NSA聯(lián)合CISA發(fā)布新指南，直擊隱蔽網(wǎng)絡(luò)攻擊手法；預(yù)算削減遇上攻擊升級，2026年網(wǎng)絡(luò)安全面臨雙重擠壓| 牛覽

新聞速覽

• NSA聯(lián)合CISA發(fā)布新指南，直擊隱蔽網(wǎng)絡(luò)攻擊手法

• 偽造紅頭文件設(shè)局，“紅汞”騙局如何掏空投資者？

• 員工點擊虛假驗證碼，Akira勒索軟件攻陷全球數(shù)據(jù)公司

• WhatsApp曝重大漏洞：35億用戶手機號可被枚舉

• 預(yù)算削減遇上攻擊升級，2026年網(wǎng)絡(luò)安全面臨雙重擠壓

• Comet瀏覽器MCP API暴露重大風險，用戶設(shè)備控制權(quán)或被劫持

• Amazon警告：網(wǎng)絡(luò)攻擊與物理打擊結(jié)合，"網(wǎng)絡(luò)輔助動能打擊"成新威脅

• Kaspersky Q3報告：勒索軟件攻擊激增，AI開始用于惡意軟件開發(fā)

• 暗網(wǎng)現(xiàn)美國防承包商敏感文檔，涉及激光武器與導(dǎo)彈防御技術(shù)

• 突破架構(gòu)限制，Seraphic成為首個支持ChatGPT桌面版等Electron應(yīng)用的瀏覽器安全平臺

特別關(guān)注

偽造紅頭文件設(shè)局，“紅汞”騙局如何掏空投資者？

近日，國家安全機關(guān)破獲一起以“紅汞”交易為名，偽造國家部委紅頭文件的詐騙案。犯罪團伙高度組織化、分工明確，虛構(gòu)“國家戰(zhàn)略儲備資源”等概念，冒充政府官員，通過偽造公章、公文及仿冒政府網(wǎng)站，誘導(dǎo)受害者繳納“保證金”后失聯(lián)。此類騙局常包裝為“內(nèi)部項目”“政策補貼”，承諾“低風險、高回報”，利用公眾對政府的信任實施精準詐騙。除造成重大財產(chǎn)損失外，更嚴重損害政府公信力、擾亂經(jīng)濟秩序。專家提醒：凡涉政府項目，務(wù)必通過12339熱線或官網(wǎng)等官方渠道核實；警惕異常高回報承諾；發(fā)現(xiàn)偽造公文或冒充公職人員行為，請立即舉報。

https://mp.weixin.qq.com/s/ZZ6KSDVUcvrbIa_bHmOpRg

熱點觀察

Kaspersky Q3報告:勒索軟件攻擊激增，AI開始用于惡意軟件開發(fā)

Kaspersky發(fā)布的《2025年第三季度威脅報告》顯示，全球網(wǎng)絡(luò)安全態(tài)勢持續(xù)嚴峻。本季度，Kaspersky防護方案共攔截逾3.89億次網(wǎng)絡(luò)攻擊，其文件反病毒系統(tǒng)成功阻斷超過2,100萬個惡意對象，并識別出2,200個新型勒索軟件變種，較第二季度增長近30%。

在勒索軟件方面，全球近85,000名用戶遭受攻擊，其中Qilin組織以14.96%的受害者占比繼續(xù)位居數(shù)據(jù)泄露站點榜單首位。執(zhí)法行動取得顯著進展：英國國家犯罪局逮捕了首名涉嫌針對歐洲機場發(fā)動勒索軟件攻擊的嫌疑人；美國司法部對LockerGoga、MegaCortex及Nefilim勒索軟件團伙的管理員提起訴訟；FBI聯(lián)合多國執(zhí)法機構(gòu)成功瓦解BlackSuit勒索軟件的基礎(chǔ)設(shè)施，繳獲4臺服務(wù)器、9個域名及價值109萬美元的加密貨幣。

