中東局勢升級或引發網絡戰；首都網警：警惕“發票陷阱”：境外間諜組織正利用釣魚郵件竊取國家機密 | 牛覽

新聞速覽

• 首都網警：警惕“發票陷阱”：境外間諜組織正利用釣魚郵件竊取國家機密

• 工信部網絡安全威脅和漏洞信息共享平臺：關于防范PyStoreRAT惡意軟件的風險提示

• 你發給ChatGPT的每一條消息，可能正在數據經紀商的數據庫里待價而沽

• 中東局勢升級或引發網絡戰，SentinelOne警告伊朗APT活動或迅速增加

• 14 國聯合圍剿 LeakBase：全球頂級黑產論壇應聲覆滅

• 警惕“攻擊三位一體”：GenAI+DDoS+社會工程，網安從業者必看指南

• 2026年三大高危釣魚攻擊手法曝光

• Tycoon 2FA被端：全球聯合行動摧毀可繞過MFA的釣魚即服務平臺

• 微軟Windows Defender部署工具升級，簡化大規模設備入網管理

• Chrome 發布周期縮至兩周，安全補丁響應再提速

特別關注

首都網警：警惕“發票陷阱”：境外間諜組織正利用釣魚郵件竊取國家機密

2026 年 3 月，首都網警發布預警，境外間諜情報機關借數電票推廣契機，以發票釣魚郵件實施精準網絡攻擊，此類郵件已成為企業數據泄露、國家秘密失竊的重要誘因。

攻擊者精準把握財務報銷結算的時間節點，偽裝成電信、電商等平臺客服，向目標發送含真實姓名的釣魚郵件，以 “逾期作廢”“發票重開” 制造緊迫感，誘導用戶點擊附件或鏈接。郵件附件看似為.pdf、.xlsx 等常規格式，實則捆綁特種木馬程序，還會引導用戶在電腦端打開，放大攻擊效果。

一旦點擊，木馬將快速入侵設備，攻擊者可竊取企業合同、科研成果等敏感數據，監控鍵盤輸入獲取各類憑證信息，甚至遠程操控音視頻設備窺探辦公環境。被控制的設備還會成為內網 “跳板”，攻擊者借此擴大控制范圍，篡改數據、冒用郵箱誘騙他人，甚至癱瘓企業網絡系統，造成多重損失。

針對此類攻擊，國家安全機關給出三級防御方案：首先核查發件人源頭，官方郵箱多含單位專屬域名，釣魚郵件則為公共郵箱后綴；其次辨別細節，警惕捆綁木馬的壓縮包附件，拒絕登錄驗證類彈窗；若不慎點擊，需立即斷網、退出敏感賬號，用殺毒軟件全盤掃描，并向單位網安部門報告，確認遭境外攻擊后通過 12339 渠道舉報。

https://mp.weixin.qq.com/s/3O0eHeeJiN1cJJjrjqyu0w

工信部網絡安全威脅和漏洞信息共享平臺：關于防范PyStoreRAT惡意軟件的風險提示

近日，工業和信息化部網絡安全威脅和漏洞信息共享平臺（CSTIS）監測發現PyStoreRAT惡意軟件持續活躍，其主要攻擊目標為開發者及開源情報（OSINT）從業人員，可能導致數據泄露、系統受控、業務中斷等風險。

PyStoreRAT是一種新型無文件遠程訪問木馬（RAT），自2025年年中起處于活躍狀態。該惡意軟件通過在GitHub投放偽裝成“Spyder開源情報工具”、“HacxGPT”等實用工具的虛假代碼倉庫，并使用人工智能生成圖片與專業文檔增強偽裝，利用開發者對開源社區的信任，誘導用戶運行倉庫內的Python或JavaScript腳本。一旦運行將會觸發隱藏子進程，在后臺靜默下載遠程HTML應用程序文件并通過Windows原生程序mshta.exe執行，啟動感染鏈。感染后，PyStoreRAT可在受感染設備中投放信息竊取器（如“拉達曼迪斯”）、實施勒索、植入間諜軟件，或動態加載EXE、DLL、PowerShell等多種惡意載荷擴大破壞。

PyStoreRAT隱蔽性極強，一是無文件執行，通過HTML應用程序子系統運行，無磁盤痕跡；二是環境感知，內置針對安全工具的規避邏輯，發現安全軟件時用命令行包裝器啟動以切斷關聯；三是模塊化設計使其能動態調整攻擊，還可偽裝成“英偉達應用自動更新”計劃任務（每10分鐘或登錄時運行）長久控制目標系統。

