蓝队取证审计网络安全

Stoli 集团的美国公司在 8 月份遭遇勒索软件攻击后申请破产，俄罗斯当局查封了该公司在该国的剩余酿酒厂。Stoli 集团的两家子公司 Stoli USA 和 Kentucky Owl 的总裁兼全球首席执行官在最近的一份文件中表示，这是因为 8 月份的攻击严重破坏了其 IT 系统（包括企业资源规划 (ERP)）之后发生的。此次网络攻击还迫使整个集团进行手动操作，影响了会计等关键流程，预计要到 2025 年初才能完全恢复。 Caldwell 表示：“2024 年 8 月，Stoli 集团的 IT 基础设施因数据泄露和勒索软件攻击而遭受严重破坏。” 由于 Stoli 集团的企业资源规划 (ERP) 系统被禁用，并且 Stoli 集团的大部分内部流程（包括会计职能）被强制，此次攻击给 Stoli 集团内的所有公司（包括 Stoli USA 和 KO）造成了严重的运营问题。 这一事件还导致 Stoli 美国子公司无法向两家公司拖欠 7800 万美元债务的贷款人提供财务报告。2024 年 7 月，该集团在俄罗斯仅存的最后资产——两家价值 1 亿美元的酿酒厂也因 Stoli 集团及其创始人 Yuri Shefler 被认定为“极端分子”而被没收。 此外，Stoli 集团还花费了数千万美元与俄罗斯国有企业 FKP Sojuzplodoimport 就 Stolichnaya 和 Moskovskaya 伏特加商标权进行了长达 23 年的长期法庭诉讼，涉及多个司法管辖区，其中包括美国。 这场法律斗争源于 2000 年 3 月总统普京的一项行政命令，旨在…

代号为“Operation Passionflower”的国际执法行动已经关闭了 MATRIX，这是一个加密消息平台，网络犯罪分子利用该平台协调非法活动，同时逃避警方追捕。 MATRIX 与同名的安全开源、去中心化、实时通信协议是不同的实体，继续使用是完全合法的。该行动在欧洲各地进行，包括法国、荷兰、意大利、立陶宛、西班牙和德国，并由欧洲刑警组织和欧洲司法组织协调。 犯罪推动者 警方在找到一名 2021 年 7 月试图暗杀记者的枪手的手机后，顺藤摸瓜找到了 MATRIX。在分析手机后，他们发现该手机经过定制，可以连接到名为 Matrix 的加密消息服务。 荷兰和法国当局之间的联合调查小组 (JIT) 允许警方监控和拦截通过这些设备发送的 33 种不同语言的 230 万条消息。但是，没有提供有关如何做到这一点的技术细节。 “三个月来，当局能够监控可能犯罪分子的信息，这些信息现在将用于支持其他调查。”欧洲刑警组织发布了一份声明。 在欧洲司法组织和欧洲刑警组织支持的协调行动中，荷兰和法国当局关闭了该消息服务，意大利、立陶宛和西班牙当局采取了后续行动。 MATRIX 遍布欧洲的 40 台服务器促进了至少 8,000 个用户帐户的通信，这些用户帐户支付了 1350 至 1700 美元的加密货币购买基于 Google Pixel 的设备以及手机上安装的服务的六个月订阅。 MATRIX 还以“Mactrix”、“Totalsec”、“X-quantum”和“Q-safe”等名称出售，但它们都使用相同的基础设施。 MATRIX 还提供加密视频通话、跟踪…

Google Play 上发现了一组新的 15 个 SpyLoan Android 恶意软件应用程序，安装量超过 800 万次，主要针对来自南美洲、东南亚和非洲的用户。 这些应用程序现已从 Android 官方应用程序商店中删除。然而，它们出现在 Google Play 上表明了威胁者的持续存在，因为即使最近针对 SpyLoan 运营商的执法行动也未能遏制这一问题。 Google Play 上一次重大的“SpyLoan 清理”是在 2023 年 12 月，当时删除了十多个累计 1200 万次下载的应用程序。 SpyLoan的作案手法 SpyLoan 应用程序是作为金融工具推广的工具，通过快速审批流程以欺骗性且常常是虚假的条款向用户提供贷款。 一旦受害者安装了这些应用程序，它们就会通过一次性密码 (OTP) 进行验证，以确保它们位于目标区域。然后他们被要求提交敏感的身份证明文件、员工信息和银行账户数据。此外，这些应用程序滥用其在设备上的权限来收集大量敏感数据，包括访问用户的联系人列表、短信、摄像头、通话记录和位置，以用于勒索过程。 McAfee 指出，这些应用程序的侵略性数据收集策略甚至会泄露受害者设备上的所有 SMS 消息，以及 GPS/网络位置、设备信息、操作系统详细信息和传感器数据。 窃取所有短信的代码 一旦用户通过该应用程序获得贷款，他们就必须支付高额利息，并且经常受到运营商利用从他们手机中窃取的数据进行骚扰和勒索。在某些情况下，诈骗者还会给贷款人的家人打电话骚扰他们。 Google Play 上的下载量达到 800 万次 Mc…

