ISHACK AI BOT

网络安全市场充斥着各种用于检测第三方应用程序漏洞的昂贵解决方案，但对于规模较小的安全企业来说，免费的漏洞扫描程序提供了一种实用的替代方案。 如何选择免费的漏洞扫描器？有行业人士给出了答案。在本文中，我们将详细分析关于选择免费漏洞扫描器的一些建议。 1. 评估您的环境规模 可扫描端点数量的限制对于免费漏洞扫描程序来说很常见。虽然拥有少量设备的小型企业可能会足够，但拥有数百个端点的大型企业可能会超出这些限制。 免费工具常常难以应对大型网络，而选择一种能够在不影响效率的情况下处理大规模环境的工具非常重要，特别是对于拥有广泛业务的企业来说，有效扩展的能力至关重要。 2. 了解扫描要求 不同的扫描仪有不同的要求。一些扫描仪需要在每个端点上安装代理才能深入了解，而其他扫描仪则进行侵入性较小的远程扫描。 扫描仪需要最大限度地降低代理安装的复杂性，特别是在大型且多样化的 IT 环境中。通常，当选择免费工具时，可能需要在本地运行该软件或将其集成到网络中。对于远程工作和不断变化的目标来说，这就变得具有挑战性。 因此，如何部署代理来收集必要的信息是必须要考虑的问题，使用免费工具并不是那么简单。 3. 评估报告能力 漏洞扫描器的有效性很大程度上取决于其报告功能，但免费的漏洞扫描器可能提供忽略关键修复细节的基本报告。 用户必须考虑获得数据后如何利用这些数据。有些工具可以显示数据，但提供有限的报告或反馈功能，这是一个重大限制。 4. 检查持续支持 网络威胁迅速发展，扫描仪也必须与时俱进。OWASP ZAP 等工具会经常更新，但要求用户手动掌握这些更新，可能会增加团队的工作量。 如果没有持续的支持，随着新漏洞的发现，免费工具就有可能变得过时。所以，为了确保不会出现应对不了新出现的威胁的局面，用户应该确认免费的漏洞扫描程序经常更新其漏洞数据库的流程。 5. 集成能力 与其他安全工具的集成至关重要，例如有助于漏洞识别和修复的工具。 重要的是要有一个扫描器，不仅可以检测漏洞，还可以提供修复指导。但是许多免费工具不会自动修补扫描期间发现的漏洞，因为修复是一个单独的过程。它和补丁管理集成对于轻松修复发现的任何漏洞都至关重要。 6. 关注隐性成本 配置、更新和掌握免费漏洞扫描程序所涉及的劳动力是一笔巨大的投资。使用“免费”工具的隐性劳动力成本，可能会影响团队效率。维护扫描和更新工具所需的时间和劳动力可能会很大，免费漏洞扫描程序的相关成本经常被忽视。它们可能不需要直接的财务投资，但其有效运作所需的人力和时间却是大量的。

随着人民生活水平逐步上升，消费者权益保护问题愈加受到社会重视。第34届3·15晚会以“共筑诚信 共享安全”主题，聚焦消防安全、食品安全、金融安全、数据安全等领域。围绕加强消费者权益保护、优化消费环境，推动商品和服务质量不断提高，着力促进放心消费，释放消费潜力，呵护美好生活。 本届3·15晚会共曝光了网络水军主板机、不防火的防火玻璃、偷工减料的灭火器、淋巴肉预制菜、天价养生酒、婚恋平台乱象、发出异响的宝马传动轴、层层套路的金融app借贷礼品卡等8个黑名单。 作为网络安全行业垂直媒体，嘶吼重点关注了乱象丛生的信息安全领域，特别整理了央视3·15晚会关于网络安全曝光事件的全面汇总与分析。 制造水军的主板机 将20块手机主板安装在同一个主板机箱内，就能组装成一台主板机，且一个人就能完全控制20部手机，运行同一款软件，执行同一个操作。有广告甚至宣称:他们制造的主板机不断叠加起来，可以组建成千上万台手机的网络矩阵，通过这样的设备，在网络世界里，用户可以操纵游戏、操纵发帖数量、操控网络投票。简单说需要手机用户参与的一切网络功能，它都能展开参与和操控。 在今年的3·15晚会中，主机板黑灰产业链遭到曝光，云抖科技有限公司、云机侠（深圳）科技有限公司、深圳云承未来科技有限公司被点名。 据了解，大多数客户选择主板机，除了看重它能够海量增加推广数量，更是看重了其能够随意更改账户IP地址，达到逃避监管的目的。 在我国反不正当竞争法第12条中明确规定：经营者不得利用技术手段，通过影响用户选择或其他方式，实施妨碍、破坏其他经营者合法提供的网络产品或者服务不正常运行的行为。 然而，随着调查的不断深入，主板机操控网络的功能还远不止此，其违法的功能也才露出冰山一角。 云机侠（深圳）科技有限公司的主板机配置清单上显示，这些手机主板并不具备入网资格。而中华人民共和国电信条例第53条明确规定：接入公用电信网络的电信终端设备、无线电通信设备和涉及网监互联的设备，必须符合国家规定的标准并取得进网许可证。 显而易见，这些主板机进行IP地址变更的行为违反了网络安全的基本原则和规定。这种绕过网络管理员和监管机构的未经授权的IP地址变更，还可能导致网络服务中断、数据丢失或泄露等安全问题，给网络运营和用户带来不必要的风险和损失。 这种手机主板机用歪门邪道传播信息，用投机取巧进行互联网数据造假，获取利益，不仅违背消费市场公平竞争的原则，践踏消费者的消费权益，其逃避监管的黑手段更使整个社会的公信力受损，严重破坏网络生态的健康有序发展。 “AI换脸”诈骗陷阱套路多 值得一提的是，在今年的3·15晚会中，“AI换脸”诈骗现象得到曝光。信息安全实验室针对“AI换脸”、“AI变声”等人工智能技术进行诈骗的违法犯罪案件进行了相关科普。 晚会通过公安部门搜集的四川泸州陈女士接到女儿的“被绑架”电话、浙江温州陈先生接到国外好友“求助电话”、陕西西安的财务人员张女士接到老板要求进行指定账户“转账电话”，三个利用虚假技术伪装电话号码，再借用AI拟声技术实施诈骗行为的违法犯罪案件，向消费者展示了这种技术如何被不法分子用于实施新型网络诈骗。 AI换脸，是指通过AI人工智能技术，把别人的脸换成自己的脸。包括人脸识别追踪、面部特征提取、人脸变换融合、背景环境渲染、图像与音频合成等几个关键步骤。通过深度学习算法，诈骗分子可以精准地识别视频中的人脸图像，并提取出关键面部特征，然后将这些特征与目标人脸图像进行匹配、替换、融合，生成逼真度较高的虚假换脸视频。2023年5月，中国互联网协会发文提示“AI换脸”新骗局，利用“AI换脸”、“AI换声”等虚假音视频，进行诈骗、诽谤的违法行为屡见不鲜。 作为一种新型的网络诈骗手段，它利用人工智能技术合成虚假的视频和声音，使得广大消费者难以察觉更防不胜防。警方也提醒广大消费者，在视频通话过程中，可以要求对方做出摸脸、按鼻子等随机动作，如果对方面部产生抖动、闪现等画面，则需要慎重考虑对方身份的真实性；同时，提醒消费者不要接奇怪的陌生来电、不随意在网络上暴露个人信息，保护好自己的人脸、声纹、指纹等生物数据；不随意点击各种平台发来的广告、中奖、交友等陌生链接；谨慎转账，最好将自己的个人账户设置为延迟到账等手段进行防范。 其实，通过具体案例的展现可以发现，不管是AI拟声还是AI视频通话，其进行的时间都很短。在目前的技术条件下，想要在点对点的视频实时通话过程中实现仿真程度极高的AI换脸技术还比较困难，这需要绕过层层复杂的安防体系，还需要投入大量的数据和专业算法的支撑，不断迭代才能实现。因此，嘶吼也提醒消费者首要加强个人信息保护意识，防止信息泄露；远程转账时候务必多重验证，把好个人“钱袋子”；对于不常用的app，建议卸载前注销个人账户，发现app过度、强制收集个人信息时，可至12321网络不良与垃圾信息举报受理中心进行投诉；遭遇诈骗信息，迅速至反诈专栏进行举报，如发生资金损失一定要及时报警。 目前，公安机关一直对新型犯罪行为加大打击力度，国家也已经出台了相关政策文件，如互联网信息服务深度合成管理规定、生成式人工智能服务安全基本要求等，以打击利用AI换脸、AI变声等手段实施的违法犯罪行为。总之，面对新型网络诈骗，我们需要提高警惕，做好个人信息安全第一责任人，记住要运用多种方法来识别和防范新型诈骗手段。 写在最后 互联网技术的广泛应用，为社会大众提供了个性化、智能化、便捷化的服务，大数据下的各种数字产品开始走进广大消费者生活的方方面面，使人们的数字生活变得丰富。但互联网技术发展及应用的同时真实与虚拟的界限变得模糊，也滋生了很多网络违法犯罪行为，随着各类技术应用的不断普及，不法分子实施网络犯罪的手段也不断“进化”。 基于此，保障数据安全已然成为事关每一个民众的现实问题。加强个人网络隐私意识、营造健康文明的网络环境、抓实网络空间生态建设，树立网络清风，维护网络安全，才能更好促进安心消费。