建議相關單位和用戶立即組織排查，更新防病毒軟件，實施全盤病毒查殺，避免運行來源不明的Python或JavaScript腳本，并可通過定期備份數據等措施，防范網絡攻擊風險。

https://mp.weixin.qq.com/s/Yek3qgadP6M9BRomV5YTpg

熱點觀察

中東局勢升級或引發網絡戰，SentinelOne警告伊朗APT活動或迅速增加

2026年3月4日，SentinelOne公司向合作伙伴及客戶發出預警，受美國、以色列對伊朗目標打擊引發的地緣沖突升級影響，伊朗相關機構極有可能加強網絡攻擊力度。伊朗在過去十五年已構建成熟網絡生態，常將網絡操作作為地緣政治危機中的施壓工具。

伊朗相關黑客組織（包括APT34、APT39、APT42及MuddyWater）慣常開展間諜活動、竊取賬號數據、投放破壞性惡意程序，并通過信息戰實施心理施壓，還常以“黑客活動家”名義掩蓋官方關聯。其攻擊目標涵蓋中東及美國的軍事、民用組織、電信企業和高校。

SentinelOne分析，當前沖突升級可能引發三類網絡活動：一是針對以、美國防、政府及情報機構的定點間諜攻擊，多以釣魚郵件、賬號竊取為切入點，進而獲取內部系統戰略信息；二是破壞基礎設施，伊朗曾用DDoS攻擊和破壞性惡意程序襲擊能源、交通及金融服務領域，不排除再次針對美以公共在線服務和市政基礎設施動手；三是信息操縱，通過Telegram等平臺傳播虛假信息、偽造文檔，破壞公眾對政府機構的信任。

值得注意的是，伊朗曾通過漏洞工業控制器攻擊美國凈水系統，未來可能再次發起小規模但影響深遠的基礎設施攻擊。目前暫未發現與近期軍事行動直接相關的網絡攻擊，但SentinelOne警告，伊朗黑客組織活動強度可能在近幾日至幾周內顯著提升。

https://www.securitylab.ru/news/570011.php

2026年三大高危釣魚攻擊手法曝光

據ANY.RUN沙箱分析數據顯示，約90%的現代網絡攻擊始于釣魚，且2026年的釣魚攻擊極少止于“點擊鏈接”，常通過偽裝HTTPS流量和可信平臺，竊取憑證、劫持會話，導致企業排查延遲、升級頻繁。以下是2026年最易突破企業防御的三大釣魚戰術及防御方法。

一是加密攻擊，HTTPS流量成為隱蔽屏障。憑證捕獲、令牌竊取等惡意行為可隱藏在正常HTTPS流量中，導致SOC團隊可見性不足、排查遲緩。ANY.RUN交互式沙箱的自動SSL解密功能，可默認解析HTTPS流量，快速識別惡意行為，有效應對Salty2FA等加密釣魚攻擊。

二是QR釣魚（Quishing），攻擊脫離桌面視野。攻擊者將惡意QR碼嵌入常規郵件，用戶掃描后跳轉至偽造登錄頁，攻擊過程脫離企業郵件網關和桌面監控，易導致身份泄露。通過在分診流程嵌入ANY.RUN沙箱，可模擬用戶行為，解析QR碼背后URL，還原攻擊鏈條。

三是濫用可信平臺，攻擊“偽內部化”。攻擊者利用企業常用云平臺搭建釣魚流程，迫使安全團隊在“信任平臺”與“防范攻擊”間兩難。ANY.RUN沙箱可安全解析可疑鏈接，60秒內呈現攻擊行為，減少對平臺聲譽的依賴，避免過度攔截影響業務。

實踐表明，嵌入該沙箱可使單案例MTTR縮短21分鐘，一級工作量降低20%，一級至二級升級減少30%，幫助企業快速遏制攻擊，降低數據泄露風險。

https://hackread.com/phishing-2026-attack-tactics-beat-enterprise-defenses/

你發給ChatGPT的每一條消息，可能正在數據經紀商的數據庫里待價而沽

2026 年 3 月 4 日，AI 安全專家 Lee S. Dreyburg 披露，多款瀏覽器擴展正通過惡意手段竊取用戶與 ChatGPT、Gemini、Claude、DeepSeek 等 AI 工具的對話內容，并將數據存入商業數據庫對外出售。

這些擴展以免費 VPN、廣告攔截等功能吸引用戶安裝，通過劫持瀏覽器 fetch () 和 XMLHttpRequest () 接口，靜默捕獲所有 prompt 與 AI 回復。數據經 SHA-256 哈希標記后存儲在向量數據庫，通過 API 向企業客戶開放。

Dreyburg 在對大型 GEO 平臺的 205 次查詢中，發現約 490 條獨立 prompt，涉及 435 名用戶，覆蓋 20 類敏感信息，包含抑郁癥、腫瘤、HIV、墮胎等醫療診斷，移民身份、家庭暴力、犯罪記錄、財務債務、性取向等隱私，部分內容受 HIPAA 法案保護。

