嘶吼

攻击者利用仿冒“微软激活脚本（MAS）”的拼写错误域名，分发恶意PowerShell脚本，使Windows系统感染Cosmali Loader恶意软件。

安全研究员发现，有多名MAS工具用户在Reddit平台反馈，其设备弹出Cosmali Loader感染预警提示。根据用户报告，攻击者搭建了仿冒域名“get.activate[.]win”，该域名与MAS官方激活指南中列出的合法域名“get.activated.win”高度相似。两个域名仅相差一个字符（合法域名多一个“d”），攻击者正是利用用户可能出现的输入失误实施攻击。

警告信息

安全研究员证实，这些预警提示与开源恶意软件Cosmali Loader相关，且可能与GDATA恶意软件分析师Karsten Hahn此前发现的类似弹窗预警同源。 

Cosmali Loader会投放加密挖矿工具与XWorm远程控制木马。目前尚不清楚是谁向用户推送了预警信息，但大概率是研究员获取了该恶意软件的控制面板权限后，通过弹窗告知用户设备已遭入侵。

微软激活脚本（MAS）是一套开源PowerShell脚本集合，通过硬件ID（HWID）激活、KMS模拟及多种绕过技术（如Ohook、TSforge），实现微软Windows系统与Office办公软件的自动化激活。

该项目托管于GitHub平台，由开发者公开维护，但微软将其认定为盗版工具——因其通过未授权方式规避许可验证系统，无需购买正版授权即可激活产品。

MAS项目维护者已针对此次攻击事件发出安全预警，提醒用户在执行命令前仔细核对输入内容。同时建议用户若未完全理解远程代码的功能，切勿随意执行；尽量在沙箱环境中测试未知脚本；避免手动重复输入命令，以降低因访问拼写错误域名而加载危险载荷的风险。

需注意的是，非官方Windows激活工具已多次被用于传播恶意软件，用户使用此类工具时需充分认识潜在风险，保持高度警惕。

Chrome应用商店中两款名为“Phantom Shuttle”的扩展程序，正伪装成代理服务插件，暗中劫持用户网络流量并窃取敏感数据。

据研究人员报告显示，这两款插件仍在Chrome官方应用商店上架，且至少自2017年起便已活跃。 

Phantom Shuttle的目标用户多为需要测试不同地区网络连通性的外贸从业者。两款插件由同一开发者发布，均以“可代理流量、测试网速”为宣传点，订阅价格在1.4至13.6美元之间。

Chrome 应用商店中的Phantom Shuttle扩展程序

隐秘的数据窃取功能

Socket.dev研究人员指出，Phantom Shuttle会将用户所有网络流量路由至攻击者控制的代理服务器，且通过硬编码凭证实现访问——相关恶意代码被嵌入到合法的jQuery库中，以规避检测。

恶意代码采用自定义字符索引编码方案隐藏硬编码的代理凭证，并通过网络流量监听器，拦截所有网站的HTTP认证请求。为强制用户流量经由攻击者代理传输，该恶意插件会通过自动配置脚本，动态修改Chrome浏览器的代理设置。

在默认的“智能模式”下，插件会将170余个高价值域名的流量路由至代理网络，涵盖开发者平台、云服务控制台、社交媒体网站及成人内容门户等。本地网络与命令控制域名则被列入排除清单，以此避免攻击行为中断或被检测发现。

作为中间人，该插件可捕获各类表单数据（包括账户凭证、银行卡信息、密码、个人信息等），窃取HTTP头中的会话Cookie，并从请求中提取API令牌。

研究人员建议Chrome用户：仅信任知名开发者发布的扩展程序，安装前查看多方用户评价，并留意插件申请的权限范围，避免因恶意插件导致数据泄露。 

WebRAT恶意软件目前正通过GitHub代码仓库进行传播，这些仓库谎称存放着近期披露漏洞的概念验证（PoC）利用程序。

这款兼具后门功能与信息窃取能力的恶意软件于2025年年初出现，此前的传播渠道为盗版软件，以及《罗布乐思》《反恐精英》《腐蚀》等游戏的作弊程序。

据报告显示，WebRAT能够窃取Steam、Discord、Telegram等平台的账户凭证，以及加密货币钱包数据，同时还可通过摄像头监视受害者，并截取设备屏幕画面。

至少从去年9月起，该恶意软件的运营者开始借助精心构造的GitHub代码仓库投放病毒，这些仓库宣称提供多款曾被媒体报道的漏洞利用程序，涉及的漏洞包括：

-CVE-2025-59295：Windows系统MSHTML/IE组件中存在的堆缓冲区溢出漏洞，攻击者可通过网络发送特制数据，实现任意代码执行。

-CVE-2025-10294：WordPress无密码登录插件OwnID中的高危身份认证绕过漏洞。由于对共享密钥的验证机制存在缺陷，未授权攻击者无需凭证即可登录任意用户账户，包括管理员账户。

-CVE-2025-59230：Windows远程访问连接管理器（RasMan）服务中的权限提升漏洞。本地已认证攻击者可利用该服务的访问控制缺陷，在受影响的Windows设备上将自身权限提升至系统权限（SYSTEM）。

卡巴斯基实验室的安全研究人员共发现15个传播WebRAT的恶意代码仓库，这些仓库均包含漏洞相关说明、所谓利用程序的功能介绍，以及对应的缓解措施。

从内容的行文结构判断，卡巴斯基认为这些文本由人工智能模型生成。

恶意仓库中的漏洞描述

该恶意软件具备多种持久化驻留手段，包括修改Windows注册表、创建计划任务，以及将自身注入随机的系统目录中。

研究人员指出，这些伪造的漏洞利用程序以加密压缩包形式分发，压缩包内包含四类文件：文件名即为解压密码的空文件、用作伪装的损坏诱饵动态链接库文件、攻击执行链中所需的批处理文件，以及名rasmanesc.exe的主投放器程序。

档案内容 

分析显示，这款投放器会先提升自身权限、禁用Windows Defender杀毒软件，再从硬编码的网络地址下载并执行WebRAT恶意软件。

卡巴斯基强调，此次攻击活动中使用的WebRAT变种，与此前已被记录的样本并无差异，具备的功能也与过往报告描述一致。

WebRAT的运营概述

利用GitHub上的伪造漏洞利用程序诱骗不明真相的用户安装恶意软件，并非新出现的攻击手段，相关案例在过去已有大量记载。就在近期，威胁者还曾通过在GitHub上推广伪造的LDAPNightmare漏洞利用程序，传播信息窃取类恶意软件。

目前，卡巴斯基发现的所有与本次WebRAT攻击活动相关的恶意GitHub代码仓库均已被移除。但开发者及网络安全爱好者仍需警惕所使用资源的来源，因为威胁者可能会更换发布者名称，再次上传新的诱饵仓库。因此人们在测试来自非可信来源的漏洞利用程序或代码时，务必在可控的隔离环境中运行。

一款影响多个MongoDB版本的高危漏洞——MongoBleed（CVE-2025-14847）正被黑客在野活跃利用，目前全球公网暴露的潜在易受攻击服务器已超8万台。

