嘶吼

一、漏洞概述

漏洞类型

敏感信息泄露

漏洞等级

高

漏洞编号

CVE-2025-14847

漏洞评分

8.7

利用复杂度

低

影响版本

利用方式

远程

POC/EXP

已公开

近日，网上有相关情报说“MongoDB 数据库管理系统出现高危漏洞，无需身份验证即可执行任意代码”。经研判，该漏洞为未授权敏感信息泄露，攻击者可以远程获取MongoDB 服务器内存中的敏感数据。为避免您的业务受影响，建议您及时开展安全风险自查。

漏洞影响的产品和版本：

二、漏洞复现

三、资产测绘

据daydaymap数据显示互联网存在4,930,731个资产，国内风险资产分布情况如下。

立即升级至安全版本：

• 禁用 Zlib 压缩协议（如非必要）
• 在网络层部署 WAF，拦截异常压缩请求
• 启用 MongoDB 审计日志，监控异常连接行为

五、参考链接

https://github.com/advisories/GHSA-4742-mr57-2r9j

原文链接

针对macOS系统的MacSync信息窃取恶意软件最新变种，正通过经数字签名且过公证的Swift应用进行传播。

苹果设备管理平台的安全研究人员指出，与以往采用“拖放至终端”或ClickFix等较低级手段的版本相比，此次传播方式有了显著升级。

该恶意软件以经过代码签名和公证的Swift应用形式，封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中，通过https://zkcall.net/download网站分发，无需用户与终端进行任何直接交互。

有效的数字签名和公证

研究人员在分析之时，这款MacSync最新变种持有有效的签名，能够绕过macOS系统的安全机制——Gatekeeper的检测。

安全研究员对这一通用架构的Mach-O二进制文件进行检查后确认，它既经过代码签名，也完成了Apple公证，其签名与开发者团队ID GNJLS3UYZ4相关联。不过，在研究人员将该证书直接上报Apple公司后，该证书现已被吊销。

该恶意软件通过编码形式的“投放器”植入目标系统。研究人员对载荷解码后，发现了MacSync信息窃取恶意软件的典型特征。

解混淆后的载荷

研究人员还指出，这款窃取软件具备多种规避检测的机制，包括：嵌入诱饵PDF文件将DMG镜像文件大小膨胀至25.5MB、清除执行链中使用的脚本，以及在执行前进行网络连接检测以规避沙箱环境。

膨胀后的磁盘镜像文件内容

MacSync信息窃取软件于2025年4月由名为“Mentalpositive”的黑客以“Mac.C”的名称推出，同年7月开始广泛传播，与AMOS、Odyssey等恶意软件一同跻身macOS窃取类恶意软件领域——该领域虽不像其他恶意软件领域那样拥挤，但仍具备较高获利空间。 

此前MacPaw Moonlock对Mac.C的分析显示，该恶意软件可窃取iCloud钥匙串凭证、浏览器中存储的密码、系统元数据、加密货币钱包数据，以及文件系统中的各类文件。

值得关注的是，在2025年9月Mentalpositive接受研究员采访时提到，macOS 10.14.5及后续版本中更严格的应用公证政策，对其开发计划影响最大——这一点也体现在目前发现的恶意软件最新版本中。

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、法国、德国、加拿大、澳大利亚、新加坡、沙特阿拉伯、越南。主要情况如下：

一、恶意地址信息

（一）恶意地址：deli.ydns.eu

关联IP地址：45.74.17.165

归属地：美国/弗吉尼亚州/阿什本

威胁类型：后门

病毒家族：Xworm

描述：这是一种.NET编译的后门木马，使用多种持久性和防御规避技术，能够收集并发送系统详细信息到C&C服务器并接收指令，实现包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控，打开特定URL，监控活跃的窗口，进程管理，剪切板管理，远程shell执行、DDos攻击，获取地址位置，锁定屏幕，密码窃取、安装Ngrok、HVNC、隐藏RDP连接等操作。

（二）恶意地址：www.blazingelectricz.com

关联IP地址：164.132.75.23 

归属地：法国/法兰西岛大区/巴黎

威胁类型：后门

病毒家族：RemCos

描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码，攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（三）恶意地址：38.999apk.top

关联IP地址：91.195.240.12 

归属地：德国/巴伐利亚邦/慕尼黑

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（四）恶意地址：duunntrews.duckdns.org

关联IP地址：178.16.55.5

归属地：德国/北莱茵－威斯特法伦州/杜塞尔多夫

威胁类型：后门

病毒家族：AsyncRAT

描述：这是一种后门木马，采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。其主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（五）恶意地址：botnnnaccgcc.xxbot.co

关联IP地址：185.225.74.140 

归属地：加拿大/魁北克省/蒙特利尔

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（六）恶意地址：as.ddos678.com

关联IP地址：103.212.227.29

归属地：澳大利亚/新南威尔士州/悉尼

威胁类型：僵尸网络

病毒家族：XorDDoS

描述：这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（七）恶意地址：parosh.didns.ru

关联IP地址：172.94.101.157

归属地：澳大利亚/昆士兰州/布里斯班

威胁类型：后门

病毒家族：RemCos

描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（八）恶意地址：15.235.149.57

归属地：新加坡/新加坡/新加坡

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于因特网中继聊天（IRC）协议的物联网僵尸网络病毒，主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描，攻击网络摄像机、路由器等IoT设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大面积网络瘫痪。

（九）恶意地址：svchost1.linkpc.net

关联IP地址：37.56.20.182 

归属地：沙特阿拉伯/麦加/吉达

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（十）恶意地址：bato.cantdown.space 

关联IP地址：103.110.33.164

归属地：越南/胡志明市/胡志明市

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网址和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

RansomHouse勒索软件即服务（RaaS）近期完成了加密工具的升级，将原本相对简单的单阶段线性加密技术，替换为更复杂的多层加密方法。

实际应用中，此次升级带来了更强的加密效果、更快的加密速度，以及在现代目标环境中更稳定的运行表现，让威胁组织在加密完成后的谈判环节拥有更大的筹码。

RansomHouse于2021年12月以数据勒索网络犯罪组织的形式成立，后续在攻击中引入了加密工具，并开发出名为MrAgent的自动化工具，可同时锁定多台VMware ESXi虚拟机监控程序。

此前有报道称，该威胁组织曾针对日本电商巨头Askul公司，同时使用了多款勒索软件家族的工具发起攻击。 

根据研究人员发布的新报告显示，最新的加密工具变种代号为“Mario”。

新型“Mario”加密工具

RansomHouse的这款最新加密工具变种，将原本的单轮文件数据转换方式，改为基于双密钥的两阶段转换方式——分别使用一个32字节的主密钥与一个8字节的副密钥。

该方式提升了加密的熵值，增加了部分数据恢复的难度。

Mario生成两个加密密钥

第二项重要升级是引入了新的文件处理策略：以8GB为阈值设置动态数据块大小，同时采用间歇式加密。

由于该策略具备非线性特征、通过复杂算法确定处理顺序，且会根据文件大小采用不同的处理方式，静态分析的难度被大幅提升。

Mario的另一项值得关注的升级是优化了内存布局与缓冲区组织方式，同时提升了复杂度：现在每个加密阶段或功能模块都有独立的专用缓冲区。

最后，与仅会声明任务完成的旧版本相比，升级后的加密工具会输出更详细的文件处理信息。 

该新型变种仍以虚拟机文件为攻击目标，会将加密后的文件重命名为带.emario后缀的格式，并在所有受影响的目录中留下勒索信《How To Restore Your Files.txt》。

最新RansomHouse变种掉落的赎金信

RansomHouse的加密工具升级情况令人担忧，这标志着“勒索软件发展的危险趋势”：解密难度有所提升，静态分析与逆向工程的难度也进一步加大。

RansomHouse是运营时间较长的RaaS平台之一，但攻击规模仍处于中等水平。其持续开发高级工具的行为，表明该组织采取了更注重攻击效率与规避检测、而非扩大攻击规模的策略，对于人们来说更需警惕对待。

