新聞速覽

• 社保補(bǔ)繳無(wú)捷徑！北京人社緊急提醒防范代辦騙

• 別讓AI代理“替你做事”變成“替你泄密”

• AI勒索軟件已“出鞘”：PromptLock引爆智能化攻擊與NFC欺詐增長(zhǎng)

• FBI警告AI深度偽造釣魚升級(jí)：政府高官語(yǔ)音被冒充攻擊政務(wù)賬戶

• FBI查封詐騙后臺(tái)網(wǎng)站：搜索引擎假銀行廣告致千萬(wàn)美元損失

• 從東方雨虹被騙案看海外子公司資金安全：你的審批流程真的夠嚴(yán)嗎？

• 48小時(shí)淪陷6萬(wàn)臺(tái)服務(wù)器：Operation PCPCAT敲響Next.js安全警鐘

• 從語(yǔ)音到接管：商用人形機(jī)器人安全防線為何形同虛設(shè)

• 偽裝殺毒軟件文檔突襲以色列企業(yè)，PYTRIC與RUSTRIC植入體浮出水面

• 新型惡意工具NtKiller可繞過(guò)主流EDR，安全團(tuán)隊(duì)如何應(yīng)對(duì)？

特別關(guān)注

社保補(bǔ)繳無(wú)捷徑！北京人社緊急提醒防范代辦騙局

近日，北京市人力資源和社會(huì)保障局發(fā)布警示：任何聲稱可代辦社保補(bǔ)繳、代繳并收取費(fèi)用的行為均涉嫌詐騙。官方明確指出，北京市社保經(jīng)辦部門從未授權(quán)任何公司或個(gè)人開展此類業(yè)務(wù)。社保補(bǔ)繳必須基于真實(shí)勞動(dòng)關(guān)系，并通過(guò)正規(guī)渠道依法辦理。不法分子常以“一次性補(bǔ)繳”“內(nèi)部渠道”為誘餌，騙取市民身份信息與錢財(cái)。公眾應(yīng)提高警惕，切勿輕信非官方承諾，謹(jǐn)防財(cái)產(chǎn)與個(gè)人信息雙重?fù)p失。

https://mp.weixin.qq.com/s/6rBMnkJvqEfO829j9Goo2Q

熱點(diǎn)觀察

別讓AI代理“替你做事”變成“替你泄密”

生成式AI代理正以前所未有的深度索要用戶數(shù)據(jù)。為實(shí)現(xiàn)任務(wù)自動(dòng)化，如訂票、查郵件或管理日程，AI助手需訪問(wèn)操作系統(tǒng)、日歷、通訊錄甚至云端文件。Ada Lovelace研究所高級(jí)研究員Harry Farmer指出，此類代理需大量個(gè)人信息才能運(yùn)作，構(gòu)成“對(duì)網(wǎng)絡(luò)安全與隱私的深刻威脅”。牛津大學(xué)副教授Carissa Véliz強(qiáng)調(diào)，用戶常無(wú)法驗(yàn)證企業(yè)是否合規(guī)使用數(shù)據(jù)，且代理一旦接入設(shè)備，還可能泄露聯(lián)系人等第三方信息。Signal基金會(huì)主席Meredith Whittaker警告，具備系統(tǒng)級(jí)權(quán)限的AI代理對(duì)應(yīng)用層加密構(gòu)成“存在性威脅”，亟需開發(fā)者級(jí)別的拒絕接入機(jī)制。當(dāng)前多數(shù)產(chǎn)品默認(rèn)以用戶數(shù)據(jù)訓(xùn)練模型，而非征得明確同意。

https://www.wired.com/story/expired-tired-wired-all-access-ai-agents/

AI勒索軟件已“出鞘”：PromptLock引爆智能化攻擊與NFC欺詐增長(zhǎng)

