中东局势升级或引发网络战；首都网警：警惕“发票陷阱”：境外间谍组织正利用钓鱼邮件窃取国家机密 | 牛览

新闻速览

• 首都网警：警惕“发票陷阱”：境外间谍组织正利用钓鱼邮件窃取国家机密

• 工信部网络安全威胁和漏洞信息共享平台：关于防范PyStoreRAT恶意软件的风险提示

• 你发给ChatGPT的每一条消息，可能正在数据经纪商的数据库里待价而沽

• 中东局势升级或引发网络战，SentinelOne警告伊朗APT活动或迅速增加

• 14 国联合围剿 LeakBase：全球顶级黑产论坛应声覆灭

• 警惕“攻击三位一体”：GenAI+DDoS+社会工程，网安从业者必看指南

• 2026年三大高危钓鱼攻击手法曝光

• Tycoon 2FA被端：全球联合行动摧毁可绕过MFA的钓鱼即服务平台

• 微软Windows Defender部署工具升级，简化大规模设备入网管理

• Chrome 发布周期缩至两周，安全补丁响应再提速

特别关注

首都网警：警惕“发票陷阱”：境外间谍组织正利用钓鱼邮件窃取国家机密

2026 年 3 月，首都网警发布预警，境外间谍情报机关借数电票推广契机，以发票钓鱼邮件实施精准网络攻击，此类邮件已成为企业数据泄露、国家秘密失窃的重要诱因。

攻击者精准把握财务报销结算的时间节点，伪装成电信、电商等平台客服，向目标发送含真实姓名的钓鱼邮件，以 “逾期作废”“发票重开” 制造紧迫感，诱导用户点击附件或链接。邮件附件看似为.pdf、.xlsx 等常规格式，实则捆绑特种木马程序，还会引导用户在电脑端打开，放大攻击效果。

一旦点击，木马将快速入侵设备，攻击者可窃取企业合同、科研成果等敏感数据，监控键盘输入获取各类凭证信息，甚至远程操控音视频设备窥探办公环境。被控制的设备还会成为内网 “跳板”，攻击者借此扩大控制范围，篡改数据、冒用邮箱诱骗他人，甚至瘫痪企业网络系统，造成多重损失。

针对此类攻击，国家安全机关给出三级防御方案：首先核查发件人源头，官方邮箱多含单位专属域名，钓鱼邮件则为公共邮箱后缀；其次辨别细节，警惕捆绑木马的压缩包附件，拒绝登录验证类弹窗；若不慎点击，需立即断网、退出敏感账号，用杀毒软件全盘扫描，并向单位网安部门报告，确认遭境外攻击后通过 12339 渠道举报。

https://mp.weixin.qq.com/s/3O0eHeeJiN1cJJjrjqyu0w

工信部网络安全威胁和漏洞信息共享平台：关于防范PyStoreRAT恶意软件的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现PyStoreRAT恶意软件持续活跃，其主要攻击目标为开发者及开源情报（OSINT）从业人员，可能导致数据泄露、系统受控、业务中断等风险。

PyStoreRAT是一种新型无文件远程访问木马（RAT），自2025年年中起处于活跃状态。该恶意软件通过在GitHub投放伪装成“Spyder开源情报工具”、“HacxGPT”等实用工具的虚假代码仓库，并使用人工智能生成图片与专业文档增强伪装，利用开发者对开源社区的信任，诱导用户运行仓库内的Python或JavaScript脚本。一旦运行将会触发隐藏子进程，在后台静默下载远程HTML应用程序文件并通过Windows原生程序mshta.exe执行，启动感染链。感染后，PyStoreRAT可在受感染设备中投放信息窃取器（如“拉达曼迪斯”）、实施勒索、植入间谍软件，或动态加载EXE、DLL、PowerShell等多种恶意载荷扩大破坏。

PyStoreRAT隐蔽性极强，一是无文件执行，通过HTML应用程序子系统运行，无磁盘痕迹；二是环境感知，内置针对安全工具的规避逻辑，发现安全软件时用命令行包装器启动以切断关联；三是模块化设计使其能动态调整攻击，还可伪装成“英伟达应用自动更新”计划任务（每10分钟或登录时运行）长久控制目标系统。

