新聞速覽

• 首都網(wǎng)警：警惕“發(fā)票陷阱”：境外間諜組織正利用釣魚郵件竊取國家機密

• 工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺：關(guān)于防范PyStoreRAT惡意軟件的風險提示

• 你發(fā)給ChatGPT的每一條消息，可能正在數(shù)據(jù)經(jīng)紀商的數(shù)據(jù)庫里待價而沽

• 中東局勢升級或引發(fā)網(wǎng)絡(luò)戰(zhàn)，SentinelOne警告伊朗APT活動或迅速增加

• 14 國聯(lián)合圍剿 LeakBase：全球頂級黑產(chǎn)論壇應(yīng)聲覆滅

• 警惕“攻擊三位一體”：GenAI+DDoS+社會工程，網(wǎng)安從業(yè)者必看指南

• 2026年三大高危釣魚攻擊手法曝光

• Tycoon 2FA被端：全球聯(lián)合行動摧毀可繞過MFA的釣魚即服務(wù)平臺

• 微軟Windows Defender部署工具升級，簡化大規(guī)模設(shè)備入網(wǎng)管理

• Chrome 發(fā)布周期縮至兩周，安全補丁響應(yīng)再提速

特別關(guān)注

首都網(wǎng)警：警惕“發(fā)票陷阱”：境外間諜組織正利用釣魚郵件竊取國家機密

2026 年 3 月，首都網(wǎng)警發(fā)布預(yù)警，境外間諜情報機關(guān)借數(shù)電票推廣契機，以發(fā)票釣魚郵件實施精準網(wǎng)絡(luò)攻擊，此類郵件已成為企業(yè)數(shù)據(jù)泄露、國家秘密失竊的重要誘因。

攻擊者精準把握財務(wù)報銷結(jié)算的時間節(jié)點，偽裝成電信、電商等平臺客服，向目標發(fā)送含真實姓名的釣魚郵件，以 “逾期作廢”“發(fā)票重開” 制造緊迫感，誘導(dǎo)用戶點擊附件或鏈接。郵件附件看似為.pdf、.xlsx 等常規(guī)格式，實則捆綁特種木馬程序，還會引導(dǎo)用戶在電腦端打開，放大攻擊效果。

一旦點擊，木馬將快速入侵設(shè)備，攻擊者可竊取企業(yè)合同、科研成果等敏感數(shù)據(jù)，監(jiān)控鍵盤輸入獲取各類憑證信息，甚至遠程操控音視頻設(shè)備窺探辦公環(huán)境。被控制的設(shè)備還會成為內(nèi)網(wǎng) “跳板”，攻擊者借此擴大控制范圍，篡改數(shù)據(jù)、冒用郵箱誘騙他人，甚至癱瘓企業(yè)網(wǎng)絡(luò)系統(tǒng)，造成多重損失。

針對此類攻擊，國家安全機關(guān)給出三級防御方案：首先核查發(fā)件人源頭，官方郵箱多含單位專屬域名，釣魚郵件則為公共郵箱后綴；其次辨別細節(jié)，警惕捆綁木馬的壓縮包附件，拒絕登錄驗證類彈窗；若不慎點擊，需立即斷網(wǎng)、退出敏感賬號，用殺毒軟件全盤掃描，并向單位網(wǎng)安部門報告，確認遭境外攻擊后通過 12339 渠道舉報。

https://mp.weixin.qq.com/s/3O0eHeeJiN1cJJjrjqyu0w

工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺：關(guān)于防范PyStoreRAT惡意軟件的風險提示

近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（CSTIS）監(jiān)測發(fā)現(xiàn)PyStoreRAT惡意軟件持續(xù)活躍，其主要攻擊目標為開發(fā)者及開源情報（OSINT）從業(yè)人員，可能導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)受控、業(yè)務(wù)中斷等風險。

