ISHACK AI BOT

您很可能已经看到了有关 "索尼 2023 年发生数据泄露" 的醒目标题，并怀疑自己是否已经面临着风险，其实，索尼公司同样不知道发生了什么，不过他们已经开始调查。 索尼公司再次陷入网络攻击的漩涡。这次是一个名为 "Ransomed.vc "的黑客团伙，他们声称已经成功入侵了这家科技巨头的网络，该团伙声称，他们的目标是在黑市上出售被窃取的数据。 在本周早些时候，Ransomed.vc 大胆地宣称它已经进入了 "索尼的所有系统"，并准备出售被盗数据，据称是由于索尼 "不愿意支付" 赎金。该组织更进一步警告说，如果到 9 月 28 日星期四还没有买家出现，他们可能会开始公布被盗的信息。尽管目前这些指控是十分严重的，但我们必须要认识到它们目前仍未得到证实。 不过，Ransomed.vc 确实以张贴文件的形式提供了一些证据（共约 6000 个文件），这与他们声称破坏了 "索尼公司所有的系统"（包括PlayStation）的宽泛说法相比，就显得微不足道了。 针对这些令人担忧的事态发展，索尼公司 9 月 26 日表示已展开调查，并且很有分寸的回应，也反映了这一问题的严重性以及对漏洞进行深入调查的重要性。 随着索尼针对 2023 年数据泄露事件调查的深入，"Ransomed.vc "获取的数据范围以及是否有任何消费者个人信息被盗仍存在一些模糊之处。这事关重大，索尼公司将在网络安全专业人员的协助下对情况进行细致调查，并确保其网络安全。 当前的索尼网络风波正在受到全球的密切关注，它提醒人们要注意不断变化的网络风险，以及网络安全措施在互联世界中保护私人信息的关键作用。

10月5日，密码学专家Filippo Valsorda发布漏洞奖励计划，对首个破解NIST 椭圆曲线seeds（随机数种子）和用来生成seeds的原始短语的人给予12288美元（约合8.97万元人民币）的奖励，如果奖励接受者决定将奖励捐献给501(c)(3)慈善机构，那么奖励将增加到36864美元（约合26.9万元人民币）。 该挑战赛的其他发起人包括Johns Hopkins大学教授Matt Green、PKI和Chromium贡献者 Ryan Sleevi、浏览器安卓专家Chris Palmer、"Logjam attack"发现者David Adrian和AWS密码学工程师Colm MacCárthaigh。 在椭圆曲线密码学（ECC）中，seeds（随机数种子）是用作加密算法或生成密码学密钥的初始输入的值，ECC依赖定义在有限域上的椭圆曲线的数学概念来生成相对短的安全密钥。2000年NIST FIPS 186-2数字签名标准中引入的NIST椭圆曲线（P-192, P-224, P-256, P-384和 P-521）对现代密码学来说非常重要。其中使用了NSA（美国国家安全局）1997年生成的seeds。 该曲线是由其系数和随机seed值确定的，派生密钥的确定性过程是透明和可验证的，以减少可能的隐藏漏洞，终端用户和开发者无需直接与这些seeds进行交互，而是使用选定的密码学协议的椭圆参数。 但关注系统安全性和完整性的研究人员比较关注seeds的源。没有人知道这些seeds是如何生成的，有谣言和研究表明这些seeds是由NSA Jerry Solinas提供的英语句子哈希而成的，Solinas使用了哈希算法（可能是SHA-1）来生成seeds，并永久忘记了该原始短语。有谣言称，选择Jerry Solinas原始英语句子的Jerry Solinas已于2023年去世，留下了这个密码学谜题。 Filippo Valsorda相信拥有足够的GPU算力和 passphrase暴力破解经验就可以破解SHA-1哈希值，并计算出用来生成seeds的原始句子，首个提交至少1个椭圆曲线pro-seed的研究人员可以获得6144美元的奖励，其他一半奖金将奖励给完整提交5个椭圆曲线（P-192, P-224, P-256, P-384和 P-521）pro-seed的研究人员。

随着我国数字经济规模的持续扩大，网络安全越发受到重视，产业增速明显，在下游需求及国家政策推动下，各行业对网络安全各领域的投入占比将持续增长，尤其是政务数据管理和央企、国企在相关领域的投入增速将明显加大，有望带动网络安全市场在2023年实现一定程度的复苏。 嘶吼安全产业研究院推出《2023 Q3网络安全产业重点洞察》，对2023Q3网络安全产业重点进行分析。下面选择部分嘶吼安全产业研究院认为重要的观点与大家分享。 观点一：政府加强对生成式人工智能服务的管理监督 随着Chatgpt的出现，生成式人工智能技术正快速走入人们的日常生活中，然而在使用的过程中，也带来了许多网络安全风险。国家网信办、公安部、工信部等国家七部门联合发布的《生成式人工智能服务管理暂行办法》于2023年8月15日正式生效。 《管理办法》针对提供和使用生成式人工智能服务应遵守的法规；针对“提供具有舆论属性或者社会动员能力的生成式人工智能服务”的服务提供者开展安全评估和算法备案；生成式人工智能服务在相关行业的服务和应用做出相应的完善和规定，促进行业的快速健康发展。 观点二：生成式AI政策的出台使2023年Q3中国网络安全投融资市场涨势明显 嘶吼安全产业研究院根据公开数据发现，2023年Q3我国网络安全领域投融资事件累计38起，相比于Q2的32起增加明显，主要是因为生成式人工智能的出现，使得国家对网络安全政策进行完善，资方察觉到赛道的前景等多方面经济因素、政策驱动、意识提升共同作用。 2023年Q3我国网络安全投融资事件中，融资轮次包括A轮、IPO、战略投资等15种，其中A轮及相关轮次占比较多，达到37%。 观点三：2023年Q3物联网安全和数据安全仍为重点投资领域 嘶吼安全产业研究院根据公开数据发现，2023年Q3我国网络安全获投企业中，数据安全、物联网安全、安全服务占比较多，其中物联网安全占比最多，高达26%，涉及行业类型数十种，如：工业互联网、区块链安全、芯片安全、云安全等，市场碎片化明显，行业内部竞争较为激烈。 观点四：北京、上海、浙江领跑区域网络安全投融资领域 嘶吼安全产业研究院根据公开数据发现，2023年Q3我国区域网络安全投融资活跃度的城市主要集中在京津冀及长三角地区。2023年Q3的投资较为分散，遍布全国12省市，说明全国各省市均有网络安全投入。北京和上海拥有众多知名高校和科研机构，为网络安全技术创新提供了强大的人才和技术支持。同时，两地也聚集了一批具有国际竞争力的网络安全企业，这些企业在技术创新和业务实践方面具有很强的实力和经验。 观点五：2023年Q3安全漏洞数量走势明显升高 嘶吼安全产业研究院从国家信息安全漏洞共享平台发现，2023年第三季度CNVD收录的安全漏洞数量增长趋势明显，在8月达到峰值1944个安全漏洞。漏洞产生原因中，设计错误占比66.4%，输入验证错误紧随其后达到29.4%，其余原因还有竞争条件、边界条件错误、访问验证错误等。87.5%的漏洞是利用远程进行攻击，9.3%的漏洞则是本地攻击导致。 观点六：国内网络安全保险服务起步，未来终将迎来爆发期 嘶吼安全产业研究院认为，网络安全保险作为一种创新型保险产品，不仅需要保险机构提供专业支持，还需要依赖网络安全企业提供相关技术。网络安全保险能够在网络安全风险管理过程中的全流程支持，例如：风险评估、风险监测、攻防演练、应急响应和事后恢复等方面。 更多精彩内容，请关注公众号“嘶吼专业版”，回复“2023三季度产业洞察”查阅下载完整版《2023 Q3网络安全产业重点洞察》。

网络安全研究人员最近发现了一种新的 Python 恶意软件，该恶意软件以讲鞑靼语的用户为攻击目标，鞑靼语是一种土耳其母语，主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图，并通过 FTP（文件传输协议）将其传输到远程的服务器内。 FTP 协议则可以使文件和文件夹通过基于 TCP 的网络（如互联网）从一台主机（目标系统）传输到另一台主机。 该攻击活动背后的威胁行为者就是臭名昭著的 TA866，该组织曾以鞑靼语使用者为目标，并利用 Python 恶意软件开展攻击行动。 TA866如何利用python恶意软件 据CRIL 称，威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击，攻击一直到持续到了 8 月底。 有报告称，一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。 威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击，这些邮件中都包含了一个恶意的 RAR 文件。 该文件包括了两个文件：一个视频文件和一个基于 Python 的可执行文件。 ·当加载程序执行后，就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件，其中包含两个 PowerShell 脚本和一个附加的可执行文件。 ·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称，该威胁攻击者的金融攻击行动被命名为 "Screentime "。 TA866 威胁攻击者及其定制黑客工具的使用 黑客之所以能够实施这些复杂的攻击，是因为他们已经成功地开发了自己的复杂工具和服务，不过值得注意的是，有经济动机的威胁攻击者 TA866 曾针对德国和美国组织开展过类似的攻击行动。 CRIL 声称，威胁者通过 RAR 文件用 Python 工具感染受害者的计算机。然而，它必须首先通过一系列的感染才能启动最终的有效载荷。这其中包括利用鞑靼语将文件名进行隐藏。 威胁行为者利用恶意应用程序向受害者显示诱导信息，同时暗中运行 PowerShell 脚本截图并将其发送到 FTP 站点。 TA866 的后续攻击步骤涉及到部署更多的恶意软件，这其中可能包括 Cobalt Strike beacon、RAT（远程访问木马）、窃取程序和其他有害程序。 考虑到在攻击中所使用的复杂有效载荷和恶意软件，可以断定这绝对不是一个新手组织，而是一群技术娴熟的网络安全人员，这其中包括设计高级恶意软件病毒和有效载荷的专家。

Moq在NuGet软件注册中心上分发，每天的下载量超过100000人次，自问世以来累计下载量已超过4.76亿人次。 Moq近期发布的4.20.0版本悄悄加入了另一个项目SponsorLink，该项目在开源软件消费者中引起了轩然大波，他们将此举比作辜负了广大用户的信任。 SponsorLink貌似是一个开源项目，实际上作为闭源代码在NuGet上分发，关键是含有经过混淆处理的DLL，这些DLL收集用户电子邮件地址的哈希值，并将它们发送到SponsorLink的CDN，从而引发隐私问题。 Moq辜负了用户的信任 半个月前，Moq的所有者之一Daniel Cazzulino（kzu，还负责维护SponsorLink 项目）将SponsorLink添加到Moq 4.20.0及更高版本中。 这一举动在开源生态系统中引起了轰动，主要出于两个原因——虽然Cazzulino完全有权改变其项目Moq，但他在捆绑依赖项之前并没有通知用户群，而且SponsorLink DLL含有经过混淆处理的代码，因而很难进行逆向工程分析，并不是完全“开源”。 德国软件开发人员Georg Dang警告道，扫描功能是在构建过程中运行的.NET 分析器工具的一部分，很难被禁用。 SponsorLink称自己是一种将GitHub Sponsors集成到用户库中的方法，以便用户可以正确链接到他们的赞助商以解锁功能，或者只是因支持用户的项目而获得应有的认可。 GitHub用户Mike（d0pare）反编译了DLL，并分享了大致重构源代码的结果。据这位分析师声称，这个库“生成外部git进程来获取您的电子邮件。” 然后，它计算电子邮件地址的SHA-256哈希值，并将其发送到SponsorLink的CDN： hxxps://cdn.devlooped[.]com/sponsorlink。 图1. 隐藏在Moq和SponsorLink中的遥测代码（图片来源：GitHub） 开发者为变更辩护 Cazzulino在评论中解释了其理由，承认“4.20”版本是“一种尝试，很难得到实际的反馈，所以即使评论有点措辞严厉，我也真的很感激！” Cazzulino进一步更新了SponsorLink项目的自述文件，其中包含如下所示的冗长的“隐私注意事项”，这部分澄清了没有实际的电子邮件地址，仅收集它们的哈希值。这一更新是在遭到强烈反对后随即发布的。 有人担心SponsorLink可能会在未经您明确同意的情况下收集您的电子邮件，事实并非如此，这可以通过运行Fiddler以查看当前发生的流量类型来轻松验证。 具体来说，在执行赞助检查时永远不会发送实际的电子邮件。您本地系统上的电子邮件使用SHA256进行哈希处理，然后进行Base62编码，唯一使用的是因而得到的不透明字符串（永远不会泄露原始电子邮件）。 只有在您安装SponsorLink GitHub应用程序并授予其明确的许可之后，SponsorLink才真正获取您的电子邮件地址（以便执行在后端将这个不透明字符串与您的实际电子邮件和GH用户相关联以链接您的赞助这一操作）。 此外，当您暂停或卸载应用程序后，我们删除与您的帐户和电子邮件关联的所有记录。 过去，Cazzulino也曾为自己决定将SponsorLink保持闭源、经过混淆处理的做法做过辩护，以防止其某些检查被绕过，用他的话来说，该库的不透明功能是“有意设计”的。 潜在的隐私问题 从道德和法律的角度来看，将SponsorLink悄然加入到Moq等项目中是一个隐私问题。 首先是这个问题：一个不太起眼的闭源依赖项（SponsorLink）通过开源渠道分发，并加入到流行的OSS项目（比如GitInfo）中，GitInfo同样由Cazzulino开发，已下载了数百万次。 收集电子邮件地址哈希值也可能不完全是匿名的。 至少从理论上来说，SponsorLink的开发人员可以将收集到的哈希值与某个地方泄露的电子邮件地址数据库进行比较，以识别用户的身份，Walter力劝Cazzulino在SponsorLink 软件包方面做得更加透明。 作为回应，一些开发人员要么威胁停止使用Moq，改而采用替代方案，要么构建工具以检测和阻止任何运行SponsorLink的项目。 有些人更进一步，表示他们会抵制使用SponsorLink的项目，甚至将“SponsorLink”作为恶意软件报告给NuGet注册中心。 虽然对Moq颇有争议的变更已在v4.20.2中得到了撤回（由于其他人公开反对），但仍存在这种可能性：将来的Moq版本重新引入一项类似的“功能特性”。

