ISHACK AI BOT

纽约宣布与 PayPal 达成 200 万美元和解，起因是其未能遵守该州的网络安全法规，导致 2022 年数据泄露。纽约金融服务部 (DFS ) 称，威胁者利用 PayPal 系统中的安全漏洞进行撞库攻击，从而获取到了对敏感客户信息的访问权限。 2023 年，据PayPal 披露，威胁者在 2022 年 12 月 6 日至 8 日期间进行了大规模凭证填充攻击，导致 35,000 个账户遭到泄露。当时曝光的数据包括姓名，出生日期，邮政地址，社会保险号和个人税收标识号等重要数据信息。 据了解，在PayPal实施对现有数据流的更改之后，客户数据被暴露出来，以使IRS表格1099 ks可供更多客户使用。但是，负责实施这些更改的团队未经PayPal的系统和应用程序开发过程进行培训。因此，在更改进行之前，他们未能遵循适当的程序而使不法分子有机可乘。 持有PayPal帐户有效凭证的网络犯罪分子能够访问这些帐户及其1099-K表格后，造成许多敏感信息被泄露。这些“凭据填充”攻击的成功取决于缺乏多因素身份验证（MFA）保护，这在当时不是强制性的。 他们与较弱的访问控件相结合，允许在没有验证码或限制费率的情况下进行自动登录尝试，构成了PayPal的关键合规性失败。构成纽约网络安全法规23条NYCRR§500.3、500.10和500.12的违规行为。事件发生后，PayPal被要求实施适当的网络安全政策，人员培训和身份验证控制。 DFS 表示，尽管 PayPal 在发现漏洞后采取了多项补救措施，包括屏蔽 IRS 表格上的敏感数据、实施验证码和速率限制，以及对所有美国客户账户强制执行 MFA，但为时已晚。和解条款规定 PayPal 必须在 10 天内支付 200 万美元的罚款，与此同时，除非纽约 DFS 发现新的违规行为，否则不会对其采取进一步行动。

Google Play商店和Apple App Store上的Android和iOS应用程序包含一个恶意软件开发套件（SDK），旨在使用OCR偷窃器窃取加密货币钱包恢复短语。该活动被称为“ SparkCat”，其名称（“ Spark”）是受感染应用程序中恶意SDK组件之一的名称（“ Spark”）。 根据Kaspersky的说法，仅在Google Play上，下载数字就可以公开使用，被感染的应用程序下载了242,000次。 Kaspersky解释说：“我们发现Android和iOS应用程序具有恶意的SDK/框架，这些应用程序嵌入了窃取加密货币钱包恢复短语，其中一些可以在Google Play和App Store上找到。” 从Google Play下载了被感染的应用程序超过242,000次。这是在App Store中找到偷窃器的第一个已知案例。 Spark SDK窃取用户的加密货币 被感染的Android应用程序上的恶意SDK利用了称为“ Spark”的恶意Java组件，该组件伪装成分析模块。 它使用GitLab上存储的加密配置文件，该文件提供命令和操作更新。在iOS平台上，该框架具有不同的名称，例如“ gzip”，“ googleappsdk”或“ stat”。另外，它使用一个称为“ IM_NET_SYS”的基于锈的网络模块来处理与命令和控制（C2）服务器的通信。 该模块使用Google ML Kit OCR从设备上的图像中提取文本，试图找到可用于在攻击者设备上加载加密货币钱包的恢复短语，而无需知道密码。 它（恶意组件）会根据系统的语言加载不同的OCR模型，以区分图片中的拉丁语，韩语和日本角色。然后，SDK沿路径 / API / E / D / U将有关设备的信息上传到命令服务器，并在响应中接收一个调节恶意软件后续操作的对象。 用于连接到命令和控制服务器的URL 该恶意软件通过使用不同语言的特定关键字来搜索包含秘密的图像，而这些关键字是每个区域（欧洲，亚洲等）的变化。虽然某些应用程序显示针对区域，但它们在指定地理区域之外工作的可能性也不能排除在外。 受感染的应用程序 据发现，有18个受感染的Android和10个iOS应用程序，其中许多应用程序在各自的应用商店中仍然可用。 Android Chatai应用程序是由卡巴斯基感染的一个应用程序，该应用程序安装了超过50,000次。该应用已不再在Google Play上可用。 在Google Play上下载的50000个应用程序 如果用户在设备上安装了这些应用程序中的任何一个，建议立即卸载它们，并使用移动防病毒工具扫描任何残留物。除此之外，用户最好还应考虑重置。

Python软件包索引（PYPI）宣布了“项目档案”的引入，该系统允许发布者归档其项目，并向用户表明预计不会更新。这些项目还将在PYPI上托管，用户仍然可以下载它们，但会看到有关维护状态的声明。 基于劫持开发人员帐户并将恶意更新推向广泛使用但废弃的项目是开源空间中的常见情况，所以这项新功能旨在提高供应链的安全性。 除了降低用户的风险外，它还通过确保与项目的生命周期状态进行沟通来减少用户的支持请求。 关于存档项目的警告字样 项目档案如何工作 根据PYPI新项目档案系统开发人员的详细博客表示，该功能提供了维护者控制的状态，该状态允许项目所有者将其项目标记为已存档，向用户发出信号，并表明将不会有进一步的更新。 PYPI建议维护者在归档项目之前发布最终版本，以包括对项目的详细信息和解释，尽管这不是强制性的。如果维护者选择恢复工作，可以在将来的任何时间都不构建其项目。 在引擎盖下，新系统使用最初用于项目隔离的生命周期模型，其中包括一个可以在不同状态之间过渡的状态机器。一旦项目所有者单击PYPI设置页面上的“存档项目”选项，该平台将自动更新其元数据以反映新状态。 PYPI新项目档案系统开发人员说，有计划添加更多的项目状态，例如“弃用”，“功能完整”和“未经许可”，使用户对项目状况有了更清晰的了解。 项目设置中的新选项 警告字样旨在通知开发人员，他们需要寻找积极维护的替代依赖性，而不是继续依靠过时的和潜在的不安全项目。除此之外，攻击者通常是针对废弃的包裹，接管未来的项目并通过更新几年后来注入恶意代码的情况。 在其他情况下，维护者选择在计划停止开发时删除项目，这会导致“复兴劫持”攻击之类的问题。从安全的角度来看，给那些维护者的归档选项要好得多。 最终，由于开源的性质，许多项目被放弃，但会使部分用户仍会猜测他们是否还在维护中。新系统应提高开源项目维护的透明度，删除猜测并提供有关项目状态的明确信号。

我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分：协同》（Information technology—Information security incident management—Part 4:Coordination）正式发布。该提案于2019年4月提交至ISO/IEC JTC1/SC27，后经研究，于2020年4月正式立项；2024年12月正式发布。 ISO/IEC 27035-4是ISO/IEC 27035信息安全事件管理指南系列标准的第4部分，该标准提出了多组织间以协同方式处理信息安全事件的指南，包括对协同规划和准备、协同发现和报告、协同评估和决策、协同响应、协同经验总结等各个阶段的过程指南，以及对制定策略、建立沟通、信息共享、协同演练、树立信任等关键协同活动的指南。该标准还指出了外部合作对单个组织内部事件管理的影响，以及为单个组织参与协同事件管理过程提供指南，并且为协调小组提供指南，以执行支持跨组织事件响应的协调活动。该标准可为组织间开展事件响应协同提供全面的指南，能够促进组织间在防范网络安全事件方面加强合作与协调。 文章来源自：全国网安标委

Zyxel 发现不良的安全签名更新正在引起USG Flex或ATP系列防火墙的关键错误，包括将设备放入启动循环中。 Zyxel 表示，这些问题是由于其网络安全功能的应用程序签名更新失败造成的。收到错误更新的设备现在的问题包括： ·设备错误：CLI 命令错误、设备超时或设备注销。 ·无法通过 Web GUI 登录 ATP/USG FLEX：504 网关超时。 ·CPU 使用率高。 ·在“监控”>“日志”中，出现消息“ZySH daemon is busy”。 ·无法在控制台上输入任何命令。 ·Coredump 消息出现在控制台上。 Zyxel 表示，只有具有有效安全许可证的 USG FLEX 或 ATP 系列（ZLD 固件版本）防火墙受到影响，Nebula平台或USG FLEX H（uOS）系列设备不受影响。解决该问题的唯一方法是物理访问防火墙并通过 RS232 串行电缆连接到控制台。 错误更新后 Zyxel 上显示错误 管理员现在需要进行一系列步骤来恢复防火墙，包括备份配置，下载和应用特殊固件，然后通过Web GUI连接以恢复后面的配置文件。 随后，Zyxel 分享了详细的步骤，并强烈建议用户在尝试恢复设备之前对其进行审查。

黑客分子利用伪造的恶意软件构建器以被称为 “script kiddies（脚本小子）” 的低技能黑客为目标，通过后门秘密感染他们，以窃取数据并接管其计算机。 CloudSEK 的安全研究人员报告称，该恶意软件感染了全球 18,459 台设备，其中大部分位于俄罗斯、美国、印度、乌克兰和土耳其。 CloudSEK 报告中写道：“XWorm RAT 构建器的木马版本已被武器化并传播。” CloudSEK 发现该恶意软件包含一个终止开关，该开关被激活以从许多受感染的计算机上卸载恶意软件，但由于实际限制，某些计算机仍然受到损害。 受感染设备的位置 假 RAT 构建器安装恶意软件 研究人员表示，他们最近发现了一个木马化的 XWorm RAT 构建器通过各种渠道分发，包括 GitHub 存储库、文件托管平台、Telegram 频道、YouTube 视频和网站。这些消息来源宣传了 RAT 构建器，称它将允许其他威胁者利用该恶意软件而无需付费。 它是用恶意软件感染受害者设备，一旦计算机感染了机器，X虫恶意软件就会检查Windows注册表是否有迹象是否在虚拟化环境上运行，如果结果为正面，则停止。如果主机有资格获得感染，则恶意软件会执行所需的注册表修改，以确保系统启动之间的持久性。每个受感染的系统都使用硬编码的电报机器人ID和令牌注册为基于电报的命令和控制服务器（C2）服务器。 恶意软件还会自动窃取Diskord令牌，系统信息和位置数据（来自IP地址），并将其删除到C2服务器。然后，它等待运营商的命令。在总共支持的56个命令中，以下特别危险： ·/machine_id*browsers – 从网络浏览器窃取保存的密码、cookie 和自动填充数据 ·/machine_id*keylogger – 记录受害者在计算机上输入的所有内容 ·/machine_id*desktop – 捕获受害者的活动屏幕 ·/machine_id*encrypt* ·/machine_id*processkill* ·/machine_id*上传* ·/machine_id*uninstall – 从设备中删除恶意软件 CloudSEK 发现恶意软件操作者从大约 11% 的受感染设备中窃取了数据，主要是截取受感染设备的屏幕截图（如下所示）并窃取浏览器数据。 来自黑客桌面的屏幕截图 利用开关破坏僵尸网络 Cloudsek的研究人员通过使用硬编码的API令牌和内置的杀伤开关来破坏僵尸网络，从而从受感染的设备中卸载了恶意软件。 为此，他们向所有听众客户端发送了一个大规模卸载命令，遍历以前从电报日志中提取的所有已知机器ID。他们还假设一个简单的数字模式，从1到9999刻录了机器ID。 发送卸载命令 尽管这导致恶意软件被从许多受感染的机器中删除，但在发出命令时未在线的机器仍被操控。此外，某些卸载命令可能在运输中丢失，这是一种常见情况。