最新 ESET Threat Report H2 2025 報(bào)告顯示，以往只在理論階段的 AI驅(qū)動(dòng)惡意軟件 已真正出現(xiàn)在野外攻擊中。研究首次確認(rèn)了能夠在執(zhí)行時(shí)動(dòng)態(tài)生成惡意腳本的 AI勒索軟件 PromptLock，標(biāo)志著勒索軟件正從靜態(tài)代碼向智能化、自適應(yīng)攻擊演進(jìn)。與此同時(shí)，AI輔助的詐騙活動(dòng)顯著增長(zhǎng)，例如高質(zhì)量 deepfake、AI生成釣魚網(wǎng)站等手段正在提高社會(huì)工程攻擊的成功率。

報(bào)告數(shù)據(jù)顯示，與 2024 年相比，NFC（近場(chǎng)通信）相關(guān)的移動(dòng)欺詐在 2025 年下半年增長(zhǎng)了約 87%，威脅樣本包括升級(jí)版 NGate、結(jié)合遠(yuǎn)程訪問(wèn)功能的 RatOn 以及針對(duì)地區(qū)市場(chǎng)的 PhantomCard。這些惡意程序不僅搶奪聯(lián)系人信息，還助長(zhǎng)支付欺詐和 SIM 卡接管風(fēng)險(xiǎn)。

勒索軟件生態(tài)也在重塑：一些舊有家族，如 Lumma Stealer，被打擊后檢測(cè)量下跌 86%，而 CloudEyE/GuLoader 檢測(cè)量則激增近 30 倍，說(shuō)明犯罪鏈條會(huì)迅速重組以維持盈利。預(yù)計(jì) 2025 年勒索軟件受害者數(shù)量將比 2024 年增長(zhǎng)約 40%。在此背景下，CISO 需要將 AI增強(qiáng)攻擊與移動(dòng)/NFC欺詐 視為現(xiàn)實(shí)基礎(chǔ)風(fēng)險(xiǎn)，提升端點(diǎn)檢測(cè)、移動(dòng)零信任策略，并嚴(yán)控內(nèi)部 AI 使用策略。

https://www.cybersecurity-insiders.com/ai-driven-ransomware-and-nfc-fraud-surge/

從語(yǔ)音到接管：商用人形機(jī)器人安全防線為何形同虛設(shè)

在上海GEEKCon大會(huì)上，安全團(tuán)隊(duì)演示了商用機(jī)器人存在的系統(tǒng)性安全缺陷。研究人員利用人形與四足機(jī)器人在Bluetooth、無(wú)線接口及語(yǔ)音交互中的漏洞，實(shí)現(xiàn)數(shù)分鐘內(nèi)的完全控制。更嚴(yán)重的是，被入侵設(shè)備可通過(guò)短距無(wú)線傳播利用鏈，形成“物理Botnet”，甚至感染未聯(lián)網(wǎng)的機(jī)器人。

實(shí)驗(yàn)對(duì)象為Unitree人形機(jī)器人，售價(jià)約10萬(wàn)元人民幣，搭載內(nèi)置AI代理負(fù)責(zé)自主行動(dòng)與空間感知。研究人員通過(guò)語(yǔ)音指令繞過(guò)防護(hù)，接管控制權(quán)，并將攻擊擴(kuò)散至鄰近設(shè)備?，F(xiàn)場(chǎng)演示中，機(jī)器人執(zhí)行攻擊性動(dòng)作，凸顯其對(duì)人身與環(huán)境的現(xiàn)實(shí)威脅。

事件表明，機(jī)器人安全風(fēng)險(xiǎn)已超越數(shù)據(jù)泄露，直指物理傷害。隨著機(jī)器人進(jìn)入服務(wù)、醫(yī)療與工業(yè)場(chǎng)景，語(yǔ)音接口、無(wú)線協(xié)議與AI控制面的安全短板亟待系統(tǒng)性加固。

https://www.securitylab.ru/news/567534.php

偽裝殺毒軟件文檔突襲以色列企業(yè)，PYTRIC與RUSTRIC植入體浮出水面

SEQRITE Labs APT團(tuán)隊(duì)披露，一個(gè)新威脅集群UNG0801發(fā)起了名為Operation IconCat的定向攻擊行動(dòng)，主要針對(duì)以色列企業(yè)環(huán)境，重點(diǎn)覆蓋IT服務(wù)商、人力外包和軟件公司。攻擊者濫用知名安全廠商品牌，通過(guò)仿冒殺毒軟件界面的釣魚郵件提升成功率。

