漏洞预警方面，艾默生设备ValveLink存在漏洞；CISA将Citrix NetScaler ADC和网关漏洞列入已知利用漏洞目录；Fortinet发布FortiWeb严重SQL注入漏洞补丁；施耐德电气系统因漏洞遭受命令注入攻击；RapidFire Network Detective工具暴露敏感数据。CISA还发布了13项工控系统漏洞公告；ServiceNow因ACL配置错误可能导致数据泄露。

安全事件方面，伊朗APT黑客瞄准运输和制造业；Arkana勒索软件团伙窃取220万客户数据；卡巴斯基发现Batavia间谍软件攻击俄罗斯工业；澳航泄露570万用户信息；新日铁遭0day攻击；SafePay勒索软件导致Ingram Micro业务中断；APT36部署Linux恶意软件攻击印度政府；印度黑客组织还针对意大利政府；新型“Batavia”间谍软件锁定俄罗斯大型工业企业发起持续攻击。

风险预警方面，DONOT APT扩大针对欧洲外交部的攻击范围；BERT勒索软件组织通过多个平台瞄准亚洲和欧洲；NightEagle APT利用定制恶意软件和0day漏洞渗透工业系统；日立能源称人工智能电力激增威胁稳定。

产业动态方面，AI 恶意软件通过强化学习可靠绕过 Microsoft Defender，红队测试者仅用1500美元实现；金砖国家拟设AI“实用机构”，呼吁全球防止人工智能滥用与数据剥削。

漏洞预警

1.艾默生设备ValveLink漏洞被披露
2025年7月9日，美国网络安全和基础设施安全局 (CISA) 周二披露了艾默生ValveLink产品中存在的多个硬件漏洞。这些漏洞包括敏感数据以明文形式存储在内存中、保护机制失效、搜索路径元素不受控制以及输入验证不当。艾默生ValveLink SOLO、DTM、PRM 和 SNAP-ON 14.0版本之前发布的所有版本均受这些漏洞影响。CISA在其公告中 详细说明：“成功利用这些漏洞可能允许有系统访问权限的攻击者读取以明文存储的敏感信息、篡改参数并运行未经授权的代码。”相关的5个漏洞已被分配编号：CVE-2025-52579、CVE-2025-50109、 CVE-2025-46358、CVE-2025-48496、CVE-2025-53471。艾默生建议用户将其ValveLink软件更新至ValveLink 14.0或更高版本。CISA敦促各组织采取防御措施，降低漏洞利用风险。这些措施包括：确保控制系统无法通过互联网访问，将控制系统网络和远程设备置于防火墙之后，并将其与业务网络隔离，从而限制网络暴露。
资料来源：http://m41.xx925.vip/w/9fc1nd

2.CISA将CITRIX NETSCALER ADC和网关漏洞添加到其已知被利用的漏洞目录中
2025年7月11日，美国网络安全和基础设施安全局(CISA)增加了Citrix NetScaler ADC和网关，跟踪为CVE-2025-5777，添加到其已知被利用的漏洞 (KEV) 目录。CVE -2025-5777漏洞被称为“CitrixBleed 2”（CVSS v4.0基本分数为9.3），可允许未经身份验证的攻击者窃取会话cookie，类似于过去的严重漏洞。该漏洞是输入验证不足的问题，导致内存过度读取，影响配置为网关（VPN 虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器的NetScaler。CISA命令联邦机构在 2025年7月11日之前修复这些漏洞。
资料来源：http://1m1.xx927.vip/w/Zj7Bfx

