政策法规方面，欧盟发布《数字综合法案》提案，为 AI 设立创新友好规则、简化网络安全要求、优化隐私保护框架、更新 Cookie 使用规则并改善用户体验，以及完善数据获取机制。孟加拉国正式颁布《个人数据保护条例》，强制本地化存储并限制跨境传输，同时赋予数据主体更正权，并要求对数据受托人进行定期审计。

漏洞预警方面，美国CISA发布警告称，Oracle身份管理器存在零日漏洞，已被攻击者在活跃利用中针对企业环境发起攻击；俄罗斯关联高级持续性威胁组织Water Gamayun利用“MSC EvilTwin”零日漏洞实施隐蔽后门攻击，实现长期潜伏与信息窃取。同时，研究人员披露多款企业与个人系统漏洞：NVIDIA DGX Spark存在安全缺陷，攻击者可借此执行恶意代码或发起拒绝服务攻击；华硕MyASUS漏洞可使黑客升级至系统级权限，进一步控制设备；vLLM框架漏洞允许攻击者通过精心构造的恶意载荷进行远程代码执行。

安全事件方面，美国多地紧急警报系统遭勒索软件攻击中断，迫使机构启用备用通知渠道。佳能确认其子公司因 Oracle EBS 漏洞遭黑客攻击，而Mazda则声明同类攻击未对系统或数据造成实质影响。俄罗斯总参谋部情报总局下属29155部队利用 SocGholish 平台对美国企业发动网络间谍行动。英国多家伦敦议会遭网络攻击，电话和在线服务中断，启动紧急应对机制。日本朝日集团遭勒索软件攻击，约200万条个人信息可能泄露，影响客户及员工。西班牙航空公司伊比利亚航空则提醒客户，其外部供应商系统遭未经授权访问，部分客户信息可能泄露。

风险预警方面，网络攻击组织Bloody Wolf组织扩大了针对中亚地区的Java版NetSupport RAT攻击，继续对远程系统进行远控与信息窃取。ShadowV2僵尸网络利用AWS故障窗口尝试对全球物联网设备进行攻击，测试其攻击能力。安全研究还发现，新型“Shai-Hulud”供应链攻击导致640个NPM软件包被感染，可能影响依赖这些包的开发项目和应用安全。此外，ClickFix攻击通过伪造Windows更新界面，并结合PNG隐写技术投递窃密木马，实现隐蔽感染。

政策法规

1.欧盟发布《数字综合法案》提案
2025年11月27日，据报道，2025年11月19日，欧盟委员会发布《数字综合法案》提案（以下简称“该提案”），旨在通过简化现有规则促进数字经济发展。该提案核心包括五方面修订：创新友好的AI规则、简化网络安全、优化隐私框架、更新Cookie规则以改善用户体验、改善数据获取。配套措施包括发布《数据联盟战略》和推出“欧洲企业钱包”以降低行政成本。然而，该提案因被批评为“系统性削弱GDPR”而引发争议，民间组织NOYB指出，提案可能侵犯隐私和个人权利，并指出这一修改缺乏欧盟内部的支持。
资料来源：https://www.secrss.com/articles/85463

2.孟加拉国颁布《个人数据保护条例》
2025年11月26日报道，孟加拉国总统于2025年11月6日正式颁布《个人数据保护条例》（PDPO），除关于首席数据官任命及执法处罚条款外，其余内容已于当日生效。该条例适用于境内数据处理活动，以及境外实体向孟加拉国数据主体提供商品、服务或进行监控的行为，且明确将已故自然人的个人数据纳入保护范围。PDPO将儿童定义为18岁以下人群，要求处理敏感数据（包括实时地理位置、犯罪指控等）须取得明确同意，并设定了若干豁免情形。条例引入“全系统传播”机制，强制在更正核心数据后自动同步至所有相关机构，并要求变更记录存入不可篡改账本。尤为突出的是，PDPO规定所有境外云存储必须在孟境内保留实时同步副本，政府可因国家利益要求60日内停用境外服务；大规模跨境传输敏感身份数据（如NID、DNA）须事先获监管批准。此外，条例授权征收“数据税”，并对特定数据受托人实施强制性外部审计。
资料来源：https://www.secrss.com/articles/85450

