蓝队取证审计网络安全

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒。 相关病毒样本信息 用户一旦点击运行仿冒App，该App会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。 诱导用户“更新”（左上）、诱导用户安装“带毒”子安装包（右上）、诱导用户授权其后台运行（左下）、诱导用户授权其使用无障碍功能（右下）。 同时，该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析，该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动，诱使用户从非官方渠道安装仿冒DeepSeek的手机木马，从而对用户的个人隐私和经济利益构成较大威胁。 除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外，国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件，由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序，因此相关文件均为仿冒程序。由此可见，网络犯罪分子已经将仿冒DeepSeek作为传播病毒木马程序的新手法。预计未来一段时间内，包括仿冒DeepSeek在…

据安全研究员观察发现，一个可能与俄罗斯有关联的威胁者发起的活跃攻击活动，正利用设备代码钓鱼手段针对个人微软 365 账户进行攻击。 这些攻击目标涉及欧洲、北美、非洲和中东地区的政府、非政府组织、信息技术服务和科技、国防、电信、医疗以及能源/石油和天然气行业。 微软威胁情报中心将此次设备代码钓鱼活动背后的威胁者追踪为“风暴-237”。基于受害者特征和作案手法，研究人员认为，该活动与符合俄罗斯利益的国家行为有关。 设备代码钓鱼攻击 输入受限设备——那些缺少键盘或浏览器支持的设备，比如智能电视和某些物联网设备，依靠代码认证流程让用户通过在另一台设备（如智能手机或电脑）上输入授权码来登录应用程序。 微软研究人员发现，自去年 8 月以来，Storm-2372 通过诱骗用户在合法的登录页面输入攻击者生成的设备代码，滥用这种身份验证流程。 这些特工人员首先通过在 WhatsApp、Signal 和 Microsoft Teams 等消息平台上“冒充与目标有关的知名人士”与目标建立联系，然后才发起攻击。 Storm-2372发送到目标的消息 威胁者会在通过电子邮件或短信发送虚假的在线会议邀请之前，与受害者逐渐建立起一种融洽的关系。根据研究人员的说法，受害者收到一个团队会议邀请，其中包括攻击者生成的设备代码。 微软表示：“这些邀请会引诱用户完成设备代码认证请求，模拟消息传递服务，这为Storm-2372提供了对受害者账户的初始访问权限，并启用了Graph API数据收集活动，如电子邮件收集。” 只要被盗的令牌有效，黑客就可以在不需要密码的情况下访问受害…

近期，美国、澳大利亚和英国制裁了俄罗斯防弹主机（BPH）服务提供商Zservers，原因是该公司为LockBit勒索软件团伙提供必要的攻击基础设施。 该公司的两名主要管理人员是俄罗斯公民，他们也因指导Lockbit虚拟货币交易和支持该团伙的攻击而被指控。 美国外国资产控制办公室（OFAC）表示，加拿大当局在2022年对一家已知的LockBit附属公司的突袭中发现了一台运行虚拟机的笔记本电脑，该虚拟机与Zservers转租的IP地址相连，并运行LockBit恶意软件控制面板。 2022年，一名俄罗斯黑客从Zservers获得了IP地址，这些地址可能与LockBit聊天服务器一起用于协调勒索软件活动，而在2023年，Zservers向LockBit附属公司提供了包括俄罗斯IP地址在内的基础设施。 美国财政部负责恐怖主义和金融情报的代理副部长表示：“勒索软件攻击者和其他网络犯罪分子依靠第三方网络服务提供商（如Zservers）来攻击美国和国际关键基础设施。”并称这些托管服务提供商‘刀枪不入’是一种虚假的营销噱头。网络犯罪分子认为他们有这些服务提供商的保护，然而，一次大规模行动打开并破坏了基础设施。 像ZSERVERS这样的BPH提供商提供一系列可购买的工具来掩盖网络犯罪分子的位置、身份和活动，从而保护和支持网络犯罪分子。以这些供应商为目标可以同时挫败数百或数千名罪犯。 英国外交、联邦和发展办公室还制裁了Zservers在英国的幌子公司XHOST Internet Solutions LP和四名员工，同样因为他们支持LockBit勒索软件攻击。 …

