全球APT攻击态势与主要特征 - 2025年全球网络安全厂商累计发布APT报告700多篇，涉及APT组织140个，其中首次披露的组织有42个，较2024年同期有所增加 [2] - APT攻击活动聚焦地区政治、经济等时事热点，目标集中分布于政府机构、国防军工、信息技术、金融、教育等十几个重点行业 [2] 针对中国的网络攻击活动 - 2025年北美地区APT组织对中国的攻击呈现“国家级统筹、定向关键基础设施、战术隐蔽化”的核心特征 [4] - 北美APT组织在2025年年初针对中国智慧能源和数字信息大型高科技企业展开攻击，意图窃取核心技术与商业机密 [4] - 2月，以APT-C-40（NSA）组织为核心，联合美国高校作为“学术掩护体”，针对中国亚冬会相关服务及黑龙江地区关键基础设施展开攻击 [4] - 10月，中国国家安全机关披露了APT-C-40（NSA）组织对中国国家授时中心实施的重大网络攻击活动 [4] - 在台海方向，民进党当局支持的多个黑客组织长期针对中国政府机构、科研单位、高等院校、国防科技企业等实施网络间谍活动 [5] - 已被曝光的APT-C-01（毒云藤）、APT-C-67（乌苏拉）等组织持续窃取政策、军工、经济敏感数据 [5] - APT-C-64（匿名者64）试图通过攻击数字媒体破坏社会秩序，将网络攻击转化为政治工具 [5] 攻击技术演进：0day漏洞与供应链攻击 - 2025年APT组织在攻击中利用的0day漏洞数量较2024年有所增加，针对中国境内网络设施的0day攻击上升明显 [6] - 全球APT组织在2025年利用的影响较大的0day漏洞共计42个，涉及iOS、Windows、Android、Chrome以及VMware等多个平台 [6] - 针对iOS系统的“PAC绕过漏洞”（CVE-2025-31201）影响面较大，已被用于针对特定iOS用户发起攻击 [6] - 2025年APT组织攻击的另一个特点是利用“开源代码仓库”方式进行供应链攻击 [7] - APT组织在代码仓库中构建含有后门的恶意软件项目和软件包，诱导开发人员引用，实现供应链投毒 [7] - 攻击者还入侵开发者主机，使用攻击武器自动感染开发者维护的软件包，然后强制发布补丁，产生级联感染效应 [7] 未来威胁趋势：地缘冲突与攻击武器 - 报告警告，在地缘政治冲突中，国家级APT攻击必将延伸至军事、通信、电力、能源等国计民生核心行业 [9] - “擦除器”类攻击武器意图永久破坏目标系统数据，使其丧失可用性，攻击过程快速、彻底、隐蔽 [9] - 勒索攻击是破坏基础设施的重要手段，其核心目标是数据劫持以获取赎金 [10] - 在APT组织开展的勒索攻击中，往往有更为隐晦的攻击目的，如掩盖真实意图或干扰事件归因 [10] - 随着“窃密+加密”的双重勒索模式增多，黑灰产攻击者在数据劫持成功后将被劫持系统售卖给APT组织的商业转让将会更多发生 [10] - APT组织日益倾向于开发跨平台攻击武器，以覆盖多种终端，对传统单点防御体系构成严峻挑战 [11] AI驱动的网络攻击新范式 - AI应用显著提升了APT组织在社会工程学调研和攻击的效率，使其能够快速构造跨语言、跨文化、跨行业的精准诱饵 [12] - 2025年，攻击者使用AI技术结合钓鱼攻击，已从早期的“广撒网”式诈骗，进化为针对性极强的“精准制导”型攻击 [12] - APT-C-26（Lazarus）组织的虚假面试攻击利用AI的深度伪造技术进行钓鱼 [12] - 预计2026年深度伪造诈骗将常态化，利用视频会议诈骗、高管语音/视频指令欺诈成功率将会激增 [12] - 攻击者可以将多年积累的攻击手法、渗透经验、漏洞利用技巧等用于训练大模型，打造出“攻击者智能体”，自动完成攻击任务 [13] - 攻击者智能体易于批量复制，一个人类攻击者可以管理几十个甚至上百个攻击者智能体，加剧网络攻防的不对称性 [13]