技術(shù)層面呈現(xiàn)新趨勢：研究人員發(fā)現(xiàn)，一名英國背景的威脅行為者利用Claude AI構(gòu)建勒索軟件即服務(wù)（RaaS）平臺，由AI自動生成集成反EDR機制、ChaCha20與RSA加密算法的惡意代碼。新型勒索軟件PromptLock則在攻擊過程中直接調(diào)用大語言模型，通過硬編碼提示動態(tài)生成Lua腳本，實現(xiàn)對Windows、macOS及Linux系統(tǒng)的跨平臺數(shù)據(jù)竊取與加密。

漏洞利用活動亦持續(xù)升級：Scattered Spider組織通過社會工程學手段滲透VMware ESXi虛擬化環(huán)境；Akira威脅行為者針對SonicWall防火墻SSL VPN，利用CVE-2024-40766漏洞竊取憑證并繞過多因素認證；另有攻擊者借助SharePoint中的ToolShell漏洞鏈，部署基于Mauri870代碼的4L4MD4勒索軟件。

此外，挖礦木馬活動同樣活躍，影響用戶逾254,000人。以色列成為勒索軟件攻擊密度最高的國家，受影響用戶占比達1.42%。

https://securelist.com/malware-report-q3-2025-pc-iot-statistics/118020/

WhatsApp曝重大漏洞：35億用戶手機號可被枚舉

維也納大學安全研究人員發(fā)現(xiàn)WhatsApp存在一項嚴重漏洞，可被用于枚舉全球約35億用戶的手機號碼，暴露出這一全球最廣泛使用即時通訊平臺的重大隱私隱患。

該漏洞根植于WhatsApp的聯(lián)系人發(fā)現(xiàn)機制——該功能本用于驗證聯(lián)系人是否已注冊平臺。然而，由于速率限制策略薄弱，攻擊者在未遭遇有效阻斷的情況下，每小時可探測逾1億個手機號碼。研究團隊通過對WhatsApp API進行逆向工程，于2024年12月至2025年4月期間，系統(tǒng)性地對來自245個國家的630億個候選號碼發(fā)起查詢。

所泄露的信息遠不止手機號本身。研究人員還獲取了用戶的公開頭像、狀態(tài)消息、商業(yè)賬戶資料、設(shè)備詳情、加密密鑰及時間戳等元數(shù)據(jù)。僅在美國區(qū)域，他們便成功下載了7700萬張關(guān)聯(lián)號碼的公開頭像；經(jīng)面部識別分析，其中66%包含可檢測的人臉特征，可能被用于構(gòu)建基于生物特征的反向查詢服務(wù)，將個體身份與手機號直接關(guān)聯(lián)。

在官方禁止使用WhatsApp的國家，該漏洞后果尤為嚴峻。研究發(fā)現(xiàn)中國存在約230萬活躍賬戶，緬甸160萬，伊朗高達5900萬，這些用戶或面臨政府監(jiān)控乃至法律風險。

與2021年Facebook數(shù)據(jù)泄露事件（涉5億條記錄）交叉比對后，研究人員指出近半數(shù)泄露號碼在六年后仍活躍于WhatsApp，凸顯個人數(shù)據(jù)泄露所引發(fā)的長期安全威脅。

在遵循負責任披露流程后，WhatsApp已部署多項緩解措施，包括引入基數(shù)速率限制、限制頭像與狀態(tài)信息的訪問權(quán)限，并修復(fù)了Android客戶端中加密密鑰重用的安全缺陷。

https://cyberpress.org/whatsapp-vulnerability/

Amazon警告：網(wǎng)絡(luò)攻擊與物理打擊結(jié)合,"網(wǎng)絡(luò)輔助動能打擊"成新威脅

Amazon威脅情報部門近日發(fā)出警示：網(wǎng)絡(luò)攻擊與現(xiàn)實世界中的物理攻擊之間的界限正迅速消融。這一趨勢促使這家科技巨頭呼吁設(shè)立一種全新的戰(zhàn)爭類別——“網(wǎng)絡(luò)輔助動能打擊”（cyber-enabled kinetic targeting）。

