政策法规方面，《网络安全技术 关键信息基础设施安全主动防御实施指南》等9项国家标准公开征求意见。

漏洞预警方面，思科紧急修补了ISE中的一个严重漏洞；CISA将Citrix Bleed 2列为关键威胁，要求机构24小时内修复；VMware修复了Pwn2Own活动中被利用的四个ESXi 0day漏洞；NVIDIA容器工具包漏洞允许提升任意代码执行权限；BIND 9的漏洞可能引发缓存中毒和DoS攻击。

安全事件方面，SonicWall SMA设备遭勒索软件OVERSTEP rootkit攻击；Arkana勒索软件团伙窃取220万客户数据；澳大利亚联合党确认遭遇重大勒索软件攻击，导致数据泄露；泰国劳工部系统被入侵，关键备份遭删除；乌克兰黑客声称对俄罗斯主要无人机供应商发动网络攻击；乌克兰发现“LameHug”恶意软件：利用开源AI生成攻击命令。

风险预警方面，KAWA4096勒索软件浪潮：借用式勒索软件威胁日益增多；超大流量DDoS攻击达到创纪录的7.3 Tbps，瞄准全球主要行业；攻击者仅用500美元的无线电装置即可远程干扰火车系统，甚至引发脱轨；基于PHP的新型Interlock RAT变种利用FileFix投递机制攻击多个行业；两起新的DoS攻击活动利用了超过400万台暴露的设备；黑客活动分子对工业控制系统发起攻击，窃取敏感信息。

产业动态方面，NIST发布OT安全系列初稿，重点关注工业系统中的USB网络风险；澳大利亚采用全球OT网络安全标准，保障能源、水和智能基础设施安全；Meta拒签欧盟AI行为准则，指责法律不确定性妨碍创新；美2026财年国防授权法案草案聚焦网络安全与AI监管分歧。

政策法规

1.《网络安全技术 关键信息基础设施安全主动防御实施指南》等9项国家标准公开征求意见
2025年7月15日，全国网络安全标准化技术委员会归口的《网络安全技术网络安全产品互联互通第5部分：行为信息格式》等9项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，现将该9项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站，如有意见或建议请于2025年9月12日24:00前反馈秘书处。
资料来源：https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

漏洞预警

2.思科修补了另一个严重的ISE漏洞
2025年7月17日，思科周三通知客户，身份服务引擎(ISE)和ISE被动身份连接器(ISE-PIC)中存在另一个严重漏洞，该漏洞可能导致远程代码执行(RCE)。该漏洞编号为CVE-2025-20337，CVSS评分为10/10。思科在其安全公告中指出：“思科ISE和思科ISE-PIC的特定API中存在多个漏洞，可能允许未经身份验证的远程攻击者以root身份在底层操作系统上执行任意代码。攻击者无需任何有效凭证即可利用这些漏洞。”该公司解释说，对用户提供的输入的验证不足可能允许攻击者提交精心设计的 API 请求并获取受影响设备的 root 权限。这些安全缺陷影响思科ISE和ISE-PIC版本3.3和3.4，并已在版本3.3补丁7和3.4补丁2中得到解决。
资料来源：https://www.securityweek.com/cisco-patches-another-critical-ise-vulnerability/

3.CISA将Citrix Bleed 2标记为漏洞，并要求各机构一天之内修复
2025年7月17日，Citrix NetScaler的一个严重漏洞（编号为CVE-2025-5777，又名“CitrixBleed 2”）在概念验证（PoC）漏洞公开前近两周就已被积极利用，尽管Citrix声明没有受到攻击的证据。Citrix Bleed 2是一个评分为9.3严重漏洞，由输入验证不足导致，允许攻击者在登录尝试期间向NetScaler设备发送格式错误的POST请求。GreyNoise于7月9日向美国网络安全和基础设施安全局(CISA)证实，该漏洞已被积极利用，导致网络机构将其添加到已知被利用漏洞(KEV)目录中，并给予联邦机构一天的时间来修补该漏洞。Citrix已发布NetScaler ADC和Gateway版本的补丁，并强烈建议立即升级。
资料来源：http://s92.da526.vip/w/sDo8WK

