网络空间安全动态(202509期)
编者按:网安动向热讯,本期有八点值得关注:一是四部门联合印发《人工智能生成合成内容标识办法》;二是工信部部署做好2025年信息通信业安全生产和网络运行安全工作;三是强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》发布;四是《网络安全标准实践指南—人工智能生成合成内容标识 服务提供者编码规则》发布;五是美战略和国际研究中心发布《DeepSeek、华为、出口管制以及中美AI竞赛的未来》报告;六是美海军推出工业控制系统态势感知增强系统,强化关键基础设施网络安全;七是美陆军正式发布《陆军统一网络计划2.0》;八是西班牙出台人工智能治理法案。
数据前沿快讯,本期有四点值得关注:一是工信部印发《工业企业和园区数字化能碳管理中心建设指南》;二是欧洲科技巨头联名呼吁欧盟立法者对数字主权采取“激进行动”;三是国家数字经济创新发展试验区工作推进会在北京召开;四是国家数据局组织召开公共数据资源登记工作推进会。
网安事件聚焦,本期有两方面内容建议关注:一是APT组织、勒索软件组织等持续利用各类武器针对部分国家和地区政府机构和企业发起攻击。本期介绍:国家网络安全通报中心提醒,境外黑客组织利用恶意网址和恶意IP持续对中国发起网络攻击;APT37组织推出新型Android间谍软件KoSpy,针对韩语和英语用户发起攻击;日本网络安全机构警告防范来自“MirrorFace”APT组织攻击;美多个机构联合发布报告称,超300个关键基础设施遭Medusa勒索软件攻击;勒索组织Babuk声称攻击法国电信运营商Orange并窃取数据;巴黎索邦大学遭人工智能开发的Funksec勒索软件攻击。二是因外部攻击和内部配置错误导致的大规模数据泄露事件高发频发,部分企业因此面临巨额赔偿。本期介绍:热门GitHub Action供应链遭攻破,23000余仓库机密信息或已泄露;英国著名汽车制造商捷豹路虎内部系统遭黑客入侵,约700份敏感数据被窃取;美健康科技公司因存储桶配置错误致29州8.6万名医疗工作者信息泄露;印度IT巨头泄露650万用户数据,赔偿超1750万美元。
网安风险警示,本期有六点建议关注:一是研究人员发现开源服务器端脚本语言PHP严重漏洞正遭大规模利用;二是工业网络和通信提供商Moxa的PT交换机中存在严重认证绕过漏洞;三是ruby-saml工具包存在身份认证绕过漏洞;四是思科OS XR软件存在拒绝服务漏洞,可导致路由器BGP进程崩溃;五是美CISA警告Apple WebKit越界写入漏洞遭利用;六是微软Windows文件资源管理器存在欺骗漏洞。
一、网安动向热讯
(一)四部门联合印发《人工智能生成合成内容标识办法》
3月14日消息,国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合印发《人工智能生成合成内容标识办法》,自2025年9月1日起施行。《标识办法》明确,人工智能生成合成内容标识主要包括显式标识和隐式标识两种形式,显式标识是指在生成合成内容或者交互场景界面中添加的,以文字、声音、图形等方式呈现并可以被用户明显感知到的标识;隐式标识是指采取技术措施在生成合成内容文件数据中添加的,不易被用户明显感知到的标识。《标识办法》强调,任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识,不得为他人实施恶意行为提供工具或者服务,不得通过不正当标识手段损害他人合法权益。(信息来源:中国网信网)
(二)工信部部署做好2025年信息通信业安全生产和网络运行安全工作
3月17日消息,工业和信息化部印发通知,部署做好2025年信息通信业安全生产和网络运行安全工作。要求坚持人民至上、生命至上,统筹高质量发展和高水平安全,按照“三管三必须”要求,进一步树牢安全发展理念,着力提升行业本质安全水平,坚决防范遏制重特大事故发生。明确了加强思想政治引领、抓好通信建设安全生产制度落实、强化信息通信网络运行安全管理、进一步压实企业安全生产主体责任、加强事故隐患排查治理、突出重点领域安全管理、提高应急处置能力等七项主要任务。(信息来源:工信微报)
