在看 | 周报：国家部委张某犯重大间谍案；微软新安全功能误判导致全球性账户锁定；华硕确认AiCloud路由器存在严重漏洞

发布于2025年4月26日2025年7月19日作者:cve-20

在看 | 周报：国家部委张某犯重大间谍案；微软新安全功能误判导致全球性账户锁定；华硕确认AiCloud路由器存在严重漏洞

原创管窥蠡测安在 2025-04-26 09:12

热点事件，政策法规，产业要闻，资讯报告，尽在「网安周报」。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

安全事件

1、国家部委张某犯重大间谍案

国家安全部披露一起重大间谍案。某国家部委工作人员张某，主动向境外间谍情报机关发送投靠邮件，疯狂出卖我重要领域国家秘密，被国家安全机关及时控制。

2、微软新安全功能误判导致全球性账户锁定事件

微软Entra ID（原Azure Active Directory）新部署的”MACE泄露凭证检测”功能出现大规模误判，导致大量账户被错误锁定。

3、华硕确认AiCloud路由器存在严重漏洞

ASUS（华硕）已披露一个影响启用AiCloud功能的路由器的严重安全漏洞，该漏洞可能会使远程攻击者在易受攻击的设备上执行未经授权的功能。

4、英国软件公司泄露了1.1TB的医护人员记录

由于英国软件公司 Logezy 的员工管理数据库配置错误，800 万英国医疗保健工作者记录（包括身份证和财务数据）遭到泄露。

5、美国总务管理局内部敏感文件遭万人共享，白宫平面图泄露

据央视新闻报道，当地时间4月20日，《华盛顿邮报》查阅的内部记录显示，美国政府官员与联邦工作人员不当分享了敏感文件，其中包括可能属于机密的白宫平面图。

6、泄露近50万患者健康信息，知名眼科医疗集团赔偿超2600万元

Retina Group of Washington宣布就一起数据泄露事件达成和解，此前2023年该机构遭遇勒索软件攻击，导致约45万患者的个人隐私、健康信息、支付和保险信息等遭到窃取。

7、员工监控应用泄图2100万张

Cybernews的研究人员发现了一起涉及WorkComposer的重大隐私泄露事件。WorkComposer是一款职场监控应用，被无数公司的20多万用户使用。

8、新型恶意软件通过多层混淆技术劫持Docker镜像

网络安全研究人员最新发现一种针对Docker环境的恶意软件活动，其采用独特的多层混淆技术来规避检测，并劫持计算资源进行加密货币挖矿。

9、重大供应链攻击预警：XRP官方NPM包遭劫持植入私钥窃取程序

作为XRP账本官方JavaScript SDK的XRPL NPM软件包被植入恶意代码，该漏洞可能导致数十万应用面临加密货币私钥泄露风险。

10、新型钓鱼攻击预警：黑客滥用Google表单绕过邮件安检窃取凭证

近日，网络安全研究人员发现，黑客正利用这一广受欢迎的合法平台开展钓鱼攻击，以窃取用户敏感凭证。

11、Magecart 攻击升级：电商平台支付信息遭高度混淆代码窃取

一种复杂的 Magecart 攻击活动已被发现，其目标指向电子商务平台，攻击者使用经过高度混淆的 JavaScript 代码来获取敏感的支付信息。

12、Speedify VPN macOS 漏洞使攻击者能够提升权限

Speedify VPN 的macOS 应用程序中发现了一个重大安全漏洞，编号为 CVE-2025-25364，该漏洞使用户面临本地权限提升和整个系统被入侵的风险。

13、恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门

网络安全研究人员在 npm 注册表中发现了三个恶意包，它们伪装成流行的 Telegram 机器人库，但却隐藏着 SSH 后门和数据泄露功能。

14、Windows NTLM 漏洞肆虐，低交互高风险、可提权窃取敏感数据

黑客利用 Windows 漏洞（CVE-2025-24054），在网络钓鱼活动中，通过 .library-ms 文件诱导用户泄露 NTLM 哈希值，从而绕过身份认证和提升权限。

