嘶吼

来源：央视新闻

格拉茨技术大学的研究人员发现了一种具有突破性的基于软件的旁道攻击方式 ——KernelSnitch，它利用的是 Linux 内核数据结构中的时间差异。

根据研究人员在 Github 上发布的报告，与依赖硬件的攻击不同，KernelSnitch 主要针对哈希表、基数树和红黑树。这使得非特权攻击者能够跨越隔离进程泄露敏感数据。

漏洞：内核数据结构是静默泄漏者

操作系统依靠哈希表和树等动态数据结构来管理用户空间锁、计时器和进程间通信 (IPC) 的元数据。

KernelSnitch 利用了一个关键的架构疏忽：访问这些结构所需的时间取决于它们的占用情况（元素的数量）。

通过测量系统调用执行时间，攻击者可以推断占用率并提取秘密。

KernelSnitch 的工作原理

1、时间测量：攻击者触发与内核结构交互的系统调用（例如，futex、msgget）。

2、占用率推断：系统调用持续时间越长，表示由于迭代搜索（例如，遍历哈希桶中的链接列表）导致的占用率越高。

3、放大：哪怕是极其微小的时间差异（低至 8 个 CPU 周期），也会通过缓存抖动（刷新 CPU 缓存以加剧内存延迟）或者结构操作（人为增加占用率）被放大。

KernelSnitch 利用哈希表中的可变访问时间。每个存储桶的链接列表长度会影响系统调用持续时间，通过时间戳比较泄露。

分析

1、隐蔽通道（580 kbit/s 传输）：恶意进程通过调节哈希桶占用率来进行通信。在 Intel i7 - 1260P 上，KernelSnitch 利用 futex 子系统实现了 580 kbit/s 的传输速度，错误率为 2.8%。

2、内核堆指针泄漏：攻击者通过强制哈希碰撞，可以推断出哈希函数中使用的秘密内核地址（例如 mm_struct）。这能够实现精确的堆操作以提升特权，并且在 65 秒内就能泄露指针。

3、网站指纹识别（准确率 89%）：在网页加载期间，监控 Firefox 的 futex 活动可以创建独特的时间指纹。卷积神经网络（CNN）能够从 Ahrefs Top 100 列表中识别出网站，F1 得分为 89.5%。

为什么 KernelSnitch 很重要

· 与硬件无关：和 Spectre 或 Meltdown 不同，KernelSnitch 利用的是软件设计缺陷，能够绕过硬件缓解措施。

· 广泛影响：所有使用动态内核结构的主流操作系统都存在这个漏洞。该漏洞已在 Linux 5.15 - 6.8 版本上进行了测试。

· 隐身性：它不需要特权或共享内存，能够逃避现有的沙箱。

缓解与挑战

修复 KernelSnitch 需要进行根本性的变革：

· 恒定时间结构：消除与占用情况相关的操作（例如预先计算最坏情况下的遍历步骤）。

· 命名空间隔离：限制跨安全域的结构共享。

· 随机散列：在散列函数中混淆内核地址输入。

正如合著者 Lukas Maar 所说：“对于通用内核来说，恒定时间编码并不现实。我们需要的是架构转变，而不是简单打补丁。”

KernelSnitch 暴露了操作系统安全中一个普遍存在的盲点：性能优化在无意中创建了旁道。由于概念验证（PoC）代码已经公开，开发人员必须优先考虑强化结构，而不是进行增量修复。随着内核级攻击变得越来越复杂，重新思考核心设计范式已经刻不容缓，否则攻击威胁将会超过缓解措施的作用。

卡巴斯基发布的关于 2024 年移动恶意软件演变的最新报告显示，针对移动设备的网络威胁显著增加。

这一年，该安全公司的产品成功阻止了多达 3330 万次涉及恶意软件、广告软件或有害移动软件的攻击。

移动恶意软件格局正随着新的传播方案发生变化

广告软件依旧在移动威胁领域占据主导地位，在总检测数量中占比 35%。卡巴斯基安全网络发现了 110 万个恶意以及潜在有害的安装包，其中近 69,000 个与手机银行木马相关。

这份报告着重指出了移动恶意软件几个新出现且令人担忧的趋势。比如，发现了 Mamont 银行木马针对俄罗斯安卓用户的一种新型传播方案。攻击者运用社会工程手段，以折扣产品吸引受害者，随后发送伪装成货运追踪应用程序的恶意软件。

研究人员还在捷克共和国发现了一种新的 NFC 银行诈骗手段。网络犯罪分子利用钓鱼网站，传播合法 NFCGate 应用程序的恶意修改版本。从诈骗者的聊天记录中，能看到相关的钓鱼链接。这种诈骗手段通过 NFC 连接，诱骗用户泄露银行卡详细信息，让欺诈者得以进行未经授权的交易。

新兴威胁和复杂的攻击媒介

有一个重大发现是 SparkCat SDK 植入程序，它从 2024 年 3 月开始传播。该恶意软件存在于多个 Google Play 应用里，目的是窃取设备图库中的图像，尤其针对加密货币钱包的恢复短语。值得注意的是，这个植入程序的变种还成功渗透进了苹果的 App Store，成为已知首个绕过苹果严格安全措施的 OCR 恶意软件。

在移动威胁态势下，预装恶意应用程序的情况有所增多，比如在安卓电视机顶盒上检测到了 LinkDoor 后门（也叫 Vo1d）。这个恶意软件嵌入在系统应用程序中，能够执行任意代码，还能安装其他恶意软件包。

尽管恶意软件和不需要的软件安装包总体数量连续多年呈下降趋势，但下降速度已经变缓。尤其让人担忧的是，虽然唯一安装包数量有所减少，手机银行木马活动却持续呈上升态势。

随着移动设备越来越成为网络犯罪分子的主要攻击目标，对强有力的安全措施以及提升用户安全意识的需求，从未像现在这样迫切。移动恶意软件的复杂程度日益提高，这凸显了保持警惕、采用全面移动安全解决方案来防范这些不断加剧的威胁的重要性。

在互联网高度普及的今天，网络为我们的日常生活和工作带来了极大便利，但同时也为网络攻击者提供了丰富的攻击途径，勒索软件因其低成本和高回报的特性，已成为网络攻击者的首选工具。这种恶意软件利用强大的加密技术锁定受害者的数据，除非支付赎金，否则难以解密，从而构成了严重的威胁。勒索软件不仅对个人和企业造成巨大的经济损失，更对国家安全和社会稳定构成了严重挑战。

作为网络犯罪的一种主流形式，勒索软件的破坏力不容忽视。其攻击手法日益多样化和隐蔽化，给防范和应对工作带来了前所未有的难度。在这样的大背景下，增强网络安全意识，强化防护措施，已经成为全社会共同抵御勒索软件攻击的当务之急。

从攻击手段聊勒索软件的防护难点

随着网络攻防技术的迭代，勒索软件的渗透途径日益增多，其攻击手段已经不再局限于传统的钓鱼邮件和恶意软件更新，扩展至软件更新劫持、僵尸网络等多样化形式。这些攻击不仅威胁到个人和企业资产，还涉及从本地存储到云端数据的全方位防护需求。特别是在疫情期间，远程办公和自带设备（BYOD）的广泛应用，使得企业的网络边界更加模糊，为勒索软件提供了更广阔的攻击空间。攻击技术的持续发展使得勒索软件的攻击手段更加多变，对企业安全防护构成了前所未有的挑战。

1、病毒变种多，难以查杀

勒索软件作者会不断更新病毒代码，生成新的变种，以逃避安全软件的检测。

2、攻击方式多样化，防不胜防

勒索软件的渗透途径日益增多，其攻击手段已经不再局限于传统的钓鱼邮件和恶意软件更新，扩展至软件更新劫持、僵尸网络等多样化形式。

3、传染性强，企业防护困难

勒索软件的攻击技术，包括复杂的加密算法和规避检测机制，使得传统安全工具难以有效识别和拦截，显著提升了企业安全防护的难度。

4、开发者难以追踪

攻击者通常要求使用比特币等匿名货币支付赎金，导致后续难以从金融方向追踪到攻击者。

从企业安全建设聊勒索软件的防护难点

1、老旧应用升级困难

随着企业业务的不断发展，企业内部IT建设的逐步推进，在这个发展的过程中，难免存在一些早期的IT设备，无法跟上企业内部的IT建设步伐，服务器本身就存在大量未打的补丁和升级，这些漏洞都可能成为攻击者的攻击入口。

2、用户意识和培训不足

企业内部员工的安全意识参差不齐，加之勒索软件攻击手段的多样性，仅依赖安全人员定期的安全培训是远远不够的。即便如此，企业员工仍可能轻易受到钓鱼邮件、恶意链接和附件的诱惑，从而不慎引入勒索软件。

3、多个权限管理系统相互独立

传统的网络架构中，权限管理相对独立，并且不够严格，用户和运维人员可能超过其工作范围的权限，并且无法进行统一管控，这些都为勒索软件的传播提供了便利。

4、缺乏端到端的安全策略

传统的网络架构中缺乏全面的端到端的安全策略，导致无法在数据传输和处理的过程中提供足够的保护，这些点都成为IT人员防护勒索软件的难点。

5、安全工具的集成和互操作行差

传统的网络中，不同的安全工具相互独立，无法有效进行集成，终端的只负责终端的安全检查，服务端只负责服务端的安全检查，不同的平台无法进行联动分析，导致一旦发现问题，管理人员只能通过后续的报警与日志信息进行排查，无法对事中的行为进行监测与干预，安全人员只能处于被动的地位。

无论是宏观环境、攻击手法，还是企业内部的安全状况，都对企业防御勒索软件构成了挑战。因此，企业必须采纳更为先进和全面的安全策略，例如推行零信任模型、加强端到端加密措施、定期开展安全培训和提升员工安全意识、建立快速的应急响应机制等，以有效应对勒索软件的复杂多变攻击手段。

安几零信任平台，为企业提供全方位，可落地的防勒索软件解决方案

安几零信任，作为业内领先的零信任架构研究团队，将勒索软件防御作为关键的研究领域。依托团队在网络安全攻防领域的深厚积累，我们不断探索企业安全建设与零信任架构的深度结合，致力于打造以自适应防御为核心理念的零信任安全防御平台。我们助力企业构建以零信任架构为核心的下一代安全体系，以应对日益复杂的网络安全挑战。

1、接入端持续安全检测，强化不同资产下安全防护能力

在对接入端的安全安全层面，安几零信任对接入端的检测贯穿整个访问过程，包括但不限于检查终端防火墙和杀毒软件是否启用、是否满足登录安全标准等。若接入终端因个人失误而遭受攻击，如被植入木马或其他恶意软件，并试图通过低频操作隐藏自身，以规避终端安全软件的监测，则在接入内网后可能发起进一步攻击。在这种情况下，仅靠接入前的终端检测已不足以保障安全。零信任架构的持续认证机制为此类场景提供了有效的解决方案。即使在绕过接入环节后，每次访问都会受到持续监测，一旦检测到异常行为，便能立即采取权限回收或中断访问的措施。

2、服务安全端代理模块，提升主机防护能力

勒索软件的攻击策略不仅限于利用终端环境，其目标也越来越多地转向具有高配置和高算力的服务端。针对这一趋势，服务端主机的安全检测和防护显得尤为重要。

在服务端防护层面，安几零信任提供独有的主机防护代理模块，搭配安全网关来加强对所有访问流量进行严格校验与权限控制，实现比防火墙更为细粒度的管控，一旦发现一台服务器已被感染，立即执行隔离操作，防止其他 服务器被污染，从而有效遏制勒索软件的攻击企图。这种多层次、动态的防护策略，为服务端主机提供了更为坚固的安全防线。

3、服务出口访问控制，及时切断病毒远程通信

勒索软件的攻击依赖于内网主机传播，并需完成远程密钥的交换与验证。安几零信任的服务端代理模块，支持对服务器的出口访问权限进行访问控制，仅开放真正需要访问的IP和端口，从策略上阻止勒索病毒访问远程服务器进行密钥下载。此外，网关还能与第三方日志系统协同分析，一旦识别出勒索行为，立即触发告警，并启动相关检测软件进行勒索软件的清除。

4、所有的访问流量实时监测，消除流量中的风险盲点

通信流量检查是网络安全中的必不可少的一环，所有的访问行为都会以流量的方式记录下来（包含勒索软件行为），传统网络安全设备无法在不影响业务的情况下实现对所有SSL流量的安全检查，零信任安全网关能力提供对所有的访问流量（包含加密流量）进行监测的能力，同时配合检测策略进行实时防护，一旦发现异常访问链接行为，即刻执行拦截和处置操作。

5、细粒度的权限管控，强化企业整体安全防护能力

企业内部安全建设的不均衡性为勒索软件攻击提供了可乘之机。安几零信任通过实施统一的身份管理，基于属性基访问控制（ABAC）的权限模型，配合策略控制模型，针对企业内部资源的不均衡状况，实现一致的权限管控，防止权限滥用和风险扩散。将因权限管理不当引发的风险降至最低，强化了企业的整体安全防护能力。

6、暴露面收敛，有效降低日志输出，提升运维效率

在企业安全建设中，为了增强防护能力，常会部署众多安全设备，每台设备配备不同的防护策略。然而，这些设备因为业务暴露面问题会产生的海量告警日志，给安全运维团队带来沉重负担，使得运维人员难以迅速识别并响应真实的威胁，安几零信任通过暴露面收敛模块，确保只有通过校验的合法用户才会留下日志，大幅减少了无效日志的产生，这样一来，安全运维人员可以摆脱繁琐的日志筛选工作，将注意力集中在处理更为复杂和高级的攻击告警上，从而显著提高运维工作的效率。