(三)强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》发布
3月15日消息,全国网安标委发布强制性国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》,自2025年9月1日起施行。本标准是配套《人工智能合成内容标识办法》的强制性国家标准,对防范人工智能生成合成内容引发安全风险、提升人工智能安全水平起到规范作用,促进人工智能行业安全发展。本标准规定了人工智能生成合成内容标识方法,适用于生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识活动。(信息来源:全国网安标委)
(四)《网络安全标准实践指南—人工智能生成合成内容标识 服务提供者编码规则》发布
3月14日消息,全国网安标委发布《网络安全标准实践指南—人工智能生成合成内容标识 服务提供者编码规则》。本《实践指南》给出了人工智能生成合成内容服务提供者和网络信息内容传播服务提供者的编码结构和赋码规则,可为人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成内容的文件元数据隐式标识活动提供参考。(信息来源:全国网安标委)
(五)中国网络空间安全协会等联合发布《个人信息超范围收集与泄露问题分析研究报告》
3月15日消息,中国网络空间安全协会、中国消费者协会、新华网等联合发布《个人信息超范围收集与泄露问题分析研究报告》。研究报告聚焦个人信息超范围收集和泄露问题,通过梳理我国当前个人信息超范围收集与泄露的情况,结合已经处置的11个典型案例,指出个人信息超范围收集和泄露的典型问题,主要是个人和企业能力与信息不对称加剧信息滥用、技术防护不足导致泄露频发、海量数据汇集放大泄露后果等。从企业、个人和技术三个层面究其原因,分别是企业合规缺位与安全管理缺失、个人判断能力欠缺与寻求救济困难、保护与利用在技术上存在冲突等。(信息来源:中国网络空间安全协会)
(六)美战略和国际研究中心发布《DeepSeek、华为、出口管制以及中美AI竞赛的未来》报告
3月13日消息,美战略和国际研究中心(CSIS)发布《DeepSeek、华为、出口管制以及中美AI竞赛的未来》报告,概述了DeepSeek的起源和成就、地缘政治影响和美国及其盟国政策制定面临的关键挑战。报告特别关注DeepSeek对未来人工智能和半导体出口管制政策的影响。结论是,虽然DeepSeek的成功确实在一定程度上反映了美国早期出口管制实施的失败,但这些管制仍可在支持美国赢得与中国人工智能竞赛的战略方面发挥关键作用。(信息来源:全球技术地图)
(七)美联邦通信委员会成立新的国家安全委员会
3月14日消息,美联邦通信委员会(FCC)发布一则公告,宣布成立新的国家安全委员会,以“抵御外国不良行为者”。公告概述了该委员会三大目标:一是减少美国在技术和电信供应链方面对外国对手的依赖;二是减轻美国在监视、间谍和网络攻击方面的脆弱性;三是确保美国在开发和部署5G、6G、人工智能、卫星与太空、量子、机器人、自主系统和物联网技术等关键技术领域的竞争中领先中国。该委员会将由FCC内的八个局和办公室代表组成,促进跨机构合作和信息共享。(信息来源:环球时报)
(八)美海军推出工业控制系统态势感知增强系统,强化关键基础设施网络安全
3月14日消息,美海军信息战中心(NIWC)推出“工业控制系统态势感知增强系统”(MOSAICS),旨在保护美国家关键工业控制系统(ICS)免受网络攻击。MOSAICS框架通过提供与供应商无关的商用硬件和软件,将网络监控和响应协议集成到物理设备中,帮助关键基础设施运营商主动防御威胁。NIWC希望MOSAICS成为美国防部统一设施标准的一部分,确保军事设施ICS的安全性、可靠性和功能性。(信息来源:启元洞见)