暴力破解攻击是指威胁者尝试使用大量用户名和密码反复登录一个账户或设备，直到找到正确的组合。一旦他们获取到正确的凭证，就可以利用这些凭证劫持设备或访问网络。 据悉，一场动用了近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，该攻击试图验证包括Palo Alto Networks，Ivanti和Sonicwall在内的众多网络设备的登录凭证。 根据威胁监控平台Shadowserver基金会的说法，自上个月以来，一直有暴力破解攻击在进行，每天使用近 280 万个源 IP 地址来实施这些攻击。这 110 万人中，大多数来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但参与该活动的原籍国数量总体上非常多。 这些边缘安全设备，如防火墙、vpn、网关和其他安全设备，通常暴露在互联网上以方便远程访问。进行这些攻击的设备主要是MikroTik、Cisco、Boa的路由器和物联网，这些设备通常会受到大型恶意软件僵尸网络的攻击。 据Shadowserver基金会证实，该活动已经持续了一段时间，但最近捕捉到数量大幅增加。据了解，攻击IP地址分布在许多网络和自治系统中，可能是僵尸网络或与住宅代理网络相关的某些操作。 住宅代理是分配给互联网服务提供商（isp）的消费者的IP地址，这使得它们在网络犯罪、抓取、绕过地理限制、广告验证、倒卖球鞋或门票等方面受到高度追捧。 这些代理通过住宅网络路由互联网流量，使用户看起来像是普通的家庭用户，而不是机器人、数据抓取器或黑客。 网关设备（例如那些被此活动作为目标的设备）可以用作住宅代理操作中的代理出口节点，…

服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services（ADFS），使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证（MFA）保护措施。据发现该攻击的安全公司称，此次攻击的目标主要是教育、医疗和政府机构，攻击目标至少有150个。 这些攻击旨在访问公司电子邮件帐户，以将电子邮件发送给组织内的其他受害者或进行经济攻击（例如商业电子邮件妥协（BEC）），在此付款转移到威胁者的帐户中。 欺骗Microsoft Active Directory联合服务 Microsoft Active Directory Federation Services（ADFS）是一个身份验证系统，允许用户登录一次并访问多个应用程序和服务，而无需重复输入其凭据。它通常在大型组织中用于在基于内部和云的应用程序中提供单登录（SSO）。 攻击者会向冒充其公司IT团队的目标发送电子邮件，要求他们登录以更新其安全设置或接受新策略。 攻击中使用的网络钓鱼电子邮件示例 点击“嵌入式”按钮会将受害者带到一个看起来与他们组织的真实ADFS登录页面一模一样的网络钓鱼网站。网络钓鱼页面要求受害人输入其用户名，密码和MFA代码，或引导他们批准推送通知。 欺骗的ADFS门户 网络钓鱼模板还包括基于组织配置的MFA设置来捕获验证目标帐户所需的特定第二因素的表单，针对多种常用MFA机制的异常观察到的模板，包括Microsoft Authenticator，Duo Security和SMS验证。 两个可用的MFA旁路屏 一旦受害…

国家发展改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知 发改数据〔2025〕18号 各省、自治区、直辖市、新疆生产建设兵团发展改革委、数据管理部门、党委网信办、工业和信息化主管部门、公安厅（局）、市场监管局（厅、委）： 为深入贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，推动高质量发展和高水平安全良性互动，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局制定了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，现印发给你们，请结合实际抓好落实。 国家发展改革委 国家数据局 中央网信办 工业和信息化部 公安部 市场监管总局 2025年1月6日 关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案 数据流通安全治理规则是数据基础制度的重要内容。为贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，更好统筹发展和安全，建立健全数据流通安全治理机制，提升数据安全治理能力，促进数据要素合规高效流通利用，释放数据价值，提出如下意见。 一、总体要求 以习近平新时代中国特色社会主义思想为指导，深入落实党的二十大和二十届二中、三中全会精神，全面贯彻总体国家安全观，统筹数据高质量发展和高水平安全，坚持系统…

被称为Kimsuky的朝鲜黑客组织在最近的攻击中被发现使用定制的RDP包装器和代理工具直接访问受感染的机器。 发现该活动的AhnLab安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于PebbleDash等嘈杂的后门，但PebbleDash目前仍在使用中，此举也是Kimsuky改变策略的手段之一。 Kimsuky最新的攻击链 最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成PDF或Word文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明Kimsuky在攻击前进行了侦察。 打开.LNK文件会触发PowerShell或Mshta从外部服务器检索额外的负载，包括： ·PebbleDash，一个已知的Kimsuky后门，提供初始系统控制。 ·一个修改版本的开源RDP包装工具，支持持久的RDP访问和安全措施绕过。 ·代理工具绕过私有网络的限制，允许攻击者访问系统，即使直接RDP连接被阻止。 自定义RDP包装器 RDP Wrapper是一个合法的开源工具，用于在Windows版本（如Windows Home）上启用本地不支持的远程桌面协议（RDP）功能。 它充当中间层，允许用户在不修改系统文件的情况下启用远程桌面连接。Kimsuky的版本改变了导出功能，以绕过反病毒检测，并可能区分其行为，足以逃避基于签名的检测。 自定义RDP包装器导出功能 使用自定义RDP包装器的主要优点是规避检测，因为RDP连接通常被视为合法的，允许Kimsuky在雷达下停留更长时…

