冒充员工、管理人员或供应商，以获得对系统和数据的未经授权的访问。

为了防御钓鱼威胁，企业可以在服务台实现强大的身份验证过程。多因素身份验证（MFA）和调用者验证技术可以帮助防止未经授权的访问并降低社会工程攻击的风险。

面对人工智能驱动的钓鱼威胁，企业应有相应应对方案，能够在处理此类事件发生之前识别钓鱼企图并验证呼叫者身份，这一点至关重要。

典型案例-米高梅度假村黑客攻击事件

米高梅酒店（MGM Resorts）的黑客攻击就是一个典型的例子，钓鱼可以用来绕过安全措施，获得对关键系统的未经授权的访问。

据悉，攻击者是ALPHV/黑猫勒索软件组织的一部分。他们冒充一名员工，打电话给米高梅服务台，要求访问其账户。

由于攻击者令人信服并利用了米高梅身份验证过程中的漏洞，使他们能够绕过安全检查并进入系统。

这种最初的访问导致了大规模的数据泄露，使米高梅度假村损失了数百万美元的收入，并造成了广泛的系统中断，包括预订、电子支付等问题。

1 概述

黑龙江省重大活动期间，安天作为城市侧网络安全保障的总体技术支撑单位，支撑省市两级主管部门，部署流量、蜜罐探针数百套、终端和服务器安全防护数万套，开放垂直响应、在线威胁分析、安全DNS多种服务。

现代城市是数字化的城市，大量政企机构和公民个人与家庭的设备连接于城域网之上。保障目标复杂多元，有海量的资产暴露面和可攻击点。攻击活动暗流汹涌。仅活动期间，安天网安护卫队在城市侧累计监测发现各类境外网络攻击事件达5076万次。其中主要的高频事件包括网络扫描探测、暴力破解登录凭证、漏洞利用攻击、远控木马植入、挖矿木马感染及僵尸网络控制等，这些攻击活动如果不及时发现、阻断和处置，有可能对城市运行造成严重影响。本报告对相关工作中的六类高频网络攻击事件各摘取一例案例进行解析，以期为安全防护和运营工作提供参考与借鉴。

2 城市侧安保网络攻击典型案例

2.1网络扫描案例

网络扫描是指攻击者通过主动探测目标网络或系统，收集关键信息（如开放端口、运行服务、操作系统版本等）的行为，目的是发现被扫描目标的资产暴露面，寻找可利用的的攻击入口点，为后续攻击做准备，其处在网络攻击活动中的“侦察”环节。

2025年2月13日2时，安天监测并阻断了一起攻击源IP地址位于美国的端口扫描攻击事件。对攻击IP进行威胁情报查询，安天威胁情报中心显示该攻击IP地理位置为美国，带有多个历史威胁活动标签。通过溯源分析发现CENSYS-ARIN-01网段归属于美国Censys, Inc.公司所有，Censys, Inc.公司是一家注册于美国的主营攻击面管理和威胁搜寻解决方案的网络安全公司。

图 2‑1 安天网络威胁监测预警系统告警信息

安天威胁情报中心显示，该攻击IP归属地为美国，依托历史行为活动标注了“恶意”、“扫描”、“爆破”、“DDoS”等活动标签。

图 2‑2 安天威胁情报显示攻击IP行为标签为扫描

对攻击IP进行ASN查询，发现属于AS 398324（CENSYS-ARIN-01），而CENSYS-ARIN-01网段归属于美国Censys, Inc.公司所有。

图 2‑3 ASN查询显示IP属于CENSYS

值得特别关注的是，2024年10月，美国国家情报总监办公室 (ODNI)下属的网络威胁情报整合中心（CTIIC）授予Censys一份多年合同，代号“Sentinel Horizon”（哨兵地平线）。根据这一合同，Censys将为美国情报界各机构提供其互联网情报平台服务。Censys利用其全球互联网连续扫描与监测能力，为美情报机构提供对全球所有互联网暴露资产的实时覆盖和访问。