4.VMware修复了Pwn2Own活动中利用的四个 ESXi 0day漏洞
2025年7月17日，VMware修复了VMware ESXi、Workstation、Fusion和Tools中的四个漏洞，这些漏洞在2025年5月的Pwn2Own Berlin 2025黑客大赛中被利用为0day漏洞。已修补的三个漏洞的严重等级为 9.3，因为它们允许在客户虚拟机中运行的程序在主机上执行命令。这些漏洞的编号分别为CVE-2025-41236、CVE-2025-41237和CVE-2025-41238。第四个漏洞编号为CVE-2025-41239，由于涉及信息泄露，因此评级为7.1。该漏洞也是由REverse Tactics的Corentin BAYET发现的，他在黑客大赛期间利用CVE-2025-41237漏洞进行了连环攻击。这些漏洞在Pwn2Own Berlin 2025黑客大赛中被证明是0day漏洞。
资料来源：http://u32.da526.vip/w/uxug2m

5.NVIDIA容器工具包漏洞允许提升任意代码执行权限
2025年7月17日，NVIDIA发布了关键安全更新，修复了其Container Toolkit和GPU Operator中的两个重大漏洞，这些漏洞可能允许攻击者以提升的权限执行任意代码。这些漏洞被标识为CVE-2025-23266和CVE-2025-23267，影响运行NVIDIA Container Toolkit版本（最高1.17.7）和 GPU Operator版本（最高25.3.0）的所有平台。最严重的漏洞CVE-2025-23266的CVSS v3.1基本评分为9.0，属于严重漏洞。此漏洞存在于用于初始化容器的一些钩子中，攻击者可以利用提升的权限执行任意代码。NVIDIA强烈建议按照官方NVIDIA Container Toolkit和GPU Operator文档中所述安装安全更新。
资料来源：https://cybersecuritynews.com/nvidia-container-toolkit-vulnerability-2/

6.BIND 9漏洞使组织面临缓存中毒和DoS攻击
2025年7月18日，BIND 9 DNS解析器软件中的两个严重漏洞正在影响全球组织，可能造成缓存中毒和拒绝服务攻击。这两个漏洞被标识为CVE-2025-40776 和 CVE-2025-40777，对DNS基础设施构成重大安全风险，特别是对于配置了特定高级功能的解析器。第一个漏洞CVE-2025-40776针对的是配置了EDNS客户端子网(ECS)选项的BIND 9解析器，在CVSS等级上具有8.6的高严重性等级。CVE-2025-40777呈现出不同的威胁载体，通过断言失败实现拒绝服务攻击，CVSS评分为7.5。这些漏洞凸显了维护更新的DNS基础设施的重要性，因为缓存中毒和拒绝服务攻击都可能严重损害组织的安全态势和服务可用性。
资料来源：https://cybersecuritynews.com/bind-9-vulnerabilities/

安全事件

7.SonicWall SMA设备遭勒索软件OVERSTEP rootkit攻击
2025年7月16日，一名威胁行为者一直在部署一种名为OVERSTEP的从未见过的恶意软件，该恶意软件会修改已完全修补但不再受支持的SonicWall Secure Mobile Access设备的启动过程。该后门是一个用户模式的rootkit，允许黑客隐藏恶意组件、保持对设备的持续访问并窃取敏感凭据。谷歌威胁情报小组 (GTIG)的研究人员在攻击中发现了该rootkit，这些攻击可能依赖于“未知的0day远程代码执行漏洞”。该威胁行为者被称为UNC6148，至少自去年10月开始行动，最近一次攻击是在 5 月。虽然研究人员无法确定UNC6148攻击的真正目的，但他们强调了该威胁行为者的活动与部署Abyss相关勒索软件的事件分析中“值得注意的重叠”。
资料来源：http://cp6.dwr2.top/w/1O46c7

8.澳大利亚联合党确认遭遇重大勒索软件攻击和数据泄露
2025年7月17日，由矿业巨头克莱夫·帕尔默领导的联合澳大利亚党(UAP)已确认，该党上个月底遭受网络攻击，导致严重的UAP数据泄露，可能暴露了党员、支持者和其他相关人员的个人敏感信息。UAP在一份官方通知中透露，此次网络攻击发生在 2025年6月23日，并被认定为勒索软件事件。据报道，此次UAP网络攻击涉及未经授权访问该方的服务器，导致大量数据（包括个人记录和机密通信）可能被泄露。UAP数据泄露事件不仅影响了澳大利亚联合党，还影响了其附属组织“爱国者号角”，官方通知中统称为“各政党”。
资料来源：https://thecyberexpress.com/uap-data-breach/