Otelier（以前称为 MyDigitalOffice）是一种基于云的酒店管理解决方案，全球 10,000 多家酒店使用它来管理预订、交易、夜间报告和发票。该公司被许多知名酒店品牌使用，其中包括万豪、希尔顿和凯悦。 近期，酒店管理平台 Otelier 遭遇数据泄露，黑客入侵了其 Amazon S3 云存储，窃取了数百万客人的个人信息以及万豪、希尔顿和凯悦等知名酒店品牌的预订信息。 据称，该漏洞首次发生于 2024 年 7 月，并持续访问至 10 月份，威胁者声称从 Otelier 的 Amazon AWS S3 存储桶中窃取了近 8 TB 的数据，并表示正在与受影响的客户进行沟通。 Otelier 表示一直在与可能涉及信息的客户进行沟通，目前经调查，未经授权的访问已被终止。为了防止未来发生类似事件，Otelier 已经禁用了相关帐户。 通过窃取的凭证而遭到破坏 Otelier 漏洞背后的威胁者表示，他们最初使用员工的登录信息入侵了该公司的 Atlassian 服务器。这些凭证是通过信息窃取恶意软件窃取的，这在过去几年中已成为企业网络的祸根。有媒体要求 Otelier 确认这一信息时，该公司表示他们无法就该事件发表任何进一步的评论。安全研究员在 Flare 威胁情报平台 Otelier 上发现员工信息已被 infostealer 恶意软件窃取。威胁者表示，他们使用这些凭据来抓取票据和其他数据，其中包含该公司 S3 存储桶的更多凭据。 黑客声称利用此访问权限从该公司的亚马逊云存储下载了 7.8TB 的数据，其中包括由 Otelier 管理的…

本周，欧洲航天局 (ESA) 官方网上商店遭到黑客攻击，该商店出现一段 JavaScript 代码，该代码在结账时会生成虚假的 Stripe 支付页面。 欧洲航天局的预算超过 100 亿欧元，主要通过培训宇航员、建造火箭和卫星来探索宇宙的奥秘，从而扩大太空活动的极限。获得销售欧空局商品许可的网络商店目前无法使用，并显示“暂时无法使用”。 该恶意脚本本周出现在该机构的网站上，并收集客户信息，包括在购买最后阶段提供的支付卡数据。电子商务安全公司 Sansec 注意到了该恶意脚本，并提醒该商店似乎与 ESA 系统集成，可能会给该机构员工带来风险。 Sansec 表示 ESA 商店遭到入侵 Sansec 发现用于泄露信息的域名与销售 ESA 商品的合法商店使用的域名相同，但具有不同的顶级域名 (TLD)。虽然欧洲机构的官方商店在 .com TLD 中使用“esaspaceshop”，但黑客在 .pics TLD 中使用相同的名称（即 esaspaceshop[.]pics），如 ESA 商店的源代码所示： ESA 网络商店中注入恶意 JavaScript 该脚本包含来自 Stripe SDK 的模糊 HTML 代码，当客户尝试完成购买时，该代码会加载虚假的 Stripe 支付页面。值得注意的是，假冒的 Stripe 页面看起来并不可疑，特别是当看到它是由 ESA 官方网上商店提供时。 ESA 的网上商店加载虚假的 Stripe 支付页面 有网络应用安全公司也证实了 Sansec 的调查结果，并捕获了 ESA 官方网络商店上加载的虚假 S…

2024 年网络攻击、数据泄露事件、新威胁团体及零日漏洞不断出现，以下是对2024 年最具影响力的网络安全故事盘点，并对每个故事进行了简单概述。 13. 互联网档案馆被黑 10 月 9 日，互联网档案馆同时遭受两次不同的攻击：一次是数据泄露，该网站 3300 万用户的用户数据被盗；另一次是由一个名为 SN_BlackMeta 的涉嫌亲巴勒斯坦组织发起的 DDoS 攻击。虽然两次攻击发生在同一时期，但它们是由不同的威胁者发起。 互联网档案馆上的 JavaScript 警报警告有关违规行为 破坏互联网档案馆的威胁者表示，他们可以通过包含身份验证令牌的公开 GitLab 配置文件来实现这一目的，从而允许他们下载互联网档案馆源代码。 该源代码包含额外的凭据和身份验证令牌，包括互联网档案馆数据库管理系统的凭据。这使得威胁者能够下载用户数据库、源代码并修改站点。 12. 错误的 CrowdStrike 更新导致 850 万台 Windows 设备崩溃 2024 年 7 月 19 日，一个有漏洞的 CrowdStrike Falcon 更新在凌晨被推送到 Windows PC，导致网络安全软件的内核驱动程序导致操作系统崩溃。 该错误造成了严重的全球性中断，影响了大约 850 万个 Windows 系统。人们发现自己的设备崩溃，除了启动到安全模式之外，没有简单的方法可以返回操作系统来删除错误的更新。 该错误源于 CrowdStrike 内容验证过程中的漏洞，该过程未能检测到有漏洞更新。此错误更新引发了一系列系统崩溃，包括影响 Windows 设备和 …

