2026-03-17 23:53:05 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本期简报聚焦CiscoSD-WAN零日漏洞被利用三年、朝鲜APT37攻击物理隔离网络等威胁，揭示攻击者长期潜伏与快速突破并存趋势。平均突破时间缩短至29分钟，AI驱动攻击增长89%。建议优先缓解CiscoSD-WAN、BeyondTrust和FileZen漏洞，评估SOC自动化遏制能力，加强威胁狩猎。 综合评分： 92 文章分类： 威胁情报,漏洞分析,安全建设,AI安全,网络安全

cover_image

《网络安全简报》第08期 2026-03-01

原创

丘驰丘驰

极客零零七

2026年3月2日 06:00 加拿大

编者按｜网络安全简讯

本期简讯聚焦全球网络安全攻防动态、漏洞利用实况、AI安全研究与行业趋势。结合漏洞评分与利用现状，帮助安全团队快速定位重点风险并制定响应策略。

统计周期：2026-02-23 ～ 2026-03-01

一、威胁情报

1. 国家级与定向攻击活动

Cisco SD-WAN 零日被利用三年才曝光：UAT-8616 的耐心行动（CVE-2026-20127，CVSS 10.0）

Cisco Talos 于 2 月 25 日披露：一个被追踪为 UAT-8616 的高水平威胁行为者，自 2023 年起便在利用 Cisco Catalyst SD-WAN Controller/Manager 中的认证绕过零日漏洞（CVSS 满分 10.0）。攻击者通过构造特定请求绕过认证获取管理员权限，随后添加恶意对等节点（rogue peer），再利用软件版本降级手法配合 CVE-2022-20775 提权至 root，完成操作后恢复原始版本——整个过程几乎不留痕迹。三年未被发现，这不是粗暴的利用，而是经过精心编排的长期驻留。CISA 和英国 NCSC 联合发布紧急指令，要求联邦机构 24 小时内完成缓解。全球仍有超过 10,600 台暴露在互联网的 BeyondTrust 实例未修补。

朝鲜 APT37″Ruby Jumper”：突破物理隔离的新工具集

Zscaler ThreatLabz 于 2 月 26 日披露朝鲜 APT37（ScarCruft）发起的”Ruby Jumper”行动，目标是物理隔离（air-gapped）网络。攻击链引入五个此前未知的恶意组件：RESTLEAF（一阶下载器）→ SNAKEDROPPER（二阶投递）→ THUMBSBD / VIRUSTASK（通过 USB 可移动介质桥接隔离网络）→ FOOTWINE / BLUELIGHT（完整监控）。C2 基础设施首次滥用 Zoho WorkDrive，并同时利用 OneDrive、Google Drive 和 pCloud 作为备用通道。诱饵文档为朝鲜媒体翻译的阿拉伯语巴以冲突内容。物理隔离不等于安全隔离——当攻击者把云 C2 和 USB 中继编排成完整工作流时，”断网”只是增加了延迟，没有消除风险。

2. 勒索软件与重大安全事件

勒索软件活动激增：单周 258 起，Wynn Resorts 80 万客户数据泄露

Ransom-DB 统计显示，2 月 20 日至 27 日全球勒索软件事件达 258 起，环比上升 12.7%。其中 ShinyHunters 组织宣布对 Wynn Resorts 的入侵负责，泄露数据涉及 80 万条敏感客户记录。INC Ransom 则将中东能源巨头 ACWA Power 和印度工程集团 Larsen & Toubro 列入泄露站点，声称窃取 400GB 数据。勒索软件正在从”是否会被攻击”转向”什么时候被攻击”的默认假设。

美国标准协会（ANSI）3.6TB 内部数据遭泄露

2 月 22 日，威胁行为者在暗网论坛发布 ANSI 内部数据库，声称包含 3.6TB 的标准文件（含草案和被驳回版本）、技术委员会记录、内部通信、会议纪要、修订历史及网上商店定价数据。ANSI 作为美国自愿标准体系的协调机构，其标准草案和委员会讨论记录的泄露，可能让攻击者提前获知尚未公开的工业标准变更，影响范围远超常规数据泄露。