点击劫持攻击的一种新变体称为“DoubleClickjacking”，攻击者可以诱骗用户使用双击授权敏感操作，同时绕过针对此类攻击的现有保护措施。 点击劫持，是指威胁者创建恶意网页，诱骗访问者点击隐藏或伪装的网页元素。这些攻击的工作原理是将隐藏 iframe 中的合法网页覆盖在攻击者创建的网页上。这个攻击者创建的网页旨在将其按钮和链接与隐藏 iframe 上的链接和按钮对齐。 然后，攻击者使用他们的网页来诱使用户单击链接或按钮，例如赢得奖励或查看某些图片。但是，当他们单击页面时，实际上是在单击隐藏 iframe（合法网站）上的链接和按钮，这可能会执行恶意操作，例如授权 OAuth 应用程序连接到其帐户或接受 MFA 请求。 多年来，网络浏览器开发人员引入了新功能来阻止大多数此类攻击，例如不允许跨站点发送 cookie 或引入关于站点是否可以构建 iframe 的安全限制（X-Frame-Options 或框架祖先）。 新的 DoubleClickjacking 攻击 网络安全专家 Paulos Yibelo 推出了一种名为 DoubleClickjacking 的新网络攻击，该攻击利用鼠标双击来诱骗用户在网站上执行敏感操作。 在这种攻击场景中，威胁者将创建一个网站，其中显示一个看似无害的带有诱惑的按钮，例如“单击此处”查看奖励或观看电影。当访问者单击该按钮时，将创建一个新窗口，覆盖原始页面并包含另一个诱惑，例如必须解决验证码才能继续。 在后台，原始页面上的 JavaScript 会将该页面更改为攻击者想要诱骗用户执行操作的合法站点。新的重叠窗口上的验证码会提示访问者双击页面上的某些内容来解决验证码问题。但是，此页面会侦听 mousedown 事件，并在检测到时快速关闭验证码覆盖层，从而导致第二次单击落在之前隐藏的合法页面上现在显示的授权按钮或链接上。 这会导致用户错误地单击公开的按钮，从而可能授权安装插件、OAuth 应用程序连接到其帐户或确认多重身份验证提示。 DoubleClick劫持攻击流程 之所以如此危险，是因为它绕过了所有当前的点击劫持防御，因为它不使用 iframe，也不会尝试将 cookie 传递到另一个域。相反，这些操作直接发生在不受保护的合法网站上。 Yibelo 表示，这种攻击几乎影响了所有网站，并分享了利用 DoubleClickjacking 接管 Shopify、Slack 和 Salesforce 帐户的演示视频。 研究人员还说，这种攻击不仅限于网页，还可以用于浏览器扩展。“例如，我已经对顶级浏览器加密钱包进行了概念验证，这些钱包使用这种技术来授权 web3 交易和 dApp 或禁用 VPN 来暴露 IP 等，”Yibelo 解释道。 这也可以在手机中通过要求目标‘DoubleTap’来完成。为了防止此类攻击，安全研究员共享了 JavaScript，可以将其添加到网页中以禁用敏感按钮，直到有所反应为止。这将防止双击在删除攻击者的覆盖层时自动点击授权按钮。 除此之外，研究人员还提出了一个潜在的 HTTP 标头，该标头可以限制或阻止双击序列期间窗口之间的快速上下文切换。

有关针对 Chrome 浏览器扩展程序开发人员的网络钓鱼活动的新细节近期被披露，该活动导致至少 35 个扩展程序被入侵，以注入数据窃取代码，其中包括来自网络安全公司 Cyberhaven 的扩展程序。 尽管最初的报告主要集中在 Cyberhaven 的安全扩展上，但随后的调查显示，相同的代码已被注入到至少 35 个扩展中，总共约有 2,600,000 人使用。从目标开发者对 LinkedIn 和 Google Groups 的报告来看，最新的攻击活动于 2024 年 12 月 5 日左右开始。然而，有安全研究人员发现早期命令和控制子域早在 2024 年 3 月就已存在。 欺骗性的 OAuth 攻击链 攻击首先会直接或通过与其域名关联的支持电子邮件发送给 Chrome 扩展程序开发人员的网络钓鱼电子邮件。从看到的电子邮件来看，该活动使用了以下域名来发送网络钓鱼电子邮件： supportchromestore.com forextensions.com chromeforextension.com这封网络钓鱼电子邮件看起来像是来自 Google，声称该扩展程序违反了 Chrome Web Store 政策，有被删除的风险。 “我们不允许扩展程序具有误导性、格式不良、非描述性、不相关、过多或不适当的元数据，包括但不限于扩展程序描述、开发者名称、标题、图标、屏幕截图和宣传图片，”钓鱼邮件中写道。 具体来说，该扩展程序的开发人员会相信其软件的描述包含误导性信息，并且必须同意 Chrome 网上应用店政策。 攻击中使用的网络钓鱼电子邮件 如果开发人员点击嵌入的“转到策略”按钮来了解他们违反了哪些规则，他们就会被带到 Google 域上的恶意 OAuth 应用程序的合法登录页面。该页面是 Google 标准授权流程的一部分，旨在安全向第三方应用授予访问特定 Google 帐户资源的权限。 恶意认证请求 在该平台上，攻击者托管了一个名为“隐私策略扩展”的恶意 OAuth 应用程序，该应用程序要求受害者授予通过其帐户管理 Chrome Web Store 扩展程序的权限。 OAuth 授权页面上写道：“当您允许此访问时，隐私政策扩展程序将能够：查看、编辑、更新或发布您有权访问的 Chrome Web Store 扩展程序、主题、应用程序和许可证。” 权限审批提示 多重身份验证无助于保护帐户，因为不需要 OAuth 授权流程中的直接批准，并且该过程假设用户完全了解他们授予的权限范围。 Cyberhaven 在事后分析报告中解释说：“该员工遵循标准流程，无意中授权了这个恶意第三方应用程序。” 据了解，该员工启用了 Google 高级保护，并对其帐户进行了 MFA，但没有收到 MFA 提示。该员工的 Google 凭据没有受到损害。 一旦威胁者获得了扩展程序开发人员帐户的访问权限，他们就会修改扩展程序以包含两个恶意文件，即“worker.js”和“content.js”，其中包含从 Facebook 帐户窃取数据的代码。 被劫持的扩展程序随后作为“新”版本发布在 Chrome 网上应用店上。虽然 Extension Total 正在跟踪受此网络钓鱼活动影响的 35 个扩展程序，但攻击中的 IOC 表明，目标数量要多得多。 据 VirusTotal 称，威胁者预先注册了目标扩展的域名，即使他们没有遭受攻击。虽然大多数域名是在 11 月和 12 月创建的，但威胁者在 2024 年 3 月就测试了此攻击。 网络钓鱼活动中早期使用的子域 针对 Facebook 企业帐户 对受感染机器的分析表明，攻击者的目标是中毒扩展程序用户的 Facebook 帐户。具体来说，数据窃取代码试图获取用户的 Facebook ID、访问令牌、帐户信息、广告帐户信息和企业帐户。 Facebook 数据被劫持的扩展程序窃取 此外，恶意代码还专门针对受害者在 Facebook.com 上的交互添加了鼠标点击事件监听器，寻找与平台的双因素身份验证或验证码机制相关的二维码图像。此举旨在绕过 Facebook 帐户的 2FA 保护，并允许威胁者劫持该帐户。 被盗信息将与 Facebook cookie、用户代理字符串、Facebook ID 和鼠标单击事件打包在一起，并渗透到攻击者的命令和控制 (C2) 服务器。威胁者一直通过各种攻击途径瞄准 Facebook 企业帐户，从受害者的信用直接付款到他们的帐户，在社交媒体平台上运行虚假信息或网络钓鱼活动，或者通过将其访问权限出售给其他人来货币化。

