2026年6月第4周网络安全形势周报
报告周期: 2026年6月15日 --- 6月21日
一、摘要
本周全球网络安全态势呈"AI资产定向收割 + 关基漏洞集中曝光 + 国内执法高压震慑"三重叠加格局,核心威胁聚焦以下五个方面:
- AI资产成为新攻击靶标:诺和诺德遭FulcrumSec定向勒索,1.3TB数据(含"蜻蜓"AI模型全栈权重、临床数据)失窃,2500万美元赎金遭拒,标志AI研发资产首次成为制药行业的核心攻击目标。
- KEV目录新增2个高危在野利用漏洞:CISA于6月15日将Cisco Catalyst SD-WAN Manager路径遍历(CVE-2026-20262)与LiteSpeed cPanel插件符号链接漏洞(CVE-2026-54420)纳入KEV,联邦机构整改窗口极短。
- 国内执法高压震慑:公安部网安局公布5起"银狐"木马典型案例,63名嫌疑人落网、涉案超千万;国家网信办6月12日发布《中国个人信息保护报告(2025年)》。
- 勒索软件与数据泄露持续高位:零零信安监测6月15-17日共89起新勒索事件,活跃组织约12个;Ralph Lauren等知名品牌连续遭ShinyHunters挂榜。
- 欧洲关基应急演练实战化:ENISA主办的2026欧洲网络安全演练于6月10-11日举行,5000余人参与,聚焦铁路与海运网络危机抗压测试。
二、头条事件
2.1 诺和诺德遭FulcrumSec勒索1.3TB数据,AI模型全栈失窃
事件性质 :定向勒索 + AI资产窃取
攻击组织 :FulcrumSec
影响对象 :丹麦制药巨头诺和诺德(Novo Nordisk,司美格鲁肽Ozempic/Wegovy生产商)
关键时间线:
- 2026年4月上旬:利用MOVEit Transfer零日漏洞CVE-2026-42198突破外网
- 4-5月:内网低速横向渗透,规避EDR与流量监测
- 5月下旬:分片加密导出1.3TB数据,日均约20GB
- 6月11日:诺和诺德发现异常,紧急切断研发区外网
- 6月12日:官方发布安全公告
- 6月13日:FulcrumSec在暗网认领,索要2500万美元赎金
- 6月15日:诺和诺德正式拒绝支付,启动合规与系统加固
- 6月17日:FulcrumSec威胁向竞品药企倒卖核心研发资料
失窃资产:
- "蜻蜓(Dragonfly)"多模态AI全栈:基座模型+4个子模型(小分子生成、蛋白-配体结合预测、临床终点预测、不良反应风险模拟)的完整权重、训练数据集、MLOps配置、容器镜像、未来6个月研发路线图
- 临床数据:约11,500名全球受试者记录,3款GLP-1迭代药+2款心血管药的II/III期临床数据
- 合作机构数据:全球230+家临床合作机构联系人信息
攻击链关键点:
- 初始访问 :CVE-2026-42198 MOVEit Transfer
/human2.aspx接口身份校验绕过,通过构造X-siLock-Expression: 1=1头实现未授权Webshell - 横向移动:Mimikatz抓取凭证,慢速扫描1433/3306/5000/8088端口(数据库、MLflow、JupyterHub),利用合法账号登录规避UEBA
- 数据渗出:10MB分片+AES-256加密,伪装为云存储同步,仅非工作时间传输,全程未被流量监测识别
影响评估:
- 诺和诺德盘后股价下跌4.2%,市值蒸发约78亿美元
- 行业估算直接+间接损失超过20亿美元
- GLP-1赛道研发壁垒被拉平3-5年,竞品可缩短1-2年研发周期
- 全球Top20药企均已启动内部AI资产安全排查
修复建议:
- 紧急:所有使用MOVEit Transfer的药企/医疗机构立即核查CVE-2026-42198补丁状态
- 高优:AI研发网络与办公网严格隔离,模型存储禁止直连互联网
- 强化:模型权重数字水印嵌入(参数域白盒水印),建立模型导出审批与全流程审计
- 零信任:算法人员最小权限(仅能访问负责子模型),核心资产访问临时申请、自动过期
2.2 公安部"银狐"木马集中打击:63人落网,涉案超千万
事件性质 :国内执法行动 + 财务定向攻击
通报时间 :2026年6月16日,央视《朝闻天下》6月17日专题报道
核心数据:
- 5起典型案件同步公布
- 63名犯罪嫌疑人被采取刑事强制措施
- 涉案总额超过1000万元
木马特征:
- 别名:"银狐""游蛇""谷堕大盗"
- 目标:企事业单位工作人员,特别针对财务人员
- 能力:远程控制、账号密码窃取、短信验证码拦截、私密数据盗取
攻击手法:
- 伪装性强,常冒充税务稽查、社保申报、领导指示等场景
- 通过钓鱼邮件、即时通讯软件投递
- 财务人员被控后即发起大额转账
