全球网安事件速递

1. 市场监管总局印发《网络交易合规数据报送管理暂行办法》

《办法》规范网络交易合规数据报送行为，发挥数据在平台经济治理中的关键要素作用，引导平台企业合规经营，提升网络交易监管效能，促进平台经济健康发展。【

1. 集中式硬编码密码

描述

硬编码密码是指将密码、密钥等敏感信息以明文形式直接写入代码中（如Java、Python、C++等语言中的字符串常量），通常是开发阶段为图方便而采用的临时措施。然而，这种做法在代码仓库泄露、反编译、动态调试或日志泄露等场景下极易暴露敏感信息。例如，攻击者可通过

漏洞概况

美国网络安全和基础设施安全局（CISA）已将Apache Tomcat路径等效漏洞（编号CVE-2025-248

微软威胁情报团队利用其AI驱动的Security Copilot工具，在广泛使

工业网络安全已成为国家安全、经济稳定和社会运行的重要基石。随着工业互联网、智能制造和关键基础设施的数字化升级，工业系统的复杂性和互联性显著提升，针对工业领域的网络攻击朝着目标多样化、勒索攻击产业化、攻击技术持续升级的方向发展，其安全态势正面临前所未有的严峻挑战。

FreeBuf咨询联合长扬科技、北信源共同撰写、发布《工业领域网络安全技术发展路径洞察报告》

如何访问 Samba 共享、如何操纵易受攻击的 proftpd 版本以获取初始访问权限以及如何通过 SUID 二进制文件将您的权限提升到 root 权限。

信息收集nmap扫描

-sC 运行默认脚本

-sV 枚举应用程序版本

-v 冗长的

-vv 非常详细

目标机器

windows机器

目标系统只开了

图片来源：Shutterstock

机器身份安全进入关键阶段

2025年，机器身份安全的重要性已达到临界点。随

法国竞争监管机构Autorité de la concurrence以苹果公司滥用其在移动应用广告市场的主导地位为由，对其处以1.5

物联网（IoT）已成为日常生活的重要组成部分。智能手机、智能恒温器、安防摄像头等联网设备在提升生活便利性和工作效率的同时，其

在2025年，数据保护已成为重中之重。随着越来越多的组织处理敏感客户数据，全球各地出台更严格的数据保护法规，企业需要强大的信息保护工具。这正

网络安全研究人员发出警告，针对Palo Alto Networks PAN-OS GlobalProtect网关的可疑登录扫描活动激

一、核心场景：破解 AES 加密通信的关键需求

美国德克萨斯州近日成为一场法律风暴的中心，针对**甲骨文公司（Oracle Corporation）**的大规模云数据泄露事件，当地法院已受理集体诉讼。这起于2025年3月31日向德克萨斯西区联邦地区法院提交的诉状指控甲骨文未能保护敏感信息，且未及时通知受影响用户。

数据泄露事件始末

此次泄露事件最早由Hackread.com

在微软试图加大使用本地账户难度的同时，一项此前未知的技巧可以轻松绕过Windows 11的微软账户(Microsoft A

攻击者利用公开概念验证代码，通过 CrushFTP 漏洞实现未授权访问

威胁行为者正在利用 CrushFTP 文件传输软件中

全球网安事件速递

1. 黑客宣称入侵Check Point网络安全公司并兜售访问权限

一名使用化名"CoreInjection"的黑客宣称对以色列网络安全公司Check Point的入侵事件负责，声称已获取该公司敏感内部数据和网络系统的访问权限。【外刊-

渗透测试（Penetration Testing，又称道德黑客）是网络安全领域的关键流程，旨在识别和修复系统、网络及应用程序

苹果公司发布紧急安全公告，披露编号为CVE-2025-24200、CVE-2025-24201和CVE-2025-24085的三处

安全研究人员证实，在概念验证（PoC）利用代码公开后，针对CrushFTP关键身份验证绕过漏洞（CVE-2025-2825）的攻击

朝鲜国家支持的黑客组织"拉撒路集团"（Lazarus Group）近期发起代号为"虚假面试"（ClickFake Intervie

攻击活动概况

安全研究人员发现，利用微软Windows近期修补的零日漏洞（zero-day）发起攻击的黑客组织正在

戴尔科技近日发布关键安全更新，修复其Unity企业存储系统中存在的多个高危漏洞。攻击者利用这些漏洞可在无需认证的情况下以root权

HPE Insight集群管理工具（CMU）v8.2版本中存在一个关键的无认证远程代码执行漏洞（CVE-2024-13804），攻

黑客入侵事件始末

一名使用化名"CoreInjection"的黑客宣称对以色列网络安全公司Check Point的入侵事件负责，声称已获取该公司敏感内部数据和网络系统的访问权限。

该黑客于2025年3月30日（周日）在Breach Forums论坛发布声明，宣布以5比特币（434,570美元）的价格出售窃取的内

其他工具: Tyran(暴君) 后渗透持久化控制

地址:https://github.com/MartinxMax/tyrant

Information Gathering

$

全球网安事件速递

1. Crocodilus恶意软件窃取安卓用户的钱包密钥

Crocodilus 是一种新的银行恶意软件，可以实现控制设备、收集数据和远程控制。该恶意软件是通过一个专有的dropper分发的，绕过了Android 13（及以后版本）的安全保护措施。【外刊-

一、漏洞原理

Fastjson反序列化漏洞的核心问题在于：当反序列化过程中自动加载了恶意类（通过@type指定）时，可能触发任意代码执行。关键点：

1. AutoType机制：Fastjson通过@type标识类名，

每周都有新的安全疏漏被威胁行为体利用——一个配置错误、一个被忽视的漏洞，或是过度便利的云工具都可能成为入侵突破口。当防御者反被入侵，

Ubuntu Linux 系统中存在三处关键安全限制绕过漏洞，允许本地攻击者提升权限并利用内核漏洞。这些漏洞影响 Ubuntu 2

高级恶意软件采用多重规避技术

Zscaler威胁实验室ThreatLabz发现，自2024年9月开始活跃的CoffeeLoa

DarkCloud是一款2022年出现的复杂窃密木马，迅速成为同类威胁中最活跃的恶意软件之一。这款针对Windows系统的恶意软件

环境搭建

mysql8.0

java1.8

maven3.9

采用IDEA搭建

部署并入侵Windows机器，利用一个非常糟糕的安全媒体服务器。

Recon

使用 SYN 扫描集来扫描计算机上的所有端口

nmap -sS -sV -sC -T4 10.10.97.40

-sC  使用默认 Nmap脚本进行扫描

-sV这将扫描已发现服务的版本

-sS  TCP 协议SYN 端口

一、JNDI 注入的原理

1. 核心逻辑：

   • JNDI 是 Java 提供的统一资源访问接口，支持通过名称（如ldap://example.com/obj）动态加载远程对象。

   • 当攻击者能控制 JND

AI大模型创新与应用风起云涌，有机构预测2025年将涌现5亿个TO B和TO C的AI应用，加速渗透到金融、制造、政务等千行百业，推动生产效率与业务模式的深刻变革。但大模型的规模化应用也给企业带来了包括数据安全、内容合规、系统稳定性在内的复杂风险。

基于此，本期《安全记》栏目围绕“大模型应用安全防护”主题展开探讨，首次邀请到了阿里云智能集团研究院院长穆飞担任主持人

根据Netskope最新研究，企业向生成式AI（GenAI）应用共享的数据量呈现爆炸式增长，一年内激增30倍。目前平均每家企业每月向AI工具传输的数据量已达7.7GB，较一年前的250MB实现跨越式增长。