网络安全周报：未引起足够关注的重要事件

SecurityWeek的网络安全新闻汇总提供了可能被忽视的重要事件简明汇编。我们针对那些可能不值得单独成文但仍对全面理解网络安全形势至关重要的故事提供有价值的摘要。

每周，我们都会精选并呈现一系列值得关注的发展动态，包括最新漏洞发现、新兴攻击技术、重大政策变更和行业报告。

本周要闻

美国国防部发布新网络安全框架 国防部宣布推出新的网络安全风险管理架构（CSRMC），以现代化其网络防御能力。CSRMC是一个五阶段、十原则的框架，用动态自动化方法取代手动流程，确保持续监控和实时防御。目标是将网络安全嵌入系统开发和运营的每个阶段，使作战人员在面对不断演变的威胁时保持技术优势。

Dragos发布重大平台更新 ICS/OT网络安全公司Dragos宣布推出Dragos Platform 3.0，这是一个重大更新，提供新功能使防御者能够更快、更自信地采取行动。更新后的平台带来了新的Insights Hub用于整合警报、简化工作流程、AI增强的漏洞处理流程，以及更小占用空间的部署选项。

LockBit 5.0技术分析 在执法部门对LockBit勒索软件行动进行打击后，网络犯罪分子最近宣布发布LockBit 5.0。Trend Micro研究人员分析了LockBit 5.0，包括该勒索软件的Windows、Linux和ESXi变体。该安全公司指出，新变体使用随机的16字符文件扩展名，配置为避开俄语系统，并在加密后清除事件日志。

影响OnePlus智能手机的漏洞在无补丁情况下披露 Rapid7披露了影响OnePlus智能手机漏洞的技术细节，此前该公司无法负责任地向供应商报告其发现。该安全漏洞（CVE-2025-10184）影响OxygenOS，可能允许恶意应用在无需任何用户交互的情况下读取SMS/MMS数据和元数据，可能暴露MFA代码。在Rapid7发布描述其发现的博客文章后，OnePlus告诉该安全公司正在调查此问题。

微软称AI检测到AI辅助的网络钓鱼活动 微软表示，其AI驱动的安全系统能够检测并阻止一个利用AI混淆payload以逃避防御的网络钓鱼活动。微软Security Copilot对恶意代码的分析显示，该代码"由于其复杂性、冗长性和缺乏实际效用，通常不是人类会从头编写的东西"。

其他值得注意的事件

• 韩国信用卡公司Lotte Card遭黑客攻击，近300万人信息泄露
• 马里兰交通管理局遭Rhysida勒索软件组织攻击
• 超过27万印度银行转账记录在未受保护的Amazon S3存储桶中暴露
• Co-op因网络攻击损失2.06亿英镑销售额，650万会员信息遭泄露