近日，安全研究员 Greg Lesnewich 发现了一个名为 SpectralBlur 的后门，该后门针对的是 Apple macOS。 该后门与恶意软件家族 KANDYKORN（又名 SockRacket）有相似之处，后者归因于与朝鲜有关的 Lazarus 子组织 BlueNoroff（又名 TA444）。 KandyKorn 是一种先进的植入物，具有多种监控、交互和避免检测的功能。它利用反射加载，这是一种可以绕过检测的直接内存执行形式。 SpectralBlur 不是复杂的恶意软件，它支持普通的后门功能，包括根据 C2 发出的命令上传/下载文件、运行 shell、更新其配置、删除文件、休眠或休眠。 TA444 在这些新的 MacOS 恶意软件家族中持续运行，通过寻找类似的字符串，安全研究人员将 SpectralBlur 和 KandyKorn 联系起来，在出现更多样本后，进一步与 TA444 联系起来。 最终，网络钓鱼活动袭击了人们的可见度，导致 KandyKorn 瘫痪。最新发现证实了与朝鲜有关的威胁者对开发 macOS 恶意软件以用于有针对性的攻击的极大兴趣。 2023 年 11 月，Jamf 威胁实验室的研究人员发现了一种名为 ObjCShellz 的新 macOS 恶意软件菌株，并将其归因于与朝鲜有关的 APT BlueNoroff。 专家们注意到 ObjCShellz 恶意软件与 BlueNoroff APT 组织相关的 RustBucket 恶意软件活动有相似之处。 2023 年 7 月，Elastic Security…

生成式人工智能日渐成为推动进步的强大工具，但也使其成为网络领域的重大威胁。恶意分子使用生成人工智能的情况越来越普遍，这使他们能够进行广泛的网络攻击。 从生成深度伪造品到增强网络钓鱼活动，生成人工智能正在演变成大规模网络犯罪的工具。人工智能因其跨行业的变革潜力而引起了研究人员和投资者的关注。不幸的是，恶意分子的滥用正在改变网络威胁格局。 生成人工智能最令人担忧的应用之一是创建深度造假和虚假信息活动，这些活动已被证明是有效和危险的。 Deepfakes 是使用生成人工智能创建的媒体内容（例如视频、图像或音频），可以真实地操纵面部、声音甚至整个事件。这些技术的日益复杂使得区分真实内容和虚假内容变得比以往任何时候都更加困难。这使得深度造假成为从事虚假信息活动、欺诈或侵犯隐私的攻击者的有力武器。 麻省理工学院在 2019 年发布的一项研究表明，人工智能生成的深度造假欺骗人类的概率高达 60%。鉴于人工智能的进步，这一比例很可能有所增加，从而使深度造假成为更加重大的威胁。攻击者可以利用它们来捏造事件、冒充有影响力的人物或创造操纵公众舆论的场景。在虚假信息活动中使用生成人工智能也不再是假设。 生成人工智能对于寻求经济利益的攻击者来说也有很多可用之处。通过自动创建网络钓鱼电子邮件，恶意分子可以扩大其活动规模，生成高度个性化且令人信服的消息，更有可能欺骗受害者。 这种滥用的一个例子是使用生成人工智能创建欺诈性社交媒体资料。 2022 年，联邦调查局称，旨在从受害者身上获取经济利益的虚假个人资料有所增加。 生成人工智能不仅允许攻击者生成真实的文本，还可以生…

Ultralytics YOLO11 AI 模型在供应链攻击中受到损害，该攻击在运行 Python 包索引 (PyPI) 8.3.41 和 8.3.42 版本的设备上部署加密货币挖矿程序。 Ultralytics 工具是开源的，被跨广泛行业和应用的众多项目所使用。该库在 GitHub 上已被加注 33,600 次，分叉 6,500 次，在过去 24 小时内，仅 PyPI 的下载量就超过 260,000 次。 Ultralytics YOLO11 受损 Ultralytics 8.3.41 和 8.3.42 已发布到 PyPi，直接安装受感染版本或作为依赖项安装的用户发现部署了加密货币挖矿程序。 对于 Google Colab 帐户，所有者因“滥用行为”而被标记并禁止。 Ultralytics 是 SwarmUI 和 ComfyUI 的依赖项，它们都确认其库的全新安装将导致矿工的安装。 来源：@GozukaraFurkan 安装后，受感染的库会在“/tmp/ultralytics_runner”处安装并启动 XMRig Miner，以连接到“connect.consrensys[.]com:8080”处的 minin 池。 运行 XMRig Miner 进程 Ultralytics 创始人兼首席执行官 Glenn Jocher 证实，该问题仅影响这两个受损版本，这些版本已被撤下并替换为干净的 8.3.43 版本。 Jocher 在 GitHub 上发帖称：“我们确认 Ultralytics 版本 8.3.41 和 8.3.42 受到…

