2025-12-22 03:53:08 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这份2025年第51周网络安全简讯汇总了全球网络安全动态，包括多个APT组织针对中东、西班牙语国家的攻击活动，以及针对能源与云设施的长期渗透。报告还涵盖了日本首次公私合作网络演习、委内瑞拉石油公司遭勒索软件攻击等网络动态，以及NVIDIAMerlin框架、WindowsAdminCenter等多个重要漏洞，最后介绍了PyStoreRAT、Cellik等新型恶意软件。文档建议组织加强边缘设备安全审计、及时更新补丁、强化员工安全意识以应对不断演变的网络威胁。 综合评分： 88 文章分类： 威胁情报,漏洞分析,APT攻击,恶意软件,网络安全

cover_image

每周网络安全简讯 ( 2025年第51周 )

国信中心

极客安全

2025年12月19日 18:24 北京

2025年12月13日至2025年12月19日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计20条。

APT攻击

APT组织Ashen Lepus利用AshTag对中东地区目标用户实施网络攻击

近日，安全研究人员监测发现APT组织Ashen Lepus以“巴勒斯坦政治实体关系”“土耳其防务议题”“哈马斯活动”等话题为诱饵，利用携带恶意载荷的钓鱼文档对阿曼、摩洛哥及巴勒斯坦等中东、北非等地区国家政府与外交相关目标实施渗透。一旦用户点击邮件内的恶意PDF文件，将会触发一系列组件化感染链路，向受控设备内植入AshTag恶意程序载荷，进而实施键盘记录、敏感信息窃取、持久性远控等操作。安全人员指出，Ashen Lepus自2020年以来在作战层面持续“升级”，包括更强的基础设施混淆与更贴近正常流量的隐蔽手法，即便在2025年10月以色列-哈马斯冲突停火后，该APT组织依旧保持活跃。

链接：https://therecord.media/hamas-apt-targeting-government-agencies

APT组织APT44长达数年针对能源与云设施实施攻击

近日，亚马逊安全团队披露2021年至2025年APT组织APT44针对西方关键基础设施的攻击活动情况。据称，在此段时间跨度下，N-day与0-day安全漏洞利用有所下降，APT44转向企业路由、VPN、网络管理设备、云端项目管理系统等更具性价比与隐蔽性的网络边缘设备错误配置与管理接口暴露作为初始入侵媒介，可在降低暴露面的情况下实现规模化的凭证采集与横向移动。安全人员进一步指出，该APT组织的攻击链路，通常会先攻破托管在AWS上的边缘实例，再利用设备或系统的原生抓包能力拦截传输流量以获取凭证，随后对目标组织在线服务和基础设施实施凭证重放（credential replay）攻击以扩大感染面，并以此建立持续访问通道，为后续横向渗透提供条件。此外，安全人员还提及该APT组织与Curly COMrades组织存在基础设施重叠，由此推断APT44与其存在协同作战的关联特征，一方侧重网络接入与初始攻破，另一方负责主机持久化与隐藏规避。安全人员建议称，相关组织应对网络边缘设备实施定期安全审计与加固措施，同时排查异常抓包、数据流量监听等网络行为，密切监控凭证重放攻击的发生，以降低遭受攻击的风险。

链接：https://thehackernews.com/2025/12/amazon-exposes-years-long-gru-cyber.html

APT组织BlindEagle对西班牙语国家目标用户实施网络攻击

近日，安全研究人员监测发现APT组织BlindEagle利用某被控电子邮件账户，杜撰虚假案件编号，以“劳资诉讼”等法律相关主题为诱饵制作钓鱼邮件，诱使用户点击实施渗透入侵。一旦用户点击附件内的SVG图像附件，嵌入其中的Base64编码HTML页面会被自动解码并在新标签页打开，在用户设备上显示为模仿哥伦比亚司法部门官方网页门户的钓鱼页面，同时进一步诱导用户下载钓鱼页面中的虚假收据，启动一系列无文件感染链，最终通过Powershell命令加载Caminho和DCRAT载荷，以实施键盘记录、磁盘访问等恶意操作。

链接：https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-government-agency-caminho-and-dcrat