更嚴重的是，醫護人員將患者真實信息輸入 AI 工具，導致受保護臨床數據泄露；大量職場人士上傳涉密企業文檔，造成商業機密外泄。共享賬號、外包人員使用同款免費 VPN 進一步加劇數據擴散。

盡管數據形式上匿名化，但完整對話文本極易被去匿名化，在當前監管環境下，移民、醫療等信息泄露將帶來直接法律風險。Koi Security 此前報告顯示，已有 800 萬用戶 AI 對話遭此類擴展非法售賣。

https://www.securitylab.ru/news/569998.php

安全事件

Tycoon 2FA被端：全球聯合行動摧毀可繞過MFA的釣魚即服務平臺

2026 年 3 月，歐洲刑警組織（Europol）、Microsoft 聯合 TrendAI?等政企機構開展跨境協作，成功搗毀釣魚即服務（PhaaS）平臺 Tycoon 2FA，查封其超 300 個關聯域名，終結了這一長期威脅全球網絡安全的黑產工具。

Tycoon 2FA 于 2023 年 8 月出現，核心利用中間人（AitM）代理技術繞開傳統多因素認證（MFA），在受害者與真實登錄頁面間搭建代理層，實時捕獲賬號密碼、MFA 驗證碼及會話 Cookie，攻擊者可通過重放 Cookie 接管賬戶。

該平臺采用訂閱模式，降低了網絡犯罪門檻，截至被搗毀時擁有約 2000 名用戶，自上線以來使用過超 24000 個域名，重點針對 Microsoft 365、Google 發起大規模釣魚攻擊，其攻擊域名 51.9% 指向美國。

TrendAI?從 2025 年起持續追蹤該平臺，同年 11 月鎖定開發者為曾從事網頁篡改的 SaaadFridi 與 Mr_Xaad，并向 Europol 提供威脅情報、基礎設施測繪等關鍵數據，成為本次打擊行動的核心支撐。

此次行動印證了單一機構難以應對跨境網絡黑產，政企協同的技術追蹤與執法打擊才是有效手段。但需警惕的是，該平臺的攻擊者或遷移基礎設施重建服務，且已竊取的憑據仍在流通。

企業需構建分層防御體系：部署 TrendAI Vision One?系列安全產品檢測高級釣魚威脅，開啟 URL 與網頁內容檢測，利用 AI 分析識別仿冒郵件，落地身份安全態勢管理，并定期開展釣魚模擬與員工安全培訓，從技術與人員層面筑牢防護屏障。TrendAI?也將持續監控該平臺復活跡象，聯合各方開展后續打擊。

https://www.trendmicro.com/en_us/research/26/c/tycoon2fa-takedown.html

14 國聯合圍剿 LeakBase：全球頂級黑產論壇應聲覆滅

2026 年 3 月 4 日，美國司法部宣布，FBI 聯合 Europol 及全球 14 國執法機構開展跨境行動，成功關停全球頂級網絡犯罪論壇 LeakBase，查封其域名與數據庫，并逮捕多名涉案嫌疑人，打響了本年度跨境打擊網絡黑產的關鍵一戰。

LeakBase 自 2021 年上線，為開放網絡可訪問的英文黑產論壇，擁有 142000 余名注冊成員，是全球規模最大的網絡犯罪樞紐之一。該平臺核心聚焦泄露數據庫與竊取日志交易，存儲數億條被盜賬戶憑據，還包含銀行卡信息、銀行賬戶路由數據、企業敏感記錄及個人身份信息等，相關數據曾關聯多起針對美國企業和個人的重大網絡攻擊。

本次行動由 Europol 在海牙統籌，執法機構于 3 月 3 日啟動全球執法，開展約 100 項執法行動，重點針對平臺 37 名活躍用戶采取管控措施；3 月 4 日完成技術端關停，涉案網站現已展示查封公告。美、澳、比、波等 8 國執行搜查令、實施逮捕及人員問詢，加拿大、德國、希臘等國為調查提供支撐，FBI 圣地亞哥、鹽湖城分局及普羅沃警察局主導美國本土行動。

執法機構查封了平臺完整數據庫，包含用戶賬戶、帖子、私密消息及 IP 日志等關鍵證據，精準鎖定了妄圖匿名操作的涉案人員。此次行動印證了跨境執法協作對打擊網絡黑產的核心價值，也向黑產分子釋放明確信號：網絡空間并非法外之地，匿名操作無法逃避追責。

