政策法规方面，我国国务院办公厅关于印发《国务院2025年度立法工作计划》的通知发布；美国考虑2025年重新授权《网络安全信息共享法》。

漏洞预警方面，西门子、施耐德、菲尼克斯电气修复了漏洞；美国CISA将FORTINE漏洞列入已知可利用漏洞目录，并警告多款Fortinet产品存在0day漏洞被利用；此外关键BitLocker漏洞几分钟内被利用；罗克韦尔自动化受高危log4net漏洞影响；这些漏洞均需及时修补以防范潜在风险。

安全事件方面，钢铁制造商纽柯钢铁因网络攻击导致生产中断；新斯科舍电力公司披露3月安全事件引发数据泄露；APT组织利用OUTPUT MESSENGER 0day漏洞攻击伊拉克库尔德军队；英特尔CPU新缺陷可能导致内存泄漏和Spectre v2攻击；匿名黑客窃取美国GlobalX航空公司的航班数据；朝鲜黑客组织TA406开展网络行动，重点关注乌克兰情报。

风险预警方面，Earth Ammit间谍组织使用新型工具攻击政府和关键基础设施；INTERLOCK勒索软件威胁国防工业供应链；Swan Vector APT黑客利用恶意LNK和DLL置入程序攻击组织；黑客利用超过11,600种恶意软件变体攻击工业自动化系统。此外，医疗机构将成为2025年重点目标，破坏IT和OT系统。

产业发展方面，SANS研究所宣布增加资金投入，以加强网络安全人才培养，应对日益严峻的网络威胁。ENISA（欧盟网络安全局）推出新的欧洲漏洞数据库，旨在提升漏洞管理能力，强化整体网络安全防御。

政策法规

1.国务院2025年预备制定网络安全等级保护条例
2025年5月14日，国务院办公厅关于印发《国务院2025年度立法工作计划》的通知中，多项内容和网络与信息安全相关，包括制定政务数据共享条例，预备制定网络安全等级保护条例、终端设备直连卫星服务管理条例，预备修订政府信息公开条例、互联网信息服务管理办法、反间谍法实施细则，推进人工智能健康发展立法工作。此前公安部于2018年6月公布《网络安全等级保护条例（征求意见稿）》对外公开征求意见，时隔7年后，该文件终于迎来新进展。
资料来源：https://www.gov.cn/zhengce/zhengceku/202505/content_7023698.htm5

2.美国考虑2025年重新授权《网络安全信息共享法》
2025年5月16日报道，美国众议院国土安全委员会网络安全和基础设施保护小组委员会成员于周四举行听证会，讨论重新授权支撑国家网络防御的网络安全信息共享活动。2015年《网络安全信息共享法案》将于2025年9月30日到期，促使两党努力重新授权该法案。该法案促进联邦和非联邦实体之间共享网络威胁指标，并提供法律保护以鼓励参与。《2015年网络安全信息共享法案》是关键公私合作项目的基础权威——从CISA的勒索软件特别工作组和通知计划到联合网络防御协作——以及私营部门信息共享组织，如信息共享和分析中心 (ISAC)。
资料来源：http://yu2.9dw7.sbs/cKM2RVi

漏洞预警

3.ICS公告：西门子、施耐德、菲尼克斯电气修复漏洞
2025年5月14日，工业巨头西门子、施耐德电气和菲尼克斯电气已于2025年5月补丁发布了ICS安全公告。虽然公告中描述的大多数漏洞都已被修补，但目前仅针对部分缺陷提供了缓解措施和解决方法。西门子发布了18个新安全公告，其中4个涉及严重漏洞。施耐德电气发布了四份新公告，每份公告涵盖一个漏洞。施耐德的最后一份公告描述了一个高严重性信息泄露漏洞，未经身份验证的攻击者可以利用该漏洞读取Modicon PLC中的任意文件。菲尼克斯电气已通知客户，其部分总线耦合器受到网络扫描中发现的高危DoS漏洞的影响。
资料来源：http://c22.9dw7.sbs/2sreolp