Amazon首席安全官Steve Schmidt指出，越來越多的非傳統(tǒng)攻擊者展現(xiàn)出將網(wǎng)絡(luò)能力與動能軍事行動深度融合的專業(yè)素養(yǎng)。“物理安全與數(shù)字安全已無法再被視作彼此割裂的領(lǐng)域，”他強調(diào)。

據(jù)Schmidt介紹，攻擊者不僅入侵包含目標信息的網(wǎng)絡(luò)系統(tǒng)，更進一步滲透目標現(xiàn)場的閉路電視（CCTV）系統(tǒng)，以獲取高精度的情報。“這使得軍事規(guī)劃人員能夠?qū)崟r觀察目標的物理環(huán)境，并在武器飛行過程中動態(tài)調(diào)整打擊參數(shù)。”

Amazon援引了兩起典型案例加以說明。其中最新的一起涉及與伊朗情報與安全部（MOIS）有關(guān)聯(lián)的威脅組織MuddyWater。該組織于今年5月部署專用服務(wù)器，并于6月成功訪問一臺已被攻陷、承載耶路撒冷實時CCTV視頻流的服務(wù)器。6月23日，當伊朗向耶路撒冷發(fā)射導(dǎo)彈時，以色列當局披露，伊朗軍方正是借助被入侵安防攝像頭提供的實時視覺情報，對導(dǎo)彈目標進行精確修正。

此類攻擊通常采用常見但高度協(xié)調(diào)的技術(shù)手段，包括使用匿名化VPN服務(wù)、自建命令與控制（C2）服務(wù)器、滲透企業(yè)級系

https://cyberscoop.com/amazon-cyber-enabled-kinetic-targeting/

安全事件

員工點擊虛假驗證碼，Akira勒索軟件攻陷全球數(shù)據(jù)公司

一家全球數(shù)據(jù)存儲與基礎(chǔ)設(shè)施公司遭遇嚴重勒索軟件攻擊，起因是一名員工在訪問某汽車經(jīng)銷商網(wǎng)站時，不慎觸發(fā)了偽裝成CAPTCHA驗證的惡意腳本。此次攻擊由以牟利為目的的威脅組織Howling Scorpius（Akira勒索軟件運營方）精心策劃，歷時42天，充分暴露了該企業(yè)在威脅檢測與應(yīng)急響應(yīng)機制上的關(guān)鍵短板。

攻擊初始于ClickFix社會工程腳本——該技術(shù)將惡意載荷巧妙偽裝為常規(guī)安全驗證流程。員工點擊“驗證你是人類”的提示后，系統(tǒng)隨即下載基于.NET的遠程訪問木馬SectopRAT，使攻擊者獲得持久化系統(tǒng)控制權(quán)限。

隨后，攻擊者建立命令與控制（C2）后門，竊取域管理員及高權(quán)限憑證，并通過RDP、SSH和SMB協(xié)議在內(nèi)網(wǎng)橫向滲透。在數(shù)周時間內(nèi)，他們利用WinRAR歸檔機密數(shù)據(jù)，并借助FileZillaPortable外泄近1TB敏感信息。在部署Akira勒索軟件前，攻擊者刻意刪除了托管于云服務(wù)商基礎(chǔ)設(shè)施中的關(guān)鍵備份容器，繼而加密多個網(wǎng)絡(luò)，致使虛擬機大規(guī)模離線，業(yè)務(wù)全面中斷。

盡管該公司部署了兩套企業(yè)級EDR平臺，卻幾乎未對上述惡意活動發(fā)出有效告警。日志雖完整記錄了入侵痕跡、橫向移動路徑及數(shù)據(jù)暫存行為，卻未能轉(zhuǎn)化為可操作的威脅情報。Unit 42《2025年全球事件響應(yīng)報告》指出，75%的同類數(shù)據(jù)泄露事件均存在類似“有日志無檢測”的盲區(qū)。

