政策法规方面，《网络安全技术 信息安全管理体系要求》等3项网络安全国家标准获批发布。

漏洞预警方面，思科警告企业软件中存在硬编码凭证；Wing FTP服务器漏洞可导致攻击者完全接管服务器；海康威视applyCT漏洞允许远程执行代码；Sudo漏洞导致Linux系统面临Root权限提升的风险；CISA将CITRIX NETSCALER漏洞添加到其已知被利用漏洞目录中。

安全事件方面，里斯瓦特内特湖大坝遭黑客入侵，关键基础设施面临威胁；澳航数据泄露影响600万客户；西班牙电信公司数据遭黑客泄露；”Dire Wolf”组织针对11国科技制造业发起攻击；Kimusky黑客利用ClickFix技术传播恶意脚本。

风险预警方面，2025年第一季度针对组织的勒索软件攻击激增213%；亲俄黑客组织瞄准西方关键基础设施和工控系统；伊朗网络攻击者可能攻击美国网络和关键基础设施；SCATERED SPIDER入侵航空公司。

产业动态方面，工业安全岌岌可危，相关人员需要关。

政策法规

1.《网络安全技术 信息安全管理体系要求》等3项网络安全国家标准获批发布
2025年7月4日报道，近日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第14号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的3项国家标准正式发布：GB/T 20988—2025《网络安全技术 信息系统灾难恢复规范》、GB/T 22080—2025《网络安全技术 信息安全管理体系要求》、GB/T 45909—2025《网络安全技术 数字水印技术实现指南》；3项标准将于2026年1月1日起正式实施。
资料来源：https://www.secrss.com/articles/80535

漏洞预警

2.思科警告企业软件中存在硬编码凭证
2025年7月3日，思科宣布修补其Unified CM和Unified CM SME通信管理软件中的一个严重漏洞，该漏洞可能允许攻击者以root帐户登录。该问题被标记为CVE-2025-20309（CVSS评分为10/10），其存在原因是企业管理工具包含无法删除或更改的默认静态凭据。据思科公司称，成功利用该漏洞后，var/log/active/syslog/secure中应该会显示root用户的日志条目。企业应该检索这些日志以查找潜在的入侵行为。然而，思科表示，目前尚不清楚该漏洞是否已被利用。
资料来源：http://wy3.dwc1.xyz/w/j0RQc9

3.Wing FTP服务器漏洞可导致攻击者完全接管服务器
2025年7月3日，Wing FTP Server中新披露的一个严重漏洞威胁着全球数千家组织，使攻击者能够通过未经身份验证的远程代码执行(RCE) 实现对整个服务器的接管。该漏洞的编号为CVE-2025-47812，CVSSv4评分最高为10.0，凸显了其严重性和易被利用性。该漏洞源于/loginok.html端点在处理用户名参数时对NULL字节的处理不当。此疏忽导致攻击者能够将任意Lua代码注入用户会话文件。该披露强调了持续渗透测试和外部攻击面管理的重要性，以便在攻击者利用漏洞之前识别和修复漏洞。
资料来源：https://gbhackers.com/wing-ftp-server-vulnerability/?web_view=true

4.海康威视applyCT漏洞允许远程执行代码
2025年7月4日，海康威视广泛部署的安全管理平台applyCT（也称为 HikCentral）中发现了一个新披露的漏洞，漏洞编号为CVE-2025-34067（CVSS 4.0评分10.0）。 这一严重缺陷允许未经身份验证的远程代码执行 (RCE)，使政府、商业和工业领域的无数监控和安全基础设施面临风险。使用海康威视applyCT的组织应立即采取行动，以减轻这一严重风险并保护其基础设施安全。
资料来源：https://gbhackers.com/critical-hikvision-applyct-flaw/