2.2 暴力破解案例

暴力破解攻击是通过在攻击者不掌握目标系统的登录凭证的情况下，通过反复尝试系统登录获取受保护系统的访问权限。基本原理是通过尝试空口令、弱口令、设备出场预设口令或历史已破解（泄露）口令，或基于用户相关信息及数字或字母的组合等，来反复登录并找出正确的密码，其处在网络攻击活动中的“初始访问”、“凭证访问”等环节。

2025年2月8日22时，安天监测并阻断了一起攻击源IP地址位于越南的暴力破解攻击事件。攻击者使用IP地址103.237.***.***对客户服务器发起SSH暴力破解尝试，企图获取系统访问权限。经深入分析，安天确认此次攻击未成功，并立即启动威胁溯源流程。通过多维度威胁情报分析，显示攻击IP地理位置为越南，威胁标签显示相关地址关联扫描、暴力破解等恶意活动。该攻击IP关联越南某图书馆数字化公司的业务域名（idtvietnam[.]vn）。

图 2‑4 安天网络威胁监测预警系统告警信息

安天威胁情报中心显示，该攻击IP归属地为越南，具有“恶意”、“爆破”、“扫描”等标签。

图 2‑5 安天威胁情报显示该IP行为标签为爆破

对攻击IP进行域名反查，发现关联域名(demo[.]idtvietnam[.]vn)，浏览idtvietnam[.]vn网站内容，其是一家专注于图书馆数字化领域的越南公司。初步判断相关主机被攻击者入侵控制，成为攻击肉鸡。

图 2‑6 IP反查域名结果

2.3 漏洞利用案例

漏洞利用是指攻击者利用软件、硬件或网络协议中的安全漏洞来执行未授权操作的行为，其处在网络攻击活动中的“初始访问”、“执行”、“权限提升”与“防御绕过”等环节。

2025年2月7日10时，安天监测并阻断了一起攻击源IP地址位于美国的漏洞利用攻击事件，攻击者企图利用漏洞获取系统控制权限。安天网安护卫队迅速响应并完成攻击行为研判，确认攻击未造成实际危害，并立即开始溯源。通过威胁情报查询、域名反查、历史资产测绘、互联网检索等手段进行溯源分析，发现该IP关联瑞士网络安全公司BinaryEdge的域名（binaryedge[.]ninja）。

图 2‑7 安天网络威胁监测预警系统告警信息

安天威胁情报中心显示，该攻击IP归属地为美国，具有“恶意”、“爆破”、“扫描”等标签。

图 2‑8 安天威胁情报显示攻击IP行为标签为扫描

对攻击IP进行域名反查，发现关联域名binaryedge[.]ninja与binaryedge[.]io，域名归属于瑞士BinaryEdge公司所有。

BinaryEdge为一家网络安全企业， 提供网络攻击面在内的实时威胁情报。其平台通过扫描互联网上的设备和服务，收集关于开放端口、服务、潜在漏洞以及配置不当的网络共享等信息。通过上述事件判断其并非单纯进行端口服务和指纹探测，也进行了PoC验证行为。

图 2‑9 反查域名发现其属于瑞士BinaryEdge公司

2.4 远控攻击案例

远程控制攻击是指攻击者通过植入带有远程控制功能恶意程序（特洛伊木马等）或利用合法远程管理工具（如VNC、RDP、TeamViewer等）、以及机器自身的开放的管理服务（如远程桌面），来实现可以对目标系统进行操控的行为，其处在网络攻击活动中的“命令与控制”、“持久化”、“执行”与“防御绕过”等环节。

2025年2月14日4时，安天监测并阻断了一起攻击源IP地址位于荷兰的远控攻击事件，安天网安护卫队溯源分析发现，该IP曾传播远控木马家族NanoCore。NanoCore是一种知名的远程控制木马，最初作为合法的远程管理工具开发，但被广泛用于恶意目的。它具备远程控制、键盘记录、屏幕监控、窃取数据和摄像头控制等功能，常通过钓鱼邮件或漏洞传播。感染后可能导致隐私泄露、数据窃取和设备被完全控制。