釣魚郵件以希伯來(lái)語(yǔ)撰寫，偽裝成合規(guī)通知、安全通告或企業(yè)網(wǎng)絡(luò)研討會(huì)邀請(qǐng)，附件仿冒Check Point和SentinelOne界面。自2025年11月中旬起，研究人員觀察到兩條感染鏈，分別投遞PYTRIC和RUSTRIC植入體。

其中，PYTRIC通過(guò)惡意PDF誘導(dǎo)受害者從Dropbox下載偽裝成“Security Scanner”的工具，植入體基于Python并使用PyInstaller打包，具備文件掃描、權(quán)限檢測(cè)和數(shù)據(jù)與備份清除能力，并通過(guò)Telegram機(jī)器人Backup2040通信，呈現(xiàn)明顯wiper特征。

另一條鏈路通過(guò)攜帶VBA宏的Word文檔投遞Rust編寫的RUSTRIC，枚舉包括CrowdStrike、Microsoft Defender在內(nèi)的28款A(yù)V/EDR產(chǎn)品，并執(zhí)行基礎(chǔ)偵察命令，偏向情報(bào)收集。兩者共享基礎(chǔ)設(shè)施與戰(zhàn)術(shù)，體現(xiàn)出利用安全品牌實(shí)施精準(zhǔn)釣魚的上升趨勢(shì)。

https://cyberpress.org/malicious-av-themed-documents/

安全事件

FBI警告AI深度偽造釣魚升級(jí)：政府高官語(yǔ)音被冒充攻擊政務(wù)賬戶

美國(guó)聯(lián)邦調(diào)查局（FBI）近期發(fā)布公告，警告一場(chǎng)利用深度偽造（deepfake）和生成式AI技術(shù)的網(wǎng)絡(luò)詐騙活動(dòng)正在進(jìn)行中。攻擊者自2025年4月起，通過(guò)AI生成的語(yǔ)音和短信（分別稱為vishing與smishing），冒充美國(guó)聯(lián)邦及州級(jí)高級(jí)官員向目標(biāo)發(fā)送信息，試圖以建立信任關(guān)系為前提獲取受害者的賬戶訪問(wèn)權(quán)限。

這些釣魚消息常包含看似真實(shí)的對(duì)話或請(qǐng)求，甚至引誘目標(biāo)點(diǎn)擊偽裝成啟用另一個(gè)通訊平臺(tái)的惡意鏈接，一旦賬戶被攻破，攻擊者可利用所獲聯(lián)系名單繼續(xù)針對(duì)其他官員及其聯(lián)系人發(fā)動(dòng)二次攻擊。

FBI特別強(qiáng)調(diào)，AI語(yǔ)音克隆技術(shù)已經(jīng)發(fā)展到難以用肉眼或聽覺辨別真假，常規(guī)的來(lái)電顯示或發(fā)信號(hào)碼驗(yàn)證并不可靠。為降低風(fēng)險(xiǎn)，F(xiàn)BI建議接收此類信息時(shí)務(wù)必通過(guò)已知官方渠道驗(yàn)證身份，仔細(xì)檢查URL、郵件地址和語(yǔ)音中的異常特征，并在必要時(shí)聯(lián)系相關(guān)安全官員或FBI獲取幫助。

此類深度偽造攻擊通過(guò)社會(huì)工程學(xué)建立信任后實(shí)施侵害，對(duì)政府機(jī)構(gòu)及關(guān)鍵人員構(gòu)成實(shí)質(zhì)威脅，同時(shí)也為更廣泛的企業(yè)和公眾安全敲響警鐘。

https://www.cybersecurity-insiders.com/fbi-warns-about-deepfake-spoofing-campaign-mimicking-government-officials/