在信息化、数字化迅猛发展的当下，网络安全问题已成为国家经济发展和社会稳定的重要课题。近年来，以ChatGPT、DeepSeek等为代表的生成式人工智能技术迅速崛起，为各行各业带来了前所未有的效率提升和创新机遇，但同时也引发了新的安全挑战。AI时代的到来，让网络安全形势更加复杂多变，甚至可以说重塑了网络空间的安全格局，这也要求对网络安全的防护网必须编织得更加严密和坚固。

西湖论剑・中国杭州网络安全技能大赛（以下简称大赛）从第一届开始到第八届始终紧跟网络安全新局势、创新网络安全新课题，作为国内顶尖的网络安全赛事，西湖论剑不仅是一场技术比拼的盛宴，更是守护数字世界安全的重要平台。本届大赛以“人才：激发数字安全新动能”为主题，聚焦人工智能、数据安全核心议题，吸引了436所高校和10余家企业的842支队伍、4169名选手参赛，将为网络安全领域带来新的技术突破与人才选拔的契机。

江湖告急，人才为先

专业的网络安全人才，犹如江湖中的绝世高手，是应对这些复杂威胁的关键所在。《2024 年网络安全产业人才发展报告》显示，全球网络安全行业面临着人员和技能的双重短缺。面对日益复杂的网络安全威胁，培养高素质的网络安全人才已成为当务之急。西湖论剑网络安全大赛正是基于这一背景，旨在通过实战演练、技术交流和人才培养，推动我国网络安全事业的发展。选手们在比赛中积极探索AI与网络安全的结合点，提出了一系列创新性的解决方案和应用场景，为新时代网络安全体系建设工程注入了新的活力。

赛事亮点：实战化、国际化、前沿化

今年的大赛着眼前沿、实战，与当前网络安全领域的热点问题相结合，涵盖数据安全、AI人工智能安全等多个领域，设置网络攻防实战赛、创新挑战赛、可信众测赛三大赛项，综合虚拟仿真、技术创新、真实漏洞挖掘的考察形式，全面考察选手在网络安全领域的创新能力、实战技能以及团队协作能力。

凭借其创新性赛制、高质量赛题、高规格办赛标准，大赛吸引了包括清华大学、北京大学、浙江大学、中国科学技术大学、复旦大学、上海交通大学、南京大学等国内顶尖学府的积极参与，让今年的高手过招看点满满。其中，网络攻防实战赛共吸引来自全国420所高校的758支战队3960名学生参与，报名院校数量创历史新高。创新挑战赛项则吸引了84支战队共209人报名，报名队伍数量相较前一届增长62.7%。

不仅如此，今年大赛还首次吸引了海外高校学生报名，使得大赛更加国际化，促进了全球网络安全人才的交流与合作。

目前，大赛网络攻防实战赛初赛已经落下帷幕！32支队伍在激烈的比拼角逐中胜出，将进入后续的决赛阶段；可信众测赛进入统一评审阶段；创新挑战赛正在进行初赛评审。

守护数字未来，共筑安全防线

网络安全关乎国家安全、社会稳定和每个人的切身利益。“西湖论剑”大赛自诞生至今，已经历经七载风雨，赛事吸引了17000余位英才，4000余支战队，涵盖了全国600余所学府与数百家企业，为社会培育了一批批网络安全的高手。

“西湖论剑网络安全大赛不仅是一场技术比拼，更是一场守护数字未来的行动。通过大赛，我们希望能够培养高素质网络安全人才，推动网络安全技术创新同时提升全民网络安全意识，共同去构建一个安全的网络生态体系。”举办方相关负责人表示。

本届大赛由杭州市公安局、共青团杭州市委、杭州市学生联合会主办，安恒信息、杭州市网络安全研究所、杭州市网络安全协会、共青团杭州市滨江区委承办，全国数字安全行业产教融合共同体协办。大赛正在火热进行中，期待您的关注和参与！

近日，聚焦数字安全和AI领域的SaaS化教育培训平台——ISC.AI学苑正式接入满血版DeepSeek-R1大模型，并集成360纳米AI搜索，推出ISC.AI学苑DeepSeek一体机。该产品实现了国产算力与DeepSeek的适配，汇聚了知识课程、实训课题、智能体等教学工具，重塑了智能辅导答疑、智能知识点分析、智能学习路径规划、智能实战模拟训练等方面的全新体验，为数字安全与AI人才培养带来智能变革。

满足教育学习双端人群需求

构建人才教育新生态

ISC.AI学苑DeepSeek一体机是教育平台与国产算力底座深度结合的探索成果，融合轻量模型训练平台、企业AI应用创新平台等，实现对模型部署、管理、推理、微调、蒸馏以及AI应用开发的全链路能力覆盖，可满足高校、职业院校、中小学、教培机构等教育主体，政企机构以及个人的AI+安全教育及学习需求。产品采用一体化设计，支持轻便部署、开箱即用、即插即学的便捷操作，为教育与学习双端人群提供全栈式AI教育解决方案，加速推动人工智能教育的普及与实现。

针对各类学习场景，打造出包含AI知识问答、AI视频课程总结、AI教材提炼分析、AI智能评价、AI学习助手等智能服务。

AI知识问答：实时答疑

基于DeepSeek大模型对海量知识库的深度整合与理解，不仅能够快速响应学员的问题，还能依据问题难度和上下文关系提供详细的讲解与相关资源推荐，为学员提供了实时、准确的技术解答与学习支持。

 AI视频课程总结：速览精华

通过智能分析教学视频内容，提取核心要点，形成课程全文摘要，方便学员快速浏览精华内容，提升学习效率。

AI教材提炼分析：核心抓取

可对教材内容进行深度挖掘和整理，自动识别并整理出关键知识点、核心概念以及章节大纲，生成学习框架及脑图。

AI智能评价：学习闭环

则通过实时追踪学员的学习进度与行为，全面记录学习过程中的每个关键节点，并结合表现进行智能评价，提供个性化的反馈与改进建议。

 AI学习助手：伴护教学

作为学员的贴身学习伙伴，可随时提供学习建议、资源推荐和答疑解惑，形成持续优化的学习闭环路径。

针对各类教育场景，ISC.AI学苑DeepSeek一体机则全面重塑了覆盖教学管理、教学设计、课程规划等全生命周期。

教学管理：提质提效

其不仅为导师提供了一套完整、便捷的教学工具和资源体系，其中包括详细的资源制作标准、简便的资源管理平台以及严格的课程审核机制，确保课程内容的高质量和实用性。

教学设计：灵活组课

同时，基于DeepSeek的赋能，该产品可分析不同课程方案生成更多教学思路，支持灵活选课组课，形成满足不同学员需求的个性化学习方案。

 课程规划：与时俱进

导师还可从海量的数据库及专家主题专栏中获取到教育领域的最新动态、发展趋势，以及最新的教育技术工具，不断更新自己的专业知识体系，保持专业素养的与时俱进。

打造立体化教学矩阵

推动教育、人才、产业融合发展

ISC.AI学苑DeepSeek一体机在接入满血版DeepSeek-R1大模型后，进一步完成了安全和AI课程资源库的扩围。

其中，课程资源方面不仅汇聚360集团创始人周鸿祎等顶尖企业家、资深AI知识博主及秋叶等知名教育机构“入驻”发布的AI+安全优质内容，形成贯穿认知构建、理论深化、应用实践、场景开拓等全生命周期学习路径，通过模块化课程设计与阶梯式能力培养，为不同角色和不同岗位的人群，提供从基础通识到行业专精的无缝衔接成长方案。

此外，课程设计方面则同步推出的DeepSeek系列训练营、商学院、校长班等多种类型，通过深度融合产学研资源，联合高校导师、头部企业技术负责人作为训练营认证讲师，围绕中小企业数字化转型痛点、高校AI人才培养需求及从业者技能升级路径，打造覆盖AI科普、AI技术、AI场景应用、创业变现场景等主题培训，助力高校学生实现技术能力与产业需求的无缝对接，为企业的数字化转型不断加码。

目前，ISC.AI学苑平台已为政府、央企等单位提供安全与AI岗位相关学习内容，提高实战能力，并与重庆大学、酒泉职业技术学院、智榜样等多所高校及教育机构合作。本次ISC.AI学苑DeepSeek一体机的推出，将进一步推动AI赋能教育的发展进程，助力教育改革、产教融合、科教融汇发展，为国家科技产业升级及城市数字发展提供支撑。

近期，Coremail CACTER邮件安全联合北京中睿天下信息技术有限公司发布《2024年第四季度企业邮箱安全性研究报告》。

2024年Q4，企业邮箱面临的安全威胁形势严峻且复杂。垃圾邮件、钓鱼邮件攻击频发，暴力破解态势也呈现出新的特点。而基于盗号测试信的黑产攻击，更是隐藏在暗处的巨大风险，对企业邮箱安全构成严重挑战。

垃圾邮件：数量庞大，境外威胁上升

根据Coremail邮件安全人工智能实验室数据显示，2024年Q4，国内企业邮箱垃圾邮件达8.22亿封，总量环比Q3微降，但同比去年上涨15%。其中，58.73% 的垃圾邮件来自境外，这一数据显示境外垃圾邮件威胁正在不断增加。境内垃圾邮件占比环比降低，可能是由于国内打击力度加大，也可能是攻击者策略调整。

钓鱼邮件：攻击升级，境内外威胁并存

2024年Q4，企业邮箱用户遭遇的钓鱼邮件数量激增至2.1亿封，境外来源的钓鱼邮件占比54.22%，它们往往伪装成国际知名企业或机构，利用国内用户对国际品牌的信任诱导用户点击链接或提供个人信息，具有很强的隐蔽性和难以追踪性。境内钓鱼邮件占比45.78%，更具针对性，常结合国内热点事件和行业动态设计，如电商促销季伪装成电商平台的钓鱼邮件。

在国内，香港成为钓鱼邮件攻击源头省份之首，相比Q3增长幅度较大，这可能与香港特定的商业活动、网络环境变化或攻击者策略调整有关，攻击者常伪装成银行或金融机构发送钓鱼邮件。

垃圾钓鱼邮件案例：手段多样，危害严重

第四季度垃圾邮件以账务交易提醒为主要攻击手段，主题排名前十的垃圾邮件中，多是打着各种账单、通知等旗号。钓鱼邮件则以伪装成邮件系统通知或员工津贴为主流，这些邮件增加了账户被劫和数据泄露的风险。

暴力破解：成功次数降低，但风险仍高

2024年Q4，全国企业级用户遭受超过42.2亿次暴力破解，然而成功次数仅528.2万。这一现象推测与监管部门加强邮箱账号被盗通报力度、企业加强账号管理有关。

教育行业在高危账号TOP100域名中占比高达65%，是高危账号出现比例最高的行业，因其拥有大量高价值用户数据。企业在被攻击TOP100域名中占比43%，被攻击比例大幅上升，接近教育行业，表明企业账号面临的实际攻击情况严重，安全防范亟待加强。

基于盗号测试信的黑产攻击：产业链成熟，威胁巨大

盗号测试信是黑产盗取邮箱账号成功后发送的测试性邮件，主要目的是测试邮箱账号能否对外发信，以及便于收集和管理破解成功的用户信息。

2024年Q4，Coremail邮件安全人工智能实验室共监测到盗号测试信12833封，涉及受害邮箱账号3746个，受害域名1048个，攻击者使用的邮箱933个，黑产使用的IP 6524个。

1、黑产盗号攻击综述

目前，邮箱账号盗取已形成成熟的黑色产业。黑产团伙分工明确，掌握专业工具和大量 IP 资源池。他们使用专用盗号工具，可对 smtp、imap、pop3 端口进行自动化暴力破解，且为防止被封禁，会利用动态 IP 代理持续更换 IP。盗取账号成功后，黑产团伙不一定自己利用，而是通过 telegram 群组和黑产商城出售账号，最终由从事 BEC 诈骗、发送钓鱼邮件等的黑产进行恶意利用。

2、黑产盗号使用的口令

2024年Q4监测到的3746个被盗邮箱账号中，3156个包含账号口令。被盗账号使用的口令主要分为三类：

（1）常见口令，如123456、abc123等，此类导致被盗的账号占比仅5%；

（2）使用用户名根据特定规则构造的口令，这类口令看似复杂，但攻击者容易构造，占比高达73.2%；

（3）其他规则口令，多因用户被钓鱼泄露或口令在社工库中泄露，占比 21.8%。

黑产构造特定规则口令字典的方式主要有三种结构：“账号名变形”+“常用数字组合”、“账号名变形”+“@”+“常用数字组合”、“账号名变形”+“常用数字组合”+“!”。例如，针对账号[email protected]，可构造lihua@123、lihua@123456 等口令。用户若能规避这些口令构造方式，可大幅提升账号安全性。

3、黑产盗取账号使用的工具

监测到的黑产暴力破解工具包括“smtp cracker”“SMTP Cracker”“MadCat smtp-Checker”等开源工具，以及“sanmao MailCracker.exe”“SMTP TESTER ALL IN ONE”等非开源工具。其中，sanmao MailCracker使用最为普遍，从盗号测试信数量统计，占比高达54.9%。该工具疑似由国内黑产从业者开发，虽官网已关闭且停止更新，但现有版本仍被广泛使用。

使用该工具的黑产团伙偏好使用国内江苏、湖北、辽宁三省的代理IP，收信邮箱域名集中于qq.com和163.com，表明其极可能是国内邮件盗号黑产最主要的暴力破解工具。

4、黑产盗取账号使用的IP分布

2024年Q4，盗号测试信使用的IP中，国内攻击记录6749次，国外6084次，数量接近。国内攻击主要集中在江苏、湖北、辽宁三省，其中江苏省占比达45.8% ，呈现明显的地区聚集性。黑产使用的攻击IP共分布在2950个C段，平均每个C段用于发送盗号测试信仅4.35 次，显示黑产掌握了大量IP池资源，现有的IP和C段封禁策略难以对其产生有效遏制。

