政策法规方面，美国战争部宣布实施新的“网络安全风险管理框架”；CISA及其合作伙伴发布资产清单指南，增强OT系统网络弹性。

漏洞预警方面，CISA针对施耐德电气的漏洞发布了安全建议，警告称DELMIA工厂软件漏洞已被利用，将已利用的XWiki和VMware漏洞添加到KEV目录中； 旧版LINUX内核漏洞在勒索软件攻击中再次出现；未打补丁的思科设备可能感染BadCandy病毒。

安全事件方面，加拿大称黑客篡改了水务设施和石油天然气公司的工业控制系统； 黑客攻击瑞典电网运营商；电通美国子公司MERKLE遭遇网络攻击，员工和客户数据泄露。

风险预警方面，思科Talos识别出QILIN勒索软件攻击激增，预计2025年制造业将遭受最严重打击；在针对乌克兰网络攻击中发现了与沙虫病毒相关的webshell和LOTL策略；施耐德电气和艾默生被指为甲骨文黑客攻击的受害者；QILIN勒索软件的Linux变种通过远程管理工具和自带设备（BYOVD）攻击Windows系统；国家级黑客疑似在供应链攻击中部署新型Airstalk恶意软件；恶意NPM包获取信息窃取程序，适用于Windows、Linux和macOS；俄罗斯勒索软件团伙利用开源AdaptixC2发起高级攻击；VSCode供应链遭到入侵：12个恶意扩展程序窃取源代码并打开远程shell；Agenda勒索软件通过Splashtop在Windows上窃取Veeam凭据；PolarEdge僵尸网络利用物联网漏洞进行攻击。

政策法规

1.全国人大常委会关于修改《中华人民共和国网络安全法》的决定
2025年10月28日，全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定于2025年10月28日由第十四届全国人民代表大会常务委员会第十八次会议通过，自2026年1月1日起施行。《中华人民共和国网络安全法》根据本决定作相应修改并对条文顺序作相应调整，重新公布。相关内容详见链接。
资料来源：http://www.npc.gov.cn/npc/c2/c30834/202510/t20251028_449048.html

2.60多国签署《联合国打击网络犯罪公约》
2025年10月26日，据央视新闻消息，当地时间25日，《联合国打击网络犯罪公约》开放签署仪式暨高级别会议在越南河内国家会议中心举行，60多个联合国成员国签署了这一公约。此次活动的主题为“打击网络犯罪—共担责任—守护我们的未来”，与会嘉宾包括多国领导人与高级代表，以及多个国际和区域组织的代表。联合国秘书长古特雷斯出席开幕式并致辞。越南国家主席梁强主持《联合国打击网络犯罪公约》的签约仪式，来自60多个联合国成员国的代表依次签署了这一公约。公约提出了预防与打击全球网络犯罪的系统性方案，并确保人权原则得到充分尊重。这项全新的全球法律框架旨在通过推动传统刑事侦查手段适应当今信息与通信技术环境，切实加强国际合作，有效打击从儿童色情到跨国网络诈骗和洗钱等网络犯罪。
资料来源：https://www.secrss.com/articles/84354

漏洞预警

3.CISA针对施耐德电气的漏洞发布了安全建议
2025年10月29日，美国网络安全和基础设施安全局(CISA) 在其工业控制系统 (ICS) 安全咨询报告中指出，施耐德电气的EcoStruxure设备存在“资源分配不受限制或节流”的漏洞。该通知还指出，这些设备已部署在全球商业设施、关键制造和能源领域，“成功利用此漏洞可能导致Modicon控制器实时过程数据丢失。”施耐德电气报告称，受影响的产品包括 EcoStruxure OPC UA Server Expert（版本 SV2.01 SP3 之前）和 EcoStruxure Modicon Communication Server（所有版本）。EcoStruxure OPC UA Server Expert存在一个与资源分配无限制或未进行限流相关的漏洞，当向服务器发送大量OPC UA请求时，可能导致拒绝服务。该漏洞的CVE编号为CVE-2024-10085，其CVSS v4 基本评分为 8.2。施耐德电气已制定具体的补救措施，以降低与此漏洞相关的风险。
资料来源：http://mz3.d1k.top/w/SB1jj1