PyStoreRAT是一種新型無文件遠程訪問木馬（RAT），自2025年年中起處于活躍狀態(tài)。該惡意軟件通過在GitHub投放偽裝成“Spyder開源情報工具”、“HacxGPT”等實用工具的虛假代碼倉庫，并使用人工智能生成圖片與專業(yè)文檔增強偽裝，利用開發(fā)者對開源社區(qū)的信任，誘導(dǎo)用戶運行倉庫內(nèi)的Python或JavaScript腳本。一旦運行將會觸發(fā)隱藏子進程，在后臺靜默下載遠程HTML應(yīng)用程序文件并通過Windows原生程序mshta.exe執(zhí)行，啟動感染鏈。感染后，PyStoreRAT可在受感染設(shè)備中投放信息竊取器（如“拉達曼迪斯”）、實施勒索、植入間諜軟件，或動態(tài)加載EXE、DLL、PowerShell等多種惡意載荷擴大破壞。

PyStoreRAT隱蔽性極強，一是無文件執(zhí)行，通過HTML應(yīng)用程序子系統(tǒng)運行，無磁盤痕跡；二是環(huán)境感知，內(nèi)置針對安全工具的規(guī)避邏輯，發(fā)現(xiàn)安全軟件時用命令行包裝器啟動以切斷關(guān)聯(lián)；三是模塊化設(shè)計使其能動態(tài)調(diào)整攻擊，還可偽裝成“英偉達應(yīng)用自動更新”計劃任務(wù)（每10分鐘或登錄時運行）長久控制目標系統(tǒng)。

建議相關(guān)單位和用戶立即組織排查，更新防病毒軟件，實施全盤病毒查殺，避免運行來源不明的Python或JavaScript腳本，并可通過定期備份數(shù)據(jù)等措施，防范網(wǎng)絡(luò)攻擊風險。

https://mp.weixin.qq.com/s/Yek3qgadP6M9BRomV5YTpg

熱點觀察

中東局勢升級或引發(fā)網(wǎng)絡(luò)戰(zhàn)，SentinelOne警告伊朗APT活動或迅速增加

2026年3月4日，SentinelOne公司向合作伙伴及客戶發(fā)出預(yù)警，受美國、以色列對伊朗目標打擊引發(fā)的地緣沖突升級影響，伊朗相關(guān)機構(gòu)極有可能加強網(wǎng)絡(luò)攻擊力度。伊朗在過去十五年已構(gòu)建成熟網(wǎng)絡(luò)生態(tài)，常將網(wǎng)絡(luò)操作作為地緣政治危機中的施壓工具。

伊朗相關(guān)黑客組織（包括APT34、APT39、APT42及MuddyWater）慣常開展間諜活動、竊取賬號數(shù)據(jù)、投放破壞性惡意程序，并通過信息戰(zhàn)實施心理施壓，還常以“黑客活動家”名義掩蓋官方關(guān)聯(lián)。其攻擊目標涵蓋中東及美國的軍事、民用組織、電信企業(yè)和高校。

SentinelOne分析，當前沖突升級可能引發(fā)三類網(wǎng)絡(luò)活動：一是針對以、美國防、政府及情報機構(gòu)的定點間諜攻擊，多以釣魚郵件、賬號竊取為切入點，進而獲取內(nèi)部系統(tǒng)戰(zhàn)略信息；二是破壞基礎(chǔ)設(shè)施，伊朗曾用DDoS攻擊和破壞性惡意程序襲擊能源、交通及金融服務(wù)領(lǐng)域，不排除再次針對美以公共在線服務(wù)和市政基礎(chǔ)設(shè)施動手；三是信息操縱，通過Telegram等平臺傳播虛假信息、偽造文檔，破壞公眾對政府機構(gòu)的信任。

