文章总结： 工信部强化APP敏感权限治理；奥运会面临钓鱼与DDoS威胁；行业需适应从SEO向GEO转变。技术上Remcos利用LOLBin绕过检测，Pwn2Own攻破多款车载系统。此外，AI助力单人快速开发高级恶意软件VoidLink，勒索谈判处道德灰色地带，凭据填充与配置错误致数据泄露频发。 综合评分： 78 文章分类： 威胁情报,漏洞分析,数据泄露,政策法规,AI安全

APP敏感权限调用可查可关，工信部强化个人信息保护常态化治理；从平昌到巴黎：奥运网络攻击模式揭示2026冬奥安全挑战 | 牛览

安全牛

2026年1月22日 11:59

点击蓝字 关注我们

新闻速览

• APP敏感权限调用可查可关，工信部强化个人信息保护常态化治理
• 从平昌到巴黎：奥运网络攻击模式揭示2026冬奥安全挑战
• 从SEO到GEO：网络安全厂商如何应对AI搜索时代的内容可见性挑战
• 密码管理器用户成钓鱼重灾区，LastPass警示社会工程攻击新手法
• 勒索谈判的“灰色地带”：安全从业者为何进退维谷
• 在线零售商PcComponentes否认泄露，凭据填充攻击成焦点
• 首日37个零日漏洞被挖出！Pwn2Own揭示车载系统真实安全水位
• AI生成恶意软件时代来临：单人4周开发出媲美专业团队的VoidLink
• 全程只用系统工具！这起Remcos攻击如何绕过传统检测？
• 在线导师平台泄露事件揭示：数据库配置错误仍是企业最大安全隐患

特别关注

APP敏感权限调用可查可关，工信部强化个人信息保护常态化治理

工信部于1月21日发布会上披露“信息通信暖心服务十件实事”进展。在个人信息保护方面，工信部推动终端企业增设麦克风、摄像头、定位等敏感权限调用记录功能，用户可自主查看、关闭权限，同时促进算法推荐透明化，提供便捷关闭个性化推荐的选项。

针对二次号码安全问题，基础电信企业放号前已批量焕新超2.5亿个二次号码，解绑互联网应用超10亿件次。企业在官方APP和小程序上线“主动焕新”服务，支持解除239款常用互联网应用的历史绑定，已为580多万用户处理解绑申请超3.6亿件次。

电信业务办理便捷性显著提升，“线上办”覆盖各类业务，办理量占比超91%，视频客服服务用户超6000万人次。工信部下一步将完善APP个人信息保护常态长效治理机制，扩大”二次号码换新”覆盖范围，推动接入更多民生相关互联网应用。

原文链接：

https://www.secrss.com/articles/87203

热点观察

从平昌到巴黎：奥运网络攻击模式揭示2026冬奥安全挑战

Palo Alto Networks发布的《米兰-科尔蒂纳2026网络威胁报告》显示，钓鱼和伪造网站仍是攻击者针对大型体育赛事的主要初始访问途径。报告分析了犯罪团伙、国家支持的攻击者和黑客行动主义者如何利用冬奥会庞大的数字足迹实施攻击。

历史案例表明，平昌2018冬奥会遭遇WiFi和数字基础设施破坏，东京2021奥运会前俄罗斯关联组织试图干扰赛前运作，巴黎2024奥运会期间则出现DDoS攻击、奥运主题钓鱼和在线诈骗激增。

研究发现，76%的钓鱼案例依赖商业邮件入侵(BEC)，利用奥运生态系统中员工、合作伙伴和供应商之间的信任关系。Cequence Security首席信息安全官Randolph Barr指出，最大风险来自滥用合法应用、身份和企业流程，而非新型漏洞利用。

常见攻击手法包括：通过钓鱼和伪造网站窃取凭证、利用软件和API漏洞、使用暗网购买的已泄露凭证，以及针对售票和赛事网站的DDoS攻击。预计米兰-科尔蒂纳冬奥会将吸引超30亿观众，攻击动机依然强烈。

原文链接：

https://www.infosecurity-magazine.com/news/phishing-spoofed-sites-olympic/

从SEO到GEO：网络安全厂商如何应对AI搜索时代的内容可见性挑战

网络安全行业正面临从搜索引擎优化(SEO)向生成式引擎优化(GEO)的根本性转变。生成式引擎将多源信息合成为单一对话式回答，与透明的搜索排名不同，它们像”黑盒”运作。对网络安全厂商而言，内容要么成为AI权威知识库的一部分，要么对越来越多使用AI辅助研究的企业买家完全不可见。

传统SEO优化的博客和白皮书往往缺乏生成式引擎可见性所需的特征。成功的GEO策略要求团队理解哪些内容会出现在AI回应中、生成式引擎优先处理什么格式、用户向AI询问哪些安全主题，以及如何在无流量数据情况下衡量影响力。