Clop勒索软件团伙（又名Cl0p）正发起新一轮数据窃取勒索攻击，目标为暴露在公网环境中的Gladinet CentreStack文件服务器。

Gladinet CentreStack可帮助企业无需VPN，通过网页浏览器、移动应用及映射驱动器，安全共享本地文件服务器中存储的文件。据Gladinet官方信息，CentreStack“被来自49个国家的数千家企业使用”。

今年4月以来，Gladinet已发布多轮安全更新，修复了多个曾被攻击利用的安全漏洞，其中部分为零日漏洞。

目前，Clop网络犯罪团伙正扫描并入侵暴露在公网的CentreStack服务器。据了解，攻击者会在被攻陷的服务器上留下勒索信。 

但目前尚未有信息表明Clop利用了CentreStack的哪一漏洞实施入侵，无法确定该漏洞是零日漏洞，还是已被修复但受害服务器未完成补丁更新的已知漏洞。 

从近期的端口扫描数据来看，至少有200余个独立IP运行着带有“CentreStack-Login”HTTP标题的服务，这些都是Clop的潜在攻击目标——该团伙正利用这些系统中一个未知的CVE漏洞（可能是n日漏洞或零日漏洞）发起攻击。

Clop的数据窃取攻击历史

Clop勒索软件团伙长期以安全文件传输产品为攻击目标。此前，该勒索团伙曾针对Accellion FTA、GoAnywhere MFT、Cleo及MOVEit Transfer文件共享服务器发起数据窃取攻击，其中MOVEit Transfer攻击影响了全球超2770家机构。

近期，自2025年8月初起，该团伙利用Oracle EBS的零日漏洞（CVE-2025-61882），从多家机构窃取敏感文件。受影响的包括哈佛大学、《华盛顿邮报》、GlobalLogic、宾夕法尼亚大学、罗技，以及美国航空子公司Envoy Air。

在攻陷目标系统、窃取敏感文件后，Clop会将被盗数据发布在其暗网泄露站点，同时提供种子文件（Torrent）供他人下载。

近期，一种名为ConsentFix的ClickFix攻击新变种被发现，该攻击手法可滥用Azure CLI OAuth应用劫持微软账户，全程无需获取用户密码，也无需绕过多重身份验证机制。

ClickFix攻击本质上是一种社会工程学攻击手段，其核心原理是诱骗用户在本地设备执行特定命令，进而实现恶意软件植入或数据窃取的目的。这类攻击通常会伪造“修复系统错误”“人机身份验证”等虚假操作指引，以此迷惑用户。

ConsentFix技术的核心在于窃取OAuth 2.0授权码，攻击者可利用该授权码获取Azure CLI访问令牌。

Azure CLI是微软官方推出的命令行工具，其基于OAuth认证流程，支持用户在本地设备完成身份验证，进而管理Azure及Microsoft 365的各类资源。在该攻击活动中，攻击者会诱骗受害者完成Azure CLI的OAuth认证流程，随后窃取生成的授权码，并通过该授权码获取目标账户的完全访问权限，整个过程既不需要用户密码，也无需突破多重身份验证防护。

ConsentFix攻击的实施流程

ConsentFix攻击的第一步，是诱导受害者访问一个已被入侵的合法网站。该网站针对特定关键词在谷歌搜索结果中排名靠前，具备较强的迷惑性。

受害者访问网站后，页面会弹出伪造的Cloudflare Turnstile验证码组件，要求输入有效的企业邮箱地址。

攻击者预先植入的脚本会将该邮箱地址与目标清单进行比对，过滤掉机器人程序、安全分析师以及非目标对象。

受害者被提示输入他们的电子邮件地址

通过验证的用户会看到一个模仿ClickFix交互模式的页面，页面提供“人机验证”的操作指引。指引内容为点击页面上的“登录”按钮，该操作会在新标签页打开一个微软官方URL。但需要注意的是，这并非常规的微软登录界面，而是用于生成Azure CLI OAuth访问码的Azure登录页面。

如果用户此前已登录微软账户，仅需选择对应账户即可；若未登录，则需在微软真实登录页面完成常规身份验证。 

完成上述操作后，微软会将用户重定向至一个本地主机（localhost）页面，此时浏览器地址栏中会显示一个包含Azure CLI OAuth授权码的URL，该授权码与用户的微软账户直接绑定。

带有代码的ClickFix风格的页面，用于窃取URL

按照页面指引，用户会将该URL复制粘贴至恶意页面，至此钓鱼流程全部完成，攻击者可通过Azure CLI OAuth应用获取目标微软账户的访问权限。

Microsoft Azure CLI 登录页面

一旦受害者完成上述操作，就等同于通过Azure CLI向攻击者开放了自己的微软账户访问权限。至此，攻击者已实际控制受害者的微软账户，且全程既没有进行密码钓鱼，也没有突破多重身份验证的防护。事实上，如果用户此前已处于微软账户登录状态（即存在有效会话），整个过程甚至不需要用户进行任何登录操作。

该攻击针对每个受害者IP地址仅触发一次。因此，即便目标对象再次访问同一钓鱼页面，也不会再出现Cloudflare Turnstile验证步骤。

安全研究人员建议，防御人员应密切监测异常的Azure CLI登录行为，例如来自陌生IP地址的登录操作；同时需重点监控旧版Graph权限范围的使用情况，攻击者通常会刻意利用这类权限来规避检测。

2025年11月19日，2025年“全国网络普法行·北京站”启动仪式暨收官总结活动在中国人民大学成功举办。本次活动由中央网信办、司法部共同指导，北京市委网信办、北京市司法局联合主办，中国互联网发展基金会、中国人民大学、中国政法大学以及中共海淀区委共同支持。作为“全国网络普法行”系列活动的总收官，活动以“e法善治 网聚同心”为主题，全面展现了网络法治建设的丰硕成果与品牌活动的广泛成效。

作为活动的重要组成部分，一场集互动性与趣味性于一体的“网络普法游园会”同步在中国人民大学逸夫会堂前广场举行。海淀区委网信办携手检察院，联合梆梆安全等一批具有代表性的海淀本土科技企业，共同打造了一场“沉浸式普法嘉年华”，将抽象的法律知识转化为可感知、可体验的互动场景，让普法宣传真正“活”起来、“潮”起来。

互动展位人气高涨，反诈经验共享成亮点

在游园会现场，梆梆安全以“移动安全，与你同行”为主题设立的互动展位，吸引了大量师生与参会者驻足。展位以反诈普法为核心，通过互动问答等形式，引导参观者分享日常生活中遇到的电信诈骗案例与防范经验。许多参与者积极写下“反诈心得”，形成一系列实用易懂的反诈小贴士，成为现场一道独特的风景。

展位还揭秘了个人信息保护的多种实用妙招，这些由参与者共同创作的反诈提示，不仅增强了公众对诈骗手法的辨识能力，也生动体现了全民参与共建清朗网络的普法理念，让法治意识在轻松互动中深入人心。

实用安全指南，助力全民防范网络风险

结合本次普法主题，梆梆安全整理了一份涵盖四大方面的网络安全实用指南，旨在提升公众在日常用网过程中的自我保护意识与能力：

科技赋能反诈防护，筑牢移动应用安全防线

梆梆安全作为专注于移动安全与反诈技术研究的企业，长期致力于跟踪电信网络诈骗的新手法与新趋势。通过移动应用安全监测、黑灰产软件库构建、风险行为实时检测等技术手段，梆梆安全帮助企业有效防范屏幕共享欺诈、远程操控攻击、仿冒APP分发等新型风险，助力构建安全、可信的移动应用生态。

在数字经济快速发展的今天，移动应用已成为人们生活与工作中不可或缺的一部分。梆梆安全通过持续的技术创新与实践积累，推动安全防护从“事后治理”向“事前预防”延伸，为企业和用户提供贯穿应用全生命周期的安全保障，实现“科技赋能普法，安全精准直达”。