9.泰国劳工部数据遭入侵，备份被删除
2025年7月18日，泰国劳工部网络攻击愈演愈烈，新的爆料显示，一场有预谋的数据泄露事件影响了劳工部的数字基础设施。最初报道的该部网站遭到破坏，现已确认为针对泰国劳工部的全面网络攻击，导致内部系统受损、关键数据加密，并扰乱了政府的正常运作。一名名为Devman的威胁行为者在暗网博客上发帖声称对泰国劳工部网络攻击事件负责。据该帖子称，该组织在超过43天的时间里一直保持对该部网络的访问，且未被发现，在此期间渗透了Active Directory服务器和多个Linux系统。该组织声称窃取了超过 300 GB 的敏感数据，加密了约 2,000 台笔记本电脑，并控制了98台Linux服务器和超过50台Windows服务器。此外，他们还声称已经彻底清除了Active Directory环境并销毁了所有磁带备份，使得数据恢复几乎不可能。
资料来源：https://thecyberexpress.com/thailand-ministry-of-labour-cyberattack-update/

10.乌克兰黑客声称对俄罗斯主要无人机供应商发动网络攻击
2025年7月17日报道，上周，乌克兰情报总局（GUR）策划了针对俄罗斯领先无人机制造商Gaskar Integration的复杂网络攻击。此次行动首先对该公司面向公众的基础设施进行侦察，威胁行为者发现了易受攻击的远程桌面服务和过时的VPN网关。攻击者利用第三方Web应用防火墙的0day漏洞，初步攻入企业网络。进入网络后，他们部署了自定义恶意软件，利用Windows管理规范(WMI)执行横向移动并窃取凭证。
资料来源：http://ww2.da526.vip/w/jkZbUo

11.乌克兰发现“LameHug”恶意软件：利用开源AI生成攻击命令
2025年7月18日报道，乌克兰国家计算机应急响应小组（CERT-UA）发现新型恶意软件“LameHug”，该软件由与俄罗斯情报机构关联的APT28黑客组织部署，专门针对乌克兰安全和国防部门。LameHug通过伪装为ZIP压缩文件的钓鱼邮件传播，实际载荷为用Python开发、通过PyInstaller打包的.pif文件。其最大特点是通过Hugging Face API调用阿里巴巴开源的Qwen2.5-Coder-32B-Instruct大型语言模型（LLM），动态生成在受害主机上执行的命令。IBM X-Force指出，这种使用LLM生成恶意指令的方式可提升攻击灵活性并规避传统防护。APT28已被证实多次对乌克兰及其支持者发起网络攻击，利用邮件账户劫持和漏洞武器化等手段对关键基础设施构成持续威胁。
资料来源：https://www.infosecurity-magazine.com/news/new-lamehug-malware-deploys/

风险预警

12.KAWA4096勒索软件浪潮：借用式勒索软件威胁日益增多
2025年7月16日，KAWA4096勒索软件的名称中包含“Kawa”（日语中意为“河流”），于2025年6月首次出现。该新型威胁的泄密网站风格与Akira勒索软件组织类似，勒索信的格式也与麒麟勒索软件类似，这很可能是为了进一步提升其知名度和可信度。自2025年6月出现以来，KAWA4096已造成至少11人死亡，其中美国和日本是其主要目标。值得注意的是其中五名受害者的信息仍未在该组织的泄密网站上披露。KAWA4096勒索软件拥有多项功能，包括使用信号量进行多线程同步以及加密共享网络驱动器上的文件，这些功能凸显了其在规避检测的同时最大化影响力的理念。
资料来源：http://an2.da526.vip/w/3Q9ZBT

