随着信息时代的不断发展,网络安全形势日益严峻,攻击手法层出不穷,给企业与个人数据保护带来了巨大挑战。2025年9月的网络安全周报聚焦多起影响深远的安全事件和更新,涵盖从Rootkit恶意软件补丁发布、重要联邦机构遭受数据泄露、知名手机厂商OnePlus爆发短信访问漏洞,到社交巨头TikTok因儿童隐私问题面临监管压力,多维度呈现当下网络安全生态的复杂性与紧迫性。 首先,SonicWall在本次周报中成为焦点,发布了针对其SMA 100系列设备的固件更新,旨在清除已知的Rootkit类型恶意软件。此次补丁的推出源于谷歌安全团队发现了名为OVERSTEP的恶意软件正在侵袭产品已达到生命周期尾声(End-of-Life, EoL)的SMA 100设备。该恶意软件被追踪至网络威胁组织UNC6148。SonicWall不仅迅速响应,发布了版本号10.2.2.2-92sv的升级包,增加了文件检测功能以剔除Rootkit,还提前宣布将于2025年10月31日停止对所有SMA 100设备的支持,提醒用户及时更换设备以防范安全风险。
此举凸显了制造商面对老旧硬件产生重大安全隐患时的责任担当,同时也提醒整个行业关注设备生命周期管理对整体网络免疫力的影响。 紧接着,OnePlus暴露出的短信权限绕过漏洞引起广泛关注。Rapid7安全研究机构披露,这一被定义为CVE-2025-10184、拥有8.2高危评分的漏洞,允许任意应用无需授权即可访问手机内短信及彩信数据,且用户完全不知晓。该漏洞存在于多版本OnePlus OxygenOS系统中,自2021年发布的OxygenOS 12开始就埋下隐患。攻击者可借此窃取包括多因素认证代码在内的敏感信息,极大威胁用户账户安全及个人隐私。尽管该漏洞仍然未被完全修复,OnePlus已公开承认问题并着手调查,此举暴露出移动操作系统安全机制的缺陷,也呼吁智能手机制造商更严格审核权限管理,提升用户数据保护能力。
在联邦政府网络安全领域,美国网络安全与基础设施安全局(CISA)发布详细通报,揭示7月11日一美国联邦平民行政机构因GeoServer软件远程代码执行漏洞(CVE-2024-36401)遭攻击的过程。攻击者利用该关键漏洞迅速获得初始访问权限,并在三周内再度通过相同攻击手段入侵第二台GeoServer,进一步横向移动侵占多台服务器。他们上传恶意Web shell如China Chopper,部署远程访问和持久化脚本,通过利用"living-off-the-land"技术悄无声息地探测系统信息和网络环境,同时借助诸如fscan、dirtycow和RingQ工具进行特权提升与防御绕过。这一事件不仅反映出关键基础软件组件容易成为攻击焦点,也警示各级政府和机构必须强化基础设施风险管理和漏洞修补的及时性。 黑产集团动向部分,知名黑客团队Scattered Spider成员相继被捕。该组织以高超的社交工程技术闻名,采取话术欺骗手段侵入知名公司系统,进行数据盗窃及勒索。
20岁的核心成员Noah Urban承认罪行,他透露团队利用Minecraft等游戏平台招募SIM卡劫持成员,通过伪造企业内部身份,骗取移动运营商员工登录凭据从而激活欺诈SIM卡,窃取加密货币资金。他们还使用虚假Okta登录页面和欺骗企业内部员工以获取客户数据,形成庞大的攻击链条。Urban被判十年有期徒刑,此案件揭示了黑产组织如何结合技术攻击与高级社交策划加剧企业安全防御的难度。 与此同时,新兴的电子邮件钓鱼手法也值得关注,针对拉丁美洲用户的异步远控木马(AsyncRAT)利用超大尺寸且经过密码保护的SVG文件进行传播,摒弃了传统依赖远程服务器指令的模式。这一策略提升了攻击的隐蔽性和持久性,且攻击者可能借助人工智能生成定制化的攻击文件,显示出利用AI辅助网络攻击的新趋势,为安全防御带来新的挑战。 另外,一种被称为BiDi Swap的URL欺骗技术再次掀起关注。
该方法利用浏览器处理双向文字显示(Right-to-Left和Left-to-Right)规则的缺陷,制作具有误导性的域名和子域名,实现钓鱼网站伪装成合法网址。此类攻击类似于punycode同形异义攻击,但通过更深入的文字渲染细节,提升骗过用户和浏览器的可能,提醒网络用户保持高度警惕,尤其是在处理不熟悉或来源不明链接时。 开源生态也未能幸免。美国CISA发布了关于名为Shai-Hulud的自我复制蠕虫攻击的告警,这一恶意软件在npm生态系统中传播,自自动认证为受感染维护者身份后,自动向其他软件包注入后门代码并重新发布,构成链式感染。该攻击严重威胁开源软件供应链的安全与信任,专家建议开发者通过依赖版本锁定、多因素认证和异常行为监控加强防护。此事件无疑成为开源社区防范供应链攻击的又一重要案例。