谷歌为libwebp漏洞分配新的CVE编号，CVSS评分10分。 Libwebp是一个用于处理WebP格式图像编解码的开源库。9月6日，苹果公司安全工程和架构（SEAR）部门和加拿大多伦多大学研究人员在libwebp库中发现了一个0 day漏洞，随后，谷歌将该漏洞分类为Chrome漏洞，CVE编号CVE-2023-4863，并于1周后修复了该漏洞。 9月21日，安全研究人员Ben Hawkes将该漏洞与CVE-2023-41064相链接被用于零点击的iMessage漏洞利用链以感染iPhone设备。 9月25日，谷歌将该漏洞重新归类为了libwebp中的堆溢出漏洞，并为该漏洞重新分配了CVE编号CVE-2023-5129，CVSS评分10分。漏洞影响谷歌Chrome浏览器116.0.5845.187以前版本，漏洞的重新分类对使用libwebp开源库的项目带来重大影响，包括1Password、Signal、Safari、Mozilla Firefox、Microsoft Edge、Opera以及原生 Android web浏览器。 该漏洞存在于libwebp库使用的哈夫曼编码(Huffman Coding)算法ReadHuffmanCodes()中。攻击者利用该漏洞可以通过恶意伪造的HTML页面实现越界内存写操作，引发软件崩溃、任意代码执行、敏感信息非授权访问等严重后果。

在过去的几年间，Linux系统已成为各路威胁分子眼里越来越明显的目标。据我们观察，2023年上半年出现了260000个独特的Linux样本，正如本文表明的那样，攻击Linux的活动可以持续多年，而不被网络安全界注意。 我们决定调查一组可疑3950947b0f.u.fdmpkg[.]org •c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org •0727年bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org •c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org 在安全研究人员看来，这些域名看起来令人担忧，因为它们可能表明恶意软件使用域名生成算法进行C2通信。于是，我们决定仔细研究fdmpkg[.]org域名。 一个恶意的Debian代码库 我们发现有问题的域名有一个deb.fdmpkg[.]org子域名。在浏览器中输入该子域名，可显示以下网页： 图1 正如页面所示，这个子域名声称托管“Free Download Manager”（免费下载管理器）这款软件的Debian代码库。我们进一步分析后发现，这个软件的Debian软件包可以从https://deb.fdmpkg[.]org/freedownloadmanager.deb URL下载。该软件包其实含有在安装时执行的受感染的postinst脚本。该脚本将两个ELF文件投放到路径/var/tmp/crond和/var/tmp/bs下。然后，它通过创建一个cron任务（存储在/etc/cron.d/collect文件中）来建立持久性，该任务每10分钟启动/var/tmp/crond文件。 受感染软件包安装的免费下载管理器版本于2020年1月24日发布。与此同时，postinst脚本含有俄语和乌克兰语评论，包括有关恶意软件改进的信息以及黑客活动分子的声明，提到了日期20200126（2020年1月26日）和20200127（2020年1月27日）。 图2 基于DNS的后门 一旦安装了恶意软件包，可执行文件/var/tmp/crond在每次启动时都会通过cron运行。这个可执行文件是一个后门，并不从外部库导入任何函数。为了访问Linux API，它在静态链接dietlibc库的帮助下激活系统调用。 一旦启动，该后门向域名发出type A DNS请求。作为对该请求的响应，后门接收两个IP地址，它们编码辅助C2服务器的地址和端口。我们研究时返回了以下地址： •172.111.48[.]101 •172.1.0[.]80 上面列表中的第一个IP地址是辅助C2服务器的地址，而第二个地址含有连接端口（编码在第三和第四个八位字节中）以及连接类型（编码在第二个八位字节中）。 解析DNS请求的响应后，后门启动反向shell，使用辅助C2服务器进行通信。通信协议是SSL或TCP，具体取决于连接类型。以SSL为例，crond后门启动/var/tmp/bs可执行文件，并将所有进一步的通信委托给它。否则，反向shell则由crond后门本身创建。 Bash窃取器 在发现crond后门创建了一个反向shell后，我们决定检查攻击者如何使用这个shell。为此，我们在恶意软件分析沙箱中安装了受感染的免费下载管理器软件包。在分析了crond生成的流量后，我们确定攻击者在沙箱中部署了Bash窃取器。这个窃取器收集各种数据，比如系统信息、浏览历史记录、保存的密码、加密货币钱包文件，以及知名云服务（AWS、谷歌云、Oracle Cloud Infrastructure和Azure）的凭据。 图3 从受感染的机器收集信息后，窃取器从C2服务器下载一个上传工具二进制文件，并将其保存到/var/tmp/atd。然后，它使用这个二进制文件将窃取器的执行结果上传到攻击者的基础设施。 我们没有观察到通过反向shell进行的任何其他活动，因此整条感染链可以用下图来描述： 图4 揭开感染途径的奥秘 在分析了感染链的所有组件后，我们想找出受感染的Debian软件包如何分发给受害者。我们查看了免费下载管理器的官方网站（freedownloadmanager[.]org）。结果发现，可从该网站下载的软件包原来托管在files2.freedownloadmanager[.]org域名上，它们并没有被植入后门。 然后我们决定对fdmpkg[.]org进行一番开源检查。这番检查发现了StackOverflow和Reddit等网站上的十几个帖子，用户一直在讨论受感染的免费下载管理器分发引起的问题，而没有意识到他们实际上成为了恶意软件的受害者。这些帖子是在从2020年到2022年的三年时间里发布的。 在Unix Stack Exchange上的这样一个帖子（https://unix.stackexchange.com/questions/590510/kubuntu-20-04-shutdown-reboot-hangs-at-waiting-for-process-crond）中，发帖者抱怨“Waiting for process: crond”消息阻止了计算机的关闭： 图5 处理同一个问题的用户对这个帖子作出了回复，他们认为这个问题是由免费下载管理器软件引起的。他们建议删除三个文件：/etc/cron.d/collect、/var/tmp/crond和/var/tmp/bs。然而，没有人提到这三个文件是恶意文件。 图6 在2020年创建的另一个帖子中，一位Reddit用户询问是否可以在不运行postinst脚本的情况下安装免费下载管理器，这个用户不知道该脚本其实含有恶意软件。 图7 此外，发帖人粘贴了脚本内容；另一位Reddit用户在评论中指出，这可能是恶意脚本。然而，这些用户没有识别出分发受感染软件包的网站，也没有发现这个脚本执行的功能。 我们还在Reddit上发现了一个帖子，提到该软件的官方网站早在2015年就在传播恶意软件了。然而后来发现，这个帖子中描述的恶意软件与我们发现的活动无关。 图8 社交网络上的所有这些帖子让我们认为恶意的Debian软件包可能是通过freedownloadmanager[.]org网站、经由供应链攻击分发的。因此，我们决定寻找证明或反驳这种说法的进一步的事实。 意外的重定向 在检查YouTube上有关免费下载管理器上的视频时，我们发现了几个演示如何在Linux机器上安装该软件的教程。我们观察到了出现在所有这些视频中的以下操作： •视频制作者在浏览器中打开免费下载管理器的合法网站（freedownloadmanager[.]org）； •之后他们点击了该软件Linux版本的“下载”按钮； •他们被重定向到恶意的https://deb.fdmpkg[.]org/freedownloadmanager.deb URL，其中托管了受感染版本的免费下载管理器。 图9 我们还注意到，并非在所有情况下都重定向到恶意的deb.fdmpkg[.]org域名。在同一时间段发布的另一个视频中，一名用户点击了该软件网站上的“下载”按钮，最终从合法网站下载了免费下载管理器。 因此，恶意软件开发人员编写的恶意重定向可能以某种程度的概率出现，或者基于潜在受害者的数字指纹出现。 我们进一步检查了合法的免费下载管理器网站，想知道软件开发人员是否意识到他们的网站可能受到威胁。在该软件博客于2021年发表的一条评论中，一位用户抱怨，他观察到可以访问5d6167ef729c91662badef0950f795bf362cbb99.u.fdmpkg[.]org域名。用户blogadmin对这个评论的回复称，免费下载管理器与这个域名无关，建议只使用该软件的官方版本： 图10 然而，没有人进而去发现这个用户最后如何安装了这个可疑版本的免费下载管理器。因此，软件的官方网站继续分发恶意Debian软件包，直到至少2022年。 后门的起源 在确定了受感染的免费下载管理器软件包如何分发之后，我们决定检查在我们的研究过程中发现的植入程序是否与其他恶意软件样本有代码重叠。事实证明，crond后门是一个名为Bew的后门的修改版本。自2013年以来，面向Linux的卡巴斯基安全解决方案一直可以检测出其变体。 图11 2013年版Bew的代码（左边，MD5: 96d8d47a579717223786498113fbb913）和crond后门的代码（右边，MD5: 6ced2df96e1ef6b35f25ea0f208e5440） Bew后门已经被分析了多次，第一次分析结果发表在2014年。此外，2017年，CERN发布了有关使用Bew的BusyWinman活动的信息。据CERN声称，Bew感染是通过路过式下载进行的。 至于窃取器，它的早期版本由Yoroi在2019年予以描述。它是在利用Exim邮件服务器中的漏洞后被使用的。 图12 2019年描述的Bash窃取器（左边，MD5: 8C7EFB0493B6FB805B2C2F0593DE0AB1）和2022年的FDM活动中使用的窃取器（右边，MD5: AD7F99D44931489B2C38DF7A5A166C4D） 为什么没有更早发现恶意软件包？ 这次活动中观察到的恶意软件自2013年以来就已经为人所知。此外，从社交网络上的多个帖子可以看出，这些植入程序具有很强的蒙蔽性。据我们观察，这次活动的受害者遍布世界各地，包括巴西、中国、沙特阿拉伯和俄罗斯，鉴于这些事实，恶意的免费下载管理器软件包在三年多的时间里未被发现似乎不可思议。 我们认为这归咎于以下几个因素： •与Windows相反，Linux恶意软件极少被观察到； •感染恶意Debian软件包有一定的概率：一些用户收到了受感染的软件包，另一些用户最终下载了合法软件包； •讨论免费下载管理器问题的社交网络用户没有怀疑问题是由恶意软件引起的。 虽然这起活动目前处于不活跃状态，但免费下载管理器的这个案例表明，凭肉眼很难检测Linux系统上正在进行的网络攻击。因此，Linux系统（桌面和服务器）必须配备可靠高效的安全解决方案。 攻陷指标 •文件校验和 b77f63f14d0b2bde3f4f62f4323aad87194da11d71c117a487e18ff3f2cd468d（恶意Debian软件包） 2214c7a0256f07ce7b7aab8f61ef9cbaff10a456c8b9f2a97d8f713abd660349（crond后门） 93358bfb6ee0caced889e94cd82f6f417965087203ca9a5fce8dc7f6e1b8a3ea（bs后门） d73be6e13732d365412d71791e5eb1096c7bb13d6f7fd533d8c04392ca0b69b5（atd上传工具） •文件路径 /etc/cron.d/collect /var/tmp/crond /var/tmp/bs /var/tmp/atd •网络指标 fdmpkg[.]org 172.111.48[.]101