行业警示:
- 全年"银狐"木马持续活跃,已形成完整黑产链
- 财务人员仍是定向攻击高价值目标
- 急需建立"技术防护+制度规范+人员培训"三重防御
三、漏洞预警
3.1 CISA KEV目录新增(2026年6月15日)
CISA于6月15日一次性新增2个在野利用漏洞至KEV目录,整改窗口极短:
| CVE编号 | 产品 | 类型 | 严重程度 | 关键风险 |
|---|---|---|---|---|
| CVE-2026-20262 | Cisco Catalyst SD-WAN Manager | 路径遍历(任意文件创建/覆盖) | 高危 | 身份验证远程攻击者可提权至root;集中控制平面被破将波及所有分支 |
| CVE-2026-54420 | LiteSpeed cPanel插件 | 符号链接(Symlink)越权读取 | 高危 | 共享主机环境下可读取其他用户文件,影响数百万虚拟主机 |
CVE-2026-20262(思科SD-WAN):
- 漏洞位于文件上传接口的用户输入验证不足
- 已遭主动在野利用
- 影响:所有部署类型(本地+云端管理方案)
- 风险放大:SD-WAN Manager是集中控制平面,一旦沦陷将导致分支网络中断、流量分段失效
- 修复:升级至Cisco官方最新补丁版本
CVE-2026-54420(LiteSpeed cPanel):
- 影响:LiteSpeed cPanel Plugin < 2.4.8(LiteSpeed WHM PlugIn < 5.3.2.0)
- 攻击场景:用户在共享主机拥有FTP/Web Shell访问权限即可利用
- 危害:可越权读取同服务器其他账户文件,包括数据库凭据、SSH私钥
- 修复:升级至2.4.8+ / 5.3.2.0+
3.2 微软2026年6月补丁星期二(历史回顾,6月9日发布)
虽然补丁发布已过一周,但本周内仍有多家组织尚未完成整改:
- 规模:206个微软原生漏洞 + 362个非微软CVE公告
- 零日:3个已公开零日 + 15个"高利用可能性"漏洞
- 最危:CVE-2026-45657(Windows内核TCP/IP栈释放后重用,CVSS 9.8,可蠕虫化RCE,潜在破坏力堪比2017年EternalBlue)
- 处置:尚未完成补丁部署的资产应立即拉入P0处置清单
3.3 MOVEit Transfer零日CVE-2026-42198(诺和诺德事件暴露)
- 类型:身份校验绕过
- 攻击面:MOVEit Transfer广泛用于药企、医疗机构、政府文件传输
- 危害:未授权Webshell + 文件读取
- 建议:所有部署MOVEit Transfer的机构立即核查补丁状态
四、供应链安全专项
4.1 npm/Miasma蠕虫持续发酵(延续6月初事件)
Miasma蠕虫("Phantom Gyp"新型技术)本周持续扩散:
- 武器化:binding.gyp构建配置文件(首次)
- 投毒规模:2小时内57个npm包、286个恶意版本
- 绕过机制:完美绕过所有主流安全工具对preinstall钩子的常规检测
- 危害:窃取环境变量、.env文件、访问令牌
持续受影响的包管理平台:
- npm:Miasma、Shai-Hulud、Phantom Gyp三波攻击累计
- PyPI:Mini Shai-Hulud已扩散至AI开发者工具链
- 受害项目:Red Hat、Microsoft、OpenSearch、Mistral AI、Guardrails AI、UiPath等
4.2 Red Hat npm包投毒(6月初已发生,本周仍有余波)
- 影响范围:@redhat-cloud-services命名空间下32个包、96个版本
- 周下载量:超11万次
- 投毒方式:preinstall钩子 + Miasma恶意脚本
- 建议:使用Red Hat相关npm包的开发者立即审计,清理缓存与lockfile
4.3 攻击者策略升级趋势
| 攻击技术 | 演进方向 | 案例 |
|---|---|---|
| preinstall钩子 | → binding.gyp配置文件 | Miasma → Phantom Gyp |
| 单点投毒 | → 蠕虫式自动扩散 | Shai-Hulud → Miasma |
| 凭证窃取 | → 凭证+代码注入双通道 | npm → PyPI → VSX |
| 静态扫描 | → 构建时执行链动态变形 | 多重混淆+条件触发 |
五、勒索软件与数据泄露
5.1 零零信安暗网监测日报(6月15-17日)
| 日期 | 新勒索事件 | 活跃组织数 | 重点活跃组织 | 主要受害行业 |
|---|---|---|---|---|