3.Fortinet发布FortiWeb严重SQL注入漏洞补丁
2025年7月11日，Fortinet发布了针对影响FortiWeb的一个严重安全漏洞的修复程序，该漏洞可能使未经身份验证的攻击者能够在易受攻击的实例上运行任意数据库命令。该漏洞的编号为CVE-2025-25257，CVSS评分为9.6（满分10.0）。 Fortinet在本周发布的安全公告中表示：“FortiWeb 中SQL命令(‘SQL注入’) 漏洞[CWE-89]中使用的特殊元素存在不当中和现象，可能允许未经身份验证的攻击者通过精心设计的HTTP或HTTPs请求执行未经授权的SQL代码或命令。”作为在应用必要补丁之前的临时解决方法，建议用户禁用HTTP/HTTPS管理界面。由于Fortinet设备的缺陷过去曾被威胁行为者利用，因此用户必须迅速更新到最新版本以降低潜在风险。
资料来源：https://thehackernews.com/2025/07/fortinet-releases-patch-for-critical.html

4.施耐德电气漏洞导致系统遭受操作系统命令注入攻击
2025年7月10日，耐德电气发布了一份关键安全通知，揭露了其EcoStruxure IT数据中心专家 (DCE) 软件（一种可扩展的数据中心设备监控解决方案）中的多个漏洞。详细说明了影响产品8.3版及之前版本的六个严重缺陷。这些漏洞如果被利用，可能会导致未经授权的访问、信息泄露和远程入侵，对关键基础设施环境中的运营连续性和数据安全构成重大风险。最令人担忧的问题之一是CVE-2025-50121，这是一个操作系统命令注入漏洞(CWE-78)，其CVSS v3.1评分为10（严重），CVSS v4.0评分为9.5。其余几个漏洞编号分别为： CVE-2025-50122、CVE-2025-50123、CVE-2025-50124、CVE-2025-50125、CVE-2025-6438。这一事件清楚地提醒我们，工业物联网的威胁形势正在不断演变，主动采取安全措施以保护关键基础设施免受复杂的网络威胁的重要性。
资料来源：https://gbhackers.com/schneider-electric-flaws-expose-systems/

5.RapidFire Network Detective漏洞将敏感数据暴露给威胁者
2025年7月11日，安全研究人员在RapidFire Tools Network Detective中发现了两个严重漏洞，该漏洞会将敏感凭证暴露给潜在攻击者。RapidFire Tools Network Detective是Kaseya开发的一款广泛使用的网络评估和报告工具。该漏洞影响使用该工具进行网络安全评估的组织，并可能使威胁行为者能够访问管理凭据并破坏客户端基础设施。攻击者可以通过物理访问、远程入侵或恶意软件访问运行Network Detective扫描的计算机，轻松检索明文管理凭据，而无需解密工具或专业知识。这种访问可以实现横向移动、权限提升以及对扫描基础设施的进一步破坏。安全专家建议消除纯文本密码存储，对敏感数据实施安全散列，并建立控制措施以防止密码工件被写入文件系统。这一发现强调了处理特权凭证的网络评估工具中安全设计原则的重要性。
资料来源：https://gbhackers.com/rapidfire-network-detective-flaws/

6.CISA发布13项有关工业控制系统漏洞和利用的新公告
2025年7月11日，网络安全和基础设施安全局(CISA)发布了13份新的工业控制系统(ICS)警告，重点介绍了一系列影响关键基础设施组件的安全漏洞和潜在漏洞。这些公告涵盖了西门子、台达电子、研华、Kunbus和IDEC等多家知名供应商的产品，反映了面临风险的ICS技术多样化生态系统。西门子是工业自动化领域的主要参与者，在六份咨询报告中被重点提及，涉及SINEC NMS、Solid Edge、TIA Administrator、SIMATIC CN 4100、TIA Project-Server和TIA Portal以及SIPROTEC 5等产品中的问题。台达电子的DTM Soft、研华的iView和Kunbus的RevPi Webstatus等产品以及列车末端和列车头部远程连接协议等专用系统均被标记为存在安全问题。CISA发布这些公告是为了呼吁管理ICS部署的系统管理员、工程师和网络安全专业人员采取行动。
资料来源：https://gbhackers.com/cisa-issues-13-new-advisories-on-ics-vulnerabilities/

