文章总结: 本周网络安全态势呈现国家APT持续活跃、勒索软件技术升级、高危漏洞密集爆发三大特征。国家黑客攻击乌克兰军政组织并将水务系统列为灰色地带目标,LockBit完成5.0技术演进,犯罪集团韧性增强。硬件级漏洞影响iPhone、三星设备,CISA紧急修复Cisco零日漏洞,供应链攻击波及GitHub核心项目。FortiBleed事件致8万凭证泄露,关键基础设施遭攻击,后量子密码迁移成政策焦点。AI安全工具转向自主运营,云可见性缺失导致94%组织遭入侵。 综合评分: 86 文章分类: 威胁情报,漏洞分析,安全事件,恶意软件,红队
每周网安态势概览【20260628】026期
原创
网空闲话 网空闲话
网空闲话plus
2026年6月28日 07:52 北京
在小说阅读器读本章
去阅读
编者按
2026年6月22日至6月28日,网空闲话关注并分享的国际网安领域的热点事件,以及每日国际网络安全态势一览。
威胁行为体
本周威胁行为体活动呈现国家APT持续活跃、勒索软件生态重组、犯罪集团韧性增强三大特征。国家层面,Turla使用新STOCKSTAY后门攻击乌克兰军政组织,Gamaredon升级武器库并调整战术,CL-STA-1062在东南亚政府与能源机构部署TinyRCT后门,俄罗斯、中国和伊朗将水务系统列为战略灰色地带目标。俄罗斯情报黑客创新利用Signal备份恢复密钥窃取账户,标志通信应用成为新攻击向量。CyberAv3ngers利用CVE-2024-41700攻击Barix设备扰乱以色列警报系统,GhostShell攻击乌克兰无人机防御领域。犯罪集团方面,LockBit完成从1.0到5.0的技术演进,The Gentlemen向附属成员提供EDR杀手工具,Scattered Spider成员认罪入侵伦敦交通局。ShinyHunters在五次逮捕和三个论坛关闭后仍活跃攻击企业SaaS,凸显犯罪生态的韧性。朝鲜IT工作者向美国科技公司发起大规模求职诈骗,中国网络承包商利用恶意软件与僵尸网络支持国家行动,Woodgnat利用Mistic RAT为勒索软件团伙提供初始访问。
战术技术与程序(TTPs)
本周战术技术呈现AI对抗、EDR绕过深化、多平台武器化三大趋势。AI对抗成为新前沿:Gaslight macOS恶意软件利用提示注入干扰AI辅助分析,ClickFix攻击滥用Claude AI聊天共享画面诱导执行恶意命令,标志攻击者开始针对AI安全工具本身。EDR绕过技术标准化,Gentlemen团伙利用GentleKiller框架禁用400多个EDR进程,LACUNA链利用幽灵帧技术绕过EDR调用栈检测,The Gentlemen向附属成员统一分发EDR杀手工具。加载器与初始访问持续进化:StrikeShark利用SharkLoader部署Cobalt Strike席卷多国政府与软件公司;OXLOADER通过恶意谷歌广告传播CastleStealer;KuinaExtractor利用Telegram外传、UAC绕过和沙箱检测实现三重隐蔽。社会工程与服务台攻击成为突破口,Scattered Spider等团伙持续利用服务台权限获取立足点。勒索软件技术方面,Prinz Eugen优先加密活跃文件且不留下赎金通知,ROOTBOY利用RemotePC RMM和PowerShell Stagers部署勒索软件。EvilTokens利用浏览器端加密隐藏钓鱼页面,攻击者通过多平台声誉操纵实施加密货币剪贴板劫持。
漏洞与代码
本周漏洞态势高危密集,硬件级、零日、供应链与AI框架漏洞交织威胁。硬件层面,iPhone BootROM脆弱性Usbliter8影响数百万台设备,苹果Beats Studio Buds漏洞允许附近攻击者窃听麦克风,Samsung Knox八年漏洞可致Galaxy手机内核内存损坏,标志终端硬件安全进入持久化威胁时代。零日与积极利用方面:CISA设定紧急期限修复Cisco漏洞,将CVE-2026-20230和CVE-2026-12569列入KEV目录;Cisco SD-WAN Manager零日漏洞遭利用获取root权限,Lantronix EDS5000关键漏洞遭积极利用,LiteSpeed cPanel插件漏洞亦被加入KEV。AI框架风险凸显:Amazon Q漏洞致攻击者可执行代码窃取云凭证,NVIDIA NeMo框架存在多个高危漏洞,Dify平台数据暴露漏洞影响百万应用,AutoJack漏洞链可单个网页劫持微软AutoGen Studio代理执行任意代码。供应链层面,Cordyceps CI/CD漏洞致300余个GitHub仓库面临管道劫持,影响微软、谷歌、Apache等核心项目,CI/CD漏洞使数百万仓库面临劫持风险。此外,29年历史的Squidbleed漏洞被Claude Mythos发现,Linux DirtyClone和pedit COW漏洞可实现root提权。
安全事件与态势