名为“FlowerStorm”的新 Microsoft 365 网络钓鱼即服务平台填补了 Rockstar2FA 网络犯罪服务突然关闭所留下的空白。 Trustwave 于 2024 年 11 月下旬首次记录，Rockstar2FA 作为 PhaaS 平台运行，促进针对 Microsoft 365 凭据的大规模中间对手 (AiTM) 攻击。该服务提供先进的规避机制、用户友好的面板和众多网络钓鱼选项，以每两周 200 美元的价格向网络犯罪分子出售访问权限。 Sophos 研究人员表示，Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃，导致该服务的许多页面无法访问，但这似乎不是针对网络犯罪平台的执法行动的结果，而是技术故障。几周后，FlowerStorm 首次出现在网上，并迅速获得关注。 Rockstar2FA 检测 Rockstar2FA 会重塑品牌吗 1.这两个平台都使用模仿合法登录页面（例如 Microsoft）的网络钓鱼门户来获取凭据和 MFA 令牌，依赖于 .ru 和 .com 等域上托管的后端服务器。 Rockstar2FA 使用随机 PHP 脚本，而 FlowerStorm 使用 next.php 进行标准化。 2.他们的钓鱼页面的 HTML 结构非常相似，具有评论中的随机文本、Cloudflare“十字转门”安全功能以及“初始化浏览器安全协议”等提示。 Rockstar2FA 使用汽车主题，而 FlowerStorm 则转向植物主题，但底层设计保持一致。 3.凭据收集方法紧密结合，使用电子邮…

2024 年 9 月出现了一场冒充美国社会保障局的网络钓鱼活动，它向电子邮件发送嵌入了 ConnectWise 远程访问木马 (RAT) 安装程序链接的电子邮件。 这些电子邮件伪装成更新的福利声明，采用了各种技巧，包括不匹配的链接和“查看声明”按钮，以欺骗收件人。 它最初利用ConnectWise基础设施进行命令和控制 (C2)，但后来转变为动态 DNS 服务和威胁行为者托管的域。 据观察，活动在 11 月初至中旬显著增加，并在选举日左右达到顶峰，这表明它可能与政治选举有关。 威胁行为者在针对个人的电子邮件活动中采用了复杂的欺骗策略，利用社会保障管理局合法的福利来制造假象。 通过仿政府官方网页的欺骗性链接，使用邮件诱骗收件人点击。 这可能导致恶意软件感染或数据盗窃。 使用品牌图像资产的欺骗社会保障管理局电子邮件示例 通过使用欺骗性的攻击，嵌入式链接能够在用户首次访问链接时将用户重定向到 ConnectWise RAT 安装程序。 然而，随后尝试访问同一链接时，用户会被重定向到合法的社会保障管理局网站，这表明使用浏览器 cookie 来追踪以前的访问。 通过在第一次访问时设置 cookie，系统可以区分初次尝试和重复尝试。 这有效地将恶意软件传递到精准用户，从而使识别恶意攻击更具挑战性。 当后续尝试访问该链接时，该网站会重定向到官方网站 威胁行为者利用社会工程技术部署凭证网络钓鱼活动，他们制作模仿合法实体（例如社会保障局）的电子邮件来诱骗受害者点击恶意链接。 据Cofense Intelligence称，这些链接通常会…