7.ServiceNow 漏洞可能通过错误配置的ACL导致数据泄露
2025年7月10日，ServiceNow平台被披露存在一个高危安全漏洞，如果成功利用，可能会导致数据泄露。该漏洞编号为CVE-2025-3648（CVSS 评分：8.2），被描述为通过条件访问控制列表(ACL)规则在Now平台中进行数据推断的案例。该漏洞的代号为“Counter Strike”。针对这些发现ServiceNow引入了新的安全机制，例如查询ACL、安全数据过滤器和Deny-Unless ACL，以应对数据推理盲查询攻击带来的风险。虽然没有证据表明该漏洞曾在野外被利用，但ServiceNow敦促所有客户在敏感表上应用必要的防护措施。
资料来源：https://thehackernews.com/2025/07/servicenow-flaw-cve-2025-3648-could.html

安全事件

8.伊朗APT黑客积极攻击运输和制造业
2025年7月11日，Nozomi Networks Labs报告称，由于当前与伊朗的紧张关系，5月和6月与伊朗知名高级持续威胁 (APT) 组织相关的网络攻击数量惊人地增加了133%。研究人员发现，美国公司是主要目标，包括MuddyWater、APT33、OilRig、Cyber Av3ngers、FoxKitten和Homeland Justice在内的组织将攻击重点放在交通运输和制造业上。美国安全机构敦促关键基础设施运营商对伊朗政府支持或关联的威胁行为者可能发起的网络攻击保持警惕，同时识别并断开运营技术 (OT) 和工业控制系统 (ICS) 资产与公共互联网的连接。鉴于当前的地缘政治紧张局势，这些组织可能在短期内将美国网络和设备作为攻击目标。
资料来源：http://cg1.xx927.vip/w/1sKost

9.Arkana勒索软件团伙声称窃取了220万条客户记录
2025年7月11日，早在今年3月份，Arkana勒索软件组织对美国著名互联网服务提供商WideOpenWest (WOW!)发起了高调攻击，由此闯入网络犯罪领域。该组织大胆宣称已窃取了两个包含约403,000条和220万条客户记录的大型数据库，同时还控制了WOW!的AppianCloud和Symphonica平台等关键后端系统。此次首次行动凸显了Arkana的激进策略，其重点是数据盗窃和勒索，而不是立即加密。组织应实施严格的密码策略、VPN、RDP和管理界面的多因素身份验证(MFA)，同时监控暗网市场是否存在凭证泄露，以防止受到攻击。全面的备份策略，包括离线存储和定期测试，可确保快速恢复而无需支付赎金。
资料来源：https://gbhackers.com/arkana-ransomware-gang-claims-theft/

10.卡巴斯基发现Batavia间谍软件正在针对俄罗斯工业部门发起攻击
2025年7月9日，卡巴斯基的最新研究显示，自2025年3月初以来，俄罗斯各组织对Batavia间谍软件的检测有所增加。这些名为договор-2025-5[dot]vbe、приложение[dot]vbe和dogovor[dot]vbe（分别翻译为“合同”和“附件”）的恶意文件被发现针对多个实体的员工。此次攻击活动的受害者主要为俄罗斯工业企业。卡巴斯基研究人员表示，Batavia 是一款新型间谍软件，于2024年7月出现，主要针对俄罗斯的组织机构。“它通过恶意电子邮件传播：通过点击伪装成官方文档的链接，毫无戒心的用户会下载一个脚本，该脚本会在设备上启动一个三阶段的感染过程。攻击的结果是，Batavia窃取了受害者的文档以及已安装程序、驱动程序和操作系统组件列表等信息。”
资料来源：http://a31.xx927.vip/w/5awmqD