5.Sudo漏洞导致Linux系统面临Root权限提升的风险
2025年7月3日，Sudo命令行工具中最近披露的一个漏洞已存在12年多，它使无数Linux和类Unix系统面临本地权限提升的风险，攻击者无需复杂的漏洞即可获得root访问权限。该漏洞编号为CVE-2025-32462， Stratascale网络研究部门 (CRU)发现，影响Sudo的稳定版(v1.9.0–1.9.17)和旧版(v1.8.8–1.8.32)，Sudo是Linux环境中几乎无处不在的实用程序。CVE-2025-32462目前尚无有效的临时解决方案。建议管理员立即更新至Sudo 1.9.17p1或更高版本，其中host选项现已正确限制为仅用于列表操作。安全团队还应检查其sudoers配置是否使用 Host或Host_Alias指令，并审核所有规则是否存在潜在暴露。
资料来源：https://gbhackers.com/12-year-old-sudo-vulnerability/

6.CISA将CITRIX NETSCALER漏洞添加到其已知被利用漏洞目录中
2025年6月30日，美国网络安全和基础设施安全局(CISA)将Citrix NetScaler漏洞（编号为CVE-2025-6543）添加到其已知被利用漏洞 (KEV) 目录。CVE-2025-6543（CVSS 评分为9.2）是NetScaler ADC和NetScaler Gateway在配置为网关（例如，VPN虚拟服务器、ICA代理、CVPN、RDP 代理）或AAA虚拟服务器时存在的内存溢出漏洞。该漏洞的描述为：“当 NetScaler ADC和 NetScaler Gateway配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器时，内存溢出漏洞会导致意外的控制流和拒绝服务。”它可能导致意外的控制流并可能导致拒绝服务（DoS），从而破坏服务可用性。
资料来源：http://mb5.dwr1.top/w/wJPacI

安全事件

7.里斯瓦特内特湖大坝遭黑客攻击
2025年7月1日，工业网络安全公司Claroty报告称，今年4月挪威一座水坝和养鱼场的控制系统遭入侵，暴露了关键基础设施保护技术的脆弱性。里斯瓦特内特湖水坝一个暴露在网络上的控制面板，用于调节最低水流量，是攻击者的初始入口点。攻陷该控制面板后，攻击者得以绕过身份验证控制，直接访问 OT（运营技术）环境，将关键服务置于风险之中。远程访问、身份验证卫生以及网络物理系统的明确所有权应该成为例行议程，而不是被动的对话。“此类事件并非个例；它们提醒我们，基础控制是运营韧性的基石。”
资料来源：http://a63.dwc1.xyz/w/bGiCNC

8.澳航数据泄露事件影响多达600万客户
2025年7月2日，澳大利亚航空公司澳洲航空通知客户，他们的个人信息可能在针对其一个联络中心的网络攻击中被盗。该国旗舰航空公司表示，该事件是在6月30日黑客入侵呼叫中心使用的第三方平台后发现的。虽然没有入侵澳航系统且航空公司的运营未受到影响，但攻击者设法从受感染的平台窃取了数据。该公司表示，该平台上有600万客户的服务记录，正在继续调查被盗数据的比例，预计数据量会很大。澳洲航空尚未透露有关攻击者的信息，但该事件发生在阿拉斯加航空集团子公司夏威夷航空披露网络攻击几天后，而Mandiant警告称，臭名昭著的黑客组织Scattered Spider目前正将目标瞄准航空和运输业。
资料来源：https://www.securityweek.com/qantas-data-breach-impacts-up-to-6-million-customers/