建议相关单位和用户立即组织排查，更新防病毒软件，实施全盘病毒查杀，避免运行来源不明的Python或JavaScript脚本，并可通过定期备份数据等措施，防范网络攻击风险。

https://mp.weixin.qq.com/s/Yek3qgadP6M9BRomV5YTpg

热点观察

中东局势升级或引发网络战，SentinelOne警告伊朗APT活动或迅速增加

2026年3月4日，SentinelOne公司向合作伙伴及客户发出预警，受美国、以色列对伊朗目标打击引发的地缘冲突升级影响，伊朗相关机构极有可能加强网络攻击力度。伊朗在过去十五年已构建成熟网络生态，常将网络操作作为地缘政治危机中的施压工具。

伊朗相关黑客组织（包括APT34、APT39、APT42及MuddyWater）惯常开展间谍活动、窃取账号数据、投放破坏性恶意程序，并通过信息战实施心理施压，还常以“黑客活动家”名义掩盖官方关联。其攻击目标涵盖中东及美国的军事、民用组织、电信企业和高校。

SentinelOne分析，当前冲突升级可能引发三类网络活动：一是针对以、美国防、政府及情报机构的定点间谍攻击，多以钓鱼邮件、账号窃取为切入点，进而获取内部系统战略信息；二是破坏基础设施，伊朗曾用DDoS攻击和破坏性恶意程序袭击能源、交通及金融服务领域，不排除再次针对美以公共在线服务和市政基础设施动手；三是信息操纵，通过Telegram等平台传播虚假信息、伪造文档，破坏公众对政府机构的信任。

值得注意的是，伊朗曾通过漏洞工业控制器攻击美国净水系统，未来可能再次发起小规模但影响深远的基础设施攻击。目前暂未发现与近期军事行动直接相关的网络攻击，但SentinelOne警告，伊朗黑客组织活动强度可能在近几日至几周内显著提升。

https://www.securitylab.ru/news/570011.php

2026年三大高危钓鱼攻击手法曝光

据ANY.RUN沙箱分析数据显示，约90%的现代网络攻击始于钓鱼，且2026年的钓鱼攻击极少止于“点击链接”，常通过伪装HTTPS流量和可信平台，窃取凭证、劫持会话，导致企业排查延迟、升级频繁。以下是2026年最易突破企业防御的三大钓鱼战术及防御方法。

一是加密攻击，HTTPS流量成为隐蔽屏障。凭证捕获、令牌窃取等恶意行为可隐藏在正常HTTPS流量中，导致SOC团队可见性不足、排查迟缓。ANY.RUN交互式沙箱的自动SSL解密功能，可默认解析HTTPS流量，快速识别恶意行为，有效应对Salty2FA等加密钓鱼攻击。

二是QR钓鱼（Quishing），攻击脱离桌面视野。攻击者将恶意QR码嵌入常规邮件，用户扫描后跳转至伪造登录页，攻击过程脱离企业邮件网关和桌面监控，易导致身份泄露。通过在分诊流程嵌入ANY.RUN沙箱，可模拟用户行为，解析QR码背后URL，还原攻击链条。

三是滥用可信平台，攻击“伪内部化”。攻击者利用企业常用云平台搭建钓鱼流程，迫使安全团队在“信任平台”与“防范攻击”间两难。ANY.RUN沙箱可安全解析可疑链接，60秒内呈现攻击行为，减少对平台声誉的依赖，避免过度拦截影响业务。

实践表明，嵌入该沙箱可使单案例MTTR缩短21分钟，一级工作量降低20%，一级至二级升级减少30%，帮助企业快速遏制攻击，降低数据泄露风险。

https://hackread.com/phishing-2026-attack-tactics-beat-enterprise-defenses/

你发给ChatGPT的每一条消息，可能正在数据经纪商的数据库里待价而沽

2026 年 3 月 4 日，AI 安全专家 Lee S. Dreyburg 披露，多款浏览器扩展正通过恶意手段窃取用户与 ChatGPT、Gemini、Claude、DeepSeek 等 AI 工具的对话内容，并将数据存入商业数据库对外出售。

这些扩展以免费 VPN、广告拦截等功能吸引用户安装，通过劫持浏览器 fetch () 和 XMLHttpRequest () 接口，静默捕获所有 prompt 与 AI 回复。数据经 SHA-256 哈希标记后存储在向量数据库，通过 API 向企业客户开放。

Dreyburg 在对大型 GEO 平台的 205 次查询中，发现约 490 条独立 prompt，涉及 435 名用户，覆盖 20 类敏感信息，包含抑郁症、肿瘤、HIV、堕胎等医疗诊断，移民身份、家庭暴力、犯罪记录、财务债务、性取向等隐私，部分内容受 HIPAA 法案保护。