值得注意的是，伊朗曾通過漏洞工業(yè)控制器攻擊美國凈水系統(tǒng)，未來可能再次發(fā)起小規(guī)模但影響深遠的基礎(chǔ)設(shè)施攻擊。目前暫未發(fā)現(xiàn)與近期軍事行動直接相關(guān)的網(wǎng)絡(luò)攻擊，但SentinelOne警告，伊朗黑客組織活動強度可能在近幾日至幾周內(nèi)顯著提升。

https://www.securitylab.ru/news/570011.php

2026年三大高危釣魚攻擊手法曝光

據(jù)ANY.RUN沙箱分析數(shù)據(jù)顯示，約90%的現(xiàn)代網(wǎng)絡(luò)攻擊始于釣魚，且2026年的釣魚攻擊極少止于“點擊鏈接”，常通過偽裝HTTPS流量和可信平臺，竊取憑證、劫持會話，導(dǎo)致企業(yè)排查延遲、升級頻繁。以下是2026年最易突破企業(yè)防御的三大釣魚戰(zhàn)術(shù)及防御方法。

一是加密攻擊，HTTPS流量成為隱蔽屏障。憑證捕獲、令牌竊取等惡意行為可隱藏在正常HTTPS流量中，導(dǎo)致SOC團隊可見性不足、排查遲緩。ANY.RUN交互式沙箱的自動SSL解密功能，可默認解析HTTPS流量，快速識別惡意行為，有效應(yīng)對Salty2FA等加密釣魚攻擊。

二是QR釣魚（Quishing），攻擊脫離桌面視野。攻擊者將惡意QR碼嵌入常規(guī)郵件，用戶掃描后跳轉(zhuǎn)至偽造登錄頁，攻擊過程脫離企業(yè)郵件網(wǎng)關(guān)和桌面監(jiān)控，易導(dǎo)致身份泄露。通過在分診流程嵌入ANY.RUN沙箱，可模擬用戶行為，解析QR碼背后URL，還原攻擊鏈條。

三是濫用可信平臺，攻擊“偽內(nèi)部化”。攻擊者利用企業(yè)常用云平臺搭建釣魚流程，迫使安全團隊在“信任平臺”與“防范攻擊”間兩難。ANY.RUN沙箱可安全解析可疑鏈接，60秒內(nèi)呈現(xiàn)攻擊行為，減少對平臺聲譽的依賴，避免過度攔截影響業(yè)務(wù)。

實踐表明，嵌入該沙箱可使單案例MTTR縮短21分鐘，一級工作量降低20%，一級至二級升級減少30%，幫助企業(yè)快速遏制攻擊，降低數(shù)據(jù)泄露風險。

https://hackread.com/phishing-2026-attack-tactics-beat-enterprise-defenses/

你發(fā)給ChatGPT的每一條消息，可能正在數(shù)據(jù)經(jīng)紀商的數(shù)據(jù)庫里待價而沽

2026 年 3 月 4 日，AI 安全專家 Lee S. Dreyburg 披露，多款瀏覽器擴展正通過惡意手段竊取用戶與 ChatGPT、Gemini、Claude、DeepSeek 等 AI 工具的對話內(nèi)容，并將數(shù)據(jù)存入商業(yè)數(shù)據(jù)庫對外出售。

這些擴展以免費 VPN、廣告攔截等功能吸引用戶安裝，通過劫持瀏覽器 fetch () 和 XMLHttpRequest () 接口，靜默捕獲所有 prompt 與 AI 回復(fù)。數(shù)據(jù)經(jīng) SHA-256 哈希標記后存儲在向量數(shù)據(jù)庫，通過 API 向企業(yè)客戶開放。

Dreyburg 在對大型 GEO 平臺的 205 次查詢中，發(fā)現(xiàn)約 490 條獨立 prompt，涉及 435 名用戶，覆蓋 20 類敏感信息，包含抑郁癥、腫瘤、HIV、墮胎等醫(yī)療診斷，移民身份、家庭暴力、犯罪記錄、財務(wù)債務(wù)、性取向等隱私，部分內(nèi)容受 HIPAA 法案保護。

更嚴重的是，醫(yī)護人員將患者真實信息輸入 AI 工具，導(dǎo)致受保護臨床數(shù)據(jù)泄露；大量職場人士上傳涉密企業(yè)文檔，造成商業(yè)機密外泄。共享賬號、外包人員使用同款免費 VPN 進一步加劇數(shù)據(jù)擴散。