2024年第四季度企业邮箱安全形势依旧不容乐观，垃圾邮件、钓鱼邮件和暴力破解等威胁相互交织。企业需强化安全管理，提高员工安全意识，及时更新防护策略。

一个名为“EncryptHub”的威胁者（又名“Larva-208”），一直以世界各地的组织为目标，通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。

根据Prodaft上周在内部发布的一份报告称，自2024年6月Encrypthub启动运营以来，它已经攻击了至少618个组织。

在获得访问权限后，威胁者安装远程监控和管理（RMM）软件，然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中，EncryptHub也会在受损的系统上部署勒索软件。

据悉，该威胁组织隶属于RansomHub和BlackSuit，过去曾部署过这两家勒索软件加密器，可能是它们的初始访问代理或直接附属机构。

然而，在研究人员观察到的许多攻击中，攻击者部署了自定义的PowerShell数据加密器，因此他们也保留了自己的变体。

获得初始访问权限

Larva-208的攻击包括短信网络钓鱼、语音网络钓鱼，以及模仿企业VPN产品（如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365）的虚假登录页面。

假冒思科登录页面

攻击者通常在给目标的消息中冒充IT支持人员，声称VPN访问有问题或他们的帐户存在安全问题，指示他们登录到一个网络钓鱼网站。

受害者收到链接，这些链接将他们重定向到网络钓鱼登录页面，在那里他们的凭据和多因素身份验证（MFA）令牌（会话cookie）被实时捕获。

一旦网络钓鱼过程结束，受害者将被重定向到服务的真实域，以避免引起怀疑。

网络钓鱼过程概述

EncryptHub已经购买了70多个模仿上述产品的域名，如“linkwebcisco.com”和“weblinkteams.com”，以增加人们对钓鱼网页的合法性认知。

这些钓鱼网站托管在像Yalishanda这样的可靠托管提供商上，ProDaft说，这些提供商通常不会对合理的删除请求做出回应。

Prodaft还发现了另一个名为larava -148的子组织，他们帮助购买用于网络钓鱼活动的域名，管理主机，并建立基础设施。

Larva-148有可能向EncryptHub出售域名和网络钓鱼工具包，尽管它们之间的确切关系尚未被破译。

恶意软件部署

一旦EncryptHub入侵目标系统，它就会部署各种PowerShell脚本和恶意软件来获得持久性、远程访问、窃取数据和加密文件。

首先，他们会欺骗受害者安装RMM软件，如AnyDesk、TeamViewer、ScreenConnect、Atera和Splashtop。这使得他们能够远程控制受损的系统，保持长期访问，并使横向移动成为可能。

接下来，他们使用不同的PowerShell脚本来部署信息窃取程序，如Stealc、Rhadamanthys和变幻无常的Stealer，以窃取存储在web浏览器中的数据。这些数据包括保存的凭据、会话cookie和加密货币钱包密码。

攻击中使用的自定义PowerShell脚本

在Linux和Mac设备上执行类似行为的Python脚本中，威胁者试图从被破坏的系统中窃取大量数据，包括：

·来自各种加密货币钱包的数据，包括MetaMask，以太坊钱包，Coinbase钱包，Trust钱包，Opera钱包，Brave钱包，TronLink， Trezor钱包等。

·各种VPN客户端的配置数据，包括Cisco VPN Client、forticclient、Palto Alto Networks GlobalProtect、OpenVPN、WireGuard等。

·来自流行密码管理器的数据，包括Authenticator， 1Password, NordPass, DashLane, Bitwarden, RoboForm, Keeper, MultiPassword， KeePassXC和LastPass。

·匹配特定扩展名或文件名包含特定关键字的文件，包括图片、RDP连接文件、Word文档、Excel电子表格、CSV文件、证书等。目标文件名中的一些关键字包括“pass”，“account”，“auth”，“2fa”，“wallet”，“seedphrase”，“recovery”，“keepass”，“secret”等等。

Larva-208的最后一个威胁是以基于powershell的自定义加密器的形式出现的勒索软件，该加密器使用AES加密文件并附加“。加密”扩展名，删除原始文件。

受害者收到一封勒索信，要求用USDT通过电报支付赎金。

Larva-208的勒索信

Prodaft表示，EncryptHub是一个老练的恶意分子，它会为提高攻击效率而量身定制攻击计划，对大型组织进行高价值的攻击。

本报告中研究的LARVA-208鱼叉式网络钓鱼行为表明，有针对性的网络攻击越来越复杂。通过采用高度定制的策略，先进的混淆方法和精心制作的诱饵，威胁者已经展示了逃避检测和破坏高价值目标的重要能力。

每一次测试验证，都为了更安全的“出发”。

2024年3月，在上海经信委组织开展的“上海市2023年重点行业网络安全解决方案揭榜”活动中，丈八网安成功中榜城市轨道交通网络安全关键产品检验检测平台建设项目。目前，项目成果已成功应用于多个城市的多条地铁线路的重要生产系统中。通过多次测试验证，该平台对多个重要生产系统进行了全面的网络安全排查与升级，为城市轨道交通网络安全建设提供了可复制、可推广的技术验证模式。

效费双优：破解关键系统网络安全测试困局

此项目源于地铁线路的网络安全设备升级检测需求，为了确保“安全升级”，需利用真实的工具和漏洞库进行侵入式测试来验证系统安全性能，如在生产环境测试，则需要抢在地铁停运及次日起运前的几个小时内测试，风险极大。然而，要构建一个与生产环境完全一致的测试环境，不仅技术难度大，而且成本高昂。这也是当前城市基础设施数字化升级进程中的共性技术挑战。

为破解这一难题，丈八网安为项目提供了一种新的技术解决方案——基于其自主研发的丈八网络仿真引擎构建的测试验证平台，平台运用混合系统仿真+离散事件数字仿真双栈技术，同时支持和真实环境无差别的数据流量特性，及多种物理设备的接入，可低资源占用完整复现骨干网及电信核心网，甚至卫星网络、交通网络、政务内网、工业网络等典型网络架构。在此项目中，平台实现了快速、低成本地构建了一个既安全又可控的，能够模拟该线路真实生产环境的测试环境，实现了在不影响轨道交通系统正常运行的前提下，对系统进行全面的安全评估和验证，深入挖掘潜在的安全漏洞和风险点。

以测促改：持续验证提升关键系统防御性能

为了验证此地铁线路的网络安全防御体系对实际网络攻击的防御效果，测试人员在仿真测试环境中搭建了控制中心区域、车站区域，通过运行恶意文件的传输、入侵攻击的模拟、来检验系统的网络层入侵检测和恶意代码防范能力。

丈八网安的测试环境仿真引擎还提供了很多内置的用来搭建环境的虚拟机模板，比如各种操作系统、中间件、各种漏洞，通过拖拖拽拽就可以快速把环境搭建起来，同时支持测试环境的一键生成和还原，测试人员可以轻松搭建多样化的测试场景，并通过多次测试获取更为准确的测试结果。 

除了此类充分利用丈八网络仿真引擎的仿真能力快速搭建测试环境，供用户进行有针对性的通用测试外，丈八网安还提供标准符合性测试（支持国标/行标拆解为测试用例）、安全众测及特殊场景专项测试。未来，丈八网安将通过深度参与行业验证实践和技术创新，致力成为网络安全测试领军企业，护航各行业数字化转型与信息安全。

1 概述

安天CERT在2月5日发布了《攻击DeepSeek的相关僵尸网络样本分析》报告，分析了攻击中活跃的两个僵尸网络体系RapperBot和HailBot和其典型样本，分析了其与Mirai僵尸木马源代码泄漏的衍生关系。安天工程师依托特征工程机制，进一步对HailBot僵尸网络样本集合进行了更细粒度差异比对，在将样本向控制台输出的字符串作为分类标识条件的比对中，发现部分样本修改了早期样本的输出字符串“hail china mainland”，其中数量较多的两组分别修改为“you are now apart of hail cock botnet”和“I just wanna look after my cats, man.”。为区别这三组样本，我们将三组变种分别命名为HailBot.a、HailBot.b、HailBot.c，对三组样本的传播方式、解密算法、上线包、DDoS指令等进行相应的分析。其中也有将输出字符串修改为其他内容样本，但数量较少，未展开分析。

表 1‑1 HailBot三个变种之间的关系

HailBot.a

HailBot.b

HailBot.c

特殊字符串

hail china mainland

you are now apart of hail cock   botnet

I just wanna look after my cats,   man.

传播方式

CVE-2017-17215漏洞

CVE-2017-17215漏洞

CVE-2023-1389漏洞

破解攻击（账号密码数量45）

CVE-2017-17215漏洞

CVE-2023-1389漏洞

暴破攻击（账号密码数量96）

解密算法

ChaCha20算法

key：“16   1E 19 1B 11 1F 00 1D 04 1C 0E 08 0B 1A 12 07 05 09 0D 0F 06 0A 15 01 0C 14 1F   17 02 03 13 18”
  nonce：“1E 00 4A 00 00 00 00 00 00 00 00   00”

ChaCha20算法

key：“16   1E 19 1B 11 1F 00 1D 04 1C 0E 08 0B 1A 12 07 05 09 0D 0F 06 0A 15 01 0C 14 1F   17 02 03 13 18”
  nonce：“1E 00 4A 00 00 00 00 00 00 00 00   00”

ChaCha20算法

key：“5E   8D 2A 56 4F 33 C1 C9 72 5D F9 1D 01 6C 2F 0B 77 3D 81 94 58 40 63 0A 79 62 1F   80 5C 3E 16 04”
  nonce：“1E 00 4A 00 00 00 00 00 00 00 00   00”

上线包

31   73 13 93 04 83 32 01

大部分样本：56 63 34 86 90 69 21 01

少部分样本：31 73 13 93 04 83 32 01（与HailBot.a一致）

56   63 34 86 90 69 21 01

DDoS指令

8个指令，指令号0-7

15个指令，指令号0-14

10个指令，指令号0-7、11、14

2 样本分析

2.1 HailBot.a

HailBot.a，是其最早变种，由于其运行时向控制台输出“hail china mainland”，相关僵尸网络因此被命名为HailBot。本节内容与第一篇分析报告有部分内容重复，主要为了对比不同版本变种间的差异特点。

HailBot.a的样本信息如下表所示。

表 2‑1 HailBot.a典型样本标签

病毒名称

Trojan/Linux.Mirai[Backdoor]

MD5

2DFE4015D6269311DB6073085FD73D1B

处理器架构

ARM32

文件大小

74.78 KB (76,572 bytes)

文件格式

ELF 32-bit LSB   executable

加壳类型

无

编译语言

C/C++

2.1.1 传播方式

HailBot.a利用漏洞进行传播，其长期使用的CVE-2017-17215漏洞存在于特定版本路由器的UPnP（通用即插即用）服务中。攻击者可以通过发送特制的HTTP请求在目标设备执行任意代码。

图 2‑1 HailBot.a构造漏洞利用载荷

2.1.2 解密算法

HailBot.a运行后首先对域名进行解密，其解密操作采用了ChaCha20算法。key为“16 1E 19 1B 11 1F 00 1D 04 1C 0E 08 0B 1A 12 07 05 09 0D 0F 06 0A 15 01 0C 14 1F 17 02 03 13 18”，nonce为“1E 00 4A 00 00 00 00 00 00 00 00 00”。

图 2‑2 HailBot.a使用chacha20解密字符串

2.1.3 上线包

HailBot.a运行后发送上线数据包，内容为：“31 73 13 93 04 83 32 01”。

图 2‑3 HailBot.a发送上线数据包

2.1.4 DDoS指令

当接收到攻击者发送来的指令后，HailBot.a将根据不同指令执行对应的DDoS攻击。HailBot.a支持的DDoS指令如下表所示。

表 2‑2 HailBot.a支持的DDoS指令

指令号

功能

影响

0

TCP泛洪攻击

创建连接发送大量500至900字节的TCP请求消耗受害者网络带宽。

1

SSDP泛洪攻击

利用简单服务发现协议（SSDP）发送大量“发现消息”请求使受害者进行响应，消耗受害者内存和CPU资源。

2

GRE IP泛洪攻击

发送大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。

3

SYN泛洪攻击

发送大量SYN数据包，使服务器创建具有大量处于半连接状态的请求，消耗系统内存和CPU资源。

4

UDP泛洪攻击（512字节）

发送大量512字节的UDP请求消耗受害者网络带宽。

5

UDP泛洪攻击（1024字节）

发送大量1024字节的UDP请求消耗受害者网络带宽。

6

TCP STOMP泛洪攻击

发送创建连接发送大量768字节数据消耗受害者网络带宽。

7

TCP ACK泛洪攻击

发送具有随机源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。

2.2  HailBot.b

HailBot.b同样是基于Mirai源代码二次开发的僵尸网络，输出的字符串为：“you are now apart of hail cock botnet”。

HailBot.b的典型样本信息如下表。

表 2‑3 HailBot.b典型样本标签

病毒名称

Trojan/Linux.Mirai[Backdoor]