针对中东地区电信服务提供商的网络攻击是利用名为 HTTPSnoop 和 PipeSnoop 的新型恶意软件实施的，这些恶意软件允许网络犯罪分子远程控制这些感染了这种恶意软件的设备。 他们还发现了 HTTPSnoop 的配套植入程序PipeSnoop，它能够从命名管道中接受 shellcode，并通过将其发送到打开的套接字并在受感染的终端上进行执行。这些发现也证实，这两个被植入的程序属于一个名为"ShroudedSnooper"的黑客群组，Cisco Talos 认为它们极有可能属于新的入侵组织。 根据 Cisco Talos 的报告，这两个植入程序属于同一组名为 "ShroudedSnooper "的入侵程序，但在技术上是针对不同的操作目标进行的渗透。后门 HTTPSnoop是一种简单而有效的后门，它通过使用一种新颖的技术在 Windows 操作系统中进行编译，与 HTTP 内核驱动程序以及设备进行连接，监听传入的 HTTP(S) 请求，并在受感染的机器上执行恶意的命令。 Cisco Talos 在与 The Hacker News 分享的一份报告中指出，HTTPSnoop 是一种简单而有效的后门程序。值得注意的是，一个代号为 PipeSnoop 的姊妹植入程序也是威胁行为者武器库的一部分，因为该植入程序能够从命名管道中接受任意 shellcode 并在受感染的机器上进行执行。 据说，攻击者为了在目标环境中站稳脚跟，ShroudedSnooper 会首先攻击公网的服务器，并首先使用HTTPSnoop 进行攻击。这两种恶意软件都冒充了 Palo Alto Networks Cortex XDR 应用程序（"CyveraConsole.exe"）的组件。 安全研究中心早在 2023 年 5 月就首次检测到 PipeSnoop的植入。该植入程序似乎是 Windows IPC（进程间通信）管道的后门，用于向被入侵的终端发送 shell 代码。 安全工程师指出，该植入程序需要一个提供shell代码的组件才能正常的运行。尽管如此，该公司的分析师仍然无法确定该恶意软件的位置，电信行业经常成为国家支持的攻击行为者的攻击目标，因为它们经常会在网络中运行关键的基础设施，并向广大客户传递敏感的信息，同时也是国家支持的攻击群体。 由于最近国家支持的针对电信行业的攻击逐渐升级，当务之急是加强安全措施，并在打击网络攻击方面开展国际合作。此外，发布该帖子的研究人员还在帖子中详细介绍了发现HTTPSnoop 和 PipeSnoop 伪装成 Palo Alto Networks 的应用程序 Cortex XDR。 CyveraConsole[dot]exe 是包含 Windows 版 Cortex XDR 代理的可执行文件，该应用程序被认为是恶意软件可执行文件。研究人员于 2022 年 8 月 7 日发布了 Cortex XDR v7.8，并表示该产品将于 2023 年 4 月 24 日退役。 因此，威胁攻击者可能会在上述期间操作过这组植入程序，这意味着这些植入程序当时是由他们使用的。并且据观察，目前已经有三种不同的 HTTPSnoop 变种。 恶意软件的其中一种工作方式就是检测符合预定义的URL 模式的传入请求，然后通过使用底层的Windows API 提取 shellcode 并在用户计算机上进行执行。这次攻击中使用的 HTTP URL 模仿了微软 Exchange Web 服务、OfficeTrack 和与一家以色列电信公司有关的供应服务所使用的 URL，并试图以几乎无法检测到的方式对恶意流量进行编码。 据称，在过去的几年里，一些国家支持的犯罪团伙以及各种恶意的攻击组织针对世界各地的电信组织进行了攻击。2022 年，Talos IR 在对电信公司的调查中，始终将这一行业作为首要的攻击目标。 通常情况下，电信公司是那些想对关键基础设施资产进行破坏的攻击者的首选目标，它们控制着相当多的关键基础设施资产。 在许多情况下，这些机构是国家卫星、互联网和电话网络的骨干，私营和公共部门都非常依赖于这些网络。 作者指出，电信公司也可以作为攻击者进入其他企业、用户或第三方供应商（如银行和信用卡公司）的网关。 此外，思科塔洛斯公司（Cisco Talos）指出，中东的亚洲电信公司也经常成为网络犯罪分子的攻击目标。Clearsky 网络安全公司在 2021 年 1 月披露，"Lebanese Cedar" APT使用RAT恶意软件家族针对美国、英国和亚洲中东地区的电信公司进行攻击。 赛门铁克还发现，针对南亚电信公司的 MuddyWater APT 也是赛门铁克提到的一个网络攻击团伙，它通过使用webshell将基于脚本的恶意软件传输到 Exchange 服务器内。 在今年早些的时候，Cisco Talos研究人员在 WellinTech 的 KingHistorian ICS 数据管理器中发现了两个漏洞，这将导致有人会试图利用其中的漏洞，Talos 对该软件进行了测试，证实了 WellinTech 背后的知名人士可以利用这些漏洞。 ClearSky 网络于 2021 年 1 月被发现，Lebanese Cedar组织策划了一系列针对美国、英国和中东亚洲电信运营商的攻击。同年 12 月，Broadcom 旗下的赛门铁克公司也曾披露，MuddyWater（又称种子蠕虫）威胁攻击者正在针对中东和亚洲的电信运营商发起间谍活动。 另据报道，在过去的一年中，其他的敌对组织也参与了针对该地区电信服务提供商的攻击，如 BackdoorDiplomacy、WIP26 和 Granite Typhoon（前 Gallium）。

如今，短链接无处不在。所有这些bit.ly、ow.ly、t.co、t.me、tinyurl.com等早已成为在线环境中熟悉的一部分。实际上，对它们如此熟悉，以至于大多数用户点击它们时都不会多想。但是思考从来都不是坏事，考虑到这一点，我们将解释短链接是如何工作的，以及它们可能带来的隐私和安全威胁。 单击短链接时会发生什么？ 当你点击一个短链接时，你几乎会直接跳转到预定的目标，即由创建链接的用户指定的地址。大多数人认为是这样的，但并非完全如此：实际的路线会经过URL缩短服务的一个快速转弯。 服务效率越高，所需时间就越快，到达终点站的过渡就越顺畅。当然，这种延迟只对一个人来说微不足道——我们人类的速度相当慢。但对于电子系统来说，它的时间足以完成各种活动，我们将在下面讨论。 为什么使用短链接？主要原因是空间：将长链接变短意味着在屏幕上占用更少的空间（考虑移动设备），并且不会消耗字符限制（考虑社交媒体帖子）。但不幸的是，事情并不仅仅如此。创建短链接的人可能追求自己的目标，不一定是出于对用户的关心。让我们来谈谈这些目标。 短链接和用户跟踪 您是否想过为什么许多互联网链接如此长且难看？这通常是因为链接对用于跟踪点击的各种参数进行了编码，即所谓的UTM 标签。 通常，部署这些标签是为了确定用户点击链接的位置，从而评估广告活动的有效性、博客页面上的位置等。当然，这并不是为了方便用户，而是为了数字营销。 在大多数情况下，这是一种无害的跟踪形式，不一定从链接点击者收集数据：营销人员通常只对流量来源感兴趣。但由于这种额外的“包装”看起来不太美观，而且常常使 URL 变得非常长，因此通常会使用缩短服务。 从隐私角度来看，更令人不快的是 URL 缩短器并不局限于将用户重定向到目标地址。他们还倾向于收集有关链接点击者的大量统计数据 - 因此您的数据最终不仅会通过嵌入式 UTM 标签到达短链接的创建者手中，还会到达 URL 缩短器的所有者手中。当然，这是互联网，每个人都会收集某种统计数据，但使用短链接会引入另一个保存您数据的中介。 伪装的恶意链接 除了侵犯您的隐私之外，短链接还可能威胁您的设备和数据的安全。正如我们不厌其烦地重复的那样：在点击链接之前一定要仔细检查它们。但对于短链接，就会出现一个问题：你永远不知道你会被带到哪里。 如果网络犯罪分子使用短链接，那么检查它们的建议就变得毫无意义：您只能在点击后找到链接指向的位置。到那时可能已经太晚了——如果攻击者利用浏览器中的零点击漏洞，那么一旦您登陆恶意网站，感染就会发生。 短链接和动态重定向 网络犯罪分子还可以根据需要使用链接缩短工具来更改目标地址。假设一些攻击者购买了包含数百万个电子邮件地址的数据库，并用它来发送带有某种链接的网络钓鱼消息。但问题是（对于攻击者而言）：他们创建的网络钓鱼站点很快就被发现并被阻止。将其重新托管在不同的地址不是问题，但他们将不得不重新发送所有网络钓鱼邮件。 解决方案（对于攻击者来说）是使用“shimming”服务，这使得快速更改用户将访问的 URL 成为可能。这里“垫片”的作用可以由 URL 缩短器来扮演，包括最初出于可疑意图而创建的缩短器。 通过这种方法，网络钓鱼电子邮件中会添加指向网络钓鱼服务的链接，从而将受害者重定向到网络钓鱼者当前活动地址的网站。通常，使用多个重定向会使线索更加混乱。如果目标网络钓鱼站点被阻止，网络犯罪分子只需将其托管在新地址，更改填充程序中的链接，然后攻击就会继续。 中间人攻击 一些链接缩短工具（例如Sniply）为用户提供的不仅仅是较短的链接。它们允许跟踪实际目标站点上链接点击者的操作，这实际上是中间人攻击：流量通过中间服务节点，该节点监视用户和目标站点之间交换的所有数据。因此，URL 缩短程序可以拦截它想要的任何内容：输入的凭据、社交网络消息等等。 个人间谍活动 在大多数情况下，供大众使用的短链接被放置在社交网络帖子或网页上。但如果邮件是通过信使或电子邮件发送给您个人或您的个人或工作地址，则会产生额外的风险。使用此类链接，已经掌握有关您的一些信息的攻击者可以将您重定向到预先填写了您的个人数据的网络钓鱼网站。例如，访问具有有效用户名并要求输入密码的银行网站的副本，或者访问某些服务的“支付网关”，其中预先填写了您的银行卡号，要求您输入安全码。 此外，此类链接还可用于人肉搜索和其他类型的跟踪，特别是在 URL 缩短服务提供高级功能的情况下。例如，我们最近在 Twitch 上发布的有关保护隐私的文章详细介绍了对流媒体进行去匿名化的方法以及如何应对它们。 如何保持受保护 该怎么办？我们可以建议永远不要点击短链接，但在绝大多数情况下，URL缩短服务是用于合法目的的，而短链接已经变得如此普遍，以至于完全避免并不是一个真正的选择。尽管如此，我们建议你特别关注直接消息和电子邮件中发送给你的短链接。在点击之前，你可以通过将这些链接复制并粘贴到检查短链接的工具中，比如GetLinkInfo或UnshortenIt，来检查这些链接。 然而，还有一种更简单的方法：一个高质量的安全解决方案，采用综合方法同时关注安全和隐私。

最近，T-Mobile 应用程序的一个漏洞使得消费者面临严重的数据泄露风险，这是一个令人感到非常不安的通告。这个安全漏洞可以让攻击者获得其他用户的信用卡号和地址等敏感信息以及用户个人账户。这一事件也引发了人们对该公司是否在致力于保护用户数据的担忧。 据报道，2023 年 9 月 20 日，研究员发现了该漏洞的存在。该应用程序允许未经授权的人检查 T-Mobile客户的各种个人数据。除了姓名和联系方式外，其中还包括了信用卡号码等极其隐私的信息，这将会使得消费者面临资金损失的风险。 T-Mobile 公司很快对这一事件做出了回应。公司发言人表示，我们非常重视客户的安全和隐私。一旦发现了这个漏洞，我们的技术团队就立即在努力解决和修正这个故障。他们向用户保证，目前已立即采取措施来缓解漏洞所造成的影响。 安全专家目前已经强调了该事态的紧迫性。网络安全分析师布莱恩-汤普森（Brian Thompson）强调说："这一事件也凸显了强大的网络安全协议的重要性，尤其是对于处理敏感用户数据的公司而言。像 T-Mobile 这样的企业必须对其系统安全保持警惕，防止此类漏洞再次发生。 该漏洞不仅使用户的信息安全面临更大的风险，而且还引发了对 T-Mobile 数据保护措施的质疑。用户非常信任他们的网络服务提供商，将大量个人信息交给他们，而类似事件会削弱客户的这种信任。 T-Mobile 已建议用户将其应用程序更新到最新版本，这其中包含了修复该故障的必要补丁。此外，T-Mobile 还鼓励用户监控账户中的任何异常活动并及时进行报告。 这一事件严酷地提醒我们，在数字时代，数据泄露的威胁无处不在。它强化了公司对网络安全措施进行投资的必要性，以及用户对其个人信息保持警惕的必要性。在这个数据比以往任何时候都更有价值的时代，保护数据对所有人来说都至关重要。