绿湾包装工队（Green Bay Packers）美式足球队通知球迷，一名威胁行为者于 10 月份入侵了其官方线上零售店，并注入了卡片盗刷脚本，以窃取客户的个人和支付信息。 国家橄榄球联盟球队表示，10 月 23 日发现 packersproshop.com 网站遭到入侵后，立即禁用了所有结账和付款功能。 “2024 年 10 月 23 日，我们收到警报，第三方威胁行为者在 Pro Shop 网站上插入了恶意代码，得知此事后，我们立即暂时禁用了 Pro Shop 网站上的所有支付和结账功能，并开始调查。”Packers 零售业务总监 Chrysta Jorgensen解释道。 该 NFL 球队还聘请了外部网络安全专家来调查该事件的影响并查明是否有客户信息被窃取。 调查显示，插入结帐页面的恶意代码可能会在 2024 年 9 月下旬至 10 月上旬期间窃取个人和支付信息。然而，Packers 表示，攻击者无法拦截使用礼品卡、Pro Shop 网站帐户、PayPal 或 Amazon Pay 进行的支付的信息。 “我们还立即要求托管和管理 Pro Shop 网站的供应商从结帐页面删除恶意代码、刷新密码并确认没有剩余漏洞，”Jorgensen 补充道。 荷兰电子商务安全公司Sansec在 12 月 31 日发布的一份报告中指出： “在这次攻击中，一个脚本从 https://js-stats.com/getInjector 注入。该脚本从网站上的输入、选择和文本区域字段中收集数据，并将捕获的信息泄露到 https://js-stats.com/f…

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、窃取商业秘密和知识产权、侵犯公民个人信息等，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及：美国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下： 一、恶意地址信息 （一）恶意地址：gael2024.kozow.com 关联IP地址：149.28.98.229 归属地：美国/佛罗里达州/迈阿密 威胁类型：后门 病毒家族：AsyncRAT 描述：该恶意地址关联多个AsyncRAT病毒家族样本，部分样本的MD5值为50860f067b266d6a370379e8bcd601ba。相关后门程序采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式shell，以及访问特定URL等。这些病毒可通过移动存储介质、网络钓鱼邮件等方式进行传播，现已发现多个关联变种，部分变种主要针对中国境内民生领域的重要联网系统。 （二）恶意地址：185.174.101.218 归属地：美国/加利福尼亚州/洛杉矶 威胁类型：后门 病毒家族：RemCos 描述：该恶意地址关联到多个RemCos病毒家族样本，部分样本的MD5值为56f94f8aed310e90b5f513b1eb999c69。RemCos是一款远程管理工具，自2016年起就已存在…

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现16款移动App存在隐私不合规行为。 1、隐私政策难以访问、未声明App运营者的基本情况。涉及9款App如下： 《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、 《168运友物流》（版本3.9.93，应用宝）、 《天水秦州村镇银行》（版本3.0.7，vivo应用商店）、 《esc模拟社恐快逃》（版本2.1.8，百度手机助手）、 《懂球圈》（版本1.3.0，应用宝）、 《学法减分笔记》（版本1.0.5，vivo应用商店）、 《中峪数交》（版本1.2.9，应用宝）、 《全能CAD手机看图王》（版本2.0.1，360手机助手）、 《多语游外语学习》（版本1.0，百度手机助手）。 2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及8款App如下： 《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、 《易面酷》（版本2.1.0，应用宝）、 《168运友物流》（版本3.9.93，应用宝）、 《智慧狐》（版本3.4.10，vivo应用商店）、 《esc模拟社恐快逃》（版本2.1.8，百度手机助手）、 《山西信托》（版本2.8.5，应用宝）、 《多语游外语学习》（版本1.0，百度手机助手）、 《健康诺时邦》（版本1.4.5，360手机助手）。 3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收…

加州正全力应对野火带来的毁灭性打击，以保护民众的生命和财产安全。然而不幸的是，这些灾难也为网络犯罪分子提供了可乘之机，他们利用灾时的混乱与不确定性实施犯罪。 Veriti Research 发现，与当前山火灾难相关的网络钓鱼诈骗正呈现出一种令人担忧的趋势，这凸显出在这些脆弱时期，迫切需要提升公众的网络安全意识 。 Veriti Research 的主要发现 Veriti Research在迅速调查后，在短短 72 小时内就发现了多个与加州山火有关的新注册域名。其中一些可疑域名包括： · malibu-fire[.]com · fire-relief[.]com · calfirerestoration[.]store · fire-evacuation-service[.]com · lacountyfirerebuildpermits[.]com · pacificpalisadesrecovery[.]com · boca-on-fire[.]com · palisades-fire[.]com · palisadesfirecoverage[.]com 这些域名表现出了典型的网络钓鱼活动模式，从模仿官方服务到针对马里布和太平洋帕利塞德等特定地区。 早期迹象表明，这些网站准备进行欺诈活动，包括网络钓鱼攻击、虚假捐赠请求和恶意下载。 黑客采用的策略 网络犯罪分子特别喜欢利用人们面对灾难时产生的恐惧和不确定性心理。在灾难发生期间，他们会采取以下策略： · 注册与合法服务机构极为相似的域名，以此混淆视听。 · 借助这些精心设计的域名发送网络…

