NSA聯合CISA發布新指南，直擊隱蔽網絡攻擊手法；預算削減遇上攻擊升級，2026年網絡安全面臨雙重擠壓| 牛覽

新聞速覽

• NSA聯合CISA發布新指南，直擊隱蔽網絡攻擊手法

• 偽造紅頭文件設局，“紅汞”騙局如何掏空投資者？

• 員工點擊虛假驗證碼，Akira勒索軟件攻陷全球數據公司

• WhatsApp曝重大漏洞：35億用戶手機號可被枚舉

• 預算削減遇上攻擊升級，2026年網絡安全面臨雙重擠壓

• Comet瀏覽器MCP API暴露重大風險，用戶設備控制權或被劫持

• Amazon警告：網絡攻擊與物理打擊結合，"網絡輔助動能打擊"成新威脅

• Kaspersky Q3報告：勒索軟件攻擊激增，AI開始用于惡意軟件開發

• 暗網現美國防承包商敏感文檔，涉及激光武器與導彈防御技術

• 突破架構限制，Seraphic成為首個支持ChatGPT桌面版等Electron應用的瀏覽器安全平臺

特別關注

偽造紅頭文件設局，“紅汞”騙局如何掏空投資者？

近日，國家安全機關破獲一起以“紅汞”交易為名，偽造國家部委紅頭文件的詐騙案。犯罪團伙高度組織化、分工明確，虛構“國家戰略儲備資源”等概念，冒充政府官員，通過偽造公章、公文及仿冒政府網站，誘導受害者繳納“保證金”后失聯。此類騙局常包裝為“內部項目”“政策補貼”，承諾“低風險、高回報”，利用公眾對政府的信任實施精準詐騙。除造成重大財產損失外，更嚴重損害政府公信力、擾亂經濟秩序。專家提醒：凡涉政府項目，務必通過12339熱線或官網等官方渠道核實；警惕異常高回報承諾；發現偽造公文或冒充公職人員行為，請立即舉報。

https://mp.weixin.qq.com/s/ZZ6KSDVUcvrbIa_bHmOpRg

熱點觀察

Kaspersky Q3報告:勒索軟件攻擊激增，AI開始用于惡意軟件開發

Kaspersky發布的《2025年第三季度威脅報告》顯示，全球網絡安全態勢持續嚴峻。本季度，Kaspersky防護方案共攔截逾3.89億次網絡攻擊，其文件反病毒系統成功阻斷超過2,100萬個惡意對象，并識別出2,200個新型勒索軟件變種，較第二季度增長近30%。

在勒索軟件方面，全球近85,000名用戶遭受攻擊，其中Qilin組織以14.96%的受害者占比繼續位居數據泄露站點榜單首位。執法行動取得顯著進展：英國國家犯罪局逮捕了首名涉嫌針對歐洲機場發動勒索軟件攻擊的嫌疑人；美國司法部對LockerGoga、MegaCortex及Nefilim勒索軟件團伙的管理員提起訴訟；FBI聯合多國執法機構成功瓦解BlackSuit勒索軟件的基礎設施，繳獲4臺服務器、9個域名及價值109萬美元的加密貨幣。

技術層面呈現新趨勢：研究人員發現，一名英國背景的威脅行為者利用Claude AI構建勒索軟件即服務（RaaS）平臺，由AI自動生成集成反EDR機制、ChaCha20與RSA加密算法的惡意代碼。新型勒索軟件PromptLock則在攻擊過程中直接調用大語言模型，通過硬編碼提示動態生成Lua腳本，實現對Windows、macOS及Linux系統的跨平臺數據竊取與加密。

漏洞利用活動亦持續升級：Scattered Spider組織通過社會工程學手段滲透VMware ESXi虛擬化環境；Akira威脅行為者針對SonicWall防火墻SSL VPN，利用CVE-2024-40766漏洞竊取憑證并繞過多因素認證；另有攻擊者借助SharePoint中的ToolShell漏洞鏈，部署基于Mauri870代碼的4L4MD4勒索軟件。

此外，挖礦木馬活動同樣活躍，影響用戶逾254,000人。以色列成為勒索軟件攻擊密度最高的國家，受影響用戶占比達1.42%。

https://securelist.com/malware-report-q3-2025-pc-iot-statistics/118020/

WhatsApp曝重大漏洞：35億用戶手機號可被枚舉

維也納大學安全研究人員發現WhatsApp存在一項嚴重漏洞，可被用于枚舉全球約35億用戶的手機號碼，暴露出這一全球最廣泛使用即時通訊平臺的重大隱私隱患。

該漏洞根植于WhatsApp的聯系人發現機制——該功能本用于驗證聯系人是否已注冊平臺。然而，由于速率限制策略薄弱，攻擊者在未遭遇有效阻斷的情況下，每小時可探測逾1億個手機號碼。研究團隊通過對WhatsApp API進行逆向工程，于2024年12月至2025年4月期間，系統性地對來自245個國家的630億個候選號碼發起查詢。