网络动态

日本将举行首次公私合作网络攻击桌面演习

在连续多起针对关键基础设施和大型企业的网络攻击背景下，日本政府正加快将“网络安全”从部门议题上升为国家治理核心能力。2025年12月18日，日本将首次举行由中央政府、地方政府与关键基础设施运营商共同参与的公私合作网络攻击应对演习。这一演习不仅是技术层面的压力测试，更是日本在现实威胁倒逼下，对其网络安全治理体系的一次系统性检验。同时，此次演习由国家安全相关部门与东京都政府共同组织，演习形式为桌面推演，核心设定是东京都市圈发生原因不明的大规模停电。演习将围绕停电引发的一系列连锁反应展开，包括供水中断、互联网与电话通信瘫痪、交通信号系统失效、铁路停运等情形。其重点不在于还原单一系统的技术故障，而在于检验多系统同时受压时，政府与企业能否形成有效的信息共享、决策协同和资源调度。

链接：https://thecyberexpress.com/japan-first-cybersecurity-drill/

委内瑞拉国家石油公司疑遭勒索软件攻击

近日，委内瑞拉国家石油公司（PDVSA）证实其系统遭遇网络攻击。尽管官方对外强调生产与炼油活动“未受影响”，但多名知情人士向媒体披露，此次攻击已导致公司核心行政与管理系统瘫痪，迫使员工改用纸质方式处理业务，并直接影响原油装船、货运调度和出口执行。这起事件被内部初步判断为勒索软件攻击，发生在委内瑞拉能源出口本已高度承压的背景之下，引发对国家级能源基础设施网络防护能力的集中关注。

链接：https://securityaffairs.com/185755/security/a-cyber-attack-hit-petroleos-de-venezuela-pdvsa-disrupting-export-operations.html

美国政府拟推草案，联合私营企业对外实施网络攻击行动

近日，美国特朗普政府拟推出法规草案，在对外实施进攻性网络行动过程中更系统地引入私营企业。此前，私营企业在自主开展进攻性网络行动方面存在法律基础、监督问责、风险外溢等各方面问题，此次拟推出的草案将配套推动行政命令，明确私营企业角色、合规边界，并提供更多的法律保护，且在未来还会进行国会立法，将相关内容纳入其中。目前，该战略草案已提交给业内人士和专家进行审阅，预计国家网络安全总监办公室（ONCD）会在未来几周内发布该草案具体内容。

链接：https://www.insurancejournal.com/news/national/2025/12/15/851000.htm

美国CISA发布企业设备UEFI安全启动管理指南

美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)协调发布了新的指导意见，以网络安全信息表(CSI)的形式阐述了诸如PKFail、BlackLotus和BootHole等绕过启动时保护机制的漏洞及其可能造成的危害，同时给出具体操作指令，敦促相关企业将验证和管理UEFI安全启动配置纳入合规与安全基线，以应对bootkit等网络安全威胁。

链接：https://cybersecuritynews.com/cisa-guidance-uefi-secure-boot/

俄罗斯数字化转型部计划建立IMEI数据库

近日，俄罗斯数字化转型部副部长德米特里·乌格尼文科表示，将于2026年建立移动设备唯一识别号（IMEI）数据库，并探索将IMEI与具体手机号码进行关联，以提升通信管理的精细化程度。该机制有望帮助监管方更准确识别SIM卡的使用场景，避免用于无人机等特殊载体的风险，从而在一定条件下更有针对性地调整当前较为严格的通信限制和封锁模式，减少移动通信管控影响。

链接：https://www.rbc.ru/rbcfreenews/694298679a7947413f01261a

MITRE扩展D3FEND框架助力OT环境网络安全

近日，非营利组织MITRE宣布，将其D3FEND网络安全框架本体正式扩展至OT（运营技术）环境，面向工业控制系统与网络物理系统（CPS）构建结构化防御知识库。该扩展由美国国防体系相关机构与国家安全局资助，旨在为关键基础设施、工业系统及国防相关OT场景提供统一、稳定、可扩展且易于集成的防御框架，支撑网络安全运营与战略决策，同时厘清如下关键问题：一是OT安全模型基本工件与事件关系；二是将各类安全事件抽象映射到OT系统的相关架构；三是控制监测与系统行为约束力度，以确保目标系统安全且顺畅运行。