整场活动在热烈的互动与交流中圆满落幕。梆梆安全通过此次普法行，不仅展示了在移动安全与反诈领域的专业能力，也与公众共同构建了一场法治意识与科技融合的生动实践。未来，梆梆安全将继续携手各方，以创新为驱动，以技术为支撑，为营造清朗、安全、可信的网络空间持续贡献力量。

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（1026-1108）

●最新监管动态

监管通报动态

●监管支撑汇总

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析 

01最新监管动态

1. 监管通报动态

10月24日，甘肃通管局依据相关法律法规，持续开展移动互联网应用程序（含小程序）个人信息合规专项整治行动。截至目前，尚有10款应用程序未完成整改或整改不到位，甘肃通管局现予以公开通报。2025年第四批通报涉及的9款应用程序，仍有5款未按要求完成整改，甘肃通管局现予以下架处置。

10月28日，工信部依据相关法律法规的要求，对APP、SDK违法违规收集使用个人信息等问题开展治理，经抽查，共发现42款APP及SDK存在侵害用户权益行为，上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部依法依规组织开展相关处置工作。

10月30日，病毒处理中心依据相关法律法规，检测发现70款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的69款违法违规移动应用，经复测仍有28款存在问题，相关移动应用分发平台已予以下架。

11月3日，四川和重庆通管局依据相关法律法规的要求，对川渝两地主流应用商店移动互联网应用程序（APP）进行了检查。截至目前，仍有11款APP/小程序未按要求完成整改。上述APP/小程序应限期完成整改落实工作，逾期不整改的，四川和重庆通管局将依法依规进行处置。

11月3日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，尚有8款移动互联网应用程序未整改或整改不到位，北京通管局现予以公开通报。上期通报移动互联网应用程序并要求整改。截至目前，仍有7款移动互联网应用程序未整改或整改不到位，北京通管局现予以全网下架处置。

11月3日，上海通管局依据相关法律法规的要求，对APP（SDK）违法违规收集使用个人信息等问题开展治理。10月，上海通管局公示的一批存在侵害用户权益行为的APP（SDK）。经核查复检，尚有27款APP（SDK）未按照要求落实整改，上海通管局现对上述APP（SDK）采取下架处理。

11月3日，上海通管局依据相关法律法规的要求，对APP（SDK）违法违规收集使用个人信息等问题开展治理。经抽查发现53款APP（SDK）存在侵害用户权益行为，上海通管局现予以通报。

11月6日，安徽通管局依据相关法律法规的要求，对省内APP进行了拨测检查，检测发现28款APP存在违法违规收集使用个人信息的问题，安徽通管局对上述违规APP企业下达了责令改正通知书，要求限期完成整改工作。截至目前，尚有10款APP未完成问题整改，逾期不整改的，安徽通管局将依法依规组织开展相关处置工作。

11月10日，工信部依据相关法律法规的要求，对APP、SDK违法违规收集使用个人信息等问题开展治理，经抽查，共发现39款APP及SDK存在侵害用户权益行为，上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部依法依规组织开展相关处置工作。

11月11日，湖南通管局依据相关法律法规的要求，开展移动应用程序个人信息权益保护专项治理行动。9月，湖南通管局公开通报的41款未按期完成整改的移动应用程序，截至目前，仍有23款移动应用程序未按期完成整改，湖南通管局予以下架。

02监管支撑汇总

1. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03漏洞风险分析

从全国的Android APP中随机抽取了2,376款进行漏洞检测发现，存在中高危漏洞威胁的APP为1,820个，即76.6%以上的APP存在中高危漏洞风险。而这1,820款漏洞应用中，有高危漏洞的应用共1,321款，占比72.58%，有中危漏洞的应用共1,776款，占比97.58%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP各类型占比分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的22.04%，其次为教育学习类APP，占比12.09%，生活服务类APP位居第三，占比10.31%，漏洞数量排名前十的类型如下图所示：

近日，2025中国—东盟数据安全产业创新合作论坛在广西南宁成功举办。论坛期间，中国软件评测中心联合数世咨询等机构正式发布了《2025中国数据安全企业全景图》。梆梆安全凭借在数据安全领域卓越的技术实力与专业服务，在数据跨境合规、数据资产识别、数据分类分级、数据加密、API安全、异常行为分析、数据安全检查工具箱、数据安全咨询服务、数据安全评估服务、数据安全人才培训服务、个人信息保护以及具备全球化服务能力等12项细分领域成功获选，充分体现了公司产品与服务的专业性以及行业的高度认可。

本次全景图系统梳理了国内数据安全产业的企业生态与市场格局，紧密围绕技术演进与场景创新，新增了前沿技术布局与热点应用场景，并突出对全球化服务能力的关注。在结构上，全景图共设立4个一级分类与34个二级分类，全面呈现我国数据安全产业的体系架构与发展动态，清晰反映出各细分领域中企业的分布格局与技术能力水平。该全景图的发布，不仅为政府与企业在把握产业态势、制定发展策略方面提供了权威参照，也将有力促进行业协同与生态共建。

梆梆安全入选详情

数据安全产品

数据安全服务

前沿技术与热点场景

全球化服务能力

作为数据安全领域的践行者，梆梆安全多年来持续深耕该领域，已构建起一套覆盖多场景的数据安全能力体系。公司在数据安全关键技术方面不断实现突破，依托自研的智能化产品与专业服务，形成包括API安全平台、移动应用合规平台、全渠道应用安全监测平台，以及涵盖个人信息隐私合规评估、个人信息保护合规审计、GDPR合规咨询等在内的综合服务矩阵。

基于上述能力，梆梆安全打造了覆盖数据全生命周期的防护体系，能够在复杂多变的实际应用环境中，为客户提供具备高度落地性与持续运营能力的安全支撑，有效应对日益动态化、高阶化的安全挑战。

关键场景实践中，梆梆安全聚焦于以下维度，实现精准能力部署：

风险监测与阻断：依托API安全平台、全渠道应用安全监测平台，构建持续化、体系化的安全感知与响应机制，实现对数据资产与业务接口的实时威胁感知与风险控制。

个人信息保护：系统性搭建专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

数据跨境合规：围绕数据出境安全与跨境监管要求，提供涵盖GDPR汽车出海数据安全合规评估等服务，通过系统开展涉及个人信息的处理活动差距分析，精准识别合规薄弱环节，确保数据处理全流程符合目标市场法律法规，支撑企业在全球化运营中构建规范、可持续的数据跨境流动体系。

未来，梆梆安全将持续深耕数据安全核心技术，致力于推动人工智能与数据安全能力的深度融合。我们将以创新为引擎，不断迭代覆盖数据全生命周期的产品与解决方案，为千行百业的数字化转型构筑更智能、更可靠的安全基石，携手生态伙伴共同推动数据安全产业迈向高质量发展的新阶段。

最新发现，多个威胁者正借助OAuth设备代码授权机制，通过钓鱼攻击攻陷微软365账户。攻击者会诱骗受害者在微软官方设备登录页面输入设备代码，在受害者毫无察觉的情况下，完成对攻击者控制应用的授权，无需窃取凭证或绕过多因素认证，即可获取目标账户的访问权限。

尽管该攻击手段并非首次出现，但自今年9月以来，此类攻击的数量大幅增长，发起攻击的既包括TA2723这类以牟利为目的的网络犯罪分子，也有与国家相关联的威胁组织。

安全研究员监测到多个威胁团伙正利用设备代码钓鱼，诱使用户向威胁者开放微软365账户的访问权限，且此类攻击流程被用于大规模攻击活动的情况“极为反常”。

攻击工具与活动详情

黑客通过诱骗受害者在微软官方设备登录门户输入设备代码。在部分攻击中，设备代码会被伪装成一次性密码；在另一些攻击中，诱饵则是令牌重新授权通知。

研究人员发现攻击中使用了两款钓鱼工具包：SquarePhish v1、v2，以及Graphish，这些工具简化了钓鱼攻击的实施流程。

SquarePhish是一款公开可用的红队工具，通过二维码针对OAuth设备授权流程发起攻击，仿冒微软MFA/TOTP的合法配置流程。

Graphish是在地下论坛传播的恶意钓鱼工具包，支持OAuth权限滥用、Azure应用注册，以及中间人攻击。 

针对监测到的攻击活动，研究人员在报告中重点提及三类：

1.薪资奖金攻击：该攻击活动以文档共享为诱饵，搭配本地化的企业品牌标识，诱使收件人点击攻击者控制的网站链接。随后受害者会被要求在微软官方设备登录页面输入指定代码，完成“安全认证”，实则为攻击者控制的应用完成授权。