4.CISA警告称DELMIA工厂软件漏洞已被利用
2025年10月29日，美国网络安全机构CISA周二发出警告，DELMIA Apriso工厂软件中最近发现的两个漏洞已被用于攻击。DELMIA Apriso 是由法国达索系统公司开发的制造运营管理 (MOM) 和制造执行系统(MES) 软件，能够管理整个制造过程。被标记为已利用的两个漏洞分别被追踪为 CVE-2025-6204（CVSS评分为8.0）和CVE-2025-6205（CVSS评分为9.1），影响DELMIA Apriso 从2020版到2025版。CVE-2025-6204被描述为一个代码注入漏洞，允许攻击者执行任意代码，而CVE-2025-6205是一个缺少授权的问题，可被利用来获得对应用程序的特权访问权限。据 ProjectDiscovery 称，这两个安全漏洞可以串联起来，创建具有提升权限的帐户，然后将可执行文件放置到 Web 服务目录中。为了查找通过易受攻击的DELMIA Apriso部署可能存在的安全漏洞，组织应检查新创建的特权帐户，并扫描目录中的可执行文件，例如webshell。
资料来源：http://7o3.d1k.top/w/dOR84d

5.CISA将已利用的XWiki和VMware漏洞添加到KEV目录中
2025年10月23日，美国网络安全和基础设施安全局(CISA)将Motex LANSCOPE漏洞（编号为CVE-2025-61932，CVSS v4评分为9.3）添加到其已知被利用漏洞(KEV)目录中。该缺陷是由于对通信通道漏洞来源的验证不当，导致攻击者通过发送特制数据包来执行任意代码。根据具有约束力的运营指令(BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已发现的漏洞，以保护其网络免受利用目录中的漏洞的攻击。专家还建议私人组织审查该目录并解决其基础设施中的漏洞。
资料来源：http://va1.d1k.top/w/KiNALg

6.旧版LINUX内核漏洞在勒索软件攻击中再次出现
2025年10月31日，CISA警告勒索软件团伙利用CVE-2024-1086，这是Linux 内核netfilter: nf_tables中的一个漏洞，于2014年引入，并于2024年1月修复。该漏洞是一个Linux内核释放后使用问题，存在于netfilter: nf_tables组件中，允许攻击者实现本地权限提升。研究人员在Linux内核5.14至6.6版本中演示了本地权限提升漏洞。该漏洞影响Debian、Ubuntu、Fedora和Red Hat 等主要发行版，内核版本从3.15到6.8-rc1均受影响。
资料来源：http://oa2.d8k.top/w/rjgDgm

7.未打补丁的思科设备可能感染BadCandy病毒
2025年10月31日，澳大利亚政府警告称，该国未打补丁的Cisco IOS XE设备正遭受持续的网络攻击，攻击者试图利用 BadCandy webshell 感染路由器。这些攻击利用的漏洞是CVE-2023-20198，这是一个最高级别的漏洞，允许未经身份验证的远程威胁行为者通过Web用户界面创建本地管理员用户并接管设备。思科于2023年10月修复了该漏洞，但该漏洞随后被标记为已被积极利用的漏洞。两周后，一个公开的漏洞利用程序出现，导致大量攻击者利用该漏洞在暴露于互联网的设备上植入后门。澳大利亚当局警告称，基于Lua的BadCandy Web Shell的变种程序在2024年和2025年仍被用于攻击，这表明许多思科设备仍未打补丁。BadCandy一旦安装成功，远程攻击者就可以在受感染的设备上执行具有root权限的命令。
资料来源：http://mh2.d8k.top/w/FLtIdV

安全事件

8.加拿大称黑客篡改了水务设施和石油天然气公司的工业控制系统
2025年10月30日，加拿大网络安全中心警告首席信息安全官和其他决策者，黑客行动主义者正日益将目标对准暴露于互联网的工业控制系统 (ICS)。政府网络安全机构列举了近期向当局报告的几起网络攻击事件。其中一起事件中，黑客攻击了一家供水设施，篡改了水压阀，导致该设施所服务的社区供水质量下降。另一起事件中，黑客篡改了加拿大一家石油天然气公司的自动油罐液位计（ATG），引发了虚假警报。ATG系统经常存在严重的安全漏洞，至少十年来一直是黑客攻击的目标。加拿大网络安全中心分享的第三个案例描述了一起针对农场的攻击，攻击者篡改了谷物烘干筒仓的温度和湿度参数。该机构指出，如果不是及时发现，黑客的行为可能会导致不安全的情况。全球至少有10万台暴露在互联网上的工业控制系统 (ICS) 设备，而且在很多情况下，这些设备很容易被黑客攻击。
资料来源：http://8i4.d8k.top/w/BOay9d