所泄露的信息遠不止手機號本身。研究人員還獲取了用戶的公開頭像、狀態消息、商業賬戶資料、設備詳情、加密密鑰及時間戳等元數據。僅在美國區域，他們便成功下載了7700萬張關聯號碼的公開頭像；經面部識別分析，其中66%包含可檢測的人臉特征，可能被用于構建基于生物特征的反向查詢服務，將個體身份與手機號直接關聯。

在官方禁止使用WhatsApp的國家，該漏洞后果尤為嚴峻。研究發現中國存在約230萬活躍賬戶，緬甸160萬，伊朗高達5900萬，這些用戶或面臨政府監控乃至法律風險。

與2021年Facebook數據泄露事件（涉5億條記錄）交叉比對后，研究人員指出近半數泄露號碼在六年后仍活躍于WhatsApp，凸顯個人數據泄露所引發的長期安全威脅。

在遵循負責任披露流程后，WhatsApp已部署多項緩解措施，包括引入基數速率限制、限制頭像與狀態信息的訪問權限，并修復了Android客戶端中加密密鑰重用的安全缺陷。

https://cyberpress.org/whatsapp-vulnerability/

Amazon警告：網絡攻擊與物理打擊結合,"網絡輔助動能打擊"成新威脅

Amazon威脅情報部門近日發出警示：網絡攻擊與現實世界中的物理攻擊之間的界限正迅速消融。這一趨勢促使這家科技巨頭呼吁設立一種全新的戰爭類別——“網絡輔助動能打擊”（cyber-enabled kinetic targeting）。

Amazon首席安全官Steve Schmidt指出，越來越多的非傳統攻擊者展現出將網絡能力與動能軍事行動深度融合的專業素養。“物理安全與數字安全已無法再被視作彼此割裂的領域，”他強調。

據Schmidt介紹，攻擊者不僅入侵包含目標信息的網絡系統，更進一步滲透目標現場的閉路電視（CCTV）系統，以獲取高精度的情報。“這使得軍事規劃人員能夠實時觀察目標的物理環境，并在武器飛行過程中動態調整打擊參數。”

Amazon援引了兩起典型案例加以說明。其中最新的一起涉及與伊朗情報與安全部（MOIS）有關聯的威脅組織MuddyWater。該組織于今年5月部署專用服務器，并于6月成功訪問一臺已被攻陷、承載耶路撒冷實時CCTV視頻流的服務器。6月23日，當伊朗向耶路撒冷發射導彈時，以色列當局披露，伊朗軍方正是借助被入侵安防攝像頭提供的實時視覺情報，對導彈目標進行精確修正。

此類攻擊通常采用常見但高度協調的技術手段，包括使用匿名化VPN服務、自建命令與控制（C2）服務器、滲透企業級系

https://cyberscoop.com/amazon-cyber-enabled-kinetic-targeting/

安全事件

員工點擊虛假驗證碼，Akira勒索軟件攻陷全球數據公司

一家全球數據存儲與基礎設施公司遭遇嚴重勒索軟件攻擊，起因是一名員工在訪問某汽車經銷商網站時，不慎觸發了偽裝成CAPTCHA驗證的惡意腳本。此次攻擊由以牟利為目的的威脅組織Howling Scorpius（Akira勒索軟件運營方）精心策劃，歷時42天，充分暴露了該企業在威脅檢測與應急響應機制上的關鍵短板。

攻擊初始于ClickFix社會工程腳本——該技術將惡意載荷巧妙偽裝為常規安全驗證流程。員工點擊“驗證你是人類”的提示后，系統隨即下載基于.NET的遠程訪問木馬SectopRAT，使攻擊者獲得持久化系統控制權限。

隨后，攻擊者建立命令與控制（C2）后門，竊取域管理員及高權限憑證，并通過RDP、SSH和SMB協議在內網橫向滲透。在數周時間內，他們利用WinRAR歸檔機密數據，并借助FileZillaPortable外泄近1TB敏感信息。在部署Akira勒索軟件前，攻擊者刻意刪除了托管于云服務商基礎設施中的關鍵備份容器，繼而加密多個網絡，致使虛擬機大規模離線，業務全面中斷。