4.美国CISA将FORTINE漏洞添加到其已知可利用漏洞目录中
2025年5月15日， 美国网络安全和基础设施安全局 (CISA) 将Fortinet 多产品基于堆栈的缓冲区溢出漏洞（编号为CVE-2025-32756）添加到其已知被利用的漏洞 (KEV) 目录。本周，Fortinet发布了安全更新，以解决一个关键的远程代码执行零日漏洞（编号为 CVE-2025-32756），该漏洞在针对 FortiVoice企业电话系统的攻击中被利用。该漏洞是一个基于堆栈的溢出问题，影响FortiVoice、FortiMail、FortiNDR、FortiRecorder 和 FortiCamera。远程未经身份验证的攻击者可以利用此漏洞通过恶意构造的 HTTP 请求执行任意代码或命令。
资料来源：http://ps1.9dw7.sbs/Xh36B53

5.CISA 警告：多款Fortinet产品存在0day漏洞被利用的情况
2025年5月15日，在有证据表明五个0day漏洞正在被积极利用后，美国网络安全和基础设施安全局 (CISA) 就影响多款Fortinet产品的五个0day漏洞发出了紧急警告。这些漏洞编号为CVE-2025-32756，影响Fortinet的 FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera 平台，这些平台广泛用于企业环境中的统一通信、电子邮件、网络检测和视频监控。该威胁的核心是一个严重的基于堆栈的缓冲区溢出漏洞（CWE-124），该漏洞允许远程、未经身份验证的攻击者通过向易受攻击的设备发送特制的HTTP请求来执行任意代码或命令。
资料来源：http://ws1.9dw7.sbs/h4Wb1es

6.关键BitLocker漏洞几分钟内被利用：Bitpixie漏洞概念验证公布
2025年5月15日，安全研究人员展示了一种非侵入式方法，只需五分钟即可绕过Windows设备上的Microsoft BitLocker加密，而无需物理修改硬件。Bitpixie漏洞 (CVE-2023-21563) 允许具有短暂物理访问权限的攻击者提取BitLocker加密密钥，从而可能危及缺乏预启动身份验证的公司和消费者设备上的敏感数据。安全研究团队总结道：“Bitpixie漏洞——以及更普遍的基于硬件和软件的攻击——可以通过强制进行预启动身份验证来缓解”，并强调没有这一附加层的默认BitLocker配置仍然容易受到攻击。
资料来源：https://gbhackers.com/bitlocker-encryption-bypassed-in-minutes/

7.罗克韦尔自动化受高危log4net漏洞影响
2025年5月17日，罗克韦尔自动化发布了一项影响FactoryTalk Historian-ThingWorx连接器的关键安全公告，原因是Apache log4net日志框架中存在第三方漏洞。该漏洞编号为CVE-2018-1285，攻击者可利用配置不当的XML解析功能，并可能执行XML外部实体 (XXE) 攻击。该缺陷存在于旧版本的log4net（2.0.10 之前）中，在配置文件解析期间无法正确禁用XML外部实体处理。该漏洞的CVSS基本评分为 9.8，对工业自动化环境构成严重风险，尤其是在日志配置可被操纵的情况下。
资料来源：https://3j1.9dw9.sbs/24poQca

安全事件

8.钢铁制造商纽柯钢铁公司生产因网络攻击而中断
2025年5月15日，钢铁制造商纽柯公司（Nucor Corporation）披露，其近期发现一起网络安全事件，涉及未经授权的第三方访问公司使用的某些IT系统。截至本文件提交之日，出于谨慎考虑，纽柯公司已主动暂停了多个地点的部分生产运营。目前，该公司正在重启受影响的运营。Cobalt首席技术官Gunter Ollmann表示，纽柯钢铁的停产凸显了制造业日益严重的一个问题：关键的暴露点通常未经测试，直到发生泄露事件迫使企业采取应对措施。Ollmann引用Cobalt最新的渗透测试现状报告指出，制造业平均需要122天才能修复漏洞，是所有行业中最长的。
资料来源：http://6y1.9dw8.sbs/NwogK4S

9.新斯科舍电力公司披露三月份安全事件后数据泄露事件
2025年5月15日，新斯科舍电力 公司 (Nova Scotia Power Inc.) 是一家服务于加拿大新斯科舍省的垂直一体化电力公司。今年4月，新斯科舍电力公司（Nova Scotia Power）和Emera电力公司遭遇网络攻击，其IT系统和网络受到影响。两家公司均声明，此次安全事件并未造成任何停电。两家公司并未透露有关此次攻击的技术细节，但专家推测他们已成为勒索软件攻击的目标。本周，该公司披露了4月份安全事件后的数据泄露事件，并透露威胁行为者窃取了敏感的客户数据。
资料来源：http://z11.9dw9.sbs/lCC5p3O