Otelier（以前称为 MyDigitalOffice）是一种基于云的酒店管理解决方案，全球 10,000 多家酒店使用它来管理预订、交易、夜间报告和发票。该公司被许多知名酒店品牌使用，其中包括万豪、希尔顿和凯悦。 近期，酒店管理平台 Otelier 遭遇数据泄露，黑客入侵了其 Amazon S3 云存储，窃取了数百万客人的个人信息以及万豪、希尔顿和凯悦等知名酒店品牌的预订信息。 据称，该漏洞首次发生于 2024 年 7 月，并持续访问至 10 月份，威胁者声称从 Otelier 的 Amazon AWS S3 存储桶中窃取了近 8 TB 的数据，并表示正在与受影响的客户进行沟通。 Otelier 表示一直在与可能涉及信息的客户进行沟通，目前经调查，未经授权的访问已被终止。为了防止未来发生类似事件，Otelier 已经禁用了相关帐户。 通过窃取的凭证而遭到破坏 Otelier 漏洞背后的威胁者表示，他们最初使用员工的登录信息入侵了该公司的 Atlassian 服务器。这些凭证是通过信息窃取恶意软件窃取的，这在过去几年中已成为企业网络的祸根。有媒体要求 Otelier 确认这一信息时，该公司表示他们无法就该事件发表任何进一步的评论。安全研究员在 Flare 威胁情报平台 Otelier 上发现员工信息已被 infostealer 恶意软件窃取。威胁者表示，他们使用这些凭据来抓取票据和其他数据，其中包含该公司 S3 存储桶的更多凭据。 黑客声称利用此访问权限从该公司的亚马逊云存储下载了 7.8TB 的数据，其中包括由 Otelier 管理的 S3 存储桶中属于万豪的数百万份文档。这些文件包括夜间酒店报告、轮班审计和会计数据。 目前，万豪酒店已证实，Otelier 的网络攻击对他们造成了影响，并暂停 Otelier 提供的自动化服务，直到调查完成，而这些服务仍处于暂停状态。该公司强调，其系统在这次攻击中没有遭到破坏。 威胁者表示，他们试图敲诈万豪酒店，认为 S3 存储桶属于他们并留下勒索信，要求以加密货币付款，以免泄露数据。然而，双方没有进行任何沟通，在凭证轮换后，他们在 9 月份失去了访问权限。 万豪酒店声称没有迹象表明很多敏感信息在此次泄露中被盗，但被盗数据样本包含酒店客人的个人信息，如酒店客人预订、交易、员工电子邮件和其他内部数据。被盗数据还包括与凯悦、希尔顿和温德姆相关的信息和电子邮件地址。 Troy Hunt目前收到了大量数据，其中预订表包含 3900 万行，用户表包含 2.12 亿行。幸运的是，密码和账单信息似乎并未在攻击中被盗，但威胁者仍然可以在有针对性的网络钓鱼攻击中使用这些信息。

加州正全力应对野火带来的毁灭性打击，以保护民众的生命和财产安全。然而不幸的是，这些灾难也为网络犯罪分子提供了可乘之机，他们利用灾时的混乱与不确定性实施犯罪。 Veriti Research 发现，与当前山火灾难相关的网络钓鱼诈骗正呈现出一种令人担忧的趋势，这凸显出在这些脆弱时期，迫切需要提升公众的网络安全意识 。 Veriti Research 的主要发现 Veriti Research在迅速调查后，在短短 72 小时内就发现了多个与加州山火有关的新注册域名。其中一些可疑域名包括： · malibu-fire[.]com · fire-relief[.]com · calfirerestoration[.]store · fire-evacuation-service[.]com · lacountyfirerebuildpermits[.]com · pacificpalisadesrecovery[.]com · boca-on-fire[.]com · palisades-fire[.]com · palisadesfirecoverage[.]com 这些域名表现出了典型的网络钓鱼活动模式，从模仿官方服务到针对马里布和太平洋帕利塞德等特定地区。 早期迹象表明，这些网站准备进行欺诈活动，包括网络钓鱼攻击、虚假捐赠请求和恶意下载。 黑客采用的策略 网络犯罪分子特别喜欢利用人们面对灾难时产生的恐惧和不确定性心理。在灾难发生期间，他们会采取以下策略： · 注册与合法服务机构极为相似的域名，以此混淆视听。 · 借助这些精心设计的域名发送网络钓鱼电子邮件，诱使收件人点击其中的欺诈链接。 · 运用社会工程技术营造紧迫感，比如炮制虚假的捐赠活动，或是发送伪装成关键安全警报的信息 。 钓鱼域名 例如，有犯罪分子专门设立了一个子域名，以提供火灾相关援助为幌子，目的就是诱骗受害者。在人们急切希望为救援工作出一份力时，这类策略利用的正是大家的善意。 尽管 Veriti 的研究目前尚未发现利用这些网络钓鱼域名展开的活跃电子邮件活动，但该团队仍坚持每日对其进行监控，以便能及时报告任何异常情况。 黑客深知，身处受影响区域内或附近的人们，更倾向于与看似和救灾相关的资源产生互动，于是便利用这一点，让攻击更具成效。 当下加州山火肆虐，自然灾害与网络攻击带来的双重悲剧愈发凸显。 随着这些犯罪分子持续改进攻击技术，增强网络安全意识和保持警惕变得极为关键。 个人和组织若能了解网络犯罪分子惯用的方法与工具，便能主动采取措施，尽可能降低遭受攻击的风险。 Veriti Research 团队一直致力于发现并消除这类威胁，让社区民众能够心无旁骛地专注于灾后恢复工作，无需承受网络犯罪带来的额外负担。 在这个局势动荡的时期，无论是居民、组织，还是网络安全专业人员，每个人都务必保持警惕，随时了解相关信息，这一点至关重要。

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现16款移动App存在隐私不合规行为。 1、隐私政策难以访问、未声明App运营者的基本情况。涉及9款App如下： 《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、 《168运友物流》（版本3.9.93，应用宝）、 《天水秦州村镇银行》（版本3.0.7，vivo应用商店）、 《esc模拟社恐快逃》（版本2.1.8，百度手机助手）、 《懂球圈》（版本1.3.0，应用宝）、 《学法减分笔记》（版本1.0.5，vivo应用商店）、 《中峪数交》（版本1.2.9，应用宝）、 《全能CAD手机看图王》（版本2.0.1，360手机助手）、 《多语游外语学习》（版本1.0，百度手机助手）。 2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及8款App如下： 《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、 《易面酷》（版本2.1.0，应用宝）、 《168运友物流》（版本3.9.93，应用宝）、 《智慧狐》（版本3.4.10，vivo应用商店）、 《esc模拟社恐快逃》（版本2.1.8，百度手机助手）、 《山西信托》（版本2.8.5，应用宝）、 《多语游外语学习》（版本1.0，百度手机助手）、 《健康诺时邦》（版本1.4.5，360手机助手）。 3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，未取得个人的单独同意。涉及6款App如下： 《皓俊通货主端》（版本1.1.71，应用宝）、 《天水秦州村镇银行》（版本3.0.7，vivo应用商店）、 《智慧狐》（版本3.4.10，vivo应用商店）、 《esc模拟社恐快逃》（版本2.1.8，百度手机助手）、 《山西信托》（版本2.8.5，应用宝）、 《健康诺时邦》（版本1.4.5，360手机助手）。 4、App未建立并公布个人信息安全投诉、举报渠道。涉及1款App如下： 《中峪数交》（版本1.2.9，应用宝）。 5、基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式；向用户提供撤回同意收集个人信息的途径、方式，未在隐私政策等收集使用规则中予以明确。涉及10款App如下： 《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、 《易面酷》（版本2.1.0，应用宝）、 《司小宝》（版本4.9.7，小米应用商店）、 《运小满·物流助手》（版本4.1.1，应用宝）、 《懂球圈》（版本1.3.0，应用宝）、 《中峪数交》（版本1.2.9，应用宝）、 《全能CAD手机看图王》（版本2.0.1，360手机助手）、 《山西信托》（版本2.8.5，应用宝）、 《多语游外语学习》（版本1.0，百度手机助手）、 《健康诺时邦》（版本1.4.5，360手机助手）。 6、处理敏感个人信息未取得个人的单独同意。涉及2款App如下： 《168运友物流》（版本3.9.93，应用宝）、 《健康诺时邦》（版本1.4.5，360手机助手）。 7、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则。涉及3款App如下： 《懂球圈》（版本1.3.0，应用宝）、 《多语游外语学习》（版本1.0，百度手机助手）、 《健康诺时邦》（版本1.4.5，360手机助手）。、 针对上述情况，国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App，同时要注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。 注：文中所列App检测时间为2024年11月18日至12月31日 文章来源自：国家计算机病毒应急处理中心监测

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、窃取商业秘密和知识产权、侵犯公民个人信息等，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及：美国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下： 一、恶意地址信息 （一）恶意地址：gael2024.kozow.com 关联IP地址：149.28.98.229 归属地：美国/佛罗里达州/迈阿密 威胁类型：后门 病毒家族：AsyncRAT 描述：该恶意地址关联多个AsyncRAT病毒家族样本，部分样本的MD5值为50860f067b266d6a370379e8bcd601ba。相关后门程序采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式shell，以及访问特定URL等。这些病毒可通过移动存储介质、网络钓鱼邮件等方式进行传播，现已发现多个关联变种，部分变种主要针对中国境内民生领域的重要联网系统。 （二）恶意地址：185.174.101.218 归属地：美国/加利福尼亚州/洛杉矶 威胁类型：后门 病毒家族：RemCos 描述：该恶意地址关联到多个RemCos病毒家族样本，部分样本的MD5值为56f94f8aed310e90b5f513b1eb999c69。RemCos是一款远程管理工具，自2016年起就已存在。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。最新版本的RemCos可以执行各种恶意活动，包括键盘记录、截取屏幕截图和窃取密码。 （三）恶意地址：counterstrike2-cheats.com 关联IP地址：45.137.198.211 归属地：荷兰/北荷兰省/阿姆斯特丹 威胁类型：僵尸网络 病毒家族：mirai描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。（四）恶意地址：bot.merisprivate.net 关联IP地址：194.120.230.54 归属地：荷兰/北荷兰省/阿姆斯特丹 威胁类型：僵尸网络 病毒家族：mirai 描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。 （五）恶意地址：localvpn.anondns.net关联IP地址：37.120.141.162 归属地：荷兰/北荷兰省/阿姆斯特丹 威胁类型：后门 病毒家族：Nanocore 描述：该恶意地址关联到Nanocore病毒家族样本，部分样本的MD5值为954866a242963b6a2caadf0c5b7df5e1，Nanocore是一种远程访问木马，被用于间谍活动和系统远程控制。攻击者获得感染病毒的主机访问权限，能够录制音频和视频、键盘记录、收集凭据和个人信息、操作文件和注册表、下载和执行其它恶意软件负载等。Nanocore还支持插件，能够扩展实现各种恶意功能，比如挖掘加密货币，勒索软件攻击等。 （六）恶意地址：bueenotgay.duckdns.org 关联IP地址：217.15.161.176 归属地：新加坡 威胁类型：僵尸网络 病毒家族：MooBot 描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵，攻击成功后，受害设备将下载并执行MooBot的二进制文件，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。 （七）恶意地址：sidiaisi168.com 关联IP地址：154.211.96.238 归属地：新加坡 威胁类型：后门 病毒家族：Farfli 描述：该恶意地址关联到多个Farfli病毒家族样本，部分样本的MD5值为b860f4174f47f3622d7175f1e66b49c2。Farfli是一种远控木马，能够通过网络下载、软件捆绑、网络钓鱼等多种方式传播。其允许远程攻击者执行多种远控操作，比如监控电脑屏幕、键盘记录、下载安装任意文件、窃取隐私信息，甚至还可以控制感染的计算机发起DDoS攻击。 （八）恶意地址：94.122.78.238 归属地：土耳其/伊斯坦布尔省/伊斯坦布尔 威胁类型：僵尸网络 病毒家族：gafgyt 描述：这是一种基于因特网中继聊天（IRC）协议的物联网僵尸网络病毒，主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描，攻击网络摄像机、路由器等IoT设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大面积网络瘫痪。 （九）恶意地址：windowwork.duckdns.org 关联IP地址：103.88.234.204 归属地：墨西哥/墨西哥联邦区/墨西哥城 威胁类型：后门 病毒家族：RemCos 描述：该恶意地址关联到多个RemCos病毒家族样本，部分样本的MD5值为6dfbc8b366bd1f4ebd33695b8f8fa521。RemCos是一款远程管理工具，自2016年起就已存在。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。最新版本的RemCos可以执行各种恶意活动，包括键盘记录、截取屏幕截图和窃取密码。 （十）恶意地址：cnc.loctajima.website 关联IP地址：103.28.35.146 归属地：越南/胡志明市 威胁类型：僵尸网络 病毒家族：MooBot 描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵，攻击成功后，受害设备将下载并执行MooBot的二进制文件，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。 二、排查方法 （一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。 （二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。 （三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。 三、处置建议 （一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。 （二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。 （三）向有关部门及时报告，配合开展现场调查和技术溯源。 文章来源自：中国国家网络与信息安全信息通报中心