美国联邦贸易委员会 (FTC) 称，一些在线工作进行诈骗的现象（称为“任务诈骗”）大幅增加，这些诈骗吸引人们通过重复性任务赚取现金，并承诺如果他们存入自己的钱，就能赚更多钱。 尽管这种类型的诈骗在 2020 年前几乎不存在，但自去年起 FTC 已经记录了 5000 起案件。到了 2024 年，涉及任务诈骗的举报数量激增，仅上半年 FTC 就收到了 20000 份来自被诈骗个人的举报。 因此，从 2020 年到 2023 年，报告的工作诈骗造成的经济损失增加了两倍，从 1 月到 2024 年 6 月，损失超过 2.2 亿美元。 FTC 表示，其中大约 40% 的损失是由“任务诈骗”增加造成的，报告的损失为 4100 万美元。 工作任务诈骗增多 类似“赌博”式工作 FTC 解释说，诈骗者通过 WhatsApp 和其他通信或社交媒体平台上未经请求的消息来接近受害者。诈骗者提供了一种简单的赚钱方法，告诉他们所要做的就是每天执行一组任务来赚钱，例如在在线平台或通过特殊应用程序上点赞视频或对产品进行评分。这些骗局冒充合法公司，例如德勤、亚马逊、麦肯锡公司和 Airbnb，并为受害者提供成组的任务，通常有 40 项。用户承诺每次完成一套并升级到下一个级别时都会收到升级佣金。 冒充德勤的任务诈骗 乍一看，这个骗局看起来很合法，因为求职者赚取了 50 至 60 美元的 USDT 或以太坊加密货币小额存款。然而，在某些时候，当受害者在应用程序上积累了可观的“佣金”时，他们会被要求进行存款，声称为了解锁提款选项和下一个任务集。许多受害人存钱，都是希望能…

跨国电信巨头 BT 集团（前身为英国电信）已确认，其 BT 会议业务部门在 Black Basta 勒索软件泄露后关闭了部分服务器。 据悉，英国电信集团是英国领先的固定和移动电信提供商，它还为 180 个国家/地区的客户提供托管电信、安全以及网络和 IT 基础设施服务。 目前，该公司发言人表示，这起安全事件并未影响 BT 集团的运营或 BT 会议服务，尚不清楚是否有任何系统被加密或仅数据被盗。虽然英国电信表示这只是试图破坏他们的平台，但他们也表示他们已将受影响的服务器下线。 在此之前，Black Basta 勒索软件团伙声称他们破坏了该公司的服务器，并窃取了 500GB 的数据，包括财务和组织数据、“用户数据和个人文档”、NDA 文件、机密信息等。 Black Basta 泄露网站上的 BT 会议条目 该网络犯罪组织还发布了该公司在招聘过程中要求的文件的文件夹列表和多个屏幕截图，作为其主张的证据。 该勒索软件团伙还为其暗网泄露网站添加了倒计时，称被盗的数据即将泄露。威胁者声称从 BT 会议服务器窃取了数百 GB 的文档，这是一次严重的数据泄露事件。 英国电信集团发言人补充道：“我们正在继续积极调查这一事件的各个方面，并与相关监管和执法机构合作，作为我们应对措施的一部分。” Black Basta 勒索软件即服务 (RaaS) 操作于 2022 年 4 月浮出水面，并在全球范围内造成了许多知名受害者，其中包括医疗保健公司和政府承包商。一些著名的受害者包括美国医疗保健巨头 Ascension、英国技术外包公司 Capita、德国国防承包…

一、相关病毒传播案例 近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内发现针对我国用户的“银狐”（又名：“游蛇”、“谷堕大盗”等）木马病毒最新变种。攻击者通过构造财务、税务等主题的钓鱼网页，通过微信群传播该木马病毒的下载链接。如图1、图2所示。 图1 钓鱼信息及链接(1) 图2 钓鱼信息及链接(2) 用户点击上述钓鱼链接后，钓鱼网页会根据用户终端类型进行跳转，如果用户使用手机终端访问，则会提示用户使用电脑终端进行访问，用户使用电脑终端访问链接后会下载文件名为“金稅四期（电脑版）-uninstall.msi”的安装包文件或“金稅五期（电脑版）-uninstall.zip”的压缩包文件（内含同文件名的可执行程序文件），实际为“银狐”木马病毒家族的最新变种程序。如果用户运行相关程序文件，将被攻击者实施远程控制、窃密、网络诈骗等恶意活动并充当进一步攻击的“跳板”。 二、病毒感染特征 1.钓鱼信息特征 钓鱼信息可能通过微信群、QQ群等社交媒体或电子邮件发送，信息通常为犯罪分子伪造的官方通知，主题通常涉及财税或金融管理等公共管理部门发布的最新政策和工作通知等，并附所谓的对接相关工作所需专用程序的下载链接。 2. 文件特征 1）文件名 犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称，如：“金稅四期（电脑版）”、“金稅五期（电脑版）”等，并以此为诱饵欺骗企业中的财务管理人员或个体经营者。由于目前该木…