13.超大流量DDoS攻击达到创纪录的7.3 Tbps，瞄准全球主要行业
2025年7月16日，Cloudflare周二表示，它在2025年第二季度抵御了730万次分布式拒绝服务(DDoS)攻击，与上一季度抵御的2050万次DDoS攻击相比大幅下降。2025年第一季度，该公司表示，针对其自身及其他受Cloudflare保护的关键基础设施的持续18天攻击活动，导致了该期间观察到的1350万次攻击。2025年第二季度最引人注目的攻击是一次惊人的DDoS攻击，在45秒内峰值达到每秒7.3太比特(Tbps)和每秒48亿个数据包 (Bpps)。根据 Cloudflare 客户的账单所在国家/地区，中国、巴西、德国、印度、韩国、土耳其、香港、越南、俄罗斯和阿塞拜疆成为受攻击最严重的地区。印度尼西亚、新加坡、香港、阿根廷和乌克兰是DDoS攻击的五大来源地。
资料来源：http://fu6.dwr2.top/w/ivo5bG

14.攻击者使用价值500美元的无线电装置可能会从远处引发火车刹车失灵或脱轨
2025年7月15日，列车尾部和列车头部系统中存在一个已有20年历史的漏洞，可能让黑客触发紧急制动，最终引起了适当的关注。美国CISA警告称，列车尾部 (EoT) 和列车头部 (HoT) 系统之间的基于无线电的连接协议中存在一个严重缺陷，编号为CVE-2025-1727。CISA的公告中写道：“成功利用此漏洞可使攻击者向列车尾部设备发送自己的制动控制命令，从而导致列车突然停止，进而可能导致运行中断或引发制动失灵。”CISA 的公告指出，没有证据表明 EoT/HoT 漏洞被主动利用。标准委员会正在寻求缓解措施，美国铁路协会 (AAR) 则致力于用新设备替换过时的设备和协议。
资料来源：http://aw6.dwr2.top/w/iYuLca

15.基于PHP的新型Interlock RAT变种利用FileFix投递机制攻击多个行业
2025年7月16日，Interlock勒索软件组织背后的威胁行为者已经释放了其定制远程访问木马(RAT)的新PHP变种，这是使用ClickFix变种FileFix进行广泛活动的一部分。Interlock使用NodeSnake（又名Interlock RAT）的行为此前已被Quorum Cyber记录在案，这是 2025 年 1 月和 3 月针对英国地方政府和高等教育机构的网络攻击的一部分。该恶意软件具有持续访问、系统侦察和远程命令执行功能。网络安全公司Check Point发布的一份分析报告中表示，其观察到网络犯罪分子正在积极测试FileFix攻击方法，以用于未来恶意软件的传播。其中包括一个以利用ClickFix技术传播恶意软件加载程序、远程访问木马(RAT)和信息窃取程序而闻名的威胁行为者。
资料来源：https://thehackernews.com/2025/07/new-php-based-interlock-rat-variant.html

16.两起新的DoS攻击活动利用了超过400万台暴露的设备
2025年7月17日，安全研究人员发现超过400万个存在漏洞的互联网主机，这些主机可被用作毁灭性的新型拒绝服务攻击的武器，这是近年来发现的最大的基础设施漏洞之一。这项开创性的研究由鲁汶大学DistriNet的Angelos Beitis和Mathy Vanhoef开展，研究表明，全球数百万台设备接受来自任何来源的未经身份验证的隧道流量，为网络犯罪分子创造了巨大的攻击面。他们对整个互联网进行了全面的扫描，在218个国家和地区发现了3,527,565台存在漏洞的IPv4主机和735,628台存在漏洞的IPv6主机。研究人员建议使用深度数据包检查来检测恶意嵌套隧道数据包，并尽可能阻止未加密的隧道协议。这一发现对互联网基础设施安全敲响了警钟，凸显了在当今互联的世界中，缺乏适当身份验证的遗留协议会如何造成大规模的攻击面。
资料来源：https://gbhackers.com/over-4-million-exposed-devices/

17.黑客活动分子对工业控制系统发起攻击，窃取敏感信息
2025年7月15日，随着受意识形态驱动的网络攻击活动明显演变，黑客行动分子对工业控制系统 (ICS) 的攻击也愈演愈烈。攻击方式已从简单的分布式拒绝服务 (DDoS) 攻击和网站破坏，发展到旨在泄露数据和中断运营的更复杂的入侵。根据Cyble的2025年第二季度威胁形势评估报告，针对 ICS 的攻击，加上数据泄露和基于访问的攻击，目前占黑客活动的31%，高于上一季度的29%。这种上升趋势凸显了威胁行为者技术水平的不断提高，他们利用运营技术 (OT) 环境中的漏洞来篡改监控和数据采集 (SCADA) 系统和人机界面 (HMI)，通常会导致提取敏感遥测数据、配置文件和专有工业协议。类行动不仅威胁国家韧性，而且还通过公开的妥协证据（例如实时ICS操纵的屏幕录像）加剧心理战。随着黑客活动分子不断完善其OT开发工具包，组织必须加强ICS分段、异常检测和威胁情报，以减轻这些充满意识形态色彩的入侵。
资料来源：https://gbhackers.com/hacktivists-launch-attacks-on-ics-systems/