10.APT组织利用OUTPUT MESSENGER 0day漏洞攻击伊拉克境内的库尔德军队
2025年5月13日，一个与土耳其有关联的组织利用Output Messenger 0day漏洞监视伊拉克境内的库尔德军事目标。自2024年4月以来，威胁行为者Marbled Dust（又名Sea Turtle 、Teal Kurma、Marbled Dust、SILICON和Cosmic Wolf）利用Output Messenger中的0day漏洞（CVE-2025-27920）攻击伊拉克境内与库尔德军方有关联的用户，收集用户数据并部署恶意文件。微软研究人员认为，该组织选择这种方法是基于侦察，确认了该应用程序的使用。漏洞CVE-2025-27920是一个目录遍历漏洞，允许攻击者访问目标目录之外的文件，从而可能导致数据泄露。该漏洞影响 2.0.63 之前的 Output Messenger版本。
资料来源：http://te1.9dw8.sbs/2DrsTOo

11.新的英特尔CPU缺陷可导致内存泄漏和Spectre v2攻击
2025年5月16日，苏黎世联邦理工学院的研究人员又发现了一个安全漏洞，他们表示该漏洞会影响所有现代英特尔CPU，并导致它们泄露内存中的敏感数据，这表明名为Spectre的漏洞在七年多之后仍然困扰着计算机系统。苏黎世联邦理工学院表示，该漏洞被称为分支特权注入 (BPI)，“可被利用来滥用CPU（中央处理器）的预测计算，从而获取其他处理器用户未授权的信息访问” 。计算机安全组 (COMSEC) 负责人兼该研究的作者之一 Kaveh Razavi 表示，该缺陷影响所有英特尔处理器，可能使不良行为者能够读取处理器缓存的内容以及同一 CPU 的另一个用户的工作内存。
资料来源：http://ft2.9dw7.sbs/2aI076x

12.匿名黑客窃取美国驱逐航空公司GlobalX的航班数据
2025年5月13日，GlobalX航空公司是一家与美国政府签订合同，负责执行驱逐航班的包机航空公司，近日，该公司遭到自称与“匿名者”组织有关联的黑客攻击。据称，攻击者窃取了包括航班记录和乘客名单在内的敏感信息，并在该航空公司的官方网站上发布带有政治色彩的信息，表达对该公司在备受争议的驱逐程序中所扮演角色的反对。GlobalX泄露的数据和黑客活动信息表明，这是一次出于政治动机的行动，旨在揭露和阻止驱逐行动。
资料来源：http:://1u1.9dw8.sbs/JiVkwnR

13.TA406网络行动：朝鲜关注乌克兰情报
2025年年5月14日，在最近披露的一次攻击活动中，与朝鲜政府结盟的威胁行为者TA406扩大了其网络间谍活动范围，利用网络钓鱼和恶意软件攻击乌克兰政府实体，旨在收集敏感的政治和战略情报。Proofpoint威胁研究团队于2025年2月观察到了此次攻击活动，与此同时，在乌克兰持续不断的战争中，朝鲜加大了对俄罗斯的军事支持。
资料来源：http://2g2.9dw7.sbs/pWp7li7

风险预警

14.Earth Ammit间谍活动利用新工具瞄准政府和关键基础设施
2025年年5月14日，趋势科技的研究人员揭露了一场复杂的网络间谍活动，该活动由名为 Earth Ammit 的威胁行为者策划，自 2023 年底以来一直在精准运作。该组织使用定制的工具库和利用公共云基础设施的隐秘感染链，战略性地瞄准了东南亚、中亚和东欧的政府实体和关键基础设施。Earth Ammit 的长期目标是通过供应链攻击入侵可信网络，从而锁定下游的高价值实体并扩大其影响范围。遭受此类攻击的组织还面临数据盗窃的风险，包括凭证和屏幕截图泄露。
资料来源：http://at1.9dw8.sbs/JQyO1Mm

15.INTERLOCK勒索软件威胁国防工业基础供应链
2025年年5月13日，Resecurity预计勒索软件活动将对国防供应链产生连锁反应。在最近的事件中，Interlock勒索软件通过攻击一家国防承包商，窃取了全球许多其他使用其产品的顶级国防承包商（包括其最终客户）的供应链和运营细节。国防领域公司使用的系统也可能包含机密信息。此类信息将引起外国情报机构、民族国家行为体和高级间谍组织的兴趣，尤其是在局部冲突和持续战争期间。
资料来源：http://jp1.9dw7.sbs/2mpICKX