德国联邦信息安全办公室 (BSI) 破坏了该国销售的 30000 多台 Android IoT 设备中预装的 BadBox 恶意软件操作。受影响的设备类型包括数码相框、媒体播放器和流媒体，以及智能手机和平板电脑。 BadBox 是一种 Android 恶意软件，预装在联网设备的固件中，用于窃取数据、安装其他恶意软件或让威胁者远程访问设备所在的网络。 当受感染的设备首次连接到互联网时，恶意软件将尝试联系威胁者运行的远程命令和控制服务器。该远程服务器将告诉 BadBox 恶意软件应在设备上运行哪些恶意服务，并且还将接收从网络窃取的数据。 BSI 表示，该恶意软件可以窃取双因素身份验证代码、安装更多恶意软件，并创建电子邮件和消息传递平台帐户来传播虚假新闻。它还可以通过在后台加载和点击广告来进行广告欺诈，为欺诈团伙创造收入。 最后，BadBox 可以设置为代理，允许其他人使用该设备的互联网带宽和硬件来路由自己的流量。这种策略被称为住宅代理，通常涉及涉及用户 IP 地址的非法操作。 德国网络安全机构表示，它通过沉入 DNS 查询来阻止 BadBox 恶意软件设备与其命令和控制 (C2) 基础设施之间的通信，以便恶意软件与警方控制的服务器而不是攻击者的命令和控制服务器进行通信。 Sinkholing 可防止恶意软件向攻击者发送窃取的数据并接收在受感染设备上执行的新命令，从而有效防止恶意软件发挥作用。 BSI 的声明中写道：“BSI 目前正在将受影响设备的通信重定向到犯罪者的控制服务器，作为根据 BSI 法案 (BSIG) 第 7c 条采取的陷坑措施…

数字化转型和智能化时代的浪潮下，网络安全问题已成为全球范围内的严峻挑战。近年来，网络攻击呈现出更加多样化和高频化的趋势，勒索病毒、数据泄露、APT攻击（高级持续性威胁）等威胁不断升级，使得传统的安全防护手段面临前所未有的压力，不仅给企业带来巨大的经济损失，也对国家安全和社会稳定构成了严峻考验。同时，随着全球网络安全环境的变化和国家对信息安全的高度重视，自主可控的技术产品和解决方案也成为行业的重要发展方向。 面对诸多复杂局面，越来越多的网络安全企业加强技术创新，致力于开发更加智能、全面、主动的安全解决方案。通过引入人工智能、大数据分析、区块链等前沿技术，许多企业已经开始从被动防护向主动预警转变，致力于构建更加坚固、灵活的安全防线。并且为了减少对外部技术的依赖，推动网络安全的自主可控，许多企业积极研发符合国内安全要求的国产化技术，推动关键基础设施的自主防护体系建设，确保网络安全在国家安全战略中的关键地位。 随着网络安全产业不断地发展、技术的不断升级、政策法规的逐步完善，网络安全行业正朝着更智能、更高效、更自主可控的方向发展，帮助社会各界应对日益复杂的网络安全威胁，同时为我国网络安全产业的自主可控提供了坚实的支撑。 为表彰在网络安全领域做出卓越贡献、并持续推动技术创新的“中国网安优能企业“，嘶吼安全产业研究院进行了《嘶吼2024中国网络安全产业势能榜》评选活动。旨在基于对产业发展的深度调研及甲方侧的需求视角，严选中国网络安全领域内“实力优·技术优·服务优·创新优·品牌优”的优能企业，为市场和甲方的选品提供重要参考，为技术的应用与创新树立行业标杆…