FBI查封詐騙后臺(tái)網(wǎng)站：搜索引擎假銀行廣告致千萬(wàn)美元損失

美國(guó)司法部宣布，聯(lián)邦調(diào)查局（FBI）已依法查封域名 web3adspanels.org，該域名及其數(shù)據(jù)庫(kù)被用于一個(gè)通過(guò)搜索引擎?zhèn)卧鞆V告誘導(dǎo)受害者訪問(wèn)假銀行網(wǎng)站的銀行賬戶接管詐騙計(jì)劃。這一行動(dòng)旨在切斷犯罪團(tuán)伙訪問(wèn)被盜銀行登錄憑證的能力并阻止進(jìn)一步資金損失。

據(jù)法庭文件，攻擊者通過(guò)在 Google 和 Bing 上投放偽裝成銀行官方的廣告，把用戶引導(dǎo)至釣魚網(wǎng)站，內(nèi)嵌惡意程序在用戶輸入賬戶憑據(jù)時(shí)竊取信息。犯罪分子隨后利用這些憑據(jù)登錄真實(shí)銀行網(wǎng)站實(shí)施未授權(quán)訪問(wèn)并轉(zhuǎn)移資金。迄今已確認(rèn)至少 19 名受害者遍及美國(guó)，包括兩家佐治亞州企業(yè)，導(dǎo)致約 2800 萬(wàn)美元的嘗試性損失和約 1460 萬(wàn)美元的實(shí)際損失。域名托管著成千上萬(wàn)名受害者的被盜憑證，并在 2025 年 11 月仍在支持詐騙活動(dòng)。

自 2025 年 1 月起，F(xiàn)BI 網(wǎng)絡(luò)犯罪投訴中心（IC3）收到超 5100 份銀行賬戶接管詐騙投訴，報(bào)告損失超過(guò) 2.62 億美元。執(zhí)法機(jī)構(gòu)提醒公眾提高防范意識(shí)，建議使用官方書簽訪問(wèn)銀行網(wǎng)站、警惕釣魚鏈接并定期監(jiān)控賬戶變動(dòng)。國(guó)際合作在此次行動(dòng)中也發(fā)揮了關(guān)鍵作用。

https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html

從東方雨虹被騙案看海外子公司資金安全：你的審批流程真的夠嚴(yán)嗎？

12月23日晚間，東方雨虹（002271）發(fā)布公告稱，其下屬美國(guó)全資子公司OYH Construction Materials LLC疑遭電信詐騙，涉案金額約171.83萬(wàn)美元（約合人民幣1211.80萬(wàn)元）。據(jù)悉，該子公司在向總包方支付工程進(jìn)度款時(shí)，郵箱被犯罪分子入侵，對(duì)方偽造總包身份申請(qǐng)付款實(shí)施詐騙。事發(fā)后，OYH建材公司已向美國(guó)哈里斯縣治安官辦公室、伍德斯托克警察局及FBI休斯頓分部報(bào)案。東方雨虹表示，本次事件為偶發(fā)獨(dú)立事件，不會(huì)對(duì)公司正常生產(chǎn)經(jīng)營(yíng)造成重大不利影響，公司已成立專項(xiàng)工作組前往處理，并將全力配合警方偵破案件以挽回?fù)p失。同時(shí)，公司管理層高度重視，將針對(duì)海外子公司、資金支付審批流程、網(wǎng)絡(luò)安全防護(hù)等方面深入排查風(fēng)險(xiǎn)，加強(qiáng)內(nèi)控管理與流程優(yōu)化，提升全員風(fēng)險(xiǎn)防范意識(shí)。三季報(bào)數(shù)據(jù)顯示，東方雨虹今年前三季度實(shí)現(xiàn)營(yíng)業(yè)收入206億元，同比減少5.06%；歸母凈利潤(rùn)8.1億元，同比減少36.61%。該信息綜合自公司公告，來(lái)源為證券時(shí)報(bào)，呼吁讀者關(guān)注網(wǎng)絡(luò)安全相關(guān)內(nèi)容。