攻击中使用的授权页面

2.TA2723攻击活动：TA2723是一个从事大规模凭证钓鱼的威胁组织，此前曾仿冒微软OneDrive、LinkedIn与DocuSign发起攻击，今年10月起开始使用OAuth设备代码钓鱼手段。该活动初期可能使用SquarePhish2工具，后续攻击浪潮则可能转向Graphish钓鱼工具包。

TA2723的OneDrive仿冒攻击

3.国家关联攻击活动：自2025年9月起，监测机构监测到一个疑似与俄罗斯相关联的威胁组织（追踪代号UNK_AcademicFlare），正滥用OAuth设备代码授权机制实施账户接管。该组织先攻陷政府与军方的邮箱账户，以此建立信任，随后分享仿冒OneDrive的链接，诱导受害者进入设备代码钓鱼流程。攻击主要针对美国与欧洲的政府、学术、智库及交通行业机构。

针对前期无害互动发起的恶意邮件

为拦截此类攻击，安全研究员建议企业尽可能启用Microsoft Entra条件访问，并考虑制定登录来源相关的安全策略。

黑客正针对两款远程文件安全访问共享产品——CentreStack与Triofox发起攻击，其所用的突破口，是这两款产品加密算法实现过程中一个此前未被公开披露的全新漏洞。

安全研究人员发出警告，攻击者可借助该漏洞获取硬编码加密密钥，进而实现远程代码执行。尽管该新型加密漏洞目前尚未获得官方漏洞编号，但Gladinet方面已向客户推送相关通知，建议用户将产品更新至11月29日发布的最新版本。该公司同时向客户提供了一套入侵指标，表明该漏洞已被用于野外攻击。

托管式网络安全平台Huntress的安全研究人员证实，目前至少有9家机构遭到攻击。攻击者在攻击中同时利用了上述新漏洞，以及一个编号为CVE-2025-30406的旧漏洞——这是一个本地文件包含漏洞，本地攻击者可利用该漏洞在无需身份验证的情况下访问系统文件。

硬编码加密密钥漏洞原理

借助Gladinet提供的入侵指标，Huntress的研究人员成功定位该漏洞的触发位置，并厘清了威胁者的利用方式。

研究发现，该漏洞根源在于Gladinet CentreStack与Triofox两款产品对AES加密算法的自定义实现环节——加密密钥与初始化向量（IV）被硬编码在GladCtrl64.dll文件中，攻击者可轻易提取。 

具体而言，密钥值由两段固定的100字节中日文文本字符串生成，且所有产品安装实例中的该字符串完全一致。 

漏洞的核心触发点在于对filesvr.dn处理器的处理逻辑：该处理器会使用上述静态密钥对t参数（即访问令牌）进行解密操作。 

任何获取这些密钥的攻击者，都可解密包含文件路径、用户名、密码及时间戳等信息的访问令牌，甚至能伪造令牌冒充合法用户，向服务器发送指令以读取磁盘中的任意文件。

研究人员指出：“由于这些密钥永久固定不变，我们只需从内存中提取一次，就能用其解密服务器生成的所有令牌；更危险的是，攻击者还能利用密钥自行加密生成恶意令牌。” 

Huntress观测到，攻击者会利用硬编码AES密钥伪造访问令牌，并将令牌的时间戳设置为9999年，以此实现令牌永久有效。 

随后，攻击者会向服务器发起请求，获取web.config配置文件。该文件中包含machineKey密钥，攻击者可借助此密钥，通过视图状态反序列化漏洞触发远程代码执行。

开发活动

目前，除已确认的攻击源IP地址147.124.216[.]205外，相关攻击的具体归属组织尚未明确。

在攻击目标方面，Huntress证实，截至12月10日，已有来自医疗、科技等多个行业的9家机构遭到攻击。研究人员建议，Gladinet CentreStack与Triofox的用户应尽快将产品升级至12月8日发布的16.12.10420.56791版本，同时更换系统的machineKey密钥。

此外，用户还应扫描系统日志，排查是否存在字符串vghpI7EToZUDIZDdprSubL3mTZ2——该字符串与加密后的文件路径相关联，是判定系统是否遭入侵的唯一可靠指标。

目前，Huntress已在其发布的报告中提供漏洞缓解指导方案，同时附上相关入侵指标，供安全防护人员用于加固防护体系，或排查自身系统是否已遭到入侵。

快手“T0级网安事故”全时间线：

18:00 - 21:00

傍晚时分，快手平台直播板块开始出现零星异常报告。部分敏感用户发现，个别直播间的内容开始偏离常规，出现暗示性语言和擦边球行为。

22:00

攻击进入实质性阶段。大规模、有组织的违规直播突然同时上线。监测数据显示，在短短15分钟内，超过200个直播间几乎同步开启，内容均涉及淫秽色情。

22:15
平台监控系统首次触发大规模异常警报。后台数据显示，多个直播间观看人数呈现异常增长曲线。

22:30 - 23:30
攻击达到高峰期。此时段内，平台同时存在的违规直播间数量维持在300个以上，其中30多个直播间观看人数突破5万，部分头部违规直播间观看人数更是一度冲破10万大关。

23:45

快手技术团队终于确认系统遭受有组织的黑灰产攻击，而不仅仅是普通的内容违规问题。后台日志分析显示，攻击者集中针对平台的直播封禁接口进行了特定模式的攻击，导致自动封禁机制部分失效。

12月23日 00:15
在攻击爆发约2.5小时后，快手平台强制关闭了直播功能。此时，平台直播频道开始显示“服务器繁忙，请稍后重试”的提示，而短视频等其它功能仍保持正常。

同时，平台开始大规模封禁涉事账号。后台数据显示，此轮处置共封禁账号超过5000个，其中大部分为近期新注册或被盗用的账号。

00:30
事件影响开始溢出至平台外。北京公安局海淀分局证实已接到多个市民报案，警方正式介入调查。快手官方随后发布第一份声明，确认平台“遭到黑灰产攻击”，并表示已向公安机关报警。

02、官方回应：黑灰产攻击，已紧急修复

快手方面回应称：平台遭到黑灰产攻击，目前已紧急处理修复中，平台坚决抵制违规内容，相应情况已上报给相关部门，并向公安机关报警。

此次事件并非偶然的漏洞利用，呈现了一套高度成熟、分工明确的攻击流水线。从资源准备到最终引爆，黑灰产展现了不亚于正规互联网公司的技术整合与工程化能力。其核心流程可归纳为以下三个关键阶段，环环相扣，构成了一套完整的“灰色流水线”。

第一阶段：建立“肉鸡”孵化器——账号的批量制造体系

攻击的起点，是解决“身份”问题。黑灰产不再依赖随机盗号，而是建立了标准化的账号生产链：

资源层：核心是“接码平台”与“SIM卡农场”（即猫池）的组合。前者提供全球范围的临时手机号接收服务；后者作为物理硬件，实现数SIM卡的集中管理与短信自动接收。

自动化层：通过定制脚本，将注册流程完全自动化：从平台获取号码→模拟App注册请求→自动抓取并填入验证码。这套体系能以极低成本，快速生成海量“干净”账号，完成了攻击兵力的原始积累。