一种名为“DroidBot”的新 Android 银行恶意软件试图窃取英国、意大利、法国、西班牙和葡萄牙超过 77 个加密货币交易所和银行应用程序的凭据。 据发现新 Android 恶意软件的 Cleafy 研究人员称，DroidBot 自 2024 年 6 月以来一直活跃，并作为恶意软件即服务 (MaaS) 平台运行，该工具的售价为每月 3,000 美元。至少有 17 个附属组织已被发现使用恶意软件构建器来针对特定目标定制其有效负载。 尽管 DroidBot 缺乏任何新颖或复杂的功能，但对其僵尸网络之一的分析显示，英国、意大利、法国、土耳其和德国有 776 种独特的感染，表明存在重大活动。此外，Cleafy 表示，该恶意软件似乎正在大力开发，有迹象表明试图扩展到包括拉丁美洲在内的新地区。 DroidBot MaaS 操作 DroidBot 的开发人员似乎是土耳其人，他们为附属公司提供了进行攻击所需的所有工具。这包括恶意软件构建器、命令和控制 (C2) 服务器以及中央管理面板，他们可以从中控制操作、检索被盗数据和发出命令。 创作者声称 DroidBot 在 Android 14 上运行良好 多个附属机构在同一 C2 基础设施上运行，并为每个组织分配了唯一的标识符，使 Cleafy 能够识别 17 个威胁组织。 从样本配置中提取的附属机构 有效负载构建器允许附属机构自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址。关联公司还可以访问详细文档、恶意软件创建者的支持以及定期发布更新的 Telegr…

一、相关病毒传播案例 近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）在我国境内再次捕获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中，攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接，通过微信群直接传播包含该木马病毒的加密压缩包文件，如图1所示。 图1 钓鱼信息及压缩包文件 图1中名为“笔记”等字样的收藏链接指向文件名为“违规-记录（1）.rar”等压缩包文件，用户按照钓鱼信息给出的解压密码解压压缩包文件后，会看到以“开票-目录.exe”、“违规-告示.exe”等命名的可执行程序文件，这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。 二、病毒感染特征 1.钓鱼信息特征 本次发现攻击者使用的钓鱼信息仍然以伪造官方通知为主。结合年末特点，攻击者刻意强调“12月”、“稽查”、“违规”等关键词，借此使潜在受害者增加紧迫感从而放松警惕。在钓鱼信息之后，攻击者继续发送附带所谓的相关工作文件的钓鱼链接。 2.文件特征 1）文件名 对于本次发现的新一批变种，犯罪分子继续将木马病毒程序的文件名设置为与财税、金融管理等相关工作具有密切联系的名称，以引诱相关岗位工作人员点击下载运行，如：“开票-目录”、“违规-记录”、“违规-告示”等。此次发现的新变种仍然只针对安装W…

GitVenom 活动是一种复杂的网络威胁，利用 GitHub 存储库传播恶意软件并窃取加密货币。该活动通过创建数百个看似合法但包含恶意代码的虚假 GitHub 存储库来实施攻击，旨在诱骗开发人员下载和执行恶意代码，从而导致严重的财务损失。 恶意代码部署 GitVenom 背后的攻击者使用多种编程语言（如 Python、JavaScript、C、C++ 和 C#）制作虚假项目。这些项目通常声称提供社交媒体或加密货币管理的自动化工具等功能，但实际上隐藏了恶意代码，执行恶意操作。 恶意存储库的示例结构 Python 项目：攻击者使用一种技术，在一长行制表符后隐藏解密并执行恶意 Python 脚本的代码。 JavaScript 项目：嵌入了恶意函数，用于解码并执行 Base64 编码的脚本。 C、C++ 和 C# 项目：恶意批处理脚本被隐藏在 Visual Studio 项目文件中，以便在构建过程中执行。 这些虚假项目部署的恶意负载会从攻击者控制的 GitHub 存储库下载其他恶意组件。这些组件包括一个 Node.js 窃取程序，用于收集凭证和加密货币钱包数据等敏感信息，并通过 Telegram 将其上传给攻击者。此外，攻击者还使用了开源工具如 AsyncRAT 和 Quasar 后门。 根据 SecureList 的报告，攻击者还使用了剪贴板劫持程序，将加密货币钱包地址替换为攻击者控制的地址，从而导致严重的财务盗窃。值得注意的是，一个攻击者控制的比特币钱包在 2024 年 11 月收到了约 5 BTC（当时价值约 485,000 美元）。 …

被称为Kimsuky的朝鲜黑客组织在最近的攻击中被发现使用定制的RDP包装器和代理工具直接访问受感染的机器。 发现该活动的AhnLab安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于PebbleDash等嘈杂的后门，但PebbleDash目前仍在使用中，此举也是Kimsuky改变策略的手段之一。 Kimsuky最新的攻击链 最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成PDF或Word文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明Kimsuky在攻击前进行了侦察。 打开.LNK文件会触发PowerShell或Mshta从外部服务器检索额外的负载，包括： ·PebbleDash，一个已知的Kimsuky后门，提供初始系统控制。 ·一个修改版本的开源RDP包装工具，支持持久的RDP访问和安全措施绕过。 ·代理工具绕过私有网络的限制，允许攻击者访问系统，即使直接RDP连接被阻止。 自定义RDP包装器 RDP Wrapper是一个合法的开源工具，用于在Windows版本（如Windows Home）上启用本地不支持的远程桌面协议（RDP）功能。 它充当中间层，允许用户在不修改系统文件的情况下启用远程桌面连接。Kimsuky的版本改变了导出功能，以绕过反病毒检测，并可能区分其行为，足以逃避基于签名的检测。 自定义RDP包装器导出功能 使用自定义RDP包装器的主要优点是规避检测，因为RDP连接通常被视为合法的，允许Kimsuky在雷达下停留更长时…