https://mp.weixin.qq.com/s/ItgmBXyuEE-tHXH1jsDIMQ

48小時(shí)淪陷6萬(wàn)臺(tái)服務(wù)器：Operation PCPCAT敲響Next.js安全警鐘

近日，安全研究人員披露了一起名為Operation PCPCAT的大規(guī)模攻擊行動(dòng)。攻擊者在短短48小時(shí)內(nèi)，成功劫持了超過(guò)6萬(wàn)臺(tái)Next.js服務(wù)器，主要目標(biāo)是運(yùn)行配置不當(dāng)、暴露管理接口或使用弱憑證的Web應(yīng)用。該行動(dòng)利用自動(dòng)化掃描和腳本化攻擊，快速識(shí)別互聯(lián)網(wǎng)上可被利用的Next.js實(shí)例，并通過(guò)遠(yuǎn)程代碼執(zhí)行等方式植入惡意代碼。

技術(shù)分析顯示，攻擊者重點(diǎn)濫用Next.js在生產(chǎn)環(huán)境中錯(cuò)誤暴露的開發(fā)接口，以及未受保護(hù)的API端點(diǎn)。一旦入侵成功，服務(wù)器會(huì)被植入PCPCAT惡意組件，用于建立持久化控制、竊取數(shù)據(jù)或作為后續(xù)攻擊的跳板。部分受害服務(wù)器還被用于流量轉(zhuǎn)發(fā)和命令執(zhí)行，顯示出明顯的僵尸網(wǎng)絡(luò)特征。

研究人員指出，此次事件反映出Web框架在云環(huán)境中被大規(guī)模濫用的現(xiàn)實(shí)風(fēng)險(xiǎn)。安全團(tuán)隊(duì)建議，Next.js用戶應(yīng)及時(shí)關(guān)閉開發(fā)模式，限制管理接口訪問(wèn)，強(qiáng)化身份認(rèn)證，并對(duì)服務(wù)器日志和異常行為進(jìn)行持續(xù)監(jiān)控，以降低被自動(dòng)化攻擊批量入侵的風(fēng)險(xiǎn)。

https://securityonline.info/operation-pcpcat-60000-next-js-servers-hijacked-in-just-48-hours/

攻防技術(shù)

新型惡意工具NtKiller可繞過(guò)主流EDR，安全團(tuán)隊(duì)如何應(yīng)對(duì)？

安全研究人員披露，威脅行為體AlphaGhoul在地下論壇推廣一款名為NtKiller的工具，宣稱可在不觸發(fā)告警的情況下關(guān)閉殺毒軟件和EDR，從而為惡意代碼執(zhí)行“清場(chǎng)”。該工具被定位為商業(yè)化惡意產(chǎn)品，核心功能售價(jià)500美元，rootkit能力和UAC bypass等高級(jí)模塊需額外付費(fèi)。

KrakenLabs分析指出，NtKiller主打早期啟動(dòng)階段的持久化機(jī)制，可在系統(tǒng)安全組件完全加載前運(yùn)行，顯著降低被檢測(cè)概率。其宣傳能力包括繞過(guò)Microsoft Defender、ESET、Kaspersky、Bitdefender和Trend Micro，并聲稱在激進(jìn)模式下可對(duì)抗企業(yè)級(jí)EDR。

技術(shù)細(xì)節(jié)顯示，NtKiller還涉及HVCI關(guān)閉、VBS操控、內(nèi)存完整性規(guī)避，以及反調(diào)試和反分析機(jī)制，進(jìn)一步增加取證和清除難度。研究人員提醒，相關(guān)能力尚未被第三方獨(dú)立驗(yàn)證，但這一趨勢(shì)表明，單純依賴特征碼的防護(hù)已難以應(yīng)對(duì)，企業(yè)需強(qiáng)化基于行為和啟動(dòng)階段的檢測(cè)能力。

https://cybersecuritynews.com/threat-actors-advertised-ntkiller-malware-on-dark-web/

合作電話：18311333376

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com