与今天的勒索软件攻击相比，世界上首起勒索软件攻击简直就是小菜一碟。 1989年，出席世界卫生组织（WHO）艾滋病会议的数千名与会者回到家中，结果在自家的邮箱软盘里发现了一份关于感染艾滋病毒可能性的调查问卷，但是他们没有发现任何问题。磁盘其实含有一个程序，用于加密计算机文件的名称。如果这些人想要恢复文件，被告知要向巴拿马的一个邮箱寄去189美元。 几年后，随着互联网兴起、社会向联网数字世界转变以及加密货币问世，勒索软件随之演变。 恶意分子组织起来，勒索软件即服务（RaaS）浮出水面，双重或三重勒索攻击成为常态。 因此，受害者的数量、被索要的金额以及攻击得逞的影响都在飙升。 NCC集团的全球威胁情报团队报告显示，2023年7月的勒索软件攻击多达502起，创下纪录，比2023年6月的434起攻击增加了16%，是2022年7月观察到的勒索软件攻击数量的两倍多。Malwarebytes的《2023年勒索软件状况》报告发现，勒索软件的总数也创下了纪录，一年内仅在美国、法国、德国和英国就发生了1900起攻击，其中美国几乎占了一半。 企业因勒索软件而遭受的损失也在增加。Cybersecurity Ventures预测，到2031年，勒索软件攻击将给受害者造成2650亿美元的损失——与2017年勒索软件受害者支付的50亿美元相比，增幅惊人。 而金钱损失只是勒索软件影响的一部分。除了成本外，组织还面临业务停机、声誉受损以及客户信任度下降等风险。此外，勒索软件具有下游效应，影响到最初攻击甚至没有针对的人员和系统。此外，即使攻击被公开披露，企业为抢救或恢复系统而花费的实际金额（包括支付的赎金以及其他费用）也并不总是公开披露。 因此，量化最严重的攻击可能很棘手。以下是TechTarget编辑部列出的迄今为止10起最具影响力的勒索软件攻击，按字母顺序排列。 1. Colonial Pipeline 勒索软件类型：DarkSide RaaS 攻击者：DarkSide 日期：2021年5月7日 损失：440万美元（追回约230万美元） 针对Colonial Pipeline的攻击，之所以成为最臭名昭著的勒索软件攻击之一，很大程度上是由于它对美国民众的生活造成了影响，居住在美国东南部各州的人突然面临燃气供应短缺问题。 Colonial Pipeline拥有一个从得克萨斯州向东南部输送燃料的管道系统，该公司管理这条管道的计算机系统遭到了勒索软件攻击。DarkSide攻击者通过老式VPN受感染凭据访问了系统。这家公司配合美国联邦调查局（FBI），在攻击发生后数小时内支付了440万美元的赎金。然而由于该公司难以全面恢复运营，影响持续了数天。 包括美国总统拜登在内的联邦和州政府官员在攻击发生后几天发布了紧急声明，以确保燃油能够输送到受影响地区，并限制损失。这起攻击还导致拜登在2021年5月12日发布了一道行政令，以加强美国的网络安全。近一个月后，美国司法部宣布，已缴获用于支付赎金的440万美元比特币中的230万美元。 2. 哥斯达黎加 勒索软件类型：Conti 攻击者：Conti团伙 日期：2022年4月17日 损失：每天3000万美元 Conti勒索软件团伙对哥斯达黎加政府机构发动了一起长达数月的攻击。最初针对财政部的攻击，是利用泄露的凭据在其系统中安装恶意软件。哥斯达黎加科学、创新、技术和电信部以及劳动和社会保障部后来也遭到了攻击。哥斯达黎加政府被迫关闭多个系统，导致政府付款延迟，贸易放缓和停止，服务受到限制。 在攻击发生的第一周内，前总统Carlos Alvarado拒绝支付声称的1000万美元罚款。Conti勒索软件团伙随后泄露了攻击中窃取的几乎所有672GB数据。系统在几个月后才恢复，但在该国新当选的总统Rodrigo Chaves Robles宣布进入紧急状态之前并未恢复。 图1. 勒索软件攻击会袭击形形色色、大大小小的组织，没有一家组织能够幸免。 3. Impresa 勒索软件类型：Lapsus$ 攻击者：Lapsus$ 日期：2022年1月1日 损失：未报告 勒索软件团伙Lapsus$发起了全球最引人注目的勒索软件攻击之一，攻击了葡萄牙最大的媒体集团Impresa。这次攻击导致其所有网站、周报和电视频道统统瘫痪。攻击者还控制了该公司的Twitter帐户，并声称可以访问该公司的AWS帐户。据新闻报道，Impresa证实了这起攻击，但表示勒索软件团伙没有提出赎金要求。 此前曾在2021年底攻击巴西卫生部的Lapsus$发布了一条勒索信息，威胁要公布公司数据。葡萄牙当局称，针对Impresa的攻击是该国有史以来最严重的网络攻击。 4. JBS USA 勒索软件类型：REvil RaaS 攻击者：REvil 日期：2021年5月30日 损失：支付1100万美元赎金 牛肉制造商JBS USA Holdings Inc.在攻击迫使其关闭运营后，用比特币向恶意分子支付了1100万美元的赎金。IT人员最初注意到该公司的一些服务器存在问题，此后不久，该公司就收到了一条索要赎金的信息。JBS旗下的Pilgrim's Pride Corp.也受到了这次攻击的影响，在JBS支付巨额赎金之后，业务运营在几天内就恢复了。 5. Kronos 勒索软件类型：不明 攻击者：不明 日期：2021年12月11日 损失：除了支付赎金外，Kronos在2023年还支付了600万美元以了结Kronos的客户提起的一桩集体诉讼，客户声称该公司在保护系统方面做得不够到位。 Ultimate Kronos Group是一家业务遍布100多个国家的人力管理软件开发商，它在2021年底遭到了针对其私有云的勒索软件攻击。这起事件影响了全球各地的客户，引发了长达数年的连锁反应，并暴露了一起之前起到推波助澜的安全泄密事件。 Kronos在2021年12月11日发现了该勒索软件，但后来确定攻击者早前就侵入了公司的云环境，并窃取了公司数据。那次攻击暴露了该公司许多企业客户的员工数据。因此，这些客户在向员工发放工资时面临中断、延误和错误。 Kronos攻击引发了关于供应商责任的问题，并突显了第三方风险管理的重要性，因为许多组织认识到针对业务合作伙伴的攻击也可能会影响到自己。 6. 马士基 勒索软件类型：NotPetya 攻击者：俄罗斯政府撑腰的黑客疑似参与了攻击 日期：2017年6月27日 损失：约3亿美元 作为全球NotPetya攻击的一部分，丹麦航运巨头马士基遭受了大约3亿美元的损失。恶意软件利用了EternalBlue Windows漏洞，并通过合法财务软件MeDoc的后门进行传播，将该公司锁在了其用于运营全球航运码头的系统之外。作为一种擦除软件，NotPetya旨在加密受感染计算机上的所有文件，并且完全擦除或重写这些文件，使它们无法恢复——即使通过解密也恢复不了，从而造成最大程度的危害，马士基用了两周时间才恢复了计算机运营。 7. 瑞士空港公司（Swissport） 勒索软件类型：BlackCat RaaS 攻击者：BlackCat 日期：2022年2月3日 损失：航空服务中断，财务方面的数据未报道 提供机场地面和货物处理服务的瑞士空港公司（Swissport）在2022年2月宣布，其系统遭到了勒索软件攻击。这起事件的影响比较小，在瑞士空港公司恢复系统之前，仅延误了少量航班。该公司表示，它在24小时内遏制住了一起事件。然而，勒索软件团伙BlackCat很快表示，它不仅加密了这家公司的文件，还窃取了该公司1.6 TB的数据打算出售，这是一起典型的双重勒索攻击。 8. 通济隆（Travelex） 勒索软件类型：REvil RaaS 攻击者：REvil 日期：2019年12月31日 损失：支付了230万美元赎金，该公司在2020年被迫进入破产管理程序，部分原因就是这起攻击。 在遭到REvil勒索软件团伙的攻击时，通济隆是全球最大的外汇管理局。攻击者利用了Pulse Secure VPN服务器的一个已知漏洞，渗入到该公司的系统中，并加密了5GB的数据。他们索要600万美元的赎金，后来通过谈判降到了230万美元。 这次攻击使该公司的内部系统瘫痪了近两周，财务受到极为严重的影响，最终迫使该公司在2020年进入破产管理程序。 9. 英国国民保健署（NHS） 勒索软件类型：WannaCry 攻击者：与朝鲜有关 日期：2017年5月 损失：9200万英镑（约合1亿美元） 全球各地的公司都受到了2017年春季开始的WannaCry勒索软件攻击的影响。WannaCry是第一个利用Windows系统中EternalBlue漏洞的勒索软件。 英国国民保健署（NHS）是最主要的WannaCry受害者之一，英格兰和苏格兰的多家医院、全科医生和药店都受到了影响，NHS机构被迫推迟和转移医疗服务。据报道，没有与这次攻击直接相关的死亡事件。 10. 乌克兰 勒索软件类型：NotPetya 攻击者：美国中央情报局声称俄罗斯的GRU军事间谍机构是攻击者 日期：2017年6月27日 损失：全球估计达100亿美元 据网络安全软件公司ESET的研究人员声称，虽然60多个国家受到了影响，但2017年6月最初的全球性NotPetya攻击主要针对法国、德国和乌克兰三国的受害者，而乌克兰更是遭到了约80%的攻击。除了私营公司和电力公司运营的网络受到影响外，乌克兰的计算机系统也受到了影响。前面提到的马士基勒索软件攻击也是这一系列攻击的一部分。

微软针对网络犯罪分子开展的一项新的钓鱼活动发出了警告。该攻击利用了 Teams 消息作为诱饵，潜入企业网络内收集敏感的数据。 在谷歌威胁情报团队的控制下，该犯罪分子被命名为 Storm-0324，并以 TA543 、Sigrid或者别名 Storm-0324 进行密切监控。微软的安全研究人员注意到，Storm-0324 这个有经济犯罪动机的网络组织已经开始使用 Teams 来锁定潜在的受害者，他们认为这是一种很容易访问受害者计算机系统的手段。 作为网络经济犯罪中的有效载荷分发者，Storm-0324 提供的服务可以规避感染链，并以此传播用于攻击的各种有效载荷。本研究发现恶意软件类型多种多样，其中包括下载器、银行木马、勒索软件以及各种模块化的工具包，如 Nymaim、Gozi、TrickBot、IcedID、Gootkit、Dridex、Sage、GandCrab 和 JSSLoader。 攻击者过去曾使用以发票和付款单作为诱饵的电子邮件，诱骗用户下载带有 JSSLoader 的 ZIP托管文件，JSSLoader 是一种恶意软件加载器，能够在受感染的机器上配置和加载额外的有效载荷。 据微软称，Storm-0324 也是一个恶意软件分发者，并为其他的恶意软件作者分发有效载荷。该团伙采用了各种规避策略，并利用付款和发票引诱受害者上当。事实证明，该团伙曾为 FIN7 和 Cl0p 这两个著名的俄罗斯网络犯罪团伙分发过恶意软件。 据发现，Storm-0324 还负责在 Teams 上传播网络钓鱼诈骗。网络犯罪分子利用 TeamsPhisher 来扩大网络钓鱼攻击的规模，它允许团队租户将文件附加发送给外部租户的消息内。 攻击者向受害者发送链接，引导他们访问托管的恶意 SharePoint 文件。微软此前曾表示，导致这些攻击的 Microsoft Teams 漏洞尚未达到立即修复的程度。 企业管理员可以通过修改安全设置，只允许某些域与员工进行通信，或者让租户无法与员工在其办公场所以外的地方进行联系，这样可以最大限度地降低这种风险。 此外，微软还解释说，目前它已进行了多项改进，确保自己免受此类威胁，并提高防御能力。他们还增强了 Teams 一对一聊天中的 "接受/阻止"（Accept/Block）功能，并冻结了存在欺诈行为的账户和租户。 通过这种方式，可以提醒团队用户注意电子邮件地址是否合法，从而在与未知的或恶意发件的人进行交互时更加的谨慎，避免与这些用户进行交互。此外，微软还增强了租户管理员在租户中创建新域时的通知功能，这可以使他们能够监控这些租户是否已经创建了新的域。 据悉，该组织在其网络钓鱼攻击中利用了先前被入侵的 Microsoft 365 实例（其中大部分属于小型企业）来创建新域，不过这些新域看起来像是小型企业的技术支持帐户。 然后这些人随后会被该攻击者说服，批准攻击者通过Teams消息发起的多因素身份验证提示，使用已重命名并用于设置实例的新 onmicrosoft.com 子域。 如果目前用户没有创建自定义的域名，Microsoft 365 就会使用 onmicrosoft.com 域名作为后备域名。为了提高以技术支持为主题的信息的可信度，攻击者通常会在这些子域名中使用安全术语或特定产品名称作为诱饵。