国家发展改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知 发改数据〔2025〕18号 各省、自治区、直辖市、新疆生产建设兵团发展改革委、数据管理部门、党委网信办、工业和信息化主管部门、公安厅（局）、市场监管局（厅、委）： 为深入贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，推动高质量发展和高水平安全良性互动，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局制定了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，现印发给你们，请结合实际抓好落实。 国家发展改革委 国家数据局 中央网信办 工业和信息化部 公安部 市场监管总局 2025年1月6日 关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案 数据流通安全治理规则是数据基础制度的重要内容。为贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，更好统筹发展和安全，建立健全数据流通安全治理机制，提升数据安全治理能力，促进数据要素合规高效流通利用，释放数据价值，提出如下意见。 一、总体要求 以习近平新时代中国特色社会主义思想为指导，深入落实党的二十大和二十届二中、三中全会精神，全面贯彻总体国家安全观，统筹数据高质量发展和高水平安全，坚持系统…

服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services（ADFS），使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证（MFA）保护措施。据发现该攻击的安全公司称，此次攻击的目标主要是教育、医疗和政府机构，攻击目标至少有150个。 这些攻击旨在访问公司电子邮件帐户，以将电子邮件发送给组织内的其他受害者或进行经济攻击（例如商业电子邮件妥协（BEC）），在此付款转移到威胁者的帐户中。 欺骗Microsoft Active Directory联合服务 Microsoft Active Directory Federation Services（ADFS）是一个身份验证系统，允许用户登录一次并访问多个应用程序和服务，而无需重复输入其凭据。它通常在大型组织中用于在基于内部和云的应用程序中提供单登录（SSO）。 攻击者会向冒充其公司IT团队的目标发送电子邮件，要求他们登录以更新其安全设置或接受新策略。 攻击中使用的网络钓鱼电子邮件示例 点击“嵌入式”按钮会将受害者带到一个看起来与他们组织的真实ADFS登录页面一模一样的网络钓鱼网站。网络钓鱼页面要求受害人输入其用户名，密码和MFA代码，或引导他们批准推送通知。 欺骗的ADFS门户 网络钓鱼模板还包括基于组织配置的MFA设置来捕获验证目标帐户所需的特定第二因素的表单，针对多种常用MFA机制的异常观察到的模板，包括Microsoft Authenticator，Duo Security和SMS验证。 两个可用的MFA旁路屏 一旦受害…

暴力破解攻击是指威胁者尝试使用大量用户名和密码反复登录一个账户或设备，直到找到正确的组合。一旦他们获取到正确的凭证，就可以利用这些凭证劫持设备或访问网络。 据悉，一场动用了近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，该攻击试图验证包括Palo Alto Networks，Ivanti和Sonicwall在内的众多网络设备的登录凭证。 根据威胁监控平台Shadowserver基金会的说法，自上个月以来，一直有暴力破解攻击在进行，每天使用近 280 万个源 IP 地址来实施这些攻击。这 110 万人中，大多数来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但参与该活动的原籍国数量总体上非常多。 这些边缘安全设备，如防火墙、vpn、网关和其他安全设备，通常暴露在互联网上以方便远程访问。进行这些攻击的设备主要是MikroTik、Cisco、Boa的路由器和物联网，这些设备通常会受到大型恶意软件僵尸网络的攻击。 据Shadowserver基金会证实，该活动已经持续了一段时间，但最近捕捉到数量大幅增加。据了解，攻击IP地址分布在许多网络和自治系统中，可能是僵尸网络或与住宅代理网络相关的某些操作。 住宅代理是分配给互联网服务提供商（isp）的消费者的IP地址，这使得它们在网络犯罪、抓取、绕过地理限制、广告验证、倒卖球鞋或门票等方面受到高度追捧。 这些代理通过住宅网络路由互联网流量，使用户看起来像是普通的家庭用户，而不是机器人、数据抓取器或黑客。 网关设备（例如那些被此活动作为目标的设备）可以用作住宅代理操作中的代理出口节点，…