图 2‑10 安天网络威胁监测预警系统告警信息

安天威胁情报中心显示，该攻击IP归属地为荷兰，具有“恶意”、“远控”、“NanoCore”等标签。

图 2‑11 安天威胁情报显示攻击IP传NanoCore远控木马

2.5 挖矿攻击案例

挖矿攻击是指攻击者未授权利用受害者的计算资源（如CPU、GPU等）进行加密货币挖矿（如比特币、门罗币等）的行为，目的是通过窃取资源牟利，其处在网络攻击活动中的“执行”、“持久化”与“防御绕过”等环节。

重大活动期间，安天网安护卫队应急响应了多起服务器挖矿攻击事件。基于网络侧感知到相关服务器到达矿池地址连接，由于该服务器未安装防护软件，护卫队员指导用户进行了工具处置。发现的挖矿木马样本（样本hash：B4A802912838ADD056FB0ACA7EE3A835，病毒名：Trojan/Win64.CoinMiner）。该木马执行后首先复制自身到C:\ProgramData\WinMngr\目录下，并命名为winmngrsa.exe，同时在C:\Windows\TEMP\下创建名为yoygdjmdclhw.sys的驱动文件。该木马通过一系列精心设计的服务操作来隐藏自身行为，包括删除原有“WinMngr”服务，重新创建同名服务并设置为自启动，以及停止系统日志服务以逃避检测。该挖矿木马启动后，会通过dwm.exe进程连接恶意IP地址185.215.***.***。安天通过流量分析确认，这些连接均为挖矿通信流量，钱包地址为47fEQ5mTN8MCL91SaDm6ooigyfKddGfTchFTudHDQLoyZ4Kps7jG19n1UA8eSwuzomEtjQqKkkZr6NmcbUWa3HtuA2dEe6e。该木马会大量消耗系统算力资源，导致服务器性能严重下降，影响正常业务运行，以及造成电力资源浪费和硬件设备寿命缩短。

表 2‑1 样本标签

病毒名称

Trojan/Win64.CoinMiner

原始文件名

winmngrsa.exe

MD5

B4A802912838ADD056FB0ACA7EE3A835

处理器架构

Intel   386 or later processors and compatible processors

文件大小

2.50   MB(2,620,416字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2024-12-26   17:17:10

数字签名

无

加壳类型

无

编译语言

Microsoft   Visual C++

木马运行后会将自身复制到C:\ProgramData\WinMngr\目录下，并命名为winmngrsa.exe，且以winmngrsa.exe为进程名驻留在系统中。

图 2‑12 复制自身到当前目录下

该木马使用了驱动技术，使用安天系统安全内核分析工具ATool发现木马同时在C:\Windows\TEMP\下创建名为yoygdjmdclhw.sys的驱动文件，开启ATool的云查功能后，该驱动文件被ATool的信誉分析带有恶意内容和恶意行为两个标签，但带有合法数字签名。

图 2‑13 TEMP目录下创建名为yoygdjmdclhw.sys的驱动文件

删除系统原有“WinMngr”服务，重新创建同名服务并设置为自启动，便于受害机器重启后重新执行。下图为使用ATool的云查功能发现病毒创建的服务，橙色表示恶意。

图 2‑14 创建“WinMngr”服务

该挖矿病毒启动后，会通过dwm.exe进程连接恶意IP地址185.215.***.***。

图 2‑15 连接恶意IP地址

病毒内置XMRig挖矿程序进行挖矿，版本为6.21.3，钱包地址为47fEQ5mTN8MCL91SaDm6ooigyfKddGfTchFTudHDQLoyZ4Kps7jG19n1UA8eSwuzomEtjQqKkkZr6NmcbUWa3HtuA2dEe6e。