盡管數(shù)據(jù)形式上匿名化，但完整對話文本極易被去匿名化，在當前監(jiān)管環(huán)境下，移民、醫(yī)療等信息泄露將帶來直接法律風險。Koi Security 此前報告顯示，已有 800 萬用戶 AI 對話遭此類擴展非法售賣。

https://www.securitylab.ru/news/569998.php

安全事件

Tycoon 2FA被端：全球聯(lián)合行動摧毀可繞過MFA的釣魚即服務(wù)平臺

2026 年 3 月，歐洲刑警組織（Europol）、Microsoft 聯(lián)合 TrendAI?等政企機構(gòu)開展跨境協(xié)作，成功搗毀釣魚即服務(wù)（PhaaS）平臺 Tycoon 2FA，查封其超 300 個關(guān)聯(lián)域名，終結(jié)了這一長期威脅全球網(wǎng)絡(luò)安全的黑產(chǎn)工具。

Tycoon 2FA 于 2023 年 8 月出現(xiàn)，核心利用中間人（AitM）代理技術(shù)繞開傳統(tǒng)多因素認證（MFA），在受害者與真實登錄頁面間搭建代理層，實時捕獲賬號密碼、MFA 驗證碼及會話 Cookie，攻擊者可通過重放 Cookie 接管賬戶。

該平臺采用訂閱模式，降低了網(wǎng)絡(luò)犯罪門檻，截至被搗毀時擁有約 2000 名用戶，自上線以來使用過超 24000 個域名，重點針對 Microsoft 365、Google 發(fā)起大規(guī)模釣魚攻擊，其攻擊域名 51.9% 指向美國。

TrendAI?從 2025 年起持續(xù)追蹤該平臺，同年 11 月鎖定開發(fā)者為曾從事網(wǎng)頁篡改的 SaaadFridi 與 Mr_Xaad，并向 Europol 提供威脅情報、基礎(chǔ)設(shè)施測繪等關(guān)鍵數(shù)據(jù)，成為本次打擊行動的核心支撐。

此次行動印證了單一機構(gòu)難以應(yīng)對跨境網(wǎng)絡(luò)黑產(chǎn)，政企協(xié)同的技術(shù)追蹤與執(zhí)法打擊才是有效手段。但需警惕的是，該平臺的攻擊者或遷移基礎(chǔ)設(shè)施重建服務(wù)，且已竊取的憑據(jù)仍在流通。

企業(yè)需構(gòu)建分層防御體系：部署 TrendAI Vision One?系列安全產(chǎn)品檢測高級釣魚威脅，開啟 URL 與網(wǎng)頁內(nèi)容檢測，利用 AI 分析識別仿冒郵件，落地身份安全態(tài)勢管理，并定期開展釣魚模擬與員工安全培訓(xùn)，從技術(shù)與人員層面筑牢防護屏障。TrendAI?也將持續(xù)監(jiān)控該平臺復(fù)活跡象，聯(lián)合各方開展后續(xù)打擊。

https://www.trendmicro.com/en_us/research/26/c/tycoon2fa-takedown.html

14 國聯(lián)合圍剿 LeakBase：全球頂級黑產(chǎn)論壇應(yīng)聲覆滅

2026 年 3 月 4 日，美國司法部宣布，F(xiàn)BI 聯(lián)合 Europol 及全球 14 國執(zhí)法機構(gòu)開展跨境行動，成功關(guān)停全球頂級網(wǎng)絡(luò)犯罪論壇 LeakBase，查封其域名與數(shù)據(jù)庫，并逮捕多名涉案嫌疑人，打響了本年度跨境打擊網(wǎng)絡(luò)黑產(chǎn)的關(guān)鍵一戰(zhàn)。