盡管該公司部署了兩套企業級EDR平臺，卻幾乎未對上述惡意活動發出有效告警。日志雖完整記錄了入侵痕跡、橫向移動路徑及數據暫存行為，卻未能轉化為可操作的威脅情報。Unit 42《2025年全球事件響應報告》指出，75%的同類數據泄露事件均存在類似“有日志無檢測”的盲區。

事后，Unit 42團隊依托Cortex XSIAM重建完整攻擊鏈，并通過直接談判將贖金要求削減近68%。此案例深刻警示：僅堆砌先進安全工具遠不足以構筑有效防線；真正的安全韌性，源于精準調優的檢測邏輯、持續主動的監控能力，以及在攻擊者得逞前迅速響應的實戰水平。

https://cyberpress.org/akira-ransomware-attack/

暗網現美國防承包商敏感文檔,涉及激光武器與導彈防御技術

11月19日，Telegram頻道“JRINTEL”發布消息稱，美國國防承包商雷神技術公司（Raytheon Technologies）一批標注為“專有信息／競爭敏感／非官方用途”（Proprietary／Competition Sensitive／U/FOUO）的技術文檔疑似遭非法公開。泄露內容涉及美軍多項關鍵防御系統，包括Quick Kill主動防護系統、HEL POD高能激光吊艙概念以及GL-AIM-9X導彈集成方案。

所披露的文檔顯示，Quick Kill 1.0系統采用有源電子掃描陣列（AESA）雷達，具備360度球形探測能力，可同時應對最多8個來襲威脅——涵蓋串聯戰斗部RPG與反坦克導彈（ATGM），并通過機動式攔截彈配合破片戰斗部實施硬殺傷。單套系統成本約120萬美元，單枚攔截彈造價約6.5萬美元，技術成熟度已達TRL-7。文檔明確標注該系統源自美國陸軍“未來作戰系統”（FCS）及“地面作戰車輛”（GCV）項目。

發帖者“jrintel”在消息中流露出顯著的絕望情緒，稱“這可能是我最后一次泄露”，并控訴遭人詐騙致陷入經濟困境。盡管其身份與心理狀態尚無法核實，但此類表述與近年來多起高調數據泄露事件中內部泄密者的典型心理特征高度吻合。

目前，相關文件的真實性尚未獲得獨立驗證，雷神公司亦未發布官方回應。然而，所披露文檔在格式與術語體系方面與已知公開資料高度一致。若內容屬實，此類信息外泄不僅可能暴露美軍裝備的戰術邏輯與技術邊界，更或被對手用于開發針對性干擾手段乃至加速逆向工程進程。

安全專家指出，此次事件再次凸顯國防工業基礎（DIB）所面臨的嚴峻挑戰：敏感數據不僅遭受外部黑客攻擊威脅，更可能因內部人員濫用合法訪問權限而泄露。國防企業亟需強化零信任安全架構，部署細粒度訪問控制、持續行為監控及數據防泄漏（DLP）策略，以構筑縱深防御體系。

https://mp.weixin.qq.com/s/xoc6tRuYTUESwXHhsIGOlA

Comet瀏覽器MCP API暴露重大風險,用戶設備控制權或被劫持

安全研究公司SquareX發布重要研究,揭露AI瀏覽器Comet存在隱藏API漏洞,允許內置擴展執行本地命令并完全控制用戶設備。

研究顯示，Comet實現了一個MCP API(chrome.perplexity.mcp.addStdioServer)，使其嵌入式擴展能夠在用戶設備上執行任意本地命令，這種能力在傳統瀏覽器中明確被禁止。更令人擔憂的是，該API缺乏官方文檔,現有文檔僅說明功能意圖，未披露Comet內置擴展擁有持久訪問權限并可在無用戶許可情況下隨意啟動本地應用。

SquareX研究員Kabilan Sakthivel指出："數十年來,瀏覽器廠商一直遵循嚴格的安全控制,防止瀏覽器尤其是擴展直接控制底層設備。傳統瀏覽器的本地系統訪問需要native messaging API、顯式注冊表項和用戶同意。Comet為讓瀏覽器更強大而繞過了所有這些安全措施。"

目前該API存在于Agentic擴展中，可被perplexity.ai頁面觸發。雖無證據表明Perplexity正在濫用MCP API，但一旦該公司遭遇XSS漏洞、釣魚攻擊或內部威脅，攻擊者將立即通過瀏覽器獲得對所有Comet用戶設備的控制權。

在攻擊演示中，SquareX團隊利用擴展踩踏技術偽裝惡意擴展，最終通過MCP API在受害者設備上執行WannaCry勒索軟件。由于這兩個擴展對Comet的代理功能至關重要，Perplexity將其隱藏在擴展管理面板中，用戶即使發現威脅也無法禁用。

https://www.cybersecurity-insiders.com/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers/