该漏洞的公开利用工具及相关技术细节已被披露，攻击者可借助此漏洞，从暴露的MongoDB服务器中远程窃取密钥、凭证及其他敏感数据。

该漏洞的CVSS评分达8.7分，被列为“紧急修复级别”。自12月19日起，自托管MongoDB实例的修复补丁已正式发布。

漏洞利用原理：内存数据泄露

MongoBleed漏洞的根源在于MongoDB服务器对zlib库处理网络数据包（用于无损数据压缩）的逻辑缺陷。

Ox Security的研究人员解释，该漏洞的核心问题是：MongoDB在处理网络消息时，返回的是“分配的内存大小”，而非“解压后的数据长度”。

攻击者可发送构造畸形的网络消息，谎报解压后的数据尺寸，诱使服务器分配更大的内存缓冲区。在此过程中，服务器会将包含敏感信息的内存数据泄露给攻击者。

通过这种方式泄露的敏感信息包括但不限于：账号凭证、API密钥/云服务密钥、会话令牌、个人身份信息（PII）、内部日志、配置文件、路径信息及客户端相关数据。 

由于网络消息的解压过程发生在身份认证之前，攻击者利用MongoBleed漏洞无需提供有效的登录凭证，攻击门槛极低。

这款名为“MongoBleed”的公开PoC利用工具由Elastic安全研究员开发，其核心功能就是窃取内存中的敏感数据。该PoC工具有效且操作简单：“只需获取MongoDB实例的IP地址，就能开始挖掘内存中的数据库密码（明文存储）、AWS密钥等信息。”

MongoBleed 漏洞利用程序致敏感信息泄露

据网络设备探测平台Censys数据，截至12月27日，全球公网暴露的潜在易受攻击MongoDB实例已达8.7万台。

在野利用现状与检测方案

云安全平台Wiz的遥测数据显示，该漏洞对云环境的影响同样严重——42%的可见系统中“至少存在一个受CVE-2025-14847漏洞影响的MongoDB实例”。

这些实例既包括内部资源，也涵盖公网暴露节点。目前已监测到MongoBleed（CVE-2025-14847）的在野利用行为，建议企业优先完成补丁更新。

另有未经证实的消息称，部分威胁者宣称在近期育碧《彩虹六号：围攻》在线平台入侵事件中，就利用了MongoBleed漏洞。

补丁更新仅为应对MongoBleed漏洞的一部分，企业还需排查是否已遭入侵。安全研究员提出一种检测方法：重点监控“发起数千次连接，但未产生任何元数据事件的源IP地址”。 

不过研究员表示，该检测方法基于当前公开的PoC工具逻辑，攻击者可能通过伪造客户端元数据或降低攻击速度等方式规避检测。 

MongoDB已针对MongoBleed漏洞发布修复公告，强烈建议管理员将服务器升级至安全版本：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30。

官方提示，受该漏洞影响的MongoDB版本范围极广：既包括2017年底发布的部分旧版本，也涵盖2025年11月刚发布的新版本，具体如下：

·MongoDB 8.2.0 至 8.2.3

·MongoDB 8.0.0 至 8.0.16

·MongoDB 7.0.0 至 7.0.26

·MongoDB 6.0.0 至 6.0.26

·MongoDB 5.0.0 至 5.0.31

·MongoDB 4.4.0 至 4.4.29

·所有MongoDB Server v4.2版本

·所有MongoDB Server v4.0版本

·所有MongoDB Server v3.6版本 

MongoDB Atlas（全托管多云数据库服务）的用户无需手动操作，官方已自动完成补丁更新。MongoDB表示，该漏洞暂无临时规避方案。若暂时无法升级版本，建议用户在服务器上禁用zlib压缩功能，官方已提供具体操作指南。

2025年12月31日，网络仿真技术与应用服务提供商、国家级专精特新“小巨人”企业丈八网安宣布完成数千万元B+轮融资。本轮融资由江苏盛世聚鑫私募基金管理有限公司（简称“盛世聚鑫”）、泓沣北京私募基金管理有限公司（简称“泓沣资本”）共同投资，系年内网络仿真赛道规模领先的单笔融资。资金将重点用于以AI为核心的技术迭代与区域服务网络升级，进一步巩固公司在网络仿真领域的技术领先地位，强化在网络安全实战化解决方案中的核心竞争实力。

丈八网安成立于2021年3月，自创立起便聚焦尖端网络仿真技术的创新与产品研发，核心业务围绕特种、工控、金融、教育、电力等关键信息基础设施领域展开。成立四年多来，公司已构建起以自主研发的国内首个“网络仿真引擎（ZBOS）”为基础底座，以三大核心产品为支撑的矩阵：

【网络靶场平台：高保真数字底座】依托全自主可控的“混合系统仿真+离散事件数字仿真”双栈引擎，可复现电力工控、智能制造等复杂网络环境，精准模拟链路波动、协议异常等真实状态，为关基网络复刻、安全实训、创新竞赛等提供“1:1 还原”的仿真环境；

【测试验证平台：全流程自动化工具】构建“需求定义－环境搭建－用例执行－报告生成”全链路自动化闭环，集成AI流量模拟、跨域协同调度核心能力，既适配常规功能测试与合规性测试，也能精准满足关基行业个性化验证需求。

【网络兵棋推演系统：国内唯一网空兵推产品】填补了国内同类型产品的市场空白，依托离散事件仿真引擎实现网络空间、电磁空间、物理空间的多维建模，融合AI辅助决策能力及 AI-in-the-LOOP全新AI在环推演模式，实现全链路数据可见，搭配3D态势呈现与复盘分析功能，为网络攻防策略推演提供全方位支撑。

盛世聚鑫是盛世投资在江苏的子公司。盛世投资是国内领先的政府基金管理机构，管理规模超千亿，聚焦硬科技、数字安全等战略新兴领域，拥有深厚产业资源与行业影响力。盛世聚鑫表示：“在硬科技国产化浪潮下，自主可控的网络安全技术已成战略刚需。丈八网安坚持国产化自主研发，其核心仿真引擎与AI融合的产品矩阵，在关基防护领域构建了独特技术壁垒，这与我们的投资逻辑高度契合。未来，我们希望能联动全国布局的基金网络与产业资源，助力丈八网安链接跨区域应用场景、产业链上下游伙伴，推动国产网络仿真技术走向更广阔市场。”

泓沣资本作为丈八网安的老股东，长期聚焦网络安全、智能制造等战略新兴赛道，对行业发展趋势与技术价值有着深刻洞察。泓沣资本CEO吕俊峰表示：“我们全程见证了丈八网安在技术研发与市场拓展上的快速突破，也持续看好该赛道在数字经济与关基防护需求驱动下的广阔前景。此次持续加码是对丈八网安成长潜力的再次坚定背书，未来我们将发挥自身资源优势，助力丈八网安深度链接南京本地产业生态，同时推动其技术成果向更广泛市场辐射，挖掘企业长期价值。”

本轮融资后，丈八网安的资金将主要投向两大方向：一是依托现有技术积淀，构建AI中枢式核心产品架构，纵深推进全产品矩阵向AI原生形态演进，如丈八网络靶场系统将完成同AI中枢的对接，实现靶场场景、攻防任务的智能自动化配置编排，取代人工复杂操作，提升部署效率与演练灵活性。网络兵棋推演系统将全面实现AI原生转型，以智能自主推演、精准态势研判重塑兵棋对抗体验，为用户提供更贴合实战的策略验证与决策支撑方案；二是正式在扬子江数字经济产业基地设立“丈八网安华东总部”，该总部将承担华东、华中区域的技术研发与客户服务职能，依托基地的产业集群优势，构建“技术研发－场景落地－客户服务”的区域闭环。