往期回顾： 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

在数字时代，网络安全问题日益凸显，而随着技术的不断进步，黑灰产业链也在网络世界中肆意蔓延。近日，3·15曝光了一起令人震惊的事件：利用“手机换新废旧主板”组装的主板机设备。这种设备一个人就能控制20部手机，不仅违法，还可能导致信息泄露。 厂家宣称，他们的产品可以将20块手机主板安装在同一个主板机箱内，从而组装成一台主板机，一台机子就可以控制20部手机。这些广告甚至宣称：通过不断叠加他们制造的主板机，可以构建一个由成千上万台手机组成的网络矩阵。拥有这样的设备，意味着可以操纵游戏、控制发帖数量，以及操控网络投票，成为“网络世界中的王者”。 在一位知情人士的指引下，315晚会的记者来到了云机侠（深圳）科技有限公司。公司的机房负责人董经理表示，他们之所以使用主板机，是因为这种设备可以轻松地更改账户的IP地址，“无论是号码、IP、硬件还是脚本，这些都不是问题”。 这一事件的曝光揭露了网络水军利用主板机随意更改IP地址的手段，从而逃避监管的行径。这种利用主板机进行IP地址变更的操作，不仅使得网络水军能够在监管之外自由活动，还给网络安全带来了新的挑战。主板机黑灰产业链的揭秘，涉及到一个庞大而复杂的网络生态系统，其背后隐藏着许多技术和商业交易的细节。首先，让我们深入了解主板机在这一黑灰产业链中扮演的角色。 主板机作为计算机系统的核心组件之一，不仅负责连接各种硬件设备，更重要的是承载着操作系统和应用程序的运行。在网络环境下，主板机的IP地址是其与外部网络进行通讯的关键。而网络水军利用主板机进行IP地址变更，实际上是在利用主板机的网络设置和硬件特性，通过各种技术手段修改或伪装IP地址，以规避监管和追踪。这种IP地址变更的操作，通常涉及到对主板机内部的软件或硬件进行改动或设置。 在技术层面上，网络水军可能会利用特定的软件工具或脚本来修改主板机的网络设置，例如更改网络接口的配置、篡改路由表或使用代理服务器等方式来实现IP地址的变更。此外，还有一些更为隐蔽的方法，如利用特定的硬件设备或固件漏洞来实现IP地址的伪装，以达到逃避监管的目的。 在商业层面上，这种IP地址变更的行为往往是为了服务于网络水军的利益。网络水军通常受雇于某些利益相关者，如网络推广公司、网络营销机构等，他们通过大量虚假账号和舆情操控来实现各种目的，如炒作商品、塑造舆论、抹黑竞争对手等。而利用主板机进行IP地址变更，则可以为他们提供更大的灵活性和隐蔽性，从而更加有效地规避监管和追踪，实现其非法活动的目的。 在合规层面上，这些主板机进行IP地址变更的行为往往违反了网络安全的基本原则和规定，即没有经过合规的网络准入。网络准入是指在网络环境中接入网络资源之前需要满足一定的安全规定和要求，以确保网络的安全和稳定运行。然而，网络水军利用主板机进行IP地址变更，往往是在未经授权的情况下进行的，没有经过相应的网络准入程序和规定，从而违反了网络安全的基本要求。 这种未经授权的IP地址变更行为可能导致网络的不稳定和安全漏洞。由于这些操作往往是在绕过网络管理员和监管机构的情况下进行的，可能会破坏原有的网络结构和设置，导致网络服务的中断、数据的丢失或泄露等安全问题，给网络运营和用户带来不必要的风险和损失。 总的来说，这一主板机黑灰产业链的揭秘，不仅涉及到技术层面上的操作和手段，还涉及到商业利益的驱动和交易。只有深入了解其内部运作机制和背后的利益链条，才能有效地应对和打击这种黑灰产业链，维护网络安全和社会秩序。