产业动态

18.NIST发布OT安全系列初稿，重点关注工业系统中的USB网络风险
2025年7月16日，美国国家标准与技术研究院(NIST)下属的国家网络安全卓越中心(NCCoE)于周二发布了其新版《运营技术(OT)安全系列》首份出版物的草案。该文件为制造商和OT（运营技术）运营商提供了关于如何管理USB（通用串行总线）存储设备使用的关键指导USB存储设备本质上是一种工具，虽然在隔离环境中传输数据很有用，但如果控制不当，会带来严重的网络安全风险。这份两页的指导文件名为《特别出版物 (SP) 1334：降低OT环境中便携式存储介质的网络安全风险》，强调USB设备通常用于在网络连接受限或被禁止的OT环境中传输数据。但它们也为恶意软件、数据泄露和其他形式的入侵创造了途径。SP 1334强调了物理和逻辑方面的实用控制措施，以减轻这些风险并支持更安全的 OT 运营。
资料来源：http://ti6.dwr2.top/w/1e6clO

19.澳大利亚采用全球OT网络安全标准，保障能源、水和智能基础设施安全
2025年7月15日，澳大利亚刚刚采取了一项重大举措，旨在确保其关键基础设施面向未来发展，并强化其运营技术(OT)网络安全标准。澳大利亚已正式采用国际公认的IEC 62443系列标准作为国家标准（在当地被称为 AS IEC 62443），用于保护运营技术(OT)系统免受网络威胁。这一决定是在保护工业系统的风险比以往任何时候都高之际做出的。从电网和水处理厂到交通系统和医院设备，OT网络构成了国家最关键服务的数字骨干。在这个勒索软件团伙和国家支持的行为体正将维持照明和供水系统作为攻击目标的世界里，澳大利亚的举动不仅及时，而且具有奠基性。这清晰地表明，澳大利亚深知网络战争的真正风险，并已做好准备，加强其工业体系，以抵御任何即将到来的风暴。
资料来源：https://thecyberexpress.com/australia-adopts-ot-cybersecurity-standards/

20.Meta拒签欧盟AI行为准则 指责法律不确定性妨碍创新
2025年7月18日，在欧盟《人工智能法案》正式生效前，欧盟委员会推出《通用人工智能行为准则》（GPAI准则），要求高性能模型提供商自愿承诺透明度、版权保护及系统性风险安全保障。然而，Meta拒绝签署该准则，理由是其引入“法律不确定性”并超出原法规范畴。Meta全球事务负责人卡普兰批评欧盟AI政策“走错方向”，并援引空中客车、西门子等企业的联名信，指其将抑制本地AI产业发展。此前Meta因多次违反欧盟数字市场法和反垄断法遭到巨额罚款。欧盟回应称，不签准则者仍须依法履行AI法案义务，并将接受更严监管。
资料来源：https://www.theregister.com/2025/07/18/meta_declines_eu_ai_guidelines/

21.美2026财年国防授权法案草案聚焦网络安全与AI监管分歧
2025年7月18日，美国国会参众两院分别公布2026财年国防授权法案（NDAA）草案，近9000亿美元预算中重点聚焦网络安全与人工智能监管。参议院版主张加快AI和网络防御部署，要求国防部设立AI监督团队、发展AI沙盒环境，并加强与巴拿马在网络安全方面的合作，同时评估中俄古情报能力。众议院则倾向审慎推进，强调调研AI在军演与作战中应用潜力，设立与以色列的联合新兴技术合作机制，强化军方网络培训，并推动国防采购流程改革。两院草案在策略侧重上存在明显分歧，需经协商统一后交总统签署。
资料来源：http://npmap.baidu.com/001/w/ycLBNV