11.澳航数据泄露影响570万人
2025年7月10日，本月初，澳大利亚航空公司澳航披露了一起网络攻击事件，黑客入侵了其呼叫中心使用的第三方平台，窃取了大量客户数据。此次入侵与正在进行的“Scattered Spider”（散落蜘蛛）活动有关，已于周一被发现并控制。澳航确认，虽然该系统目前已恢复安全，但事件中可能仍有大量数据遭到泄露。澳洲航空证实黑客窃取了约 570 万名客户的数据，并已开始勒索以阻止其公布。窃取数据包括姓名、电子邮件、电话号码、出生日期和常旅客号码。但财务数据、护照信息、密码或登录凭证均未遭泄露。6月底，美国联邦调查局报告称，网络犯罪集团Scattered Spider目前正将目标瞄准航空业。
资料来源：http://oh2.da526.vip/w/zF6RMV

12.新日铁解决方案遭遇0day攻击，数据泄露
2025年7月9日，日本新日铁的子公司新日铁解决方案公司（Nippon Steel Solutions）披露了一起数据泄露事件，攻击者利用了0day漏洞。该公司提供云和网络安全服务。新日铁解决方案公司检测到可疑的服务器活动，并隔离了受影响的系统。调查显示，针对网络设备的零日攻击导致未经授权的访问，并可能泄露客户、合作伙伴和员工的个人数据。该公司指出，云服务并未受到影响。
资料来源：http://tz2.da525.vip/w/3CT4TAl

13.SafePay勒索软件攻击导致Ingram Micro业务中断
2025年7月5日，BleepingComputer获悉，IT巨头Ingram Micro持续的宕机是由SafePay勒索软件攻击引起的，该攻击导致内部系统关闭。Ingram Micro是全球最大的B2B技术分销商和服务提供商之一，为全球经销商和托管服务提供商提供包括硬件、软件、云服务、物流和培训在内的一系列解决方案。自周四以来，英迈国际的网站和在线订购系统一直处于瘫痪状态，此次中断是由周四凌晨发生的网络攻击引起的，员工突然发现他们的设备上出现了勒索信。据消息称威胁行为者通过 Ingram Micro 的 VPN 网关获得了访问权限。在更新的新闻声明中，Ingram Micro表示他们已经开始恢复系统在线。
资料来源：http://jz1.xx925.vip/w/j7Jyoo

14.APT36释放Linux恶意软件攻击印度政府
2025年7月7日，巴基斯坦威胁组织APT36（又名“透明部落”）最近直接瞄准了基于Linux的系统，揭示了其网络间谍活动策略的重大演变。根据网络安全公司CYFIRMA的最新报告，该组织已将重点转向利用BOSS Linux，这是一个广泛部署于印度政府机构的发行版。此次行动始于一封伪装成网络安全公告的网络钓鱼邮件。附件的ZIP压缩包名为Cyber -Security-Advisory.zip，其中包含一个伪装成无害快捷方式的.desktop文件。CYFIRMA指出：“这些活动反映了在基于Linux的攻击中观察到的类似策略，利用网络钓鱼电子邮件发送模仿合法网络安全或国防相关建议的PPAM文件。”最新的APT36活动对依赖Linux系统的组织的网络安全态势发出了严厉警告，尤其是在敏感的政府或国防角色中。
资料来源：http://zt2.da525.vip/w/OSMn7o

15.印度网络间谍组织瞄准意大利政府
2025年7月11日，据Trellix称，DoNot APT组织最近针对意大利外交部开展了多阶段网络间谍活动。多家网络威胁情报公司认为该组织来自印度，他们冒充欧洲国防官员，声称自己访问了孟加拉国，并引诱目标用户点击恶意Google Drive链接。Trellix发现的最新一起DoNot APT攻击始于一封来自Gmail地址int.dte.afd.1@gmail[.]com的鱼叉式网络钓鱼邮件，该邮件冒充官方外交信函。攻击目标是意大利外交部门内的一个政府机构。此次攻击的最终目标是在目标基础设施内建立立足点并窃取敏感信息。
资料来源：https://www.infosecurity-magazine.com/news/indian-cyber-espionage-italian/