图 2‑16 挖矿流量

该挖矿木马详细信息参见安天病毒百科。

图 2‑17 长按识别二维码查看CoinMiner挖矿木马详细信息

2.6 僵尸网络案例

僵尸网络是指攻击者通过恶意软件感染大量设备（如PC、服务器、IoT设备）所组成的可以批量控制的网络体系，攻击者通过命令和控制服务器（C&C服务器）远程操纵执行网络攻击活动（如DDoS攻击、窃取敏感信息、发送垃圾邮件等），而这些被感染的计算机通常被称为“僵尸主机”或“肉鸡”，其处在网络攻击活动中的“初始访问”、“执行”、“持久化”、“命令与控制”与“影响”等环节。

重大活动开始前，多家政企单位紧急部署了安天部署的智甲终端防御系统（网络安全责任行动版）快速覆盖数万点主机终端，安装后发现多个僵尸网络感染事件，实现彻底清除。查杀了多个僵尸网络病毒，其中包括“Phorpiex”僵尸网络恶意代码。“Phorpiex”僵尸网络在全球至少感染了100万台计算机，恶意代码（MD5:A775D164CF76E9A9FF6AFD7EB1E3AB2E，病毒名Trojan/Win32.Phorpiex）是“Phorpiex”僵尸网络的核心组件。病毒首先会在系统盘创建由随机数字组成的隐蔽目录，将自身伪装为dllhost.exe系统文件，同时通过注册表启动项和防火墙例外设置实现持久化驻留。该样本具备破坏系统安全防护的能力。通过修改注册表，病毒可以同时禁用Windows Defender、关闭实时防护、屏蔽安全通知等关键安全设置。此外，病毒还会持续监控剪贴板内容，当检测到加密货币交易时，会自动替换钱包地址实施盗窃。在传播机制方面，该僵尸网络展现出极强的扩散能力。其内置的VNC蠕虫模块会扫描随机IP地址，使用硬编码字典对5900端口实施暴力破解；NetBIOS蠕虫模块则通过139端口传播，利用硬编码口令进行攻击。一旦突破防线，病毒会立即下载XMRig挖矿程序，消耗主机资源为攻击者牟利。

图 2‑18 拦截Phorpiex僵尸网络恶意代码

通过安天智甲终端检测系统告警日志显示，共查杀3起Phorpiex僵尸网络恶意代码攻击。

图 2‑19 智甲查杀Phorpiex僵尸网络恶意代码的管理日志

表 2‑2 样本标签

病毒名称

Trojan/Win32.Phorpiex

原始文件名

sysklnorbcv.exe

MD5

A775D164CF76E9A9FF6AFD7EB1E3AB2E

处理器架构

Intel   386 or later processors and compatible processors

文件大小

84.50   KB(86,528字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2024-09-21   20:10:13

数字签名

无

加壳类型

无

编译语言

Microsoft   Visual C++

该僵尸网络详细信息参见安天病毒百科。

图 2‑20长按识别二维码查看“Phorpiex”僵尸网络详细信息

3 小结

网络扫描、暴力破解、漏洞利用、远程控制、挖矿及僵尸网络攻击等都是常态频发的攻击事件。我们本次披露的六个典型事件，是在本次重大活动保障中所感知、响应的海量事件中的典型案例。其背景既有来自黑灰产犯罪团伙，也有某些国家安全企业机构的影子，证实了网络空间中技术对抗与利益博弈的多元性和复杂性。

面对复杂、严峻且持续的威胁挑战，也提醒我们不能仅仅在重大活动期间强化安全保障能力，而需要总结提炼重大活动网络安全保障经验成果，转化为常态化的保障能力，构建城市网络安全防护的“保底”机制。城市侧管理机构需要重视网络安全的共性能力和基础设施建设，形成安全托管与常态化网络安全运营能力，通过建立长效运行机制，确保现代城市的运行。