FBI 與 Europol 均表示，將持續聯合全球伙伴拆解網絡犯罪服務鏈條，對各類數據黑產開展常態化打擊，守護全球企業與個人的數據安全。

https://cyberscoop.com/leakbase-cybercrime-forum-seized/

攻防技術

警惕“攻擊三位一體”：GenAI+DDoS+社會工程，網安從業者必看指南

Cloudflare發布首份《2026年威脅報告》，基于該公司日均攔截2300億次威脅的數據指出，生成式人工智能（GenAI）正推動現代網絡攻擊“根本性重構”，網絡犯罪已實現全面工業化，盈利驅動和國家支持的攻擊者均已采用該技術。

報告詳細記錄了首起AI基攻擊：威脅 actor利用AI定位高價值數據，入侵數百個企業租戶，成為“影響最深遠的供應鏈攻擊之一”。朝鮮組織則利用AI生成深度偽造內容和假身份，繞過招聘篩選，將國家支持的間諜安插至西方企業，且不使用VPN，而是通過本地“筆記本電腦農場”隱藏位置。

除GenAI外，DDoS攻擊和社會工程構成當代網絡犯罪的“邪惡三位一體”。DDoS攻擊已超出人類響應能力，Aisuru等大型僵尸網絡已升級為國家級威脅，可癱瘓整個國家網絡，其最高攻擊速率達31.4Tbps，需完全自主防御系統應對。

Cloudflare威脅情報負責人Blake Darché表示，攻擊者持續迭代戰術，企業需從被動防御轉向實時可操作情報驅動的主動防御，否則將在這場高風險競爭中落后。目前，GenAI已徹底降低甚至消除網絡攻擊的入門門檻，給網安防護帶來全新挑戰。

https://www.techradar.com/pro/security/the-total-industrialization-of-cyber-threats-cloudflare-report-outlines-how-hackers-are-weaponizing-the-internet

產業動態

Chrome 發布周期縮至兩周，安全補丁響應再提速

Google 于周二宣布，自 2026 年 9 月起，Chrome 正式版本發布周期由當前四周縮短為兩周，該調整適用于桌面、Android、iOS 全平臺。

自 2021 年起 Chrome 采用四周大版本更新，2023 年起每周推送安全更新以縮小漏洞暴露窗口。Google 表示，Web 平臺持續演進，更快的發布節奏可讓開發者與用戶更快獲得性能優化、漏洞修復與新功能。

新版本迭代通常包含漏洞補丁，更短周期有助于提升用戶安全與穩定性。Google 稱，盡管發布更頻繁，但單版本更新范圍更小，可降低業務影響并簡化上線后調試，結合流程優化，仍可保持高穩定性標準。

該調整從 Chrome 153 版本（9 月 8 日）開始生效，同步適用于 Beta 通道，Dev 與 Canary 通道不受影響。Chrome Extended Stable 仍保持八周更新，為 Chromebook 用戶提供延長版支持，相關設備管理通道后續將公布更多適配細節。

https://www.securityweek.com/google-plans-two-week-release-schedule-for-chrome/

新品發布

微軟Windows Defender部署工具升級，簡化大規模設備入網管理

微軟Windows Defender部署工具完成更新，新增進度可見性與管控功能，助力管理員大規模管理設備入網流程。該工具可適配不同操作系統，支持各類Windows設備的終端安全，通過將入網包及相關信息嵌入可下載的.exe文件，無需為現代與legacy系統單獨準備入網文件，大幅簡化操作。

此次更新強化了管理員管控能力，若入網包被分享至組織外部可有效降低風險。管理員可使用包含所有必要入網信息的單一可執行文件，無需額外文件；靜默和非交互式選項支持通過組策略或Configuration Manager等工具實現大規模部署。自定義包標識符可追蹤多環境部署，包有效期可設為1年，名稱標識符與密鑰提供額外監管。

Defender門戶新增入口與指引，管理員可從設備庫存頁面直接選擇Windows設備的入網或退網方式。部署工具事件會顯示在設備時間線和高級搜索標簽頁，便于管理員實時掌握入網進度、排查錯誤。

微軟高級安全產品經理Sinclaire Hamilton表示，新部署包頁面可直觀展示組織入網包，點擊可查看詳細屬性，還能按活躍/過期狀態篩選、隱藏無需顯示的包，為未來新增單設備入網遙測數據奠定基礎。該更新工具可通過設置>終端>入網>Windows路徑或直接從設備庫存頁面獲取，入網與退網指南可在Defender門戶新入網頁面查看。此外，Defender部署工具也支持Linux系統。

https://www.helpnetsecurity.com/2026/03/03/microsoft-defender-deployment-tool-for-windows-update/

合作電話：18610811242

合作微信：aqniu001

聯系郵箱：bd@aqniu.com