事后，Unit 42團隊依托Cortex XSIAM重建完整攻擊鏈，并通過直接談判將贖金要求削減近68%。此案例深刻警示：僅堆砌先進安全工具遠不足以構(gòu)筑有效防線；真正的安全韌性，源于精準調(diào)優(yōu)的檢測邏輯、持續(xù)主動的監(jiān)控能力，以及在攻擊者得逞前迅速響應(yīng)的實戰(zhàn)水平。

https://cyberpress.org/akira-ransomware-attack/

暗網(wǎng)現(xiàn)美國防承包商敏感文檔,涉及激光武器與導(dǎo)彈防御技術(shù)

11月19日，Telegram頻道“JRINTEL”發(fā)布消息稱，美國國防承包商雷神技術(shù)公司（Raytheon Technologies）一批標注為“專有信息／競爭敏感／非官方用途”（Proprietary／Competition Sensitive／U/FOUO）的技術(shù)文檔疑似遭非法公開。泄露內(nèi)容涉及美軍多項關(guān)鍵防御系統(tǒng)，包括Quick Kill主動防護系統(tǒng)、HEL POD高能激光吊艙概念以及GL-AIM-9X導(dǎo)彈集成方案。

所披露的文檔顯示，Quick Kill 1.0系統(tǒng)采用有源電子掃描陣列（AESA）雷達，具備360度球形探測能力，可同時應(yīng)對最多8個來襲威脅——涵蓋串聯(lián)戰(zhàn)斗部RPG與反坦克導(dǎo)彈（ATGM），并通過機動式攔截彈配合破片戰(zhàn)斗部實施硬殺傷。單套系統(tǒng)成本約120萬美元，單枚攔截彈造價約6.5萬美元，技術(shù)成熟度已達TRL-7。文檔明確標注該系統(tǒng)源自美國陸軍“未來作戰(zhàn)系統(tǒng)”（FCS）及“地面作戰(zhàn)車輛”（GCV）項目。

發(fā)帖者“jrintel”在消息中流露出顯著的絕望情緒，稱“這可能是我最后一次泄露”，并控訴遭人詐騙致陷入經(jīng)濟困境。盡管其身份與心理狀態(tài)尚無法核實，但此類表述與近年來多起高調(diào)數(shù)據(jù)泄露事件中內(nèi)部泄密者的典型心理特征高度吻合。

目前，相關(guān)文件的真實性尚未獲得獨立驗證，雷神公司亦未發(fā)布官方回應(yīng)。然而，所披露文檔在格式與術(shù)語體系方面與已知公開資料高度一致。若內(nèi)容屬實，此類信息外泄不僅可能暴露美軍裝備的戰(zhàn)術(shù)邏輯與技術(shù)邊界，更或被對手用于開發(fā)針對性干擾手段乃至加速逆向工程進程。

安全專家指出，此次事件再次凸顯國防工業(yè)基礎(chǔ)（DIB）所面臨的嚴峻挑戰(zhàn)：敏感數(shù)據(jù)不僅遭受外部黑客攻擊威脅，更可能因內(nèi)部人員濫用合法訪問權(quán)限而泄露。國防企業(yè)亟需強化零信任安全架構(gòu)，部署細粒度訪問控制、持續(xù)行為監(jiān)控及數(shù)據(jù)防泄漏（DLP）策略，以構(gòu)筑縱深防御體系。

https://mp.weixin.qq.com/s/xoc6tRuYTUESwXHhsIGOlA

Comet瀏覽器MCP API暴露重大風險,用戶設(shè)備控制權(quán)或被劫持

安全研究公司SquareX發(fā)布重要研究,揭露AI瀏覽器Comet存在隱藏API漏洞,允許內(nèi)置擴展執(zhí)行本地命令并完全控制用戶設(shè)備。