最新消息，臭名昭著的在线论坛 4chan 本周因疑似遭受重大黑客攻击而离线，此后一直间歇性加载。

Soyjak.party 图像论坛（也被称为 The Party）的成员随后声称对此次攻击负责。他们还泄露了管理员面板的截图以及一份据称属于 4chan 管理员、版主和清洁工（权限较低的版主，帮助管理论坛）的电子邮件列表。

据了解， 4 月 14 日，一名潜入 4cuck 系统长达一年多的黑客执行了真正的‘soyclipse’行动，重新开放了 /qa/ 版块，曝光了 4cuck 各位员工的个人信息，并泄露了网站的代码。

为了控制损失，4cuck 管理员已将所有服务器下线，但有未经证实的报道称服务器可能已完全被攻破，短期内可能无法恢复运行。

在相关帖子中，有人分享了多张截图，以证明黑客能够访问 4chan 的员工管理面板和维护工具。

这些工具能够获取任何用户的地理位置和 IP 地址，重建或重启任何 4chan 论坛，访问论坛日志，查看网站统计数据，并使用 4chan 的 phpMyAdmin 控制面板管理数据库。

尽管声称发动此次攻击的人并未透露他们是如何侵入 4chan 系统的，但有人表示，该论坛可能遭到入侵是因为其使用的是 2016 年的严重过时的 PHP 版本，未针对许多可能在此次攻击中被利用的安全漏洞进行修补。

当天晚些时候，还有人在匿名论坛 Kiwi Farms（之前名为 CWCki 论坛）上泄露了 4chan 的 PHP 源代码。

在发布之前，4chan 要么以纯文本模式加载，要么显示 Cloudflare 连接超时错误，这表明该论坛的工作人员仍在努力使其恢复在线。

4chan 自 2003 年上线以来已运营了二十多年，当时由“moot”（网名）创建。

多年来，该论坛一直被用于泄露据称是从包括微软、英特尔、维尔福、Twitch 以及最近的迪士尼在内的多家知名公司窃取的文件。

Hunters International 勒索软件即服务（RaaS）组织即将关闭并重新打造品牌，计划转向只从事数据窃取和敲诈勒索攻击。

正如威胁情报公司 Group-IB 披露的那样，尽管该网络犯罪组织于 2024 年 11 月 17 日宣布因盈利能力下降和政府监管加强而关闭，但它仍保持活跃。

自那以后，Hunters International 于 2025 年 1 月 1 日启动了一项名为“world leaks”的全新敲诈勒索业务。

目前，从管理员的角度来看，勒索软件已不再有利可图且风险颇高。与该组织合作的犯罪分子将获得一款据称是自行开发的数据外泄工具，旨在自动完成受害者网络中的数据外泄过程。

与将加密与勒索相结合的“Hunters International”不同，“world leaks”组织只从事勒索活动，使用的是专门定制的窃取工具。

这款新工具似乎是 Hunters International 勒索软件附属组织所使用的存储软件数据窃取工具的升级版。

“world leaks”附属网站的登录页面

Hunters International 于 2023 年底浮出水面，由于代码相似，它被标记为 Hive 的可能更名。它的勒索软件针对的平台范围很广，包括 Windows、Linux、FreeBSD、SunOS 和 ESXi （VMware 服务器），它还支持 x64、x86 和 ARM 架构。

自出现以来，这个勒索软件团伙已经对全球组织进行了 280 多次攻击，使其成为最活跃的勒索软件行动之一。

Hunters International 声称的著名受害者包括塔塔技术公司、北美汽车经销商AutoCanada、美国法警局、日本光学巨头Hoya、美国海军承包商Austal USA和俄克拉荷马州最大的非营利医疗网络Integris health等。