第二阶段：穿上“隐身衣”——对抗风控的伪装与潜伏

批量注册的账号极易被识别。因此，黑灰产投入大量精力用于“对抗性身份塑造”，目标是让虚假账号在平台风控系统中“看起来像真人”：

网络身份伪装：使用动态VPS和庞大的代理IP池，将攻击流量分散到大量真实住宅或移动IP之后，有效规避基于IP的频次与地理位置规则。

设备身份克隆：利用工具深度伪造每个账号对应的设备指纹（包括型号、操作系统、各类硬件ID等），生成看似真实、唯一的设备身份，绕过设备风险识别模型。

行为模式模拟：账号在攻击前会经历“静默培养期”。通过脚本模拟正常用户的浏览、互动等行为，积累可信的行为轨迹，降低账号风险评分，为后续高危操作铺平道路。

第三阶段：发动“蜂群”攻击——精准协同的分布式打击

这是技术含量最高的环节，关键在于实现大规模节点的毫秒级协同：

指挥中枢：攻击者架设中心化控制服务器，负责存储攻击素材、推流地址，并制定精确到秒的攻击时间线。

任务同步：采用分布式任务调度技术。在预定时刻，控制端向所有在线代理节点同步下发加密的攻击指令包。各节点通过时间同步协议校准，确保动作一致性。

瞬时引爆：指令触发后，所有节点同步执行：调用平台接口创建直播间、获取推流凭证、将预录制的违规视频流推送至服务器。从而实现“万播齐发”，在极短时间内冲垮常规审核与响应机制。

此次事件清晰地表明，黑灰产攻击已从零散的漏洞利用，升级为具备资源供应链、技术对抗链、协同指挥链的完整作战体系。攻击方犹如一支拥有技术中台的“灰色军队”，进行的是系统对系统、工程对工程的较量。

在复盘了惊心动魄的十分钟攻击后，一个核心问题浮出水面：这场需要精密策划、庞大资源和技术协同的“闪电战”，究竟出自何人之手？基于公开的攻击手法和黑灰产活动规律，我们尝试勾勒几种可能的画像。

综合来看，此次攻击的发起者，极大概率是一支技术成熟、分工明确、具备“企业级”运作能力的国内专业黑灰产组织。这并非散兵游勇的偶然行为，而是一次典型的产业化协同犯罪。

攻击的产业化：攻击团队已拥有从资源储备、技术对抗到协同指挥的完整“技术中台”，短时间内调动、协调并有效控制数以万计的“僵尸”账号（肉鸡）发起同步攻击，需要掌握庞大且稳定的国内“肉鸡”资源网络、代理IP池以及验证码接收渠道。这背后是一个扎根于国内互联网土壤的庞大灰色资源供应链。其运作模式堪比一家小型科技公司。这标志着攻击已从“工具化”进入“工业化”阶段。

动机的复合化：如此大动干戈，其目的绝非“炫技”那么简单，而是有着清晰的利益诉求：首要且直接的目的是快速规模化的经济变现，这是最核心的驱动力。通过直播引流→社交账号盗取→实施诈骗，形成了一条高效、可复制的“黑产流水线”，能在极短时间内将流量非法转化为经济利益。潜在目的可能是能力展示与市场干扰。成功瘫痪一个顶级互联网平台的核心业务，本身就是对自身技术能力的“最强广告”，有助于该组织在黑市中提升声望、抬高“服务”报价。同时，不能完全排除其受雇于某些商业竞争对手，进行市场干扰的可能性，但经济利益始终是根本出发点。

防御的新挑战：对手不再是利用零散漏洞的黑客，而是成体系、有预算、有持续性的“灰色军队”。防守方必须构建与之匹配的、覆盖全链路的“纵深防御”体系，并从单点防护思维转向持续性的动态对抗和体系化作战思维。

对于平台和企业而言，防御思维必须升级：对手不再是利用单一漏洞的“点”式攻击，而是发起多维度、全链条协同的“面”式打击。未来的防御体系，必须构建覆盖“资源对抗—行为识别—实时研判—智能熔断”的纵深防御和动态对抗能力，方能应对此类工业化攻击的挑战。

针对这一极端突发情况，快手在23日0时前后采取了“无差别关停”的紧急止损措施。截至凌晨0时45分，直播频道已恢复正常。

12月23日，快手-W(http://1024.HK)开盘跌3.3%，报64.50港元/股；截至发稿，报63.95港元/股，下跌4.12%。

原文链接

12月22日晚间，国内知名短视频平台快手遭遇有组织的黑灰产攻击，大量直播间被非法植入色情低俗内容，引发广泛关注。截至发稿，平台方已采取紧急措施，封禁违规直播间，并向公安机关报案。

据消息，当晚众多网友反映，快手平台部分直播间突然出现播放淫秽影片、进行擦边低俗表演等异常内容，个别直播间实时观看人数甚至达到上万人。这些内容显然与平台日常审核标准严重不符，疑似系统遭外部恶意攻击所致。

并且有网友提醒，千万不要点击相关链接。攻击者很可能利用色情内容的吸引力，在短时间内聚集大量用户，再通过技术手段诱导用户点击恶意链接。一旦用户点击，设备就可能被植入恶意程序，导致个人信息泄露、账号被盗、甚至进行诈骗。

图片来源于网络

面对突发情况，快手方面连夜启动应急机制，技术人员紧急介入处理。目前，大量异常直播间已被封禁，平台基本功能恢复正常。

快手官方称，快手遭到黑灰产恶意攻击，导致部分直播间出现违规内容。平台已第一时间启动应急预案，目前正在紧急处理修复中。快手强调，平台一贯坚决抵制各类违规内容，对于此次攻击事件，已及时将情况上报相关部门，并向公安机关正式报警。

网络安全专家指出，此类针对大型互联网平台的针对性攻击，通常是有组织的黑灰产团伙利用技术漏洞或自动化工具实施的恶意行为。

12 月 18 日，专注推动网络与安全融合的全球性综合网络安全解决方案供应商 Fortinet，在京成功举办 2025 年终媒体会。恰逢公司成立 25 周年、进入中国市场 23 年的重要节点，Fortinet 中国区总经理李宏凯、中国区技术总监张略、北亚区 OT 业务负责人王宏善及首席攻防专家王涛等悉数出席，共同回顾2025年网络安全行业关键词，深入展望2026年网络安全图景，并深度解析公司在AI驱动安全领域的战略规划与技术成果，全面展示Fortinet从集成化安全平台到AI驱动自动化防御的演进之路。

稳健增长，平台战略筑牢企业安全底座

李宏凯在分享中指出，尽管全球市场环境复杂多变，Fortinet依然凭借其“集成化、自动化、智能化”的平台战略实现增长。截至2025年，Fortinet全球客户数量已突破90万，员工规模超1.5万人，成为全球最大的一站式网络安全平台提供商之一。《财富》100强企业中，80%选择采用Fortinet解决方案，印证了其技术架构在企业复杂环境中的卓越适应性。

Fortinet 中国区总经理 李宏凯

“安全技术的演进必须稳健务实。Fortinet不会追逐短期技术热点，而是以统一操作系统 FortiOS 为核心，构建覆盖安全网络、统一SASE、AI驱动安全运营的融合架构，坚持将每一类产品深度集成至Security Fabric统一平台中，这正是我们在过去25年，尤其是近两年市场波动中保持增长的核心，”李宏凯强调。2025年，Fortinet的统一SASE、AI驱动的安全运营（SecOps）与OT解决方案成为增长最快的业务板块。

攻击工业化，防御应迈向机器速度时代

张略在解读《2026年网络威胁趋势》报告时指出，网络攻击已进入以“规模化、自动化、武器化”为特征的“攻击工业化”时代。在这一阶段，攻击者利用生成式AI批量制作钓鱼邮件、自动挖掘并利用漏洞，将攻击周期从数月压缩至分钟级，实现多轮次、大规模协同攻击。攻击技术本身不再是核心门槛，攻击的规模与速度成为更关键的威胁维度，OT环境等成为首要目标。报告预测，2026年专为犯罪设计的自主智能体将大量出现，攻击速度与规模将呈指数级跃升。