绿湾包装工队（Green Bay Packers）美式足球队通知球迷，一名威胁行为者于 10 月份入侵了其官方线上零售店，并注入了卡片盗刷脚本，以窃取客户的个人和支付信息。 国家橄榄球联盟球队表示，10 月 23 日发现 packersproshop.com 网站遭到入侵后，立即禁用了所有结账和付款功能。 “2024 年 10 月 23 日，我们收到警报，第三方威胁行为者在 Pro Shop 网站上插入了恶意代码，得知此事后，我们立即暂时禁用了 Pro Shop 网站上的所有支付和结账功能，并开始调查。”Packers 零售业务总监 Chrysta Jorgensen解释道。 该 NFL 球队还聘请了外部网络安全专家来调查该事件的影响并查明是否有客户信息被窃取。 调查显示，插入结帐页面的恶意代码可能会在 2024 年 9 月下旬至 10 月上旬期间窃取个人和支付信息。然而，Packers 表示，攻击者无法拦截使用礼品卡、Pro Shop 网站帐户、PayPal 或 Amazon Pay 进行的支付的信息。 “我们还立即要求托管和管理 Pro Shop 网站的供应商从结帐页面删除恶意代码、刷新密码并确认没有剩余漏洞，”Jorgensen 补充道。 荷兰电子商务安全公司Sansec在 12 月 31 日发布的一份报告中指出： “在这次攻击中，一个脚本从 https://js-stats.com/getInjector 注入。该脚本从网站上的输入、选择和文本区域字段中收集数据，并将捕获的信息泄露到 https://js-stats.com/fetchData。” JSONP 漏洞利用（Sansec） 此次泄露事件影响的个人和支付数据包括在 Pro Shop 网站上购物时输入的信息，例如姓名、地址（账单和送货地址）、电子邮件地址，以及信用卡类型、卡号、有效期和验证码。 Green Bay Packers尚未透露此次数据泄露事件影响的客户数量，也未透露威胁行为者如何侵入其 Pro Shop 网站并注入卡片盗刷脚本。 现在，NFL 球队通过 Experian 为受到此次泄密事件影响的用户提供三年的信用监控和身份盗窃恢复服务，并建议他们监控自己的账户报表，以防出现任何欺诈活动。 那些发现疑似身份盗窃或欺诈事件的人应立即向其银行和相关部门报告。

2024 年 9 月出现了一场冒充美国社会保障局的网络钓鱼活动，它向电子邮件发送嵌入了 ConnectWise 远程访问木马 (RAT) 安装程序链接的电子邮件。 这些电子邮件伪装成更新的福利声明，采用了各种技巧，包括不匹配的链接和“查看声明”按钮，以欺骗收件人。 它最初利用ConnectWise基础设施进行命令和控制 (C2)，但后来转变为动态 DNS 服务和威胁行为者托管的域。 据观察，活动在 11 月初至中旬显著增加，并在选举日左右达到顶峰，这表明它可能与政治选举有关。 威胁行为者在针对个人的电子邮件活动中采用了复杂的欺骗策略，利用社会保障管理局合法的福利来制造假象。 通过仿政府官方网页的欺骗性链接，使用邮件诱骗收件人点击。 这可能导致恶意软件感染或数据盗窃。 使用品牌图像资产的欺骗社会保障管理局电子邮件示例 通过使用欺骗性的攻击，嵌入式链接能够在用户首次访问链接时将用户重定向到 ConnectWise RAT 安装程序。 然而，随后尝试访问同一链接时，用户会被重定向到合法的社会保障管理局网站，这表明使用浏览器 cookie 来追踪以前的访问。 通过在第一次访问时设置 cookie，系统可以区分初次尝试和重复尝试。 这有效地将恶意软件传递到精准用户，从而使识别恶意攻击更具挑战性。 当后续尝试访问该链接时，该网站会重定向到官方网站 威胁行为者利用社会工程技术部署凭证网络钓鱼活动，他们制作模仿合法实体（例如社会保障局）的电子邮件来诱骗受害者点击恶意链接。 据Cofense Intelligence称，这些链接通常会将用户引导至伪装成官方门户的网站，要求用户提供敏感的个人信息。这些数据（包括 PII、财务信息以及母亲娘家姓氏等安全问题）会被收集起来，用于身份盗窃和账户接管。 网络钓鱼页面还可能包含远程访问木马 (RAT) 等恶意下载，从而允许攻击者远程控制受害者的设备。 这使得威胁行为者能够侵入账户、窃取资金，并可能进一步利用受害者的数字足迹。

名为“FlowerStorm”的新 Microsoft 365 网络钓鱼即服务平台填补了 Rockstar2FA 网络犯罪服务突然关闭所留下的空白。 Trustwave 于 2024 年 11 月下旬首次记录，Rockstar2FA 作为 PhaaS 平台运行，促进针对 Microsoft 365 凭据的大规模中间对手 (AiTM) 攻击。该服务提供先进的规避机制、用户友好的面板和众多网络钓鱼选项，以每两周 200 美元的价格向网络犯罪分子出售访问权限。 Sophos 研究人员表示，Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃，导致该服务的许多页面无法访问，但这似乎不是针对网络犯罪平台的执法行动的结果，而是技术故障。几周后，FlowerStorm 首次出现在网上，并迅速获得关注。 Rockstar2FA 检测 Rockstar2FA 会重塑品牌吗 1.这两个平台都使用模仿合法登录页面（例如 Microsoft）的网络钓鱼门户来获取凭据和 MFA 令牌，依赖于 .ru 和 .com 等域上托管的后端服务器。 Rockstar2FA 使用随机 PHP 脚本，而 FlowerStorm 使用 next.php 进行标准化。 2.他们的钓鱼页面的 HTML 结构非常相似，具有评论中的随机文本、Cloudflare“十字转门”安全功能以及“初始化浏览器安全协议”等提示。 Rockstar2FA 使用汽车主题，而 FlowerStorm 则转向植物主题，但底层设计保持一致。 3.凭据收集方法紧密结合，使用电子邮件、通行证和会话跟踪令牌等字段。这两个平台都通过其后端系统支持电子邮件验证和 MFA 身份验证。 4.域名注册和托管模式显著重叠，大量使用 .ru 和 .com 域名以及 Cloudflare 服务。到 2024 年底，它们的活动模式显示出同步上升和下降，表明出潜在的协调。 5.这两个平台都出现了操作错误，暴露了后端系统并表现出了高可扩展性。 Rockstar2FA 管理着 2000 多个域名，而 FlowerStorm 在 Rockstar2FA 崩溃后迅速扩张，这是一个共享框架。 活动模式 Sophos 总结道：“我们不能将 Rockstar2FA 和 FlowerStorm 联系起来，除非注意到由于部署的套件内容相似，这些套件至少反映了共同的系统。” 类似的域名注册模式可能反映了 FlowerStorm 和 Rockstar 的协调工作，尽管这些匹配模式也有可能更多地是由市场力量而非平台本身驱动。 新的危险出现 无论 FlowerStorm 突然崛起背后的原因是什么，对于用户和企业来说，它是破坏性网络钓鱼攻击的又一推动因素，可能导致全面的网络攻击。 Sophos 的遥测显示，FlowerStorm 所针对的大约 63% 的组织和 84% 的用户位于美国。 FlowerStorm 目标 最受攻击的行业是服务业（33%）、制造业（21%）、零售业（12%）和金融服务业（8%）。为了防范网络钓鱼攻击，请使用具有 AiTM 抵抗 FIDO2 令牌的多重身份验证 (MFA)、部署电子邮件过滤解决方案，并使用 DNS 过滤来阻止对可疑域（如 .ru、.moscow 和 .dev）的访问。