(九)美陆军正式发布《陆军统一网络计划2.0》
3月13日消息,美陆军发布《美国陆军统一网络计划2.0》,重申了初始版计划的五大战略工作路线,强调通过“实施零信任原则”和“转向以数据为中心”两项重点工作,改善陆军网络传输和保护数据的方式,使陆军更好地为多域作战作好准备。该计划侧重于共同原则和标准,以集中交付和管理网络和数据,设定的关键原则包括:整合零信任和数据中心;减少或消除边缘信息技术的复杂性;集中信息技术服务交付和资源配置;建立并采用共同的标准、流程和系统;推动作战人员优先考虑指挥控制以支持多域作战和通信受限环境;实现与合作伙伴、盟友以及跨安全域的快速安全数据共享;制定运行概念并验证各梯队的操作要求。(信息来源:奇安网情局)
(十)美国土安全部任命安东尼·麦考德为新任首席信息官
3月17日消息,美国土安全部任命安东尼·麦考德为新任首席信息官。麦考德已开始履行职责,其任务是监督美国土安全部约110亿美元的IT预算,并领导该部门企业范围的IT战略、网络安全运营和数字现代化工作。据美国土安全部公开资料显示,麦考德曾在美海军陆战队服役,专门从事网络和情报行动,在网络运营和国家安全方面拥有超过18年的经验,并且致力于增强网络弹性和运营效率,以支持美国土安全部的核心任务和活动。(信息来源:启元洞见)
(十一)西班牙出台人工智能治理法案
3月13日消息,西班牙政府批准一项人工智能治理法案,将人工智能应用细分为不同的风险等级,并对高风险人工智能系统施加更为严格的规定。该法案要求高风险系统必须遵循风险管理、透明度、人工监督以及数据治理等关键标准,并受到相关行业监管机构的严格监督。法案明确禁止了若干有害的人工智能实践,主要包括运用潜意识技术操纵决策过程;基于敏感数据的歧视性分类;缺乏人工监督的生物识别监控等。法案还要求企业在采用人工智能生成内容时必须明确标识,否则将可能遭到高达3500万欧元或全球年营业额7%的罚款。(信息来源:赛博研究院)
二、数据前沿快讯
(十二)工信部印发《工业企业和园区数字化能碳管理中心建设指南》
3月18日消息,工业和信息化部印发《工业企业和园区数字化能碳管理中心建设指南》。《指南》包括四部分内容。一是建设目标,通过数字化能碳管理中心的建设运行,实现对能耗和碳排放的精准化计量、精细化管控、智能化决策与可视化呈现,提升工业企业和园区节能降碳管理能力,支撑能源利用效率提升和碳排放降低,促进绿色低碳转型。二是业务功能,明确数字化能碳管理中心具备能耗查询、计算、分析、能效对标、优化、用能与碳排放预算管理、碳足迹核算等功能。三是技术方案,明确数字化能碳管理中心的系统架构包括基础设施、数据采集、数据架构、模型组件、业务应用和互动展示。四是保障措施,依据《中华人民共和国节约能源法》等相关规定,从组织机构、管理制度、网络和数据安全等方面提出具体措施,保障数字化能碳管理中心的高水平建设和高质量运行。(信息来源:工信微报)
(十三)欧洲科技巨头联名呼吁欧盟立法者对数字主权采取“激进行动”
3月16日消息,欧洲科技巨头联名呼吁欧盟立法者采取“激进行动”,减少对外国数字基础设施和服务的依赖,以在日益紧张的地缘政治时期增强欧盟的经济前景、韧性和安全性。约100个组织的80多名签署人表示,希望地区立法者重新考虑当前的支持工作,以便专注于促进最具商业潜力的本土替代方案的采用,从应用程序、平台和人工智能模型到芯片、计算、存储和连接。此次行动获得欧洲数字产业协会DIGITALEUROPE等机构支持,被视作对欧盟《关键原材料法案》《净零工业法案》的延伸诉求。(信息来源:金融界)
(十四)国家数字经济创新发展试验区工作推进会在北京召开
3月15日消息,国家数据局组织召开国家数字经济创新发展试验区工作推进会。会议强调,试验区建设是综合性系统工程,要注重顶层设计和地方实践相结合,在总结经验基础上,固化形成制度;要注重有效市场和有为政府相结合,发挥企业创新主体作用,推动科技创新和产业创新融合,落实国家区域重大战略,优化数字产业集群和数据基础设施布局;要注重自主创新和开放合作相结合,打造数字经济创新发展高地,探索数据安全托管、数据跨境高效安全流动等新模式。(信息来源:国家数据局)