15、耶鲁纽黑文健康中心数据泄露影响了 550 万患者

2025年4月24日报道，耶鲁纽黑文健康中心（YNHHS）于本月早些时候的网络攻击导致 555.6 万余名患者个人数据被盗。3 月 8 日发生安全事件，3 月 11 日披露，致 IT 系统中断但未影响患者护理，该中心聘请 Mandiant 调查并通知联邦当局，4 月 11 日确认数据泄露，泄露信息含姓名、出生日期、社保号、病历号等，不含财务及治疗细节。4 月 14 日起向受影响患者邮寄信件，提供免费信用监控等服务。目前无勒索软件组织认领攻击，攻击者身份不明，相关集体诉讼已在筹备中。

16、Linux“io_uring”安全盲点允许隐蔽的 Rootkit 攻击

2025年4月24日报道，ARMO 安全研究人员发现，Linux 内核 “io_uring” 接口存在重大安全漏洞，其异步 I/O 机制因被多数安全工具忽视，可被 Rootkit 利用实现无检测运行并绕过企业级安全软件。研究人员开发概念验证 Rootkit “Curing”，演示了通过该接口执行远程命令、文件操作等恶意行为而不触发系统调用监控的过程。测试显示，Falco、Tetragon 等工具在默认或自定义规则下难以有效检测此类攻击，商业安全工具也存在检测盲区。Google 已在 Android 和 ChromeOS 默认关闭该接口以降低风险。ARMO 建议采用内核运行时安全检测（KRSI）技术，通过 eBPF 程序监控内核事件应对威胁，并在 GitHub 开源 Curing 供用户测试防御能力。

17、Marks & Spencer 确认存在网络攻击，客户面临订单延迟

2025年4月23日报道，英国跨国零售商 Marks & Spencer（M&S）披露，过去几天遭遇网络攻击，导致包括 Click and Collect 订单系统在内的运营受干扰，出现订单延迟，目前商店、网站及应用程序仍正常运行。公司已聘请外部网络安全专家调查处理，通知数据保护监管机构和国家网络安全中心。此次攻击性质未详，尚无勒索软件团伙或威胁行为者认领责任，推测若为勒索软件攻击，数据或已被盗用作勒索杠杆。

18、邮件 RCE 漏洞被利用，用于对日本组织的攻击

2025年4月22日报道，日本网络安全公司 Qualitia 旗下 Active! Mail 邮件系统存在零日远程代码执行漏洞（CVE-2025-42599，CVSS 评分 9.8），已被攻击者针对日本大型企业、政府机构等开展攻击，影响超 2250 个组织的 1100 万账户。该漏洞为栈缓冲区溢出，可致任意代码执行或拒绝服务，日本 CERT 确认其正被积极利用，敦促用户升级至 6.60.06008562 版本。Kagoya、WADAX 等服务商因攻击临时停服，Macnica 研究显示至少 227 台暴露服务器面临风险。无法更新的用户需配置 WAF 拦截异常请求。此次事件凸显零日漏洞对特定区域关键基础设施的威胁。

19、
黑客滥用 Zoom 远程控制功能进行加密盗窃攻击

2025年4月22日报道，网络安全公司 Trail of Bits 发现，名为 “Elusive Comet” 的黑客组织针对加密货币用户发起社会工程攻击，模仿 Lazarus 小组手法，利用 Zoom 远程控制功能实施欺骗。攻击者通过 X 平台傀儡账户或邮件发送伪造的 “彭博加密” 采访邀请，借助 Calendly 链接安排 Zoom 会议，将显示名称改为 “Zoom”，诱使受害者批准远程控制请求，从而获取系统完全控制权，可窃取数据、安装后门等。该攻击利用合法工具的信任机制，用户易因习惯操作误授权限。Trail of Bits 建议关键环境移除 Zoom 客户端，或通过 PPPC 配置文件阻止可访问性访问，降低被攻击风险。