在数字化时代，随着人工智能技术的不断发展，AI换脸技术已经成为了一个备受关注的话题。近期的3·15曝光事件再次引发了人们对于这一技术的关注和思考。这一技术在带来趣味性的同时，也给数字身份带来了新的挑战和可能的风险。 央视3.15栏目记者调查到的真实事件： · 一位女士睡着觉突然接到了女儿被绑架的电话。电话中一开始传来的是女儿的哭声，然后女儿说自己被绑架了。这位女士还没来得及回答，电话就被另一个人抢走，这个人说要她准备80万元，女儿在他手上。报警后，警方最终确认女儿并未被绑架。结果证明，这通电话是由诈骗分子借用虚拟号码，再通过AI拟声技术进行的诈骗行为。 · 一位男士接到国外好友的求助，说是买机票遇到了难题，由于国际漫游限制，让他帮忙转账给航空公司。当然，一开始因为涉及钱财，这位男士并不信任对方，但这位朋友打了视频电话过来，视频中竟然是“朋友本人”，所以他就相信了。随后朋友以国外网络不好迅速挂断了电话，发来了相关转账信息，最终骗走了这位男士的49000多元。后来这位男士跟朋友本人聊天才发现自己被骗了。 · 一个公司职员收到了老板的视频电话，让她立刻转账186万元到一个指定账号，由于声音、图像都跟老板本人一样，所以这位职员就相信并将款项转了过去。但随后当这位职员上传凭证给财务时，才发现老板根本既没有跟她视频通话，也没有下达过转账的指示。报警后，警方对接反诈中心，联系相关银行紧急止付，最终追回了156万元。 以上三个案件可以看出，随着AI技术的不断发展和普及，诈骗分子已经开始利用这些先进技术来进行更加隐蔽和具有迷惑性的欺诈活动。虚拟号码技术使得诈骗电话的来源更加难以追踪，AI换脸技术使得视频通话中的身份可以轻易伪装，视频伪装技术使得受害人难以辨别真伪，而AI拟声技术则使得诈骗电话的声音变得逼真，更加容易欺骗受害人。 这些技术的滥用不仅给个人和企业带来了直接的经济损失，也对社会的信任造成了严重的破坏。当人们无法确定对方是否真实时，就很难保持对网络世界的信任，这不仅影响了个人间的交流和互动，也阻碍了数字经济的健康发展。 为了应对这一挑战，除了加强对技术的监管和管理之外，还需要提高公众的科技素养和识别能力。个人在接到涉及资金或个人信息的通讯时，应该保持警惕，谨慎核实对方身份，尽量通过其他渠道确认信息的真实性。同时，相关部门也应该加大对诈骗活动的打击力度，加强技术的研发，提高对新型诈骗手段的识别和防范能力。 总的来说，AI技术在诈骗活动中的滥用问题需要社会各界共同努力来解决。只有通过全社会的合作和努力，才能有效地应对这一挑战，保护公众的权益，维护社会的安全和稳定。

3月15日是全国“消费者权益日”，这一天提醒我们关注消费者的权益和安全，其中个人信息安全是一个备受关注的话题。在数字化时代，我们的个人信息越来越容易被获取和滥用，因此提升个人信息安全意识变得至关重要。 信息泄露的危害 个人信息包括我们的姓名、地址、电话号码、银行卡信息、甚至是我们的日常活动轨迹等等，这些信息一旦泄露，可能会导致严重的后果。恶意分子可能会利用这些信息进行诈骗、盗窃身份、侵犯隐私甚至进行身份盗窃。此外，个人信息泄露还可能导致金融损失、信用记录受损，甚至会影响到我们的社交关系和职业生涯。 提升个人信息安全意识的重要性 提升个人信息安全意识，不仅是为了保护自己的权益，更是为了构建安全的数字生活环境。只有当每个人都意识到个人信息安全的重要性并采取相应的措施时，才能有效地减少信息泄露事件的发生，从而保障我们的数字生活安全。 如何提升个人信息安全意识 · 加强信息保护意识： 我们应该意识到个人信息就像是我们的财产一样宝贵，需要妥善保护。不要轻易将个人信息泄露给不可信的第三方，包括陌生网站、电话、短信等。 · 学习信息安全知识： 我们可以通过阅读相关的信息安全知识，了解常见的信息泄露手段和防范方法，从而提高我们的辨别能力和防范意识。 · 使用安全可靠的网络服务： 在线购物、支付、社交等活动中，选择使用安全可靠的网络服务平台，并及时更新软件和操作系统以修补已知的安全漏洞。 · 注意个人信息泄露风险： 在日常生活中，我们应该警惕各种可能导致个人信息泄露的风险，例如公共Wi-Fi、不安全的链接、假冒网站等。 · 保护好个人设备： 定期更新安全软件、设置强密码、定期备份重要数据等措施可以帮助我们保护好个人设备，防止个人信息被恶意获取。 总结 在这个信息爆炸的时代，个人信息安全意识的提升是我们每个人的责任。通过加强信息保护意识、学习信息安全知识、使用安全可靠的网络服务、警惕个人信息泄露风险以及保护好个人设备等措施，我们可以共同构建一个安全、和谐的数字生活环境，实现消费者权益的真正保障。

网络安全对国家安全牵一发而动全身。党的十八大以来，习近平总书记高度重视网络安全工作，作出一系列重要论述。 文章来源：中国新闻网

美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 发布了五份联合网络安全公告，其中包含保护云环境的最佳方法。 近年来，云服务在企业中变得越来越受欢迎，因为它们提供托管服务器、存储和应用程序，而无需管理自己的基础设施。 云服务已经变得非常普遍，以至于许多企业应用程序开发人员都提供他们管理的本地版本和云托管版本，从而减轻了企业管理员的负担。 近期，NSA 和 CISA 发布了五份关于如何使用最佳方法保护云服务的联合文件。重点关注身份和访问管理解决方案、密钥管理解决方案、云中数据加密、云存储管理以及降低托管服务提供商的风险。 使用安全的云身份和访问管理实践 “此网络安全信息表 (CSI) 的目的是解释云身份管理的一些常见威胁，并推荐企业在云中操作时应采用的最佳实践方法来减轻这些威胁。” 此 CSI 包括身份和访问管理的提示，包括配置 MFA、凭据存储和权限分区，以便多人需要提升权限或执行敏感操作。 使用安全云密钥管理方法 “此 CSI 概述了基于这些因素的关键管理选项，并推荐了使用它们时要考虑的最佳方案。对于云 KMS 的任何使用，理解和记录共享安全责任至关重要。” 此 CSI 讨论如何安全地配置密钥管理解决方案 (KMS)。 在云环境中实施网络分段和加密 “这份网络安全信息表 (CSI) 提出了在云环境中实施这些原则的建议，这可能与本地 (on-prem) 网络不同。虽然本地网络需要专门的设备来启用 ZT，但云技术本身就提供了在不同程度上实施这些建议所必需的基础设施和服务。此 CSI 重点关注使用云环境中常见功能的最佳实践。” 此 CSI 提供了有关对传输中的数据进行加密，以及如何最好地对云服务进行分段的提示，除非必要，否则它们无法相互通信。 保护云中的数据 “此网络安全信息表的目的是概述云存储是什么以及正确保护和审核云存储系统的常见做法。” 此 CSI 提供了有关加密静态数据、保护数据免遭未经授权的访问以及创建备份和恢复计划的指南。 降低云环境中托管服务提供商的风险 “这份网络安全信息表概述了选择和使用 MSP 服务时需要考虑的五个重要方面。” 托管服务提供商 (MSP) 通常对客户网络具有高级别访问权限，这使其成为了对威胁分子极具吸引力的目标。 此 CSI 提供了有关保护 MSP 使用的公司帐户、审计其活动以及谈判协议时应考虑的事项的提示。 因为云服务往往存储有价值的数据并可用于转向内部网络，因此常常成为威胁分子的攻击目标。