Zyxel 发现不良的安全签名更新正在引起USG Flex或ATP系列防火墙的关键错误，包括将设备放入启动循环中。 Zyxel 表示，这些问题是由于其网络安全功能的应用程序签名更新失败造成的。收到错误更新的设备现在的问题包括： ·设备错误：CLI 命令错误、设备超时或设备注销。 ·无法通过 Web GUI 登录 ATP/USG FLEX：504 网关超时。 ·CPU 使用率高。 ·在“监控”>“日志”中，出现消息“ZySH daemon is busy”。 ·无法在控制台上输入任何命令。 ·Coredump 消息出现在控制台上。 Zyxel 表示，只有具有有效安全许可证的 USG FLEX 或 ATP 系列（ZLD 固件版本）防火墙受到影响，Nebula平台或USG FLEX H（uOS）系列设备不受影响。解决该问题的唯一方法是物理访问防火墙并通过 RS232 串行电缆连接到控制台。 错误更新后 Zyxel 上显示错误 管理员现在需要进行一系列步骤来恢复防火墙，包括备份配置，下载和应用特殊固件，然后通过Web GUI连接以恢复后面的配置文件。 随后，Zyxel 分享了详细的步骤，并强烈建议用户在尝试恢复设备之前对其进行审查。

纽约宣布与 PayPal 达成 200 万美元和解，起因是其未能遵守该州的网络安全法规，导致 2022 年数据泄露。纽约金融服务部 (DFS ) 称，威胁者利用 PayPal 系统中的安全漏洞进行撞库攻击，从而获取到了对敏感客户信息的访问权限。 2023 年，据PayPal 披露，威胁者在 2022 年 12 月 6 日至 8 日期间进行了大规模凭证填充攻击，导致 35,000 个账户遭到泄露。当时曝光的数据包括姓名，出生日期，邮政地址，社会保险号和个人税收标识号等重要数据信息。 据了解，在PayPal实施对现有数据流的更改之后，客户数据被暴露出来，以使IRS表格1099 ks可供更多客户使用。但是，负责实施这些更改的团队未经PayPal的系统和应用程序开发过程进行培训。因此，在更改进行之前，他们未能遵循适当的程序而使不法分子有机可乘。 持有PayPal帐户有效凭证的网络犯罪分子能够访问这些帐户及其1099-K表格后，造成许多敏感信息被泄露。这些“凭据填充”攻击的成功取决于缺乏多因素身份验证（MFA）保护，这在当时不是强制性的。 他们与较弱的访问控件相结合，允许在没有验证码或限制费率的情况下进行自动登录尝试，构成了PayPal的关键合规性失败。构成纽约网络安全法规23条NYCRR§500.3、500.10和500.12的违规行为。事件发生后，PayPal被要求实施适当的网络安全政策，人员培训和身份验证控制。 DFS 表示，尽管 PayPal 在发现漏洞后采取了多项补救措施，包括屏蔽 IRS 表格上的敏感数据、实施验证码和速率限制，以及对所…

Google Play商店和Apple App Store上的Android和iOS应用程序包含一个恶意软件开发套件（SDK），旨在使用OCR偷窃器窃取加密货币钱包恢复短语。该活动被称为“ SparkCat”，其名称（“ Spark”）是受感染应用程序中恶意SDK组件之一的名称（“ Spark”）。 根据Kaspersky的说法，仅在Google Play上，下载数字就可以公开使用，被感染的应用程序下载了242,000次。 Kaspersky解释说：“我们发现Android和iOS应用程序具有恶意的SDK/框架，这些应用程序嵌入了窃取加密货币钱包恢复短语，其中一些可以在Google Play和App Store上找到。” 从Google Play下载了被感染的应用程序超过242,000次。这是在App Store中找到偷窃器的第一个已知案例。 Spark SDK窃取用户的加密货币 被感染的Android应用程序上的恶意SDK利用了称为“ Spark”的恶意Java组件，该组件伪装成分析模块。 它使用GitLab上存储的加密配置文件，该文件提供命令和操作更新。在iOS平台上，该框架具有不同的名称，例如“ gzip”，“ googleappsdk”或“ stat”。另外，它使用一个称为“ IM_NET_SYS”的基于锈的网络模块来处理与命令和控制（C2）服务器的通信。 该模块使用Google ML Kit OCR从设备上的图像中提取文本，试图找到可用于在攻击者设备上加载加密货币钱包的恢复短语，而无需知道密码。 它（恶意组件）会根据系统的语言加…