Fortinet中国区技术总监 张略

面对威胁态势的量变，张略强调，防御体系必须同步升级至“工业化”水平——即以全球威胁情报为驱动，实现自动化侦测、实时响应与策略动态优化。Fortinet依托其“融合”与“整合”的双重基因，将FortiGuard全球威胁情报、AI增强分析平台与人机协同运维体系深度结合，把安全能力嵌入网络的每一个节点，构建起统一平台下的集中安全管理框架。这一体系能够将威胁处置效率从传统的“数天”提升至“分钟级”，真正实现“以AI的速度对抗AI攻击”，推动网络安全防御全面迈入“机器速度”时代。 

OT安全新前沿 坚实保障工业数字化转型

王宏善分享了OT安全领域的最新进展。他指出，OT系统普遍面临系统老旧、兼容性困境、人才断层和替代成本高等挑战。Fortinet凭借在Gartner多项评估中的领导者地位，以及创新的IT/OT融合解决方案，为制造行业提供全方位防护。

Fortinet北亚区 OT 业务负责人 王宏善

展望未来，王宏善介绍了三大前沿OT安全应用：工业容器防火墙，嵌入工业制造商等设备内核实现虚拟化防护；工业5G安全，为智能制造的私有5G网络提供隔离与防护；船舶SASE，通过全球PoP点为远洋船舶提供实时安全运维与轨迹优化，助力中国船舶制造业走向全球。Fortinet 已在这些领域落地标杆项目，助力客户实现安全与业务的双重推进。

AI赋能安全运营 构建未来安全新生态

首席攻防专家王涛系统阐释了Fortinet“AI for Security”（人工智能安全）与“Security for AI”（安全的人工智能）双轨战略，并围绕三大AI能力支柱展开实战化演示，展现从威胁识别到响应的全流程智能化升级。

Fortinet中国首席攻防专家 王涛

在“AI for Security”方面，FortiAI-Protect依托FortiGuard全球威胁情报与AI能力，实现对已知/未知威胁的主动防御与自动化拦截。

而在安全运营层面，集成于FortiAnalyzer、FortiSOAR等产品的FortiAI-Assist已实现从“智能辅助”到“实战专家”的升级。王涛现场演示，安全人员只需通过自然语言指令，系统即可自动关联日志、绘制攻击链并推荐处置方案，将调查响应时间从小时级压缩至分钟级，并可自动生成SOAR剧本，实现闭环处置。

针对“Security for AI”，Fortinet提出“安全AI基础框架”，并在此基础上构建了覆盖AI数据中心全链路的端到端分层防护体系。该体系从边界安全、身份管理，到应用与API防护直至AI运行时安全与训练模型保护，形成纵深防御架构。王涛现场演示了框架中关键一环——计划于明年发布的“AI运行时安全”方案。该方案能够有效防御“提示词注入”等新型攻击，并对AI使用进行成本优化与合规审计。

王涛总结指出，FortiAI的目标并非替代专家，而是成为安全分析师身边“永不疲倦的超级智囊”，推动威胁应对从“人工驱动”迈向“人机协同”新范式。

技术支点：量子安全、统一SASE构筑韧性网络

在技术前沿层面，Fortinet于2025年取得多项突破性进展。首先，基于自研NP7及SP5芯片的防火墙在超高吞吐与能效比上持续领先，成为大型AI数据中心客户的首选。其次，Fortinet率先推出量子安全方案，支持后量子密码学与量子密钥分发，以应对“先存储、后解密”的远期数据威胁。此外，Fortinet与NVIDIA达成合作，将其安全能力集成至BlueField DPU芯片，为AI数据中心提供硬件级安全加速。

统一SASE战略亦在2025年进入规模化落地阶段。目前Fortinet已在全球部署超170个POP节点，并计划于2026年在中国大陆北上广深度布局本地化节点，为企业出海与混合办公提供低时延、零信任架构的安全访问能力。

面向2026年，Fortinet 中国将继续深耕高科技、制造、金融、能源、汽车等重点行业，推出场景化安全解决方案。开发全新AI Runtime Security产品，并将加速 SASE PoP 点落地，支持中国企业出海；同时强化OT安全、AI安全等新兴领域的生态合作与人才培养。25年来 ，Fortinet从未偏离融合安全的初心。未来也将继续以平台化、智能化、自动化，助力客户构建适应AI时代的弹性安全体系，共同筑牢数字世界防线。

一款名为DroidLock的新型安卓恶意软件被安全人员发现，该软件不仅能锁屏勒索受害者赎金，还可获取短信、通话记录、联系人、音频录音等信息，甚至能直接删除设备数据。

DroidLock支持攻击者通过虚拟网络计算共享系统获得设备的完全控制权，同时还能在屏幕上生成悬浮层，以此窃取用户的锁屏图案。

研究人员指出，这款恶意软件的攻击目标为西班牙语用户，其传播渠道为恶意网站——这些网站通过推广仿冒合法应用的虚假安装包，诱导用户下载安装。 

据了解，该恶意软件的感染流程始于一个投放程序，它会诱骗用户安装包含核心恶意载荷的次级程序。

Loader 应用（顶部）和 DroidLock 应用（底部）

恶意应用会以“应用更新”为借口植入主恶意载荷，随后申请设备管理员权限与辅助功能权限，凭借这些权限实施各类恶意操作。

借助已获取的权限，DroidLock可执行多种恶意行为，包括清空设备数据、锁定设备、修改个人识别码（PIN）、密码或生物识别信息，以此阻止用户访问自己的设备。 

分析显示，DroidLock内置15条可执行命令，涵盖发送通知、在屏幕生成悬浮层、静音设备、恢复出厂设置、启动摄像头、卸载应用等操作。

DroidLock 支持的命令

一旦接收到对应的勒索指令，该恶意软件会通过网页视图立即弹出勒索悬浮窗口，要求受害者通过一个Proton邮箱地址联系攻击者。若受害者未能在24小时内支付赎金，攻击者便威胁会永久销毁设备内的文件。

DroidLock的勒索覆盖

DroidLock并不会对文件进行加密，而是以销毁文件为要挟索要赎金，最终达成与传统勒索软件相同的目的。除此之外，攻击者还可通过修改设备锁屏密码，完全剥夺用户对设备的访问权限。

该恶意软件窃取锁屏图案的功能，是通过加载恶意安装包资源目录中的另一悬浮层实现的。当用户在这个仿冒的锁屏界面绘制解锁图案时，图案信息会被直接发送给攻击者。攻击者设计这一功能，是为了能在设备闲置时段通过VNC实现远程访问。

安全人员建议安卓用户：若非来源绝对可信，切勿从谷歌应用商店外的渠道下载安装APK文件；安装应用时，务必核查其申请的权限是否与功能匹配；同时应定期使用谷歌应用防护服务对设备进行安全扫描。

12月15日，快快网络与集美大学共建“工业智能与网络安全创新实验室”授牌仪式隆重举行。集美大学计算机工程学院院长王宗跃、副院长付永刚，快快网络COO兼快快研究院院长姚鳗芸、总经理张功洪、人力资源总监杨玉群出席活动，共同见证这一重要时刻。

作为厦门本土高新技术企业，快快网络以AI、DDoS、大数据等技术为底座，在云计算、云安全领域深耕十余年，不仅落地系列产品与解决方案，更在AI智能防护、AI智能安全运营领域落地了系列产品，并积累了扎实的实战经验，并形成了核心竞争力。实验室的成立，标志着公司在“AI赋能安全”战略布局上迈出关键一步，也将成为技术研发与产业应用深度融合的核心支点。

未来，快快网络将持续聚焦AI安全及防护等前沿赛道，加大研发资源与资金的系统性投入，深化AI创新技术打磨，构建适配众多行业用户需求的高效、便捷、可进化的智能安全免疫体系，强化AI技术壁垒，积极响应“数字中国”、“一带一路”等国家战略，助力地方乃至全国数字经济安全高效发展。

制作 / 古木子月

（接上集）

制度层面，核心是

“简单明确、责任到人”