去年12月，Hunters International 还入侵了弗雷德·哈奇癌症中心，威胁称如果不付款，将泄露80多万癌症患者的被盗数据。

到目前为止，Hunters International 的运营商已经瞄准了各种规模的公司，赎金要求也从数十万美元到数百万美元不等，具体数额取决于被入侵组织的规模。

DDoS攻击作为全球网络安全领域的核心威胁之一，正以技术快速迭代、攻击规模不断扩大等特点持续挑战着传统防御边界。为了帮助广大用户构建更加完善、有效的DDoS应对策略，快快网络凭借自身在云安全领域十余年的深厚技术积累和丰富实践经验，正式发布了《快快网络2025年DDoS攻击趋势白皮书》。

通过深入分析和总结国内外DDoS攻击趋势、攻击类型、攻击行业目标、攻击地域分布情况，同时结合2024年多次DDoS攻击拦截成功经验，快快网络也预测了2025年DDoS攻击技术演变趋势，并提出系列的防护策略建议。

一、全球DDoS攻击情况

1. DDoS攻击增长态势强劲

2024年中，全球DDoS攻击次数达1787万次，同比增长43.3%。2024 年10月的攻击带宽规模创历史新高，最大单次攻击峰值突破5.6Tbps，涉及1.3万台IoT设备，攻击持续80秒，凸显攻击效率提升。

2. 攻击手段以UDP Flood&HTTP Flood为主

在网络层和应用层攻击中，分别以UDP Flood手段（占比高达61%）和HTTP Flood手段（占比高达73%）为主。

3. 攻击地域分布

在全球范围中，DDoS攻击主要来源国与主要攻击目标对象的Top1、Top2均分别为美国和中国。此排名显示的是，该国家所暴露的基础设施常被攻击者利用，导致该国家成为反射DDoS攻击的中转站。

4. 攻击目标行业

在全球范围中观察攻击目标行业的话，会发现整体以电信及互联网行业为主，二者占比远超60%。

二、国内DDoS攻击情况

1. T级攻击频次空前激增

在国内的攻击情况中，攻击频次逐年增长，T级攻击频次空前激增，攻防对抗加剧。根据快快网络DDoS安全团队的监测数据显示，中国全年遭受DDoS攻击307万次，占全球17.2%，同比增速（89.7%）超全球平均水平。

2. 瞬时泛洪攻击秒级加速

结合快快网络DDoS安全团队的监测数据显示，瞬时泛洪攻击仅需2秒即可攀升至近400Gbps，而T级攻击也仅需10秒即可达到峰值，400Gbps至T级的攻击流量远超传统防御阈值，攻击资源集中且破坏力极强。

3. 攻击地域分布

分析2024年中国遭受DDoS 攻击最多的地域可以发现，浙江（占全国 29.7%）为首要地带，其次为广东、湖南等地。

4. 攻击目标行业

在国内，以互联网行业中的数据服务、基础设施及服务、社交平台、游戏服务为代表的行业依旧是DDoS攻击的重灾区，占比达到74.9%。

三、典型攻防对抗案例

案例一：快快网络成功守护某头部游戏公司安全

1. 案例背景：

某头部游戏公司遭遇混合DDoS攻击（峰值2.35Tbps/83秒），其中包含了UDP Flood与0day漏洞等多种手段。由于具备多向量混合攻击、全球化攻击源、智能规避策略等特点，整体防护难度加大。

2. 快快网络解决方案：

快快网络收到客户委托后，依托多年的DDoS防护实战经验，快速摸清客户业务系统情况，为用户提供了包含边缘防护与实时过滤、AI驱动的行为分析与动态防御、智能流量牵引与云端清洗等多层次、立体化的DDoS安全防护解决方案，帮助用户最大程度地降低经济损失，有效预防二次攻击风险。

案例二：快快网络成功守护某智能家居平台安全

1. 案例背景：

某智能家居平台遭受由Mirai变种病毒所操控的百万IoT设备所发起的 UDP泛洪+SSL/TLS耗尽攻击（峰值1.5Tbps），导致物联网控制中心的安全通信基础架构陷入瘫痪状态。由于此次攻击存在海量分散IP攻击、攻击流量与真实数据混叠、耗尽协议资源，整体防御难度系数大。