从2021年成立到获评国家级专精特新“小巨人”企业，丈八网安用四年多时间完成了从技术探索到行业深耕的跨越。谈及未来，丈八网安 CEO 王珩表示：“AI对网络仿真类产品的赋能绝非简单的效率提升，而是颠覆性范式重构。当AI成为网络仿真核心底层架构的重要组成部分后，我们发现曾经的很多“不可能”都可以变成现实。本次融资正是丈八网安乘势而上的重要契机，公司将全速推进AI原生产品架构深度落地，解锁网络仿真在网络安全领域从未被设想过的全新价值。我们不仅要完成自身的技术跃迁，更要以标杆之力引领行业智能化变革，为数字经济高质量发展筑牢坚不可摧的网络安全技术底座。”

12月29日，由中国互联网协会举办的《中国互联网企业综合实力指数(2025)》发布会圆满落幕。会上，备受行业关注的“2025年中国网络安全前二十家企业”榜单正式揭晓。360公司凭借在安全领域的技术突破、全场景产品服务覆盖及深度行业实践，实力斩获网络安全产业第一，强势领跑行业发展！

作为国内网络安全领域极具权威性的评选活动，本次榜单评选涵盖技术创新能力、市场服务规模、实战防护水平等多个核心维度，全面考量企业的综合竞争力。此次登顶榜单第一，不仅是行业对360综合安全能力的高度认可，更凸显了其在产业变革浪潮中的引领地位。

 中国互联网协会副理事长兼常务副秘书长陈家春（左）为360数字安全集团总裁胡振泉（右）颁奖

当前，360已构建起全球领先的安全能力体系，涵盖国家级网络攻击防御能力、超大规模安全大数据资源、专业化人才梯队、顶尖漏洞挖掘能力以及国内一流的实战攻防水平，为国家关键信息基础设施和政企单位数转智改构筑安全屏障。

在国家网络安全防护方面，360在2025年成功捕获并披露了3个境外高级持续性威胁（APT）组织，截至目前累计发现并公开披露59个境外APT组织，更曾多次发布深度研究报告，揭露美国国家安全局（NSA）、中央情报局（CIA）等机构对中国实施长达十余年的系统性网络攻击活动。从西北工业大学、武汉地震监测中心等重大网络安全事件的应急响应，到2月份哈尔滨亚洲冬季运动会期间的网络攻击溯源保障，360均提供了关键技术支撑，成为国家网络安全应急响应体系的重要组成部分。

在赋能政企单位数转智改方面，面对AI时代的安全挑战，360公司持续升级技术架构与服务体系，提出用AI重塑安全，依托原生安全大模型构建安全智能体蜂群，涵盖安全运营智能体、终端安全能体、流量检测智能体、攻击面分析智能体、数据安全智能体、教学智能体等应用场景。

与传统安全工具的被动响应模式不同，“安全智能体蜂群”能够精准理解攻防逻辑、自主拆解任务并动态生成防御策略，高效完成攻击面收敛、威胁狩猎、自动化响应等核心任务，将安全运营效率提升数倍，助力政企客户构建主动化、智能化、体系化的数字安全防御体系。 

此外，针对大模型安全挑战，360提出“外筑‘以模治模’动态屏障，内固‘平台原生’安全底座”的双重防护理念，通过360大模型卫士为大模型应用拉起全链路安全防线。

截止目前，360产品、服务和解决方案已广泛应用在政府、金融、教育、能源、交通、制造业等关键领域的万余家政企单位，为其数字化转型提供体系化、智能化的安全保障。

未来，360将持续坚守技术创新与服务优化双轮驱动，充分发挥行业标杆的示范引领作用，积极推动数字安全产业高质量发展，为筑牢国家网络安全防线、护航全球数字经济发展贡献中国方案与360力量！

育碧旗下游戏《彩虹六号：围攻》（以下简称《彩六：围攻》）近日发生系统入侵事件，黑客借助内部系统漏洞，实现了对玩家账号的封禁与解封操控、游戏内监管信息流篡改，还向全球范围内的大量账号违规发放海量游戏货币与外观道具。

综合多名玩家反馈及网上流传的游戏内截图，攻击者具体达成了以下操作：

1.  对《彩六：围攻》玩家账号执行封禁与解封操作；

2.  在封禁公告栏中展示伪造的封禁提示；

3.  向所有玩家发放约20亿游戏币（R6 Credits）与声望值（Renown）；

4.  解锁游戏内全部外观道具，其中包含仅限开发者使用的专属皮肤。

游戏币是育碧商城中可用真实货币购买的付费游戏货币。按照育碧官方定价，15000游戏币售价99.99美元，以此计算，此次免费发放的20亿游戏币价值约合1333万美元。

《彩六：围攻》官方确认该事件后其技术团队进行了紧急修复。不久后，育碧主动暂停了《彩六：围攻》游戏服务器及内置商城的运营，并表示技术团队仍在针对该问题开展攻坚工作。

在后续的最终更新公告中，育碧明确表示，玩家不会因使用此次违规发放的游戏币而受到处罚，但官方将回滚当天上午11点之后的所有游戏内交易记录。

育碧同时指出，封禁公告栏中出现的异常信息并非官方发布，且该公告栏功能此前已处于停用状态。

彩虹六号禁赛榜上的虚假禁赛消息

更大规模入侵传闻发酵

另有未经证实的消息称，育碧的内部基础设施遭遇了范围更广的入侵。据网络安全研究组织VX-Underground透露，黑客组织宣称，他们利用了近期被披露的MongoDB数据库漏洞（该漏洞被命名为“MongoBleed”），成功入侵了育碧服务器。

该漏洞的官方编号为CVE-2025-14847，属于严重安全漏洞。未授权的远程攻击者可借助此漏洞，读取暴露在外的MongoDB数据库实例内存数据，进而获取其中存储的账号凭证与身份验证密钥。

目前，针对该漏洞的概念验证利用程序已被公开，可用于在暴露的MongoDB服务器中搜索敏感信息。

VX-Underground还指出，可能有多个无关联的威胁团伙同时将育碧列为攻击目标，具体情况如下：

团伙一：声称通过入侵《彩六：围攻》的某项服务，实现了账号封禁操控与游戏内道具修改，且未获取用户数据；

团伙二：据称利用MongoBleed漏洞入侵MongoDB数据库，进而横向渗透至育碧内部代码仓库（Git），并宣称窃取了育碧从20世纪90年代至今的大量内部源代码存档；

团伙三：声称通过MongoBleed漏洞窃取了育碧用户数据，并正以此勒索育碧支付赎金；

团伙四：对团伙二的部分说法提出质疑，称该团伙早已获取育碧源代码。

对于上述各项指控，包括MongoBleed漏洞是否被实际利用、育碧内部源代码是否遭窃取、用户数据是否泄露等，目前均未得到确切核实。

截至目前，唯一可以确认的信息是育碧已承认《彩六：围攻》游戏内系统遭恶意操控，尚无公开证据表明存在更大规模的入侵事件。

一、漏洞概述

漏洞类型

敏感信息泄露

漏洞等级

高

漏洞编号

CVE-2025-14847

漏洞评分

8.7

利用复杂度

低

影响版本

利用方式

远程

POC/EXP

已公开

近日，网上有相关情报说“MongoDB 数据库管理系统出现高危漏洞，无需身份验证即可执行任意代码”。经研判，该漏洞为未授权敏感信息泄露，攻击者可以远程获取MongoDB 服务器内存中的敏感数据。为避免您的业务受影响，建议您及时开展安全风险自查。