MD5

BB9275394716C60D1941432C7085CA13

处理器架构

AMD64

文件大小

93.34 KB (95,576 bytes)

文件格式

ELF 64-bit LSB   executable

加壳类型

无

编译语言

C/C++

2.2.1 传播方式

HailBot.b同样利用了CVE-2017-17215漏洞进行传播。

图 2‑4 HailBot.b中的CVE-2017-17215漏洞利用载荷

部分样本有利用CVE-2023-1389漏洞进行传播。

此外，HailBot.b样本中还发现用于暴破攻击的用户名和密码，如下表所示。

表 2‑4HailBot.b暴破攻击使用的用户名和密码和对应产品服务

（表格内容基于DeepSeek整理输出，并做人工修订，特此说明）

用户名

密码

可能关联的服务/品牌/设备类型

leox

leolabs_7

Leox（显仕）设备或定制设备（如某些工控系统或私有网络设备）

root

wabjtam

可能为某些旧款路由器或摄像头（如中国小品牌设备）

telnetadmin

telnetadmin

某些网络设备（如交换机、路由器）的Telnet默认账户

admin

gpon

某些光纤终端设备（如中兴/华为GPON光猫）

admin

admin123

常见通用默认密码（常见于路由器、摄像头，如TP-Link、D-Link）

e8ehome

e8ehome

电信或联通部分光猫/路由器（上海贝尔光猫、中兴ZXV10 H618C路由器、ZXA10 F460光猫）

default

default

部分设备通用默认配置（如某些旧款路由器或IoT设备）

root

root

部分设备和服务通用默认密码

default

OxhlwSG8

可能为特定品牌设备（如某些企业级交换机或防火墙）

root

hme12345

海康威视（Hikvision）相关设备（如部分摄像头或NVR）

admin

aquario

可能为Aquario品牌设备（如温控系统或工控设备）

root

Zte521

中兴（ZTE）光纤调制解调器或路由器

root

1234

通用默认密码

root

antslq

可能为安防设备（如某些国产摄像头品牌）

default

tlJwpbo6

复杂密码可能用于企业级设备（如防火墙或服务器）

root

default

网络设备（如某些交换机的默认配置）

admin

1988

可能为某些摄像头或DVR（如年份相关默认密码）

adtec

adtec

Adtec品牌设备（如监控系统或广播设备）

root

hkipc2016

海康威视（Hikvision）IPC摄像头

admin

hme12345

海康威视（Hikvision）或关联设备

hikvision

hikvision

海康威视（Hikvision）设备的默认账户

root

login!@#123

企业级设备（如服务器或高端路由器）

telecomadmin

admintelecom

电信运营商设备（如华为/中兴光猫）

telnetadmin

HI0605v1

可能为Hikvision（HI）设备的Telnet登录

admin

qwaszx

通用简单密码（常见于低端路由器或IoT设备）

support

support

技术支持账户（如服务器或网络设备）

root

5up

极简密码可能用于测试设备或嵌入式系统

root

a

未知

root

icatch99

使用iCatch芯片的摄像头（如某些国产摄像头品牌）

Admin

a

未知

Admin

Admin

通用管理员密码

root

adminpassword

通用管理员密码（如某些新型路由器）

root

vizxv

不确定，可能为某品牌定制设备

root

unisheen

可能为UniSheen品牌设备（如摄像头或工控设备）

root

a1sev5y7c39k

复杂密码可能用于企业级设备（如防火墙或VPN设备）

root

cxlinux

基于Linux的嵌入式设备（如某些工控系统）

root

sr1234

可能为监控设备（如某些DVR或NVR）

root

neworang

新橙科技（NewOrange）摄像头或物联网设备

root

neworange88888888

新橙科技（NewOrange）摄像头或物联网设备

root

neworangetech

新橙科技（NewOrange）摄像头或物联网设备

root

oelinux123

Linux系统或嵌入式设备的默认凭证

root

hslwificam

HSL品牌WiFi摄像头

root

jvbzd

不确定，可能为某小众品牌设备

admin

stdONU101

光纤网络单元（ONU）设备（如标准配置的光猫或运营商设备）

admin

stdONUi0i

光纤网络单元（ONU）设备（如标准配置的光猫或运营商设备）

2.2.2 解密算法

HailBot.b的域名解密算法与HailBot.a相同，均为ChaCha20。且解密使用的key、nonce也与HailBot.a相同。其中：解密使用的key为“16 1E 19 1B 11 1F 00 1D 04 1C 0E 08 0B 1A 12 07 05 09 0D 0F 06 0A 15 01 0C 14 1F 17 02 03 13 18”，nonce为“1E 00 4A 00 00 00 00 00 00 00 00 00”。

图 2‑5 ChaCha20算法的key和nonce

2.2.3 上线包

HailBot.b样本中，大部分样本的上线包保持一致，均为：“56 63 34 86 90 69 21 01”。少部分样本（如MD5：F0E951D1ACFDF78E741B808AB6AB9628）的上线包与HailBot.a相同，为“31 73 13 93 04 83 32 01”。

图 2‑6 发送上线数据包

2.2.4 DDoS指令

HailBot.b相较HailBot.a支持的DDoS指令有所增多。HailBot.b支持的DDoS指令如下表所示。

表 2‑5 HailBot.b支持的DDoS指令

指令号

功能

影响

0

TCP泛洪攻击

通过创建连接发送大量512字节的TCP请求消耗受害者网络带宽。

1

UDP泛洪攻击（512字节）

通过大量512字节的UDP请求消耗受害者网络带宽，不具备异常处理。

2

GRE IP泛洪攻击

通过大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。

3

SYN泛洪攻击

通过发送大量SYN数据包，使服务器创建具有大量处于半连接状态的请求，消耗系统内存和CPU资源。

4

UDP泛洪攻击（512字节）

通过大量512字节的UDP请求消耗受害者网络带宽。

5

UDP泛洪攻击（1024字节）

通过大量1024字节的UDP请求消耗受害者网络带宽。

6

TCP STOMP泛洪攻击

通过创建连接发送大量768字节具有ACK和PSH标记的TCP数据消耗受害者网络带宽。

7

TCP   ACK泛洪攻击

通过发送具有随机源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。

8

无

该指令未被实现

9

Unknow_1

未知格式的TCP报文

10

TCP ACK泛洪攻击

通过发送具有特定源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。

11

UDP泛洪攻击

随机发送100到1312字节的UDP包数据包消耗受害者网络带宽，该数据包以“HDR:”以尝试规避防火墙检测。

12

Unknow_2

未知格式的UDP报文

13

TCP   STOMP泛洪攻击

通过发送大量1至71字节具有ACK和PSH标记的TCP数据消耗受害者网络带宽。

14

Unknow_3

通过发送大量长度为0的UDP数据包

2.3 HailBot.c

HailBot.c同样是基于Mirai源代码二次开发的僵尸网络，新版本输出的字符串为：“I just wanna look after my cats, man.”。

表 2‑6 HailBot.c典型样本标签

病毒名称

Trojan/Linux.Mirai[Backdoor]

MD5

64ED4E5B07610D80539A7C6B9EF171AA

处理器架构

ARM32

文件大小

66.55 KB (68,148 bytes)

文件格式

ELF 32-bit LSB   executable

加壳类型

无

编译语言

C/C++

2.3.1 传播方式

该样本同样利用CVE-2023-1389漏洞和CVE-2017-17215漏洞进行传播。其中CVE-2023-1389漏洞是前导文件进行传播，而CVE-2017-17215漏洞则是写入样本自身中。

HailBot.c同样使用暴破的方式进行传播。用于暴破攻击的用户名和密码相较HailBot.b有所增加，如下表所示。

表 2‑7HailBot.c暴破攻击使用的用户名和密码

（表格内容基于DeepSeek整理输出，并做人工修订，特此说明）

用户名

密码

可能关联的服务/品牌/设备类型

root

Pon521

ZTE 路由器（部分型号默认密码）

root

Zte521

ZTE   路由器（常见于中兴光猫/路由器）

root

root621

未知（可能为特定厂商定制设备）

root

vizxv

未知（可能为摄像头或IoT设备）

root

oelinux123

未知（可能与嵌入式Linux设备相关）

root

root

通用默认（Linux设备、路由器、摄像头等）

root

wabjtam

未知

root

Zxic521

ZTE   路由器（猜测为早期中兴设备默认密码格式）

root

tsgoingon

未知

root

123456

多种设备通用默认配置（常见于低安全性设备）

root

xc3511

未知

root

solokey

未知

root

default

通用默认密码（部分IoT设备默认密码）

root

a1sev5y7c39k

未知（可能为随机生成或特定设备密钥）

root

hkipc2016

海康威视（Hikvision）摄像头（HKIPC为常见前缀）

root

unisheen

未知

root

Fireitup

未知（可能为定制固件密码）

root

hslwificam

未知（可能为WiFi摄像头品牌）

root

5up

未知

root

jvbzd

未知

root

1001chin

未知

root

system

通用默认密码（部分工控设备或服务器）

root

zlxx.

未知

root

admin

通用默认密码（路由器、交换机等）

root

7ujMko0vizxv

未知（可能与特定固件或定制设备相关）

root

1234horses

未知

root

antslq

未知

root

xc12345

未知（可能与摄像头芯片相关）

root

xmhdipc

未知（可能为摄像头型号缩写）

root

icatch99

iCatch   摄像头（部分型号默认密码）

root

founder88

未知（可能为定制设备密码）

root

xirtam

未知（可能为逆向拼写"matrix"变体）

root

taZz@01

未知

root

/*6.=_ja

未知

root

12345

常见通用默认密码（路由器、摄像头等）

root

t0talc0ntr0l4!

未知

root

7ujMko0admin

未知

root

telecomadmin

电信设备（如光猫管理员账户）

root

ipcam_rt5350

RT5350芯片摄像头（联发科方案IP摄像头）

root

juantech

未知（可能为JuanTech品牌设备）

root

1234

常见通用默认密码（低安全设备）

root

dreambox

Dreambox卫星接收器（部分型号默认密码）

root

IPCam@sw

网络摄像头（通用默认或特定品牌）

root

zhongxing

中兴（Zhongxing）设备

root

hi3518

海思Hi3518芯片摄像头（常见于安防设备）

root

hg2x0

未知（可能与华为HG系列光猫相关）

root

dropper

未知（可能为恶意软件后门密码）

root

ipc71a

网络摄像头（型号相关）

root

root123

通用默认密码（扩展型默认密码）

root

telnet

通用默认密码（Telnet服务默认凭据）

root

ipcam

网络摄像头（通用默认）

root

grouter

未知（可能为路由器品牌缩写）

root

GM8182

未知（可能为设备型号）

root

20080826

未知（可能为日期相关密码）

root

3ep5w2u

未知

admin

root

通用默认密码（部分设备反向凭据）

admin

admin

通用默认密码（路由器、摄像头等）

admin

admin123

通用默认密码（扩展型默认密码）

admin

1234

通用默认密码（低安全设备）

admin

admin1234

通用默认密码（扩展型默认密码）

admin

12345

通用默认密码（常见于消费级设备）

admin

admin@123

通用默认密码（带符号变体）

admin

BrAhMoS@15

未知（可能为定制密码）

admin

GeNeXiS@19

未知（可能为定制密码）

admin

firetide

Firetide无线网络设备（默认密码）

admin

2601hx

未知

admin

service

通用默认密码（服务账户）

admin

password

通用默认密码（广泛用于各类设备）

supportadmin

supportadmin

通用默认密码（技术支持账户）

telnetadmin

telnetadmin

通用默认密码（Telnet管理账户）

telecomadmin

admintelecom

电信设备（如光猫超级管理员账户）

guest

guest

通用默认密码（访客账户）

ftp

ftp

通用默认密码（FTP服务匿名访问）

user

user

通用默认密码（普通用户账户）

guest

12345

通用默认密码（访客账户扩展密码）

nobody

nobody

通用默认密码（系统账户）

daemon

daemon

通用默认密码（系统账户）

default

1cDuLJ7c

未知

default

tlJwpbo6

未知

default

S2fGqNFs

未知

default

OxhlwSG8

未知

default

12345

通用默认密码（设备恢复默认设置密码）

default

default

通用默认（默认账户密码）

default

lJwpbo6

未知

default

tluafed

未知（可能为“default”逆向拼写）

guest

123456

通用默认密码（访客账户扩展密码）

bin

bin

通用默认密码（Linux系统账户）

vstarcam2015

20150602

威视达康（Vstarcam）摄像头（型号相关默认密码）

support

support

通用默认（技术支持账户）

hikvision

hikvision

海康威视（Hikvision）设备（默认密码）

default

antslq

未知

e8ehomeasb

e8ehomeasb

电信部分光猫（上海贝尔E8-C）

e8ehome

e8ehome

电信或联通部分光猫/路由器（上海贝尔光猫、中兴ZXV10 H618C路由器、ZXA10 F460光猫等默认密码）

e8telnet

e8telnet

部分电信路由器或光猫（如华为HG8245、中兴F660等）的Telnet登录用户名和密码

support

1234

通用默认密码（技术支持账户简化密码）

cisco

cisco

思科（Cisco）设备（旧型号默认密码）

2.3.2 解密算法

HailBot.c的域名解密算法与HailBot.a相同，均为ChaCha20。ChaCha20解密使用的nonce亦相同，为“1E 00 4A 00 00 00 00 00 00 00 00 00”。

其中：HailBot.c在利用ChaCha20解密时使用的key与HailBot.a有所不同，为“5E 8D 2A 56 4F 33 C1 C9 72 5D F9 1D 01 6C 2F 0B 77 3D 81 94 58 40 63 0A 79 62 1F 80 5C 3E 16 04”。

