调查称 APT28 组织通过篡改 DNS 将流量重定向到攻击者控制的服务器
英国国家网络安全中心(NCSC)周二发布警告,称自 2024 年以来,俄罗斯国家黑客组织 APT28 一直利用存在漏洞的小型办公和家庭用(SOHO)路由器,篡改其 DHCP 和 DNS 设置,把下游流量引导到攻击者控制的 DNS 服务器,从而窃取网站和电子邮件服务的密码及认证令牌。
NCSC 评估认为,APT28“几乎可以肯定”是俄罗斯总参(GRU)下属的第 85 主要特勤中心(军事情报局 26165 部)。
攻击流程
根据该通报,攻击者把虚拟私有服务器设置为恶意的 DNS 解析器,然后通过修改 SOHO 路由器的 DHCP DNS 配置,把这些路由器指向这些恶意解析器。该网络中的笔记本电脑、手机等终端设备会自动继承这些 DNS 设置,随后开始向攻击者控制的服务器发送域名查询。
对某些目标服务(比如登录页面)的域名查询会被重定向到攻击者控制的 IP,这些 IP 托管着“中间人”设施。与此相对的,非目标范围内的请求则会解析到真实的地址,以免中断用户连接。
一旦受害者通过攻击者控制的基础设施连接,APT28 会试图从浏览器和桌面应用中窃取密码以及 OAuth 或其他类似的认证令牌。安全通报列出的目标域名包括 autodiscover-s.outlook.com、imap-mail.outlook.com、outlook.live.com、outlook.office.com 和 outlook.office365.com。
受影响的路由器型号
NCSC 指出,TP‑Link WR841N 路由器是 APT28 利用的目标之一,攻击者可能利用了 CVE‑2023‑50224——一个无需认证的信息泄露漏洞,能通过 HTTP GET 请求获取路由器凭据。拿到凭据后,攻击者会发出第二个 GET 请求修改 DHCP 的 DNS 设置,把主 DNS 指向恶意 IP,把备用 DNS 设置为原先的主 DNS。
通报列出此次攻击中被针对的 20 多款 TP-Link 型号,包含 Archer C5、Archer C7、WDR3500、WDR3600、WDR4300、WR1043ND、MR3420、MR6400(LTE)以及多个版本的 WR740N、WR840N、WR841N、WR842N、WR845N 和 WR941ND。
另有一组攻击者控制的基础设施接收到来自被入侵的 MikroTik 路由器和 TP-Link 设备转发的 DNS 请求,并被用来对少量 MikroTik 路由器进行交互式操作。NCSC 表示这些常位于乌克兰的 MikroTik 设备很可能具有情报价值。
发现用户明确提出实施自杀、自残等极端情境时,由人工接管!就AI拟人化互动服务,网信办公开征求意见
12月27日,网信中国微信公众号发布国家互联网信息办公室关于《人工智能拟人化互动服务管理暂行办法(征求意见稿)》公开征求意见的通知。
节选:
提供者应当具备心理健康保护、情感边界引导、依赖风险预警等安全能力,不得将替代社会交往、控制用户心理、诱导沉迷依赖等作为设计目标。
第十一条 提供者应当具备用户状态识别能力,在保护用户个人隐私前提下,评估用户情绪及对产品和服务的依赖程度,发现用户存在极端情绪和沉迷的,采取必要措施予以干预。
提供者应当建立应急响应机制,发现用户明确提出实施自杀、自残等极端情境时,由人工接管对话,并及时采取措施联络用户监护人、紧急联系人。针对未成年人、老年人用户,提供者应当在注册环节要求填写用户监护人、紧急联系人等信息。
第十二条 提供者应当建立未成年人模式,向用户提供未成年人模式切换、定期现实提醒、使用时长限制等个性化安全设置选项。
提供者不得提供模拟老年人用户亲属、特定关系人的服务。
提供者应当向用户提供删除交互数据的选项,用户可以选择对聊天记录等历史交互数据进行删除。监护人可以要求提供者删除未成年人历史交互数据。
提供者识别出用户出现过度依赖、沉迷倾向时,或者在用户初次使用、重新登录时,应当以弹窗等方式动态提醒用户交互内容为人工智能生成。
🗒 标签: #网信办 #AI
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
12月27日,网信中国微信公众号发布国家互联网信息办公室关于《人工智能拟人化互动服务管理暂行办法(征求意见稿)》公开征求意见的通知。
公众可通过以下途径和方式提出反馈意见:
1.通过电子邮件方式发送至:nirenhua@cac.gov.cn。
2.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络管理技术局,邮编100044,并在信封上注明“人工智能拟人化互动服务管理暂行办法征求意见”。