内容审计需要系统性测试主要生成式引擎，记录内容是否被AI引用、定义的框架或方法论是否被参考。研究显示，在AI引用中表现突出的内容具有定义精确、结构化技术框架、明确方法论文档和清晰因果解释等特征，而品牌化思想领导力和销售导向的对比页面往往消失。

高价值内容类型包括：不偏向任何一方的对比指南、可操作的实施框架，以及将安全控制映射到合规框架的内容。测量GEO效果需要新框架，通过维护结构化查询数据库、系统性执行查询并记录引用模式，追踪”概念市场份额”而非传统流量指标。

原文链接：

From Search Rankings to AI Citations: A Cybersecurity CMO’s Guide to GEO

勒索谈判的“灰色地带”：安全从业者为何进退维谷

随着勒索软件攻击频发，勒索谈判已成为网络安全应急响应的重要一环，但这一实践长期处于道德与法律的灰色地带。谈判者不仅要帮助受害企业在数据与业务被挟持时做出决策，还需在不助长网络犯罪的前提下谨慎行动。行业内部没有统一标准或规范，缺乏认证与透明机制，使得多数谈判过程隐秘无序，既给受害方也给执法机构带来困难。专业安全公司在是否介入谈判、是否执行支付方面立场各异，有的直接拒绝支付，有的仅提供情报与建议。谈判技巧包括延迟与引导策略，但谈判双方信息不对称导致谈判复杂且成本上升。根据美国财政部统计，近三年支付总额达约21亿美元，约3000起事件，这既反映出勒索软件的经济影响，也凸显谈判行业潜在的利益冲突与伦理问题。专家呼吁建立行业规范与监督机制，以在保护受害者与遏制犯罪之间取得更清晰的界限。

原文链接：

The thin line between saving a company and funding a crime

全程只用系统工具！这起Remcos攻击如何绕过传统检测？

安全研究人员近日披露一起极端依赖LOLBin(Living Off the Land Binaries)的攻击案例，攻击者全程使用Windows内置工具部署Remcos RAT和NetSupport Manager，展现出高度隐蔽的攻击手法。

攻击链从forfiles.exe启动mshta.exe开始，通过多层调用规避检测。随后利用PowerShell内置的curl下载伪装成PDF的TAR压缩包，再用tar.exe解压释放木马化的glaxnimate.exe。攻击者在C：\ProgramData目录下分段投放.PART文件，通过VBScript和批处理脚本静默执行，最后使用expand工具释放NetSupport RAT完整载荷。

持久化方面，攻击者选择不常被监控的注册表键值HKCU\Environment\UserInitMprLogonScript，确保RAT在用户登录时自动启动且无可见窗口。整个攻击链涉及forfiles、mshta、curl、tar、WScript、reg、expand等多个Windows原生工具，未引入任何第三方可执行文件。

该案例表明，攻击者对LOLBin的滥用已达到新水平。尽管多步骤调用会留下更多痕迹，但每个环节的合法性使传统检测手段面临挑战。安全团队需加强对LOLBin行为模式的监控，特别关注forfiles、mshta等工具的异常调用链。

原文链接：

Can you use too many LOLBins to drop some RATs?

安全事件

在线导师平台泄露事件揭示：数据库配置错误仍是企业最大安全隐患

美国在线导师平台UStrive因数据库配置错误导致23.8万用户敏感信息泄露，其中包括大量未成年人数据。

匿名安全研究员发现，UStrive使用的亚马逊托管GraphQL API存在漏洞，攻击者可通过浏览器工具查看网络流量，直接访问其他用户的全名、电子邮件、电话号码等敏感信息。该研究员在向TechCrunch披露后，UStrive声称已修复漏洞，但未透露数据暴露时长、是否遭恶意访问，以及是否通知受影响用户等关键信息。

该事件再次凸显数据库配置错误仍是全球数据泄露的主要原因。在云环境下，尽管云服务商提供安全工具，但数据保护的最终责任在客户方。配置不当不仅造成数据泄露，还可能引发声誉损失、财务损失和法律诉讼等连锁反应。安全专家提醒，企业应建立严格的数据访问控制机制，定期进行安全审计，确保API接口配置符合最小权限原则，避免类似事件发生。

原文链接：

https://www.techradar.com/pro/security/top-online-mentor-site-ustrive-admits-breach-exposed-data-on-children