漏洞影响的产品和版本：

二、漏洞复现

三、资产测绘

据daydaymap数据显示互联网存在4,930,731个资产，国内风险资产分布情况如下。

立即升级至安全版本：

• 禁用 Zlib 压缩协议（如非必要）
• 在网络层部署 WAF，拦截异常压缩请求
• 启用 MongoDB 审计日志，监控异常连接行为

五、参考链接

https://github.com/advisories/GHSA-4742-mr57-2r9j

原文链接

针对macOS系统的MacSync信息窃取恶意软件最新变种，正通过经数字签名且过公证的Swift应用进行传播。

苹果设备管理平台的安全研究人员指出，与以往采用“拖放至终端”或ClickFix等较低级手段的版本相比，此次传播方式有了显著升级。

该恶意软件以经过代码签名和公证的Swift应用形式，封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中，通过https://zkcall.net/download网站分发，无需用户与终端进行任何直接交互。

有效的数字签名和公证

研究人员在分析之时，这款MacSync最新变种持有有效的签名，能够绕过macOS系统的安全机制——Gatekeeper的检测。

安全研究员对这一通用架构的Mach-O二进制文件进行检查后确认，它既经过代码签名，也完成了Apple公证，其签名与开发者团队ID GNJLS3UYZ4相关联。不过，在研究人员将该证书直接上报Apple公司后，该证书现已被吊销。

该恶意软件通过编码形式的“投放器”植入目标系统。研究人员对载荷解码后，发现了MacSync信息窃取恶意软件的典型特征。

解混淆后的载荷

研究人员还指出，这款窃取软件具备多种规避检测的机制，包括：嵌入诱饵PDF文件将DMG镜像文件大小膨胀至25.5MB、清除执行链中使用的脚本，以及在执行前进行网络连接检测以规避沙箱环境。

膨胀后的磁盘镜像文件内容

MacSync信息窃取软件于2025年4月由名为“Mentalpositive”的黑客以“Mac.C”的名称推出，同年7月开始广泛传播，与AMOS、Odyssey等恶意软件一同跻身macOS窃取类恶意软件领域——该领域虽不像其他恶意软件领域那样拥挤，但仍具备较高获利空间。 

此前MacPaw Moonlock对Mac.C的分析显示，该恶意软件可窃取iCloud钥匙串凭证、浏览器中存储的密码、系统元数据、加密货币钱包数据，以及文件系统中的各类文件。

值得关注的是，在2025年9月Mentalpositive接受研究员采访时提到，macOS 10.14.5及后续版本中更严格的应用公证政策，对其开发计划影响最大——这一点也体现在目前发现的恶意软件最新版本中。

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、法国、德国、加拿大、澳大利亚、新加坡、沙特阿拉伯、越南。主要情况如下：

一、恶意地址信息

（一）恶意地址：deli.ydns.eu

关联IP地址：45.74.17.165

归属地：美国/弗吉尼亚州/阿什本

威胁类型：后门

病毒家族：Xworm

描述：这是一种.NET编译的后门木马，使用多种持久性和防御规避技术，能够收集并发送系统详细信息到C&C服务器并接收指令，实现包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控，打开特定URL，监控活跃的窗口，进程管理，剪切板管理，远程shell执行、DDos攻击，获取地址位置，锁定屏幕，密码窃取、安装Ngrok、HVNC、隐藏RDP连接等操作。

（二）恶意地址：www.blazingelectricz.com

关联IP地址：164.132.75.23 

归属地：法国/法兰西岛大区/巴黎

威胁类型：后门

病毒家族：RemCos

描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码，攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（三）恶意地址：38.999apk.top

关联IP地址：91.195.240.12 

归属地：德国/巴伐利亚邦/慕尼黑

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（四）恶意地址：duunntrews.duckdns.org

关联IP地址：178.16.55.5

归属地：德国/北莱茵－威斯特法伦州/杜塞尔多夫

威胁类型：后门

病毒家族：AsyncRAT

描述：这是一种后门木马，采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。其主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（五）恶意地址：botnnnaccgcc.xxbot.co

关联IP地址：185.225.74.140 

归属地：加拿大/魁北克省/蒙特利尔

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（六）恶意地址：as.ddos678.com

关联IP地址：103.212.227.29

归属地：澳大利亚/新南威尔士州/悉尼

威胁类型：僵尸网络

病毒家族：XorDDoS

描述：这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（七）恶意地址：parosh.didns.ru

关联IP地址：172.94.101.157

归属地：澳大利亚/昆士兰州/布里斯班

威胁类型：后门

病毒家族：RemCos

描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（八）恶意地址：15.235.149.57

归属地：新加坡/新加坡/新加坡

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于因特网中继聊天（IRC）协议的物联网僵尸网络病毒，主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描，攻击网络摄像机、路由器等IoT设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大面积网络瘫痪。

（九）恶意地址：svchost1.linkpc.net

关联IP地址：37.56.20.182 

归属地：沙特阿拉伯/麦加/吉达

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（十）恶意地址：bato.cantdown.space 

关联IP地址：103.110.33.164

归属地：越南/胡志明市/胡志明市

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网址和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

RansomHouse勒索软件即服务（RaaS）近期完成了加密工具的升级，将原本相对简单的单阶段线性加密技术，替换为更复杂的多层加密方法。

实际应用中，此次升级带来了更强的加密效果、更快的加密速度，以及在现代目标环境中更稳定的运行表现，让威胁组织在加密完成后的谈判环节拥有更大的筹码。

RansomHouse于2021年12月以数据勒索网络犯罪组织的形式成立，后续在攻击中引入了加密工具，并开发出名为MrAgent的自动化工具，可同时锁定多台VMware ESXi虚拟机监控程序。

此前有报道称，该威胁组织曾针对日本电商巨头Askul公司，同时使用了多款勒索软件家族的工具发起攻击。 

根据研究人员发布的新报告显示，最新的加密工具变种代号为“Mario”。

新型“Mario”加密工具

RansomHouse的这款最新加密工具变种，将原本的单轮文件数据转换方式，改为基于双密钥的两阶段转换方式——分别使用一个32字节的主密钥与一个8字节的副密钥。

该方式提升了加密的熵值，增加了部分数据恢复的难度。

Mario生成两个加密密钥

第二项重要升级是引入了新的文件处理策略：以8GB为阈值设置动态数据块大小，同时采用间歇式加密。

由于该策略具备非线性特征、通过复杂算法确定处理顺序，且会根据文件大小采用不同的处理方式，静态分析的难度被大幅提升。

Mario的另一项值得关注的升级是优化了内存布局与缓冲区组织方式，同时提升了复杂度：现在每个加密阶段或功能模块都有独立的专用缓冲区。

最后，与仅会声明任务完成的旧版本相比，升级后的加密工具会输出更详细的文件处理信息。 

该新型变种仍以虚拟机文件为攻击目标，会将加密后的文件重命名为带.emario后缀的格式，并在所有受影响的目录中留下勒索信《How To Restore Your Files.txt》。

最新RansomHouse变种掉落的赎金信

RansomHouse的加密工具升级情况令人担忧，这标志着“勒索软件发展的危险趋势”：解密难度有所提升，静态分析与逆向工程的难度也进一步加大。

RansomHouse是运营时间较长的RaaS平台之一，但攻击规模仍处于中等水平。其持续开发高级工具的行为，表明该组织采取了更注重攻击效率与规避检测、而非扩大攻击规模的策略，对于人们来说更需警惕对待。