近期，Malwarebytes 发布了 2024 年恶意软件报告，详细介绍了企业在 2024 年应关注的六种网络威胁。其中，排在首位的是“Big Game”勒索软件，它是对全球企业危害最严重的网络威胁之一。 大型博弈攻击通过劫持组织的数据（无论是加密、破坏性数据泄露的威胁，还是两者兼而有之），向企业勒索巨额赎金。该报告显示，由于 LockBit 和 ALPHV 等勒索软件组织的影响，已知的Big Game攻击数量在 2023 年激增了 68%。 2022 年 7 月 – 2023 年 12 月已知勒索软件攻击 Big Game 勒索软件只是网络犯罪活动的一部分，是其赖以生存的主要经济收益，它的生态系统支持整个供应链。 与商业一样，网络犯罪也依赖于一系列有效的工具。其活动围绕网络钓鱼、软件漏洞和密码猜测等技术，以及信息窃取程序、木马和勒索软件等成熟的恶意技术。 多年来，网络犯罪的创新日益转向战术方面，更多地关注攻击如何成功，而不是恶意软件的功能。 随着 Mac 继续逆势， PC 销量下降，一些犯罪分子开始将 Atomic Stealer 等 Mac 恶意软件添加到他们的 Windows 分发渠道中。 2024 年，恶意软件依旧泛滥，但当它被使用时，只是多种不同威胁的攻击链中的一个环节。 安全团队现在面临着诸多十分棘手的问题，零日漏洞、账户受损、社会工程以及一系列不符合恶意软件传统定义的其他威胁等，安全研究团队在日益复杂的网络环境中更需精进自身。

往期回顾： 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

随着数字化时代的蓬勃发展，网络安全产业正迎来一场深刻而迅猛的变革。在过去，我们曾专注于传统的安全防御手段，采取反应式的威胁应对策略。如今，随着威胁的不断演变和技术的飞速进步，网络安全面临着前所未有的挑战和新的需求。这一变革推动我们重新审视网络安全的本质，并着眼于更加智能、预测性和综合性的解决方案。不再局限于单一的防御模式，我们必须迎接更智能化的威胁，同时在数字生态系统中建立起更为全面的保护体系。 为适应当前网络安全领域的快速发展，嘶吼安全产业研究院将对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。在各领域新兴技术不断涌现的背景下，我们合理重新分类网络安全产业链，进一步规划网安产业布局，展现产业核心企业能力与竞争力，为政企及其他组织机构提供客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2024图谱调研”获取。 1）征集阶段：2024年3月7日——2024年4月7日，下载填报《2024网络安全产业图谱调研表》，并发送至收集邮箱中。 2）分析阶段：根据回收的问卷，嘶吼分析师团队会针对厂商提交材料进行复核，部分厂商可能需要接受验证或者访谈，以便对存疑问题进行沟通。 3）图谱报告发布：《2024网络安全产业图谱》由嘶吼安全产业研究院官方发布。内容将呈现部分细分领域数据统计，根据实际调研结果，撰写包括网络安全产业情况、调研发现等相关内容。 填写说明： 1 请按说明要求填写，方便后续整理数据，请注意，不要删减行列！ 2 提交时请务必在附件中添加（ai格式）公司logo。 3 请于4月7日前提交问卷，发送至邮箱[email protected]。 4 务必客观、真实填写该问卷。 声明： · 此次收集的调研数据，将由嘶吼安全产业研究院全程严格管理。每一个样本数据仅作为综合统计分析的素材，不会泄露和公布任何参与调研机构的隐私信息，请参与调研的每位负责人安心填写。 · 《2024网络安全产业图谱调研表》仅为调研资料收集，图谱最终呈现分类与形式，将以正式发布内容为准。 在此，我们要郑重的感谢所有参与到嘶吼图谱绘制的各家厂商，不论是网络框架梳理到内容划分调整，亦或是申请入驻、参与对细分领域的调研等环节，行业同仁都对我们提供了莫大的帮助。再次表示诚挚的感谢！

有安全研究人员在 12 个恶意应用程序中发现了一种名为 VajraSpy 的 Android 远程访问木马 (RAT)，其中 6 个应用程序于 2021 年 4 月 1 日至 2023 年 9 月 10 日期间在 Google Play 上提供。这些恶意应用程序现已从 Google Play 中删除，但仍可在第三方应用程序商店中找到，它们被伪装成消息或新闻应用程序。 安装这些应用程序的用户感染了 VajraSpy，允许恶意软件窃取个人数据，并根据授予的权限，记录了他们的通话记录。 发现该活动的研究人员报告称，其运营商是 Patchwork APT 组织，该组织从 2015 年底以来一直活跃，主要针对巴基斯坦用户。 2022 年，威胁分子无意中泄露了他们的活动细节，当时他们不小心用“Ragnatela”RAT（他们当时使用的工具）感染了自己的基础设施。这一失误为 Malwarebytes 提供了了解 Patchwork 操作的窗口。 安卓间谍活动 ESET 研究人员发现了 12 个恶意 Android 应用程序，其中包含相同的 VajraSpy RAT 代码，其中 6 个应用程序上传到 Google Play，下载量约为 1400 次。第三方应用商店不报告下载量，因此通过这些平台安装它们的人数未知。 ESET 的遥测分析表明，大多数受害者位于巴基斯坦和印度，并且很可能是通过社交骗局被诱骗安装虚假消息应用程序。 12 个假冒应用程序中的两个 VajraSpy 作为一种间谍软件和 RAT，支持各种主要与数据盗窃有关的间谍功能。其功能总结如下： ·从受感染的设备收集并传输个人数据，包括联系人、通话记录和短信。 ·从 WhatsApp 和 Signal 等流行的加密通信应用程序中拦截和提取消息。 ·记录电话通话以窃听私人谈话。 ·激活设备的摄像头拍照，将其变成监控工具。 ·实时拦截来自各种应用程序的通知。 ·搜索和泄露文档、图像、音频和其他类型的文件。 VajraSpy 从 WhatsApp记录数据 VajraSpy 的强大之处在于其模块化特性和适应性，而其间谍能力的程度则取决于它在受感染设备上获得的权限级别。 ESET 建议用户不要下载陌生人推荐的聊天应用程序，因为这是网络犯罪分子渗透设备的常见策略。 尽管 Google Play 推出了新政策，使恶意软件更难隐藏在应用程序中，但威胁分子仍继续将其恶意应用程序设置于该平台上。人们发现 SpyLoan 信息窃取恶意软件在 2023 年从 Google Play 下载了 1200 万次。