不用照搬

行业大企的复杂规范

围绕核心风险

制定几条关键规则即可

比如明确

“敏感信息不私存、

陌生链接不点击”的操作底线

规定“账号权限随岗变动、

离职立即回收”的管理要求

确定“发现异常

先断网再上报”的

应急步骤

制度的价值在于

让员工形成共识

把安全变成

日常操作的一部分

这是零成本

却效果显著的防护环节

工具层面，遵循

“轻量化、按需匹配”原则

优先选择

无需本地部署

按实际需求付费的服务

比如覆盖终端安全的

基础防护工具

能实现病毒查杀、

异常操作提醒即可

网络防护

用现有设备的内置功能

配合简单的

访问控制设置

就能挡住大部分外部风险

远程办公场景下

用双认证机制

替代复杂的专用系统

既保障安全

又降低使用门槛

工具的核心

是“够用就好”,避免冗余功能

支付额外成本

运营层面，强调

“低频次、易执行”

不用安排专人负责

每月花固定时间

做一次简单巡检

检查核心文件的存储状态

工具防护是否正常

账号权限有无异常

每季度组织

一次短时间培训

用真实风险案例

替代枯燥讲解

强化员工安全意识

这种低投入运营模式

能让防护体系持续生效

终端数据安全

聚焦核心环节，守住数据底线

终端是数据流转的

关键节点

也是风险高发区

低成本防护的核心

是围绕“存储、传输、备份”

三个环节

建立简单易执行的

管控机制

存储 环节

避免敏感数据

分散存放在个人设备

通过统一的加密存储空间

归集核心信息

同时给终端设备

开启基础加密功能

确保设备丢失或异常时

数据不会轻易泄露

操作上不用复杂设置

借助系统自带功能或

轻量化工具就能完成

投入小却能筑牢

数据存储的第一道防线

传输 环节

明确敏感信息的

传输规则

不用个人通讯工具

传递核心数据

通过企业内部的加密通道

或合规协作工具完成

对外传输时设置审批环节

避免信息随意外发

同时通过工具

设置简单的告警机制

当检测到异常传输行为时

及时提醒

堵住数据外泄的漏洞

备份 环节

数据丢失的损失

往往远超备份投入

低成本备份

不用依赖专业设备

采用“本地+云端”的

双重备份方式即可

本地备份

存于专用存储设备

云端备份

选择按需付费的基础服务

定期做恢复测试

确保备份可用

这种方式投入低

却能在数据意外丢失时

快速止损

是性价比极高的防护动作

落地启示：精准

是低成本安全的核心

一家以数据为核心的企业

曾因担心安全投入过高

迟迟未做防护

后来通过梳理发现

核心风险是

“客户信息存于员工电脑、

无备份且可随意转发”

他们没有采购复杂系统

而是通过

“规范存储路径+

简单终端工具+

定期备份”的组合方式

仅用少量投入

就解决了核心问题

后续未再发生

数据安全事件

省钱

咨询帮你避开无效投入

较少的预算

就能覆盖“基础防护+

终端数据安全+合规底线+

风险排查+应急响应”

比自己对接多个服务商

省30%-50%成本

省心

不用懂技术

不用养团队

咨询团队定方向

运营团队保落地

企业只需配合1-2个对接人

就能实现常态化安全防护

有效

以风险为导向

不做“形式化防护”

聚焦核心资产和高频风险

真正实现“防得住、用得顺”

作为咨询引领的

一体化安全运营者

我们始终相信

企业的安全防护

不在于“多复杂”

而在于

“多精准、多落地”

特别鸣谢：看懂村
漫画形象参考：看懂村

来源：重庆信通设计院天空实验室

近日，专注推动网络与安全融合的全球性综合网络安全解决方案供应商 Fortinet®（Nasdaq：FTNT），重磅发布一项创新集成方案：将FortiGate VM（虚拟云防火墙）直接部署于NVIDIA BlueField-3数据处理器（DPU）之上运行。该方案通过把核心安全模块从传统主机层迁移至BlueField平台，将网络与安全能力深度嵌入AI数据中心基础设施层，开创了隔离式基础设施加速的新范式。此举不仅确保了关键业务负载性能零损耗，更为企业高性能私有云及AI环境提供了原生、无缝的安全防护。

AI时代的数据中心算力与安全挑战

人工智能时代，改造升级后的数据中心需要为私有云和边缘应用提供数倍于传统架构的吞吐量。然而，传统安全架构正面临AI时代的严峻瓶颈，以往企业主要依赖两类方案：

一是传统物理防火墙或独立安全设备，虽性能稳定但缺乏灵活性，难以适应云环境动态扩容；

二是主机内软件防火墙或虚拟安全实例，虽部署灵活却也会共享CPU算力，一定程度影响业务性能。

更棘手的是，传统安全服务链需多次引流、层层检测，在AI超大流量场景下极易形成性能瓶颈。

FortiGate VM与BlueField-3 DPU的深度集成，正是为破解这些难题而生——通过将防火墙、网络分段和零信任控制策略卸载至DPU执行，快速响应安全与性能需求的动态变化，帮助企业显著提升网络隔离水平、降低数据传输延迟，并简化跨环境的一致策略部署。

DPU集成开启基础设施加速新篇章

FortiGate VM由Fortinet统一的FortiOS操作系统驱动，具备业界领先的下一代防火墙能力，可为混合云、多云及AI数据中心提供一致化安全保护，并搭载集中策略管理与深度可视化功能，大幅降低安全运维复杂度。此次与NVIDIA BlueField的深度集成，意味着企业可以将防火墙、网络分段、零信任控制等核心安全功能从主机CPU卸载至DPU硬件。

这一突破性方案在消除性能损耗的同时，大幅增强了AI工作负载的多租户隔离能力，同步优化数据吞吐效率与威胁检测精度。FortiGate VM与BlueField平台的无缝融合，使企业能够直接在基础设施层高速执行网络分段策略，核心性能与安全价值体现在：

● 性能无损，吞吐破限：FortiGate VM直接在BlueField DPU上执行运算，彻底绕过主机CPU，显著降低延迟，实现超高吞吐量，轻松承载大规模流量洪峰。

● 零信任分段，安全隔离：将网络与安全功能卸载至BlueField DPU的独立信任域，实现安全平面与业务计算负载的完全隔离。

● 私有云部署，化繁为简：提供经过验证的标准化部署指引，采用开放式虚拟交换机（OVS）网桥技术进行网络配置（广域网使用OVS交换，局域网基于VXLAN隧道），并支持在配备BlueField DPU的服务器上直接部署FortiGate VM镜像。

● 多租户架构，弹性扩展：该方案尤其适合需要硬件加速检测、安全隔离和大规模服务链编排的云服务商、电信边缘计算提供商及企业私有云环境。

重塑AI基础设施安全边界，实现高速与安全兼得

相比传统模式，FortiGate VM与NVIDIA BlueField的深度集成开创了第三条路径——DPU硬件承载原生安全，可为企业带来：

● 硬件加速检测，主机零负载：安全策略由硬件加速执行，策略定义与编排则完全通过软件实现，彻底解放主机CPU。

● 基础设施级零信任原生集成：在BlueField网络架构层面直接执行防火墙功能与网络分段策略，无需引流绕道。

● 运营提效，成本优化：将网络与安全功能卸载至专用硬件，显著降低基础设施复杂度与总体拥有成本。

此次Fortinet联合NVIDIA打造深度集成方案，使企业得以在保持CPU算力无损的前提下，以线速执行防火墙、网络分段及零信任策略，为客户构建安全可靠、性能卓越且可弹性扩展的AI驱动型数据中心奠定坚实基础。目前，FortiOS 7.6.3及以上版本已全面支持基于NVIDIA BlueField的FortiGate VM集成方案。

12月12日至13日，由致公党中央经济委员会、科技委员会指导，致公党福建省委会主办的第八届科技创新促进经济发展论坛在厦门举行。全国人大常委会委员、华侨委员会副主任委员、致公党中央副主席曹鸿鸣出席论坛并讲话，致公党中央经济委主任、福建省委会主委罗恩平，国投集团董事、党组副书记李程·丹增尼玛在论坛上致辞。