2024 年网络攻击、数据泄露事件、新威胁团体及零日漏洞不断出现，以下是对2024 年最具影响力的网络安全故事盘点，并对每个故事进行了简单概述。 13. 互联网档案馆被黑 10 月 9 日，互联网档案馆同时遭受两次不同的攻击：一次是数据泄露，该网站 3300 万用户的用户数据被盗；另一次是由一个名为 SN_BlackMeta 的涉嫌亲巴勒斯坦组织发起的 DDoS 攻击。虽然两次攻击发生在同一时期，但它们是由不同的威胁者发起。 互联网档案馆上的 JavaScript 警报警告有关违规行为 破坏互联网档案馆的威胁者表示，他们可以通过包含身份验证令牌的公开 GitLab 配置文件来实现这一目的，从而允许他们下载互联网档案馆源代码。 该源代码包含额外的凭据和身份验证令牌，包括互联网档案馆数据库管理系统的凭据。这使得威胁者能够下载用户数据库、源代码并修改站点。 12. 错误的 CrowdStrike 更新导致 850 万台 Windows 设备崩溃 2024 年 7 月 19 日，一个有漏洞的 CrowdStrike Falcon 更新在凌晨被推送到 Windows PC，导致网络安全软件的内核驱动程序导致操作系统崩溃。 该错误造成了严重的全球性中断，影响了大约 850 万个 Windows 系统。人们发现自己的设备崩溃，除了启动到安全模式之外，没有简单的方法可以返回操作系统来删除错误的更新。 该错误源于 CrowdStrike 内容验证过程中的漏洞，该过程未能检测到有漏洞更新。此错误更新引发了一系列系统崩溃，包括影响 Windows 设备和 Windows 365 云 PC 的无休止的重启循环。 由于 CrowdStrike 被许多企业使用，因此很快就产生广泛影响，影响了世界各地的金融公司、航空公司和医院，导致他们的 Windows 设备和应用程序也不可用。 Microsoft 发布了 Windows 修复工具来帮助删除有问题的 CrowdStrike 驱动程序并恢复受影响的系统。尽管有这个工具，但许多企业仍面临着漫长的恢复过程，因为每个设备都需要手动修复。 当威胁者开始参与其中，事情变得更糟。网络犯罪分子分发假冒的 CrowdStrike 修复工具和手册，传播恶意软件，包括新的 Daolpu 信息窃取程序。这些网络钓鱼活动针对试图从中断中恢复的企业，进一步推迟了中断。 假 CrowdStrike 修复推送信息窃取恶意软件 投资者很快对 CrowdStrike 提起诉讼，指责其在质量保证流程中存在疏忽，并且未能阻止有问题的更新发布。 微软还宣布，他们将考虑更改内核驱动程序处理策略以应对该事件，并鼓励防病毒供应商限制内核驱动程序的使用，以防止此类崩溃事件的发生。 11.卡巴斯基在美国被禁——软件自动被UltraAV取代 6 月，拜登政府宣布即将禁止卡巴斯基反病毒软件，让客户在 2024 年 9 月 29 日之前寻找替代安全软件。该禁令不仅涉及卡巴斯基软件在美国的销售，还阻止该公司向客户提供防病毒和安全更新。一个月后，卡巴斯基开始关闭其在美国的业务，拜登政府的决定使业务“不再可行”。 卡巴斯基决定将其美国客户群出售给 Pango，并于 9 月初向客户发送电子邮件表示他们将获得 UltraAV 软件的免费升级。然而，该公司并没有向客户明确表示将卸载其软件，9月19日，卡巴斯基用户突然发现他们的卡巴斯基产品被删除，而无论他们是否愿意，UltraAV被强制安装在他们的计算机上。这让许多卡巴斯基客户感到不满，因为他们的设备上安装了未经许可或明确通知的软件。 10.俄罗斯国家支持的黑客入侵微软公司电子邮件 今年 1 月，微软披露，俄罗斯国家支持的威胁者于 2023 年 11 月入侵了其公司电子邮件服务器，窃取了其领导层、网络安全和法律团队的电子邮件。 该黑客组织被称为 Midnight Blizzard（又名 Nobelium，或 APT29），是一个与俄罗斯对外情报局（SVR）有联系的国家支持的网络间谍组织。 微软后来透露，威胁者进行了密码喷射攻击，允许访问遗留的非生产测试租户帐户。该测试租户帐户还可以在 Microsoft 的企业环境中访问具有提升权限的 OAuth 应用程序，从而允许黑客从企业邮箱窃取数据。 2024 年 3 月，黑客利用被盗电子邮件中的信息再次入侵 Microsoft，从而窃取了源代码存储库。CISA 在 4 月份证实，美国联邦机构和微软之间的电子邮件也在这次攻击中被盗。这些电子邮件包含的信息使黑客能够访问某些客户的系统。 9. 国家公共数据泄露暴露了用户个人信息 8 月份，近 27 亿条美国人的个人信息记录在黑客论坛上泄露，暴露了姓名、社会安全号码、所有已知的实际地址以及可能的别名。这些数据是从国家公共数据公司窃取的，该公司收集和出售个人数据的访问权限，用于背景调查、获取犯罪记录以及供私家侦探使用。 Have I Been Pwned 的 Troy Hunt 分析了这次泄露，并确定其中包含 1.34 亿个唯一的电子邮件地址，这是一次可怕的数据泄露事件。泄露事件背后的威胁者试图以 350 万美元的价格出售它，但它最终在黑客论坛上免费泄露。 8. 针对边缘网络设备的攻击猖獗 今年，我们继续看到针对不同制造商的边缘网络设备的攻击，包括 Fortinet、TP-Link、Ivanti 和 Cisco。这些类型的设备是有价值的目标，因为它们暴露在互联网上，一旦遭到破坏，威胁者就可以进入内部网络。针对此类设备的攻击事件太多，暂不叙述。 7. CDK Global 勒索软件攻击摧毁了汽车经销商行业 汽车经销商软件即服务提供商 CDK Global 遭受 Black Suit 勒索软件攻击，致使该公司关闭系统，导致客户无法正常运营业务。 CDK Global 为汽车行业客户提供 SaaS 平台，处理汽车经销商运营的各个方面，包括 CRM、融资、薪资、支持和服务、库存以及后台运营。 由于美国的许多汽车经销商都使用该平台，此次故障导致了大范围的中断，经销商无法跟踪和订购汽车零部件、进行新的销售以及提供融资。 6. SnowFlake 数据盗窃攻击 今年 5 月，威胁者开始出售他们声称从 Snowflake 云数据平台客户那里窃取的数据。对攻击进行调查后，确定威胁者并未破坏 Snowflake，而是使用受损的凭据登录客户的 SnowFlake 帐户。 这些凭据是通过信息窃取恶意软件窃取的。一旦他们登录该帐户，就可以导出数据库并利用它们勒索公司支付赎金，以获取不公开发布的数据。 AT&T 7 月份披露，事件期间有 1.09 亿客户的通话记录被泄露，这些数据是从该公司 Snowflake 账户的在线数据库访问的。 TicketMaster 也受到了影响，威胁者声称窃取了 5.6 亿客户的数据。 与这些攻击相关的数据泄露始于 2024 年 4 月，影响了数亿使用 AT&T、Ticketmaster、Santander、Pure Storage、Advance Auto Parts、Los Angeles Unified、QuoteWizard/LendingTree 和 Neiman Marcus 服务的用户。11 月，美国司法部对 Connor Riley Moucka 和 John Erin Binns 两人提起起诉，他们被指控为袭击事件的幕后黑手。 据称，威胁者在这些攻击中勒索了 250 万美元，AT&T 为黑客删除被盗通话记录支付了 37 万美元。 5. 朝鲜 IT 工人计划 据悉，越来越多的朝鲜 IT 工人试图在美国和其他国家从事网络间谍活动并为其国家的运营创造收入。5 月，美国司法部对五人提出指控，其中包括一名美国公民女性、一名乌克兰男性和三名外国人，罪名是他们参与帮助朝鲜 IT 工作渗透到美国就业市场，为朝鲜核武器计划创收。7 月，电子邮件安全公司 KnowBe4 聘请了一名朝鲜黑客作为其首席软件工程师，该工程师试图在网络上安装窃取信息的恶意软件。 8 月，司法部逮捕了一名纳什维尔男子，他被指控帮助朝鲜 IT 工人在美国各地的公司获得远程工作，并经营一个笔记本电脑农场，他们曾冒充美国个人。Mandiant 和 SecureWorks 随后发布了有关朝鲜 IT 工人威胁的报告，分享了他们的策略以及公司如何应对此情况的出现。 4. UnitedHealth Change HealthCare 勒索软件攻击 今年 2 月，UnitedHealth 子公司 Change Healthcare 遭受大规模勒索软件攻击，对美国医疗保健行业造成了巨大破坏。 停电使医生和药房无法提出索赔、药房无法进行折扣交易，导致患者支付全价药物。这次攻击最终与 BlackCat 勒索软件团伙（又名 ALPHV）有关，该团伙使用窃取的凭据破坏了该公司的 Citrix 远程访问服务，该服务没有启用多重身份验证。 在攻击过程中，攻击者窃取了 6 TB 数据并最终加密了网络上的计算机，导致该公司关闭 IT 系统以防止攻击蔓延。该公司承认支付赎金要求以获得解密器并要求威胁者删除被盗数据。 据实施此次攻击的 BlackCat 勒索软件附属公司称，赎金据称为 2200 万美元。在 Change Healthcare 攻击之后，BlackCat 勒索软件业务面临着来自执法部门的巨大压力，导致其关闭。在 UnitedHealth 支付了据称 2000 万美元的赎金后，勒索软件团伙退出骗局，窃取了所有资金，并且没有与实施攻击的附属机构分享任何资金。 UnitedHealth 称 BlackCat 退出骗局 该附属公司声称仍然拥有 Change Healthcare 的数据，他们用这些数据再次勒索该医疗保健公司，这次是使用 RansomHub 的勒索网站。 最终，这些数据在勒索事件中消失，这可能表明又支付了一笔赎金。今年 10 月，UnitedHealth 证实超过 1 亿人的个人和医疗数据被盗，这是近年来最大规模的医疗数据泄露事件。 3.LockBit 遭到执法打击 2 月 19 日，当局拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及其镜像的 34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。这次破坏是名为“克罗诺斯行动”的国际执法行动的一部分。 LockBit 服务器上的执法部门扣押消息 五天后，LockBit 重新启动了新的基础设施，并威胁将更多的攻击集中在政府部门。然而，该勒索软件团伙再也无法恢复以前的辉煌，其附属机构已转向其他勒索软件业务。 在过去的一年里，执法部门继续针对 LockBit，识别并指控了 7 名 LockBit 勒索软件成员。被指控的人中包括勒索软件操作的主要操作者，又名“LockBitSupp”和“putinkrab”。 LockBit 最近开始测试一款名为 LockBit 4 的新加密器，它与之前的版本似乎没有太大区别。 2. Windows 11 召回 微软新的基于人工智能的 Windows 11 召回功能引起了网络安全社区的广泛关注，许多人认为这是一个巨大的隐私风险，也是威胁者可以利用来窃取数据的新攻击媒介。 在遭到强烈反对后，微软推迟了该软件的发布，以提高其安全性，要求用户选择在其计算机上启用 Recall，并且必须通过 Windows Hello 确认自己位于 PC 前，才能重新启动该软件并使用它。 微软继续推迟其发布，同时添加了额外的功能，例如自动过滤敏感内容，允许用户排除特定的应用程序、网站或私人浏览会话，并且可以根据需要将其删除。然而，在将该软件发布给Windows Insiders进行测试后，人们发现Windows 11 Recall并没有正确过滤信用卡等敏感信息。微软表示，随着新问题的发现，他们将继续改进该产品。 1.信息窃取者活动猖獗 信息窃取恶意软件活动今年十分猖獗，出现在许多不同的活动，以窃取受感染用户的浏览器信息、cookie、保存的凭据、信用卡和加密货币钱包。 虽然信息窃取已经存在多年，但威胁者在广泛的活动中使用它们时尤其突出。这些被盗的凭证随后被用于破坏公司网络、银行账户、加密货币交易所和电子邮件账户。 围绕信息窃取者的故事太长，以下是今年信息窃取者造成的一些事件： ·黑客劫持 Orange Spain RIPE 账户造成 BGP 严重破坏 ·全球信息窃取恶意软件针对加密用户、游戏玩家 ·Windows 漏洞在零日攻击中滥用盲文“空格” ·恶意广告通过虚假验证码页面推送 Lumma infostealer ·“GitHub Scanner”活动滥用存储库来推送恶意软件 ·网络犯罪分子冒充 Stack Overflow 用户来推送恶意软件 对于那些被窃取信息的人来说，由于威胁者窃取加密货币并访问受害者的银行账户，其可能会遭受毁灭性的经济损失。 防止此类攻击的最佳方法是在所有提供保护的帐户上使用身份验证器应用程序启用双因素身份验证。启用 2FA 后，即使威胁者拥有凭据，如果没有身份验证器生成的代码，他们也将无法登录。