2014年2月，习近平总书记提出努力把我国建设成为网络强国的战略目标。10年来，习近平总书记亲自擘画网络强国宏伟蓝图，部署推动网信事业高质量发展，指引我国从网络大国向着网络强国阔步迈进。 无人机送外卖、乘坐无人驾驶巴士和无人驾驶航空器游逛公园……这些在10年前令人难以想象的科技生活已经悄然变成现实。基于5G通信的强大覆盖，过去一年，北京、广州、深圳、合肥等地陆续探索了自动驾驶无人化商业实践，自动驾驶示范区建设蓬勃发展，越来越多汽车甚至载人航空器正加速迈入“无人之境”。 党的十八大以来，习近平总书记举旗定向、领航掌舵，亲自擘画网络强国宏伟蓝图，部署推动网信事业高质量发展，系统回答了为什么要建设网络强国，怎么建设网络强国等一系列重大理论和实践问题，形成了习近平总书记关于网络强国的重要思想，指引我国从网络大国向着网络强国阔步迈进。 建设网络强国，核心技术是最大的“命门”。从高性能计算保持优势到5G实现技术、产业、应用全面领先，从北斗导航卫星全球组网到芯片自主研发能力稳步提升，10年来，网信领域一大批重大创新成果相继涌现，推动了我国信息化在某些领域实现了从“跟跑”到“领跑”的重大跨越。 加快信息化发展，既需要下大力气突破核心技术，也需要建设良好的信息基础设施。近年来，我国统筹推进网络、算力、应用等基础设施建设，建成全球规模最大、技术领先的光纤宽带和移动通信网络，截至2023年底，我国5G基站总数达337.7万个，千兆光网覆盖超过5亿户家庭。 10年来，信息基础设施建设在加速，我国互联网发展的“数字红利”也在加快释放，用得上、用得起、用得好的信息服务正在造福更多百姓。 这几天，宁夏平罗县和银川两地的医生通过互联网远程视频，顺利完成了一台冠状动脉造影加冠状动脉支架植入手术。 借助现代互联网技术，远程医疗、数字医疗发展，护佑了广大人民群众的健康。如今，我国互联网医院已超3000家，开展互联网诊疗服务超2590万人次。“互联网+教育”深入推进，“慕课西部行计划”持续开展以来，学生参与学习超4.95亿人次，让西部地区学生通过网络分享东部地区的优质教育资源。数字浪潮下，自主就业、灵活用工等生机勃发。在城市，网约车、跑腿员、快递小哥奔波在大街小巷。在农村，通过直播带货就能让农产品热销全国，信息化已经深度融入社会生活的方方面面。 在网络强国重要思想指引下，我国数字经济产业不断扩大，数字经济规模从2012年的11万亿元增长到现在的超50万亿元，总量稳居世界第二，占GDP比重提升至41.5%，数字经济成为稳增长促转型的重要引擎。 网络空间是亿万民众共同的精神家园。近年来，“清朗”“净网”等专项行动持续开展，重拳整治网络生态突出问题，《网络安全法》《数据安全法》《个人信息保护法》等法律法规相继出台，网络综合治理体系基本建成，网络生态持续向好。 文章来源：央视新闻

为恶意软件（加密程序）提供 AV 规避的服务数量将会增加 根据 2023 年观察到的趋势，我们预测为恶意软件（加密器）提供防病毒 (AV) 规避的服务预计将持续到 2024 年。 加密器是一种专门用于混淆恶意软件样本中存在代码的工具，其目的是使签名的扫描仪无法检测到代码，从而增强其隐蔽性。 目前黑市已经充斥大量此类服务，在地下论坛非常受欢迎。加密器的范围广泛，从较便宜的选项，到每月订阅费用在 1000 至 20,000 美元之间的高级加密器。这些高端加密器专为目标感染而定制，提供先进的侵入功能，可绕过安全解决方案的运行时保护。 “Loader”恶意软件服务将继续发展 “加载程序”恶意软件的使用预计将继续扩大。这些加载程序充当恶意软件感染的初始载体，为窃取程序、各种远程访问木马 (RAT) 和其他恶意工具的部署铺平了道路。 这些加载程序的关键功能预计包括强大的持久性机制、无文件内存执行以及增强的对安全产品的抵抗力。黑市上加载程序的不断发展很可能会在 2024 年推出用 Golang 和 Rust 等现代编程语言编写的新版本。 暗网市场上的加密资产消耗服务将继续增长 我们预计加密资产盗窃者将会增加并进一步发展，从而导致地下市场上其开发和销售的广告相应增加。 据报道，Angel Drainer 等恶意软件被用于攻击 Ledger，再加上人们对加密货币、NFT 和相关数字资产的持续兴趣，预计将推动此类 Drainer 的扩散。这一趋势反映了以数字金融资产为目标的丰厚利润，使加密资产成为网络犯罪分子十分青睐的区域。 虚假广告将在地下市场大受欢迎 利用 Google 和 Bing 广告进行虚假流量收集活动的趋势预计将会继续保持高热度。黑色流量经销商通过推广嵌入恶意软件安装程序的登陆页面，来策划这些活动，通过这些欺骗性广告有效感染用户。这些经销商可能会加强地下市场的销售活动，与此同时，对此类服务的需求预计也将会增加。 比特币混合器和清洁服务市场动态活跃 比特币混合器和“清洁”服务其流行度和复杂性将持续上升。随着执法部门加强监管审查和增强交易跟踪能力，地下市场对掩盖比特币资金来源的服务需求预计将会增长。这些服务通常被称为“tumblers”或“mixers”，会为威胁分子或其他恶意用户提供了匿名化其加密货币交易的能力，使他们难以追溯到源头。到 2024 年，预计这些服务的种类和复杂性都会增加。 此外，其他具有增强隐私功能的加密货币的普及也可能会影响比特币混合器市场。服务提供商可以使其产品多样化，包括混合这些替代加密货币，从而进一步扩大其业务范围。