曹鸿鸣对论坛的成功举办表示祝贺。他指出，在中国式现代化建设新征程全面开启、全球科技创新格局深刻调整背景下，聚焦人工智能发展的前沿议题举办本次论坛，彰显了我们坚定不移贯彻国家创新驱动发展战略的政治自觉，体现了致公党与时俱进、服务大局的使命担当。他表示，以人工智能为代表的新兴技术正深度融入经济社会发展各个领域，也带来伦理治理、数据安全、算法公平、数字鸿沟等一系列挑战，我们要认真学习领会习近平总书记关于发展人工智能的重要指示精神，增强战略意识、抢抓历史机遇、营造良好环境、应对风险挑战，把握形势、趋势、蓄势，激发动力、活力、潜力，加强对话、深化合作，推动人工智能创新发展向实、向新、向善。

罗恩平在致辞中表示，本次论坛立足国家发展大局，汇聚各方智慧，旨在搭建思想碰撞、经验分享、共识凝聚的高端平台，共同探索以科技创新驱动高质量发展的路径。连续举办八届的科技创新促进经济发展论坛，是深入贯彻习近平总书记关于科技创新的重要论述，赓续多党合作优良传统，弘扬致公党百年基本经验，兼听广纳、汇聚众智，助力中国式现代化建设的具体行动和生动实践。

李程·丹增尼玛在致辞中表示，AI驱动的全球创新需要多领域人才的协同攻坚，国投集团与国投智能股份将秉持开放合作理念，与社会各界在科技、产业、人才一体推进上深化协作。希望通过论坛碰撞思想火花、凝聚合作共识，为科技创新赋能经济高质量发展、助力强国建设和民族复兴注入更加强劲的动能。

本次论坛以“百年致公·侨海联智：AI驱动下的全球创新与合作”为主题，汇聚来自政府部门、致公党组织、专家学者、有关企业的嘉宾进行交流探讨。论坛由致公党福建省委会经科委、致公党厦门市委会、国投智能信息科技股份有限公司、福建致公美亚参政议政基地、国投集团党外代表人士建言献策滕达工作室等承办。

论坛上，致公党福建省委会副主委、数字中国研究院(福建)院长宋志刚，国投生物制造创新研究院有限公司首席科学家林海龙，教育部信息技术新工科联盟网络空间安全工委会主任委员胡瑞敏，致公党中央科技委委员、南开大学人工智能学院教授孙青林，中国信息通信研究院人工智能研究所安全与具身智能部主任石霖等五位嘉宾，分别从发挥数据要素作用推动人工智能发展、人工智能赋能生物制造、全要素监管下的有组织安全飞行、自动化与人工智能、人工智能安全风险洞察和应对等角度进行演讲分享。

致公党福建省委会副主委、厦门市委会主委、厦门市副市长张志红，致公党福建省委会专职副主委兼秘书长王惠忠分别主持论坛开幕式和论坛大会。

致公党河南省委会主委司富春，致公党中央参政议政部部长郑业鹭、副部长陈文良，中共福建省委改革办副主任祝维剑，福建省政协经济委副主任张福寿，致公党中央经济委副主任罗双全、陈家榕，致公党中央科技委顾问徐平东、副主任南寅，中共厦门市委统战部副部长陈宏，致公党中央科技委副主任、厦门市委会副主委、国投智能信息科技股份有限公司董事长滕达等出席论坛。

参加论坛的还有致公党部分省级组织负责人，致公党中央经济委、科技委委员和致公党福建省委会、厦门市委会各专委会成员，各设区市委会、省直工委会和福建致公各调研合作基地负责人，福建省和厦门市有关部门同志，有关侨领、专家学者、企业家等。

在近期的React2Shell漏洞攻击事件中，一款名为EtherRAT的新型恶意植入程序被安全研究人员发现，该程序不仅内置五种独立的Linux系统持久化机制，还会借助以太坊智能合约与攻击者建立通信链路。

研究人员认为，这款恶意软件的特征与朝鲜黑客组织在Contagious Interview攻击活动中使用的工具相符。他们在React2Shell高危漏洞（CVE-2025-55182）披露仅两天后，便从某遭入侵的Next.js应用中成功提取到EtherRAT样本。

EtherRAT整合了多项复杂功能，包括基于区块链的命令与控制（C2）通信、多层Linux持久化、载荷实时重写，以及依托完整Node.js运行时环境实现的反检测能力。尽管其与朝鲜Lazarus组织发起的Contagious Interview攻击存在诸多特征重合，但在多个核心层面仍具备独特性。 

React2Shell是React服务端组件（RSC）Flight协议中存在的最高级别反序列化漏洞，攻击者可通过特制HTTP请求实现无认证远程代码执行。

该漏洞影响大量运行React/Next.js的云环境，在上周漏洞公开数小时后便已出现野外利用。随着自动化攻击工具的普及，已有跨多个行业的至少30家组织机构遭入侵，攻击者借此窃取凭证、开展加密货币挖矿，并部署通用型后门程序。

EtherRAT的攻击链路

Sysdig指出，EtherRAT采用多阶段攻击链路，其流程如下：

1. 漏洞利用与初始载荷投放：首先通过React2Shell漏洞在目标设备上执行Base64编码的Shell命令，该命令会尝试通过curl、wget或python3（备选）工具下载恶意Shell脚本s.sh，并每300秒循环执行一次直至下载成功。脚本获取后会先经过校验，再被赋予可执行权限并启动。

脚本逻辑

2. 运行时环境部署：脚本会在用户目录$HOME/.local/share/下创建隐藏文件夹，从nodejs.org直接下载并解压合法的Node.js v20.10.0运行时环境。随后写入加密载荷数据块与混淆后的JavaScript投放器，通过已下载的Node二进制文件执行投放器，执行完毕后脚本会自行删除。

3. 恶意程序解密与加载：名为.kxnzl4mtez.js的混淆JavaScript投放器会读取加密数据块，通过硬编码的AES-256-CBC密钥完成解密，并将解密结果写入另一隐藏JavaScript文件。该解密后的文件即为EtherRAT植入程序，最终通过前一阶段安装的Node.js环境完成部署。

高级植入程序的核心特征

基于以太坊智能合约的C2通信

EtherRAT采用以太坊智能合约实现C2操作，该方式不仅具备灵活的运营能力，还能有效抵御反制与关停措施。其会并行查询9个公共以太坊RPC节点，并以多数节点的响应结果为准，可防止单点节点投毒或域名劫持攻击。

此外，该恶意软件每500毫秒便会向C2发送随机生成的类CDN格式URL，并通过AsyncFunction构造器执行攻击者下发的JavaScript代码，形成可完全交互的Node.js命令行环境。

构建随机URL

朝鲜黑客此前便曾使用智能合约进行恶意软件投放与分发，该技术被称为EtherHiding，谷歌与GuardioLabs均曾发布相关技术报告。

Linux系统的五层持久化机制

EtherRAT在Linux系统中具备极强的持久化能力，通过部署五层冗余机制确保控制权不丢失，具体包括：

·定时任务（Cron jobs）

·bashrc配置注入

·XDG自动启动项

·Systemd用户服务

·配置文件（Profile）注入

借助多维度持久化手段，即便目标系统经历重启或运维操作，攻击者仍能维持对受感染设备的访问权限。

自主更新与载荷重混淆能力

EtherRAT的另一独特功能是可通过向API端点发送自身源代码实现自主更新。其会接收功能一致但混淆方式不同的替换代码，完成自身覆盖后启动新进程运行更新后的载荷。该机制既能帮助恶意软件规避静态检测，也可阻碍逆向分析，同时支持按需加载特定攻击功能。

鉴于目前React2Shell漏洞已被多方黑客组织利用，系统管理员需尽快将React/Next.js版本升级至安全版本。研究人员建议用户应快速排查上述持久化机制的存在痕迹、监控以太坊RPC相关流量、审计应用程序日志，并及时轮换各类账户凭证。