16.新型“Batavia”间谍软件锁定俄罗斯大型工业企业发起持续攻击
2025年7月7日，Bleepingcomputer网站报道，安全研究人员披露，一种此前未被记录的间谍软件“Batavia”自2024年7月起活跃，通过伪装成合同文件的网络钓鱼邮件瞄准俄罗斯多个大型工业组织。2025年初起攻击强度显著上升，并于2月底达到峰值。攻击流程始于发送带有恶意链接的邮件，诱使用户下载并执行包含Visual Basic编码的恶意脚本（.VBE文件），该脚本会收集受害主机信息并上传至攻击者的命令与控制服务器。随后，受害系统下载基于Delphi开发的“WebView.exe”，伪装合同界面以掩盖窃取系统日志、文档及截屏等数据的行为。数据上传至ru-exchange[.]com服务器，且恶意软件通过文件哈希避免重复上传。最终阶段有效负载“javav.exe”是一个用C++编写的数据窃取工具，会在系统启动时自动执行，进一步扩大目标文件类型范围，涵盖图片、演示文稿、电子邮件、档案及多种文本格式。卡巴斯基指出，可能还存在名为“windowsmsg.exe”的第四阶段载荷，但尚未被捕获。尽管研究人员未明确行动背后的具体目的，结合目标及其功能推断，“Batavia”极有可能是针对俄罗斯工业领域的复杂间谍行动，持续对关键机构进行情报收集。
资料来源：http://er2.da525.vip/w/ofkXc3

风险预警

17.DONOT APT正在扩大针对欧洲外交部的攻击范围
2025年7月10日，DoNot APT可能是一个与印度有关的网络间谍组织，它利用LoptikMod恶意软件攻击欧洲外交部。Donot团队（又名APT-C-35和Origami Elephant）自2016年以来一直活跃，主要针对南亚和欧洲的政府实体、外交部、国防组织和非政府组织。DoNot APT使用定制的Windows恶意软件通过网络钓鱼进行间谍活动，从而实现长期访问和数据窃取。攻击者使用冒充国防官员的鱼叉式网络钓鱼电子邮件针对欧洲外交实体，通过受密码保护的RAR文件传播LoptikMod恶意软件。
资料来源：http://nk2.da525.vip/w/AVfHn2

18.BERT勒索软件组织通过多个平台瞄准亚洲和欧洲
2025年7月7日，BERT（趋势科技将其称为Water Pombero）是一个新出现的勒索软件组织，主要针对Windows和Linux平台，已确认的受害者遍布亚洲、欧洲和美国，主要集中在医疗保健、技术和活动服务领域。该组织的策略包括基于PowerShell的加载器、权限提升和并发文件加密，尽管他们依赖简单的代码库，但仍可以简化攻击执行和规避。新的勒索软件组织可能会不断涌现，重新利用熟悉的工具和代码，同时改进TTP（战术、技术、流程和方法）。企业应密切监控PowerShell滥用和未经授权的脚本执行，尤其是像start.ps1这样禁用安全工具并提升权限的加载器。加强端点保护、限制管理员权限以及隔离ESXi服务器等关键系统，也可以显著降低风险。
资料来源：http://4m1.xx925.vip/w/31N8yE

19.NightEagle APT释放定制恶意软件和0day漏洞，渗透工业系统
2025年7月7日，顶级网络安全公司千盘古在2025年马来西亚国家网络防御与安全展览会暨会议上，突破性地披露了顶级高级持续性威胁（APT）组织“夜鹰”（内部代号为APT-Q-95）的高级攻击活动。自2023年以来，千盘古一直在密切跟踪该组织，该组织在利用未知漏洞和部署定制恶意软件以针对中国高价值行业方面表现出了极高的敏捷性。涵盖高科技、芯片半导体、量子技术、人工智能、军事等领域。夜鹰的主要目标似乎是窃取情报，以外科手术般的精准度执行，然后消除所有渗透痕迹。夜鹰的运作方式以快速切换基础设施为特点，利用大量财务资源获取大量 VPS 服务器和域名，通常每个目标使用一个唯一的域名并使用动态 IP 解析来逃避检测。
资料来源：https://gbhackers.com/nighteagle-apt-unleashes-custom-malware/