LeakBase 自 2021 年上線，為開放網(wǎng)絡(luò)可訪問的英文黑產(chǎn)論壇，擁有 142000 余名注冊成員，是全球規(guī)模最大的網(wǎng)絡(luò)犯罪樞紐之一。該平臺核心聚焦泄露數(shù)據(jù)庫與竊取日志交易，存儲數(shù)億條被盜賬戶憑據(jù)，還包含銀行卡信息、銀行賬戶路由數(shù)據(jù)、企業(yè)敏感記錄及個人身份信息等，相關(guān)數(shù)據(jù)曾關(guān)聯(lián)多起針對美國企業(yè)和個人的重大網(wǎng)絡(luò)攻擊。

本次行動由 Europol 在海牙統(tǒng)籌，執(zhí)法機構(gòu)于 3 月 3 日啟動全球執(zhí)法，開展約 100 項執(zhí)法行動，重點針對平臺 37 名活躍用戶采取管控措施；3 月 4 日完成技術(shù)端關(guān)停，涉案網(wǎng)站現(xiàn)已展示查封公告。美、澳、比、波等 8 國執(zhí)行搜查令、實施逮捕及人員問詢，加拿大、德國、希臘等國為調(diào)查提供支撐，F(xiàn)BI 圣地亞哥、鹽湖城分局及普羅沃警察局主導(dǎo)美國本土行動。

執(zhí)法機構(gòu)查封了平臺完整數(shù)據(jù)庫，包含用戶賬戶、帖子、私密消息及 IP 日志等關(guān)鍵證據(jù)，精準鎖定了妄圖匿名操作的涉案人員。此次行動印證了跨境執(zhí)法協(xié)作對打擊網(wǎng)絡(luò)黑產(chǎn)的核心價值，也向黑產(chǎn)分子釋放明確信號：網(wǎng)絡(luò)空間并非法外之地，匿名操作無法逃避追責。

FBI 與 Europol 均表示，將持續(xù)聯(lián)合全球伙伴拆解網(wǎng)絡(luò)犯罪服務(wù)鏈條，對各類數(shù)據(jù)黑產(chǎn)開展常態(tài)化打擊，守護全球企業(yè)與個人的數(shù)據(jù)安全。

https://cyberscoop.com/leakbase-cybercrime-forum-seized/

攻防技術(shù)

警惕“攻擊三位一體”：GenAI+DDoS+社會工程，網(wǎng)安從業(yè)者必看指南

Cloudflare發(fā)布首份《2026年威脅報告》，基于該公司日均攔截2300億次威脅的數(shù)據(jù)指出，生成式人工智能（GenAI）正推動現(xiàn)代網(wǎng)絡(luò)攻擊“根本性重構(gòu)”，網(wǎng)絡(luò)犯罪已實現(xiàn)全面工業(yè)化，盈利驅(qū)動和國家支持的攻擊者均已采用該技術(shù)。

報告詳細記錄了首起AI基攻擊：威脅 actor利用AI定位高價值數(shù)據(jù)，入侵數(shù)百個企業(yè)租戶，成為“影響最深遠的供應(yīng)鏈攻擊之一”。朝鮮組織則利用AI生成深度偽造內(nèi)容和假身份，繞過招聘篩選，將國家支持的間諜安插至西方企業(yè)，且不使用VPN，而是通過本地“筆記本電腦農(nóng)場”隱藏位置。

除GenAI外，DDoS攻擊和社會工程構(gòu)成當代網(wǎng)絡(luò)犯罪的“邪惡三位一體”。DDoS攻擊已超出人類響應(yīng)能力，Aisuru等大型僵尸網(wǎng)絡(luò)已升級為國家級威脅，可癱瘓整個國家網(wǎng)絡(luò)，其最高攻擊速率達31.4Tbps，需完全自主防御系統(tǒng)應(yīng)對。