漏洞预警

3.CISA警告Oracle身份管理器零日漏洞遭活跃利用
2025年11月22日，美国网络安全与基础设施安全局（CISA）于11月21日将Oracle Identity Manager中的一个关键零日漏洞CVE-2025-61757（CVSS评分9.8）列入其“已知被利用漏洞目录”（KEV），并确认该漏洞正遭活跃攻击。该漏洞源于缺失对关键功能的身份验证，影响版本12.2.1.4.0和14.1.2.1.0，可导致未经认证的远程代码执行。研究人员Adam Kues与Shubham Shah发现，攻击者可通过在URI末尾添加“?WSDL”或“;.wadl”绕过安全过滤机制，进而访问受保护API端点。结合向“/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus”发送特制POST请求，可利用Groovy编译时注解实现代码执行。SANS研究所分析蜜罐日志显示，2025年8月30日至9月9日期间已有多个IP（如89.238.132.76等）使用相同User-Agent发起探测，表明该漏洞在Oracle 10月发布补丁前已被作为零日利用。
资料来源：https://thehackernews.com/2025/11/cisa-warns-of-actively-exploited.html

4.俄罗斯APT组织Water Gamayun将“MSC EvilTwin”零日漏洞武器化，用于隐蔽的后门攻击
2025年11月27日，安全研究机构发现，一个与俄罗斯相关的高级持续性威胁组织Water Gamayun正在利用MSC EvilTwin漏洞针对高价值目标网络展开隐蔽、分阶段的恶意入侵行动。该攻击首先通过SEO投毒或搜索引擎搜索关键词（例如“BELAY”）将受害者重定向到伪装网站，诱使其下载一个伪装成PDF的double-extension RAR压缩包，一旦用户解压并执行，就通过MSC EvilTwin漏洞将恶意代码注入系统关键进程mmc.exe，从而无声启动一系列隐藏的PowerShell脚本和恶意载荷。攻击链最终部署加载器（loader，例如“ItunesC.exe”），再进一步安装后门或信息窃取工具，包括可能为SilentPrism、DarkWisp、Rhadamanthys等。恶意软件具有高度隐蔽性：它们通过合法系统工具执行、混淆载荷、使用加密 C2 通信、隐藏网络活动，并维持长期潜伏。鉴于该漏洞虽已获补丁，但攻击依然活跃，建议相关机构立即排查系统中是否存在受影响的.msc文件／mmc.exe异常行为，更新补丁，严格限制用户执行下载内容，并强化对社会工程和恶意压缩包的安全意识与检测。
资料来源：http://yb3.d1k.top/w/anErjZ

5.NVIDIA DGX Spark漏洞允许攻击者执行恶意代码和DoS攻击
2025年11月27日，NVIDIA近日发布紧急安全更新，修复其DGX Spark AI工作站中发现的14个固件级漏洞，其中最严重的CVE-2025-33187 CVSS评分高达9.3。这些漏洞存在于SROOT、OSROOT及硬件资源控制等多个固件组件中，影响所有运行OTA0之前版本的DGX Spark GB10设备。攻击者若具备本地访问权限，可利用这些漏洞绕过安全机制、篡改硬件控制、访问片上系统（SoC）受保护区域，进而实现恶意代码执行、信息泄露、数据篡改、拒绝服务或权限提升。部分漏洞甚至无需特权即可触发。NVIDIA Offensive Security Research团队发现并披露了上述问题。公司已通过最新DGX OS OTA0更新一次性修复全部14个CVE，并敦促用户立即从官网下载安装。鉴于DGX Spark广泛用于AI模型训练与敏感数据处理，NVIDIA强调此次更新对防止系统被深度渗透至关重要。
资料来源：https://cybersecuritynews.com/nvidia-dgx-spark-vulnerabilities/