本周安全事件呈现边缘设备大规模沦陷、关键基础设施受创、供应链连环攻击三大特征。FortiBleed成为核心事件:8万Fortinet凭证泄露波及194国,日本JPCERT/CC确认国内组织受害,Fortinet确认源于旧认证绕过漏洞与暴力破解,使用定制嗅探器窃取凭证,被定性为边缘设备攻击的冰山一角。数据泄露方面:KDDI邮件系统遭入侵致最多1422万邮件地址和密码泄露,MoneyForward GitHub遭入侵致2300名员工及6万余客户标识符泄露,TeleNet勒索软件攻击致106.6万条个人信息疑泄露,Xolis钓鱼攻击致140万人数据泄露,德克萨斯州TPWD供应商入侵致300万客户数据泄露。关键基础设施遭受重创:伊朗关联攻击者劫持以色列警报系统,德国铁路因GSM-R故障全面停运,巴西民防系统遭入侵发送外星人虚假警报。供应链攻击频发:ShapedPlugin WordPress插件遭植入后门,朝鲜黑客滥用Mastra npm攻击CI/CD管道,Icarus利用2022年旧凭证入侵Klue致LastPass等多家企业数据泄露。日本邮件基础设施遭KDDI、IIJ、TOKAI、WebARENA连环攻击。欧洲成为勒索软件最青睐地区,世界杯面临票务欺诈与钓鱼激增。
网络犯罪与暗网市场
本周网络犯罪与暗网市场呈现执法行动密集、犯罪基础设施跨国化、凭证经济规模化三大趋势。执法层面取得重大战果:微软利用RICO法律及AI关联分析打击StealC和Amadey恶意软件网络,终局行动扰乱其基础设施并找回2700万被盗凭证;美国司法部查封Huione集团网络诈骗和犯罪市场基础设施及其子公司云账户,打击东南亚诈骗枢纽;特勤局查封国际网络黑手党主要加密银行服务器,涉及70亿美元诈骗与人口贩卖;墨西哥警方捣毁PirloTV盗版网络查封44个域名。犯罪经济方面,FortiBleed行动窃取1.1亿凭证,针对Fortinet、Sophos及MSSQL设备实施大规模凭证攻击;俄内务部揭露Qiwi洗钱计划,2.4万虚假钱包转移300亿卢布。暗网活动活跃,ShinyHunters威胁泄露亚马逊One Medical数据,在多次逮捕后仍持续攻击企业SaaS。微软对恶意软件运营者提起敲诈勒索诉讼,开创法律追责新路径。犯罪基础设施呈现明显的跨国协作特征,东南亚成为诈骗与洗钱的重要枢纽。
网络空间政策与标准
本周政策与标准领域围绕后量子密码迁移、数字主权、AI治理与网络韧性四大主线推进。后量子密码成为紧迫议题:美国战争部发布PQC战略,特朗普连续签署行政令设定2030年联邦系统加密迁移截止日期,但多数企业仍停留在规划阶段,迁移指南缺乏执行力。网络韧性被重新定义为衡量网络安全成功的新标准,NIST发布物联网产品网络安全指南更新版,英国投资1600万英镑启动网络增长行动计划。数字主权与监管方面,欧洲投资6G安全项目应对AI威胁,欧洲刑警组织拟扩大数据访问权限;俄罗斯网络限制致WhatsApp和Telegram用户量大幅下滑,央行将向加密公司传递可疑买家数据;印度法院维持Telegram封锁令影响1.5亿用户。AI治理层面,Meta全球推行13+青少年账户规则并由AI评估年龄,开源联盟敦促加州修改AI法案称透明度条款与开源许可冲突,法国总统敦促美国共享尖端AI并呼吁民主国家合作监管。军事与供应链安全方面,美国防授权法案草案强化承包商网络安全与AI新规,DHS计划为CISA招聘600人,FCC通过紧急警报系统与海底电缆网络安全新规。
云安全 / 网络资产与基础设施 / AI安全
本周云安全、网络资产与AI安全领域呈现AI驱动安全运营、量子安全差距扩大、云原生威胁深化三大趋势。AI安全工具方面,Forescout Vistaro使用代理式AI保护跨IT、OT、IoT和IoMT环境,CyberSentinel AI v3.0集成33种安全工具支持Claude和GPT实现自主渗透测试,标志AI正从辅助工具转向自主安全运营主体。量子安全差距严峻:Forescout报告显示90% SSH服务器未量子安全,尽管PQC采用率增长72%,但90%系统仍未实现量子安全,差距持续扩大。云安全威胁方面,AWS警告出站流量盲点可致云数据泄露,CrowdStrike调查显示94%组织遭遇云入侵,凸显云可见性缺失成为核心风险。网络资产与基础设施层面,Gigamon深度可观测管道增强CrowdStrike Falcon SIEM,GitHub允许仓库所有者限制第三方pull request数量以缓解Cordyceps类供应链攻击。工业网络安全受到重视,专家强调ICS安全是AI基础设施的基石,Dragos提出xOT概念重新定义OT边界。安全运营范式持续进化,SIEM走向统一安全运营,ANY.RUN推出浏览器内数据检查功能,SOC面临IOC过载亟需削减情报噪音。乌克兰推出TrophyLab平台向盟友开放缴获俄军技术情报,开创网络威胁情报共享新模式。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《每周网安态势概览【20260628】026期》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论