Python软件包索引（PYPI）宣布了“项目档案”的引入，该系统允许发布者归档其项目，并向用户表明预计不会更新。这些项目还将在PYPI上托管，用户仍然可以下载它们，但会看到有关维护状态的声明。 基于劫持开发人员帐户并将恶意更新推向广泛使用但废弃的项目是开源空间中的常见情况，所以这项新功能旨在提高供应链的安全性。 除了降低用户的风险外，它还通过确保与项目的生命周期状态进行沟通来减少用户的支持请求。 关于存档项目的警告字样 项目档案如何工作 根据PYPI新项目档案系统开发人员的详细博客表示，该功能提供了维护者控制的状态，该状态允许项目所有者将其项目标记为已存档，向用户发出信号，并表明将不会有进一步的更新。 PYPI建议维护者在归档项目之前发布最终版本，以包括对项目的详细信息和解释，尽管这不是强制性的。如果维护者选择恢复工作，可以在将来的任何时间都不构建其项目。 在引擎盖下，新系统使用最初用于项目隔离的生命周期模型，其中包括一个可以在不同状态之间过渡的状态机器。一旦项目所有者单击PYPI设置页面上的“存档项目”选项，该平台将自动更新其元数据以反映新状态。 PYPI新项目档案系统开发人员说，有计划添加更多的项目状态，例如“弃用”，“功能完整”和“未经许可”，使用户对项目状况有了更清晰的了解。 项目设置中的新选项 警告字样旨在通知开发人员，他们需要寻找积极维护的替代依赖性，而不是继续依靠过时的和潜在的不安全项目。除此之外，攻击者通常是针对废弃的包裹，接管未来的项目并通过更新几年后来注入恶意代码的情况。 在其他情况下，维护者选择在计划停止开…

我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分：协同》（Information technology—Information security incident management—Part 4:Coordination）正式发布。该提案于2019年4月提交至ISO/IEC JTC1/SC27，后经研究，于2020年4月正式立项；2024年12月正式发布。 ISO/IEC 27035-4是ISO/IEC 27035信息安全事件管理指南系列标准的第4部分，该标准提出了多组织间以协同方式处理信息安全事件的指南，包括对协同规划和准备、协同发现和报告、协同评估和决策、协同响应、协同经验总结等各个阶段的过程指南，以及对制定策略、建立沟通、信息共享、协同演练、树立信任等关键协同活动的指南。该标准还指出了外部合作对单个组织内部事件管理的影响，以及为单个组织参与协同事件管理过程提供指南，并且为协调小组提供指南，以执行支持跨组织事件响应的协调活动。该标准可为组织间开展事件响应协同提供全面的指南，能够促进组织间在防范网络安全事件方面加强合作与协调。 文章来源自：全国网安标委

点击劫持攻击的一种新变体称为“DoubleClickjacking”，攻击者可以诱骗用户使用双击授权敏感操作，同时绕过针对此类攻击的现有保护措施。 点击劫持，是指威胁者创建恶意网页，诱骗访问者点击隐藏或伪装的网页元素。这些攻击的工作原理是将隐藏 iframe 中的合法网页覆盖在攻击者创建的网页上。这个攻击者创建的网页旨在将其按钮和链接与隐藏 iframe 上的链接和按钮对齐。 然后，攻击者使用他们的网页来诱使用户单击链接或按钮，例如赢得奖励或查看某些图片。但是，当他们单击页面时，实际上是在单击隐藏 iframe（合法网站）上的链接和按钮，这可能会执行恶意操作，例如授权 OAuth 应用程序连接到其帐户或接受 MFA 请求。 多年来，网络浏览器开发人员引入了新功能来阻止大多数此类攻击，例如不允许跨站点发送 cookie 或引入关于站点是否可以构建 iframe 的安全限制（X-Frame-Options 或框架祖先）。 新的 DoubleClickjacking 攻击 网络安全专家 Paulos Yibelo 推出了一种名为 DoubleClickjacking 的新网络攻击，该攻击利用鼠标双击来诱骗用户在网站上执行敏感操作。 在这种攻击场景中，威胁者将创建一个网站，其中显示一个看似无害的带有诱惑的按钮，例如“单击此处”查看奖励或观看电影。当访问者单击该按钮时，将创建一个新窗口，覆盖原始页面并包含另一个诱惑，例如必须解决验证码才能继续。 在后台，原始页面上的 JavaScript 会将该页面更改为攻击者想要诱骗用户执行操作的合法站点。新的重…