6.华硕MyASUS漏洞允许黑客升级至系统级访问权限
2025年11月26日，华硕（ASUS）披露其MyASUS应用程序中存在一个高危本地提权漏洞（CVE-2025-59373），CVSS 4.0评分为8.5。该漏洞位于MyASUS核心组件“ASUS System Control Interface Service”中，允许已具备低权限本地访问的攻击者提升至Windows SYSTEM级别权限，从而完全控制受影响设备。攻击复杂度低、无需用户交互，且仅需最小权限即可触发，对设备的机密性、完整性与可用性构成严重威胁。受影响产品包括所有搭载MyASUS应用的华硕个人电脑，涵盖笔记本、台式机、NUC及一体机等。华硕已发布修复版本：x64系统需升级至ASUS System Control Interface 3.1.48.0，ARM设备则需更新至4.2.48.0。用户可通过MyASUS设置中的“关于”页面查看当前版本，并通过Windows Update获取补丁。鉴于该漏洞在企业环境中可能成为横向移动跳板，华硕强烈建议用户立即更新，并呼吁安全团队监控可疑活动。
资料来源：https://cybersecuritynews.com/asus-myasus-flaw/

7.vLLM漏洞可通过恶意载荷实现远程代码执行
2025年11月24日，安全研究人员披露，开源大语言模型推理框架vLLM在0.10.2及以上版本中存在一个高危内存破坏漏洞（CVE-2025-62164），CVSS评分为8.8。该漏洞位于entrypoints/renderer.py文件第148行的张量反序列化逻辑中，因使用torch.load()处理用户提交的prompt embeddings时缺乏充分验证，结合PyTorch 2.8.0默认禁用稀疏张量完整性检查的变更，攻击者可构造恶意嵌入触发to_dense()转换过程中的越界写入，导致服务崩溃或远程代码执行。任何能访问Completions API端点的用户（无论是否认证）均可利用此漏洞，对部署vLLM的生产环境、云服务或共享基础设施构成严重威胁。vLLM项目已在GitHub Pull Request #27204中修复该问题，建议用户立即升级至含补丁版本。临时缓解措施包括限制API访问权限及在请求到达vLLM前对prompt embeddings实施输入验证。该漏洞由AXION安全研究团队发现并负责任披露。
资料来源：http://t73.d1k.top/w/Xbm7aZ

安全事件

8.勒索软件攻击致美国多地紧急警报系统中断
2025年11月27日，一起勒索软件攻击事件导致美国多个州的地方紧急警报系统（LEAS）服务中断，影响范围覆盖至少五个州。该系统由第三方供应商Everbridge运营，用于在自然灾害、公共安全威胁等紧急情况下向公众发送警报。攻击发生于11月25日，Everbridge确认其部分内部系统遭入侵，为遏制威胁主动断开受影响服务，致使地方政府无法通过LEAS平台发布紧急通知。截至目前，攻击者身份及所用勒索软件类型尚未公开披露，亦无证据表明攻击造成数据泄露。Everbridge表示正与联邦执法机构及网络安全专家合作调查，并已启动恢复流程。部分地方政府已启用备用通信渠道维持应急响应能力。安全专家指出，此次事件凸显关键基础设施对单一商业供应商的高度依赖所带来的系统性风险，呼吁加强供应链安全审查和业务连续性规划。美国网络安全与基础设施安全局（CISA）已介入评估潜在国家层面影响。
资料来源：http://g92.d8k.top/w/VKWN0y

9.佳能称其子公司受Oracle EBS黑客攻击影响
2025年11月27日，佳能公司证实其一家子公司受到近期针对Oracle电子商务套件（E-Business Suite，EBS）的供应链攻击影响。此次攻击最初由安全公司WithSecure于11月披露，攻击者通过入侵一家为Oracle EBS提供第三方支持服务的美国公司，植入恶意后门，进而横向渗透至使用该服务商的客户系统。佳能表示，受影响子公司部分内部系统出现异常活动，目前已隔离相关环境并配合执法部门调查。尽管尚未发现客户数据或产品信息泄露，但公司承认部分业务运营短暂中断。WithSecure指出，攻击者在被入侵的Oracle EBS环境中部署了定制化Web Shell和凭证窃取工具，旨在长期潜伏并获取企业财务与人力资源数据。此次事件凸显依赖第三方维护服务所带来的供应链风险，尤其当服务商拥有对核心ERP系统的高权限访问时。佳能强调正加强供应商安全审查，并敦促所有使用Oracle EBS的企业立即审计第三方访问权限、更新补丁并监控异常登录行为。
资料来源：http://y61.d1k.top/w/QHYrCQ