本周，欧洲航天局 (ESA) 官方网上商店遭到黑客攻击，该商店出现一段 JavaScript 代码，该代码在结账时会生成虚假的 Stripe 支付页面。 欧洲航天局的预算超过 100 亿欧元，主要通过培训宇航员、建造火箭和卫星来探索宇宙的奥秘，从而扩大太空活动的极限。获得销售欧空局商品许可的网络商店目前无法使用，并显示“暂时无法使用”。 该恶意脚本本周出现在该机构的网站上，并收集客户信息，包括在购买最后阶段提供的支付卡数据。电子商务安全公司 Sansec 注意到了该恶意脚本，并提醒该商店似乎与 ESA 系统集成，可能会给该机构员工带来风险。 Sansec 表示 ESA 商店遭到入侵 Sansec 发现用于泄露信息的域名与销售 ESA 商品的合法商店使用的域名相同，但具有不同的顶级域名 (TLD)。虽然欧洲机构的官方商店在 .com TLD 中使用“esaspaceshop”，但黑客在 .pics TLD 中使用相同的名称（即 esaspaceshop[.]pics），如 ESA 商店的源代码所示： ESA 网络商店中注入恶意 JavaScript 该脚本包含来自 Stripe SDK 的模糊 HTML 代码，当客户尝试完成购买时，该代码会加载虚假的 Stripe 支付页面。值得注意的是，假冒的 Stripe 页面看起来并不可疑，特别是当看到它是由 ESA 官方网上商店提供时。 ESA 的网上商店加载虚假的 Stripe 支付页面 有网络应用安全公司也证实了 Sansec 的调查结果，并捕获了 ESA 官方网络商店上加载的虚假 Stripe 支付页面，目前该网店不再提供虚假的 Stripe 支付页面，但恶意脚本仍然在该网站的源代码中可见。 欧空局表示，该商店并未托管在其基础设施上，也不管理其上的数据，因为该机构不管理这些数据，它不拥有这些数据。这可以通过简单的 whois 查找来确认，该查找显示了 ESA 域名 (esa.int) 及其网络商店的完整详细信息，其中联系数据经过编辑以保护隐私。

Apache 发布了一个安全更新，解决了 Tomcat Web 服务器中的一个重要漏洞，该漏洞可能导致攻击者实现远程代码执行。 Apache Tomcat 是一种开源 Web 服务器和 Servlet 容器，广泛用于部署和运行基于 Java 的 Web 应用程序。它为 Java Servlet、JavaServer Pages (JSP) 和 Java WebSocket 技术提供运行时环境。 该产品深受运行自定义 Web 应用程序的大型企业和依赖 Java 提供后端服务的 SaaS 提供商的欢迎。云和托管服务集成了 Tomcat 来进行应用程序托管，软件开发人员使用它来构建、测试和部署 Web 应用程序。 新版本中修复的漏洞被追踪为 CVE-2024-56337，并解决了 CVE-2024-50379 的不完整缓解措施，这是一个关键的远程代码执行 (RCE)，供应商已于 12 月 17 日发布了补丁。 人们意识到应用 CVE-2024-50379 的更新不足以保护系统，并决定发布 CVE-2024-56337强调手动操作的必要性。 这两个问题本质上是完全相同的漏洞，但决定使用新的 CVE ID 是为了提高受影响系统管理员的认识。该安全问题是一个检查时间使用时间 (TOCTOU) 竞争条件漏洞，该漏洞会影响启用默认 Servlet 写入（“只读”初始化参数设置为 false）并在不区分大小写的文件系统上运行的系统。 该问题影响 Apache Tomcat 11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33 以及 9.0.0.M1 至 9.0.97。用户应升级到最新的 Tomcat 版本：11.0.2、10.1.34 和 9.0.98。 解决该问题需要采取额外的步骤，根据所使用的 Java 版本，除了升级之外，用户还需要执行以下操作： ·对于 Java 8 或 11，建议将系统属性“sun.io.useCanonCaches”设置为“false”（默认值：true）。 ·对于 Java 17，请确保“sun.io.useCanonCaches”（如果设置）配置为 false（默认值：false）。 ·对于 Java 21 及更高版本，无需配置。该属性和有问题的缓存已被删除。 Apache 团队分享了即将推出的 Tomcat 版本（11.0.3、10.1.35 和 9.0.99）中的安全增强计划。 具体来说，Tomcat 将在不区分大小写的文件系统上启用默认 servlet 的写访问权限之前检查“sun.io.useCanonCaches”设置是否正确，并在可能的情况下将“sun.io.useCanonCaches”默认为 false。这些更改旨在自动实施更安全的配置，并降低 CVE-2024-50379 和 CVE-2024-56337 被利用的风险。

一、相关病毒传播案例 近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）在我国境内再次捕获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中，攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接，通过微信群直接传播包含该木马病毒的加密压缩包文件，如图1所示。 图1 钓鱼信息及压缩包文件 图1中名为“笔记”等字样的收藏链接指向文件名为“违规-记录（1）.rar”等压缩包文件，用户按照钓鱼信息给出的解压密码解压压缩包文件后，会看到以“开票-目录.exe”、“违规-告示.exe”等命名的可执行程序文件，这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。 二、病毒感染特征 1.钓鱼信息特征 本次发现攻击者使用的钓鱼信息仍然以伪造官方通知为主。结合年末特点，攻击者刻意强调“12月”、“稽查”、“违规”等关键词，借此使潜在受害者增加紧迫感从而放松警惕。在钓鱼信息之后，攻击者继续发送附带所谓的相关工作文件的钓鱼链接。 2.文件特征 1）文件名 对于本次发现的新一批变种，犯罪分子继续将木马病毒程序的文件名设置为与财税、金融管理等相关工作具有密切联系的名称，以引诱相关岗位工作人员点击下载运行，如：“开票-目录”、“违规-记录”、“违规-告示”等。此次发现的新变种仍然只针对安装Windows操作系统的传统PC环境，犯罪分子也会在钓鱼信息中使用“请使用电脑版”等话术进行有针对性的诱导提示。 2）文件格式 本次发现的新变种以RAR、ZIP等压缩格式（内含EXE可执行程序）为主，与之前变种不同的是，此次攻击者为压缩包设置了解压密码，并在钓鱼信息中进行提示告知，以逃避社交媒体软件和部分安全软件的检测，使其具有更强的传播能力。 3）文件HASH 34101194d27df8bc823e339d590e18f2 网络安全管理员可通过国家计算机病毒协同分析平台（https://virus.cverc.org.cn）获得相关病毒样本的详细信息，如下：https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=34101194d27df8bc823e339d590e18f2 3.进程特征 木马病毒被安装运行后，会在操作系统中创建新进程，进程名与文件名相同，并从回联服务器下载其他恶意代码直接在内存中加载执行。 4.网络通信特征 回联地址为：156.***.***.90，端口号为：1217 命令控制服务器（C2）域名为：mm7ja.*****. cn，端口号为：6666 网络安全管理员可根据上述特征配置防火墙策略，对异常通信行为进行拦截。其中与C2地址的通信过程中，攻击者会收集受害主机的操作系统信息、网络配置信息、USB设备信息、屏幕截图、键盘记录、剪切板内容等敏感数据。 5.其他特征 本次发现的新变种还具有主动攻击安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。 三、防范措施 临近年末，国家计算机病毒应急处理中心再次提示广大企事业单位和个人网络用户提高针对各类电信网络诈骗活动的警惕性和防范意识，不要轻易被犯罪分子的钓鱼话术所诱导。结合本次发现的银狐木马病毒新变种传播活动的相关特点，建议广大用户采取以下防范措施： 1.不要轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件和官方程序（或相应下载链接），应通过官方渠道进行核实。 2.带密码的加密压缩包并不代表内容安全，针对类似此次传播的“银狐”木马病毒加密压缩包文件的新特点，用户可将解压后的可疑文件先行上传至国家计算机病毒协同分析平台（https://virus.cverc.org.cn）进行安全性检测，并保持防病毒软件实时监控功能开启，将电脑操作系统和防病毒软件更新到最新版本。 3.一旦发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被异常关闭，应立即主动切断网络连接，对重要数据进行迁移和备份，并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。 4.一旦发现微信、QQ或其他社交媒体软件发生被盗现象，应向亲友和所在单位同事告知相关情况，并通过相对安全的设备和网络环境修改登录密码，对自己常用的计算机和移动通信设备进行杀毒和安全检查，如反复出现账号被盗情况，应在备份重要数据的前提下，考虑重新安装操作系统和防病毒软件并更新到最新版本。 文章来源自：国家计算机病毒应急处理中心