二、漏洞态势

1. CISA KEV 本周新增（2月24-25日批次）

| CVE 编号 | 影响组件 | 类型 | CVSS | 状态 | | — | — | — | — | — | | CVE-2026-20127 | Cisco Catalyst SD-WAN Controller/Manager | 认证绕过 | 10.0 | 已被利用 3 年，紧急指令 24h 缓解 | | CVE-2026-1731 | BeyondTrust Remote Support/PRA | 未授权 RCE | 9.9 | 野外利用，部署 VShell + SparkRAT | | CVE-2026-25108 | Soliton FileZen | OS 命令注入 | 8.7 | 野外利用，修补截止 3 月 17 日 |

2. 其他高危漏洞

BeyondTrust CVE-2026-1731（CVSS 9.9）——从扫描到勒索的完整攻击链

Unit 42 于本周发布详细分析：BeyondTrust Remote Support 和 Privileged Remote Access 产品中的 thin-scc-wrapper 组件在 WebSocket 握手阶段对 remoteVersion 参数使用 bash 算术求值（(( … )) 或 let），导致攻击者可通过 a[$(cmd)]0 格式的 payload 实现未授权 RCE。攻击者利用此漏洞部署 VShell（Linux 无文件后门，内存驻留）和 SparkRAT（Go 语言跨平台 RAT），形成完整的多阶段攻击链：侦察 → 账户创建 → WebShell → C2 → 后门 → 横向移动 → 数据窃取。受害组织遍及金融、法律、高科技、高等教育和医疗行业，分布在美、法、德、澳、加五国。全球仍有超 10,600 台暴露实例。

FileZen CVE-2026-25108（CVSS 8.7）——日本文件共享设备再成突破口

Soliton Systems 确认其 FileZen 文件共享服务器存在 OS 命令注入漏洞，已收到多起实际损害报告。影响版本：v5.0.0-v5.0.10 和 v4.2.1-v4.2.8，需升级至 v5.0.11+。FileZen 在日本政企市场占有率较高，历史上已多次被 APT 组织盯上——边界文件传输设备始终是高价值入口点。

三、攻防技术与趋势

1. 攻击技术演进

CrowdStrike 2026 威胁报告：平均突破时间 29 分钟，最快 27 秒

CrowdStrike 于 2 月 24 日发布年度全球威胁报告，核心数据令人警醒：2025 年平均 eCrime 突破时间（从初始访问到横向移动）降至 29 分钟，较 2024 年提速 65%，最快记录仅 27 秒。更极端的案例中，数据外泄在初始访问后 4 分钟即开始。AI 驱动的攻击行动同比增长 89%，攻击者将 AI 武器化用于侦察、凭据窃取和防御规避。当突破时间压缩到分钟级，传统的”检测-响应”范式面临根本性挑战——你的 SOC 能在 29 分钟内完成从告警到遏制的完整闭环吗？

2. 防御与治理动态

CISA 紧急指令：Cisco SD-WAN 24 小时缓解令

CISA 联合英国 NCSC 于 2 月 25 日发布针对 CVE-2026-20127 和 CVE-2022-20775 的紧急响应指令，要求联邦机构 24 小时内完成缓解——这是继 2024 年 Ivanti 事件后，CISA 再次给出如此短的响应窗口，反映出对该漏洞被持续利用三年的严肃态度。

Europol “Project Compass” 行动：30 人被捕

Europol 协调的跨国执法行动”Project Compass”历时一年，最终逮捕 30 人，179 名嫌疑人被关联到名为”The Com”的网络犯罪组织。该组织以针对未成年人的网络犯罪活动著称。执法行动是生态治理的重要一环，但打击速度是否跟得上犯罪组织的重组速度，仍是悬而未决的问题。

四、AI 安全

1. AI 攻击面

CrowdStrike 报告：攻击者在 90+ 家组织中注入恶意 Prompt

CrowdStrike 2026 威胁报告揭示了一个此前少有公开数据支撑的趋势：攻击者已在超过 90 家组织中成功对 GenAI 工具实施 Prompt 注入，生成用于窃取凭据和加密货币的恶意命令。AI 系统从”被攻击的对象”正在变成”被利用的工具”——攻击者不需要自己训练模型，只需要让你的模型替他干活。

2. AI 防御工具进展

IBM X-Force 2026 威胁指数：AI 驱动的漏洞发现使攻击提速 44%

IBM X-Force 同期发布的 2026 威胁指数报告显示，以公共应用漏洞利用为起点的攻击同比增加 44%，其中大量攻击利用 AI 工具加速漏洞发现和利用链构建。AI 同时在压缩攻防双方的时间窗口，但目前攻击侧的加速效果显著快于防御侧的响应提速——这个剪刀差如果持续扩大，将从根本上改变安全运营的游戏规则。