Clop勒索软件团伙（又名Cl0p）正发起新一轮数据窃取勒索攻击，目标为暴露在公网环境中的Gladinet CentreStack文件服务器。

Gladinet CentreStack可帮助企业无需VPN，通过网页浏览器、移动应用及映射驱动器，安全共享本地文件服务器中存储的文件。据Gladinet官方信息，CentreStack“被来自49个国家的数千家企业使用”。

今年4月以来，Gladinet已发布多轮安全更新，修复了多个曾被攻击利用的安全漏洞，其中部分为零日漏洞。

目前，Clop网络犯罪团伙正扫描并入侵暴露在公网的CentreStack服务器。据了解，攻击者会在被攻陷的服务器上留下勒索信。 

但目前尚未有信息表明Clop利用了CentreStack的哪一漏洞实施入侵，无法确定该漏洞是零日漏洞，还是已被修复但受害服务器未完成补丁更新的已知漏洞。 

从近期的端口扫描数据来看，至少有200余个独立IP运行着带有“CentreStack-Login”HTTP标题的服务，这些都是Clop的潜在攻击目标——该团伙正利用这些系统中一个未知的CVE漏洞（可能是n日漏洞或零日漏洞）发起攻击。

Clop的数据窃取攻击历史

Clop勒索软件团伙长期以安全文件传输产品为攻击目标。此前，该勒索团伙曾针对Accellion FTA、GoAnywhere MFT、Cleo及MOVEit Transfer文件共享服务器发起数据窃取攻击，其中MOVEit Transfer攻击影响了全球超2770家机构。

近期，自2025年8月初起，该团伙利用Oracle EBS的零日漏洞（CVE-2025-61882），从多家机构窃取敏感文件。受影响的包括哈佛大学、《华盛顿邮报》、GlobalLogic、宾夕法尼亚大学、罗技，以及美国航空子公司Envoy Air。

在攻陷目标系统、窃取敏感文件后，Clop会将被盗数据发布在其暗网泄露站点，同时提供种子文件（Torrent）供他人下载。

近期，一种名为ConsentFix的ClickFix攻击新变种被发现，该攻击手法可滥用Azure CLI OAuth应用劫持微软账户，全程无需获取用户密码，也无需绕过多重身份验证机制。

ClickFix攻击本质上是一种社会工程学攻击手段，其核心原理是诱骗用户在本地设备执行特定命令，进而实现恶意软件植入或数据窃取的目的。这类攻击通常会伪造“修复系统错误”“人机身份验证”等虚假操作指引，以此迷惑用户。

ConsentFix技术的核心在于窃取OAuth 2.0授权码，攻击者可利用该授权码获取Azure CLI访问令牌。

Azure CLI是微软官方推出的命令行工具，其基于OAuth认证流程，支持用户在本地设备完成身份验证，进而管理Azure及Microsoft 365的各类资源。在该攻击活动中，攻击者会诱骗受害者完成Azure CLI的OAuth认证流程，随后窃取生成的授权码，并通过该授权码获取目标账户的完全访问权限，整个过程既不需要用户密码，也无需突破多重身份验证防护。

ConsentFix攻击的实施流程

ConsentFix攻击的第一步，是诱导受害者访问一个已被入侵的合法网站。该网站针对特定关键词在谷歌搜索结果中排名靠前，具备较强的迷惑性。

受害者访问网站后，页面会弹出伪造的Cloudflare Turnstile验证码组件，要求输入有效的企业邮箱地址。

攻击者预先植入的脚本会将该邮箱地址与目标清单进行比对，过滤掉机器人程序、安全分析师以及非目标对象。

受害者被提示输入他们的电子邮件地址

通过验证的用户会看到一个模仿ClickFix交互模式的页面，页面提供“人机验证”的操作指引。指引内容为点击页面上的“登录”按钮，该操作会在新标签页打开一个微软官方URL。但需要注意的是，这并非常规的微软登录界面，而是用于生成Azure CLI OAuth访问码的Azure登录页面。

如果用户此前已登录微软账户，仅需选择对应账户即可；若未登录，则需在微软真实登录页面完成常规身份验证。 

完成上述操作后，微软会将用户重定向至一个本地主机（localhost）页面，此时浏览器地址栏中会显示一个包含Azure CLI OAuth授权码的URL，该授权码与用户的微软账户直接绑定。

带有代码的ClickFix风格的页面，用于窃取URL

按照页面指引，用户会将该URL复制粘贴至恶意页面，至此钓鱼流程全部完成，攻击者可通过Azure CLI OAuth应用获取目标微软账户的访问权限。

Microsoft Azure CLI 登录页面

一旦受害者完成上述操作，就等同于通过Azure CLI向攻击者开放了自己的微软账户访问权限。至此，攻击者已实际控制受害者的微软账户，且全程既没有进行密码钓鱼，也没有突破多重身份验证的防护。事实上，如果用户此前已处于微软账户登录状态（即存在有效会话），整个过程甚至不需要用户进行任何登录操作。

该攻击针对每个受害者IP地址仅触发一次。因此，即便目标对象再次访问同一钓鱼页面，也不会再出现Cloudflare Turnstile验证步骤。

安全研究人员建议，防御人员应密切监测异常的Azure CLI登录行为，例如来自陌生IP地址的登录操作；同时需重点监控旧版Graph权限范围的使用情况，攻击者通常会刻意利用这类权限来规避检测。

2025年11月19日，2025年“全国网络普法行·北京站”启动仪式暨收官总结活动在中国人民大学成功举办。本次活动由中央网信办、司法部共同指导，北京市委网信办、北京市司法局联合主办，中国互联网发展基金会、中国人民大学、中国政法大学以及中共海淀区委共同支持。作为“全国网络普法行”系列活动的总收官，活动以“e法善治 网聚同心”为主题，全面展现了网络法治建设的丰硕成果与品牌活动的广泛成效。

作为活动的重要组成部分，一场集互动性与趣味性于一体的“网络普法游园会”同步在中国人民大学逸夫会堂前广场举行。海淀区委网信办携手检察院，联合梆梆安全等一批具有代表性的海淀本土科技企业，共同打造了一场“沉浸式普法嘉年华”，将抽象的法律知识转化为可感知、可体验的互动场景，让普法宣传真正“活”起来、“潮”起来。

互动展位人气高涨，反诈经验共享成亮点

在游园会现场，梆梆安全以“移动安全，与你同行”为主题设立的互动展位，吸引了大量师生与参会者驻足。展位以反诈普法为核心，通过互动问答等形式，引导参观者分享日常生活中遇到的电信诈骗案例与防范经验。许多参与者积极写下“反诈心得”，形成一系列实用易懂的反诈小贴士，成为现场一道独特的风景。

展位还揭秘了个人信息保护的多种实用妙招，这些由参与者共同创作的反诈提示，不仅增强了公众对诈骗手法的辨识能力，也生动体现了全民参与共建清朗网络的普法理念，让法治意识在轻松互动中深入人心。

实用安全指南，助力全民防范网络风险

结合本次普法主题，梆梆安全整理了一份涵盖四大方面的网络安全实用指南，旨在提升公众在日常用网过程中的自我保护意识与能力：

科技赋能反诈防护，筑牢移动应用安全防线

梆梆安全作为专注于移动安全与反诈技术研究的企业，长期致力于跟踪电信网络诈骗的新手法与新趋势。通过移动应用安全监测、黑灰产软件库构建、风险行为实时检测等技术手段，梆梆安全帮助企业有效防范屏幕共享欺诈、远程操控攻击、仿冒APP分发等新型风险，助力构建安全、可信的移动应用生态。

