2025年“净网”“护网”专项工作部署会召开；巴黎迪士尼被曝遭遇勒索软件攻击，泄露64GB工程数据 | 牛览

新闻速览

•2025年“净网”“护网”专项工作部署会召开

•黑客在GitHub上发布恶意仿冒代码库

•英国牛津市议会遭遇数据泄露，20年员工信息被黑客入侵

•巴黎迪士尼被曝遭遇勒索软件攻击，泄露64GB工程数据

•黑客利用应用专用密码绕过Gmail双因素认证

•黑客组织暗网兜售针对FortiOS的API漏洞利用工具

•Amazon EKS漏洞暴露AWS敏感凭证并提升权限

•金融服务业成为大规模DDoS攻击的主要目标，2024年同比增长23%

•中国电科发布“衡”系列安全解决方案与“量铠”抗量子密码系列产品

特别关注

2025年“净网”“护网”专项工作部署会召开

6月2日，2025年“净网”“护网”专项工作部署会在京召开。会议强调，要坚决贯彻落实党中央决策部署，按照公安部党委要求，坚持以打开路、生态治理、主动防范、合成作战，始终保持严打高压态势，依法严厉打击整治各类网络违法犯罪，有效推动“净网”“护网”专项工作扎实开展，有力捍卫网上政治安全、维护网上公共安全、保护网络空间安全，不断增强人民群众在网络空间的获得感、幸福感、安全感。

会议要求，要坚持以打开路，进一步构筑“净网”工作新格局。要加大打击力度，紧盯人民群众反映强烈的各类网络乱象，持续依法严打侵犯公民个人信息、网络谣言、黑客犯罪、网络水军、网络黑灰产、网络暴力等突出网络违法犯罪，对重大典型案件要挂牌督办，确保打击质效。要提升打的能力，健全完善“专业+机制+大数据”新型警务运行模式，为高效开展网络线索核查、案件侦办等工作提供有力支撑。要形成打的合力，充分发挥国家网络与信息安全信息通报机制作用，强力推进网络空间安全综合治理，压实互联网企业主体责任，筑牢网络安全防线。

会议要求，要坚持打管衔接，进一步健全“护网”综合治理新体系。要全力保护网络安全，加强关键信息基础设施保护、重要系统安全检测。要全力保护数据安全，加强数据安全问题集中整治、重点行业监督检查，及时整改问题、堵塞漏洞。要全力保护信息安全，加强互联网平台安全监管、人工智能平台安全监管和网络信息内容的全链条监管。

https://mp.weixin.qq.com/s/r1C_HNekvXVY1glKed39MA

热点观察

黑客在GitHub上发布恶意仿冒代码库

随着软件包注册中心网络攻击防御的加强，威胁行为者正转向其他方法向开发者传播恶意软件。据ReversingLabs报告，虽然PyPI和npm等平台上的恶意软件包案例显著下降了70%，但攻击者正在GitHub等代码托管平台上开发更隐蔽的技术。

在最近的一次攻击活动中，威胁组织"Banana Squad"向GitHub发布了67个恶意仿冒代码库，希望诱骗用户误以为他们在下载知名的黑客工具。这些恶意代码库模仿了其他合法GitHub仓库的名称和文件。为了隐藏恶意代码，Banana Squad利用了GitHub用户界面的一个普通特性：当审查代码时，特别长的代码行不会自动换行，而是会无限延伸到用户屏幕的右侧。攻击者在看似合法的代码行末尾添加了大量空格，然后在视野之外附加了恶意代码。

与软件包相比，GitHub仓库对威胁行为者来说效率较低。开发者使用仓库涉及更多步骤，过程更为手动。潜在目标必须找到恶意仓库，信任它，克隆它，然后将其集成到项目中，这个过程通常包括一些代码审查。

https://www.darkreading.com/threat-intelligence/dozens-malicious-copycat-repos-github

黑客组织暗网兜售针对FortiOS的API漏洞利用工具

近日，一名威胁行为者据报在暗网市场上出售一款针对Fortinet FortiOS系统的高级API漏洞利用工具，引发网络安全社区的广泛关注。该工具售价1.2万美元，并提供第三方托管服务以促成交易。

根据泄露的广告和地下论坛上的图片帖子，这款工具声称可利用超过170个未受保护的API端点，从受影响设备中获取大量敏感信息。该漏洞利用工具具备自动化模块，能够扫描并提取运行FortiOS 7.2及以下版本的FortiGate防火墙设备数据。工具采用多线程技术进行快速批量数据提取，使攻击者能够同时攻击多个目标，并在单次操作中导出超过150个独特的配置文件。据称，该工具可以绕过传统身份验证，仅需知道设备的IP地址和API端口即可提取的敏感信息，包括防火墙策略、VPN会话日志、用户账户凭证、SSL门户设置、SNMP社区和加密密钥，以及DNS、高可用性集群和NTP服务器等网络设置详情。