9.黑客泄露西班牙电信公司数据
2025年7月4日，一名黑客威胁要泄露据称从西班牙电信公司Telefónica窃取的106GB数据，但该公司并未承认此次数据泄露。该威胁行为者泄露了一个2.6GB的档案，该档案解压后有5GB的数据，其中包含20,000多个文件，足以证明此次泄露事件的发生。此次入侵发生在5月30日，黑客声称在防御者撤销访问权限之前，他们已经连续12小时泄露数据。声称对此次攻击负责的黑客名为“Rey”，是Hellcat勒索软件组织的成员，该组织于1月份 通过内部Jira开发和票务服务器对西班牙电信公司 (Telefónica) 实施了另一次入侵。HellCat黑客组织并非新面孔，他们通常专注于攻击Jira服务器。他们已经对多起知名公司发动了攻击。他们声称瑞士全球解决方案提供商Ascom、捷豹路虎、施耐德电气和Orange Group均遭遇了攻击。
资料来源：http://jc2.d1k.top/w/1kh9UE

10.医疗器械制造商Surmodics遭受网络攻击
2025年7月3日，总部位于明尼苏达州的美国领先医疗器械制造商Surmodics于6月5日遭遇网络攻击，导致其IT基础设施部分瘫痪。该公司是美国最大的血管内导管等器械外包亲水涂层供应商，其检测到网络内存在未经授权的访问，并立即关闭了多个系统。在网络安全专家的协助下，Surmodics 已成功恢复关键IT运营，但对受损数据的全面评估仍在进行中。部分系统仍在恢复中。攻击者的身份尚不清楚，据该公司称，没有内部或第三方数据泄露。Surmodics还确认其已购买网络保险，预计将承担大部分与此次攻击相关的费用。
资料来源：https://www.cysecurity.news/2025/07/surmodics-hit-by-cyberattack-shuts-down.html

11.“Dire Wolf”袭击科技和制造业，目标涉及11个国家
2025年7月3日，一个名为Dire Wolf的新组织于上个月成立，其目标已覆盖全球16家企业，主要集中在制造业和科技领域。该组织采用双重勒索技术，并使用针对特定目标定制的加密器。目标来自11个国家，其中泰国和美国报告的事件数量最多。截至本文撰写时，由于未支付赎金，Dire Wolf计划在其网站上公布16名受害者中5人的泄露数据。Dire Wolf 提醒我们，即使像LockBit和Ghost这样的臭名昭著的团伙已被瓦解，新的威胁行为者也层出不穷。建议各组织采取强有力的安全措施，保护端点以阻止初始访问，并修补系统中的漏洞，以避免被利用。
资料来源：https://www.cysecurity.news/2025/07/dire-wolf-gang-hits-tech-and.html

12.Kimusky黑客利用ClickFix技术在受害者设备上运行恶意脚本
2025年7月1日，朝鲜政府支持的黑客组织Kimsuky被发现使用一种名为“ClickFix”的不诚实技术在一系列网络攻击中入侵受害者的机器。ClickFix于2024年4月首次由Proofpoint记录，它通过伪装成合法的故障排除指南或安全文档验证流程来操纵用户执行恶意脚本。这种心理操纵策略通常与 Kimsuky 正在进行的“BabyShark”威胁活动有关，已演变为一种全球威胁，伊朗和俄罗斯的国家支持行为者也采用了这种策略。随着Kimsuky不断改进其方法，2025年6月的一次攻击模仿了韩国门户网站的安全界面，组织必须优先考虑安全意识培训和主动端点保护，以防止在不知情的情况下执行恶意脚本。
资料来源：https://gbhackers.com/kimusky-hackers-employ-clickfix-technique/

风险预警

13.2025年第一季度针对组织的勒索软件攻击激增213%
2025年7月3日，2025年第一季度，针对全球企业的勒索软件攻击增加了213%，74个不同的数据泄露网站报告有2,314名受害者，而2024年第一季度只有1,086个。根据Optiv的全球威胁情报中心(gTIC)的数据，此次激增是在一年相对稳定的攻击数量之后出现的，与2024年第四季度的1,782名受害者相比发生了显著变化。报告强调，勒索软件变种数量增加了32%，从2024年第一季度的56种增加到今年的74种，这主要是由于新变种的出现和品牌重塑。值得注意的是，自2022年以来，Cl0p、RansomHub和Akira已经取代LockBit成为受害者数量最多的勒索软件。勒索软件活动的急剧增加涉及所有垂直行业，其中工业、消费周期性和科技行业成为最受攻击的行业，后两者遭受的攻击数量与去年相比增加了三倍多。
资料来源：https://gbhackers.com/ransomware-attacks-on-organizations-surge-213//