在线零售商PcComponentes否认泄露，凭据填充攻击成焦点

西班牙在线科技零售商 PcComponentes 针对近期网络威胁情报社区流传的“数据泄露影响约1，600万客户”说法做出回应，明确否认其系统遭到大规模数据泄露，同时确认其确实遭遇了 credential stuffing（凭据填充）攻击。所谓凭据填充是攻击者利用从其他泄露事件获得的用户名与密码组合进行自动化尝试，从而在不同服务上登录成功，若成功可能导致账户信息被恶意访问，但并不等同于企业系统被入侵或数据库被大规模导出。PcComponentes 表示未发现未经授权访问其内部系统或敏感客户数据的证据，且相关所谓泄露样本可能来源于旧凭据或第三方泄露数据的重复使用。对此类攻击，企业应加强 多因素认证（MFA） 与风控策略，如登录行为异常监测与IP信誉评分等技术措施，以降低凭据滥用风险。此次事件提醒安全从业者区分真实数据泄露与凭据滥用造成的恐慌性传播，避免误判安全态势并据此采取恰当响应。

原文链接：

https://www.bleepingcomputer.com/news/security/online-retailer-pccomponentes-says-data-breach-claims-are-fake/

攻防技术

密码管理器用户成钓鱼重灾区，LastPass警示社会工程攻击新手法

LastPass威胁情报、缓解和升级(TIME)团队发出警告，一场伪装成服务维护通知的钓鱼活动正在进行，要求用户在24小时内备份密码库。恶意邮件包含链接，声称可创建加密备份，实际目的是劫持账户或窃取主密码。

TIME团队监测显示，该攻击活动始于1月19日，钓鱼邮件来自”support@lastpass[.]server8″和”support@sr22vegas[.]com”等地址，使用”LastPass基础设施更新：立即保护您的密码库””您的数据，您的保护：维护前创建备份”等主题行。邮件内容精心伪造成官方通知，称因基础设施维护需要本地备份数据，利用”24小时窗口期”制造紧迫感。

点击邮件中”立即创建备份”按钮会跳转至钓鱼网站”mail-lastpass[.]com”。攻击者选择在美国假日周末发起活动，利用企业人员配备不足的时机。

LastPass强调从不要求用户提供主密码，并提醒这是社会工程和钓鱼攻击的常见手法。该公司用户频繁成为钓鱼目标，此前曾出现利用虚假死亡声明触发遗产继承流程，以及假冒数据泄露警报诱导下载恶意客户端的攻击活动。

原文链接：

https://www.bleepingcomputer.com/news/security/fake-lastpass-emails-pose-as-password-vault-backup-alerts/

首日37个零日漏洞被挖出！Pwn2Own揭示车载系统真实安全水位

在东京举行的Pwn2Own Automotive 2026汽车安全竞赛首日，安全研究人员利用37个零日漏洞成功攻破多个车载系统，共获得51.65万美元奖金。

Synacktiv团队通过链式利用信息泄露和越界写入漏洞，在USB攻击类别中获得特斯拉车载娱乐系统的root权限，赢得3.5万美元。他们还攻破了Sony XAV-9500ES数字媒体接收器，额外获得2万美元。

充电桩成为本次竞赛的重点攻击目标。Fuzzware.io团队成功入侵Alpitronic HYC50充电站、Autel充电器和Kenwood导航接收器，获得11.8万美元。PetoWorks团队通过链接三个零日漏洞攻破Phoenix Contact CHARX SEC-3150充电控制器，赢得5万美元。Team DDOS攻克ChargePoint Home Flex等三个充电站，获得7.25万美元。

根据规则，厂商有90天时间修复漏洞，之后TrendMicro的零日漏洞计划将公开披露详情。本次竞赛聚焦车载信息娱乐系统、电动车充电器和车载操作系统，将持续至1月23日。

原文链接：

https://www.bleepingcomputer.com/news/security/tesla-hacked-37-zero-days-demoed-at-pwn2own-automotive-2026/

产业动态

AI生成恶意软件时代来临：单人4周开发出媲美专业团队的VoidLink

网络安全公司Check Point近日披露，新发现的Linux恶意软件VoidLink很可能几乎完全由AI生成，标志着AI驱动恶意软件开发进入新阶段。

VoidLink专门针对Linux云服务器，包含超过30个模块化插件，可实现对系统的长期访问控制。研究人员最初认为其复杂的模块化架构和快速开发速度表明背后是资源充足的专业犯罪团队。但进一步分析发现，该恶意软件主要由单人利用AI在4周内完成，而原始AI生成的开发计划显示为30周周期。

关键证据来自开发者意外泄露的开发文档，包含sprint计划、设计思路和时间表等AI生成的详细记录。研究人员发现，开发者通过精心设计的提示词引导AI agent完成从概念到实现的全过程，并在关键节点检查AI生成的代码质量和功能完整性。

Check Point指出，VoidLink改变了AI威胁的基线：当有经验的开发者掌握AI工具时，能够显著提升恶意软件的开发速度和复杂度，安全社区必须重新评估防御策略以应对这一新型威胁。

原文链接：

https://www.infosecurity-magazine.com/news/voidlink-linux-malware-built-using/

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《APP敏感权限调用可查可关，工信部强化个人信息保护常态化治理；从平昌到巴黎：奥运网络攻击模式揭示2026冬奥安全挑战 | 牛览》