20.日立能源称人工智能电力激增威胁稳定
2025年7月7日，日立能源首席执行官向英国《金融时报》表示，运行人工智能训练工作负载的数据中心的需求激增对世界能源稳定构成了重大威胁，各国政府应予以控制。之前有关人工智能数据中心电力使用情况的报告主要集中在其不断上升的能源需求上，但日立能源的Andreas Schierenbeck表示，它们的需求也出现了巨大且不可预测的激增，这使得维持稳定的供应变得困难。他将可再生能源供应不均衡的波动描述为“波动性加剧”，这在其他任何行业都是前所未有的。为了确保人工智能预期的电力需求，谷歌和Facebook母公司Meta Platforms等科技公司一直在投资核能甚至聚变能，但这项技术尚未达到商业可行性。
资料来源：https://www.silicon.co.uk/cloud/ai/hitachi-ai-power-620629

产业动态

21.AI恶意软件通过强化学习可靠绕过Microsoft Defender，红队测试者仅用1500美元实现
2025年7月10日，DarkReading 报道，在即将举行的拉斯维加斯黑帽大会上，Outflank攻击专家Kyle Avery将展示一个强化学习（RL）驱动的恶意软件生成PoC（概念验证），该工具可稳定绕过 Microsoft Defender for Endpoint 的检测。不同于传统依赖大量训练数据的大型语言模型（LLM），Avery的方法依赖可验证的奖励机制，通过反复测试模型输出与EDR响应的关系，引导开源模型Qwen 2.5生成规避恶意软件。其关键策略包括将 Defender 与模型置于沙箱环境中，利用反馈机制优化模型行为，并嵌入 API 查询 Defender 警报结果，从而逐步降低被检测的可能性。最终，该模型生成成功绕过防御的软件的概率达到 8%，远高于Anthropic或DeepSeek等其他模型不到1%的表现。Avery强调，整个过程仅耗时3个月、花费不到1600美元，证明此类定向攻击工具可在中低成本下实现，未来可能被犯罪团体复制。该项目也凸显 AI 强化学习在恶意应用上的潜力与风险，标志着 AI 驱动网络攻击进入实用化阶段。
资料来源：http://dm2.da525.vip/w/YXHxFj

22.金砖国家拟设AI“实用机构”，呼吁全球防止人工智能滥用与数据剥削
2025年7月7日，SecurityLab引述路透社报道，在巴西里约热内卢举行的金砖国家峰会中，人工智能议题成为各国讨论焦点。根据峰会联合声明草案，金砖国家呼吁国际社会防止人工智能技术被未经授权使用，强调应在全球范围内建立对AI数据训练素材的公平补偿机制，矛头直指美欧科技巨头对全球数据资源的垄断。与会国家对当前由发达国家主导的AI训练实践表示担忧，批评其未经授权收集和使用发展中国家用户数据，缺乏回报机制。金砖国家建议推动建立AI“实用机构”——一个类似电力或通信的基础设施平台，用于开发本地化、可控、合规的AI系统。这项构想意在打破美方主导的技术垄断，提升数据主权。此外，会议还强调人工智能在信息安全中的潜力，如用于流量监控、异常检测和攻击阻断，但同时也提醒：AI系统本身可能成为安全隐患，导致个人数据泄露或权限滥用。因此，金砖国家呼吁各方加强监管，明确数据处理的地点、方式与责任人，防止算法演变为漏洞。本次峰会反映出金砖国家在数字主权与技术自主方面的集体立场，意味着全球AI治理或将出现多极化趋势。
资料来源：https://www.securitylab.ru/news/561075.php