近期，美国、澳大利亚和英国制裁了俄罗斯防弹主机（BPH）服务提供商Zservers，原因是该公司为LockBit勒索软件团伙提供必要的攻击基础设施。 该公司的两名主要管理人员是俄罗斯公民，他们也因指导Lockbit虚拟货币交易和支持该团伙的攻击而被指控。 美国外国资产控制办公室（OFAC）表示，加拿大当局在2022年对一家已知的LockBit附属公司的突袭中发现了一台运行虚拟机的笔记本电脑，该虚拟机与Zservers转租的IP地址相连，并运行LockBit恶意软件控制面板。 2022年，一名俄罗斯黑客从Zservers获得了IP地址，这些地址可能与LockBit聊天服务器一起用于协调勒索软件活动，而在2023年，Zservers向LockBit附属公司提供了包括俄罗斯IP地址在内的基础设施。 美国财政部负责恐怖主义和金融情报的代理副部长表示：“勒索软件攻击者和其他网络犯罪分子依靠第三方网络服务提供商（如Zservers）来攻击美国和国际关键基础设施。”并称这些托管服务提供商‘刀枪不入’是一种虚假的营销噱头。网络犯罪分子认为他们有这些服务提供商的保护，然而，一次大规模行动打开并破坏了基础设施。 像ZSERVERS这样的BPH提供商提供一系列可购买的工具来掩盖网络犯罪分子的位置、身份和活动，从而保护和支持网络犯罪分子。以这些供应商为目标可以同时挫败数百或数千名罪犯。 英国外交、联邦和发展办公室还制裁了Zservers在英国的幌子公司XHOST Internet Solutions LP和四名员工，同样因为他们支持LockBit勒索软件攻击。 …

据安全研究员观察发现，一个可能与俄罗斯有关联的威胁者发起的活跃攻击活动，正利用设备代码钓鱼手段针对个人微软 365 账户进行攻击。 这些攻击目标涉及欧洲、北美、非洲和中东地区的政府、非政府组织、信息技术服务和科技、国防、电信、医疗以及能源/石油和天然气行业。 微软威胁情报中心将此次设备代码钓鱼活动背后的威胁者追踪为“风暴-237”。基于受害者特征和作案手法，研究人员认为，该活动与符合俄罗斯利益的国家行为有关。 设备代码钓鱼攻击 输入受限设备——那些缺少键盘或浏览器支持的设备，比如智能电视和某些物联网设备，依靠代码认证流程让用户通过在另一台设备（如智能手机或电脑）上输入授权码来登录应用程序。 微软研究人员发现，自去年 8 月以来，Storm-2372 通过诱骗用户在合法的登录页面输入攻击者生成的设备代码，滥用这种身份验证流程。 这些特工人员首先通过在 WhatsApp、Signal 和 Microsoft Teams 等消息平台上“冒充与目标有关的知名人士”与目标建立联系，然后才发起攻击。 Storm-2372发送到目标的消息 威胁者会在通过电子邮件或短信发送虚假的在线会议邀请之前，与受害者逐渐建立起一种融洽的关系。根据研究人员的说法，受害者收到一个团队会议邀请，其中包括攻击者生成的设备代码。 微软表示：“这些邀请会引诱用户完成设备代码认证请求，模拟消息传递服务，这为Storm-2372提供了对受害者账户的初始访问权限，并启用了Graph API数据收集活动，如电子邮件收集。” 只要被盗的令牌有效，黑客就可以在不需要密码的情况下访问受害…

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒。 相关病毒样本信息 用户一旦点击运行仿冒App，该App会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。 诱导用户“更新”（左上）、诱导用户安装“带毒”子安装包（右上）、诱导用户授权其后台运行（左下）、诱导用户授权其使用无障碍功能（右下）。 同时，该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析，该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动，诱使用户从非官方渠道安装仿冒DeepSeek的手机木马，从而对用户的个人隐私和经济利益构成较大威胁。 除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外，国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件，由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序，因此相关文件均为仿冒程序。由此可见，网络犯罪分子已经将仿冒DeepSeek作为传播病毒木马程序的新手法。预计未来一段时间内，包括仿冒DeepSeek在…

最新发现，Steam商店中一款名为PirateFi的免费游戏一直在向用户传播Vidar信息窃取恶意软件。 在2月6日至2月12日期间，这款游戏在Steam目录中出现了近一周的时间，并被多达1500名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装Windows。 Steam上的恶意软件 上周，Seaworth Interactive在Steam上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。 PirateFi的Steam页面 本周，Steam发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道：“这款游戏开发者的Steam账户上传了包含可疑恶意软件的构建。” 用户在Steam上玩PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。 Steam对受影响用户的通知 受影响的用户还在游戏的Steam社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获得了通过PirateFi传播的恶意软件样本，并将其识别为Vidar伪造软件的一个版本。 SECUINFRA建议：“如果你是下载这个“游戏”的玩家之一：考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话cooki…