图 2‑7 ChaCha20算法的key和nonce

此外，对于解密得到的域名，HailBot.c与HailBot..b存在部分域名重叠的情况。

2.3.3 上线包

HailBot.c样本的上线包为：“56 63 34 86 90 69 21 01”，如下图所示。

图 2‑8 HailBot.c样本的上线包

2.3.4 DDoS指令

HailBot.c相较HailBot.a支持的DDoS指令有所增多，HailBot.c支持的DDoS指令如下表所示。

表 2‑8HailBot.c支持的DDoS指令

指令号

功能

影响

0

TCP泛洪攻击

通过创建连接发送大量512字节的TCP请求消耗受害者网络带宽。

1

UDP泛洪攻击（512字节）

通过大量512字节的UDP请求消耗受害者网络带宽，不具备异常处理。

2

GRE IP泛洪攻击

通过大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。

3

SYN泛洪攻击

通过发送大量SYN数据包，使服务器创建具有大量处于半连接状态的请求，消耗系统内存和CPU资源。

4

UDP泛洪攻击（512字节）

通过大量512字节的UDP请求消耗受害者网络带宽。

5

UDP泛洪攻击（1024字节）

通过大量1024字节的UDP请求消耗受害者网络带宽。

6

TCP STOMP泛洪攻击

通过创建连接发送大量768字节具有ACK和PSH标记的TCP数据消耗受害者网络带宽。

7

TCP   ACK泛洪攻击

通过发送具有随机源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。

11

UDP泛洪攻击

随机发送100到1312字节的UDP包数据包消耗受害者网络带宽，但不再以“HDR：”开头。

14

Unknow

通过发送大量长度为0的UDP数据包

3 其他信息、分析关联与总结

3.1 样本分析的汇总结论

HailBot.b、HailBot.c均为HailBot.a的变种，但存有差异变化。在自动化传播方式方面，HailBot.a与HailBot.b、HailBot.c都利用了CVE-2017-17215漏洞。而HailBot.b、HailBot.c都利用常见用户名口令档进行暴破攻击的方式进行传播；在解密算法方面，HailBot的三个变种都采用了ChaCha20算法。HailBot.a与HailBot.b解密使用的key相同，HailBot.c对解密使用的key进行了更新；在上线数据包方面，HailBot.b、HailBot.c相较HailBot.a有所更新。在DDoS攻击支持的指令方面，HailBot.b、HailBot.c相较HailBot.a支持的指令数有所增加，且HailBot.b与HailBot.c支持的指令亦有所不同。

3.2 样本的新的漏洞投放方式

B变种和C变种通过CVE-2023-1389漏洞植入部分目标设备，该漏洞是一个影响TP-Link Archer AX21（AX1800）路由器的高危命令注入漏洞，该漏洞存在于路由器的Web管理界面中。攻击者可以通过未经过身份验证的简单POST请求注入恶意命令，这些命令将以root权限执行，达到远程代码执行的目的。

图 3‑1 安天监测到的利用CVE-2023-1389漏洞传播的流量数据

3.3 样本的密码档对比

值得对比关注的是B变种和C变种的密码档对比，B变种密码档记录有45条，C变种有96条，但两个密码档重叠部分只有24条。其中除了对部分常见默认密码的延续使用，其中部分密码似乎并非设备默认口令，而且是存在一定强度的口令。可以猜测的是部分企业或运营商在规模化部署网络或IoT设备中，为了方便，对设备采取了统一的密码设置。而相关密码被攻击者获取后，配置在密码档中，就可以扩散感染到所有采取对应策略的部署设备中。但对于两个僵尸网络间的密码档继承逻辑，还可以进一步关注分析。

图 3‑2 HailBot.b、HailBot.c密码档的重复内容

3.4 样本的生命周期和分支关系

安天CERT针对“赛博超脑”平台中三个变种样本和活动时间进行对比，梳理出相关样本的活跃时间如下图所示。由于HailBot.b比较清晰的呈现出与HailBot.a时间接力特点，可以猜测B变种，有可能是对A变种的一次整体版本更新。

图 3‑3三个版本活跃时间的对比

但C变种和B变种对比，利用的漏洞相似，但有更大的密码档（但未呈现完整的密码档继承关系），攻击指令编码基本相同。因此，C变种是最新的变种。

4 小结：关于样本检测分析和僵尸网络分析

威胁样本的精确检测能力是威胁防御的基本能力，样本的细粒度分析是攻击分析的基础工作。

但在本次分析工作中显现的问题是：我们的引擎输出了类似“Trojan/Linux.Mirai[Backdoor]”这样严格遵循CARO公约的精确命名，对于支撑僵尸网络的细粒度分析，提供的区分度依然是不够的。反病毒引擎是面向恶意执行体对象的检测能力，从威胁情报层次来看，这是在Payload/Tools层面的情报支撑，正因为存在大量的样本版本更新、加密、免杀、变换等情况，反病毒引擎从设计上，必然要遏制规则膨胀，而需要以更小的代价和规则命中更多的同家族样本。这时我们在AVL SDK反病毒引擎中添加了大量的脱壳、解密、虚拟执行等机制，以增强检测的鲁棒性。因此在有新的变化样本时，只要反病毒引擎可以正常检测告警，我们通常不会添加新规则、更不会针对调整样本命名。这个基本上是反病毒企业的惯例，例如HailBot.a相关样本在国家计算机病毒协同分析平台（https://virus.cverc.org.cn/#/entirety/search）中的多家对照命名均为Mirai：

图 4‑1国家计算机病毒协同分析平台对HailBot.a样本检测对照

僵尸网络分析工作中，样本分析是其中重要的一部分工作，而且是一个“收敛点”，但僵尸网络的完整分析和跟踪，还需要做出更多的细粒度的工作。包括C2、上线数据、攻击指令等分析等等，以及对僵尸网络分布、规模的分析评估，而归因与溯源则需要掌握更多资源、付出更大的成本。

相关分析也再次证明，政企防御僵尸网络感染的前提，是做好简单枯燥的基本功，包括更改默认口令、为不同的设备和服务配置不同的口令、及时更新系统和设备补丁。

本次分析工作的值得纪念之处，是我们在大模型技术和平台辅助下，分析针对大模型平台攻击的恶意样本。我们用自研的澜砥威胁分析垂直大模型辅助特征工程体系，实现了更方便的样本分类、聚类和特征（含表征）发现，DeepSeek在我们整理密码档对应的设备方面，帮我们可以快速的从硬编码信息输出数据汇总表（当然还需要逐一查证）和快速进行密码档间的比对。我们正在将DeepSeek与我们的样本集成分析环境进行整合。因此我们感谢大模型技术，可以更多替代重复和基本推理。让我们做进行更有价值的深源知识和价值创造。

附录：部分IoC

表 4‑1 Hash

MD5

6C6D1CCCE5946F0AA68F9E0C438C1E21

2DFE4015D6269311DB6073085FD73D1B

BB9275394716C60D1941432C7085CA13

F0E951D1ACFDF78E741B808AB6AB9628

A155F5812EA93DDEA553EA84CE28400D

5 参考链接

[1] 安天.攻击DeepSeek的相关僵尸网络样本分析.(2025-02-05)

https://mp.weixin.qq.com/s/NvlVuA5urPG_r6attAiXsA

1 概述

勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者，在双重勒索的基础上，增加DDoS攻击以及骚扰与受害方有关的第三方等手段，进一步演变为“多重勒索”。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为“RaaS（勒索软件即服务）+定向攻击”收取高额赎金的模式。这种模式针对高价值目标，RaaS的附属成员通过购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种“定向勒索+窃密+曝光+售卖”的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。

2024年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是RaaS商业模式的不断更新。RaaS是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用RaaS攻击基础设施，完成攻击后与RaaS组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Access Broker, IAB）的助纣为虐。IAB通过售卖有效访问凭证给攻击者实现非法获利，而无需亲自进行攻击。攻击者利用这些凭证，对特定目标进行有针对性的勒索攻击，建立初始访问后展开后续恶意活动，最终实现对目标的勒索行为。

据不完全统计，2024年中至少有90个不同名称的勒索攻击组织通过Tor网站或Telegram频道等特定信息源发布受害者信息。其中，新增的50个勒索攻击组织中，有21个与已知组织存在联系。这些组织发布的受害者信息涉及约5300个来自全球不同国家或地区的组织机构，覆盖多个行业。然而，实际受害者数量可能远超这一数字，因为某些情况下，攻击者可能基于多种原因选择不公开或删除信息，例如在与受害者达成协议后，或受害者支付赎金以换取信息的移除。

相关勒索软件及勒索攻击组织信息参考计算机病毒百科（https://www.virusview.net/）。

表 1‑1 2024年发布受害者信息的组织

2024年曾发布受害方信息的勒索攻击组织（按首字母排序）

0mega

8Base

Abyss

Akira

Apos

APT73

Arcus Media

Argonauts

BianLian

Black Basta

BlackByte

BlackCat/ALPHV

BlackSuit

BlackOut

BlueBox

Brain   Cipher

Cactus

Chort

Cicada3301

Ciphbit

Cloak

Clop

Cuba

DaiXin

dan0n

Dark   Angel/Dunghill

Dark Vault

Donex

Donut

DragonForce

El   dorado

Embargo

Everest

FSociety

Fog

Gookie

HellCat

Helldown

Hunters

INC

Insane

InterLock

Kairos

Kill Security

Knight

LockBit

Lynx

Mad Liberator

Lorenz

Mallox

Medusa

MedusaLocker

Meow

Metaencryptor

Money Message

Monti

Mydata

Nitrogen

Noname

Orca

Play

PlayBoy

Pryx

QiLin

QiuLong

RA   World

RansomCortex

RansomEXX

RansomHouse

RansomHub

Red

Rhysida

SafePay

SEXi（APT   INC）

Sarcoma

Sensayq

Slug

Snatch

SpaceBears

Stormous

Termite

ThreeAM(3AM)

Trigona

Trinity

Trisec

Underground

Unsafe

Valencia

Vanir Group

WereWolves

目前，勒索攻击的主流威胁形式已经演变为RaaS+定向攻击收取高额赎金的运行模式。全球范围内，制造、医疗、建筑、能源、金融和公共管理等行业频繁成为勒索攻击的目标，给全球产业产值造成严重损失。现将2024年活跃勒索梳理形成攻击组织概览，进行分享。

2 勒索攻击行为分类

2024年活跃的勒索攻击行为主要有以下三类：

·加密文件

采用此类勒索攻击方式的攻击者会使用勒索软件执行体对数据文件进行加密，执行体通过特定加密算法（如AES、RSA、ChaCha20和Salsa20等）组合利用对文件进行加密，大多数被加密文件在未得到对应密钥的解密工具时，暂时无法解密，只有少部分受害文件因勒索软件执行体存在算法逻辑错误而得以解密。

·窃取文件

采用此类勒索攻击方式的攻击者不使用勒索软件执行体对数据文件进行加密，仅在目标系统内驻留并窃取数据文件，窃密完成后通知受害者文件被窃取，如不按期支付勒索赎金，则会公开或出售窃取到的数据文件，给予受害者压力，从而迫使受害者尽早支付赎金。

·窃取文件+加密文件（双重勒索）

采用此类勒索攻击方式的攻击者发动勒索攻击前，会在目标系统内驻留一段时间，在此期间窃取数据文件，在窃取工作完成后会投放勒索软件执行体，加密系统中的文件，并通知受害者文件被窃取，如不按期支付勒索赎金，不仅现有网络环境中的文件因被加密而无法使用，而且还会公开或出售窃取到的数据文件，给予受害者压力，从而迫使受害者尽早支付赎金。

3 2024年活跃勒索攻击组织盘点

回顾2024年发生的勒索软件攻击事件，根据攻击活跃度和受害者信息发布数量，对活跃的勒索攻击组织进行盘点。盘点按组织名称的首字母进行排序，排名不分先后。

表 1‑2 2024年活跃勒索组织概览

3.1 8Base

8Base勒索软件于2022年3月首次被发现，其勒索软件代码基于Phobos勒索软件开发。该勒索软件背后的攻击组织采用RaaS和双重勒索的模式运营，疑似为RansomHouse勒索攻击组织的分支或品牌重塑。该组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防，常利用SmokeLoader木马实现对目标系统的初始访问。在建立与目标系统的初始访问后，该组织利用多种工具作为攻击装备以实现其他恶意行为。例如，利用Mimikatz、LaZagne、VNCPassView等工具窃取系统中的凭据，利用PsExec实现横向移动，利用Rclone回传窃取到的数据。目前暂未发现公开的解密工具。

2024年，8Base受害者信息发布及数据泄露平台发布约150名受害者信息，实际受害者数量可能更多。

3.1.1 组织概览

3.2 Akira

Akira[1]勒索软件被发现于2023年3月，其背后的攻击组织通过RaaS和双重勒索的模式运营该勒索软件，以RaaS模式经营和勒索赎金分成等方式实现非法获利，勒索赎金分别为用于解密被加密文件和删除被窃取的数据两部分。该勒索攻击组织主要通过有效访问凭证、未配置多重身份验证（MFA）的VPN账户和漏洞武器化等方式对目标系统突防，曾利用思科VPN相关漏洞（CVE-2023-20269）实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为，例如使用AnyDesk远程控制计算机和传输文件，使用PowerTool关闭与杀毒软件有关的进程，使用PCHunter、Masscan和AdFind获取特定信息，使用Mimikatz窃取凭证，使用Rclone和FileZilla回传窃取到的数据等行为。

Akira具备针对Windows、Linux和VMware等目标系统的勒索软件。除了“窃密+加密”的行为，还存在只窃密不加密的模式，在完成对受害系统数据窃取后，攻击者选择不投放勒索软件，而是通过窃取到的数据威胁受害者进行勒索。国外安全厂商Avast发现Akira勒索软件存在漏洞[2]，并于2023年6月29日发布了解密工具，但该工具只适用于6月29日前的Akira勒索软件执行体版本，因为Akira勒索软件开发人员在此后修复了漏洞。Akira勒索攻击组织与之前退出勒索软件市场的Conti勒索攻击组织疑似存在关联，体现在勒索软件执行体的部分代码段和加密数字货币钱包地址等方面。

2024年，Akira受害者信息发布及数据泄露平台发布约310名受害者信息和窃取到的数据，实际受害者数量可能更多。

3.2.1 组织概览

3.3 Black Basta

Black Basta勒索软件被发现于2022年4月，其背后的攻击组织通过RaaS和双重勒索的模式运营该勒索软件，由于Black Basta所使用的每个勒索软件执行体都硬编码一个唯一的识别码，故猜测该组织仅采用定向模式开展勒索攻击活动。该勒索攻击组织主要通过有效访问凭证、搭载其他恶意软件和漏洞武器化等方式对目标系统突防。该组织成员在地下论坛发帖寻求组织机构的网络访问凭证，曾利用QBot木马和PrintNightmare相关漏洞CVE-2021-34527实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为，例如使用AnyConnect和TeamViewer建立远程连接，使用PsExec执行命令，使用Netcat进行扫描，使用Mimikatz转储凭证，使用Rclone回传窃取到的数据等恶意行为。2023年12月，国外网络安全研究机构Security Research发布一个名为“Black Basta Buster”的解密工具[3]，用于恢复被Black Basta勒索软件加密的文件，但该工具仅适用于2022年11月至2023年12月期间的部分勒索软件变种版本。