2023年9月，根据中国国家计算机病毒应急处理中心通报，在会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击事件过程中，提取出名为“二次约会”的间谍软件样本。 调查发现，除西北工业大学外，美国还长期对国内多个网络目标实施了高达上万次的恶意网络攻击。 美国情报机关攻击华为总部长达14年之久，早在2009年起，美国特定入侵办公室（TAO）就开始入侵华为总部的服务器，并持续开展监控。 据报道，2009年初美国国安局的一个特别小组，成功渗透进了华为公司的计算机网络，并复制超过1400位客户资料和工程师使用的内部培训文件。他们不但窃取了华为的电子邮件存档，还获得个别华为产品的源代码，企图获取华为内部信息的同时，并试图植入后门程序到华为设备中，以便对华为用户进行监控和窃密。 美国国安局之所以渗入华为的深圳总部，因为该公司通过总部处理每个员工的邮件往来，所以从2009年1月起美国就读取了该公司很大一部分员工的电子邮件——包括当时的总裁任正非和董事长孙亚芳的邮件。 随着数字化时代的来临，网络安全防范和风险将是一个永恒的话题。在个人上，用户的计算机终端、移动互联网终端都存在随时被攻击的可能，极大程度会导致个人信息和隐私的泄露，稍有不慎，还会造成经济损失；对企业来说，安全的网络环境不仅是企业经济良好循环的基础，更极大程度上影响着企业的正常运行；在政府层面，如学校、医院、数据中心、交通设施等一旦遭受网络攻击，如若不及时加以控制，必然造成地区动荡，引发恐慌。 习近平总书记在十九届中央政治局第十二次集体学习时讲到“没有网络安全就没有国家安全，就没有经济社会的稳定运行，广大人民群众的利益也难以得到保障”。 在信息化时代，网络安全对国家安全而言牵一发而动全身，因此网络安全的风险防范意识必须加强！ 随着云计算、物联网、大数据、5G等新型技术的兴起，使得网络信息安全边界感不断被弱化，网络安全面临此情形，除了国家网络安全政策的紧密出台，个人网络安全防护意识的增强，中国网络安全行业必须要加快突破网络安全关键技术难题，提高安全防护能力，通力合作，共同筑牢国家网络安全防线。

Signal在端到端加密消息协议中加入抗量子加密算法。 Signal 是由Signal 公司推出的一款以隐私为核心的即时通信软件，使用强大的端到端加密（E2EE）加密功能来确保通信的私密性，用户发送的任何文字、视频和图片都会进行端对端加密。 量子计算机使用量子比特，用户通过量子计算机可以在很短时间内完成本来需要多年的计算。虽然目前量子计算机尚未应用于攻击，大公司已经在采取措施向抗量子的加密算法迁移。近日，Signal 宣布将升级其使用的端到端通信协议来使用抗量子的加密密钥来保护用户免受未来的潜在攻击。 Signal 使用端到端加密来保护通信双方，主要的威胁在于加密的通信可能会被拦截并解密，暴露通信的内容。升级前，Signal使用"X3DH" (Extended Triple Diffie-Hellman，扩展三方DH)密钥协商协议。升级后，Signal使用"PQXDH" (Post-Quantum Extended Diffie-Hellman，后量子扩展三方DH)密钥协商协议，其中融入了抗量子的密钥生成机制。PQXDH 使用XD3H的椭圆曲线密钥协商协议和抗量子的密钥封装机制CRYSTALS-Kyber。 CRYSTALS-Kyber是NIST批准的抗量子密码学算法，适用于普通加密和需要少量加密密钥快速交换的操作。Signal称CRYSTALS-Kyber有坚实的安全基础，此外也不想将现有椭圆曲线加密替换为后量子的公钥加密系统，而是增强现有加密系统使得攻击者比如攻破两重系统才能计算出密钥以保护用户通信。 Signal 强调向PQXDH的过渡只是实现抗量子的E2EE的第一步，未来还将进行更多升级以填补数据安全的不足以及挑战。 更多关于PQXDH参见：https://signal.org/blog/pqxdh/

受影响的平台：Windows 受影响方：任何组织 影响：远程攻击者窃取凭据、敏感信息和加密货币 严重性级别：严重 8月，FortiGuard实验室捕获了一份Word文档，其中包含一个恶意URL，旨在引诱受害者下载恶意软件加载程序。该加载程序采用二进制填充逃避策略，添加空字节以将文件大小增加到400MB。该加载程序的有效负载包括用于密钥记录和密码恢复的OriginBotnet，用于加密货币盗窃的RedLine Clipper和用于获取敏感信息的AgentTesla。 下图展示了全面的攻击流程，我们会在本文研究该文件如何部署的各个阶段，深入研究其传播恶意软件的细节。 攻击流程 文件分析 钓鱼电子邮件将Word文档作为附件发送，故意呈现模糊的图像和伪造的reCAPTCHA以引诱收件人点击它。点击会激活文件“\Word_rels\document.xml.rels”中嵌入的恶意链接，如下图所示。 Word文档 恶意URL 加载程序分析 初始加载程序是从https://bankslip[.]info/document/scancop20233108[.]exe获取的。此文件是用.NET编写，用于解密“HealthInstitutionSimulation.Properties.Resources.Resources”中的“Main_Project”资源数据。它使用字符串“WdxDFWxcf09WXfVVjLwKKcccwnawf”的异或操作，然后使用“Activator.CreateInstance()”来执行解码的信息。解码过程如下图所示。 解码“scancop20233108.exe”中的资源数据 第二阶段使用带有入口点的“Main Project.dll”，如下图所示。在此阶段，代码在“Delation()”中启动“Sleep()”函数，并通过“Moschop()”函数建立持久性。 “Main Project.dll”的入口点 然后，它加载Base64编码的字符串，并使用AES-CBC算法进行解密，检索PowerShell命令，如下图所示。为了确保持久性，它会将EXE文件复制到目录“%AppData%\Microsoft\Windows\Start Menu\Programs\Startup”目录下的文件名为“audacity.exe.exe”中，以确保即使受害者重新启动设备，该文件也会自动运行。 “Main Project.dll”中用于持久性的PowerShell命令 然后，它使用命令“GetType（'I.L'）.GetMethod（'U'）”从DLL中调用一个方法，该方法是从标记为“DataPresent”的资源中解密的。该方法被传递到第三阶段有效负载，使用AES-ECB算法从标记为“Moss”的资源中的数据解密，如下图所示。 在“Main Project.dll”中加载解密的有效负载 第三个阶段使用“scancopper464799413.exe“，这是另一个.NET可执行文件。它使用“Activator.CreateInstance（）”方法生成一个从资源“rumdisestination.dat”解码的实例，有效地触发了第四阶段文件“cargomind.dll”的执行。然后，它使用带有两个参数的“CreateInstance()”方法：实例化的对象类型和要传输到创建对象的参数数组。 “scancopp4647979413.exe”的入口点 第四阶段由DLL文件“cargomind.DLL”表示，其入口点如下图所示。它包括三个Base64编码字符串，用于后续操作。如下图所示，“Deserialize（）”函数负责解码这些字符串，解析每个选项的键值对，并最终返回一个字典。 “cargomind.dll”的入口点 解析数据的函数 下图显示了从“list2”中获得的结果。它揭示了三个任务的存在，每个任务包括六个不同的选项。 “cargomind.dll”中的任务 让我们详细了解“list2[0]”中的选项： 1.“u”: URL指定为https://softwarez[.]online/javau[.]exe； 2.“k”代表“d”表示下载动作，如下图所示； 3.“df”：文件目录，其中“ad”表示ApplicationData文件夹（%appdata%），相关函数为“ConstructPath（）”，如下图所示。 4.“sf”：子文件夹，表示为“Java”； 5.“fn”：文件名，标识为“javau.exe”； 6.“e”：执行状态，其中“y”表示“是”，并使用“Process.Start”触发下载文件的执行。 选项“k”的函数 构建文件路径的函数 对于“list2”中剩下的两个任务，操作被设置为“b”。因此，它调用“ExecuteBinder（）”函数来解码“r_k”选项中指定的数据，如下图所示。此上下文中的目标文件是“newcrisp.dat”和“background.dat”，它们都来自前一阶段的资源部分“scancopp4647779413.exe”，如下图所示。 解码有效负载的函数 “scancopp4647779413.exe”中的资源数据 恶意软件分析——RedLine Clipper 初始恶意软件源自URLhttps://softwarez[.]online/javau[.]exe。它是一个.NET可执行文件，该文件已使用SmartAssembly打包。在破译资源数据后，我们发现了最终的有效负载“RedLine-Clifper”，如下图所示。 “javau.exe”中的解码数据 RedLine Clipper（SHA256:4617631b4497eddcbd97538f6712e06fabdb53af3181d6c1801247338ffaad3），也被称为ClipBanker，专门通过操纵用户的系统剪贴板活动，用攻击者的地址替换目标钱包地址来窃取加密货币。 受攻击版本支持加密货币，包括比特币、以太坊、狗狗币、莱特币、达世币和门罗币。通过不断监控剪贴板中复制的硬币钱包地址，而达成目的。这通常是漫长而复杂的，也使得手动输入不切实际。当在剪贴板上检测到钱包地址时，RedLine Clipper会秘密更改地址以匹配攻击者的钱包地址。 通常，加密货币钱包地址遵循特定格式，但由于其复杂性，用户经常在交易过程中复制和粘贴它们。因此，如果钱包地址在此阶段被篡改，打算向特定钱包发送资金的用户可能会无意中将资金存入攻击者的钱包。 为了执行此操作，RedLineClipper使用“OnClipboardChangeEventHandler”定期监控剪贴板的更改，并验证复制的字符串是否符合下图中所示的正则表达式。值得注意的是，攻击者针对该方案中所有受支持的加密货币（六种）。 密钥化的RedLine Clipper RedLine Clipper的Run()函数 恶意软件分析——Agent Tesla 第二个文件是Agent Tesla变体，存储为“COPPER.exe”（SHA256:c241e3b5d389b227484a8baec300e6c3e262d7f7bf7909e36e312dea9fb82798）。该恶意软件可以记录击键，访问主机的剪贴板，并进行磁盘扫描以发现凭据和其他有价值的数据。此外，它可以通过各种通信渠道，包括HTTP（S）、SMTP、FTP，将收集到的信息传输到其指挥控制（C2）服务器，甚至将其发送到指定的Telegram渠道。 为了确保其持久性，恶意软件将自我复制到“%AppData%\EbJgI\EbJg I.exe”位置，并在系统注册表中建立自己的自动运行条目，如下图所示。此外，它还汇编了受害者设备上安装的特定软件的列表，包括web浏览器、电子邮件客户端、FTP客户端等，如下图所示。 Agent Tesla中的文件副本 Agent Tesla中的注册表设置 目标软件的部分列表 此特定版本的Agent Tesla使用SMTP作为其C2连接协议。你可以在下图中看到流量会话的详细信息。 Agent Tesla的C2连接 恶意软件分析——OriginBotnet 第三个文件OriginBotnet存储为“david.exe”（SHA256:be915d601276635bf4e77ce6b84feeec254a900c0d0c229b0d00f2c0bca1bec7）。它以其名称空间命名，如下图所示。OriginBotnet具有一系列功能，包括收集敏感数据，与C2服务器建立通信，以及从服务器下载其他文件，以便在受损设备上执行键盘记录或密码恢复功能。 OriginBotnet的入口点 最初，OriginBotnet扫描正在运行的进程，以确定它是否已经在环境中处于活动状态。 检查过程 然后，它初始化其设置并收集有关的受害者设备的基本信息，如已安装的杀毒产品、CPU、GPU、国家/地区、操作系统名称和用户名等，如下图所示。一旦收集到系统信息，恶意软件就会连接到位于https://nitrosoftwares[.]shop/gate的C2服务器。 OriginBotnet的设置 下图显示了负责传输消息的函数。通信是通过使用名为“p”的参数的POST请求进行的。POST数据受到TripleDES加密(在ECB模式下，使用PKCS7填充)，随后以Base64格式编码。TripleDES的加密密钥存储在HTTP标头的“x-key”字段中。此外，Content-Type和User-Agent值被硬编码为“application/x-www-form-urlencoded”和“Mozilla/5.0 (Windows NT 10.0;Win64;x64;rv:99.0) Gecko/20100101 Firefox/99.0”。 向C2服务器发送消息的函数 OriginBotnet的C2连接 解密消息 在接收到来自C2服务器的“OK”信号后，OriginBotnet进入等待状态，并继续解析传入的C2命令。处理这些命令的过程如下图所示。可用的命令包括“downloadexecute”、“uninstall”、“update”和“load” 处理C2命令的函数 如果受害者收到“downloadexecute”或“update”命令，恶意软件将继续解析其他参数，包括URL。然后，它直接从指定的URL下载补充文件并执行。根据文件的扩展名(.exe、.msi或.java)选择适当的执行方法。这可能涉及使用“Process.Start”或调用“msiexec.exe/I”或“java.exe-jar”等命令，如下图所示。 当收到“uninstall” 命令时，OriginBotnet会调用“MoveFile”将文件重新定位到临时文件夹中。 下载和执行函数 最后一个命令“load”从C2服务器检索插件。POST会话和该特定请求的解码数据如下图所示。在这种情况下，有两个插件可用于OriginBotnet：键盘记录和密码恢复。插件DLL文件在“bytes”参数中作为Base64编码的字符串传输。此操作的处理函数如下图所示。 请求插件的消息和解码数据 处理插件的函数 Keylogger插件(SHA256: c204f07873fafdfd48f37e7e659e3be1e4202c8f62db8c00866c8af40a9a82c5)旨在秘密记录和记录在计算机上执行的每个按键以及监控用户活动。它使用诸如“SetWindowsHookEx”之类的技术来捕获键盘输入事件，以及“GetForegroundWindow”来确定用户正在工作的活动窗口。它还通过“SetClipboardViewer”将标签保存在剪贴板文本内容上。被盗的文本文件使用类似于Agent Tesla的格式，如下图所示。 用于启动键盘挂钩的API 获取前景窗口 复制文本的日志格式 PasswordRecovery插件（SHA256:56ced4e1abca685a871b77fab998766cbddfb3edf719311316082b6e05986d67）检索并组织各种浏览器和软件帐户的凭据。它记录这些结果，并通过HTTPPOST请求进行报告。其主要功能如下图所示。该插件旨在针对以下浏览器和软件应用程序： 1.Chromium浏览器：Opera、Yandex、Iridium、Chromium、7Star、Torch、Cool Novo、Kometa、Amigo、Brave、CentBrowser、Chedot、Orbitum、Sputnik、Comodo Dragon、Vivaldi、Citrio、360浏览器、Uran、Liebao、Elements、Epic Privacy、Coccoc、Sleipnir 6、QIP Surf、Coowon、Chrome和Edge Chromium。 2.其他浏览器：Firefox、SeaMonkey、Thunderbird、BlackHawk、CyberFox、K-Meleon、IceCat、PaleMoon、IceDong、Waterbox、Postbox、Flock、IE、UC、Safari for Windows、QQ浏览器和Falkon浏览器。 3.电子邮件和FTP客户端：The Bat!, Becky!, IncrediMail, Eudora, ClawsMail, FoxMail, Opera Mail, PocoMail, eM Client, Mailbird, FileZilla, WinSCP, CoreFTP, Flash FXP, FTP Navigator, SmartFTP, WS_FTP, FtpCommander, FTPGetter。 4.其他：OpenVPN, NordVpn, Private Internet Access, Discord, Paltalk, Pidgin, Trillian, Psi/Psi+, MySQL Workbench, Internet Downloader Manager, JDownloader 2.0, \Microsoft\Credentials\, RealVNC, TightVNC。 PasswordRecovery的主要函数 总结 FortiGuard实验室发现的这场网络攻击活动涉及一系列复杂的事件。它始于一个通过网络钓鱼电子邮件传播的恶意Word文档，导致受害者下载一系列恶意软件有效负载的加载程序。这些有效负载包括RedLine Clipper、Agent Tesla和OriginBotnet。 这次攻击展示了逃避检测并在受攻击系统上保持持久性的复杂技术。