| 6月15日 | 约45起 | 约12个 | The Gentlemen 、Deadlock(合计35起)、ShinyHunters、Qilin、Safepay、Braincipher | 法律、制造、零售、房地产、教育、医疗 |
| 6月16日 | 约22起 | 约12个 | Aurora、Nightspire、Qilin、Spacebears、Incransom、Nova | 制药(Ralph Lauren)、制造、医疗、批发零售、政府 |
| 6月17日 | 约22起 | 约12个 | Safepay、Play、Genesis、ShinyHunters、Krybit、Gunra、Space Bears | 医疗(OneMedical)、政府、保险、建筑 |
地理分布:美国占比最高,其次为欧洲(德国、意大利、丹麦、葡萄牙)、亚洲(中国、日本、马来西亚、新加坡)、拉美(巴西、秘鲁)。
5.2 Ralph Lauren遭ShinyHunters挂榜(6月11日)
- 攻击组织:ShinyHunters
- 泄露规模:220GB(包含客户数据 + 未发布产品信息)
- 影响:奢侈品零售行业标志性事件
- 风险:品牌危机 + 客户隐私 + 商业机密三重打击
5.3 其他重大数据泄露事件(6月15-17日零零信安监测)
| 时间 | 受害组织 | 泄露规模 | 行业 |
|---|---|---|---|
| 6月15日 | 瑞典AdressFakta | 545万公民个人信息 | 数据服务 |
| 6月15日 | 韩国国防工业 | 高度机密报告出售 | 国防 |
| 6月15日 | 越南SCTV | 390万用户数据 | 电信 |
| 6月15日 | 伊朗20+家旅行社 | 1.07亿条个人数据 | 旅游 |
| 6月15日 | 欧洲莱茵金属 | 国防承包商数据 | 国防 |
| 6月15日 | 土耳其GökNur Gıda | 200GB内部数据 | 食品 |
| 6月16日 | 法国Facebook用户数据集 | 19.5亿条 | 社交 |
| 6月16日 | 美国Houzz | 5530万条用户数据 | 家居 |
| 6月16日 | 印度ICAI考试系统 | 20万+考生答卷 | 教育 |
| 6月16日 | 墨西哥ISSSTE | 2500万条记录 | 社会保障 |
| 6月17日 | 沙特联合医生医院 | 37万+患者数据 | 医疗 |
| 6月17日 | 美国Radisys | 100GB文档+源代码 | 电信 |
| 6月17日 | 哥伦比亚马格达莱纳大学 | 20万+学生数据 | 教育 |
| 6月17日 | 伊朗dgshahr.com | 510万条用户数据 | 金融科技 |
| 6月17日 | 美国NCIC犯罪信息中心 | 系统访问权限出售 | 司法 |
| 6月17日 | 澳大利亚金融数据库 | 47.2万条记录 | 金融 |
5.4 国内数据泄露警示
- 6月11日 :中国社交约会应用6500万用户数据遭泄露(行业警示,社交类应用数据合规风险持续高位)
六、APT威胁动态
6.1 FulcrumSec团伙(诺和诺德事件)
团伙画像:
- 活跃时间:2025年下半年至今
- 核心目标:全球Top50药企、Biotech、CRO机构
- 历史战绩:欧美3家中型生物科技公司
- 盈利模式:千万美元级赎金 + 拒绝支付后暗网倒卖研发数据给竞品/仿制药厂/投资机构
- 独特能力:AI资产识别与窃取(MLflow、Weights & Biases快速定位)
技术特征:
- 攻击前1-3个月情报收集
- 擅长利用企业级文件传输/研发协作工具的零日
- 内网渗透能力突出,可规避主流EDR
6.2 持续活跃组织
| 组织 | 本周动态 | 主要攻击领域 |
|---|---|---|
| ShinyHunters | 持续挂榜教育、零售、制造 | 教育、奢侈品、电信 |
| Qilin | 稳定输出,6月16-17日活跃 | 法律、咨询、零售 |
| The Gentlemen | 6月15日大幅活跃 | 法律、制造、零售 |
| Deadlock | 6月15日大幅活跃 | 制造、零售 |
| Safepay/Play/Genesis | 6月17日活跃 | 医疗、政府 |
| Aurora/Nightspire | 6月16日活跃 | 制造、医疗、零售 |
| Dragonforce | 持续输出 | 多行业 |
6.3 关基与新型攻击面
- AI模型反演攻击:通过推理接口反向还原训练数据,无需渗透内网即可窃取核心训练集
- 数据投毒攻击:污染训练数据集,使AI预测出现系统性偏差