在数字经济快速发展的今天，移动应用已成为人们生活与工作中不可或缺的一部分。梆梆安全通过持续的技术创新与实践积累，推动安全防护从“事后治理”向“事前预防”延伸，为企业和用户提供贯穿应用全生命周期的安全保障，实现“科技赋能普法，安全精准直达”。

整场活动在热烈的互动与交流中圆满落幕。梆梆安全通过此次普法行，不仅展示了在移动安全与反诈领域的专业能力，也与公众共同构建了一场法治意识与科技融合的生动实践。未来，梆梆安全将继续携手各方，以创新为驱动，以技术为支撑，为营造清朗、安全、可信的网络空间持续贡献力量。

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（1026-1108）

●最新监管动态

监管通报动态

●监管支撑汇总

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析 

01最新监管动态

1. 监管通报动态

10月24日，甘肃通管局依据相关法律法规，持续开展移动互联网应用程序（含小程序）个人信息合规专项整治行动。截至目前，尚有10款应用程序未完成整改或整改不到位，甘肃通管局现予以公开通报。2025年第四批通报涉及的9款应用程序，仍有5款未按要求完成整改，甘肃通管局现予以下架处置。

10月28日，工信部依据相关法律法规的要求，对APP、SDK违法违规收集使用个人信息等问题开展治理，经抽查，共发现42款APP及SDK存在侵害用户权益行为，上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部依法依规组织开展相关处置工作。

10月30日，病毒处理中心依据相关法律法规，检测发现70款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的69款违法违规移动应用，经复测仍有28款存在问题，相关移动应用分发平台已予以下架。

11月3日，四川和重庆通管局依据相关法律法规的要求，对川渝两地主流应用商店移动互联网应用程序（APP）进行了检查。截至目前，仍有11款APP/小程序未按要求完成整改。上述APP/小程序应限期完成整改落实工作，逾期不整改的，四川和重庆通管局将依法依规进行处置。

11月3日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，尚有8款移动互联网应用程序未整改或整改不到位，北京通管局现予以公开通报。上期通报移动互联网应用程序并要求整改。截至目前，仍有7款移动互联网应用程序未整改或整改不到位，北京通管局现予以全网下架处置。

11月3日，上海通管局依据相关法律法规的要求，对APP（SDK）违法违规收集使用个人信息等问题开展治理。10月，上海通管局公示的一批存在侵害用户权益行为的APP（SDK）。经核查复检，尚有27款APP（SDK）未按照要求落实整改，上海通管局现对上述APP（SDK）采取下架处理。

11月3日，上海通管局依据相关法律法规的要求，对APP（SDK）违法违规收集使用个人信息等问题开展治理。经抽查发现53款APP（SDK）存在侵害用户权益行为，上海通管局现予以通报。

11月6日，安徽通管局依据相关法律法规的要求，对省内APP进行了拨测检查，检测发现28款APP存在违法违规收集使用个人信息的问题，安徽通管局对上述违规APP企业下达了责令改正通知书，要求限期完成整改工作。截至目前，尚有10款APP未完成问题整改，逾期不整改的，安徽通管局将依法依规组织开展相关处置工作。

11月10日，工信部依据相关法律法规的要求，对APP、SDK违法违规收集使用个人信息等问题开展治理，经抽查，共发现39款APP及SDK存在侵害用户权益行为，上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部依法依规组织开展相关处置工作。

11月11日，湖南通管局依据相关法律法规的要求，开展移动应用程序个人信息权益保护专项治理行动。9月，湖南通管局公开通报的41款未按期完成整改的移动应用程序，截至目前，仍有23款移动应用程序未按期完成整改，湖南通管局予以下架。

02监管支撑汇总

1. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03漏洞风险分析

从全国的Android APP中随机抽取了2,376款进行漏洞检测发现，存在中高危漏洞威胁的APP为1,820个，即76.6%以上的APP存在中高危漏洞风险。而这1,820款漏洞应用中，有高危漏洞的应用共1,321款，占比72.58%，有中危漏洞的应用共1,776款，占比97.58%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP各类型占比分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的22.04%，其次为教育学习类APP，占比12.09%，生活服务类APP位居第三，占比10.31%，漏洞数量排名前十的类型如下图所示：

近日，2025中国—东盟数据安全产业创新合作论坛在广西南宁成功举办。论坛期间，中国软件评测中心联合数世咨询等机构正式发布了《2025中国数据安全企业全景图》。梆梆安全凭借在数据安全领域卓越的技术实力与专业服务，在数据跨境合规、数据资产识别、数据分类分级、数据加密、API安全、异常行为分析、数据安全检查工具箱、数据安全咨询服务、数据安全评估服务、数据安全人才培训服务、个人信息保护以及具备全球化服务能力等12项细分领域成功获选，充分体现了公司产品与服务的专业性以及行业的高度认可。

本次全景图系统梳理了国内数据安全产业的企业生态与市场格局，紧密围绕技术演进与场景创新，新增了前沿技术布局与热点应用场景，并突出对全球化服务能力的关注。在结构上，全景图共设立4个一级分类与34个二级分类，全面呈现我国数据安全产业的体系架构与发展动态，清晰反映出各细分领域中企业的分布格局与技术能力水平。该全景图的发布，不仅为政府与企业在把握产业态势、制定发展策略方面提供了权威参照，也将有力促进行业协同与生态共建。

梆梆安全入选详情

数据安全产品

数据安全服务

前沿技术与热点场景

全球化服务能力

作为数据安全领域的践行者，梆梆安全多年来持续深耕该领域，已构建起一套覆盖多场景的数据安全能力体系。公司在数据安全关键技术方面不断实现突破，依托自研的智能化产品与专业服务，形成包括API安全平台、移动应用合规平台、全渠道应用安全监测平台，以及涵盖个人信息隐私合规评估、个人信息保护合规审计、GDPR合规咨询等在内的综合服务矩阵。

基于上述能力，梆梆安全打造了覆盖数据全生命周期的防护体系，能够在复杂多变的实际应用环境中，为客户提供具备高度落地性与持续运营能力的安全支撑，有效应对日益动态化、高阶化的安全挑战。

关键场景实践中，梆梆安全聚焦于以下维度，实现精准能力部署：

风险监测与阻断：依托API安全平台、全渠道应用安全监测平台，构建持续化、体系化的安全感知与响应机制，实现对数据资产与业务接口的实时威胁感知与风险控制。

个人信息保护：系统性搭建专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

数据跨境合规：围绕数据出境安全与跨境监管要求，提供涵盖GDPR汽车出海数据安全合规评估等服务，通过系统开展涉及个人信息的处理活动差距分析，精准识别合规薄弱环节，确保数据处理全流程符合目标市场法律法规，支撑企业在全球化运营中构建规范、可持续的数据跨境流动体系。

未来，梆梆安全将持续深耕数据安全核心技术，致力于推动人工智能与数据安全能力的深度融合。我们将以创新为引擎，不断迭代覆盖数据全生命周期的产品与解决方案，为千行百业的数字化转型构筑更智能、更可靠的安全基石，携手生态伙伴共同推动数据安全产业迈向高质量发展的新阶段。