10.俄罗斯总参谋部情报总局下属29155部队利用SocGholish对美企发动网络间谍攻击
2025年11月26日，近期安全机构Arctic Wolf Labs披露，一起2025年9月针对美国某土木工程公司的网络攻击，显示出RomCom恶意软件家族借助SocGholish投放后门，此为首次发现RomCom通过SocGholish平台交付载荷。根据攻击目标公司曾为与乌克兰有密切联系的城市提供工程服务，Arctic Wolf Labs以“中–高可信度”判断，这起行动系GRU Unit 29155发起——这是一支隶属俄罗斯军事情报总局 (GRU) 的进攻型网络情报部队，自2022年以来持续对支持乌克兰的目标发动网络行动。此次事件标志着SocGholish一直被视为网络犯罪分子用于散布勒索软件和木马的“恶意更新”工具 — 正被国家资助的网络间谍组织采纳，用以隐藏针对性攻击。此前SocGholish通常由犯罪组织 (如 TA569) 运营并向勒索软件团体提供初始访问服务，此番与RomCom／GRU的合作，表明网络犯罪与国家级网络战的界线进一步模糊。
资料来源：http://td1.d1k.top/w/DWjj09

11.Mazda声明：Oracle EBS攻击对系统与数据无实质影响
2025年11月28日，近期针对 Mazda的网络攻击引发关注，该公司确认其位于攻击波及名单中，但强调此次事故“未对系统运营或生产造成影响”，并且“目前未确认任何数据泄露”。Mazda与其欧洲分公司的一位代表表示，公司检测到“攻击痕迹”，但其防御机制发挥了作用，成功抵御了破坏行为。对于此次攻击，Mazda已于十月份及时应用Oracle E-Business Suite (EBS) 官方补丁。本次攻击似乎源于EBS中已披露漏洞（包括 CVE-2025-61884 与 CVE-2025-618842），这些漏洞此前由Cl0p勒索软件组织在其公开泄露名单中将 Mazda 与其美洲子公司列为目标。虽然Cl0p将Mazda列为受害组织，但截至目前尚未公开任何被盗数据，也未能证明 Mazda实际发生数据泄露。鉴于Mazda的及时响应与防护得当，包括补丁应用和持续监控，公司认为不太可能向攻击者支付赎金。
资料来源：http://i53.d1k.top/w/nVsmg4

12.多家伦敦议会遭遇网络攻击，服务中断并启动紧急应对机制
2025年11月27日，近日，伦敦多区议会遭遇大规模网络攻击，至少涉及 Royal Borough of Kensington & Chelsea (RBKC)、Westminster City Council 和 Hammersmith & Fulham Council。三家议会共享 IT 基础设施，攻击导致电话线、中断在线服务与内部系统瘫痪，迫使议会启动应急预案以维持关键公共服务运行。RBKC 与 Westminster 表示两家机构已识别出事件原因，但因调查仍在进行中，暂未公布详细信息。截至目前，尚不能确认是否发生数据泄露，但有人指出历史档案可能已被访问或复制，居民个人信息安全尚待核实。与此同时，部分非紧急服务（如网上申请、咨询、缴费等）受到严重影响。多位伦敦议会官员对服务延误和居民不便表示歉意，并承诺将于系统恢复后尽快通报进展。这一事件再次凸显英国地方政府 IT 系统在资源有限、基础设施老旧、部门间系统共享环境下，易成为网络攻击目标的脆弱性。
资料来源：http://pj1.d1k.top/w/VuNcaZ