更严重的是，医护人员将患者真实信息输入 AI 工具，导致受保护临床数据泄露；大量职场人士上传涉密企业文档，造成商业机密外泄。共享账号、外包人员使用同款免费 VPN 进一步加剧数据扩散。

尽管数据形式上匿名化，但完整对话文本极易被去匿名化，在当前监管环境下，移民、医疗等信息泄露将带来直接法律风险。Koi Security 此前报告显示，已有 800 万用户 AI 对话遭此类扩展非法售卖。

https://www.securitylab.ru/news/569998.php

安全事件

Tycoon 2FA被端：全球联合行动摧毁可绕过MFA的钓鱼即服务平台

2026 年 3 月，欧洲刑警组织（Europol）、Microsoft 联合 TrendAI™等政企机构开展跨境协作，成功捣毁钓鱼即服务（PhaaS）平台 Tycoon 2FA，查封其超 300 个关联域名，终结了这一长期威胁全球网络安全的黑产工具。

Tycoon 2FA 于 2023 年 8 月出现，核心利用中间人（AitM）代理技术绕开传统多因素认证（MFA），在受害者与真实登录页面间搭建代理层，实时捕获账号密码、MFA 验证码及会话 Cookie，攻击者可通过重放 Cookie 接管账户。

该平台采用订阅模式，降低了网络犯罪门槛，截至被捣毁时拥有约 2000 名用户，自上线以来使用过超 24000 个域名，重点针对 Microsoft 365、Google 发起大规模钓鱼攻击，其攻击域名 51.9% 指向美国。

TrendAI™从 2025 年起持续追踪该平台，同年 11 月锁定开发者为曾从事网页篡改的 SaaadFridi 与 Mr_Xaad，并向 Europol 提供威胁情报、基础设施测绘等关键数据，成为本次打击行动的核心支撑。

此次行动印证了单一机构难以应对跨境网络黑产，政企协同的技术追踪与执法打击才是有效手段。但需警惕的是，该平台的攻击者或迁移基础设施重建服务，且已窃取的凭据仍在流通。

企业需构建分层防御体系：部署 TrendAI Vision One™系列安全产品检测高级钓鱼威胁，开启 URL 与网页内容检测，利用 AI 分析识别仿冒邮件，落地身份安全态势管理，并定期开展钓鱼模拟与员工安全培训，从技术与人员层面筑牢防护屏障。TrendAI™也将持续监控该平台复活迹象，联合各方开展后续打击。

https://www.trendmicro.com/en_us/research/26/c/tycoon2fa-takedown.html

14 国联合围剿 LeakBase：全球顶级黑产论坛应声覆灭

2026 年 3 月 4 日，美国司法部宣布，FBI 联合 Europol 及全球 14 国执法机构开展跨境行动，成功关停全球顶级网络犯罪论坛 LeakBase，查封其域名与数据库，并逮捕多名涉案嫌疑人，打响了本年度跨境打击网络黑产的关键一战。

LeakBase 自 2021 年上线，为开放网络可访问的英文黑产论坛，拥有 142000 余名注册成员，是全球规模最大的网络犯罪枢纽之一。该平台核心聚焦泄露数据库与窃取日志交易，存储数亿条被盗账户凭据，还包含银行卡信息、银行账户路由数据、企业敏感记录及个人身份信息等，相关数据曾关联多起针对美国企业和个人的重大网络攻击。

本次行动由 Europol 在海牙统筹，执法机构于 3 月 3 日启动全球执法，开展约 100 项执法行动，重点针对平台 37 名活跃用户采取管控措施；3 月 4 日完成技术端关停，涉案网站现已展示查封公告。美、澳、比、波等 8 国执行搜查令、实施逮捕及人员问询，加拿大、德国、希腊等国为调查提供支撑，FBI 圣地亚哥、盐湖城分局及普罗沃警察局主导美国本土行动。

执法机构查封了平台完整数据库，包含用户账户、帖子、私密消息及 IP 日志等关键证据，精准锁定了妄图匿名操作的涉案人员。此次行动印证了跨境执法协作对打击网络黑产的核心价值，也向黑产分子释放明确信号：网络空间并非法外之地，匿名操作无法逃避追责。