- MLOps平台弱口令:JupyterHub、MLflow仅靠弱口令保护,存在大量未授权访问
七、执法与反制行动
7.1 国内执法
- 6月16日:公安部网安局公布5起"银狐"木马典型案例,63人落网、涉案超千万
- 6月12日:国家网信办发布《中国个人信息保护报告(2025年)》,首次系统总结十四五期间个人信息保护成果
- 6月12日:遵义市举行2026年网络安全事件应急预案演练观摩会,模拟供应链恶意攻击、AI大模型潜伏、钓鱼邮件、恶意程序等多场景
- 6月16日:福建南平市开展"闽盾-2026"网络安全攻防演练,全面排查安全资产
7.2 国际执法与演练
- 6月10-11日:欧盟ENISA主办2026欧洲网络安全演练,5000+名从业者参与,聚焦铁路与海运网络危机抗压测试
- 趋势:欧洲持续将交通、能源、医疗等关基行业作为网络战演练重点
7.3 监管动向
- 国内:网信办《个人信息保护报告(2025年)》预示2026年下半年将持续细化《数据安全法》《个人信息保护法》在垂直行业的落地
- 国际:CISA BOD 26-04强化风险驱动漏洞管理,要求联邦机构优先处置KEV目录中可导致资产完全失陷的高危漏洞
八、修复优先级清单
P0(24小时内处置)
| 编号 | 漏洞/事件 | 影响范围 | 处置动作 |
|---|---|---|---|
| 1 | CVE-2026-20262 Cisco SD-WAN Manager路径遍历 | 部署Cisco SD-WAN Manager的所有分支 | 立即升级补丁,限制管理平面网络暴露 |
| 2 | CVE-2026-54420 LiteSpeed cPanel符号链接 | 共享主机环境 | 升级至LiteSpeed cPanel 2.4.8+ / WHM PlugIn 5.3.2.0+ |
| 3 | CVE-2026-45657 Windows内核TCP/IP栈RCE(9.8) | 所有Windows主机 | 立即安装微软6月补丁星期二修复 |
| 4 | CVE-2026-42198 MOVEit Transfer身份校验绕过 | 所有部署MOVEit Transfer的机构 | 立即核查补丁状态,复盘过去60天访问日志 |
| 5 | 诺和诺德同类AI资产窃取风险 | 药企/生物科技/AI研发企业 | 紧急排查AI研发网与外网隔离、模型水印部署、MLOps权限审计 |
P1(72小时内处置)
| 编号 | 事项 | 处置动作 |
|---|---|---|
| 1 | 微软6月剩余205个CVE补丁 | 分批部署,重点先修CVSS≥7.0 |
| 2 | Red Hat @redhat-cloud-services包审计 | 检查项目lockfile、清理缓存、轮换凭证 |
| 3 | npm/PyPI项目供应链审查 | 启用npm audit、pip-audit常态化扫描 |
| 4 | 财务人员反"银狐"演练 | 钓鱼演练+转账流程双人复核 |
| 5 | CISA KEV历史在野漏洞清零 | 建立"在野利用漏洞7日整改"机制 |
P2(一周内处置)
| 编号 | 事项 | 处置动作 |
|---|---|---|
| 1 | 勒索软件高危组织IOC部署 | 零零信安本周Qilin、The Gentlemen、ShinyHunters、Deadlock IOC接入WAF/EDR |
| 2 | AI模型水印方案试点 | 选定1-2个核心模型嵌入数字水印 |
| 3 | 关基应急预案实战化 | 参照ENISA欧洲演练场景,开展内部红蓝对抗 |
| 4 | 第三方数据处理协议审计 | 重点审计AI/MLOps/数据服务合作方 |
九、趋势总结与建议
9.1 本周三大核心趋势
趋势一:AI资产从"数据"升维至"核心知识产权"
- 诺和诺德事件首次实现AI模型权重+训练数据+研发管线全栈失窃
- 攻击动机从"勒索赎金"转向"掠夺研发壁垒"
- 行业影响:药企/AI企业将AI资产纳入核心知识产权保护范畴
- 监管预期:未来1-2年各国将出台AI研发资产专门保护规则
趋势二:关基漏洞的"集中曝光 + 极短窗口"成为新常态
- CISA KEV目录新增节奏加快,整改窗口缩短至2-3周
- Cisco、LiteSpeed等关键基础设施产品成为持续攻击目标
- 联邦机构BOD 26-04强化风险驱动管理,非联邦机构应主动对齐
趋势三:国内执法与合规双线推进
- 公安部"银狐"专项打击+网信办年度报告形成"打击+规范"组合拳
- 财务人员、敏感数据成为定向攻击高价值目标
- 国内关键信息基础设施保护进入精细化阶段
9.2 面向网络安全工程师的本周建议
- 立即盘点AI/MLOps资产:列出本组织所有AI模型、训练数据所在位置、访问权限、对外暴露面;建立分级保护清单