16.Swan Vector APT黑客利用恶意LNK和DLL植入程序攻击组织
2025年5月13日，一场被称为“天鹅向量”的复杂网络间谍活动已经出现，其目标是东亚各地的组织，特别是台湾和日本的组织。此次行动背后的威胁行为者部署了多阶段攻击链，利用恶意LNK快捷方式和自定义DLL植入来危害教育机构和机械工程公司。攻击始于一个恶意ZIP文件，其中包含一个欺骗性的快捷方式文件和一个伪装的PNG（实际上是DLL植入物）。这些文件利用社会工程策略，伪装成商业文件，文件名为“提款延迟问题和相关交易记录的详细文档.pdf.lnk”。一旦执行，该恶意软件就会部署一个复杂的四阶段感染链，最终导致系统完全被感染。
资料来源：https://cybersecuritynews.com/swan-vector-apt-hackers-attacking-organizations/

17.黑客利用超过11,600种恶意软件变体攻击工业自动化系统
2025年5月16日，2025年第一季度，黑客对工业控制系统（ICS）的攻击力度不断加大，使用的恶意软件种类多达11,679个。这对于工业网络安全而言，是一个令人担忧的发展趋势。深入研究技术领域，数据突显了攻击者策略的显著转变。2025 年第一季度，受到基于互联网的威胁和电子邮件客户端攻击的ICS计算机比例有所上升，这是自2023年底以来的首次增长。在各个行业中，生物识别行业是最受攻击的目标，尽管总体呈下降趋势，但它是唯一报告受影响的ICS计算机数量增加的OT基础设施类型。随着恶意行为者不断适应并利用合法平台和改进技术，工业部门必须优先考虑高级检测、主动缓解和严格的访问控制，以保护关键自动化系统免受这种不断演变的数字攻击。
资料来源：https://gbhackers.com/hackers-target-industrial-automation-systems/

18.攻击者瞄准医疗机构，破坏IT和OT系统
2025年5月14日，民族国家行为者越来越多地将目光投向全球医疗机构，发动复杂的网络攻击，旨在破坏信息技术 (IT) 和运营技术 (OT) 系统。这些攻击通常由拥有大量资源的国家支持的团体策划，对患者安全、数据完整性和关键医疗服务的运营连续性构成严重威胁。网络安全专家警告称，现代医院中IT和OT系统的融合（医疗设备与网络基础设施互连）已形成脆弱的攻击面，对手正在以惊人的精度利用这一攻击面。报告显示，攻击者部署定制恶意软件来获取对OT系统的未经授权的访问，操纵设备设置或使其无法运行，同时加密 IT 网络以索要赎金或在暗网上泄露敏感的患者数据。此外，这些攻击者利用人工智能(AI) 来实现侦察和漏洞发现的自动化，从而加速了攻击的速度和规模，使得许多机构难以跟上不断发展的策略。
资料来源：https://gbhackers.com/nation-state-actors-target-healthcare-institutions/G

产业发展

19.SANS研究所加大资金投入加强网络安全人才培养
2025年5月15日，SANS 研究所宣布将大力扩展其网络学院项目，旨在到 2026 年将全额资助的奖学金数量增加两倍，以应对美国基础设施面临的日益严重的威胁。该项目将每年为 500 名学员提供沉浸式、讲师指导的培训，帮助他们获得 GIAC 认证，并获得学生顾问和职业服务专家的个性化支持，从而开启成功的网络安全职业生涯。
资料来源：http://8y1.9dw7.sbs/HDqKRdq

20.Enisa推出新的欧洲漏洞数据库，以加强网络安全
2025年5月15日，欧洲网络安全局（ENISA）正式启动欧洲漏洞数据库（EUVD），这是一个旨在增强整个欧盟数字安全的突破性平台。该数据库根据 NIS2 指令开发，现已投入运行并向公众开放，旨在汇总、标准化和传播有关影响信息和通信技术 (ICT) 产品和服务的网络漏洞的重要信息。EUVD 的推出标志着欧盟加强网络安全和数字弹性的更广泛战略取得了一项关键成就。
资料来源：https://gbhackers.com/enisa-unveils-new-european-vulnerability-database/