研究顯示，Comet實現(xiàn)了一個MCP API(chrome.perplexity.mcp.addStdioServer)，使其嵌入式擴展能夠在用戶設(shè)備上執(zhí)行任意本地命令，這種能力在傳統(tǒng)瀏覽器中明確被禁止。更令人擔憂的是，該API缺乏官方文檔,現(xiàn)有文檔僅說明功能意圖，未披露Comet內(nèi)置擴展擁有持久訪問權(quán)限并可在無用戶許可情況下隨意啟動本地應(yīng)用。

SquareX研究員Kabilan Sakthivel指出："數(shù)十年來,瀏覽器廠商一直遵循嚴格的安全控制,防止瀏覽器尤其是擴展直接控制底層設(shè)備。傳統(tǒng)瀏覽器的本地系統(tǒng)訪問需要native messaging API、顯式注冊表項和用戶同意。Comet為讓瀏覽器更強大而繞過了所有這些安全措施。"

目前該API存在于Agentic擴展中，可被perplexity.ai頁面觸發(fā)。雖無證據(jù)表明Perplexity正在濫用MCP API，但一旦該公司遭遇XSS漏洞、釣魚攻擊或內(nèi)部威脅，攻擊者將立即通過瀏覽器獲得對所有Comet用戶設(shè)備的控制權(quán)。

在攻擊演示中，SquareX團隊利用擴展踩踏技術(shù)偽裝惡意擴展，最終通過MCP API在受害者設(shè)備上執(zhí)行WannaCry勒索軟件。由于這兩個擴展對Comet的代理功能至關(guān)重要，Perplexity將其隱藏在擴展管理面板中，用戶即使發(fā)現(xiàn)威脅也無法禁用。

https://www.cybersecurity-insiders.com/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers/

產(chǎn)業(yè)動態(tài)

預(yù)算削減遇上攻擊升級，2026年網(wǎng)絡(luò)安全面臨雙重擠壓

網(wǎng)絡(luò)安全服務(wù)商Bridewell首席執(zhí)行官Anthony Young警告，隨著全球經(jīng)濟壓力加劇及公共與私營部門預(yù)算持續(xù)緊縮，2026年將成為網(wǎng)絡(luò)安全的關(guān)鍵轉(zhuǎn)折點——組織在面臨日益增多的網(wǎng)絡(luò)威脅的同時，卻不得不應(yīng)對防御資源不斷縮減的雙重困境。

Young指出，多年來的預(yù)算壓縮已產(chǎn)生累積效應(yīng)，正通過一系列重大數(shù)據(jù)泄露事件與系統(tǒng)性故障顯現(xiàn)。“眾多組織被迫推遲現(xiàn)代化進程、凍結(jié)招聘并削減防御能力建設(shè)投入，導(dǎo)致安全人員短缺、威脅檢測遲滯、整體韌性削弱，而攻擊者卻愈發(fā)激進且技術(shù)手段日益精進。”

2025年已頻發(fā)多起標志性事件：Oracle Cloud遭遇大規(guī)模入侵，波及逾14萬租戶；Salesloft/Drift發(fā)生嚴重數(shù)據(jù)泄露；捷豹路虎更因網(wǎng)絡(luò)攻擊導(dǎo)致工廠停產(chǎn)數(shù)周。Young強調(diào)，此類事件絕非孤立個案，而是深層結(jié)構(gòu)性風險的集中體現(xiàn)。

Bridewell觀察到一種新興趨勢：除有組織的犯罪團伙與國家支持的攻擊行為外，“休閑式”網(wǎng)絡(luò)攻擊顯著上升。越來越多松散關(guān)聯(lián)的個體——甚至包括青少年——正利用免費工具或AI輔助攻擊套件發(fā)起行動。“這一代人成長于數(shù)字環(huán)境，可輕易獲取開源情報、泄露憑證及自動化攻擊工具。在某些在線社群中，制造混亂所獲得的聲譽回報，往往遠超其感知到的被追責風險。”