微软AI研究部门在发布开源模型时意外泄露38 TB训练数据。 事件分析 近日，云安全公司Wiz研究人员发布了关于微软人工智能研究部门员工意外泄露38 TB数据的研究报告。报告称微软员工在发布开源训练数据时，意外分享了一个包含有泄露的信息的错误配置的Azure Blob存储桶（storage bucket）的URL，其中包含38 TB的人工智能训练数据，这些数据本身是用作迁移学习训练的。 数据泄露的原因是使用了权限过大的Shared Access Signature (SAS) token。SAS token可以用于Storage的访问权限设置，可以实现对分享的文件的完全控制。SAS token正确使用可以对存储资源提供一种安全的授权访问方式。其中包括对客户端数据访问的精准控制，指定可以交互的资源，定义与资源相关的权限，确定SAS token的有效时间。 SAS token很难监控，因为微软并未在Azure中提供一种中心化的管理方式。由于缺乏监控和管理，SAS token也会带来安全风险。因此需要对其的使用需要尽可能地限制。此外，token还可以被配置为永久有效，因此使用账户SAS token进行外部分享是不安全的。 暴露的数据包括微软员工的个人信息备份，包括微软服务的密码、安全密钥、来自359名微软员工的超过3万条Teams消息。 9月18日，微软称没有客户数据暴露，该安全事件也不影响其他内部服务。 时间轴 该安全事件的时间轴如下： 2020年7月20日，SAS token首次提交到GitHub，过期时间设定为2021年10月5日； 2021年10月6日，SAS token过期更新为2051年10月6日； 2023年6月22日，wiz研究人员将该问题报告给微软； 2023年6月24日，SAS token被微软设置为无效状态； 2023年7月7日，GitHub上的SAS token被替换； 2023年8月16日，微软完成内部调查； 2023年9月18日，wiz公开研究报告内容。 完整技术报告参见：https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

此次网络攻击迫使美高梅酒店集团（MGM Resorts）关闭了旗下所有的酒店系统。在周日大部分时间里，美高梅的大部分内部网络都处于关闭状态，而这正值其拉斯维加斯大道上的酒店和赌场（如 Bellagio、Aria 和 Cosmopolitan）盛大开业的前一天晚。 由于此次技术故障，公司旗下酒店和赌场的自动取款机也出现了大面积的中断，客人们也反应说他们的客房数字钥匙卡和电子支付系统出现了很多的问题。 总部位于俄亥俄州的网络安全公司 TrustedSec 的网络安全专家说："美高梅是一家庞大的公司，但每周都有无数中小型企业成为勒索软件的受害者，并且这一般不会成为头条新闻。 据该公司在周一称，近期受到网络攻击，影响了部分系统的使用，迫使该公司关闭了部分系统，并且这些系统归美高梅公司所有。该公司在全球拥有二十多家酒店和赌场，还有一个在线体育博彩部门。据一些报道指出，在接下来的几天里，从酒店房间钥匙到游戏机，所有东西都无法使用，并且该公司的部分物业也暂时被迫下线，包括其网站。 由于该公司目前一直努力保证用户能得到访问反馈，已经从电子系统转向了人工系统，因此当公司进入人工模式后，客人们也感到非常的困惑。目前美高梅度假村没有对置评请求做出任何回应，有在 Twitter/X 上含糊地提及了网络安全问题，向游客保证公司目前正在努力的解决这一问题，并且度假村不会受到任何干扰。 美高梅可能遭到 " Scattered Spider"的攻击 据报道，一个名为 "Scattered Spider "的组织使用了 ALPHV 或 BlackCat 开发的勒索软件，这是一种被称为 "勒索软件即服务"（ransomware-as-a-service）的勒索软件。 Scattered Spider 攻击是社会工程学攻击的结果，攻击者会通过假冒与受害者有关系的人和组织，试图操纵他们执行某些操作。 黑客尤其擅长进行"网络钓鱼"，即通过电话而不是更传统的网络钓鱼方式，让人们更加信服地访问计算机系统。ALPHV 等黑帽攻击者目前在网络安全行业已非常知名，他们近来还对 Reddit 和 Western Digital 等公司发动了破坏性攻击。 2022年4月，美国网络安全机构 CISA 根据联邦调查局发布的 Flash 报告中的信息上，对 ALPHV 发出了警报，指出该犯罪团伙已经入侵了全球至少 60 个实体。美高梅公司和联邦调查局都没有公开说明此次安全漏洞事件的性质，美高梅公司也没有回应《福布斯》就此次安全漏洞事件提出的多次评论请求。 在调查过程中，联邦调查局证实他们已经参与到了其中。据悉，" Scattered Spider " 成员的年龄在 18 到 20 岁之间，他们可能在欧洲，也可能在美国，可能会说流利的英语，因此他们的网络钓鱼要比那些操俄语口音、只懂基本语言的人打来的电话更有说服力。 黑客似乎在 LinkedIn 上获取了其中一名员工的个人信息，并冒充他们试图从美高梅的 IT 支持台获取凭证，从而进行访问并感染系统。 在其中一份财经报纸的报道中，一名自称是该组织代表的人说，该组织已经窃取并加密了美高梅公司的数据，同时还要求交付加密货币赎金。据该公司代表称，这是目前的备用计划；最初，该组织曾计划入侵公司的游戏机，但他们还无法实现这一目标。 网络安全专家称，尽管此次攻击是否是ALPHV发起的尚未得到证实，但 VX-underground 可能是这次攻击的可信来源。据 VX-underground 报道，Scatter Spider 使用社会工程学作为入侵美高梅的手段，并且据称黑客在 LinkedIn 上找到了一名员工，并致电其服务台以获得账户访问权。

拼写错误、奇怪的语法、紧急或威胁的语言、缺乏上下文——所有这些都是网络钓鱼攻击的常见特征。然而，一些精心布局的网络钓鱼威胁通常很难被发现，因为它们往往涉及攻击者的大量时间投入以及详尽细致的计划，他们甚至会仔细检查目标过去的通信，以增加攻击成功的可能性。 在大规模欺诈活动中，骗子常用的一种策略是利用当前的热门事件。例如，一封看似来自英国国家卫生服务机构提供免费COVID-19检测的电子邮件，实际上是一种通过虚假表格获取受害者个人详细信息的方式。 成为骗局的受害者只需要片刻的时间，即使是IT专业人士也不能免于这种风险。你可能会收到一封看似无害的电子邮件，其中包含一个链接引诱你进行点击。但是，如果在这样做之后，一种不安的感觉席卷了你，你意识到这一切都是一个骗局，那么你有什么自救选择？ 十步自救法 下面有一些建议，告诉你“上钩”后应该怎么做以最大限度地降低威胁。 1. 不提供进一步的信息 假设你收到一封来自在线商店的电子邮件，虽有一丝怀疑，但或者只是出于好奇，你还是选择点击了附带的链接。这个链接会把你重定向到一个看似合法的网站，但你的脑海中仍萦绕着疑虑。 这种情况下，最直接的方法是不要分享任何额外的信息——不要输入你的凭据或提供你的银行账户详细信息等。如果诈骗者只是想获取你的数据，而没有用恶意软件危害你的设备，那么你很有可能躲过这一劫。 2. 断开设备与互联网的连接 一些网络钓鱼攻击可能会助力骗子侵入你的电脑、移动电话或其他设备。他们可能会部署恶意软件，收集有关你及设备的信息，或者获得对受损设备的远程控制。 为了减轻损失，必须迅速采取行动。首先断开受感染设备与互联网的连接。如果你用的是有线连接的电脑，只要把网线从电脑上拔下来即可。如果通过Wi-Fi连接，在设备设置中关闭它，或者打开设备的“飞行模式”功能。 3. 备份数据 断开与互联网的连接将阻止更多的数据被发送到恶意服务器，但你的数据仍然处于危险之中。你应该备份你的文件，主要是敏感文件或那些具有高个人价值的文件，如照片和视频等。 然而，在数据被入侵后进行备份是有风险的，因为它们可能已经遭到恶意软件入侵。所以，很有可能你会把恶意软件和你的私密照片一起备份。 相反地，你应该定期并先发制人地备份你的文件。如果恶意软件攻击了你的设备，你可以从外部硬盘驱动器、U盘或云存储服务中恢复数据。 4. 对恶意软件和其他威胁进行扫描 使用信誉良好的供应商提供的反恶意软件对你的设备进行全面扫描，同时仍保持设备与互联网断开连接。 理想情况下，你还可以使用专业且信誉良好的扫描仪运行第二次扫描。将扫描仪下载到电脑或一个单独的设备（如USB硬盘驱动器），然后将其插入到受损的电脑，并从那里安装软件。 记住，在扫描过程中不要使用设备，静待结果。如果扫描器发现可疑文件，按照说明删除它们。如果扫描过程没有发现任何潜在的风险，但你仍有疑问，请及时联系你的安全供应商。如果你还没有使用任何具有反网络钓鱼功能的多层反恶意软件，是时候给自己安排一个了！ 5. 考虑出厂重置 出厂重置是指通过删除所有已安装的应用程序和文件，将手机恢复到初始状态。然而，某些类型的恶意软件即使在完全重置后也会在您的设备上持续存在，但清除你的移动设备或计算机可能会成功消除任何威胁。记住，出厂重置是不可逆的，并且会擦除本地存储的所有数据。由此可见，定期备份的重要性再怎么强调都不为过。 6. 重置密码 网络钓鱼邮件可能会欺骗你泄露自己的敏感数据，如身份证号码、银行和信用卡详细信息或登录凭据等。落入骗子网里的都是“鱼”！即便你不提供自己的详细信息，但如果你的设备上安装了恶意软件，它也可能会追踪到你。 如果你意识到这种情况，主要表现为网络钓鱼邮件要求你提供一个特定的登录名时——例如，以Linkedin为主题的骗局——你应该立即更改自己的登录凭据，如果你在多个账户（如电子邮件、网上银行和/或社交媒体）中重复使用相同的密码，那么就更应该这样做。 这些情况突出了为不同的在线服务使用唯一用户名和密码的重要性。在不同的帐户中使用相同的凭据会使攻击者更容易窃取你的个人数据或资金。 7. 联系银行、权威机构和服务提供商 如果你已经输入了银行/信用卡详细信息或访问在线银行网站的登录详细信息，请立即通知银行机构并将信用卡冻结处理，以防止潜在的欺诈，并尽量减少任何经济损失。记得检查一下你的银行（或其他受损的支付服务）是否有针对诈骗受害者的退款政策。 为了避免其他人落入这个骗局，你也应该联系当地政府并通知信用机构，以免因欺诈而登上失信名单。 8. 发现可疑更改 成功侵入你的设备或账户的犯罪分子可能会尽可能长时间地“潜伏”其中。他们可能会更改你的登录信息、电子邮件地址、电话号码或任何可以帮助他们巩固在你帐户中的立足点的东西。 建议查看你在社交媒体账户、银行信息和网上购物订单历史上的活动。例如，如果你发现任何付款记录不对劲、不熟悉或未经授权，上报该信息，更改登录凭据并要求退款。 9. 搜索无法识别的设备 如果黑客窃取了你的账户信息，他们很可能会试图从自己的设备上进行登录。大多数社交媒体平台都会在隐私设置下记录你当前的登录会话。去检查它，并强制登出任何未知设备。 10. 通知你的朋友、联系人、服务提供商和雇主 有时骗子会利用你的联系人列表来传播网络钓鱼链接或垃圾邮件。要注意这一点，并采取措施防止其他人落入同样的骗局。 如果网络攻击与你的工作账户或雇主发放的设备有关，请遵循公司处理网络事件的规定，并立即向你的经理和IT部门报告。主要的电子邮件服务，如Outlook或Gmail，也提供了直接从你的收件箱报告网络钓鱼邮件的工具。 结语 “上钩”并点击一个网络钓鱼链接可能会让你感到羞耻，甚至感到震惊，但不可否认，这种威胁永远都是常见的。事实上，仅在美国，每年就有数十万人发生这种情况，而且这个数字还在继续攀升。如果你能够保持冷静并遵循上面的建议，你就能够领先于威胁，并最大限度地降低潜在损失。