20、
SK Telecom 警告客户 USIM 数据在恶意软件攻击中暴露

2025年4月22日报道，韩国最大移动运营商 SK Telecom 于 2025 年 4 月 19 日晚检测到系统遭恶意软件感染，威胁行为者借此访问客户敏感的 USIM 相关信息（如 IMSI、MSISDN、认证密钥等），可能用于监视或 SIM 交换攻击。公司已删除恶意软件、隔离设备，加强 USIM 交换和异常认证阻止，并建议用户注册 USIM 保护服务，目前无数据滥用确证，也无威胁行为者认领攻击，事件原因及影响范围仍在调查中。

21、
Ripple 推荐的 XRP 库 xrpl.js 遭黑客攻击用于窃取数字钱包

2025年4月22日报道，名为 “xrpl.js” 的 Ripple 加密货币推荐 NPM 库遭供应链攻击，2.14.2、4.2.1-4.2.4 等版本被植入恶意代码 “checkValidityOfSeed”，可窃取 XRP 钱包种子、私钥等信息并传输至攻击者服务器，威胁行为者借此盗取钱包资金。这些受损版本于 2025 年 4 月 21 日发布，总下载 452 次，目前已被删除，官方推出 4.2.5 洁净版本，建议用户立即升级。恶意代码疑似通过泄露的 Ripple 开发人员账户添加，未影响 XRP Ledger 代码库。

22、
亲俄黑客 NoName 对德国发起 DDoS 攻击

2025年4月25日报道，出于政治动机的亲俄黑客组织 Noname057 (16) 加大对德国组织的分布式拒绝服务（DDoS）攻击，目标包括巴伐利亚州立银行、BayWa AG、COBUS Industries 等企业及汉诺威、柏林等城市管理部门网站，疑似回应德国计划向乌克兰提供金牛座巡航导弹。Keymous + 和 Dark Storm 等组织也参与其中，攻击导致部分网站下线。DDoS 攻击虽干扰服务访问，但通常无持久损害，许多受攻击系统具备有效防护。

23、
Lazarus 集团利用 Cross EX 软件漏洞、Innorix 代理缺陷及 ThreatNeedle 恶意软件攻击 6 家韩国企业

2025年4月24日报道，卡巴斯基报告显示，与朝鲜有关联的 Lazarus Group 针对韩国软件、IT、金融、半导体制造和电信等行业发起 “Operation SyncHole” 攻击活动，最早于 2024 年 11 月被检测到。攻击结合水坑策略与韩国本土软件漏洞（如 Cross EX 安全漏洞），利用 Innorix Agent 零日漏洞进行横向移动，分阶段部署 ThreatNeedle、AGAMEMNON 等恶意工具，通过注入代码、绕过安全解决方案等手段实现持久化控制与凭据窃取。此次攻击凸显 Lazarus Group 对韩国特定环境的深入利用，卡巴斯基警告其针对韩国供应链的专业化攻击可能持续，且攻击者正通过改进恶意软件通信机制规避检测。

调查报告

1、Verizon发布《2025数据泄漏调查报告》

该报告追踪了22052起安全事件，其中12195起涉及数据泄露，分布在139个国家，揭示了网络安全威胁的最新演进趋势。

2、《Agentic AI安全技术应用报告》发布

报告依托多方面调研分析，对Agentic AI发展背景、国内外政策等诸多方面进行了研究，不仅揭示了Agentic AI内生安全、使用安全和赋能安全之间的关系，而且创新性地提出安全牛洋葱风险模型。

安在有声

诸子云 | 活动：4.19上海企业出海网络安全专题研讨会

百家 | 杨兴：零基础构建安全智能体-我的MCP安全智能体开发实践

RECOMMEND