网络与信息安全情况通报

一、安全事件

1. 利用AI深度伪造技术实施投资诈骗，六人被捕    

 西班牙警方近日成功逮捕了六名犯罪嫌疑人，他们利用人工智能技术生成知名公众人物的深度伪造广告，实施了一起大规模加密货币投资诈骗，导致全球共有208名受害者被骗取约1900万欧元（2090万美元）。

 据警方通报，犯罪团伙创建了多家空壳公司洗钱，而团伙头目使用了超过50个不同的化名。这起诈骗案分为多个阶段：首先通过"浪漫诱饵"或假扮"财务顾问"接触潜在受害者，最后以虚假的资金追回声明作为诈骗收尾。犯罪分子使用算法选择符合其目标要求的受害者，然后利用AI生成的深度伪造广告进行诱骗。

 受害者最初是因平台上生成的虚假数据看到了丰厚的投资回报。在某个时刻，假扮财务顾问或与受害者模拟浪漫关系的诈骗者告知他们，投资已被冻结，只有支付大额费用才能取回资金。在最后阶段，诈骗者再次联系受害者，这次假扮欧洲刑警组织特工或英国律师，声称已追回资金，只需支付当地税费即可取回。 警方提醒公众警惕保证回报的承诺，并在存入任何资金前验证投资平台的合法性和可信度。其他警示信号包括投资压力、无法提款、意外余额“冻结”以及提款需要额外“费用/税金”的声明。

2. 澳大利亚养老金系统遭遇凭证填充攻击，2万账户被劫持    

 澳大利亚多家养老金基金提供商近日遭遇大规模网络攻击，据报道约有2万个客户账户被黑客劫持，攻击手法疑似为凭证填充攻击。

 澳大利亚养老金基金协会(ASFA)于上周五发表声明，确认黑客在前一周末针对"多家基金"发起攻击。声明称："虽然大多数攻击尝试被成功阻止，但不幸的是仍有部分会员受到影响。相关基金正在联系所有受影响会员并为数据遭到泄露的用户提供帮助。"据当地新闻报道，此次事件可能导致数万个账户被入侵，损失金额高达50万美元。

 其中，管理着约3650亿澳元(约2190亿美元)资产、拥有约350万会员的澳大利亚最大的养老金基金AustralianSuper确认有600名会员受到网络攻击影响。管理约930亿澳元(约560亿美元)的Rest Super表示约有8000名会员的"有限个人信息被访问"，包括名字、电子邮件地址和会员识别号码，但声称这些受害者的资金未受影响。

3. 英国多个关键防务机构遭遇高级网络攻击    

 英国多个关键防务机构近日成为一场高度复杂的网络攻击目标，包括英国陆军、皇家海军和核安全办公室。据报道，这次攻击由黑客组织Holy League Coalition发起。

 这些攻击主要采用分布式拒绝服务  (DDoS)策略，通过大量流量涌入使目标系统无法正常运行。部分攻击还似乎旨在分发恶意软件，可能使被攻击机构面临更严重的数据泄露或系统故障风险。

 Telegram用户Mr. Hamza宣称对这些攻击负责，并发布了令人担忧的声明，警告称这仅仅是开始，未来可能会有更具破坏性的攻击。根据该消息，最严重的情况尚未到来，英国公众将面临更多具有破坏性的网络行动。虽然英国政府被攻击的确切原因尚不清楚，但有猜测与英国长期支持乌克兰有关。国际法明确谴责网络战的使用，参与此类行动的国家可能面临全球社会的制裁。

 网络安全社区越来越担忧“独狼”黑客和试图附属于更大、更知名国家或事业的组织的兴起。较小、技术不太成熟的黑客常常声称与国家支持的组织有关联，在社交媒体平台上传播他们的主张，希望在国际媒体中获得关注和信誉。