2023年朝鲜黑客组织Lazarus已窃取超过3.1亿美元的数字货币。 近年来，朝鲜黑客组织Lazarus已成为影响Web 3社区最严重的APT组织。2022年，Lazarus组织造成了至少7.5亿美元的损失，占2022年加密货币领域被窃总额的20%。CertiK分析了2023年五起主要的加密货币攻击事件，包括Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx，造成了2.913亿美元的损失。 美国FBI分析发现，针对Stake的恶意操作最终溯源到了Lazarus黑客组织。此外，CertiK的调查也分析了Atomic Wallet、Alphapo、CoinsPaid、Stake.com和 CoinEx的链上关联。简要的交易流图如下所示： 在Stake.com被黑事件中，资金转移到了地址为0x9D5的以太坊钱包，然后转移到了0x22b以太坊钱包。该钱包之前也接收了Tron网络Alphapo利用的资金。随后，黑客使用Transit Swap将ETH兑换为TRX。Atomic钱包被黑时，资金也直接转到了地址0x22b。 7月22日，CoinsPaid和Alphapo遭遇网络安全攻击，分别造成价值3700万美元和2300万美元的损失。私钥被窃是漏洞产生的主要原因。黑客在从CoinsPaid窃取资产过程中，通过中继EOA TJ6k7a和TNMW5i将资金从Tron EOA TUGFXf转移到了EOA账户TGGMvM。 图 资金通过TJF7md发送给了EOA TGGMvM 而TNNW5i与Alphapo有关，涉及TRX 到EOA TJXXme的交易。这些交易的关联表明，攻击事件与Lazarus黑客组织有关。

一个名为“Dragon Breath”、“Golden Eye Dog”或“APT-Q-27”的高级持续性威胁（APT） 黑客组织如今向世人展示了一股新趋势，即使用典型的DLL侧加载技术的多种复杂变体来逃避检测。 这些攻击变体始于一条初始途径，该途径利用了一个干净的应用程序（最常见的是Telegram），侧加载第二阶段的攻击载荷（有时也是干净的），第二阶段的攻击载荷进而侧加载恶意软件加载程序DLL。 吸引受害者的诱饵是沦为木马的Telegram、LetsVPN或WhatsApp应用程序，这些适用于安卓、iOS或Windows的应用程序据称针对中国网民进行了本地化处理。沦为木马的应用程序被认为是使用BlackSEO或恶意广告进行推广的。 据密切关注这伙威胁分子近期攻击的Sophos分析师声称，这起活动的目标范围集中在中国、日本、中国台湾、新加坡、中国香港和菲律宾讲中文的Windows用户。 图1. 普通攻击示意图（图片来源：Sophos） 双DLL侧加载 DLL侧加载是一种自2010年以来就被攻击者利用的攻击技术，利用Windows加载应用程序所需要的DLL（动态链接库）文件的不安全方式大搞破坏。 攻击者在应用程序的目录中放置一个与所需的合法DLL同名的恶意DLL。当用户启动该可执行文件时，Windows优先考虑本地恶意DLL，而不是系统文件夹中的合法DLL。 攻击者的DLL包含在此阶段加载的恶意代码，通过利用加载它的受信任、经过签名的应用程序，为攻击者提供特权或在主机上运行命令。 在这起活动中，受害者执行上述应用程序的安装程序，而安装程序会在系统上投放组件，并创建桌面快捷方式和系统启动条目。 如果受害者尝试启动新创建的桌面快捷方式（这是威胁分子预料的第一步），而不是启动应用程序，以下命令就在系统上执行。 图2. 在被攻击系统上执行的命令（图片来源：Sophos） 该命令运行重命名版本的“regsvr32.exe”（“appR.exe”），以执行重命名版本的“scrobj.dll”（“appR.dll”），并提供一个DAT文件（“appR.dat”）作为其输入。该DAT文件含有由脚本执行引擎库（“appR.dll”）执行的JavaScript代码。 JavaScript代码在前台启动Telegram应用程序用户界面，同时在后台安装各种侧加载组件。 接下来，安装程序使用干净的依赖项（“libexpat.dll”）加载第二阶段的应用程序，进而加载第二个干净的应用程序作为中间攻击阶段。 在攻击的一种变体中，干净的应用程序“XLGame.exe”被重命名为“Application.exe”，而第二阶段加载程序也是一个干净的可执行文件，已由北京百度网讯科技有限公司签名。 图3. 第一个攻击变体示意图（图片来源：Sophos） 在另一种变体中，第二阶段的干净加载程序是“KingdomTwoCrowns.exe”，它没有经过数字签名，Sophos 无法确定除了混淆执行链之外它还有什么优点。 在攻击的第三种变体中，第二阶段加载程序是干净的可执行文件“d3dim9.exe”，已由惠普公司进行数字签名。 图4. 由惠普签名的可执行文件（图片来源：Sophos） 这种“双DLL侧加载”技术实现了规避、混淆和持久化等目的，使防御者更难适应特定的攻击模式、有效地保护其网络。 最终的攻击载荷 在所有观察到的攻击变体中，最终的攻击载荷DLL从txt文件（“templateX.txt”）解密后在系统上执行。 该攻击载荷是支持多个命令的后门，比如系统重启、注册表项修改、获取文件、窃取剪贴板内容、在隐藏的CMD窗口上执行命令等等。 该后门还针对MetaMask加密货币钱包Chrome扩展插件，旨在窃取受害者的数字资产。 总之，DLL侧加载仍然是黑客们的一种有效的攻击方法，也是微软和开发人员十多年来未能解决的一种方法。 在最新的APT-Q-27攻击中，分析师观察到DLL侧加载变体难以跟踪，因此它们获得了一条更隐蔽的感染链。

夏天来了，假期正如火如荼地进行。除了度假者之外，针对游客的诈骗者也变得更加活跃。专家研究了 2023 年假期期间旅行者面临的危险。这是他们发现的…… 针对 Booking.com 用户的网络钓鱼攻击 让我们从模仿 Booking.com 的网络钓鱼网站开始，Booking.com 是世界上最受欢迎的在线酒店和公寓预订网站之一。该假冒网站的目的是收集兼作用户名的电子邮件地址以及某种“电子邮件密码”。网络钓鱼者的网似乎有些扭曲：他们真正想要的可能是 Booking.com 帐户的密码。 网络钓鱼者获取 Booking.com 用户的登录凭据 有趣的是，网络钓鱼者并没有忘记 Booking.com 用户的第二大类别：使用该网站吸引客户的酒店和公寓业主。对于他们来说，也有一些虚假网站会窃取用户名和密码。 另一个冒充 Booking.com 的网站获取酒店和公寓业主的凭据 为避免此类骗局，请务必在输入任何凭据之前仔细检查网站地址。如果您不确定真实地址应该是什么，最好使用搜索引擎和旧版维基百科进行仔细检查。 骗子对 Airbnb 用户下手 不可避免的是，网络犯罪分子并没有忽视在线住宿预订的另一个堡垒 Airbnb。一个假的 Airbnb 网站（原版的抄袭版）提供有吸引力的公寓租赁服务，并顽固地提醒访问者必须向某个代理进行电汇以确认预订。 虚假 Airbnb 网站敦促访客为不存在的预订付费 不用说，发送转账的“客户”除了钱包里空了一个洞之外什么也没有。为了避免这种危险，在向网站所有者汇款之前，请务必仔细检查网站的地址。 在虚假旅游调查网站上收集用户数据 一个不太严重但也不太令人愉快的网络诈骗涉及网站承诺为参加调查提供有价值的礼物。在本例中，旅游调查提供 100 美元的奖金。 在 100 美元礼物的诱惑下，访客被要求进行一项虚假调查（并交出个人数据） 在调查结束时，诈骗者通常会要求受害者提供一些个人数据：名字和姓氏、地址、电话号码，有时还要求受害者提供付款信息。这些数据可以在以后用于各种不良行为——从身份盗窃到侵入金融账户。至于“奖品”，目前还没有确切的消息。 避免这种威胁很容易：不要轻信轻松赚钱的承诺——尤其是当它是一笔从天而降的难以实现的巨款时。 航空公司钓鱼网站 网络钓鱼者的另一个传统目标是航空公司乘客。模仿不同运营商官方网站的虚假页面不断出现。当然，航空公司规模越大，其客户的凭据就越有可能被网络钓鱼者猎取。 网络钓鱼网站渴望获取热门航空公司的客户帐户 这里的目标可以是双重的。首先，可能存在直接的经济利益：所有主要航空公司都有忠诚度计划，其中奖励积分是一种货币。如果网络犯罪分子设法侵入某人持有足够奖励积分的帐户，他们就可以购买一张彩票并将其出售以换取真钱，并将其收入囊中。 收集航空公司忠诚度计划帐户凭据的网络钓鱼网站 其次，可以收集登录凭据以劫持受害者持有的其他帐户。遗憾的是，这种黑客方法成功的机会很大，因为密码重复使用仍然很常见。因此，航空公司忠诚度计划帐户的密码很适合用于电子邮件。 不寻常的机票诈骗 今年还出现了一种相当非常规的方法来欺骗前往英国的机票购买者。骗子冒充旅行社员工，以极具吸引力的价格提供门票。更重要的是，付款后，预订会显示在所有系统中 - 完全真实。 然而，骗子实际上并没有购买任何门票；他们只是购买门票。相反，他们利用许多预订系统中使用的临时机票预订服务，且费用不超过几十美元。该服务甚至为预订分配了一个所谓的乘客姓名记录 (PNR)，这是一个六位字母数字代码，根据航空公司的不同，其名称也不同：预订参考号、预订号码、航班确认代码等。此代码让您在航空公司的网站上检查预订并确保其已登录到系统中。 当然，由于骗子从不兑换门票，所以当保留时间到时，预订就变成了南瓜。为那张不存在的机票支付的数百美元与在预订服务上花费的二十多美元之间的差额被骗子按时塞进自己的口袋，然后骗子却神秘地未能回应受害者的紧急询问。 顺便说一句，有一种方法可以确保您支付的是正确的机票——而不是预订的费用。只需在预订信息中查找13 位数的机票号码（例如 123-4567890123），而不是查找6 位数的 PNR（例如 A1B2C3）。如果有机票号码，则表明机票已付款并已签发，您无需担心。 如何阻止骗子毁掉你的假期 最后，一些关于如何保护您的旅行免受在线诈骗者和网络钓鱼者侵害的提示： · 购买机票以及预订酒店和公寓时，仅使用信誉良好的网站。 · 如果可能，请直接在航空公司自己的网站上购买机票。它可能会贵一点，但总是更安全。 · 不要被奖品承诺或童话般的低价所愚弄。如您所知，如果奶酪是免费的，那么它很可能在捕鼠器中。 · 仔细检查您最终访问的网站的地址。 · 在输入任何重要信息之前，请仔细检查页面 URL：用户名和密码、支付卡号等。 · 切勿与任何人分享预订号码，或在社交网络上发布带有可见条形码或 PNR 的机票照片。 · 在出发日期前几天，检查您为此次旅行所做的所有预订。如果预订出现问题，最好提前解决，而不是在机场值机柜台或酒店前台解决。 · 在您的所有设备上使用具有内置防护功能的可靠防病毒软件，以防范在线欺诈和网络钓鱼。这将为您提供要避开的网站的早期警告。