2. 快快网络解决方案：

在第一时间接到客户呼叫后，快快网络多位资深安全专家紧急协助客户排查问题并全面了解客户业务影响范围，为客户制定了具有自适应流量塑形、SSL指纹熔断技术（毫秒级阻断）、物联网威胁情报网络等功能特点的安全防护方案，客户平台快速恢复运营。

四、 快快网络DDoS态势技术演变观察

2024年，快快网络成功防护125.9万起DDoS攻击，同比增长115.6%。同年10月，我们还监测到国内最大规模的攻击，峰值流量达2.35 Tbps，创历史新高。

基于2024年的DDoS攻击成功防护实践以及不断精进的防护技术，快快网络也对DDoS攻击核心趋势进行预测：

1. AI驱动的“自适应攻击”成为主流

2. 5G+IoT设备催生超大规模僵尸网络

3. 关键基础设施成为国家级攻击焦点

4. 量子计算对加密协议的潜在威胁

“每天审核上百千万封邮件是种什么体验？”

“比大海捞针还刺激，附件套娃、敏感词隐身、审批流程天天打结...”某企业IT负责人的吐槽，道出了无数同行的日常。

这可不是玩笑。国家网信办最新报告显示：68%的数据泄露始于邮件传输。传统的手动审核早已力不从心，当人工审核遇上智能时代，或许你需要的不是更多人力，而是一个更智能的邮件防泄露系统--CACTER EDLP：Coremail基于自研AI多维行为分析与实时预警技术打造的智能邮件数据防泄露系统。

这不，CACTER小助手为大家整理了三大常见邮件数据泄露场景及应对秘诀，帮助管理员们轻松搞定数据安全建设，一起来看看吧↓↓

省力技巧一：智能检测，精准拦截敏感信息

某企业IT 负责人：客户数据、交易记录、证件信息全在邮件里打转。上次同事不小心把客户数据当周报发出去，虽然及时撤回了，但合规部还是给了警告...怎么才能防止敏感信息泄露？

CACTER 小助手：我们CACTER EDLP内嵌智能模型，你可以按需使用邮箱通讯录、身份证、源代码、银行卡号等经典模型，也可以上传涉敏感文件样本，设置危险相似度，进行片段式的相似度查重，系统可以自动检测邮件内容，就能从那些繁琐的筛查工作中解脱出来，轻松又省心！

省力技巧二：多维解析，附件检测0遗漏

某企业IT负责人：我们这每天发的邮件都带附件，格式五花八门，除了常见的文本，还有 pdf、rar、cad等，甚至一个附件里还融合了好几种格式。那么复杂，怎么能一个不落地检查出里面有没有敏感信息呢？

CACTER 小助手：这事儿交给CACTER EDLP 准没错！CACTER EDLP支持 rar/zip/doc 以及后缀为空等上千种类型附件检测。系统还具备强大的 “附件解析 + 图片 OCR”能力，哪怕附件中嵌入了其它类型文件，也绝对逃不过 CACTER EDLP 的火眼金睛，真正实现检测 0 遗漏。

省力技巧三：灵活审批，多样管控策略

某企业IT负责人：公司部门太多了，像采购、研发这些关键部门，他们的邮件肯定得重点审核；有些普通部门，要求就没那么高。怎么才能制定不同的管控策略，实现灵活审批呢？

CACTER 小助手：小问题！CACTER EDLP 能让你根据部门的人员设置不同的策略。比如可以设置指定员工邮件按时间频率集中审批，重点人员邮件能实时审批。你还能设置多级审批或者让员工自审自批。多种策略随你挑，保证审批工作既高效又灵活！

以上邮件数据泄露防护省力技巧大家都学会了吗？赶紧点击收藏起来~