9.黑客攻击瑞典电网运营商
2025年10月28日，瑞典国电网运营商Svenska kraftnät周一证实，该公司遭遇网络攻击，导致数据泄露。 该公司表示，该事件于周六被发现，影响了一个独立的外部文件传输解决方案，但没有影响电网。该国公共事业公司首席信息安全官Cem Göcören表示，此次攻击并未影响该国的电力供应。自得知袭击事件以来，瑞典电力公司（Svenska kraftnät）一直在紧急了解事件的范围和影响。该公司表示，已将此事报告给有关部门。在Everest勒索软件组织将Svenska kraftnät添加到其基于Tor的泄露网站后不久，数据泄露事件就被披露出来，这实际上证实了该威胁行为者应对此事件负责。Everest 声称从电网运营商窃取了大约 280 GB 的数据，并威胁称，除非这家公用事业公司满足其要求，否则将把这些数据泄露到网上。
资料来源：https://www.securityweek.com/hackers-target-swedish-power-grid-operator/

10.电通美国子公司MERKLE遭遇网络攻击，员工和客户数据泄露r
2025年10月30日，日本跨国广告和公关公司电通表示，其美国子公司Merkle遭受网络攻击，导致员工和客户数据泄露，迫使部分系统离线以缓解安全漏洞。“我们检测到集团海外业务中领先的客户体验管理 (CXM) 公司 Merkle 的部分网络出现异常活动。”该公司发布的安全事件通知中写道，“我们立即启动了事件响应程序，主动关闭了部分系统，并迅速采取措施将影响降至最低，目前系统已恢复正常。”作为事件响应计划的一部分，该公司将某些系统离线以减轻攻击影响。电通证实，黑客从Merkle窃取了文件，导致供应商、客户和员工数据泄露，其中包括个人信息、工资单和国民保险信息。受影响的个人已收到通知，并可获得免费的暗网监控服务。目前尚不清楚该公司是否遭受了勒索软件攻击；目前还没有任何勒索软件组织声称对Merkle或Dentsu的攻击负责。
资料来源：http://0d2.d8k.top/w/jOZ2SG

风险预警

11.思科Talos识别出QILIN勒索软件攻击激增，预计2025年制造业将遭受最严重打击
2025年10月30日，思科Talos最新数据显示，2025年下半年，勒索软件组织QILIN继续在其泄露网站上发布受害者信息，每月新增案例超过40例，使其成为全球最活跃、最具破坏性的勒索软件组织之一。制造业仍然是其主要攻击目标，其次是专业和科研服务以及批发贸易。虽然攻击者的身份仍不确定，但部分脚本中包含的字符编码暗示其与东欧或俄语地区存在关联，但这可能只是一个假象。今年，思科Talos已对多起与QILIN勒索软件相关的事件做出了响应。Talos发现攻击者使用开源工具Cyber duck将窃取的文件传输到云服务器，这种方法在QILIN攻击事件中越来越常见。分析日志还显示攻击者使用notepad.exe和mspaint.exe查看敏感数据，这是一种不寻常但蓄意为之的选择，旨在逃避检测。在观察到的QILIN入侵事件中，Talos记录了两种不同的加密器：encryptor_1.exe，它通过PsExec在主机间传播；以及encryptor_2.exe，它从单个系统运行，用于加密多个网络共享。
资料来源：http://xj2.d8k.top/w/FmzA6G