安全分析师警告，此类工具的出现不仅增加了机会主义攻击的风险，还降低了技术门槛，使经验较少的恶意行为者也能实施企业级入侵。目前Fortinet尚未确认该漏洞利用工具的真实性，但运行受影响FortiOS版本的组织被敦促审查其安全状况，限制未授权API访问，并在可能的情况下立即应用固件补丁。

https://cybersecuritynews.com/fortigate-api-exploit-tool/

网络攻击

英国牛津市议会遭遇数据泄露，20年员工信息被黑客入侵

英国牛津市议会近日发布声明，确认其遭遇数据泄露事件，黑客获取了存储在遗留系统中的个人身份信息。此次事件还导致ICT服务中断，尽管大部分受影响系统已恢复在线，但剩余积压工作可能继续造成延误。

根据初步调查，受影响的系统包含2001年至2022年间前任和现任议会官员的信息。声明称目前没有证据表明泄露的数据已被进一步传播，也未提及市民数据是否遭到泄露。牛津市议会表示，对该事件的调查仍在进行中，迄今尚未发现大规模数据提取的迹象。

牛津市议会已开始逐一通知确认受影响的人员，提供有关事件的详细信息、可用支持资源以及加强安全措施的保证，以防止未来发生类似泄露。相关政府部门和执法机构也已被相应通知。

https://www.bleepingcomputer.com/news/security/oxford-city-council-suffers-breach-exposing-two-decades-of-data/

巴黎迪士尼被曝遭遇勒索软件攻击，泄露64GB工程数据

Anubis勒索软件组织近日在其暗网泄露网站上宣称巴黎迪士尼乐园成为其最新受害者，声称获取了总计64GB的数据档案。据该组织描述，这是"迪士尼乐园历史上最大规模的数据泄露"，包含约3.9万个与乐园建设和翻新活动相关的文件。

根据Anubis的说法，这些数据是在入侵迪士尼的一家合作公司期间获取的。为证明其声明，该组织已上传部分图像和视频，据称显示了乐园各种景点的详细图纸，包括《冰雪奇缘》、《海底总动员》、《加勒比海盗》、《雷鸣山》等多个知名景点的设计方案。Anubis于2025年6月12日在其官方X（原 Twitter）账户上炫耀了此次事件。目前数据泄露尚未得到官方验证，迪士尼巴黎乐园方面尚未对此事发表评论。

Anubis采用勒索软件即服务(RaaS)运营模式，为其附属机构提供利润分成模式：加密勒索支付获得80%，数据泄露获得60%，访问权限转售获得50%。据趋势科技最近报告，该组织使用"内置擦除器"功能，可完全删除被入侵系统中的数据。

https://hackread.com/anubis-ransomware-lists-disneyland-paris-new-victim/

黑客利用应用专用密码绕过Gmail双因素认证

Google威胁情报组(GTIG)近日发现，黑客组织UNC6293通过高级社会工程学攻击，冒充美国国务院官员，诱骗目标创建并分享应用专用密码，成功绕过多因素认证(MFA)并访问Gmail账户。

根据公民实验室(The Citizen Lab)的调查，此次攻击始于一封署名为Claudie S. Weber的邮件，邀请俄罗斯信息行动专家Keir Giles参加"私人在线对话"。虽然邮件来自Gmail账户，但抄送行包含多个@state.gov邮箱地址，增加了通信的可信度。在几轮邮件交流后，黑客邀请目标加入所谓的"MS DoS Guest Tenant"平台，并发送PDF文件详细说明如何在Google账户上创建应用专用密码。黑客声称这是一种替代解决方案，可以促进美国国务院员工与使用Gmail账户的外部用户之间的安全通信。

GTIG研究人员确定，这一鱼叉式网络钓鱼活动至少从4月开始，持续到6月初。期间他们识别出两个攻击活动，一个使用与美国国务院相关的主题，另一个使用与乌克兰和Microsoft相关的诱饵。