13.朝日集团网络攻击致近200万条个人信息恐泄露
2025年11月27日，日本饮料与啤酒巨头Asahi Group Holdings（朝日集团）近日确认，其 2025年9月29日遭遇一次严重的勒索软件攻击，造成数据中心多台生产服务器和部分员工PC被加密，系统随后被紧急隔离并断网。攻击者通过被入侵的集团网络设备获取数据中心访问权限，部署勒索软件后实施数据窃取。公司在最新通报中指出，本次事件可能导致约1,914,000条个人资料受到影响。泄露信息可能包括姓名、性别、住址、电话号码、电邮地址、出生日期等，但公司确认“信用卡等金融信息未受影响”。此次攻击导致朝日集团在日本的订单系统、出货流程和客户服务热线大面积中断，啤酒、饮料及食品出货业务暂停，给供应链与物流带来严重影响。该事件反映出即便是大型消费品企业，只要网络防护机制存在薄弱环节，就可能成为勒索软件攻击目标。
资料来源：http://4×2.d8k.top/w/g7obJb

14.西班牙伊比利亚航空提醒客户注意数据泄露
2025年11月24日，西班牙航空公司Iberia（Iberia Airlines）近日向客户发布安全警告——其一家外部供应商系统遭未经授权访问，导致部分客户个人信息可能被泄露。泄露内容主要包括客户姓名、电子邮箱地址以及Iberia Club常旅客卡识别号等基本联系信息。Iberia表示目前没有证据表明客户登录凭证（密码）、支付卡信息或完整支付数据遭到访问或盗取，也无迹象显示被泄露信息已被用于欺诈或滥用。事件曝光后，有网络犯罪团伙声称持有约77 GB Iberia内部数据，正在暗网出售，文件据称包括飞机（如 A320/A321）维修文档、发动机资料、内部签署记录等敏感资料，但该部分内容尚未被官方确认是否与此次供应商漏洞有关。为防范进一步风险，Iberia已启动应急响应机制，与供应商协同加固安全措施，并对客户账户施加更严格的安全控制，比如修改账户邮箱必须进行额外验证、加强系统监控与日志审查，同时已通知相关监管机构与执法部门。公司建议客户警惕身份钓鱼或欺诈行为，若收到可疑邮件、电信或通知，应通过官方渠道核实。
资料来源：http://kp4.d8k.top/w/Rlq3GO

风险预警

15.Bloody Wolf组织扩大针对中亚的Java版NetSupport RAT攻击
2025年11月27日，网络安全公司Group-IB联合吉尔吉斯共和国总检察长办公室下属国家企业Ukuk发布报告指出，名为“Bloody Wolf”的威胁组织自2025年6月起针对吉尔吉斯斯坦金融、政府和信息技术部门发动网络攻击，10月起将目标扩展至乌兹别克斯坦。攻击者通过伪装成吉尔吉斯斯坦司法部，发送含恶意Java归档（JAR）文件的钓鱼邮件，诱导受害者安装Java运行环境以执行加载器，进而下载2013年10月版的NetSupport远程访问木马（RAT）。该加载器基于Java 8构建，疑似使用定制模板生成。攻击链通过创建计划任务、修改注册表及放置启动脚本实现持久化。值得注意的是，针对乌兹别克斯坦的攻击引入地理围栏机制，仅允许境内IP触发恶意载荷下载，境外访问则重定向至合法政府网站data.egov[.]uz。该组织自2023年底活跃，此前曾针对哈萨克斯坦和俄罗斯，使用STRRAT等工具。专家指出，其利用低成本商用工具与社会工程手段，在中亚地区维持高效且低曝光的攻击活动。
资料来源：http://de3.d1k.top/w/1N9MIv