- KEV目录纳入日检:建议建立"每日CISA KEV+国内CNVD/CNNVD"双重检查机制,对在野漏洞48小时内启动响应
- 供应链投毒防御升级:npm/PyPI项目启用SBOM(软件物料清单)+ 依赖锁定 + 私有镜像源;Trivy常态化扫描
- 财务/HR定向攻击演练:参照"银狐"案例开展内部钓鱼演练;强制执行大额转账双人复核
- 勒索软件IOC自动封禁:将零零信安/微步/奇安信等平台的当日活跃勒索组织IOC接入WAF/EDR/SIEM
- 关基应急预案实战化:参照ENISA欧洲演练场景,针对"AI资产被窃""勒索软件攻击"开展红蓝对抗
9.3 下周关注重点
- 诺和诺德事件后续:FulcrumSec是否公开数据、监管机构是否启动调查
- 微软6月补丁修复率统计(事件后第2周)
- 6月22日(周一)CISA KEV目录是否再增新漏洞
- 6月底G7/G20网络安全相关会议动态
- 国内《数据安全法》《个人信息保护法》垂直行业实施细则
十、信息来源
国内平台
- 公安部网络安全保卫局通报
- 国家互联网信息办公室(CAC)公告
- CNNVD国家信息安全漏洞库
- CNVD国家信息安全漏洞共享平台
- 工信部NVDB网络安全威胁和漏洞信息共享平台
- 零零信安暗网威胁情报日报
- 安恒威胁情报中心(ti.dbappsecurity.com.cn)
- 安永信息(anyong.net)2026年重大数据泄露事件汇总
- 阿里云开发者社区安全分析文章
- FreeBuf、安全客、CSDN安全专栏
国际平台
- CISA Known Exploited Vulnerabilities Catalog
- The Hacker News
- Cybernews
- BleepingComputer
- SecurityWeek
- CrowdStrike Blog
- Microsoft Security Response Center
- IBM X-Force Threat Intelligence
- ENISA(欧盟网络安全局)演练报告
事件溯源链接
- 诺和诺德事件:https://blog.csdn.net/weixin_42376192/article/details/162055271
- 公安部银狐打击:https://stock.10jqka.com.cn/20260616/c677493230.shtml
- CISA KEV 6月15日新增:https://community.opentextcybersecurity.com/vulnerability-vault-228/alert-cisa-adds-two-known-exploited-vulnerabilities-to-catalog-release-date-june-15-2026-364643
- 零零信安6月15日勒索日报:https://00sec.com/daily/mMrpz54Bp1ppm_bbs3RD
- 零零信安6月16日勒索日报:https://00sec.com/daily/Zhn91J4Bp1ppm_bbgcNj
- 零零信安6月17日勒索日报:https://00sec.com/daily/umwt2p4Bp1ppm_bbI6rS
- 零零信安6月15日数据泄露:https://00sec.com/daily/Gcrqz54Bp1ppm_bb93a_
- 零零信安6月16日数据泄露:https://00sec.com/daily/aBn-1J4Bp1ppm_bbmsPX
- 零零信安6月17日数据泄露:https://00sec.com/daily/smwr2p4Bp1ppm_bb-KoM
- 网信办个人信息保护报告:https://www.cac.gov.cn/2026-06/12/c_1782920093045011.htm
- ENISA欧洲网络安全演练:https://finance.sina.com.cn/tech/roll/2026-06-15/doc-inicnisu6797922.shtml
- Ralph Lauren数据泄露:https://cybernews.com/security/ralph-lauren-data-breach-claims/
- Cisco SD-WAN漏洞:https://www.msn.cn/zh-cn/技术/通用/cisco修复sd-wan漏洞-已发现遭主动利用迹象/ar-AA25RatU
版权声明:本报告为内部研究材料,仅供安全团队工作参考。报告中涉及的漏洞、攻击组织、IOC等信息基于公开情报整理,请遵循"先验证、后处置"原则,避免直接套用导致误报。