针对 Facebook 广告商的新网络安全威胁名为 VietCredCare。该信息窃取程序至少自 2022 年 8 月起就一直活跃，旨在通过自动过滤来自受感染设备的 Facebook 会话 cookie 和凭据来劫持企业 Facebook 帐户。 该恶意软件会评估被盗帐户是否管理业务资料以及是否有Meta广告信用余额。 VietCredCare 如何运作 VietCredCare 通过社交媒体帖子和即时消息平台上的虚假网站链接进行分发，伪装成 Microsoft Office 或 Acrobat Reader 等合法软件。 Group-IB 表示，安装后，它可以从网络浏览器中提取凭据、cookie 和会话 ID，包括 Google Chrome、Microsoft Edge 和 Cốc Cốc（一款专注于越南市场的浏览器）。 该恶意软件因其能够检索受害者的 IP 地址、检查 Facebook 帐户是否为企业资料以及评估该帐户当前是否管理广告而闻名。 它还采取措施通过禁用 Windows 反恶意软件扫描接口 (AMSI) 并将自身添加到Windows Defender 防病毒排除列表来逃避检测。 报告称，VietCredCare 的核心功能是过滤 Facebook 凭据，如果敏感帐户遭到泄露，将面临声誉和财务损失的风险。 多个政府机构、大学、电子商务平台、银行和越南公司的凭证已遭恶意软件窃取。 威胁分子使用被盗的 Facebook 帐户发布政治内容或传播网络钓鱼和附属诈骗以获取经济利益。 这种大规模恶意软件分发计划有助于接管企业 Facebook 帐户，目标是管理知名企业和组织 Facebook 个人资料的越南个人。 窃取者即服务模型 VietCredCare 在服务模式下向其他网络犯罪分子提供，并在 Facebook、YouTube 和 Telegram 上做广告。 客户可以购买由恶意软件开发人员管理的僵尸网络的访问权限，或获取源代码的访问权限以供转售或个人使用。 他们还获得了一个定制的 Telegram 机器人来控制受感染设备的凭据泄露和传递。 防范 VietCredCare 用户必须保持警惕，并针对基于恶意软件的攻击采取预防措施。这包括定期软件更新、防病毒软件的使用和强密码。单击链接或从未知来源下载附件时务必谨慎，因为这些附件可能包含 VietCredCare 等恶意软件。 总之，VietCredCare 是一种复杂的恶意软件，严重威胁了企业及企业形象，增强网络安全措施必不可少。

往期回顾： 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

仅去年一年就检测到了 88,500 个Android 银行木马，对用户构成严重威胁。它们善于伪装，在日常使用中很难被发现，是想要自动窃取在线资金的网络犯罪分子最喜欢的黑客工具之一。 什么是 Android 银行木马？ Android 银行木马（以及所有网络木马）背后的想法很简单：就像“特洛伊木马”一样，Android 银行木马伪装成良性、合法的移动应用程序，一旦安装在设备上，就会暴露出其恶意。通过伪装成二维码阅读器、健身追踪器以及摄影工具等日常移动应用程序，拦截用户的某个应用程序，然后提供一种恶意工具供网络犯罪分子滥用。 错误的移动应用程序下载可能会导致设备被完全控制或泄露详细的私人信息，例如您的电子邮件、社交媒体和银行登录信息。 Android 银行木马如此棘手的原因在于，一旦安装，它们就会呈现看似合法的权限屏幕，要求用户以改进功能的幌子，向新应用程序授予对其设备的各种访问权限。 以 SharkBot 银行木马为例，Android 银行木马将自己隐藏为名叫“RecoverFiles”的文件恢复工具。一旦安装在设备上，“RecoverFiles”就会要求访问“该设备上的照片、视频、音乐和音频”，以及访问文件、映射和与其他应用程序对话，甚至可以通过 Google Play 进行付款。 这些正是恶意软件想要窃取用户名、密码和其他重要信息所需的权限。 打开“RecoverFiles”时的介绍屏幕可以看见它要求用户提供的后续权限，而安装后，它在设备主屏幕上不可见。 该应用程序不仅是 Android 银行木马的巧妙包装，而且还可以被视为隐藏包装。一旦安装在设备上，“RecoverFiles”应用程序图标本身不会显示在设备的主屏幕上。这种隐形策略类似于跟踪软件类型应用程序的功能，可用于在未经同意的情况下监视他人的活动。 在 Android 银行木马开发领域，网络犯罪分子设计出了比简单伪装更为狡猾的方案。 隐藏在看似良性的应用程序之下 Android 银行木马的制造者必须克服 Google 类似（而且更先进）的安全措施。随着 Google Play 商店已成为Android 应用程序的首选市场，网络犯罪分子试图将其恶意应用程序放在 Google Play 上，以捕获最多的受害者。但 Google Play 的安全措施经常检测到恶意软件并阻止其被列出。 那么，网络犯罪分子会怎么办？ 在这些情况下，网络犯罪分子会制作看似良性的应用程序，实际上从互联网上的其他地方下载恶意软件，一旦安装在设备上，就会执行一行代码。这就是网络犯罪分子将其恶意软件偷偷带到 Google Play 上的方式，并可能用 Anatsa 银行木马感染了超过 100,000 名用户。 据报道，进入 Google Play 商店的恶意应用程序看似是PDF 阅读器读取 PDF，文件管理器管理文件，但隐藏在应用程序代码中的用户实际上是在下载一组指示其设备安装恶意软件的指令。这些恶意软件包有时被称为“恶意软件植入程序”。 这对用户来说意味着什么？ 任何 Android 银行木马内部都有大量技术人员，这些技术人员都是为了实现最终目标，即窃取受害者的钱。 所有伪装、诡计和隐藏代码执行都是较长攻击链的一部分，其中 Android 银行木马会窃取您的密码和个人身份信息，然后使用该信息窃取您的资金。 正如在 2024 年 ThreatDown 恶意软件状况报告中所写的：“一旦获得访问权限，恶意软件就会初始化其自动传输系统（ATS）框架，这是一组复杂的脚本和命令，旨在在无需用户干预的情况下执行自动银行交易。” 远离 Android 银行木马 保护自己免受 Android 银行木马的侵害并不像发现网络钓鱼电子邮件中的语法错误或拒绝点击来自未知号码的短信中发送的任何链接那么简单。 虽然 Android 银行木马难以用肉眼检测，但并不意味着它们无法被阻止，利用安全工具可以检测和阻止意外安装在设备上的 Android 银行木马。