Black Basta勒索攻击组织与之前退出勒索软件市场的BlackMatter和Conti勒索攻击组织疑似存在关联，体现在勒索软件执行体部分代码段，受害者信息发布及数据泄露站点设计风格，通信方式和勒索谈判话术等方面。故猜测Black Basta勒索攻击组织可能是BlackMatter和Conti勒索软件组织的分支或品牌重塑。2024年，Black Basta受害者信息发布及数据泄露平台发布约190名受害者信息，实际受害者数量可能更多。

3.3.1 组织概览

3.4 BlackSuit

BlackSuit勒索软件于2023年5月首次被发现，其背后的攻击组织采用双重勒索策略进行运营。该组织具有较为复杂的身份背景，被认为是Royal勒索软件的品牌重塑。Royal是由Zeon组织更名而来，而Zeon疑似由Conti组织的原成员参与建设。Conti组织因源代码泄露等因素而解散，Conti组织被认为是Ryuk的继承者，层层关系错综复杂。目前尚未发现BlackSuit组织通过RaaS模式招收附属成员。BlackSuit具备针对Windows、Linux和VMware等目标系统的勒索软件。该组织主要通过漏洞武器化、有效访问凭证以及搭载其他恶意软件（如SystemBC和GootLoader）等方式对目标系统进行渗透。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用AnyDesk、LogMeIn、AteraAgent等工具远程控制计算机和传输文件，使用Mimikatz和Nirsoft窃取系统中的凭证，使用Rclone回传窃取到的数据。目前暂未发现公开的解密工具。

2024年，BlackSuit受害者信息发布及数据泄露平台发布约150名受害者信息，实际受害者数量可能更多。

3.4.1 组织概览

3.5 Hunters

Hunters（又名Hunters International）勒索软件于2023年10月首次被发现，其背后的攻击组织采用RaaS和双重勒索的模式运营该勒索软件。该组织所使用的勒索软件代码在技术架构和操作策略上与已被执法机构查处的Hive组织存在高度相似性。这种相似性使得安全研究人员怀疑Hunters可能是Hive的分支或品牌重塑。然而，Hunters组织否认与Hive有直接关系，声称他们只是购买了Hive的源代码和网络基础设施，并在此基础上使用Rust语言进行了优化，创建了一个独立的品牌。Hunters组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防。该组织常利用伪装成Angry IP Scanner网络扫描器的SharpRhino木马实现对目标系统的初始访问。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。使用Plink、AnyDesk、TeamViewer等工具远程控制计算机、传输文件和横向移动，将窃取到的数据传输到MEGA云平台。目前暂未发现公开的解密工具。

2024年，Hunters受害者信息发布及数据泄露平台发布约230名受害者信息，实际受害者数量可能更多。

3.5.1 组织概览

3.6 INC

INC勒索软件于2023年7月首次被发现，其背后的攻击组织采用双重勒索策略进行运营。该勒索攻击组织主要通过漏洞武器化、有效访问凭证以及搭载其他恶意软件等方式对目标系统进行突防，常利用NetScaler产品漏洞CVE-2023-3519。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用AnyDesk、TightVNC、PuTTY等工具实现远程控制、传输工具和横向移动，使用NetScan、Advanced IP Scanner、Mimikatz等工具实现网络扫描和凭证窃取，将窃取到的数据传输到MEGA云平台。目前暂未发现公开的解密工具。

2024年3月，INC组织在黑客论坛上出售其勒索软件和网络基础设施的源代码，售价为30万美元，并将潜在买家的数量限制为三人。7月，新出现的Lynx勒索攻击组织所使用的勒索软件和用于勒索攻击的网络基础设施与INC组织较为相似，后续Lynx组织声明是购买了INC组织的源代码。2024年，INC受害者信息发布及数据泄露平台发布约160名受害者信息，实际受害者数量可能更多。

3.6.1 组织概览

3.7 LockBit

LockBit勒索软件[4]于2019年9月首次被发现，初期因其加密后的文件名后缀为.abcd，而被称为ABCD勒索软件。其背后的攻击组织通过RaaS和多重勒索的模式运营该勒索软件，主要通过RaaS和勒索赎金分成获利，使用该勒索软件的威胁行为体在非定向和定向模式下开展勒索攻击。该组织在2021年6月发布了勒索软件2.0版本，增加了删除磁盘卷影和日志文件的功能，同时发布专属数据窃取工具StealBit，采用“威胁曝光（出售）企业数据+加密数据”双重勒索策略。2021年8月，该组织的攻击基础设施频谱增加了对DDoS攻击的支持。2022年6月勒索软件更新至3.0版本，由于3.0版本的部分代码与BlackMatter勒索软件代码重叠，因此LockBit 3.0又被称为LockBit Black，这反映出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。2024年2月20日，多国执法机构联合开展的“Cronos行动”成功对LockBit勒索攻击组织造成打击，执法机构接管了该组织用于攻击的网络基础设施，并为受害者提供用于解密的密钥。此次行动并未将LockBit组织彻底剿灭，该组织在沉寂一段时间后再次开始勒索攻击活动，并于2024年12月19日宣布计划在2025年2月推出LockBit 4.0版本。LockBit组织主要通过有效访问凭证、漏洞武器化和搭载其他恶意软件等方式实现对目标系统的初始访问。目前暂未发现公开的解密工具。

2023年10月，波音公司被LockBit勒索攻击组织列为受害者，安天CERT从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作，并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析，并提出了防御和治理方面的建议[5]。2024年，LockBit受害者信息发布及数据泄露平台发布约520名受害者信息和窃取到的数据，实际受害者数量可能更多。

3.7.1 组织概览

3.8 Medusa

Medusa勒索软件于2021年6月首次被发现，与2019年出现的MedusaLocker勒索软件无关。该组织主要通过漏洞武器化、有效访问凭证和远程桌面协议（RDP）暴力破解等方式对目标系统突防。曾利用Fortinet相关漏洞（CVE-2023-48788）实现对目标系统的初始访问。在建立与目标系统初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用ConnectWise、PDQ Deploy、AnyDesk等工具远程控制计算机和传输文件，使用NetScan扫描发现其他可攻击目标。目前暂未发现公开的解密工具。

2024年，其受害者信息发布及数据泄露平台留有已发布的约210名受害者信息，实际受害者数量可能更多。

3.8.1 组织概览

3.9 Play

Play（又称PlayCrypt）勒索软件[6]于2022年6月首次被发现，其背后的攻击组织通过双重勒索的模式运营该勒索软件，并声称不通过RaaS模式运营，使用该勒索软件的攻击者在非定向和定向模式下开展勒索攻击。该勒索攻击组织主要通过有效访问凭证和漏洞武器化等方式对目标系统进行突防，曾利用Fortinet（CVE-2018-13379、CVE-2020-12812）和Microsoft Exchange Server（CVE-2022-41040、CVE-2022-41082）相关漏洞实现对目标系统的初始访问。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。例如，使用AdFind发现Active Directory相关信息，使用Grixba窃取特定信息，使用GMER、IObit、PowerTool等工具禁用杀毒软件和删除日志文件，使用SystemBC实现横向移动，使用Mimikatz窃取系统中的凭证，使用WinRAR打包要窃取的文件并通过WinSCP回传。目前暂未发现公开的解密工具。

Play勒索攻击组织疑似与Conti、Royal、Hive和Nokoyawa勒索攻击组织存在关联，体现在用于攻击的基础设施和勒索攻击活动中所使用的技战术等方面。2024年，其受害者信息发布及数据泄露平台留有已发布的约350名受害者信息，实际受害者数量可能更多。

3.9.1  组织概览

3.10 RansomHub

RansomHub勒索软件[7]于2024年2月首次被发现，其背后的攻击组织通过RaaS和双重勒索的模式运营该勒索软件，该勒索攻击组织主要通过漏洞武器化、有效访问凭证和搭载其他恶意软件等方式对目标系统进行突防。在建立与目标系统的初始访问后，利用多种工具作为攻击装备以实现其他恶意行为。曾利用Confluence（CVE-2023-22515）、Citrix（CVE-2023-3519）、Fortinet（CVE-2023-27997）相关漏洞实现对目标系统的初始访问。成功访问后创建用户账户实现持久化，利用EDRKillShifter禁用并关闭安全防护工具，后续利用Angry IP Scanner、Nmap、NetScan等工具扫描发现其他可攻击目标，利用Mimikatz、LaZagne等工具收集系统中的凭据，利用PsExec、AnyDesk、Connectwise等工具实现远程访问和横向移动，利用PuTTY、Rclone等工具回传窃取到的数据。目前暂未发现公开的解密工具。

RansomHub勒索攻击组织使用的勒索软件载荷和技战术与Knight组织有相似之处，疑似为Knight组织的品牌重塑或继承者。2024年，RansomHub受害者信息发布及数据泄露平台发布约530名受害者信息，实际受害者数量可能更多。

3.10.1 组织概览

总结

尽管各国执法机构不断加强对勒索攻击组织的打击力度，但勒索事件的数量却仍在呈现上升趋势。导致勒索攻击活跃度不降反增的因素众多：攻击者能够快速利用新漏洞，远程办公的脆弱性增加，新技术的应用为勒索软件提供了更多攻击机会；IAB通过售卖访问凭证获利，攻击者利用这些凭证实施定向攻击；人工智能技术的发展既增强了防御能力，也被攻击者用于提高攻击效率；勒索攻击组织之间的技战术互相利用，以及供应链式勒索攻击事件频发，都使得受害者数量不断增加。面对日益严峻的勒索攻击形势，尽管各国执法机构和网络安全机构已采取诸多措施加强防御和打击力度，但勒索攻击的复杂性和多样性仍给全球网络安全带来了巨大挑战。

为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。安天曾在波音遭遇勒索攻击事件分析复盘报告[5]中提出——“正确的认知是有效改善防御能力的基础”。目前国内对勒索攻击的防范，往往还停留在原有的勒索软件的阶段，还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链，而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下，遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态，而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。

面对攻击者体系化的攻击作业方式，防御者应建立体系化的防御机制和运营策略去应对勒索攻击威胁。针对体系性的攻击，必须坚持关口前移，向前部署，构成纵深，闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力，降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础：主动塑造和加固安全环境、强化暴露面和可攻击面的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深，针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防，特别要建设好主机系统侧防护，将其作为最后一道防线和防御基石，构建围绕执行体识别管控的细粒度治理能力。最终通过基于防御体系实现感知、干扰、阻断定向攻击杀伤链的实战运行效果。

参考链接

[1]安天.疑似使用定向攻击模式的Akira勒索软件分析 [R/OL].（2023-05-30）

https://www.antiy.cn/research/notice&report/research_report/Akira_Ransomware_Analysis.html

[2] Avast. Decrypted: Akira Ransomware [R/OL].（2023-06-29）

https://decoded.avast.io/threatresearch/decrypted-akira-ransomware/

[3]Security Research Lab. Black Basta Buster [R/OL].（2023-12-30）

https://github.com/srlabs/black-basta-buster

[4]安天. LockBit勒索软件样本分析及针对定向勒索的防御思考 [R/OL].（2023-11-17）

https://www.antiy.cn/research/notice&report/research_report/LockBit.html

[5]安天.波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考 [R/OL].（2023-12-30）

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html

[6]安天.PLAY勒索软件分析[R/OL].（2023-10-20）

https://www.antiy.cn/research/notice&report/research_report/PlayCrypt_Analysis.html

[7]安天.活跃的RansomHub勒索攻击组织情况分析[R/OL].（2024-09-12）

https://www.antiy.cn/research/notice&report/research_report/RansomHub_Analysis.html

近日，国产AI大模型DeepSeek（深度求索）一经推出，凭借其卓越的性能在全球范围内引发了广泛关注，与此同时也成为了不法分子聚焦的目标。安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台，发现了一批假冒DeepSeek的恶意应用程序。针对这一情况，安天移动安全团队迅速展开了深入分析和关联拓展，揭示了这些恶意应用的潜在威胁，并采取了相应的防护措施，为用户安全使用国产AI产品保驾护航。

1．样本基本特征对比

仿冒应用程序名、图标与正版应用别无二致，普通用户难以分辨真假。

2．样本详细分析

1# 动态分析

恶意应用运行后直接提示更新，点击后会直接弹出安装同名恶意子包弹框请求。

诱导用户请求启用无障碍服务。

程序名、图标和正版基本一致，且可以同时安装于同一设备中。

与官方正版应用比较，恶意样本运行后的界面如下，直接访问的DeepSeek的官网。

正版DeepSeek应用如下，可以看到需要登录后才能正常使用，运行界面也不一致。

2# 静态分析

该恶意应用使用了一些对抗手段来对抗逆向分析工具，增加分析难度，逃避安全检测，具体如下：

样本通过工具创建同名文件夹，对抗分析工具。

使用伪加密修改zip文件数据的方式让工具误认为存在密码。

使用整体自定义壳进行加固处理。

使用类名、变量名混淆来增加分析难度。

使用动态加载的方式加载恶意子包。

子包功能详细分析：

其关键指令解析如下：

主要信息获取行为如下：
1、获取短信信息。

2、获取通讯录。

3、发送短信。

4、获取应用安装列表。

5、获取cookie。

6、通过无障碍服务监控用户的点击、输入等行为。

7、窃取google验证码。

8、VNC屏幕监控。

9、通过激活设备管理器和无障碍服务防卸载。

3# 网址信息服务器网址如下：

3．历史溯源

根据分析恶意木马的服务器指令特征，发现该木马与历史家族Trojan/Android.Coper的指令基本一致，如下图所示（左图为该木马，右图为Trojan/Android.Coper家族样本）。