(十五)国家数据局组织召开公共数据资源登记工作推进会
3月14日消息,国家数据局组织召开公共数据资源登记工作推进会。会议通报了国家公共数据资源登记平台运行情况、公共数据资源登记情况。自3月1日国家登记平台上线以来,访问规模稳步增长,登记范围逐步扩大,登记内容不断丰富。截至3月11日,国家登记平台与8个已完成建设的省级平台顺利实现互联互通,同时暂时代为受理19个省(自治区、直辖市)的数据资源登记申请,平台已公示公共数据资源475项,覆盖38个国民经济行业大类。全国公共数据资源登记工作扎实起步,促进供需对接效应初步显现。(信息来源:国家数据局)
三、网安事件聚焦
(十六)国家网络安全通报中心提醒,境外黑客组织利用恶意网址和恶意IP持续对中国发起网络攻击
3月18日消息,国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等,对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及美国、荷兰、英国等。国家网络安全通报中心建议:对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件;及时在威胁情报产品或网络出口防护设备中更新规则;向公安机关及时报告,配合开展现场调查和技术溯源。(信息来源:国家网络与信息安全信息通报中心)
(十七)APT37组织推出新型Android间谍软件KoSpy,针对韩语和英语用户发起攻击
3月14日消息,研究人员称一种名为“KoSpy”的新型Android间谍软件与APT37组织有关,该组织通过至少五个恶意应用程序渗透到Google Play和第三方应用商店APKPure。这些应用程序伪装成文件管理器、安全工具和软件更新程序,针对韩语和英语用户发起攻击。一旦激活,KoSpy会从Firebase Firestore数据库中检索加密配置文件,连接到命令和控制服务器,并运行各种数据收集功能(拦截短信和通话记录、实时追踪GPS位置、窃取文件、录制音视频等)。目前,这些应用程序已从Google Play和APKPure中移除,但用户仍需手动卸载并使用安全工具扫描设备。(信息来源:BleepingComputer网)
(十八)日本网络安全机构警告防范来自“MirrorFace”APT组织攻击
3月14日消息,日本国家警察厅和国家网络安全事件准备和战略中心发布安全公告,警告日本各组织面临来自“MirrorFace”的APT10子组织的攻击。该APT组织利用Windows Sandbox和Visual Studio Code执行恶意活动,并使用了名为“LilimRAT”的定制恶意软件,通过启用Windows Sandbox、创建自定义配置文件和在隔离环境中执行恶意软件等复杂的多阶段攻击流程,在受感染系统上保持持久性并最大限度地减少活动痕迹。安全专家建议各组织保持Windows Sandbox禁用状态、监控相关进程、限制管理权限,并实施AppLocker策略,以防止未经授权执行Windows Sandbox。(信息来源:CyberSecurityNews网)
(十九)美多个机构联合发布报告称,超300个关键基础设施遭Medusa勒索软件攻击
3月15日消息,美网络安全与基础设施安全局(CISA)、美联邦调查局(FBI)、美多州信息共享与分析中心联合发布公告称,截至2025年2月,Medusa勒索软件攻击已影响美国300多个关键基础设施领域的组织,涉及医疗、教育、法律、保险、技术和制造业等。建议各组织采取修补安全漏洞、分段网络、过滤网络流量等缓解措施,以防御Medusa勒索软件攻击。Medusa勒索软件组织于2021年1月出现,2023年开始活跃,其通过泄密网站和黑暗勒索门户网站向受害者施压要求支付赎金。(信息来源:BleepingComputer网)
(二十)勒索组织Babuk声称攻击法国电信运营商Orange并窃取数据