依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期国家计算机病毒应急处理中心通过互联网监测，发现14款移动应用存在隐私不合规行为。 一、个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及6款移动应用如下： 1、《艾乐游》（版本1.3.3，百度手机助手） 2、《江子为民》（版本1.1.54，应用宝） 3、《元气桌面壁纸》（版本3.52.4324，vivo应用商店） 4、《易念》（版本3.0.2，应用宝） 5、《同城酒库》（版本3.2.9，vivo应用商店） 6、《乐山商业银行》（版本3.31.6，应用宝） 二、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及10款移动应用如下： 1、《运多星司机》（版本1.2.6，应用宝） 2、《艾乐游》（版本1.3.3，百度手机助手） 3、《鲸鱼爱学》（版本3.1.0，应用宝） 4、《华龙智信恒生版》（版本7.1.3.0，应用宝） 5、《江子为民》（版本1.1.54，应用宝） 6、《元气桌面壁纸》（版本3.52.4324，vivo应用商店 7、《易念》（版本3.0.2，应用宝） 8、《乐山商业银行》（版本3.31.6，应用宝） 9、《普益基金》（版本7.0.3，应用宝） 10、《i音乐》（版本10.5.2.0，vivo应用商店） 三、个人信息处理者向其他个人信息处理者提供其处理…

近期，Splunk 威胁研究团队发现了一起大规模恶意软件攻击活动，4000 多家互联网服务提供商（ISP）深受其害，黑客借此获得了关键基础设施的远程访问权限。种种迹象表明，此次攻击或源自东欧，攻击者运用了暴力攻击手段、植入加密挖掘负载，并采用了先进的规避技术。 攻击概述 该恶意软件专门针对 ISP 系统中存在的弱凭证，通过暴力破解的方式强行渗透进入。一旦成功潜入系统，攻击者便迅速部署一系列恶意二进制文件，像 mig.rdp.exe、x64.exe 和 migrate.exe 等。这些文件一方面执行加密挖掘操作，利用受害系统的计算资源谋取利益；另一方面，负责窃取敏感信息。 这些恶意有效载荷具备多种破坏能力，它们能够禁用系统的安全功能，通过命令和控制（C2）服务器（其中包括 Telegram 机器人）将窃取的数据泄露出去，并且能够在受感染的网络中寻找并攻击其他目标。在受感染网络中横向移动时，该恶意软件主要借助 Windows 远程管理（WINRM）服务。它运用编码的 PowerShell 脚本，不仅可以禁用防病毒保护，终止其他竞争的加密矿工程序，还能在受感染的系统上建立起长期的控制权，同时修改目录权限，限制用户访问，防止自身文件被发现。 启用目录的继承权限 技术细节 此次恶意软件活动采用自解压 RAR 档案（SFX）的方式，极大地简化了部署过程。以 mig.rdp.exe 有效载荷为例，它会释放出多个文件，其中包含批处理脚本（ru.bat、st.bat）和可执行文件（migrate.exe）。这些文件会禁用 Windows Defender…

卡巴斯基发布的关于 2024 年移动恶意软件演变的最新报告显示，针对移动设备的网络威胁显著增加。 这一年，该安全公司的产品成功阻止了多达 3330 万次涉及恶意软件、广告软件或有害移动软件的攻击。 移动恶意软件格局正随着新的传播方案发生变化 广告软件依旧在移动威胁领域占据主导地位，在总检测数量中占比 35%。卡巴斯基安全网络发现了 110 万个恶意以及潜在有害的安装包，其中近 69,000 个与手机银行木马相关。 这份报告着重指出了移动恶意软件几个新出现且令人担忧的趋势。比如，发现了 Mamont 银行木马针对俄罗斯安卓用户的一种新型传播方案。攻击者运用社会工程手段，以折扣产品吸引受害者，随后发送伪装成货运追踪应用程序的恶意软件。 研究人员还在捷克共和国发现了一种新的 NFC 银行诈骗手段。网络犯罪分子利用钓鱼网站，传播合法 NFCGate 应用程序的恶意修改版本。从诈骗者的聊天记录中，能看到相关的钓鱼链接。这种诈骗手段通过 NFC 连接，诱骗用户泄露银行卡详细信息，让欺诈者得以进行未经授权的交易。 新兴威胁和复杂的攻击媒介 有一个重大发现是 SparkCat SDK 植入程序，它从 2024 年 3 月开始传播。该恶意软件存在于多个 Google Play 应用里，目的是窃取设备图库中的图像，尤其针对加密货币钱包的恢复短语。值得注意的是，这个植入程序的变种还成功渗透进了苹果的 App Store，成为已知首个绕过苹果严格安全措施的 OCR 恶意软件。 在移动威胁态势下，预装恶意应用程序的情况有所增多，比如在安卓电视机顶盒上检测到了 L…