该木马家族作为长期活跃的恶意攻击威胁，于2021年7月被首次披露，安天病毒百科已经收录了该家族样本，见https://www.virusview.net/malware/Trojan/Android/Coper。该木马初期以伪装成哥伦比亚官方金融应用“Bancolombia Personas”进行传播，后续逐步扩展伪装对象至Chrome浏览器、Google Play应用商店、McAfee安全软件及DHL Mobile等全球知名应用。其攻击链通过仿冒合法程序诱导用户下载并执行恶意代码，进而实现敏感数据窃取，包括但不限于短信内容、通讯录信息及主流社交/金融应用的账户凭据，最终对受害者构成隐私泄露与资金安全的双重威胁。

4．分析总结

经综合分析，该恶意样本采用多层伪装机制，其主程序仿冒为DeepSeek官方应用，通过诱导性展示目标官网界面降低用户警惕性。在运行阶段，样本通过动态代码加载技术隐蔽加载恶意子包，并建立与C&C服务器的加密通信信道。恶意模块具备多维度数据窃取能力，包括：1、隐私窃取模块（短信/联系人/应用列表等）；2、界面监控模块（滥用无障碍服务权限实施屏幕内容抓取）；3、指令执行模块（支持远程指令解析，实现功能动态扩展）。攻击链中特别采用界面伪装与恶意行为分离机制，有效规避基础安全检测，最终导致用户敏感信息泄露及设备控制权限沦陷。

安天威胁情报中心已通过实时威胁狩猎系统完成覆盖该家族全量样本的检测规则部署，并联动移动终端防护体系实现安装阻断，为防范AI技术滥用场景下的新型网络威胁提供主动防御支撑。

（相关链接：

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=E1FF086B629CE744A7C8DBE6F3DB0F68）

5．防护建议

1、建议从官方网站、各大手机厂商应用平台下载正版应用。

2、对与请求无障碍服务和激活设备管理器的行为提高警惕，不轻易授予相关权限。

3、在手机设置中关闭"允许安装未知来源应用"的选项。

4、定期在设置-应用管理中查看近期安装的陌生程序。

5、对设备电量异常消耗的情况予以关注。

6、养成定期使用手机管家等具有杀毒功能应用的使用习惯，及时查杀病毒。

6．关联样本

银行间谍木马：

除此之外，通过内部大数据关联分析发现，近期除了上面提到的银行木马外，还存在其他冒用DeepSeek名义从事诈骗活动的情况，如下为部分关联样本信息：

一场名为“StaryDobry”的大规模恶意软件活动以破解游戏《Garry’s Mod， BeamNG》的木马版本为目标，攻击全球玩家。

这些游戏都是Steam上拥有数十万“绝对正面”评价的顶级游戏，因此它们很容易成为恶意活动的目标。

值得注意的是，据报道，在2024年6月，一个带花边的光束模型被用作迪士尼黑客攻击的初始访问向量。

根据卡巴斯基的说法，StaryDobry活动始于2024年12月下旬，结束于2025年1月27日。它主要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。

攻击者在2024年9月提前几个月将受感染的游戏安装程序上传到torrent网站，并在假期期间触发游戏中的有效载荷，从而降低了检测的可能性。

StaryDobry活动时间表

StaryDobry感染链

StaryDobry活动使用了一个多阶段感染链，最终以XMRig加密程序感染告终。用户从种子网站下载了木马化的游戏安装程序，这些程序看起来都很正常。

活动中使用的恶意种子之一

在游戏安装过程中，恶意软件卸载程序（unrar.dll）被解包并在后台启动，在继续之前，它会检查它是否在虚拟机，沙箱或调试器上运行。

恶意软件表现出高度规避行为，如果它检测到任何安全工具，立即终止，可能是为了避免损害声誉。

Anti-debug检查

接下来，恶意软件使用‘regsvr32.exe’进行持久化注册，并收集详细的系统信息，包括操作系统版本、国家、CPU、 RAM和GPU详细信息，并将其发送到pinokino[.]fun的命令和控制（C2）服务器。

最终，dropper解密并将恶意软件加载程序（MTX64.exe）安装在系统目录中。

加载程序冒充Windows系统文件，进行资源欺骗，使其看起来是合法的，并创建一个计划任务，在重新启动之间持久化。如果主机至少有8个CPU内核，它将下载并运行XMRig挖掘器。

StaryDobry中使用的XMRig挖掘器是Monero挖掘器的修改版本，它在执行之前在内部构造其配置，并且不访问参数。

矿工始终维护一个单独的线程，监视在受感染的机器上运行的安全工具，如果检测到任何进程监视工具，它将关闭自己。

这些攻击中使用的XMRig连接到私有挖矿服务器，而不是公共矿池，这使得收益更难追踪。

卡巴斯基无法将这些攻击归因于任何已知的威胁组织。StaryDobry往往是一个一次性的活动。为了植入矿工，攻击者通常会实施一个复杂的执行链，利用寻求免费游戏的用户。这种方法可以帮助威胁者能够维持采矿活动的强大游戏机，最大限度地利用了矿工植入物。

CISA 和 FBI 表示，部署“幽灵”勒索软件的攻击者已入侵了来自 70 多个国家多个行业领域的受害者，其中包括关键基础设施组织。

受影响的其他行业包括医疗保健、政府、教育、科技、制造业以及众多中小型企业。

CISA、FBI 以及 MS-ISAC 联合发布的一份咨询报告称：“自 2021 年初开始，幽灵黑客开始攻击那些互联网服务所运行的软件和固件版本过时的受害者。”目前，这种对存在漏洞的网络不加区分的攻击已导致全球 70 多个国家的组织受到侵害。

幽灵勒索软件的运营者经常更换其恶意软件可执行文件，更改加密文件的扩展名，修改勒索信的内容，并使用多个电子邮件地址进行勒索沟通，导致该组织的归属很难被及时确定。

与该组织有关联的名称包括 Ghost、Cring、Crypt3r、 Phantom、 Strike、 Hello、 Wickrme、HsHarada、和 Rapture。其攻击中使用的勒索软件样本包括“Cring.exe”“Ghost.exe”“ ElysiumO.exe” 和“Locker.exe”。

这个以盈利为目的的勒索软件团伙利用公开可获取的代码来攻击存在安全漏洞的服务器。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。

为防范幽灵勒索软件攻击，建议网络防御人员采取以下措施：

1.定期和异地备份不能被勒索软件加密的系统；

2.尽快修补操作系统、软件和固件漏洞；

3.重点关注幽灵勒索软件针对的安全漏洞（即CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）；

4.分割网络以限制受感染设备的横向移动；

5.对所有特权帐户和电子邮件服务帐户实施防网络钓鱼的多因素身份验证（MFA）。

Amigo_A和Swisscom的CSIRT团队在2021年初首次发现Ghost勒索软件后，他们的运营商就开始投放定制的Mimikatz样本，然后是CobaltStrike信标，并使用合法的Windows CertUtil证书管理器部署勒索软件有效载荷，以绕过安全软件。

除了在Ghost勒索软件攻击中被用于初始访问之外，国家支持的黑客组织还扫描了易受攻击的Fortinet SSL VPN设备，并针对CVE-2018-13379漏洞进行了攻击。

攻击者还滥用了同样的安全漏洞，破坏了可以通过互联网访问的美国选举支持系统。

Fortinet在2019年8月、2020年7月、2020年11月和2021年4月多次警告客户，要针对CVE-2018-13379给SSL VPN设备打补丁。

CISA、FBI和MS-ISAC本周发布的联合咨询报告还包括妥协指标（ioc）、战术、技术和程序（TTPs），以及与FBI调查期间发现的幽灵勒索软件活动相关的检测方法（最近在2025年1月）。

一种新的JavaScript混淆方法利用不可见的Unicode字符来表示二进制值，在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极滥用。

发现此次攻击的网络威胁实验室报告称，该攻击发生在2025年1月初，并带有复杂的迹象，例如使用了：

·针对受害者提供个性化的非公开信息；

·调试器断点和定时检查以逃避检测；

·递归包装邮戳跟踪链接到模糊的最终网络钓鱼目的地。

JavaScript开发人员在2024年10月首次披露了这种混淆技术，它在实际攻击中的迅速采用凸显了新研究被武器化的速度。

使JS有效负载“不可见”

新的混淆技术利用不可见的Unicode字符，特别是韩文半宽（U+FFA0）和韩文全宽（U+3164）。

JavaScript负载中的每个ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被不可见的韩文字符替换。

混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符呈现为空白，因此脚本中的有效负载看起来为空，如下图末尾的空白所示。

隐藏恶意代码的空白

一个简短的引导脚本使用JavaScript代理的“get（）陷阱”检索隐藏的有效负载。当访问hidden属性时，Proxy将不可见的韩文填充字符转换回二进制并重建原始JavaScript代码。

Juniper分析师报告称，攻击者除了上述步骤之外，还使用了额外的隐藏步骤，比如用base64编码脚本，并使用反调试检查来逃避分析。

韩文填充字符序列的Base64编码

Juniper解释说：“攻击是高度个性化的，包括非公开信息，最初的JavaScript会在被分析时试图调用调试器断点，检测到延迟，然后通过重定向到一个正常的网站来中止攻击。”

这种攻击很难检测，因为空白减少了安全扫描仪将其标记为恶意的可能性。

由于有效负载只是对象中的一个属性，因此可以将其注入合法脚本而不会引起怀疑；另外，整个编码过程很容易实现，不需要高级知识。

Juniper表示，此次活动中使用的两个域名先前与Tycoon 2FA网络钓鱼工具包有关。如果是这样，我们很可能会看到这种不可见的混淆方法在未来被更广泛的攻击者采用。

zklend 官方承认遭到黑客攻击，威胁者利用智能合约中 mint() 函数的舍入错误漏洞盗取了 3600 个以太币，价值约 950 万美元。

zkLend 是一个建立在 Starknet 上的去中心化货币市场协议，Starknet 是以太坊的二层扩容解决方案，它使用户能够存入、借入和贷出各种资产。据了解，攻击者将“lending_accumulator”操纵为非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的舍入误差，反复存入 4.069297906051644021 wstETH，每次获得 2 个 wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次仅花费 1 个 wei。

开发 Starknet 网络的 Starkware 确认，该漏洞并非 Starknet 技术本身的问题，而是某个应用程序特有的错误。

据 Cyvers 称，威胁者试图通过 RailGun 隐私协议清洗加密货币，但因协议政策而被阻止。

zkLend现已向黑客发出消息，称如果他们归还被盗以太坊的90%资金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他们可以保留另外10%的资金作为白帽赏金，并且不会对攻击承担任何责任。

目前zkLend 正在与安全公司和执法部门合作。如果在2025年2月14日前没有收到威胁分子的消息，该公司将继续采取下一步措施进行跟踪和起诉。目前，黑客还没有任何回应，这属网络攻击中的常见情况。

近日，深圳市福田区推出AI数智员工，“AI公务员上岗”迅速成为关注焦点。这一现象的背后，不仅是人工智能大模型技术的日趋成熟，更标志着政务大模型应用将为政务服务与管理带来全新的变革与机遇。国投智能董事长滕达认为，国家大力培育“数字公务员”，是推动政府数字化转型迈向纵深，政府用大模型可以创建公务员的思维克隆体——数字人，让每个公务员拥有第二大脑，提升行政效率。

当前，由国投智能自主研发的美亚“天擎”公共安全大模型、Qiko 大模型创新应用平台等持续释放人工智能“新质生产力”，赋能政府业务效率的显著提升，开拓创新应用场景，尤其是随着Qiko平台成功接入DeepSeek服务后，整体交互体验进一步得到优化，为用户提供更智能、更精准的服务。

国投智能大模型技术和产品已率先在政务领域开展推广试用，覆盖政务办公、应急管理、政务服务、气象服务等多个场景，精准契合政府多元业务场景需求，一起来了解一下！

场景一

政务办公：智能赋能，铸就高效便捷新体验

办公助手

办公助手可提供个性化、精准的智能问答服务，涵盖政策解读、流程指导、工单申请、个人假期余额查询等高频办公场景。

以往，当工作人员想要了解最新的人才引进政策细节时，可能需要花费大量时间在文件库中查找或者向多个部门咨询。

现在，通过办公助手只需输入关键词，就能快速获取详细且准确的政策解读和办理流程。

会议纪要助手

会议纪要助手可提供会议语音智能化处理服务，能够自动生成结构清晰、内容完整的会议纪要。

以往，在政府部门会议中，由于参会人员众多，讨论内容丰富，整理会议纪要耗时耗力，还可能出现疏漏。

现在，通过会议纪要助手可迅速将会议中的发言内容转化为文字，并自动整理总结、建议待办等要点，形成一份条理清晰的会议纪要，大大节省了时间和精力。

智能翻译助手

智能翻译助手能够快速将文本转换为用户指定的目标语言，为用户提供更流畅、更专业的翻译结果。

以往，当政府部门与国外机构进行合作交流时，可能需要将大量的文件资料翻译成外文，这一过程耗时费力且可能成本高昂。

现在，通过智能翻译助手，工作人员只需将报告内容输入，选择目标语言，短时间内就能得到准确的翻译文本，提高对外沟通效率。

场景二

应急救援：智慧驱动，守护生命财产安全防线

应急指挥调度助手

应急指挥调度助手高度整合了各应急业务应用系统能力，能够在各类突发事件的应对场景中，为指挥中心工作人员提供高效的调度支撑服务。

以往，在面对突发自然灾害时，工作人员获取现场情况、发送指令以及统计数据等工作往往需要在不同的系统界面上进行操作，较为繁琐且效率较低。

现在，通过使用语音轻松唤醒助手，即可迅速调取受灾区域的实时监控视频，了解现场情况。同时，还可直接利用助手向救援队伍发送救援指令短信，实时统计受灾区域待转移人数等数据指标，极大地提升了应急处置的效率。