一种名为“DroidBot”的新 Android 银行恶意软件试图窃取英国、意大利、法国、西班牙和葡萄牙超过 77 个加密货币交易所和银行应用程序的凭据。 据发现新 Android 恶意软件的 Cleafy 研究人员称，DroidBot 自 2024 年 6 月以来一直活跃，并作为恶意软件即服务 (MaaS) 平台运行，该工具的售价为每月 3,000 美元。至少有 17 个附属组织已被发现使用恶意软件构建器来针对特定目标定制其有效负载。 尽管 DroidBot 缺乏任何新颖或复杂的功能，但对其僵尸网络之一的分析显示，英国、意大利、法国、土耳其和德国有 776 种独特的感染，表明存在重大活动。此外，Cleafy 表示，该恶意软件似乎正在大力开发，有迹象表明试图扩展到包括拉丁美洲在内的新地区。 DroidBot MaaS 操作 DroidBot 的开发人员似乎是土耳其人，他们为附属公司提供了进行攻击所需的所有工具。这包括恶意软件构建器、命令和控制 (C2) 服务器以及中央管理面板，他们可以从中控制操作、检索被盗数据和发出命令。 创作者声称 DroidBot 在 Android 14 上运行良好 多个附属机构在同一 C2 基础设施上运行，并为每个组织分配了唯一的标识符，使 Cleafy 能够识别 17 个威胁组织。 从样本配置中提取的附属机构 有效负载构建器允许附属机构自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址。关联公司还可以访问详细文档、恶意软件创建者的支持以及定期发布更新的 Telegram 频道。 总而言之，DroidBot MaaS 操作使缺乏经验或低技能的网络犯罪分子的进入门槛相当低。 管理面板为附属公司提供完全控制 冒充流行应用程序 DroidBot 通常伪装成 Google Chrome、Google Play 商店或“Android Security”来欺骗用户安装恶意应用程序。然而，在所有情况下，它都会充当试图从应用程序窃取敏感信息的特洛伊木马。 DroidBot 的屏蔽应用程序 该恶意软件的主要特征是： ·按键记录 – 捕获受害者输入的每一次按键。 ·覆盖 – 在合法的银行应用程序界面上显示虚假的登录页面。 ·短信拦截 – 劫持传入的短信，特别是那些包含用于银行登录的一次性密码 (OTP) 的短信。 ·虚拟网络计算 – VNC 模块使附属机构能够远程查看和控制受感染的设备、执行命令以及使屏幕变暗以隐藏恶意活动。 DroidBot 操作的一个关键方面是滥用 Android 的辅助功能服务来监控用户操作，并代表恶意软件模拟滑动和点击。因此，如果用户安装了请求奇怪权限的应用程序（例如辅助功能服务），应该立即产生怀疑并拒绝该请求。 在 DroidBot 试图窃取凭证的 77 个应用程序中，一些突出的应用程序包括 Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken 和 Garanti BBVA。 为了减轻这种威胁，建议 Android 用户仅从 Google Play 下载应用程序，在安装时仔细检查权限请求，并确保 Play Protect 在其设备上处于活动状态。

数字化转型和智能化时代的浪潮下，网络安全问题已成为全球范围内的严峻挑战。近年来，网络攻击呈现出更加多样化和高频化的趋势，勒索病毒、数据泄露、APT攻击（高级持续性威胁）等威胁不断升级，使得传统的安全防护手段面临前所未有的压力，不仅给企业带来巨大的经济损失，也对国家安全和社会稳定构成了严峻考验。同时，随着全球网络安全环境的变化和国家对信息安全的高度重视，自主可控的技术产品和解决方案也成为行业的重要发展方向。 面对诸多复杂局面，越来越多的网络安全企业加强技术创新，致力于开发更加智能、全面、主动的安全解决方案。通过引入人工智能、大数据分析、区块链等前沿技术，许多企业已经开始从被动防护向主动预警转变，致力于构建更加坚固、灵活的安全防线。并且为了减少对外部技术的依赖，推动网络安全的自主可控，许多企业积极研发符合国内安全要求的国产化技术，推动关键基础设施的自主防护体系建设，确保网络安全在国家安全战略中的关键地位。 随着网络安全产业不断地发展、技术的不断升级、政策法规的逐步完善，网络安全行业正朝着更智能、更高效、更自主可控的方向发展，帮助社会各界应对日益复杂的网络安全威胁，同时为我国网络安全产业的自主可控提供了坚实的支撑。 为表彰在网络安全领域做出卓越贡献、并持续推动技术创新的“中国网安优能企业“，嘶吼安全产业研究院进行了《嘶吼2024中国网络安全产业势能榜》评选活动。旨在基于对产业发展的深度调研及甲方侧的需求视角，严选中国网络安全领域内“实力优·技术优·服务优·创新优·品牌优”的优能企业，为市场和甲方的选品提供重要参考，为技术的应用与创新树立行业标杆，在持续细化市场需求与用户偏好颗粒度的同时，综合优化行业生态，为中国网络安全产业的高质量发展引领方向。 《嘶吼2024中国网络安全产业势能榜》评选结果公示： 嘶吼2024中国网络安全产业势能榜优能企业名单： 嘶吼2024中国网络安全产业势能榜“综合型”优能企业名单： 嘶吼2024中国网络安全产业势能榜“专精型”优能企业名单： 嘶吼2024中国网络安全产业势能榜“创新型”优能企业名单： PS：本排名仅针对参与调研的网络安全企业，未涵盖所有行业内企业，部分未参与调研的企业不在此榜单范围内，且所有评选依据均为嘶吼安全产业研究院的调研结果。 关注公众号“嘶吼专业版”，回复“2024势能榜”即可下载高清图片。 评选说明 本次评选根据市场表现、技术创新、行业口碑、产品和服务质量等多个维度，对2024年中国网络安全产业的主要企业进行了全面调研，最终从参与报名的近300家调研信息中评选出80名优能企业予以表彰并颁发荣誉奖杯。 评选维度设计引申自经济学中“品牌市场力”的概念模型，该模型是指某企业所代表的品牌，其市场占有力、创利能力、持久发展力的综合表现。强势的品牌市场力，代表着企业及其服务（产品）质量稳定、技术过硬、价格合理、营销得当，既能充分满足市场与甲方的需求，又能够收获稳定的市场份额。 嘶吼安全产业研究院在此模型基础上，将评选维度设定为“市场势能、创利势能、发展势能”，其中： 【市场势能】重点考量参选企业对市场需求的把握与洞鉴能力，同时也是企业技术能力、创新能力、品牌辐射力与客户满意度的具象呈现。 【创利势能】重点考量企业商业闭环与模式自洽的能力，是其营收能力、成果转化能力与高效能投入产出比的展现。 【发展势能】是企业发展基本盘的综合评估，是企业自身价值与行业贡献价值的双向加成。 评选依据厂商类型不同（“综合型”、“专精型”、“创新型”）结合企业报名情况及嘶吼安全产业研究院总体调研情况，评选出各类型的优能企业。 调研洞察： 根据调研数据反馈与总结，嘶吼安全产业研究院对行业发展有了更加深入的认识。 1.市场需求持续攀升 2024年，随着数字化、云计算、物联网和人工智能等技术的普及，网络安全需求持续增长。尤其是在政务、金融、医疗等关键行业，网络安全问题的紧迫性愈发显现，推动了相关企业加大技术研发和服务创新。 2.技术驱动，智能安全引领潮流 随着人工智能、大数据分析等技术的成熟，智能化安全解决方案成为行业竞争的关键。2024年，越来越多的企业开始注重融合AI与网络安全，利用大模型、机器学习等技术突破，提升安全防护能力。 3.网络安全与国家战略深度融合 国家对网络安全的重视程度不断上升，2024年中国网络安全政策和法规的发布，为行业发展提供了更为明确的方向。众多网络安全企业积极响应国家战略，推动网络安全的国产化、自治化进程，提升整体产业自主可控能力。 结语： 我们逐渐意识到，网络安全行业的变化不仅仅体现在技术层面，更多的是在应对不断变化的市场需求和复杂的安全挑战中，企业如何灵活应变、创新求变。通过对各大企业的表现分析，我们更加明确了行业在未来发展中的关键驱动因素，包括技术创新的深度融合、市场需求的快速变化以及自主化的迫切需求。这些新的感悟让我们对整个行业的未来充满了期待。 最后，我们衷心感谢所有参与此次调研的网络安全企业。希望通过《嘶吼2024中国网络安全产业势能榜》的发布，可以让我们能深入了解行业现状和未来趋势，为行业提供有价值的参考见解。再次感谢各安全企业对网络安全事业的贡献和努力，未来我们期待与您共同推动行业的持续发展与创新。 高清版获奖名单图片下载方式： 关注公众号“嘶吼专业版”，回复“2024势能榜”即可下载高清图片。

德国联邦信息安全办公室 (BSI) 破坏了该国销售的 30000 多台 Android IoT 设备中预装的 BadBox 恶意软件操作。受影响的设备类型包括数码相框、媒体播放器和流媒体，以及智能手机和平板电脑。 BadBox 是一种 Android 恶意软件，预装在联网设备的固件中，用于窃取数据、安装其他恶意软件或让威胁者远程访问设备所在的网络。 当受感染的设备首次连接到互联网时，恶意软件将尝试联系威胁者运行的远程命令和控制服务器。该远程服务器将告诉 BadBox 恶意软件应在设备上运行哪些恶意服务，并且还将接收从网络窃取的数据。 BSI 表示，该恶意软件可以窃取双因素身份验证代码、安装更多恶意软件，并创建电子邮件和消息传递平台帐户来传播虚假新闻。它还可以通过在后台加载和点击广告来进行广告欺诈，为欺诈团伙创造收入。 最后，BadBox 可以设置为代理，允许其他人使用该设备的互联网带宽和硬件来路由自己的流量。这种策略被称为住宅代理，通常涉及涉及用户 IP 地址的非法操作。 德国网络安全机构表示，它通过沉入 DNS 查询来阻止 BadBox 恶意软件设备与其命令和控制 (C2) 基础设施之间的通信，以便恶意软件与警方控制的服务器而不是攻击者的命令和控制服务器进行通信。 Sinkholing 可防止恶意软件向攻击者发送窃取的数据并接收在受感染设备上执行的新命令，从而有效防止恶意软件发挥作用。 BSI 的声明中写道：“BSI 目前正在将受影响设备的通信重定向到犯罪者的控制服务器，作为根据 BSI 法案 (BSIG) 第 7c 条采取的陷坑措施的一部分。这会影响拥有超过 100,000 名客户的提供商。只要 BSI 继续采取措施，这些设备就不存在严重危险。 通知受感染的设备所有者 受此操作影响的设备所有者将由其互联网服务提供商根据其 IP 地址收到通知，任何收到通知的人都应立即将该设备与网络断开连接或停止使用。 由于恶意软件预装了固件，因此不应信任设备制造商的其他固件，并且应退回或丢弃该设备。 BSI 指出，所有受影响的设备都运行过时的 Android 版本和旧固件，即使它们受到 BadBox 的保护，只要它们暴露在网上，它们仍然容易受到其他僵尸网络恶意软件的攻击。 值得一提的是，由于 Android IoT 制造商和设备迭代的巨大差异，该国很可能存在更多被 BadBox 或类似恶意软件感染的设备，但 BSI 这次无法具体确定。 这可能包括智能手机和平板电脑、智能扬声器、安全摄像头、智能电视、流媒体盒以及各种联网设备，这些设备遵循从制造到转售网络的模糊路线。用户的设备被僵尸网络恶意软件感染的迹象包括看似闲置时过热、随机性能下降、意外设置更改、非典型活动以及与未知外部服务器的连接。 为了降低过时的 Android IoT 的风险，请安装来自值得信赖的供应商的固件映像，关闭不必要的连接功能，并使设备与关键网络隔离。一般来说，建议用户仅从信誉良好的制造商购买智能设备，并寻找提供长期安全支持的产品。 随后，Google 发送声明表示这些被发现受到感染的非品牌设备并非经过 Play Protect 认证的 Android 设备。如果设备未经过 Play Protect 认证，Google 就没有安全性和兼容性测试结果的记录。