16.ShadowV2僵尸网络借AWS故障窗口试水全球IoT攻击
2025年11月26日，安全研究人员近期披露，一种名为 ShadowV2 的新型僵尸网络，在2025年10月发生的Amazon Web Services (AWS) 大规模故障期间被首次发现，其活动仅在故障期间出现，之后即沉寂，研究者判断这很可能是一次“测试性攻击”。ShadowV2基于经典Mirai架构，专门瞄准IoT设备，包括来自D-Link、 TP-Link、DD-WRT、 DigiEver、TBK等厂商的路由器、NAS、DVR 等设备，借助至少八项已知漏洞（涵盖CVE-2009-2765、CVE-2020-25506、CVE-2022-37055、CVE-2024-10914/10915、CVE-2023-52163、CVE-2024-3721及CVE-2024-53375）进行攻破。感染链以下载脚本 “binary.sh” 为起点，该脚本会从攻击服务器 (81.88.18.108) 获取ShadowV2 主程序并执行，设备一旦被感染就会加入僵尸网络，可对TCP、UDP、HTTP等协议发动大规模分布式拒绝服务 (DDoS) 攻击。虽然ShadowV2的首次“演练”只持续几天，但攻击波及全球，包括美洲、欧洲、亚洲、非洲和大洋洲，覆盖政府、科技、制造、电信、教育、安全服务提供商等多个行业，波及28个国家。研究者警告，此类针对常年在线、固件不再更新的IoT设备发动的攻击，极难被及时察觉。建议立即：为所有支持更新的设备打补丁，淘汰EoL／不再受支持设备，关闭WAN端口远程管理/UPnP服务，对IoT设备与主网络进行隔离，并监控异常外联流量与连接。
资料来源：http://ej1.d1k.top/w/EAC4Wm

17.640个NPM软件包在新“Shai-Hulud”供应链攻击中受到感染
2025年11月25日，安全研究机构警告称，一种名为Shai‑Hulud的“蠕虫”恶意软件在最近一次供应链攻击中感染了约640个npm包。攻击者通过劫持npm维护者账户、发布被植入预安装（pre-install）脚本的“木马”包。一旦开发者安装这些包，恶意脚本便自动扫描系统中存储的npm 认证token、GitHub凭证和云服务密钥（如AWS、GCP、Azure）；如果检测到有效凭证，蠕虫便借此权限将自身注入更多包、重新打包并发布，迅速蔓延。攻击已导致数十万凭证泄露，并造成上万（有报告称25,000+）个仓库被公开暴露敏感信息。多个热门包所属组织受到影响，包括 Zapier、ENS Domains、AsyncAPI、PostHog和Postman。安全专家建议，各组织和开发者应立即：审查并移除受感染包、废弃并更换所有可能泄露的凭证／密钥、禁用CI环境中npm的pre-install/post-install脚本、启用多因素认证（MFA），并对构建流程和代码仓库实施严格监控与日志分析。
资料来源：http://q21.d1k.top/w/cCn6qR

18.ClickFix攻击利用伪造Windows更新界面通过PNG隐写投递窃密木马
2025年11月25日，一种新型ClickFix社交工程攻击正通过高度逼真的伪造Windows安全更新界面诱导用户执行恶意命令。攻击者部署全屏蓝色“Windows Update”进度页面，在“更新完成”后提示用户按下Win+R并粘贴已自动复制到剪贴板的命令。该命令调用mshta.exe加载经十六进制编码的URL，启动多阶段感染链，最终下载经混淆的PowerShell脚本和反射式.NET加载器。最显著特征是使用PNG图像隐写技术：恶意载荷以AES加密形式嵌入PNG像素数据中，加载器通过读取特定颜色通道并应用自定义XOR算法在内存中还原Donut封装的shellcode，随后注入explorer.exe进程。Huntress自2025年10月初起追踪该活动，发现其基础设施频繁使用IP地址141.98.80[.]175及路径如/tick.odd、/gpsc.dat等，并关联域名securitysettings[.]live等。已确认投递LummaC2和Rhadamanthys信息窃取木马。尽管Operation Endgame 3.0于11月中旬打击了Rhadamanthys基础设施，部分ClickFix诱饵页面仍活跃。防御建议包括禁用Windows Run对话框、监控explorer.exe异常子进程及培训用户识别此类社会工程。
资料来源：https://cybersecuritynews.com/fake-windows-security-update-screen/