城市安全视觉大模型助手

城市安全视觉大模型助手可动态解析视频监控内容，针对人员区域入侵、安全生产违规作业、城市内涝积水等场景，智能识别并判断风险隐患及违规操作，精准锁定潜在风险。

以往，在台风天气来临时，人工监控手段可能无法及时发现危险行为，

现在，借助智能助手对监控视频的即时分析，可迅速识别海边的行人，并依据当前的恶劣天气条件，精准评估其行为是否构成安全隐患。一旦发现危险行为，系统会即刻向管理人员发送预警信息，使得管理人员能够迅速采取行动，劝离海滩上的游客，从而大幅度降低安全事故的发生概率。

消防救援助手

消防救援助手具备意图理解、知识提炼、问题解答、内容衍生等一体化专业问答能力，能够为用户提供专业的消防知识问答服务。

以往，在传统的火情研判场景中，如某处综合体发生火灾并需开展火情研判工作时，消防员要制定出科学合理的救援策略，需要耗费大量时间和精力去综合分析各种信息。

现在，通过使用消防救援助手，根据消防员详细描述现场情况，助手便能迅速结合知识库内容、参考历史实战案例，在短时间内快速制定出救援指挥策略，为保障人员生命财产安全提供有力支撑。

应急知识助手

应急知识助手依托AI技术构建专业化知识体系，深度融合应急领域知识，能够为突发事件处置提供智能化决策支持。

以往，针对化学品泄漏事故场景，传统模式下救援人员需依赖经验判断或耗时查阅资料，导致难以迅速获得精确有效的处置方案。

现在，通过应急知识助手进行智能语义分析，可即时解析事故特征，自动匹配危化品属性、处置要点及环境影响等关键信息，辅助救援人员高效制定行动方案，显著提升事故处置的科学性与时效性，最大限度降低事故损失与次生风险。

场景三

政务服务：智能相伴，贴心为民彰显服务温度

智问智办助手

智问智办助手能够为公众、申报企业提供24小时在线咨询服务。

以往，当公众或企业对审批流程、所需材料、办理时限等存在咨询需求时，采用传统的线上咨询，更多的是进行简单的关键词搜索或固定的问答模式，但检索的信息有限，且缺乏智能的分析与推荐能力。

现在，通过智问智办助手，利用语义理解，能迅速分析识别用户意图，精准解答各类问题，还可依据用户的具体需求，智能自动推荐相匹配的业务办理流程，提供涵盖全步骤的办事指南，助力用户高效办事。

智能预审助手

智能预审助手可为企业提供立项用地、施工许可及竣工验收等业务的材料预审服务，快速分析企业提交的材料内容是否合规。

以往，如企业在办理立项用地申请时，因材料不规范或缺失可能导致审批流程延误，需多次提交材料补充完善。

现在，智能预审助手能够基于规范标准库，自动比对材料内容，精准识别缺失或不规范项，实时反馈修改建议，帮助企业一次性完成材料准备，显著提升审批效率，减少因材料问题导致的流程延误。

场景四

气象服务：智能生成，确保信息规范准确

气象信息内参助手

气象信息内参助手专为气象播报工作打造，为其提供标准化的信息生成服务。

以往，在气象播报准备过程中，工作人员需整合分析温度、降水、风力等多维度数据，手动编制气象信息内参文件，效率较低。

现在，气象信息内参助手能够快速解析气象数据，按照规范要求生成结构清晰、内容精准的播报文本，确保信息输出的专业性与时效性，显著提升气象播报准备工作效率。

下一步，国投智能将在政务领域持续深耕，不断探索与拓宽大模型技术在政务场景的应用范畴，为推动构建更为智能化、高效化、利民化的政务服务生态系统注入强劲动能。

依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规，按照工业和信息化部工作部署要求，国家监管机构持续开展APP隐私合规和网络数据安全专项整治。

梆梆安全推出《安全隐私合规监管趋势报告》，持续跟进国家监管机构通报数据，并依据近期监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及隐私合规问题进行分类说明，帮助企业更好的完成APP隐私合规建设。

最新监管通报动态

1月15日，浙江通管局依据相关法律法规，持续开展APP侵害用户权益治理工作，组织第三方检测机构对群众关注的网上购物、网络社区、问诊挂号等类型APP进行检查，仍有7款App未完成整改，上述APP应限期完成整改，逾期未整改，浙江通管局将视情采取下架、关停、行政处罚等措施。

1月20日，山东通管局依据相关法律法规，持续开展APP侵害用户权益专项整治工作，常态化组织专业机构对省内各类APP进行合规性检测，对违规APP书面要求限期整改，截至目前，尚有15款APP未按要求完成整改（2025年第1批），上述APP应限期完成整改，逾期未整改，山东通管局将视情采取下架、关停、行政处罚等措施。

1月20日，山东通管局依据相关法律法规，对前期（2024年第9批）通报的43款APP进行复测，仍有2款APP逾期未完成整改，山东通管局决定对上述APP予以下架处置（2025年第1批）。

1月21日，贵州通管局依据相关法律法规，持续开展APP侵害用户权益专项整治行动，截至通报规定时限，经复检，尚有6款APP未按照要求完成整改，贵州通管局决定对上述APP予以下架（2024年第4批）。

1月26日，四川和重庆通管局依据相关法律法规，组织第三方检测机构对川渝两地主流应用商店移动互联网应用程序(APP)进行了检查，截至目前，仍有10款APP和3款微信小程序未按要求完成整改（2025年第一期），上述APP/小程序应限期完成整改，逾期未整改，四川和重庆通通管局依法依规进行处置。

1月26日，北京通管局依据相关法律法规，持续开展APP隐私合规和网络数据安全专项整治，持续开展APP隐私合规和网络数据安全专项整治，通过抽测发现部分APP存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等问题，截至目前，尚有12款App未按要求完成整改，现予以公开通报（2025年第一期）。

2月8日，安徽通管局依据相关法律法规，对省内APP进行了拨测检查，检测共发现14款APP存在问题（2025第1批），截至规定整改期限，尚有5款APP未按照要求完成整改，上述APP应限期完成整改，逾期未整改，安徽通管局将依法依规采取下一步处置措施。

2月14日，广东通管局依据相关法律法规，持续开展APP隐私合规和数据安全专项整治行动，发出《违法违规APP处置通知》责令APP运营者限期整改，截至目前，仍有11款APP和1款小程序未完成整改，上述APP/小程序应限期完成整改，逾期未整改，广东通管局将依法依规采取下一步处置措施。

2月14日，陕西通管局依据相关法律法规，持续开展APP侵害用户权益专项整治行动，组织第三方检测机构对陕西属地APP进行检查，截至目前，尚有1款APP未按照要求完成整改，上述APP应限期完成整改，逾期未整改，陕西通管局将依法处置。

2月19日，网信办依据相关法律法规，针对广大人民群众反映强烈的App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题，检测共发现80款APP和2款微信小程序存在问题，且多数问题均为“无用户注销功能、未提供有效的用户账户注销功能”。

监管支撑汇总

1.梆梆监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP5问题数据两方面来说明。

1）问题行业TOP5：

在线影音、投资理财、本地生活、网上购物、学习教育。

2）隐私合规问题TOP5：

TOP1：在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账户、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

TOP2：征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

TOP3：未逐一列举出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围；

TOP4：实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

TOP5：收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

2.国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

问题分类

问题数量

无用户账号注销功能

65

违规收集个人信息

45

APP强制、频繁、过度索取权限

21

超范围收集个人信息

14

 违规使用个人信息

10

未公开收集使用规则

9

为用户账号注销设置不合理条件

8

 APP频繁自启动或关联启动

7

用户账号注销承诺时限超出15个工作日

5

未经用户同意收集使用个人信息

5

违反必要原则收集个人信息

3

隐私政策无法打开

3

欺骗误导强迫用户

2

总计

203

针对国家近两周监管通报数据，依据App类型，统计出现通报的APP数量如下：

App类型

App数量

实用工具

36

本地生活

24

学习教育

19

网络社区

14

网络游戏

11

网上购物

11

用车服务

8

在线影音

8

问诊挂号

7

运动健身

5

安全管理

3

电子图书

3

旅游服务

2

体育运动

2

求职招聘

2

二手车交易

1

拍摄美化

1

投资理财

1

总计

158

一款名为 SpyLend 的 Android 恶意软件应用程序已在 Google Play 上被下载超过 10 万次。该应用伪装成一款金融工具，但实际上是一个针对印度用户的掠夺性贷款应用程序。

该应用程序属于名为 SpyLoan 的恶意 Android 应用程序组，这些应用伪装成合法的金融工具或贷款服务，实际上却窃取设备数据用于掠夺性贷款。这些应用通常承诺提供快速简便的贷款，只需很少的文档，并提供诱人的条款，以此吸引用户。然而，在安装时，它们会请求过多的权限，从而窃取用户的个人数据，包括联系人、通话记录、短信、照片和设备位置等信息。

这些收集到的数据随后被用来骚扰、敲诈和勒索用户，尤其是当用户未能满足应用程序的还款条款时。

贷款诈骗和敲诈勒索

网络安全公司 CYFIRMA 发现了一款名为 Finance Simplified 的 Android 应用，该应用自称是一款财务管理工具，在 Google Play 上的下载量已达 10 万次。然而，CYFIRMA 表示，该应用在某些国家（如印度）表现出更多的恶意行为，会窃取用户设备的数据用于掠夺性贷款。研究人员还发现了其他恶意 APK，这些 APK 似乎是同一恶意软件活动的变种，包括 KreditApple、PokketMe 和 StashFur。

尽管该应用现已被从 Google Play 中移除，但它可能仍在后台运行，继续从受感染的设备中收集敏感信息。

Google Play 上 Finance Simplified 的多条用户评论显示，该应用提供的贷款服务会向未支付高额利息的借款人进行勒索。一位用户评论称：“这款应用程序非常糟糕，他们提供的贷款金额很低，然后勒索要求高额还款，否则就会把照片编辑成裸照进行威胁。”

这些应用程序还声称自己是注册的非银行金融公司（NBFC），但 CYFIRMA 表示这并不属实。

为了逃避 Google Play 的检测，Finance Simplified 加载了一个 WebView，将用户重定向到外部网站，然后从该网站下载托管在 Amazon EC2 服务器上的贷款应用 APK。

CYFIRMA 解释道：“Finance Simplified 应用程序似乎专门针对印度用户，它通过显示和推荐贷款申请、加载显示贷款服务的 WebView 来重定向到外部网站，然后在该网站下载单独的贷款 APK 文件。”

研究人员发现，只有当用户位于印度时，该应用程序才会加载欺骗性界面，这表明该活动具有特定的目标。

应用程序窃取敏感数据

该恶意软件活动更令人担忧的方面是其数据收集行为，其中包括存储在用户设备上的敏感个人信息。以下是该恶意软件窃取的数据摘要：

• · 联系人、通话记录、短信和设备详细信息。

• · 来自内部和外部存储的照片、视频和文档。

• · 实时位置跟踪（每 3 秒更新一次）、历史位置数据和 IP 地址。

• · 最后 20 个复制到剪贴板的文本条目。

• · 贷款历史和银行短信交易信息。

虽然这些数据主要用于敲诈那些错误申请贷款的受害者，但也可能被用于金融欺诈或转售给网络犯罪分子以牟利。

应对措施

如果您怀疑您的设备被任何上述应用程序或类似应用程序感染，请立即删除它们，重置权限，更改银行账户密码，并执行设备扫描。

GitVenom 活动是一种复杂的网络威胁，利用 GitHub 存储库传播恶意软件并窃取加密货币。该活动通过创建数百个看似合法但包含恶意代码的虚假 GitHub 存储库来实施攻击，旨在诱骗开发人员下载和执行恶意代码，从而导致严重的财务损失。

恶意代码部署

GitVenom 背后的攻击者使用多种编程语言（如 Python、JavaScript、C、C++ 和 C#）制作虚假项目。这些项目通常声称提供社交媒体或加密货币管理的自动化工具等功能，但实际上隐藏了恶意代码，执行恶意操作。

恶意存储库的示例结构

• Python 项目：攻击者使用一种技术，在一长行制表符后隐藏解密并执行恶意 Python 脚本的代码。

• JavaScript 项目：嵌入了恶意函数，用于解码并执行 Base64 编码的脚本。

• C、C++ 和 C# 项目：恶意批处理脚本被隐藏在 Visual Studio 项目文件中，以便在构建过程中执行。

这些虚假项目部署的恶意负载会从攻击者控制的 GitHub 存储库下载其他恶意组件。这些组件包括一个 Node.js 窃取程序，用于收集凭证和加密货币钱包数据等敏感信息，并通过 Telegram 将其上传给攻击者。此外，攻击者还使用了开源工具如 AsyncRAT 和 Quasar 后门。

根据 SecureList 的报告，攻击者还使用了剪贴板劫持程序，将加密货币钱包地址替换为攻击者控制的地址，从而导致严重的财务盗窃。值得注意的是，一个攻击者控制的比特币钱包在 2024 年 11 月收到了约 5 BTC（当时价值约 485,000 美元）。

影响与缓解

GitVenom 活动已经活跃多年，全球范围内都有感染尝试的报告，尤其是在俄罗斯、巴西和土耳其。这一活动凸显了盲目运行 GitHub 或其他开源平台代码所带来的风险。

为了降低风险，开发人员在执行或集成第三方代码之前必须彻底检查代码。这包括检查可疑的代码模式，并确保代码功能与描述一致。随着开源代码的广泛使用，类似攻击活动的可能性也在增加，这进一步强调了在处理第三方代码时保持警惕的必要性。