有关针对 Chrome 浏览器扩展程序开发人员的网络钓鱼活动的新细节近期被披露，该活动导致至少 35 个扩展程序被入侵，以注入数据窃取代码，其中包括来自网络安全公司 Cyberhaven 的扩展程序。 尽管最初的报告主要集中在 Cyberhaven 的安全扩展上，但随后的调查显示，相同的代码已被注入到至少 35 个扩展中，总共约有 2,600,000 人使用。从目标开发者对 LinkedIn 和 Google Groups 的报告来看，最新的攻击活动于 2024 年 12 月 5 日左右开始。然而，有安全研究人员发现早期命令和控制子域早在 2024 年 3 月就已存在。 欺骗性的 OAuth 攻击链 攻击首先会直接或通过与其域名关联的支持电子邮件发送给 Chrome 扩展程序开发人员的网络钓鱼电子邮件。从看到的电子邮件来看，该活动使用了以下域名来发送网络钓鱼电子邮件： supportchromestore.com forextensions.com chromeforextension.com这封网络钓鱼电子邮件看起来像是来自 Google，声称该扩展程序违反了 Chrome Web Store 政策，有被删除的风险。 “我们不允许扩展程序具有误导性、格式不良、非描述性、不相关、过多或不适当的元数据，包括但不限于扩展程序描述、开发者名称、标题、图标、屏幕截图和宣传图片，”钓鱼邮件中写道。 具体来说，该扩展程序的开发人员会相信其软件的描述包含误导性信息，并且必须同意 Chrome 网上应用店政策。 攻击中使用的网络钓鱼电子邮件 如果开…

Apache 发布了一个安全更新，解决了 Tomcat Web 服务器中的一个重要漏洞，该漏洞可能导致攻击者实现远程代码执行。 Apache Tomcat 是一种开源 Web 服务器和 Servlet 容器，广泛用于部署和运行基于 Java 的 Web 应用程序。它为 Java Servlet、JavaServer Pages (JSP) 和 Java WebSocket 技术提供运行时环境。 该产品深受运行自定义 Web 应用程序的大型企业和依赖 Java 提供后端服务的 SaaS 提供商的欢迎。云和托管服务集成了 Tomcat 来进行应用程序托管，软件开发人员使用它来构建、测试和部署 Web 应用程序。 新版本中修复的漏洞被追踪为 CVE-2024-56337，并解决了 CVE-2024-50379 的不完整缓解措施，这是一个关键的远程代码执行 (RCE)，供应商已于 12 月 17 日发布了补丁。 人们意识到应用 CVE-2024-50379 的更新不足以保护系统，并决定发布 CVE-2024-56337强调手动操作的必要性。 这两个问题本质上是完全相同的漏洞，但决定使用新的 CVE ID 是为了提高受影响系统管理员的认识。该安全问题是一个检查时间使用时间 (TOCTOU) 竞争条件漏洞，该漏洞会影响启用默认 Servlet 写入（“只读”初始化参数设置为 false）并在不区分大小写的文件系统上运行的系统。 该问题影响 Apache Tomcat 11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33 以及 …

黑客分子利用伪造的恶意软件构建器以被称为 “script kiddies（脚本小子）” 的低技能黑客为目标，通过后门秘密感染他们，以窃取数据并接管其计算机。 CloudSEK 的安全研究人员报告称，该恶意软件感染了全球 18,459 台设备，其中大部分位于俄罗斯、美国、印度、乌克兰和土耳其。 CloudSEK 报告中写道：“XWorm RAT 构建器的木马版本已被武器化并传播。” CloudSEK 发现该恶意软件包含一个终止开关，该开关被激活以从许多受感染的计算机上卸载恶意软件，但由于实际限制，某些计算机仍然受到损害。 受感染设备的位置 假 RAT 构建器安装恶意软件 研究人员表示，他们最近发现了一个木马化的 XWorm RAT 构建器通过各种渠道分发，包括 GitHub 存储库、文件托管平台、Telegram 频道、YouTube 视频和网站。这些消息来源宣传了 RAT 构建器，称它将允许其他威胁者利用该恶意软件而无需付费。 它是用恶意软件感染受害者设备，一旦计算机感染了机器，X虫恶意软件就会检查Windows注册表是否有迹象是否在虚拟化环境上运行，如果结果为正面，则停止。如果主机有资格获得感染，则恶意软件会执行所需的注册表修改，以确保系统启动之间的持久性。每个受感染的系统都使用硬编码的电报机器人ID和令牌注册为基于电报的命令和控制服务器（C2）服务器。 恶意软件还会自动窃取Diskord令牌，系统信息和位置数据（来自IP地址），并将其删除到C2服务器。然后，它等待运营商的命令。在总共支持的56个命令中，以下特别危险： ·/mach…