链接：https://industrialcyber.co/control-device-security/mitre-expands-d3fend-cybersecurity-ontology-to-support-cybersecurity-in-ot-environments/

法国内政部电子邮件服务器遭受黑客攻击

法国内政部通报称，正在调查一起针对其电子邮件服务器的恶意网络入侵事件。由国防部网络安全中心与法国国家网络安全局（ANSSI）协同核查显示，攻击者对多个相关邮箱账户实施了未授权访问，并可能查看或获取了与司法记录和通缉人员相关的数十份机密文件。目前，法国内政部在法国国家网络安全局（ANSSI）监督下推进紧急加固措施，包括：加强基础设施安全、推广部署双因素认证（2FA）、撤销被攻破设备访问权限、统一改密及强化员工网络意识等。

链接：https://therecord.media/france-interior-ministry-email-breach-investigation

美国能源部公布与“创世纪使命”项目相关的24家私营合作伙伴名单

近日，美国能源部（DOE）宣布，为推进“创世纪使命”（Genesis Mission）项目，与24家科技公司等私营企业签署谅解备忘录（MOU），涵盖云计算超大规模厂商Google、Microsoft、AWS，以及前沿AI机构OpenAI、Anthropic等。此次公私部门的合作是人工智能战略的基石，其合作内容侧重将企业的云基础设施、加速计算与大模型能力引入国家实验室科研体系，例如AWS与爱达荷国家实验室合作开发降本增效的AI工具；OpenAI深化与国家实验室协作，以跨系统运行，将AI模型整合进科研环境，让研究人员在既有环境基础上使用前沿模型，加速科研领域突破速度；Radical AI虽暂未参与相关部门具体研发项目，但也有推进合作的期望，以实现在实验室中采用人工智能模型，驱动科研和实验数据自动分析，进而推动创新循环。整体来看，此次公私部门合作的举措，体现了美国以国家实验室为基础，联动头部科技公司，提升美国在国际竞争背景下的综合竞争能力。

链接：https://fedscoop.com/energy-department-genesis-mission-ai-partner/

漏洞资讯

NVIDIA Merlin框架存在远程代码执行漏洞

近日，安全研究人员发现NVIDIA Merlin框架存在远程代码执行漏洞（CVE-2025-33214、CVE-2025-33213），分别位于NVTabular和Transformers4Rec库中，攻击者可通过诱导系统加载恶意配置文件等方式入侵GPU集群、污染AI模型或窃取专有数据集。目前，用户可通过版本升级、升级Transformers4Rec模组、迁移SafeTensor架构等方式降低遭受攻击的风险。

链接：https://www.penligent.ai/hackinglabs/nvidia-merlin-rce-vulnerabilities-cve-2025-33214-cve-2025-33213-deep-dive-remediation/

Windows Admin Center存在权限提升漏洞

近日，安全研究人员发现Windows Admin Center存在权限提升漏洞（CVE-2025-64669），是由C:\ProgramData\WindowsAdminCenter文件夹目录权限设定不严格所导致，允许在目标主机上拥有本地普通用户权限的攻击者通过向相关目录下写入恶意文件并以高级权限执行的方式，对用户设备造成损害。目前，用户可通过补丁更新的方式修复上述安全漏洞。

链接：https://cybersecuritynews.com/windows-admin-center-vulnerability/

pgAdmin 4存在远程代码执行漏洞

近日，安全研究人员发现pgAdmin 4存在远程代码执行漏洞（CVE-2025-13780），位于纯文本恢复组件中，是由该组件的正则表达式过滤器对空白字符处理方式存在缺陷所导致，允许攻击者向目标设备发送特制隐藏空白字符恶意SQL转储文件的方式，远程执行任意代码。漏洞影响pgAdmin 4 version < 9.11等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://cyberpress.org/critical-pgadmin-flaw/

惠普企业公司OneView存在远程代码执行漏洞

近日，安全研究人员发现惠普企业公司（HPE）OneView软件存在远程代码执行漏洞（CVE-2025-37164），允许未经身份验证的攻击者通过低复杂度的代码注入攻击行为，在目标设备上远程执行任意代码。漏洞影响11.00版本之前的所有软件版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://thehackernews.com/2025/12/hpe-oneview-flaw-rated-cvss-100-allows.html