3月16日,勒索组织Babuk声称对法国电信运营商Orange进行攻击,并窃取4.5TB信息,包括电子邮件地址、客户记录、源代码、内部文档、发票、合同、用户数据、员工数据、信用卡、通话记录以及其他个人身份信息。Orange承认数千份包含用户记录和员工数据的内部文件遭黑客窃取。Orange是法国跨国电信公司,拥有13.7万名员工。Babuk勒索软件组织以服务形式提供恶意软件和支持,目标是大型企业,于2020年首次出现。(信息来源:蚁景网安实验室)
(二十一)巴黎索邦大学遭人工智能开发的Funksec勒索软件攻击
3月14日消息,Funksec勒索软件组织声称已攻破巴黎索邦大学,并在其暗网发布据称从该校服务器窃取的20GB文件数据以索取赎金。索邦大学拥有55000名学生和数千名研究及行政人员。目前,该校尚未就此事进行回应。Funksec勒索软件组织自2024年11月公开以来,已对美国、印度、西班牙和蒙古的政府和国防、技术、金融和教育领域发起攻击。该组织使用人工智能开发勒索软件,被列为过去四周内最活跃的五大勒索软件组织之一。(信息来源:启明星辰)
(二十二)热门GitHub Action供应链遭攻破,23000余仓库机密信息或已泄露
3月18日消息,研究人员发现热门GitHub Action中广泛使用的tj-actions/changed-files被攻破,导致使用CI/CD工作流的仓库机密信息面临泄露风险,涉及23000多个仓库。tj-actions/changed-files GitHub Action用于跟踪和检索所有更改的文件和目录。研究人员表示,被攻破的操作会在GitHub Actions构建日志中打印CI/CD机密信息,如工作流日志可公开访问,且在仓库上运行该操作时,可能导致敏感机密信息未经授权被曝光,包括AWS访问密钥、GitHub个人访问令牌、npm令牌和私有RSA密钥等。截止目前,尚未有证据表明遭泄露机密信息被传输到任何攻击者控制的基础设施中。(信息来源:安全威胁纵横)
(二十三)英国著名汽车制造商捷豹路虎内部系统遭黑客入侵,约700份敏感数据被窃取
3月14日消息,化名为“Rey”的攻击者声称入侵英国著名汽车制造商捷豹路虎的内部系统,并在暗网论坛泄露约700份包含敏感技术和运营数据的文件,数据涉及多个类别,包括专有源代码、车辆开发日志、跟踪数据集以及员工数据库等,可能对该公司知识产权安全和员工隐私造成严重威胁。捷豹路虎尚未就此事发表声明,网络安全公司已开始验证遭泄露数据的真实性。(信息来源:CyberSecurityNews网)
(二十四)美健康科技公司因存储桶配置错误致29州8.6万名医疗工作者信息泄露
3月14日消息,网络安全研究人员发现美新泽西州健康科技公司ESHYFT的AWS S3存储桶因配置错误被公开暴露,该存储桶中约108.8GB的数据未设置密码保护,导致超8.6万名医疗工作者的敏感信息(个人身份信息、面部照片、工作排班表、专业证书以及医疗文件等)处于可公开访问状态。这些数据涉及来自29个州的医疗工作者,包括护士、护理助理等。ESHYFT回应称,正积极调查并寻找解决方案。(信息来源:CyberSecurityNews网)
(二十五)印度IT巨头泄露650万用户数据,赔偿超1750万美元
3月18日消息,印度IT巨头Infosys已同意支付1750万美元,以解决其美国子公司IMS因网络数据泄露事件而面临的相关诉讼。该事件发生于2023年11月,导致650万用户数据遭未经授权访问,包括姓名、出生日期、地址、企业邮箱及社会安全号码等。此次事件与勒索软件攻击有关,导致IMS部分应用下线,对Infosys的财务状况造成影响,还引发多起诉讼。目前,Infosys宣布达成和解协议,以解决该事件。(信息来源:安全内参)
四、网安风险警示
(二十六)研究人员发现开源服务器端脚本语言PHP严重漏洞正遭大规模利用