五、厂商研究成果

Sophos X-Ops 2026 Active Adversary 报告 — 身份攻击主导，AI 并未改变游戏规则

Sophos 于 2 月 25 日发布年度对手行为报告（661 起 IR/MDR 案例，70 个国家）。核心发现：67% 事件源于身份攻击——凭证泄露和 MFA 缺失仍是最大短板。暴力破解（15.6%）已几乎追平漏洞利用（16%）成为初始访问入口。中位驻留时间降至 3 天，到达 AD 的中位时间仅 3.4 小时。报告中最具争议的判断：AI 在 2025 年并未对攻击者行为产生实质性变革——它加速了钓鱼和社工的效率，但没有创造新的攻击手法。这与 CrowdStrike”AI 攻击 +89%”的叙事形成鲜明对比，值得关注双方数据口径的差异。

Unit 42 2026 全球 IR 报告 — 最快 72 分钟完成数据外泄，身份弱点无处不在

Palo Alto Unit 42 基于 750+ 起重大事件（50+ 国家）发布年度 IR 报告。最快案例中，攻击者从初始访问到数据外泄仅用 72 分钟，是去年的 4 倍提速。身份弱点在近 90% 的调查中扮演关键角色。另一个值得注意的趋势：加密勒索下降 15%，越来越多攻击者跳过加密、直接窃取数据后勒索——更快、更安静、更难恢复。48% 的事件涉及浏览器活动，23% 涉及第三方 SaaS 应用，攻击面正在向日常工作流渗透。

ESET H2 2025 威胁报告 — PromptLock：首个 AI 驱动勒索软件现身

ESET 于本周发布 2025 下半年威胁报告，最引人注目的发现是 PromptLock——首个已知的 AI 驱动勒索软件。它采用 Go 语言编写的控制器，通过 Ollama API 连接 AI 模型，利用硬编码 Prompt 实时生成 Lua 恶意脚本并执行，无需人类开发者预先编写攻击载荷。ESET 还发现了配套工具 PromptFlux（AI 重写投递器代码以提升持久性）和 PromptSteal（AI 生成文件窃取命令）。这标志着”AI 将被用于开发新型恶意软件”的预言正式成为现实——虽然目前 AI 恶意软件仍处于早期阶段，但从概念验证到野外出现的速度比预期更快。

六、编辑点评

本周的安全态势可以用一个词概括：时间。

第一条主线：攻击者的耐心正在被低估。 Cisco SD-WAN 零日被利用了整整三年，上期的 Dell RecoverPoint 是 18 个月，这些不是孤例，而是一种系统性趋势——高水平攻击者愿意在高价值目标中”慢慢煮”。他们精心编排攻击链（降级利用、恢复版本、不留痕迹），说明对手有足够的资源和纪律来维持长期行动。对防御者而言，这意味着”没有告警”不等于”没有入侵”，基于异常行为的持续狩猎（Threat Hunting）不是锦上添花，而是必需品。

第二条主线：攻击者的速度也在被低估。 CrowdStrike 的 29 分钟平均突破时间和 27 秒极端记录，意味着从告警触发到攻击者完成横向移动的窗口，已经短于大多数 SOC 的人工响应时间。当 AI 把漏洞利用的自动化程度推向新高，”检测到了但来不及响应”将成为常态而非异常。自动化遏制能力（如自动隔离受感染主机）不再是可选项。

一慢一快，殊途同归：传统的”等告警、看日志、手动处置”安全运营模式正在同时被两端夹击。

本周防御优先级：

Cisco SD-WAN 立即缓解或隔离（CVSS 10.0，CISA 紧急指令，已被利用 3 年）
BeyondTrust Remote Support/PRA 升级（CVSS 9.9，完整攻击链已公开，10,600+ 暴露实例）
FileZen 升级至 v5.0.11+（野外利用中，日本政企重点关注）
审视 SD-WAN 和远程访问基础设施的日志，回溯排查是否存在历史入侵痕迹
评估 SOC 自动化遏制能力：29 分钟突破时间是你的基准线

关注「极客零零七」，每周实战攻防干货。回复「提权」获取 Windows + Linux 提权速查表 · 回复「AD攻击」获取 AD 域攻击手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七丘驰丘驰《《网络安全简报》第08期 2026-03-01》