最新发现，多个威胁者正借助OAuth设备代码授权机制，通过钓鱼攻击攻陷微软365账户。攻击者会诱骗受害者在微软官方设备登录页面输入设备代码，在受害者毫无察觉的情况下，完成对攻击者控制应用的授权，无需窃取凭证或绕过多因素认证，即可获取目标账户的访问权限。

尽管该攻击手段并非首次出现，但自今年9月以来，此类攻击的数量大幅增长，发起攻击的既包括TA2723这类以牟利为目的的网络犯罪分子，也有与国家相关联的威胁组织。

安全研究员监测到多个威胁团伙正利用设备代码钓鱼，诱使用户向威胁者开放微软365账户的访问权限，且此类攻击流程被用于大规模攻击活动的情况“极为反常”。

攻击工具与活动详情

黑客通过诱骗受害者在微软官方设备登录门户输入设备代码。在部分攻击中，设备代码会被伪装成一次性密码；在另一些攻击中，诱饵则是令牌重新授权通知。

研究人员发现攻击中使用了两款钓鱼工具包：SquarePhish v1、v2，以及Graphish，这些工具简化了钓鱼攻击的实施流程。

SquarePhish是一款公开可用的红队工具，通过二维码针对OAuth设备授权流程发起攻击，仿冒微软MFA/TOTP的合法配置流程。

Graphish是在地下论坛传播的恶意钓鱼工具包，支持OAuth权限滥用、Azure应用注册，以及中间人攻击。 

针对监测到的攻击活动，研究人员在报告中重点提及三类：

1.薪资奖金攻击：该攻击活动以文档共享为诱饵，搭配本地化的企业品牌标识，诱使收件人点击攻击者控制的网站链接。随后受害者会被要求在微软官方设备登录页面输入指定代码，完成“安全认证”，实则为攻击者控制的应用完成授权。

攻击中使用的授权页面

2.TA2723攻击活动：TA2723是一个从事大规模凭证钓鱼的威胁组织，此前曾仿冒微软OneDrive、LinkedIn与DocuSign发起攻击，今年10月起开始使用OAuth设备代码钓鱼手段。该活动初期可能使用SquarePhish2工具，后续攻击浪潮则可能转向Graphish钓鱼工具包。

TA2723的OneDrive仿冒攻击

3.国家关联攻击活动：自2025年9月起，监测机构监测到一个疑似与俄罗斯相关联的威胁组织（追踪代号UNK_AcademicFlare），正滥用OAuth设备代码授权机制实施账户接管。该组织先攻陷政府与军方的邮箱账户，以此建立信任，随后分享仿冒OneDrive的链接，诱导受害者进入设备代码钓鱼流程。攻击主要针对美国与欧洲的政府、学术、智库及交通行业机构。

针对前期无害互动发起的恶意邮件

为拦截此类攻击，安全研究员建议企业尽可能启用Microsoft Entra条件访问，并考虑制定登录来源相关的安全策略。

黑客正针对两款远程文件安全访问共享产品——CentreStack与Triofox发起攻击，其所用的突破口，是这两款产品加密算法实现过程中一个此前未被公开披露的全新漏洞。

安全研究人员发出警告，攻击者可借助该漏洞获取硬编码加密密钥，进而实现远程代码执行。尽管该新型加密漏洞目前尚未获得官方漏洞编号，但Gladinet方面已向客户推送相关通知，建议用户将产品更新至11月29日发布的最新版本。该公司同时向客户提供了一套入侵指标，表明该漏洞已被用于野外攻击。

托管式网络安全平台Huntress的安全研究人员证实，目前至少有9家机构遭到攻击。攻击者在攻击中同时利用了上述新漏洞，以及一个编号为CVE-2025-30406的旧漏洞——这是一个本地文件包含漏洞，本地攻击者可利用该漏洞在无需身份验证的情况下访问系统文件。

硬编码加密密钥漏洞原理

借助Gladinet提供的入侵指标，Huntress的研究人员成功定位该漏洞的触发位置，并厘清了威胁者的利用方式。

研究发现，该漏洞根源在于Gladinet CentreStack与Triofox两款产品对AES加密算法的自定义实现环节——加密密钥与初始化向量（IV）被硬编码在GladCtrl64.dll文件中，攻击者可轻易提取。 

具体而言，密钥值由两段固定的100字节中日文文本字符串生成，且所有产品安装实例中的该字符串完全一致。 

漏洞的核心触发点在于对filesvr.dn处理器的处理逻辑：该处理器会使用上述静态密钥对t参数（即访问令牌）进行解密操作。 

任何获取这些密钥的攻击者，都可解密包含文件路径、用户名、密码及时间戳等信息的访问令牌，甚至能伪造令牌冒充合法用户，向服务器发送指令以读取磁盘中的任意文件。

研究人员指出：“由于这些密钥永久固定不变，我们只需从内存中提取一次，就能用其解密服务器生成的所有令牌；更危险的是，攻击者还能利用密钥自行加密生成恶意令牌。” 

Huntress观测到，攻击者会利用硬编码AES密钥伪造访问令牌，并将令牌的时间戳设置为9999年，以此实现令牌永久有效。 

随后，攻击者会向服务器发起请求，获取web.config配置文件。该文件中包含machineKey密钥，攻击者可借助此密钥，通过视图状态反序列化漏洞触发远程代码执行。

开发活动

目前，除已确认的攻击源IP地址147.124.216[.]205外，相关攻击的具体归属组织尚未明确。

在攻击目标方面，Huntress证实，截至12月10日，已有来自医疗、科技等多个行业的9家机构遭到攻击。研究人员建议，Gladinet CentreStack与Triofox的用户应尽快将产品升级至12月8日发布的16.12.10420.56791版本，同时更换系统的machineKey密钥。

此外，用户还应扫描系统日志，排查是否存在字符串vghpI7EToZUDIZDdprSubL3mTZ2——该字符串与加密后的文件路径相关联，是判定系统是否遭入侵的唯一可靠指标。

目前，Huntress已在其发布的报告中提供漏洞缓解指导方案，同时附上相关入侵指标，供安全防护人员用于加固防护体系，或排查自身系统是否已遭到入侵。

快手“T0级网安事故”全时间线：

18:00 - 21:00

傍晚时分，快手平台直播板块开始出现零星异常报告。部分敏感用户发现，个别直播间的内容开始偏离常规，出现暗示性语言和擦边球行为。

22:00

攻击进入实质性阶段。大规模、有组织的违规直播突然同时上线。监测数据显示，在短短15分钟内，超过200个直播间几乎同步开启，内容均涉及淫秽色情。

22:15
平台监控系统首次触发大规模异常警报。后台数据显示，多个直播间观看人数呈现异常增长曲线。

22:30 - 23:30
攻击达到高峰期。此时段内，平台同时存在的违规直播间数量维持在300个以上，其中30多个直播间观看人数突破5万，部分头部违规直播间观看人数更是一度冲破10万大关。

23:45

快手技术团队终于确认系统遭受有组织的黑灰产攻击，而不仅仅是普通的内容违规问题。后台日志分析显示，攻击者集中针对平台的直播封禁接口进行了特定模式的攻击，导致自动封禁机制部分失效。

12月23日 00:15
在攻击爆发约2.5小时后，快手平台强制关闭了直播功能。此时，平台直播频道开始显示“服务器繁忙，请稍后重试”的提示，而短视频等其它功能仍保持正常。