游戏领域也爆出恶意软件入侵。名为BlockBlasters的2D平台游戏在最新补丁中内置StealC信息窃取木马,悄悄采集系统配置信息、安装的安全软件列表及加密货币浏览器扩展等隐私数据。这种伪装成普通娱乐内容的恶意行为对玩家隐私构成直接威胁,游戏已于Steam平台下架,事件提醒所有数字娱乐用户下载和更新软件时务必警惕安全风险。 此外,攻击者还针对暴露的Oracle数据库服务器发动远程控制,部署一种名为Elons的勒索软件。该变种疑似源于2024年出现的Proxima/Blackshadow家族,攻击过程中使用加密隧道与指挥控制服务器通信,进一步提升攻击的隐匿性和持久性,突显数据库安全防护不可忽视的重要性。 多渠道入侵手段中,恶意篡改的ScreenConnect远程桌面安装包被发现在长期窃取数据并维持远程访问权限。
以AsyncRAT及定制PowerShell木马为核心的恶意基础设施显示出攻击组织的高度隐蔽和持续运营能力,给企业安全供应链带来严峻考验。 交通关键基础设施同样未免受影响,英国西萨塞克斯一男子被捕与机场网络断联事件有关。此次攻击利用了基础的HardBit勒索软件,导致希思罗等欧洲多机场航班大范围延误。案件尚处早期调查阶段,但反映出现今即使最简单的勒索攻击技术也能对关键服务产生巨大影响,进一步强调完善关键领域网络防护的紧迫需求。 软件包生态再次迎来诈骗警告,Python包管理器PyPI发布公告,呼吁维护人员警惕针对他们的域名混淆和钓鱼邮件攻击,部分伪造链接以假冒官方账户安全验证名义诱骗输入凭据,造成账户被劫持风险。官方建议立刻更改密码并审查账户安全日志,重申了保护开源项目账户安全的重要性。
国际执法层面,法国当局成功取缔Dark French Anti System黑市,逮捕两名涉案人员。该暗网平台自2017年起为非法贩卖毒品、武器、黑客工具及其他犯罪活动的重镇。此次行动有效打击了法语区犯罪网络的运作,展现出全球对网络黑市治理的持续力度。 而国际刑警组织(INTERPOL)在代号HAECHI-VI的大规模跨国行动中,追回非法资金达4.39亿美元,冻结近400个加密货币钱包账户,切断多种网络金融诈骗链条。此次行动涵盖从语音钓鱼到情感诈骗、投资欺诈及商业邮件诈骗等多类犯罪,反映了国际合作在打击网络金融犯罪中的重要作用。 社交媒体平台TikTok因采集大量加拿大未满13岁儿童的敏感个人信息而遭到隐私监管调查。
调查指出TikTok年龄验证机制不到位,隐私政策未充分披露其收集和使用面部及声音生物识别数据的实际情况。公司承诺将改进年龄审核流程,并限制针对18岁以下用户的广告投放范围,凸显儿童数字权益保护正成为全球焦点。 人工智能辅助编码工具带来的安全挑战同样引发警示。Apiiro公司研究显示,采用AI编程助手的团队代码中新增安全漏洞数量激增达10倍,范围涵盖开源依赖、权限升高缺陷、暴露秘密及云配置错误。虽然语法和逻辑错误减少,但复杂设计缺陷和权限扩展途径显著上升,说明AI在提升开发效率的同时也带来了更复杂的安全隐患,需要业界加强审查和治理。 微软在2024年9月发布了针对Windows快捷方式(LNK)文件Mark-of-the-Web功能绕过漏洞(CVE-2024-38217)的补丁,该漏洞通过对快捷方式异常路径处理,诱导系统剥除安全标记,实现恶意代码的隐蔽执行。
該漏洞存在时间长达6年以上,凸显了基础操作系统文件处理机制对安全性的影响。 针对东南亚市场,钓鱼伪装的安卓银行木马BankBot在印度尼西亚及越南广泛传播,攻击者通过伪造Google Play应用分发网页诱骗用户安装恶意APK。相关域名及证书采用多重重用策略,运营时间集中于东亚白天,显示了高度协同的作案网络。鉴于BankBot源代码早在2016年即被泄露,此类威胁呈现顽固且持续进化态势,对金融安全构成重大威胁。 最后,俄罗斯支持的国家级影响行动针对2025年摩尔多瓦选举发起针对性虚假新闻攻击,通过多个伪造网站散布亲俄及反欧盟叙事,利用相同基础设施与IP地址多年来持续运作。此类信息战案例透露了国家级网络影响行动的巨大复杂度和持久性,为选举安全和网络舆论治理提出严峻挑战。
综合来看,2025年网络安全威胁呈现出多样化与高度创新的态势。攻击者逐步融合社会工程与技术漏洞,通过供应链、软件生态和基础设施多个层面实施渗透和控制。同时,人工智能的兴起既带来了新的生产力,也使安全风险更难评估和防范。面对如此复杂多变的环境,各方需不断提升信息共享水平,强化多因素认证与权限管理,加强软件开发安全培育,注重用户隐私保护,完善关键基础设施防护,并推动国际合作,才能最大程度减少网络犯罪带来的损失,筑牢数字社会的安全基石。 。