一、相关病毒传播案例 近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内发现针对我国用户的“银狐”（又名：“游蛇”、“谷堕大盗”等）木马病毒最新变种。攻击者通过构造财务、税务等主题的钓鱼网页，通过微信群传播该木马病毒的下载链接。如图1、图2所示。 图1 钓鱼信息及链接(1) 图2 钓鱼信息及链接(2) 用户点击上述钓鱼链接后，钓鱼网页会根据用户终端类型进行跳转，如果用户使用手机终端访问，则会提示用户使用电脑终端进行访问，用户使用电脑终端访问链接后会下载文件名为“金稅四期（电脑版）-uninstall.msi”的安装包文件或“金稅五期（电脑版）-uninstall.zip”的压缩包文件（内含同文件名的可执行程序文件），实际为“银狐”木马病毒家族的最新变种程序。如果用户运行相关程序文件，将被攻击者实施远程控制、窃密、网络诈骗等恶意活动并充当进一步攻击的“跳板”。 二、病毒感染特征 1.钓鱼信息特征 钓鱼信息可能通过微信群、QQ群等社交媒体或电子邮件发送，信息通常为犯罪分子伪造的官方通知，主题通常涉及财税或金融管理等公共管理部门发布的最新政策和工作通知等，并附所谓的对接相关工作所需专用程序的下载链接。 2. 文件特征 1）文件名 犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称，如：“金稅四期（电脑版）”、“金稅五期（电脑版）”等，并以此为诱饵欺骗企业中的财务管理人员或个体经营者。由于目前该木马病毒程序的变种大多只针对安装Windows操作系统的传统PC环境，犯罪分子也会在文件名中设置“电脑版”、“PC版”等关键词以诱导受害用户在相应环境下安装。 2）文件格式 目前已知的该木马病毒常用文件格式以MSI安装包格式和ZIP、RAR等压缩包格式（内含MSI或EXE等可执行程序）为主。 3）文件HASH cf8088b59ee684cbd7d43edcc42b2eec f3cad147e35f236772b5e10f4292ba6e 网络安全管理员可通过国家计算机病毒协同分析平台获得相关病毒样本的详细信息，如下: https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=cf8088b59ee684cbd7d43edcc42b2eec https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=f3cad147e35f236772b5e10f4292ba6e 3.系统驻留特征 木马病毒被安装后，会在操作系统中注册名为“UserDataSvc_[字母与数字随机组合]”的系统服务，实现开机自启动和持久驻留，如图3所示。 图3 注册系统服务实现系统持久驻留 4.网络通信特征 回联地址为：154.**.**.95 命令控制服务器（C2）域名为：8848.********.zip 其中与C2地址的通信内容中，会包含受害主机的操作系统信息、用户名、CPU信息、内存信息以及内网IP地址等数据，如下： 三、防范措施 国家计算机病毒应急处理中心提示广大企事业单位，特别是从事电商业务的中小微企业以及个体经营者和个人网络用户，临近年末，各类财税和金融业务繁忙，从事相关业务的工作人员务必提高警惕，防范以计算机病毒为作案工具的电信网络诈骗活动。建议广大用户采取以下防范措施： 1.不要轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府主管部门或金融机构发布的通知，应通过官方渠道进行核实。 2.不要从微信群、QQ群或其他社交媒体软件的聊天群组中传播的网络链接（或二维码）下载所谓的官方程序。 3.一旦发现微信、QQ或其他社交媒体软件发生被盗现象，应向亲友和所在单位及同事告知相关情况，并通过相对安全的设备和网络环境修改登录密码，并对自己常用的计算机和移动通信设备进行杀毒和安全检查，如反复出现账号被盗情况，应在备份重要数据的前提下，考虑重新安装操作系统和安全软件并更新到最新版本。 4.对安全性未知的可疑文件，可访问国家计算机病毒协同分析平台（https://virus.cverc.org.cn）进行提交检测。 文章来源自： 国家计算机病毒应急处理中心

跨国电信巨头 BT 集团（前身为英国电信）已确认，其 BT 会议业务部门在 Black Basta 勒索软件泄露后关闭了部分服务器。 据悉，英国电信集团是英国领先的固定和移动电信提供商，它还为 180 个国家/地区的客户提供托管电信、安全以及网络和 IT 基础设施服务。 目前，该公司发言人表示，这起安全事件并未影响 BT 集团的运营或 BT 会议服务，尚不清楚是否有任何系统被加密或仅数据被盗。虽然英国电信表示这只是试图破坏他们的平台，但他们也表示他们已将受影响的服务器下线。 在此之前，Black Basta 勒索软件团伙声称他们破坏了该公司的服务器，并窃取了 500GB 的数据，包括财务和组织数据、“用户数据和个人文档”、NDA 文件、机密信息等。 Black Basta 泄露网站上的 BT 会议条目 该网络犯罪组织还发布了该公司在招聘过程中要求的文件的文件夹列表和多个屏幕截图，作为其主张的证据。 该勒索软件团伙还为其暗网泄露网站添加了倒计时，称被盗的数据即将泄露。威胁者声称从 BT 会议服务器窃取了数百 GB 的文档，这是一次严重的数据泄露事件。 英国电信集团发言人补充道：“我们正在继续积极调查这一事件的各个方面，并与相关监管和执法机构合作，作为我们应对措施的一部分。” Black Basta 勒索软件即服务 (RaaS) 操作于 2022 年 4 月浮出水面，并在全球范围内造成了许多知名受害者，其中包括医疗保健公司和政府承包商。一些著名的受害者包括美国医疗保健巨头 Ascension、英国技术外包公司 Capita、德国国防承包商莱茵金属、政府承包商 ABB、现代汽车欧洲分部、多伦多公共图书馆、美国牙科协会和加拿大黄页。CISA 和 FBI 今年 5 月表示，Black Basta 附属机构已入侵 500 多个组织，截至 2023 年 11 月，从 90 多名受害者那里收取了至少 1 亿美元的赎金。

美国联邦贸易委员会 (FTC) 称，一些在线工作进行诈骗的现象（称为“任务诈骗”）大幅增加，这些诈骗吸引人们通过重复性任务赚取现金，并承诺如果他们存入自己的钱，就能赚更多钱。 尽管这种类型的诈骗在 2020 年前几乎不存在，但自去年起 FTC 已经记录了 5000 起案件。到了 2024 年，涉及任务诈骗的举报数量激增，仅上半年 FTC 就收到了 20000 份来自被诈骗个人的举报。 因此，从 2020 年到 2023 年，报告的工作诈骗造成的经济损失增加了两倍，从 1 月到 2024 年 6 月，损失超过 2.2 亿美元。 FTC 表示，其中大约 40% 的损失是由“任务诈骗”增加造成的，报告的损失为 4100 万美元。 工作任务诈骗增多 类似“赌博”式工作 FTC 解释说，诈骗者通过 WhatsApp 和其他通信或社交媒体平台上未经请求的消息来接近受害者。诈骗者提供了一种简单的赚钱方法，告诉他们所要做的就是每天执行一组任务来赚钱，例如在在线平台或通过特殊应用程序上点赞视频或对产品进行评分。这些骗局冒充合法公司，例如德勤、亚马逊、麦肯锡公司和 Airbnb，并为受害者提供成组的任务，通常有 40 项。用户承诺每次完成一套并升级到下一个级别时都会收到升级佣金。 冒充德勤的任务诈骗 乍一看，这个骗局看起来很合法，因为求职者赚取了 50 至 60 美元的 USDT 或以太坊加密货币小额存款。然而，在某些时候，当受害者在应用程序上积累了可观的“佣金”时，他们会被要求进行存款，声称为了解锁提款选项和下一个任务集。许多受害人存钱，都是希望能连同佣金一起拿回押金，但钱却被骗子盗走。 在众多 Reddit 帖子中，任务诈骗受害者分享了他们的经历，其中一些人称已经存入了8500 美元，并期望收到更多的回报。 “我每完成 40 个任务，他们就会支付佣金。实际上，我最初几天就收到了加密货币 USDT 的报酬，每天大约 40 USDT。”一位任务诈骗受害者解释道。 一些不愿存钱来获取虚假收入的人会被邀请加入群聊，在那里他们会听到所谓捏造的“成功故事”。但是，由于这些骗局的游戏化性质，许多输钱的人将其视为赌博，并愿意冒些风险。 联邦贸易委员会表示，这些诈骗中通常使用加密货币，这使得追踪肇事者变得更加困难，因此，在受邀参与时，需要慎重考虑。 其他欺诈迹象包括“产品提升”和“应用程序优化”等流行语。联邦贸易委员会建议人们应忽略所有主动邀请的工作，尤其是那些被宣传为简单的在线任务型工作，因为没有合法雇主会有如此做法。此外，任何涉及在线点赞或评分以换取金钱的工作都是非法的，在任何情况下都应该予以拒绝。