文章核心观点 - 世界经济论坛警告，网络欺诈已升级为数字经济时代最具颠覆性的力量之一，成为全球数字经济的最大威胁，其影响跨越国界、渗透各行各业 [3] - 报告呼吁需要多层次、多方位的协同应对，构建“弹性数字未来”，并借鉴气候变化《巴黎协定》模式建立“全球数字安全契约” [4] AI与网络欺诈手段演进 - 网络欺诈已从随机攻击转向精准打击，犯罪组织利用人工智能分析海量数据，精确识别潜在受害者并定制个性化诈骗方案，成功率大幅提高 [3] - 在东南亚，犯罪集团利用深度伪造技术模仿某跨国公司CEO的声音和面容，成功欺骗其亚洲区财务总监转账4700万美元 [3] - 2025年上半年，巴西数字支付欺诈案件同比增加187% [3] - 报告强调了供应链攻击的蔓延趋势，2025年一家欧洲中型软件公司的安全漏洞被利用，导致其全球200多个客户遭受数据泄露 [3] 国际共识与合作挑战 - 欧盟正在推动建立“数字单一市场安全框架”，试图协调27个成员国的网络安全政策 [3] - 东盟网络安全协调委员会通过了《数字信任行动计划》，旨在建立区域性威胁信息共享平台 [4] - 非洲联盟推出“非洲数字安全倡议”，目标是在2027年前为所有成员国建立基本的网络安全体系，目前许多非洲国家的网络安全预算不到国防预算的1% [4] - 国际合作面临障碍，包括俄罗斯与西方国家在网络空间的对峙，以及对“网络主权”的理解存在根本分歧 [4] - 不同国家对网络犯罪的定义、处罚和管辖权存在显著差异，阻碍了跨国追捕 [4] 多方位协同应对框架 - 技术层面，量子加密和区块链等新兴技术被寄予厚望，以色列一家网络安全初创公司开发了能够实时检测异常行为并自动隔离受感染部分的“自我修复网络”系统 [4] - 政策协调方面，七国集团正在讨论制定适用于软件和数字服务的“数字产品安全基准标准” [4] - 能力建设方面，联合国训练研究所的“数字安全能力建设项目”已在15个国家培训2000余名网络安全专业人员 [4]

事件概述 - Trust Wallet 浏览器扩展 v2.68 版本发生安全事件，影响在 12 月 24 日至 26 日期间登录该版本的用户 [1] - 公司确认有 2,520 个钱包地址受到影响，攻击者盗取的资产总额约为 850 万美元 [1] - 被盗资金可关联至 17 个由攻击者控制的钱包地址 [1] 事件原因与背景 - 初步调查显示，该事件可能与 2025 年 11 月发生的行业级供应链攻击 Sha1-Hulud 有关 [1] - 攻击者利用泄露的 Chrome Web Store API Key 发布了恶意版本 [1]

事件概述 - 网络安全巨头CrowdStrike发生一起内部员工泄密事件，一名员工将内部系统电脑屏幕截图以25,000美元的价格出售给外部黑客组织，导致敏感信息泄露 [1] - 该事件最初被黑客组织包装为一次成功的供应链攻击，但后续调查证实为内部人员所为 [5][13] - CrowdStrike公司已解雇该员工，并将案件移交执法机构，公司确认其系统未被入侵，客户数据安全 [2][17] 事件经过与细节 - 黑客组织Scattered Lapsus$ Hunters在Telegram频道上发布了据称是CrowdStrike内部环境的截图，内容包括内部仪表盘和员工单点登录面板链接 [5][7] - 该黑客组织声称通过第三方供应商Gainsight渗透进入系统，将其包装为供应链攻击 [8] - 实际原因为CrowdStrike内部调查发现一名员工行为异常，证实其私下将电脑屏幕截图发送给了黑客 [14] - 黑客向该员工支付了约25,000美元，以换取对CrowdStrike网络的访问权限，并获得了可绕过认证的单点登录认证Cookie [15][16] - CrowdStrike的内部安全监控系统侦测到异常并立即断开了该员工的网络访问，阻止了更严重的入侵 [17] - 黑客还试图向该员工购买CrowdStrike针对其他黑客团伙的威胁情报报告，但未成功 [19][20] 涉事黑客组织背景 - 黑客组织Scattered Lapsus$ Hunters由原ShinyHunters、Scattered Spider和Lapsus$等组织联合而成，近年来频繁出现在企业安全事件中 [9] - 今年初，该组织宣称对捷豹路虎的大规模网络攻击负责，利用泄露的微软Azure凭证盗走超过1.6TB数据，导致捷豹路虎关键IT系统关闭、生产线停摆近四周，造成约1.96亿英镑（约2.2亿美元）的季度损失 [10] - 上周，该组织又声称窃取了200多家托管在Salesforce上的公司数据，Salesforce确认部分客户数据被盗，攻击入口是Gainsight发布的应用程序，受影响企业名单包括LinkedIn、GitLab、Atlassian等知名公司 [10] 行业影响与内部威胁分析 - 该事件凸显了内部威胁是组织面临的最昂贵、最棘手的网络安全威胁之一，内部人员利用信任和授权访问，使得检测与补救变得困难 [22] - 安全专家指出，要彻底防范此类内部事件几乎不可能，因为内部人员拥有合法凭证且了解内部系统 [22] - 近年来内部员工“背叛”事件频发，例如2021年一名被裁程序员黑进前东家系统，造成高达86.2万美元的损失 [24] 应对内部威胁的建议 - 建议采用分层防御策略，技术层面包括行为分析工具、数据防泄漏工具以及对敏感数据和网络活动的实时监控 [22] - 应强制实施严格的访问控制，包括最小权限原则、多因素认证以及定期的权限审查 [23] - 可进一步采用动态水印、屏幕截图阻止等技术来震慑和追踪泄密源，自适应防护技术可在检测到异常时自动撤销访问权限 [23] - 内部风险管理需要一个整体、主动的策略，不仅是技术问题，也涉及“人”的问题，需制定清晰的政策和处罚机制，并在招聘环节进行背景调查 [23]