同时，平台开始大规模封禁涉事账号。后台数据显示，此轮处置共封禁账号超过5000个，其中大部分为近期新注册或被盗用的账号。

00:30
事件影响开始溢出至平台外。北京公安局海淀分局证实已接到多个市民报案，警方正式介入调查。快手官方随后发布第一份声明，确认平台“遭到黑灰产攻击”，并表示已向公安机关报警。

02、官方回应：黑灰产攻击，已紧急修复

快手方面回应称：平台遭到黑灰产攻击，目前已紧急处理修复中，平台坚决抵制违规内容，相应情况已上报给相关部门，并向公安机关报警。

此次事件并非偶然的漏洞利用，呈现了一套高度成熟、分工明确的攻击流水线。从资源准备到最终引爆，黑灰产展现了不亚于正规互联网公司的技术整合与工程化能力。其核心流程可归纳为以下三个关键阶段，环环相扣，构成了一套完整的“灰色流水线”。

第一阶段：建立“肉鸡”孵化器——账号的批量制造体系

攻击的起点，是解决“身份”问题。黑灰产不再依赖随机盗号，而是建立了标准化的账号生产链：

资源层：核心是“接码平台”与“SIM卡农场”（即猫池）的组合。前者提供全球范围的临时手机号接收服务；后者作为物理硬件，实现数SIM卡的集中管理与短信自动接收。

自动化层：通过定制脚本，将注册流程完全自动化：从平台获取号码→模拟App注册请求→自动抓取并填入验证码。这套体系能以极低成本，快速生成海量“干净”账号，完成了攻击兵力的原始积累。

第二阶段：穿上“隐身衣”——对抗风控的伪装与潜伏

批量注册的账号极易被识别。因此，黑灰产投入大量精力用于“对抗性身份塑造”，目标是让虚假账号在平台风控系统中“看起来像真人”：

网络身份伪装：使用动态VPS和庞大的代理IP池，将攻击流量分散到大量真实住宅或移动IP之后，有效规避基于IP的频次与地理位置规则。

设备身份克隆：利用工具深度伪造每个账号对应的设备指纹（包括型号、操作系统、各类硬件ID等），生成看似真实、唯一的设备身份，绕过设备风险识别模型。

行为模式模拟：账号在攻击前会经历“静默培养期”。通过脚本模拟正常用户的浏览、互动等行为，积累可信的行为轨迹，降低账号风险评分，为后续高危操作铺平道路。

第三阶段：发动“蜂群”攻击——精准协同的分布式打击

这是技术含量最高的环节，关键在于实现大规模节点的毫秒级协同：

指挥中枢：攻击者架设中心化控制服务器，负责存储攻击素材、推流地址，并制定精确到秒的攻击时间线。

任务同步：采用分布式任务调度技术。在预定时刻，控制端向所有在线代理节点同步下发加密的攻击指令包。各节点通过时间同步协议校准，确保动作一致性。

瞬时引爆：指令触发后，所有节点同步执行：调用平台接口创建直播间、获取推流凭证、将预录制的违规视频流推送至服务器。从而实现“万播齐发”，在极短时间内冲垮常规审核与响应机制。

此次事件清晰地表明，黑灰产攻击已从零散的漏洞利用，升级为具备资源供应链、技术对抗链、协同指挥链的完整作战体系。攻击方犹如一支拥有技术中台的“灰色军队”，进行的是系统对系统、工程对工程的较量。

在复盘了惊心动魄的十分钟攻击后，一个核心问题浮出水面：这场需要精密策划、庞大资源和技术协同的“闪电战”，究竟出自何人之手？基于公开的攻击手法和黑灰产活动规律，我们尝试勾勒几种可能的画像。

综合来看，此次攻击的发起者，极大概率是一支技术成熟、分工明确、具备“企业级”运作能力的国内专业黑灰产组织。这并非散兵游勇的偶然行为，而是一次典型的产业化协同犯罪。

攻击的产业化：攻击团队已拥有从资源储备、技术对抗到协同指挥的完整“技术中台”，短时间内调动、协调并有效控制数以万计的“僵尸”账号（肉鸡）发起同步攻击，需要掌握庞大且稳定的国内“肉鸡”资源网络、代理IP池以及验证码接收渠道。这背后是一个扎根于国内互联网土壤的庞大灰色资源供应链。其运作模式堪比一家小型科技公司。这标志着攻击已从“工具化”进入“工业化”阶段。

动机的复合化：如此大动干戈，其目的绝非“炫技”那么简单，而是有着清晰的利益诉求：首要且直接的目的是快速规模化的经济变现，这是最核心的驱动力。通过直播引流→社交账号盗取→实施诈骗，形成了一条高效、可复制的“黑产流水线”，能在极短时间内将流量非法转化为经济利益。潜在目的可能是能力展示与市场干扰。成功瘫痪一个顶级互联网平台的核心业务，本身就是对自身技术能力的“最强广告”，有助于该组织在黑市中提升声望、抬高“服务”报价。同时，不能完全排除其受雇于某些商业竞争对手，进行市场干扰的可能性，但经济利益始终是根本出发点。

防御的新挑战：对手不再是利用零散漏洞的黑客，而是成体系、有预算、有持续性的“灰色军队”。防守方必须构建与之匹配的、覆盖全链路的“纵深防御”体系，并从单点防护思维转向持续性的动态对抗和体系化作战思维。

对于平台和企业而言，防御思维必须升级：对手不再是利用单一漏洞的“点”式攻击，而是发起多维度、全链条协同的“面”式打击。未来的防御体系，必须构建覆盖“资源对抗—行为识别—实时研判—智能熔断”的纵深防御和动态对抗能力，方能应对此类工业化攻击的挑战。

针对这一极端突发情况，快手在23日0时前后采取了“无差别关停”的紧急止损措施。截至凌晨0时45分，直播频道已恢复正常。

12月23日，快手-W(http://1024.HK)开盘跌3.3%，报64.50港元/股；截至发稿，报63.95港元/股，下跌4.12%。

原文链接

12月22日晚间，国内知名短视频平台快手遭遇有组织的黑灰产攻击，大量直播间被非法植入色情低俗内容，引发广泛关注。截至发稿，平台方已采取紧急措施，封禁违规直播间，并向公安机关报案。

据消息，当晚众多网友反映，快手平台部分直播间突然出现播放淫秽影片、进行擦边低俗表演等异常内容，个别直播间实时观看人数甚至达到上万人。这些内容显然与平台日常审核标准严重不符，疑似系统遭外部恶意攻击所致。

并且有网友提醒，千万不要点击相关链接。攻击者很可能利用色情内容的吸引力，在短时间内聚集大量用户，再通过技术手段诱导用户点击恶意链接。一旦用户点击，设备就可能被植入恶意程序，导致个人信息泄露、账号被盗、甚至进行诈骗。

图片来源于网络

面对突发情况，快手方面连夜启动应急机制，技术人员紧急介入处理。目前，大量异常直播间已被封禁，平台基本功能恢复正常。

快手官方称，快手遭到黑灰产恶意攻击，导致部分直播间出现违规内容。平台已第一时间启动应急预案，目前正在紧急处理修复中。快手强调，平台一贯坚决抵制各类违规内容，对于此次攻击事件，已及时将情况上报相关部门，并向公安机关正式报警。

网络安全专家指出，此类针对大型互联网平台的针对性攻击，通常是有组织的黑灰产团伙利用技术漏洞或自动化工具实施的恶意行为。