Google建议高风险用户注册其高级保护计划(Advanced Protection Program)，该计划提升账户安全措施，不允许创建应用专用密码，也不允许在没有特定密钥的情况下登录。

https://www.bleepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/

安全漏洞

Amazon EKS漏洞暴露AWS敏感凭证并提升权限

研究人员近日发现，Amazon Elastic Kubernetes Service (EKS)存在严重漏洞，允许权限过高的容器通过数据包嗅探和API欺骗攻击暴露敏感AWS凭证。这项于6月19日发布的调查表明，配置错误的容器可能导致云环境中的未授权访问和权限提升。

该漏洞特别针对Amazon EKS Pod Identity功能。该功能通过eks-pod-identity-agent附加组件运行，在kube-system命名空间中作为DaemonSet运行，并在本地链路地址169.254.170.23（IPv4）和[fd00:ec2::23]（IPv6）的80端口上暴露API。

研究人员确定了两种主要攻击向量：

• 第一种是数据包嗅探，配置了hostNetwork: true的容器可以监控网络流量并拦截从API端点169.254.170.23:80以明文传输的凭证。使用标准tcpdump工具的概念验证成功演示了在未加密HTTP流量中拦截凭证。

• 第二种攻击向量采用API欺骗技术。即使移除了CAP_NET_RAW功能，保留CAP_NET_ADMIN权限的容器仍可操纵网络接口卡设置。攻击者可以通过删除本地链路IP地址禁用eks-pod-identity-agent HTTP守护进程，然后在169.254.170.23:80上部署自己的HTTP服务器以拦截授权令牌。

这些漏洞已通过Trend Micro Zero Day Initiative计划报告给Amazon。然而，AWS认为这种行为代表节点信任边界内的预期功能，属于其共享责任模型中的客户责任范围。安全专家建议组织应在配置容器时实施最小权限原则，并使用Trend Vision One Container Security等安全解决方案，该平台可以检测和阻止使用提升权限运行的容器。

https://cybersecuritynews.com/amazon-eks-vulnerabilities/

行业动态

金融服务业成为大规模DDoS攻击的主要目标，2024年同比增长23%

FS-ISAC与Akamai联合发布的最新报告显示，分布式拒绝服务(DDoS)攻击正日益针对全球金融行业，攻击手段更加复杂化且具有战略性，导致客户服务中断和业务运营受阻。

报告指出，2024年金融服务业成为大规模DDoS攻击的主要目标，2024年10月攻击频率显著上升。针对金融服务应用层的攻击在2023至2024年间增长了23%，而针对金融机构API的精准攻击则增长了58%。这些攻击因模仿正常用户行为而更难被检测，表明网络犯罪分子技术水平提升。FS-ISAC首席情报官Teresa Walsh表示，DDoS攻击正变得越来越复杂，从简单的网络泛洪演变为针对整个供应链复杂漏洞的多维攻击。2024年，一次针对多家银行的单一攻击活动导致服务中断持续数天。

同时，地缘政治事件也助长了黑客行动。亚太地区大规模攻击激增，占2024年所有流量型DDoS攻击的38%，相比2023年的11%大幅增加。

为帮助金融机构加强防御，FS-ISAC和Akamai推出了五级DDoS成熟度模型，帮助组织评估防御能力，确定改进领域并优化投资。

https://hackread.com/sophisticated-ddos-campaigns-crippling-global-banks/

中国电科发布“衡”系列安全解决方案与“量铠”抗量子密码系列产品

6月20日，中国电科网络安全创新发展大会暨电科日活动举办，期间中国电科发布“衡”系列安全解决方案和“量铠”抗量子密码系列产品。

其中：

• “界衡”网络安全运营中心解决方案采用平台、团队、机制三位一体架构，实现“指挥一盘棋，监测一张图、资产一本账、情报一面网、机制一条线”的“五个一”能力，打造常态化、实战化的网络安全运营体系；

• “流衡”数据安全统一管理解决方案通过广域采集、智慧发现、精准定位，确保一次建设持续治理、常态监测，以监带保、以保促用，为数据开发和流通构建合规、可信的安全能力底座；

• “钥衡”云上密码服务解决方案构建了云上密码合规应用、云上数据安全隔离、云上业务敏捷接入、云上加密集约化服务、整体状态持续监控能力，提供易改造免改造机制、打破密码资源孤岛；

• “量铠”抗量子密码系列产品全面覆盖抗量子密码算法、协议、芯片、模块、设备、系统等，提供全栈矩阵防护，构建敏捷平滑的抗量子密码迁移体系，并融合国密技术实现混合加密，有效解决“当前窃取，未来破解”的量子攻击风险。

https://mp.weixin.qq.com/s/8Db42ozx0qyhDxZwKICtgA

合作电话：18311333376

合作微信：aqniu001