產業動態

預算削減遇上攻擊升級，2026年網絡安全面臨雙重擠壓

網絡安全服務商Bridewell首席執行官Anthony Young警告，隨著全球經濟壓力加劇及公共與私營部門預算持續緊縮，2026年將成為網絡安全的關鍵轉折點——組織在面臨日益增多的網絡威脅的同時，卻不得不應對防御資源不斷縮減的雙重困境。

Young指出，多年來的預算壓縮已產生累積效應，正通過一系列重大數據泄露事件與系統性故障顯現。“眾多組織被迫推遲現代化進程、凍結招聘并削減防御能力建設投入，導致安全人員短缺、威脅檢測遲滯、整體韌性削弱，而攻擊者卻愈發激進且技術手段日益精進。”

2025年已頻發多起標志性事件：Oracle Cloud遭遇大規模入侵，波及逾14萬租戶；Salesloft/Drift發生嚴重數據泄露；捷豹路虎更因網絡攻擊導致工廠停產數周。Young強調，此類事件絕非孤立個案，而是深層結構性風險的集中體現。

Bridewell觀察到一種新興趨勢：除有組織的犯罪團伙與國家支持的攻擊行為外，“休閑式”網絡攻擊顯著上升。越來越多松散關聯的個體——甚至包括青少年——正利用免費工具或AI輔助攻擊套件發起行動。“這一代人成長于數字環境，可輕易獲取開源情報、泄露憑證及自動化攻擊工具。在某些在線社群中，制造混亂所獲得的聲譽回報，往往遠超其感知到的被追責風險。”

Young警示，經濟壓力、社會疏離與低門檻攻擊技術的交織，正催生一種危險的合流態勢。“網絡安全如今正承受著與現實世界犯罪相似的社會經濟驅動力。若持續低估韌性建設與問責機制的重要性，恐將使網絡攻擊逐步演變為一種被默許的表達乃至抗議形式。”

https://www.itsecurityguru.org/2025/11/19/bridewell-ceo-gives-cyber-predictions-for-2026/

NSA聯合CISA發布新指南，直擊隱蔽網絡攻擊手法

美國國家安全局（NSA）近日聯合網絡安全與基礎設施安全局（CISA）等機構發布聯合《網絡安全信息表（CSI）：防彈防御——減輕防彈托管服務提供商帶來的風險》，為互聯網服務提供商（ISP）和網絡防御者提供建議指南，旨在應對日益猖獗的惡意網絡活動。

該指南聚焦于識別和阻斷攻擊者常用戰術，包括利用合法遠程管理工具（如RMM軟件）進行隱蔽滲透、濫用云服務實施橫向移動，以及通過釣魚郵件投放惡意載荷等手段。NSA強調，攻擊者常借助受信任的第三方平臺規避檢測，建議組織加強端點監控、實施最小權限原則，并及時更新憑證策略。指南還提供了具體緩解措施，如限制RMM工具部署范圍、啟用多因素認證及強化日志審計能力，以提升整體防御韌性。

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4336940/nsa-joins-cisa-and-others-to-release-guidance-on-mitigating-malicious-activity/

新品發布

突破架構限制，Seraphic成為首個支持ChatGPT桌面版等Electron應用的瀏覽器安全平臺

企業瀏覽器安全領導者Seraphic宣布推出針對Electron應用的原生防護功能,成為業內首個具備此能力的瀏覽器安全平臺，可保護ChatGPT桌面版、Teams、Slack等應用。

Seraphic的技術部署在JavaScript引擎內部，使其天然適配AI時代的安全需求。相比SASE、RBI、VDI等傳統方案因架構限制難以支持AI和Electron框架，Seraphic從瀏覽器核心層運作,能夠無縫支持Atlas、Comet、Leo等AI瀏覽器及各類AI工具。

該平臺提供內聯DLP、實時可見性和遠程連接等功能，覆蓋托管和非托管設備。其GenAI儀表板實現了完整的AI活動監控，包括提示詞、文件上傳下載及代理行為追蹤,可檢測影子AI、執行細粒度訪問控制，并在數據離開設備前進行DLP檢查，對敏感內容進行阻止、掩碼或水印處理。

Seraphic的方案無需基礎設施改造，不影響用戶體驗，為企業在AI驅動的工作流程中提供了輕量級的統一控制點,保護敏感數據、身份憑證和知識產權安全。

https://www.cybersecurity-insiders.com/seraphic-becomes-the-first-and-only-secure-enterprise-browser-solution-to-protect-electron-based-applications/

合作電話：18311333376

合作微信：aqniu001