14.亲俄黑客组织瞄准西方关键基础设施和工控系统
2025年7月3日，2025年的网络犯罪格局因俄乌战争引发的地缘政治动荡而发生了巨大变化。Intel471在一份详细报告中概述了亲俄黑客组织如何持续对乌克兰、北约盟友以及西方关键基础设施发动数字攻击，这些组织通常直接回应政治动态，发动一波又一波的DDoS攻击、数据破坏和数据泄露。虽然大多数黑客行动主义的手段都很基础，例如DDoS攻击或网站篡改，但英特尔471警告称，针对工业控制系统 (ICS) 的攻击正变得越来越大胆。
资料来源：http://pb4.dwc2.xyz/w/111reV

15.伊朗网络攻击者可能攻击美国网络和关键基础设施
2025年7月1日，美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国防部网络犯罪中心(DC3)和国家安全局(NSA) 发布的联合警报警告称，与伊朗有关的网络行为者（包括与政府有关联的特工和黑客组织）可能正在准备针对脆弱的美国基础设施和网络发动有针对性的攻击。2023年11 月至 2024年1月期间，与伊朗伊斯兰革命卫队 (IRGC) 有关的网络攻击者瞄准了以色列制造的工业控制系统 (ICS)，危及了美国水、能源、制造和医疗保健领域的数十名受害者。本情况旨在提醒我们，地缘政治变化并不一定意味着网络和平。
资料来源：http://tu4.dwc2.xyz/w/uA4NOM

16.SCATERED SPIDER入侵航空公司
2025年7月4日，根据CrowdStrike Services的最新报告，名为SCATTERED SPIDER的电子犯罪团伙最近将目标从保险和零售业扩展到了美国的航空公司。该团伙高度适应性强且持续性强，尤其擅长语音钓鱼和云基础设施入侵，使其成为2025年威胁格局中最强大的网络犯罪集团之一。 2025年第二季度，他们的活动范围覆盖了美国的保险和零售公司，并在6月底对航空系统进行了大规模入侵。CrowdStrike总结，“ SCATTERED SPIDER的主要目标是将勒索软件部署到受害者的VMware ESXi 基础架构”，但他们的数据盗窃、横向移动和网络钓鱼能力使他们成为能够造成大规模破坏的多管齐下的威胁。各组织必须注意，尤其是航空、零售和保险行业的组织，强化服务台程序，增强对SaaS平台的监控，并锁定VMware和云环境以防止渗透。
资料来源：http://rm5.dwr1.top/w/8FuvzQ

17.工业安全岌岌可危，相关人员需要关注
2025年7月3日，Forescout的调查显示，44%的工业组织声称拥有强大的实时网络可视性，但近60%的组织对其OT和IoT威胁检测能力信心不足甚至没有信心。数字化增强了设备间的互联互通，改变了工业环境，从而增加了网络风险。日益加剧的地缘政治紧张局势进一步加剧了这些挑战，要求企业采取更细致、更具战略性和更综合的安全措施，在保护关键资产的同时维持运营。Forescout OT/IoT垂直领域及战略副总裁Christina Hoefer表示：“对OT和IoT威胁检测的信心不足是一个警示信号，而不仅仅是一个统计数据。对于管理复杂、高风险环境的工业企业而言，提升检测能力意味着所有设备的可视性、监控OT网络，以及在符合运营需求的安全控制方面进行战略性投资，以降低风险并实现有效的事件响应。”
资料来源：https://www.helpnetsecurity.com/2025/07/03/ot-iot-threat-detection-confidence/