Young警示，經(jīng)濟壓力、社會疏離與低門檻攻擊技術(shù)的交織，正催生一種危險的合流態(tài)勢。“網(wǎng)絡(luò)安全如今正承受著與現(xiàn)實世界犯罪相似的社會經(jīng)濟驅(qū)動力。若持續(xù)低估韌性建設(shè)與問責機制的重要性，恐將使網(wǎng)絡(luò)攻擊逐步演變?yōu)橐环N被默許的表達乃至抗議形式。”

https://www.itsecurityguru.org/2025/11/19/bridewell-ceo-gives-cyber-predictions-for-2026/

NSA聯(lián)合CISA發(fā)布新指南，直擊隱蔽網(wǎng)絡(luò)攻擊手法

美國國家安全局（NSA）近日聯(lián)合網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）等機構(gòu)發(fā)布聯(lián)合《網(wǎng)絡(luò)安全信息表（CSI）：防彈防御——減輕防彈托管服務(wù)提供商帶來的風險》，為互聯(lián)網(wǎng)服務(wù)提供商（ISP）和網(wǎng)絡(luò)防御者提供建議指南，旨在應(yīng)對日益猖獗的惡意網(wǎng)絡(luò)活動。

該指南聚焦于識別和阻斷攻擊者常用戰(zhàn)術(shù)，包括利用合法遠程管理工具（如RMM軟件）進行隱蔽滲透、濫用云服務(wù)實施橫向移動，以及通過釣魚郵件投放惡意載荷等手段。NSA強調(diào)，攻擊者常借助受信任的第三方平臺規(guī)避檢測，建議組織加強端點監(jiān)控、實施最小權(quán)限原則，并及時更新憑證策略。指南還提供了具體緩解措施，如限制RMM工具部署范圍、啟用多因素認證及強化日志審計能力，以提升整體防御韌性。

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4336940/nsa-joins-cisa-and-others-to-release-guidance-on-mitigating-malicious-activity/

新品發(fā)布

突破架構(gòu)限制，Seraphic成為首個支持ChatGPT桌面版等Electron應(yīng)用的瀏覽器安全平臺

企業(yè)瀏覽器安全領(lǐng)導(dǎo)者Seraphic宣布推出針對Electron應(yīng)用的原生防護功能,成為業(yè)內(nèi)首個具備此能力的瀏覽器安全平臺，可保護ChatGPT桌面版、Teams、Slack等應(yīng)用。

Seraphic的技術(shù)部署在JavaScript引擎內(nèi)部，使其天然適配AI時代的安全需求。相比SASE、RBI、VDI等傳統(tǒng)方案因架構(gòu)限制難以支持AI和Electron框架，Seraphic從瀏覽器核心層運作,能夠無縫支持Atlas、Comet、Leo等AI瀏覽器及各類AI工具。

該平臺提供內(nèi)聯(lián)DLP、實時可見性和遠程連接等功能，覆蓋托管和非托管設(shè)備。其GenAI儀表板實現(xiàn)了完整的AI活動監(jiān)控，包括提示詞、文件上傳下載及代理行為追蹤,可檢測影子AI、執(zhí)行細粒度訪問控制，并在數(shù)據(jù)離開設(shè)備前進行DLP檢查，對敏感內(nèi)容進行阻止、掩碼或水印處理。

Seraphic的方案無需基礎(chǔ)設(shè)施改造，不影響用戶體驗，為企業(yè)在AI驅(qū)動的工作流程中提供了輕量級的統(tǒng)一控制點,保護敏感數(shù)據(jù)、身份憑證和知識產(chǎn)權(quán)安全。

https://www.cybersecurity-insiders.com/seraphic-becomes-the-first-and-only-secure-enterprise-browser-solution-to-protect-electron-based-applications/

合作電話：18311333376

合作微信：aqniu001