Cloudflare威脅情報負責人Blake Darché表示，攻擊者持續(xù)迭代戰(zhàn)術(shù)，企業(yè)需從被動防御轉(zhuǎn)向?qū)崟r可操作情報驅(qū)動的主動防御，否則將在這場高風險競爭中落后。目前，GenAI已徹底降低甚至消除網(wǎng)絡(luò)攻擊的入門門檻，給網(wǎng)安防護帶來全新挑戰(zhàn)。

https://www.techradar.com/pro/security/the-total-industrialization-of-cyber-threats-cloudflare-report-outlines-how-hackers-are-weaponizing-the-internet

產(chǎn)業(yè)動態(tài)

Chrome 發(fā)布周期縮至兩周，安全補丁響應(yīng)再提速

Google 于周二宣布，自 2026 年 9 月起，Chrome 正式版本發(fā)布周期由當前四周縮短為兩周，該調(diào)整適用于桌面、Android、iOS 全平臺。

自 2021 年起 Chrome 采用四周大版本更新，2023 年起每周推送安全更新以縮小漏洞暴露窗口。Google 表示，Web 平臺持續(xù)演進，更快的發(fā)布節(jié)奏可讓開發(fā)者與用戶更快獲得性能優(yōu)化、漏洞修復(fù)與新功能。

新版本迭代通常包含漏洞補丁，更短周期有助于提升用戶安全與穩(wěn)定性。Google 稱，盡管發(fā)布更頻繁，但單版本更新范圍更小，可降低業(yè)務(wù)影響并簡化上線后調(diào)試，結(jié)合流程優(yōu)化，仍可保持高穩(wěn)定性標準。

該調(diào)整從 Chrome 153 版本（9 月 8 日）開始生效，同步適用于 Beta 通道，Dev 與 Canary 通道不受影響。Chrome Extended Stable 仍保持八周更新，為 Chromebook 用戶提供延長版支持，相關(guān)設(shè)備管理通道后續(xù)將公布更多適配細節(jié)。

https://www.securityweek.com/google-plans-two-week-release-schedule-for-chrome/

新品發(fā)布

微軟Windows Defender部署工具升級，簡化大規(guī)模設(shè)備入網(wǎng)管理

微軟Windows Defender部署工具完成更新，新增進度可見性與管控功能，助力管理員大規(guī)模管理設(shè)備入網(wǎng)流程。該工具可適配不同操作系統(tǒng)，支持各類Windows設(shè)備的終端安全，通過將入網(wǎng)包及相關(guān)信息嵌入可下載的.exe文件，無需為現(xiàn)代與legacy系統(tǒng)單獨準備入網(wǎng)文件，大幅簡化操作。

此次更新強化了管理員管控能力，若入網(wǎng)包被分享至組織外部可有效降低風險。管理員可使用包含所有必要入網(wǎng)信息的單一可執(zhí)行文件，無需額外文件；靜默和非交互式選項支持通過組策略或Configuration Manager等工具實現(xiàn)大規(guī)模部署。自定義包標識符可追蹤多環(huán)境部署，包有效期可設(shè)為1年，名稱標識符與密鑰提供額外監(jiān)管。

Defender門戶新增入口與指引，管理員可從設(shè)備庫存頁面直接選擇Windows設(shè)備的入網(wǎng)或退網(wǎng)方式。部署工具事件會顯示在設(shè)備時間線和高級搜索標簽頁，便于管理員實時掌握入網(wǎng)進度、排查錯誤。

微軟高級安全產(chǎn)品經(jīng)理Sinclaire Hamilton表示，新部署包頁面可直觀展示組織入網(wǎng)包，點擊可查看詳細屬性，還能按活躍/過期狀態(tài)篩選、隱藏無需顯示的包，為未來新增單設(shè)備入網(wǎng)遙測數(shù)據(jù)奠定基礎(chǔ)。該更新工具可通過設(shè)置>終端>入網(wǎng)>Windows路徑或直接從設(shè)備庫存頁面獲取，入網(wǎng)與退網(wǎng)指南可在Defender門戶新入網(wǎng)頁面查看。此外，Defender部署工具也支持Linux系統(tǒng)。

https://www.helpnetsecurity.com/2026/03/03/microsoft-defender-deployment-tool-for-windows-update/

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com