二、漏洞预警

1. 日产聆风曝重大安全漏洞 黑客可远程操控车辆关键功能【Cybersecurity News网站4月8日报道】PCAutomotive研究团队在亚洲黑帽大会上披露，第二代日产聆风电动车（2020款）存在严重安全漏洞，攻击者可利用信息娱乐系统中的蓝牙协议缺陷（CVE-2025-32059）实现远程控制。该漏洞链通过堆栈缓冲区溢出获取初始访问权限，随后利用车载蜂窝网络建立持久化连接，最终突破CAN总线网关过滤器，实现对车门、车灯、后视镜及转向系统的操控。研究人员指出，漏洞根源在于博世"Bluedragon"蓝牙协议栈缺乏内存保护机制、车载Linux系统（3.14内核）未启用模块签名验证等遗留问题。尽管该漏洞已于2023年8月报告，日产表示现有车主需等待至2025年第三季度才能通过经销商获取固件更新。美国国家公路交通安全管理局已发布安全通告（NHTSA #2025-LEAF-004），建议车主临时关闭蓝牙功能并留意异常车辆行为。此事件暴露出汽车供应链中共享组件安全标准缺失、车联网身份认证机制薄弱等系统性风险，促使监管机构考虑推行航空级渗透测试标准。  

2. 谷歌紧急修复两个Android零日漏洞 涉及内核级内存越界访问 【Cybersecurity News网站4月8日报道】谷歌在4月安全更新中修复了两个已被在野利用的Android零日漏洞（CVE-2024-53150和CVE-2024-53197），这是连续第三个月出现针对Android系统  的主动攻击。这两个高危漏洞均影响Linux内核ALSA USB音频驱动，其中CVE-2024-53150因未验证bLength参数导致内核内存越界读取（CVSS 7.1），CVE-2024-53197则通过恶意USB设备的异常bNumConfigurations值触发越界写入（CVSS 7.8），可能造成系统崩溃或权限提升。安全专家指出，后者与Cellebrite  等取证工具使用的漏洞技术相似，暗示可能被用于针对性监控。漏洞影响Android 12  至15系统，谷歌已向Pixel设备推送包含修复的2025-04-05安全补丁，三星同期更新也涵盖该修复。研究人员警告传统设备锁无法有效防护此类内核级漏洞，建议用户立即更新系统。此次事件延续了Android零日漏洞利用增长趋势，2023年相关案例较2022年增加50%。  

3.  微软零日漏洞遭利用 多国房地产及金融企业遭勒索攻击 【Therecord网站4月9日消息】微软披露黑客组织"Storm-2460"利用Windows通用日志文件系统驱动程序(CLFS)的零日漏洞(CVE-2025-29824)，对美国房地产公司及沙特、西班牙等国企业发起勒索攻击。该漏洞允许攻击者在已入侵系统中提升权限，并部署名为PipeMagic的恶意软件实施勒索。此次攻击涉及多个行业，包括美国房地产和IT企业、委内瑞拉金融机构等。微软虽已发布补丁，但尚未覆盖Windows 10系统，导致约40%的企业终端仍面临风险。安全专家指出，此类漏洞尤其危险，可使攻击者突破初始入侵点，在企业网络内横向移动。尽管微软未能获取完整的勒索样本，但发现的赎金记录线索指向臭名昭著的RansomEXX勒索家族。专家建议企业立即采取三项应对措施：部署终端检测工具监控CLFS活动、限制驱动程序权限、加强网络分段。此事件再次凸显供应链漏洞的连锁风险——一个未修补的驱动程序可能危及整个企业网络。随着勒索软件团伙持续瞄准关键基础设施，主动防御策略的重要性日益凸显。

三、 风险预警

1. 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Auto-color恶意软件持续活跃，其主要攻击目标为Linux系统，尤其是教育及政府相关用户，可能导致敏感信息泄露、业务中断等风险。

 该恶意软件一般通过网络钓鱼、漏洞利用等方式传播，并以常见词汇（如“door”或“egg”）伪装其初始可执行文件。一旦受到感染并运行后，攻击者便可进行系统信息收集、生成反向shell、创建或修改文件、运行程序等恶意行为。在攻击过程中，Auto-color以root权限启动后，会安装一个名为“libcext.so.2”的恶意库，并通过操纵ld.preload文件，确保恶意库优先加载，从而拦截和修改系统功能。此外，Auto-color还利用C标准库函数  过滤其网络连接信息，并通过更改/proc/net/tcp文件以隐藏与命令和控制（C2）服务器通信，大幅增加安全监测和分析难度。

 建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，关闭非必要系统服务及端口，监控可疑进程及文件，并可通过及时修复安全漏洞，定期备份数据等措施，防范网络攻击风险。