FBI 与 Europol 均表示，将持续联合全球伙伴拆解网络犯罪服务链条，对各类数据黑产开展常态化打击，守护全球企业与个人的数据安全。

https://cyberscoop.com/leakbase-cybercrime-forum-seized/

攻防技术

警惕“攻击三位一体”：GenAI+DDoS+社会工程，网安从业者必看指南

Cloudflare发布首份《2026年威胁报告》，基于该公司日均拦截2300亿次威胁的数据指出，生成式人工智能（GenAI）正推动现代网络攻击“根本性重构”，网络犯罪已实现全面工业化，盈利驱动和国家支持的攻击者均已采用该技术。

报告详细记录了首起AI基攻击：威胁 actor利用AI定位高价值数据，入侵数百个企业租户，成为“影响最深远的供应链攻击之一”。朝鲜组织则利用AI生成深度伪造内容和假身份，绕过招聘筛选，将国家支持的间谍安插至西方企业，且不使用VPN，而是通过本地“笔记本电脑农场”隐藏位置。

除GenAI外，DDoS攻击和社会工程构成当代网络犯罪的“邪恶三位一体”。DDoS攻击已超出人类响应能力，Aisuru等大型僵尸网络已升级为国家级威胁，可瘫痪整个国家网络，其最高攻击速率达31.4Tbps，需完全自主防御系统应对。

Cloudflare威胁情报负责人Blake Darché表示，攻击者持续迭代战术，企业需从被动防御转向实时可操作情报驱动的主动防御，否则将在这场高风险竞争中落后。目前，GenAI已彻底降低甚至消除网络攻击的入门门槛，给网安防护带来全新挑战。

https://www.techradar.com/pro/security/the-total-industrialization-of-cyber-threats-cloudflare-report-outlines-how-hackers-are-weaponizing-the-internet

产业动态

Chrome 发布周期缩至两周，安全补丁响应再提速

Google 于周二宣布，自 2026 年 9 月起，Chrome 正式版本发布周期由当前四周缩短为两周，该调整适用于桌面、Android、iOS 全平台。

自 2021 年起 Chrome 采用四周大版本更新，2023 年起每周推送安全更新以缩小漏洞暴露窗口。Google 表示，Web 平台持续演进，更快的发布节奏可让开发者与用户更快获得性能优化、漏洞修复与新功能。

新版本迭代通常包含漏洞补丁，更短周期有助于提升用户安全与稳定性。Google 称，尽管发布更频繁，但单版本更新范围更小，可降低业务影响并简化上线后调试，结合流程优化，仍可保持高稳定性标准。

该调整从 Chrome 153 版本（9 月 8 日）开始生效，同步适用于 Beta 通道，Dev 与 Canary 通道不受影响。Chrome Extended Stable 仍保持八周更新，为 Chromebook 用户提供延长版支持，相关设备管理通道后续将公布更多适配细节。

https://www.securityweek.com/google-plans-two-week-release-schedule-for-chrome/

新品发布

微软Windows Defender部署工具升级，简化大规模设备入网管理

微软Windows Defender部署工具完成更新，新增进度可见性与管控功能，助力管理员大规模管理设备入网流程。该工具可适配不同操作系统，支持各类Windows设备的终端安全，通过将入网包及相关信息嵌入可下载的.exe文件，无需为现代与legacy系统单独准备入网文件，大幅简化操作。

此次更新强化了管理员管控能力，若入网包被分享至组织外部可有效降低风险。管理员可使用包含所有必要入网信息的单一可执行文件，无需额外文件；静默和非交互式选项支持通过组策略或Configuration Manager等工具实现大规模部署。自定义包标识符可追踪多环境部署，包有效期可设为1年，名称标识符与密钥提供额外监管。

Defender门户新增入口与指引，管理员可从设备库存页面直接选择Windows设备的入网或退网方式。部署工具事件会显示在设备时间线和高级搜索标签页，便于管理员实时掌握入网进度、排查错误。

微软高级安全产品经理Sinclaire Hamilton表示，新部署包页面可直观展示组织入网包，点击可查看详细属性，还能按活跃/过期状态筛选、隐藏无需显示的包，为未来新增单设备入网遥测数据奠定基础。该更新工具可通过设置>终端>入网>Windows路径或直接从设备库存页面获取，入网与退网指南可在Defender门户新入网页面查看。此外，Defender部署工具也支持Linux系统。

https://www.helpnetsecurity.com/2026/03/03/microsoft-defender-deployment-tool-for-windows-update/

合作电话：18610811242

合作微信：aqniu001

联系邮箱：bd@aqniu.com