12.在针对乌克兰网络攻击中发现了与沙虫病毒相关的webshell和LOTL策略
2025年10月30日，赛门铁克和Carbon Black威胁猎手团队的最新研究显示，与俄罗斯有关联的攻击者持续攻击乌克兰的组织机构。该团队发现，一家大型商业服务公司遭受了长达两个月的入侵，一家地方政府机构也遭受了为期一周的攻击，这两起攻击的目的都是窃取敏感数据并维持长期访问权限。调查人员发现，攻击者使用了一种定制的、与沙虫病毒关联的Webshell，并大量依赖“借力攻击” （LOTL）技术和双用途工具，在不被检测到的情况下，仅部署少量恶意软件，从而在受感染的网络中保持持久性。“沙虫”（Sandworm）是一个专门针对物联网（IoT）设备发动破坏性攻击和活动的间谍组织。据美国政府称，它是俄罗斯军事情报机构格鲁乌（GRU）的一个分支机构。该组织最臭名昭著的行动包括：针对乌克兰电网的破坏性攻击、针对路由器的VPNFilter攻击以及针对Viasat卫星调制解调器的AcidRain攻击。
资料来源：http://x31.d1k.top/w/dWc90C

13.施耐德电气和艾默生被指为甲骨文黑客攻击的受害者
2025年10月28日，网络犯罪分子已将工业巨头施耐德电气和艾默生列为近期针对Oracle E-Business Suite (EBS) 实例的攻击活动的受害者。 据推测，威胁行为者（可能是FIN11盈利性威胁组织的一个分支）利用Oracle EBS漏洞从数十个组织（包括大型公司）窃取数据。黑客们已经开始在为 Cl0p 勒索软件设立的泄露网站上公布所谓的受害者姓名，并且在某些情况下，他们已经开始发布据称来自目标公司的数据。据称，施耐德电气和艾默生是其中两家受害者，但这两家公司均未回应SecurityWeek的多次置评请求。据信，近期攻击Oracle EBS系统的黑客组织也曾针对Cleo、MOVEit和Fortra文件传输产品发起过类似的攻击活动。这些攻击行动均针对众多组织，导致大量数据泄露。
资料来源：http://ci3.d1k.top/w/RR9N46

14.QILIN勒索软件的Linux变种通过远程管理工具和自带设备（BYOVD）攻击Windows系统。
2025年10月27日，Trend Research发现，QILIN勒索软件组织（又名Agenda）利用合法的远程工具，在Windows系统上使用Linux勒索软件二进制文件，绕过了Windows的防御机制和EDR（端点检测与响应）系统。这种跨平台攻击方式能够实现隐蔽攻击，窃取备份凭证，并通过BYOVD漏洞禁用端点保护。该Linux勒索软件利用WinSCP进行安全文件传输，并使用Splashtop Remote执行勒索软件二进制文件，部署到Windows系统上。攻击者通过ATERA RMM、ScreenConnect和MeshCentral滥用AnyDesk来逃避检测，并使用BYOVD绕过防御。攻击者还窃取了Veeam备份凭据以阻止数据恢复。趋势科技指出，这种跨平台策略绕过了Windows的防御机制，表明攻击者的攻击手段日益复杂。
资料来源：http://xx1.d1k.top/w/2eSY2k

15.国家级黑客疑似在供应链攻击中部署新型Airstalk恶意软件
2025年10月31日，疑似国家级威胁行为者与一种名为Airstalk的新型恶意软件的传播有关，这很可能是供应链攻击的一部分。该恶意软件以PowerShell 和 .NET两种变种形式出现，利用多线程命令与控制(C2)通信协议，能够捕获屏幕截图，并从网页浏览器中窃取cookie、浏览器历史记录、书签和屏幕截图。据信，攻击者利用窃取的证书对部分数据进行签名。目前尚不清楚该恶意软件的传播方式，也不清楚这些攻击的目标群体。但利用移动设备管理 (MDM) 相关API进行C2通信，以及针对Island等企业级浏览器的攻击，表明这可能是一起针对业务流程外包(BPO)行业的供应链攻击。
资料来源：https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html

16.恶意NPM包获取信息窃取程序，适用于Windows、Linux和macOS
2025年10月29日，10个恶意软件包模仿npm注册表中的合法软件项目，下载一个窃取信息的组件，该组件会从Windows、Linux和macOS系统中收集敏感数据。据网络安全公司Socket的研究人员称，这10个软件包的下载量接近10,000次，并从系统密钥环、浏览器和身份验证服务中窃取了凭据。该信息窃取程序的目标是系统密钥环，例如Windows凭据管理器、macOS钥匙串、Linux SecretService、libsecret 和 KWallet，以及存储在基于Chromium和Firefox的浏览器中的数据，包括配置文件、保存的密码和会话cookie。此外，它还会在常用目录中查找SSH密钥，并试图查找和窃取OAuth、JWT和其他API令牌。被盗信息被打包成压缩文件，并在 /var/tmp 或 /usr/tmp 中进行临时暂存后，被泄露到攻击者的服务器 195[.]133[.]79[.]43。建议下载了所列软件包的开发者清除感染并轮换所有访问令牌和密码，因为它们很可能已被泄露。
资料来源：http://ex1.d1k.top/w/Ez0Z1m