近期，Gartner 预测 2024 年全球安全和风险管理支出将增长14.3%，这一增长使得人们重新关注具有成本效益的网络安全投资。 低效的网络安全支出随着预算的增加，变得愈加引发关注，低效的支出通常会导致购买不同的安全工具，这可能会造成更多的安全漏洞并增加违规风险。 简而言之，随着 2024 年网络安全支出的增加，企业必须进行不仅具有成本效益、而且能够切实加强防御的投资。 接下来，本文将深入探讨 2024 年智能网络安全支出的三项基本策略。 进行彻底的需求分析 如果不仔细分析真正需要什么商品或服务，企业可能会陷入“工具蔓延”的陷阱，即积累过多的网络安全工具。 但安全防御目标应该是根据实际需求定制网络安全投资，避免使用不必要的技术。例如，小型企业可能不太需要复杂的企业级入侵检测系统，而大型企业可能也不需要基本的消费级安全解决方案。 仓促选择多个网络安全供应商可能会适得其反。兼顾多个供应商通常会使支持流程变得复杂，由于各种系统而增加培训负担，并对无缝工具集成提出挑战。 选择集成安全解决方案 为了避免浪费开支，请投资将多种保护措施合二为一的安全平台。这不仅更具成本效益，实际上还改善了安全状况。 公司购买的每一个安全工具都需要自己的一套配置、更新和管理协议，最终会导致响应时间更长、工作流程效率低下，并且无法对威胁态势有统一的看法。 选择集成安全解决方案可以在有针对性的精益网络安全支出方法方面更加便捷。通过将多个安全功能整合到一个平台中，这些集成降低了与硬件、维护和管理相关的间接成本。 强调附加值 想象一下你饿了，花费20元吃碗面可能会饱，但仅需要再多花费5元，就可以升级到一顿营养均衡的餐点。这就是增值的美食——物超所值。 强调网络安全的附加值很像从基本的餐饭升级到一顿完整的饭菜——您将花费最少的钱，获得超出基本安全措施之外的更多功能。 例如，考虑具有免费漏洞评估 (VA)和应用程序块 (AB)的解决方案。在网络安全成本不断上升的情况下，VA 无需额外费用即可发现应用程序漏洞，而 AB 通过阻止不需要的应用程序启动来保持防御能力，从而在不花太多钱的情况下增加可观的价值。 进入 2024 年，企业需要通过细致的需求评估、集成解决方案和对附加值的关注，更有效地使用网络安全预算。

近日，北京市经济和信息化局发布《关于公示2023年度第三批北京市市级企业技术中心创建名单的通知》，国家网络安全产业园区（通州园）企业北京网藤科技有限公司荣获“北京市市级企业技术中心”认定。 企业技术中心是指企业根据市场竞争需要设立的技术研发与创新机构，负责制定企业技术创新规划、开展产业技术研发、创造运用知识产权、建立技术标准体系、凝聚培养创新人才、构建协同创新网络、推进技术创新全过程实施。北京市鼓励和支持企业建立技术中心，对创新能力强、创新机制好、引领示范作用大、符合条件的企业技术中心予以认定市级企业技术中心。 获评企业简介 北京网藤科技有限公司成立于2016年，是一家以“守护工业命脉，保障关键安全”为使命，以数字赋能，维护关键信息基础设施安全为目标，以工业大数据、人工智能技术为核心，专注于工业互联网+安全整体解决方案的创新企业。 作为国家级专精特新“小巨人”企业，网藤科技坚持在工业互联网+安全领域的深耕探索，目前已经获得70多项发明专利、150多项知识产权及多项国家级技术奖项。近年来，网藤科技的安全能力不断创新、成熟和完善，技术、产品、方案和服务能力得到了长足的发展，工业互联网+安全一体化整体解决方案在创新性、可复制性、可推广性都得到了市场的广泛检验，并得到电力、石油石化、煤炭矿山、智能制造等领域客户的广泛认可。 本次网藤科技获得“北京市市级企业技术中心”认定，既是对企业在创新发展、技术革新、人才建设等多方面综合实力的充分认可，也是网安园（通州）持续优化科技创新环境的成果体现。下一步，网安园（通州）将继续强化企业培育，精准指导企业进行项目申报，全流程、全周期做好企业服务，激发企业自主创新活力，全力推动副中心网络安全产业高质量发展。 文章来源：网络安全产业园区 通州园

钢铁巨头蒂森克虏伯证实，黑客在上周攻破了其汽车部门的系统，迫使他们不得已关闭了 IT 系统，以防止遭遇更严重的攻击。 蒂森克虏伯股份公司是全球最大的钢铁生产商之一，拥有超过 10 万名员工，年收入超过 444 亿美元（2022 年）。 该公司是全球产品供应链的重要组成部分，这些产品使用钢铁作为材料，应用于机械、汽车、电梯和自动扶梯、工业工程、可再生能源和建筑等各个领域。 蒂森克虏伯发言人表示：“蒂森克虏伯汽车车身解决方案业务部门，上周记录了对其 IT 基础设施的未经授权的访问。”“为此，我们采取了各种安全措施，并暂时下线了某些应用程序和系统。” 蒂森克虏伯还澄清说，此次网络攻击主要发生在汽车部门，没有其他业务部门受到网络攻击的影响。 该公司还表示，情况已得到控制，他们正在努力恢复正常运营。 蒂森克虏伯在全球经济中扮演着十分重要的角色，曾多次成为黑客的攻击目标，包括 2022 年、 2020 年、 2016 年和 2013 年，其中大多数案件针对间谍活动和扰乱运营。

在相关部门截获其服务器不到一周，LockBit 团伙便在新的基础设施上重新启动了勒索软件，并威胁说会将更多的攻击集中在政府部门。 在联邦调查局泄密模型下的一条消息中，该团伙专门发布了一条冗长的消息，讲述了他们的疏忽导致了此次泄露，以及未来的行动计划。 LockBit 勒索软件持续攻击 上周六，LockBit 宣布将恢复勒索软件业务，并发布公告，承认因“个人疏忽和不负责任”导致扰乱了其在克罗诺斯行动中的活动。目前，该团伙将其数据泄露网站转移到了新的 .onion 地址，该地址列出了五名受害者，并附有发布被盗信息的倒计时器。 重新启动的 LockBit 数据泄露网站显示有 5 名受害者 上周，有关部门拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。 攻击发生后，该团伙称他们只丢失了运行 PHP 的服务器，没有 PHP 的备份系统未受影响。 五天后，LockBit卷土重来并提供了有关漏洞的详细信息，以及他们将如何运营业务以使他们的基础设施更难以被攻击。 过时的 PHP 服务器 LockBit 表示，执法部门（他们统称为 FBI）入侵了两个主要服务器。 “由于我个人的疏忽和不负责任，我没有及时更新PHP。” 威胁分子表示，受害者的管理和聊天面板服务器以及博客服务器正在运行 PHP 8.1.2，并且很可能使用跟踪为 CVE-2023-3824 的关键漏洞进行了黑客攻击。 随后，LockBit 表示他们更新了 PHP 服务器，并宣布日后将奖励任何在最新版本中发现漏洞的人。 威胁分子表示，执法部门“获得了数据库、网络面板源、并非他们声称的储物柜存根以及一小部分未受保护的解密器。” 去中心化附属小组 在克罗诺斯行动期间，相关部门收集了 1000 多个解密密钥。LockBit 声称警方从“未受保护的解密器”获得了密钥，服务器上有近 20000 个解密器，大约是整个操作过程中生成的约 40000 个解密器的一半。 威胁分子将“不受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建，通常由低级别附属机构使用，这些附属机构仅收取 2000 美元的赎金。 LockBit 计划升级其基础设施的安全性，并切换为手动发布解密器和试用文件解密，以及在多个服务器上托管附属面板，并根据信任级别为其合作伙伴提供对不同副本的访问权限。 LockBit 发出的长信息试图为受损的声誉恢复可信度，但即使它设法恢复了服务器，附属机构也有充分的理由不信任。