3月14日消息,威胁情报公司GreyNoise称,攻击者开始大规模利用开源服务器端脚本语言PHP中的一个严重漏洞CVE-2024-4577(CVSS评分为9.8),在易受攻击服务器上实现远程代码执行。由于PHP在Windows中的视线并不考虑“Best-Fit”行为,即将Unicode字符转换为最为接近的ANSI字符,因此攻击者可提供特定字符序列,当转换时可被php-cgi模块错误地解释为PHP选项。攻击者已利用该漏洞在美、英、新加坡和印度等国家和地区发起攻击。目前,官方已修复上述漏洞,建议用户尽快更新版本。(信息来源:代码卫士)
(二十七)工业网络和通信提供商Moxa的PT交换机中存在严重认证绕过漏洞
3月15日消息,研究人员发现工业网络和通信提供商Moxa的多款PT交换机存在认证绕过漏洞CVE-2024-12297(CVSS评分9.2),成功利用该漏洞的攻击者可绕过认证机制,并获得对敏感配置的越权访问或破坏多种服务。尽管存在客户端和后端服务器验证机制,但攻击者可利用该漏洞实现中的弱点,暴力攻击以猜测有效凭据或MD5碰撞攻击,伪造认证哈希,从而攻陷设备安全性。目前,官方已发布安全更新,建议用户尽快采取措施。(信息来源:代码卫士)
(二十八)ruby-saml工具包存在身份认证绕过漏洞
3月15日消息,奇安信CERT监测到官方修复ruby-saml身份认证绕过漏洞CVE-2025-25291和CVE-2025-25292(CVSS评分均为9.1)。ruby-saml使用了两种XML解析器ReXML和Nokogiri,由于解析XML的方式不同导致签名验证错误从而产生身份验证绕过。在GitLab中存在此漏洞实例。ruby-saml是GitLab用于实现SAML单点登录功能的Ruby工具包,通过OmniAuth-SAML进行集成,帮助用户实现便捷的身份验证和访问控制。鉴于该漏洞影响范围较大,建议用户尽快升级至最新版本。(信息来源:奇安信CERT)
(二十九)思科OS XR软件存在拒绝服务漏洞,可导致路由器BGP进程崩溃
3月17日消息,研究人员发现思科IOS XR软件中边界网关协议(BGP)的联盟实现存在拒绝服务漏洞CVE-2025-20115。攻击者可利用该漏洞通过精心构造的BGP更新或错误配置网络,使IOS XR路由器上的边界网关协议进程崩溃,从而引发拒绝服务,影响配置了BGP联盟的思科IOS XR软件,但IOS软件、IOS XE软件和NX-OS软件不受影响。IOS XR是思科为运营商和服务提供商路由器开发的网络操作系统,基于微内核架构,专为高可用性、可扩展性和模块化设计。目前,思科已修复上述漏洞,建议用户尽快更新。(信息来源:HackerNews网)
(三十)美CISA警告Apple WebKit越界写入漏洞遭利用
3月15日消息,美CISA发出警告,称苹果WebKit浏览器引擎存在一个已被野外利用的零日漏洞CVE-2025-24201。攻击者可通过精心构造的恶意网页内容,突破Web Content沙盒隔离,在受影响设备上执行未经授权代码,甚至部署间谍软件,影响iPhone XS及后续机型、iPad Pro系列、iPad Air系列,iOS和iPadOS上的第三方浏览器也受影响。目前,苹果已确认该漏洞可能在针对特定个人的“极其复杂”的攻击中被利用,并已修复漏洞。美CISA建议用户立即更新设备。(信息来源:CyberSecurityNews网)
(三十一)微软Windows文件资源管理器存在欺骗漏洞
3月19日消息,微软修复Windows文件资源管理器欺骗漏洞CVE-2025-24071(CVSS评分7.5),原因是Windows资源管理器在解压包含特制.library-ms文件的RAR/ZIP存档时,会自动解析该文件内嵌的恶意SMB路径,触发隐式NTLM认证握手,导致用户NTLMv2哈希泄露。Windows文件资源管理器是Windows操作系统中的一个核心组件,用于浏览和管理计算机中的文件、文件夹和驱动器,它提供了直观的图形界面,使用户能够方便地进行文件操作。目前该漏洞技术细节与POC已公开且已遭在野利用,建议用户及时做好防护。(信息来源:奇安信CERT)