意见反馈截止时间为2026年1月25日。
节选:
提供者应当具备心理健康保护、情感边界引导、依赖风险预警等安全能力,不得将替代社会交往、控制用户心理、诱导沉迷依赖等作为设计目标。
第十一条 提供者应当具备用户状态识别能力,在保护用户个人隐私前提下,评估用户情绪及对产品和服务的依赖程度,发现用户存在极端情绪和沉迷的,采取必要措施予以干预。
提供者应当建立应急响应机制,发现用户明确提出实施自杀、自残等极端情境时,由人工接管对话,并及时采取措施联络用户监护人、紧急联系人。针对未成年人、老年人用户,提供者应当在注册环节要求填写用户监护人、紧急联系人等信息。
第十二条 提供者应当建立未成年人模式,向用户提供未成年人模式切换、定期现实提醒、使用时长限制等个性化安全设置选项。
提供者不得提供模拟老年人用户亲属、特定关系人的服务。
提供者应当向用户提供删除交互数据的选项,用户可以选择对聊天记录等历史交互数据进行删除。监护人可以要求提供者删除未成年人历史交互数据。
提供者识别出用户出现过度依赖、沉迷倾向时,或者在用户初次使用、重新登录时,应当以弹窗等方式动态提醒用户交互内容为人工智能生成。
▎Urban VPN 监控并上传用户AI对话资料,软件高达800万用户使用
Urban VPN是以“隐私”“安全”为卖点的浏览器扩展,并获得 Google 官方“精选”标识,目前有800万用户使用。从2025年7月开始,该插件更新中加入了AI 对话监听代码,通过向网页注入脚本、劫持浏览器网络请求接口,实时截获用户输入的提示词、AI 回复、时间戳和会话标识,并将数据持续上传至后台服务器,最终流向数据经纪公司,用于所谓的“营销分析”。
该行为不随 VPN 开关状态变化,也无法由用户单独关闭,唯一的阻止方式只能卸载扩展本身。安全机构还指出,相关扩展在商店页面和用户授权提示中刻意淡化甚至回避“AI 对话被收集并出售”的事实,与其隐私政策中承认的数据用途存在明显矛盾,而 Google 和 Microsoft 的扩展审核机制在此过程中未能有效阻止此类行为。
安全机构因此警告,凡是在 2025 年 7 月之后安装或使用过这些扩展的用户,都应默认其 AI 对话已被收集并外泄,并呼吁用户立即卸载相关扩展,提高对浏览器插件权限和数据流向的警惕。如果你使用过该插件,在 AI 对话里粘贴过隐私信息、代码、密钥、账号资料,建议按敏感度去做密码/Token 轮换,并把相关账号的登录记录与风控通知检查一遍。
▎报告来源
https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection
频道 @AppDoDo 官推 APPDOTG
▎Cloudflare 复盘事故:非网络攻击,内部系统错误导致
2025 年 11 月 18 日,Cloudflare 全球网络从 UTC 11:20 起出现严重服务故障,大量用户访问依赖 Cloudflare 的网站时遭遇 5xx 错误。事件持续约 6 小时,直到 UTC 17:06 才完全恢复。Cloudflare 强调此次事故并非网络攻击引起,而是内部系统错误导致核心代理(FL / FL2)无法正常处理流量。
问题源自一个 ClickHouse 数据库权限更新,该更新导致 Bot Management 生成的“特征配置文件”出现大量重复数据,使文件体积翻倍。配置文件被自动同步至全球节点后,触发了代理程序的预设内存限制,使其崩溃并返回 5xx 错误。更复杂的是,由于特征文件每 5 分钟重新生成一份,“好文件”和“坏文件”交替传播,使故障呈间歇性,加剧诊断难度。
核心 CDN、Bot Management、Workers KV、Turnstile、Access 等关键服务均受到影响。用户无法登录 Cloudflare Dashboard,大量网站流量中断;部分系统由于依赖核心代理,在故障期间出现连锁反应。Cloudflare 状态页也因巧合短暂离线,进一步造成混淆,让团队最初误以为遭遇大型 DDoS 攻击。
团队在明确问题原因后,于 UTC 14:30 推送已知良好的旧版本特征文件,并停止生成坏文件,服务逐步恢复。Cloudflare 表示这是 2019 年以来最严重的一次事故,并承诺将加强配置文件验证、改进错误隔离机制、增加全局“快速关闭”开关,以及避免调试系统在故障时过度占用 CPU。公司对事故影响深表歉意,并将推进网络韧性改进。
▎完整报告
https://blog.cloudflare.com/18-november-2025-outage/
频道 @AppDoDo 官推 APPDOTG