Android Binder驱动存在竞态条件漏洞

近日，安全研究人眼发现Linux内核中基于Rust编程语言编写的Android Binder驱动存在竞态条件漏洞（CVE-2025-68260），是由Rust代码中进程生命周期管理机制存在缺陷所导致，在这种情况下，竞态条件会造成目标设备内存损坏，系统崩溃，甚至允许攻击者联动其他安全漏洞对设备造成进一步的渗透控制。目前，用户可通过Linux内核版本升级等方式修复上述安全漏洞。

链接：https://www.webpronews.com/linux-kernels-first-rust-cve-race-condition-in-binder-driver/

Windows Node.js库systeminformation存在代码执行漏洞

近日，安全研究人员发现被广泛使用的Windows Node.js库systeminformation存在代码执行漏洞（CVE-2025-68154），位于fsSize（）函数中，是由该函数缺乏输入数据验证机制所导致，允许攻击者通过注入额外指令的方式，利用Node.js进程的权限执行任意命令。漏洞影响5.27.14更早版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://cybersecuritynews.com/node-js-library-exposes-windows/

木马病毒

通过GitHub代码托管平台传播的PyStoreRAT恶意程序被披露

近日，安全研究人员披露了一款名为PyStoreRAT的恶意程序。经分析发现，该恶意程序的传播活动以GitHub代码托管平台为传播媒介，对IT运维人员、OSINT研究人员为目标实施感染。研究显示，此次行动的显著特征是借助AI辅助型供应链攻击的模式，攻击者在数月前就开始准备，通过重新激活长期休眠的GitHub账号，并借助AI生成高质量代码、文档，发布看似可信实用的OSINT、DeFi交易Bot等开源项目，将相关仓库推上GitHub热门榜单，在获取社区信任关注后，以“例行维护更新”为由，引入PystoreRAT载荷，以此实现精准投放。经分析，该恶意程序具备高度隐蔽性与模块化扩展能力，在植入受控设备后动态加载额外恶意组件，同步向用户设备植入Rhadamanthys窃密器、Python Loader等多功能载荷。同时，该恶意程序在检测到CrowdStrike Falcon、Cybereason、ReasonLabs等安全程序进程时，会主动切换执行方式以降低暴露风险，甚至可通过USB等可移动介质横向传播，从攻击者控制端实时拉取新功能模块，以实现在隐蔽自身的情况下对用户设备实施全面远控。

链接：https://hackread.com/pystorerat-rat-malware-github-osint-researchers/

安全人员披露Cellik恶意软件即服务

近日，安全人员披露一款名为Cellik的新型Android恶意软件即服务（MaaS）正在公开宣传。该软件以每月150美元或终身900美元的价格出售，提供了一套强大的功能组合，最引人注目的是其APK构建器可集成Google Play商店，允许任何使用Cellik的用户直接从官方应用商店选择任意应用，创建表面可信的木马版本，同时保留原应用的界面和功能，从而延长恶意软件的潜伏期。经分析，木马化应用具备实时屏幕捕获、通知拦截、文件系统浏览、数据窃取、远程擦除及加密隧道通信等多种功能，其应用注入系统可通过捆绑的方式绕过Play Protect安全机制，且Cellik的MaaS模式也极大降低了攻击门槛，存在较大潜在安全风险。

链接：https://www.bleepingcomputer.com/news/security/cellik-android-malware-builds-malicious-versions-from-google-play-apps/

Kimwolf僵尸网络被披露

近日，安全研究人员披露了一款名为Kimwolf的新型DDoS僵尸网络，其感染规模已达约180万台家庭网络环境中的智能电视、机顶盒、平板等安卓生态终端设备。经分析，Kimwolf基于NDK编译，除支持13种不同类型DDoS攻击方式外，还集成了代理转发、反向Shell、文件管理等远控能力，且该僵尸网络有超过96%的指令均与利用机器人节点提供基于Rust的代理服务有关，凸显出攻击者在实施对外DDoS攻击的同时，还会将被控设备带宽用于搭建代理网络实现流量变现。

链接：https://thehackernews.com/2025/12/kimwolf-botnet-hijacks-18-million.html