17.俄罗斯勒索软件团伙利用开源AdaptixC2发起高级攻击
2025年10月30日，名为AdaptixC2的开源命令与控制(C2)框架正被越来越多的威胁行为者使用，其中一些威胁行为者与俄罗斯勒索软件团伙有关。AdaptixC2是一个新兴的可扩展后渗透和对抗模拟框架，专为渗透测试而设计。其服务器组件使用Golang编写，而 GUI 客户端则使用C++ QT编写，以实现跨平台兼容性。它具备多种功能，包括完全加密的通信、命令执行、凭证和屏幕截图管理器以及远程终端等。虽然 AdaptixC2 被宣传为一款符合道德规范的开源红队演练工具，但显然它也引起了网络犯罪分子的注意。红队演练工具，尤其是那些免费提供的工具，例如Havoc、Mythic和Sliver，长期以来一直被恶意行为者利用。近年来，Cobalt Strike和Brute Ratel C4的破解版也遭到了广泛的滥用。
资料来源：https://thehackernews.com/2025/10/russian-ransomware-gangs-weaponize-open.html

18.VSCode供应链遭到入侵：12个恶意扩展程序窃取源代码并打开远程shell
2025年10月30日，HelixGuard威胁情报团队发现了一起影响Visual Studio Code (VSCode)扩展市场的广泛供应链入侵事件，至少发现了12个恶意插件，其中4个在发现时仍处于运行状态。这些扩展程序被发现能够窃取源代码、泄露凭据、截取屏幕截图，甚至在开发人员的计算机上打开远程shell。这些扩展程序同时托管在微软官方VSCode应用商店和OpenVSX平台上，针对使用AI辅助编码和DevOps工具的开发者。这标志着一种日益增长的趋势，即攻击者利用集成开发环境(IDE)作为供应链渗透途径，类似于之前在npm和PyPI生态系统中出现的攻击事件。随着 VSCode 巩固其作为全球最流行代码编辑器的地位，攻击者也开始利用其扩展生态系统进行攻击。
资料来源：http://4w2.d8k.top/w/R0x5XZ

19.Agenda勒索软件通过Splashtop在Windows上窃取Veeam凭据
2025年10月27日，Trend Research发现Agenda组织（又名Qilin）发起了一场高度复杂的勒索软件攻击活动，该组织在Windows主机上部署了基于Linux的勒索软件二进制文件，这是一种罕见的跨平台攻击，旨在绕过传统的终端保护措施。该攻击活动将WinSCP用于安全文件传输，并将Splashtop Remote用于直接在Windows系统上执行Linux二进制文件，有效地绕过了那些并非旨在监控Windows终端上Linux可执行文件的反恶意软件防御措施。Trend 得出结论：“Linux勒索软件二进制文件具有跨平台能力，允许攻击者使用单个有效载荷影响环境中的Windows和Linux系统。”
资料来源：http://tk3.d1k.top/w/8LoxqY

20.PolarEdge僵尸网络利用物联网漏洞进行攻击
2025年10月30日，一场复杂的僵尸网络攻击活动已经入侵了40个国家的25,000多台物联网设备，同时建立了140个指挥控制服务器，以协助网络犯罪活动。PolarEdge僵尸网络利用易受攻击的物联网和边缘设备构建了一个运营中继盒网络，为高级持续性威胁行为者提供基础设施即服务。该恶意软件通过客户端-服务器架构运行，其中RPX_Client组件安装在受感染的设备上，RPX_Server节点管理跨多个云平台的代理服务。研究人员发现了RPX_Client组件，该组件将受感染的设备加入指定的 C2 节点代理池，同时启用远程命令执行。
资料来源：https://cybersecuritynews.com/polaredge-botnet-infected-25000-devices/