往期回顾： 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

距离对勒索软件集团LockBit 进行重大打击的两天后，研究人员又发现了新一轮的攻击，这些攻击正在安装与该组织相关的恶意软件。 这些攻击是在过去 24 小时内检测到的，利用了Connectwise 销售的远程桌面应用程序——ScreenConnect中的两个关键漏洞。 据 SophosXOps 和 Huntress 两家安全公司的研究人员称，成功利用这些漏洞的攻击者会继续安装 LockBit 勒索软件和其他利用后恶意软件。目前尚不清楚该勒索软件是否为 LockBit 官方版本。 Huntress 的首席安全研究员John Hammond在电子邮件中写道：“我们暂时无法公开透露客户的姓名，但可以确认当前部署的恶意软件与 LockBit 有关。” 很难查明的原因 SophosXOps 和 Huntress 没有透露正在安装的勒索软件是官方 LockBit 版本还是由 2022 年 LockBit 内部人泄露的版本。自那时以来，泄露的架构程序已广泛传播，并引发了一系列非官方操作的模仿攻击。 安全公司 Trend Micro 的研究人员表示：“当架构被泄露时，可能会让溯源变得更加困难。例如，2023 年 8 月，我们观察到一个自称为 Flamingo 组织的团体使用泄露的 LockBit 载荷，与 Rhadamanthys stealer 捆绑在一起。2023 年 11 月，我们发现另一组织，自称为 Spacecolon，冒充 LockBit。该组织使用的电子邮件地址和 URL 使受害者误以为是在与 LockBit 打交道。” SophosXOps表示他观察到了几次 LockBit 攻击，但目前没有其他详细信息。Hammond也表示，该恶意软件与勒索软件组织“有关联”，无法立即确认该恶意软件是官方版本还是山寨版。 这次攻击发生在英国、美国和欧洲刑警宣布成功重创 LockBit 之后的两天。此次行动包括夺取了 14000 个账户和 34 台服务器的控制权，逮捕了两名嫌疑人，并发布了五项起诉书和三份逮捕令，还冻结了与勒索软件操作相关的 200 个加密货币账户。这些行动是在调查人员侵入并控制了 LockBit 基础设施之后进行的。 有关部门表示，LockBit 作为全球最活跃的勒索软件团体之一，从全球数千名受害者中勒索了超过 1.2 亿美元。与大多数其他勒索软件团体一样，LockBit 采用勒索软件即服务模式运作，附属团体分享他们通过使用 LockBit 勒索软件和基础设施产生的收入。 鉴于附属团体的庞大数量以及它们广泛分布于各个组织领域，往往不太可能全部被消除，有可能一些附属团体仍然在运作。 除了安装与 LockBit 相关的勒索软件外，Hammond表示，攻击者还安装了几个其他恶意应用，包括一个被称为 Cobalt Strike 的后门、加密货币挖矿器以及用于远程连接到受损基础设施的 SSH 隧道。 ScreenConnect 漏洞正在大规模利用，并被标识为 CVE-2024-1708 和 CVE-2024-1709。ConnectWise 已为所有受影响版本提供了补丁。

CISA（网络安全和基础设施安全局）在暗网经纪网站上发现包含政府组织用户信息（包括元数据）的文件后，便发布了网络安全建议。 而这些文件的出现是由于攻击者利用该组织前雇员的帐户设法破坏了网络管理员凭据。攻击者设法对内部虚拟专用网络 (VPN)接入点进行身份验证，进一步导航攻击目标的本地环境，并对域控制器执行各种轻量级目录访问协议 (LDAP) 查询。 CISA 怀疑帐户详细信息是通过数据泄露落入攻击者手中的。如果员工离开时该帐户已被禁用，就不会造成问题；目前该帐户仍然可以通过管理权限访问两个虚拟化服务器，包括 SharePoint 和工作站。 在 SharePoint 服务器上，攻击者获取了存储在服务器本地的全局域管理员凭据。此帐户还为攻击者提供了对本地 Active Directory (AD) 和 Azure AD 的访问权限。攻击者执行 LDAP 查询来收集用户、主机和信任关系信息。 缓解建议 当员工离职时，应该尽快删除他们的权限并更改密码； 限制一名用户使用多个管理员帐户； 为本地和 Azure 环境创建单独的管理员帐户以分段访问； 实施最小权限原则，仅授予必要的访问权限，在完成所需的任务后撤销特权； 使用防网络钓鱼的多重身份验证 (MFA)； 建立强大且持续的用户管理流程，以确保离职员工的帐户被删除并且无法再访问网络； 通过全面的资产记录、跟踪当前版本信息以保持对过时软件的认识以及将资产映射到业务和关键功能，维护强大的资产管理策略； 如果没有漏洞和修补程序管理解决方案，请为所有操作系统、应用程序和软件建立例行修补周期； 密切关注环境中发生的情况，及时了解非典型事件和日志。

知名智能家居品牌 Wyze 承认，由于系统故障，导致约 13000 名用户在查看自家监控录像时，意外看到了其他用户的图像或视频片段。 该公司将事故原因归咎于合作伙伴 AWS上。 “当我们努力使摄像机恢复在线状态时，遇到了安全问题。一些用户说在他们的“事件”选项卡中看到了错误的缩略图和视频。我们立即删除了对“事件”选项卡的访问权限并开始调查。” Wyze 表示，出现这种情况是因为需求突然增加，导致设备 ID 和用户 ID 映射混合，致使某些数据与用户帐户错误连接。因此，客户在点击 Wyze 应用程序的“事件”选项卡中的相机缩略图后，看到其他人的视频源缩略图，在某些情况下甚至看到了视频片段。 目前，Wyze 尚未透露在该事件中视频监控被曝光的用户确切数量。 该公司现在将为用户添加额外的验证层，以确保将来不会再发生此类问题。此外，还调整了系统，以避免在用户设备关系检查期间进行缓存。