潘多拉（Pandora）是 Mirai 僵尸网络的一个变种，目前它已经被发现针对经济实惠的安卓电视机和电视盒进行攻击。它利用这些设备作为僵尸网络的一部分，实施分布式拒绝服务（DDoS）攻击。Mirai 是一种针对智能摄像头和家用路由器等日常设备进行攻击的恶意软件。它能控制这些设备，并使其成为可远程控制的机器群组中的一部分。 网络犯罪分子会利用这些被称为 Mirai 的僵尸网络群组对计算机系统发起大规模攻击，即所谓的 DDoS 攻击。Mirai 的与众不同之处在于，它主要影响联网的智能家居小工具，如路由器、恒温器、婴儿监视器甚至冰箱进行攻击。它的攻击目标是许多物联网（IoT）设备所运行的通用 Linux 操作系统。Mirai 利用这些智能设备的漏洞，将它们连接成一个由被入侵设备所组成的网络，即僵尸网络。 据《网络医生》称，恶意固件的更新或用户安装用于观看盗版视频内容的应用程序，都非常容易造成网络入侵。在其他传播方式领域中，还有人怀疑用户被诱导安装了用于流式传输盗版电影和电视节目的应用程序。 这些具有欺骗性的网站主要是针对西班牙语用户。这些应用程序主要包括Latino VOD（com.global.latinotvod）、Tele Latino（com.spanish.latinomobile）、UniTV（com.global.unitviptv）和 YouCine TV（com.world.youcinetv）。 安装完应用程序后，它就会启动一个名为 "GoMediaService "的后台服务。随后，该服务会被用来收集各种文件，包括以高权限运行的解释器和潘多拉的安装程序。Pandora 的主要功能是与远程服务器进行建立联系。 随后，它会将系统中的主机文件替换为一个恶意的文件，并等待下一步接收的攻击指令。这些指令就包括了利用 TCP 和 UDP 协议执行 DDoS 攻击，以及启动反向 shell。 该攻击活动的重点是针对大量经济实惠的安卓电视盒，如 Tanix TX6 TV Box、MX10 Pro 6K 和 H96 MAX X3。这些设备配备了来自全志科技和晶晨半导体的四核处理器，非常适合用于发起 DDoS 攻击。 了解僵尸网络的攻击特点以及有效的预防策略 目前僵尸网络攻击已经构成了重大的网络安全风险，其普遍性和复杂性都在不断的上升。据 CSO Online 报道，2022 年上半年，来自 600,000 多个不同 IP 地址的僵尸网络连接达到了惊人的 6700 万个。 常见的僵尸网络攻击： · DDoS：流量过载 · 凭证盗窃：窃取敏感的登录信息 · 垃圾邮件和网络钓鱼：群发邮件进行欺骗 · 广告欺诈：发布虚假广告的攻击活动 · 加密货币挖掘：劫持计算机的运算能力。 面对僵尸网络攻击这一重大网络安全威胁，企业可以利用一系列的预防技术。这些技术包括 · 使用先进的防病毒和防恶意软件解决方案，并确保其保持最新。 · 保持应用软件和操作系统更新，并及时修复漏洞。 · 教育员工识别可疑电子邮件和附件，并强调注意不要点击它们。 · 使用强大的密码和多因素身份验证来加强安全性，防止未经授权的访问。 · 对员工实施全面的网络安全培训计划，让他们掌握识别和有效应对僵尸网络攻击的知识。

9月11日至17日，以“网络安全为人民，网络安全靠人民”为主题的2023年国家网络安全宣传周在全国范围内统一开展。为进一步宣传普及网络安全知识，切实提高副中心广大人民群众网络安全意识和防护技能，营造有利于副中心高质量发展的安全、健康、文明的网络环境，9月11日至17日，北京市通州区与国家同步举行网络安全宣传周活动。 值此之际，网安园（通州）开展网络安全知识宣讲系列活动，通过宣讲网络安全相关法律法规、安全防范及典型案例等，提升群众网络安全意识和相关防范技能，共筑网络安全防线。 9月13日至14日，网安园（通州）网络安全知识宣讲系列活动分别走进临河里街道、潞城镇、西集镇，特邀北京天帷网络安全技术有限公司、北京天玑星律师事务所、北京光通朗迅科技有限公司等企业专家，向全民普及网络安全知识，切实增强群众网络安全意识和防护能力。 临河里街道 9月13日上午，网安园（通州）网络安全知识宣讲系列活动走进临河里街道。讲座现场，专家通过运用具体数据、典型案例，展示文字、图片，播放短视频，重点宣讲如何识别网络陷阱、保护个人信息、防范网络诈骗、网上安全交易等内容，引导居民提升网络安全防范意识。针对现场老年人数量较多的情况，专家进行了专门指导，叮嘱老年居民一定要提高警惕，防范“养生保健品”“养老理财”等针对老年人群体的网络骗局。 宣讲过后，还通过发放宣传折页、现场答疑等形式，引导居民群众进一步了解网络安全知识，增强自身防范意识。 潞城镇 9月13日下午，网安园（通州）网络安全知识宣讲系列活动在潞城镇举办。通州区委网信办主任谢振平、通州区委网信办副主任官宏、通州区潞城镇党委副书记高新凤、工信部网络安全产业推进部副处长郭威、国家网络安全产业园区（通州）工作专班负责人崔笑出席。 致辞环节中，通州区潞城镇党委副书记高新凤对近年来潞城镇网络安全工作开展情况作总结归纳，她表示，潞城镇将以此次“国家网络安全宣传周”为契机，坚持不懈抓好全民网络安全教育，大力普及网络安全知识，为建设安全副中心、平安北京、网络强国贡献潞城力量。 通州区委网信办主任谢振平详细介绍了网络安全宣传周活动背景，他表示，将始终坚持副中心标准，主动融入服务副中心工作大局，持续加强网络安全建设，持续完善网络工作治理体系，坚决筑牢网络安全屏障，努力让人民群众在网络空间拥有更多获得感、幸福感、安全感。 讲座环节，专家深入宣讲了网络安全意识培养、网络安全相关法律法规、网络终端设备安全使用等内容，通过讲案例、做分析，围绕现实生活中常见的网络安全问题、电信诈骗手段、潜在网络安全风险，与到场群众进行互动交流，切实提高群众防骗“免疫力”。 西集镇 9月14日，在西集镇开展的网安园（通州）网络安全知识宣讲系列活动中，专家重点介绍网络攻击、网络安全防护措施等内容，通过现场面对面交流，结合实际案例向广大居民宣传网络安全的重要性，普及手机支付安全、电信诈骗、钓鱼网站、个人信息保护等网络安全相关知识。 此外，活动现场还设置了网络安全主题展板展示宣传，引导居民进行“网络安全意识体检”，将网络安全宣传延伸至基层“最后一公里”。 网络安全走进乡镇、走进社区，以专家讲座、宣传展板、现场答疑、发放宣传折页等方式，将网络安全知识融入群众的日常生活，增强了群众的防护意识，推动网络安全理念深入人心，切实营造了“网络安全为人民 网络安全靠人民”的浓厚氛围。

9月11日至17日，以“网络安全为人民，网络安全靠人民”为主题的2023年国家网络安全宣传周在全国范围内统一开展。 为进一步宣传普及网络安全知识，切实提高副中心广大人民群众网络安全意识和防护技能，营造有利于副中心高质量发展的安全、健康、文明的网络环境，9月11日至17日，北京市通州区与国家同步举行网络安全宣传周活动。值此之际，网安园（通州）开展网络安全知识宣讲系列活动，通过宣讲网络安全相关法律法规、安全防范及典型案例等，提升群众网络安全意识和相关防范技能，共筑网络安全防线。 为深入开展国家网络安全宣传周活动，进一步推动副中心网络安全建设。9月11日至12日，网安园（通州）网络安全宣传周系列活动走进北京广播电视台，详解网络安全产业发展现状，为群众传授网络安全知识，切实强化群众网络安全意识。 9月11日至12日，为深入开展国家网络安全宣传周活动，进一步推动副中心网络安全建设。网安园（通州）网络安全宣传周系列活动走进北京广播电视台，详解网络安全产业发展现状，为群众传授网络安全知识，切实强化群众网络安全意识。 网安园专班负责人崔笑详细介绍了网安园（通州）基本情况、资源优势及网络安全产业发展情况，并对听众提出的网络安全相关问题进行交流解答。网智易通总经理闫俊升对网安园（通州）的产业发展和企业服务表示赞许与肯定，并对人才引进、空间规划等方面提出建议。 网安园专班负责人崔笑表示，网安园（通州）正进入快速发展阶段，未来将把经验转化为动力，以服务为宗旨，在贡献中发展，一是筑巢引凤，不断完善园区基础设施建设，促进企业集聚；二是积极搭建政企沟通“直通车”，让惠企政策第一时间传达到企业，为企业助力赋能；三是积极拓展企业需求，为企业找到新的应用场景，并将企业科技成果与人民群众日常生活紧密结合起来，筑牢网络安全屏障，让互联网更好造福于民。 9月12日上午，北京通州网络安全产业园区运营管理有限公司、北京天帷网络安全技术有限公司、北京天玑星律师事务所走进《副中心会客厅》栏目，通过广播直播的形式，向广大观众开展“网络安全为人民，网络安全靠人民”网络安全宣传周主题宣传。 网安园运营公司总经理边梦娜围绕网安园（通州）产业发展情况详细介绍了国家网络安全宣传周的开展背景，天帷信息总经理李佳以生动详实的案例对网络安全常识进行全面科普，天玑星律所主任毕波则对网络安全相关法律法规进行了细致解读。通过宣传讲解，引导群众更加深入地了解网络安全的重要性和应对策略，树立正确的网络安全观念，加强防范意识，营造网络安全人人有责、人人参与的良好氛围。

以“发展数字基础设施，支撑数字中国建设”为主题，10月26日， 2023年中国计算机大会（CNCC2023）将在沈阳启幕。作为中国计算领域具有广泛影响力的高端年度盛会，每年的CNCC大会涵盖了当下计算机领域的前沿话题和热点问题，吸引了产学研各界从业者的参与和关注。 蚂蚁集团主办的“可信切面，构筑数字免疫屏障”技术论坛也将在大会期间召开，汇聚学术界、产业界多方视角，共同探讨数字化安全本源问题，和未来数字生命体的可持续安全发展路径。 “数字化转型是实现数字中国、加快数字经济发展的必经之路，它为企业带来了哪些变革和机遇？” “企业面临着哪些安全技术挑战和安全建设难题？” 在9月9日举办的CNCC2023【CNCC会客厅】专题直播中，蚂蚁集团安全平行切面产品负责人顾为群分别从技术、应用和价值三个层面对安全平行切面技术做了解读。他表示，数字化浪潮下，数字化企业已经成为一种不断演变进化的数字生命体，业务复杂性会爆炸式增长，不断引入的外部数字化服务和行业技术体系的演化，将推动其形成非预期内的数字基因代差积累。这将给安全带来重大风险。 首先，企业数字生命体的诞生源于数字化技术的发展和演进，而每次技术升级都会导致企业存量应用产生大量不同类型的通信接口，且接口之间缺乏标准。多代应用系统堆叠会衍生出大量碎片化的技术治理工作。 其次，为满足基础业务需求，企业的外采服务或开发阶段引入的第三方软件供应链，必然存在技术黑盒，从而使得企业安全自主权面临威胁，造成安全和合规的双风险。 同时，业务的快速发展，会使本就与IT架构脱节的安全架构面临巨大的适应性挑战。 面对上述企业安全痛点，无论是外挂式安全架构带来得“隔靴搔痒”；还是内嵌式架构带来的“绑腿走路”，单纯依靠传统认知下的安全体系已无法应对复杂形势下的网络攻击态势，无法从根本上满足企业深层次的对抗和治理要求。 2019年蚂蚁集团创新性地提出了“安全平行切面”架构，参考面向编程思想实现业务和安全的融合且解耦，使得安全能够深入到业务内部，同时也保持各自独立演进的能力，帮助企业具备强大的观测能力与精准的干预能力，实现安全攻防与安全治理能力与效率的跨越式提升。 目前，安全平行切面技术通过技术共建的形式，推动网络安全生态发展并实践应用。 以蚂蚁集团为例，安全平行切面技术在蚂蚁内部已覆盖超过95%的应用服务，核心业务达到了100%覆盖。每天可对千亿级的技术行为进行全程安全保护和管控、在应急攻防、安全治理与布防、数据安全、资产感知、隐私管控、攻击感知与阻断等领域发挥重大作用，可显著提升复杂金融网络系统中对于安全攻击的发现和止血能力。 2021年，“双十二”期间，全球log4j2漏洞爆发的同时正值购物节流量高峰，蚂蚁凭借安全平行切面体系拦截了超40万次国际网络攻击流量，实现了小时级全站精准止血，0误拦，0漏拦，应急人力从fastjson应急时的6000人日降低到30人日，效能提升百倍，在确保安全能力不降级的情况下，业务0打扰平稳度过危机。 2022年，“基于安全平行切面的应用安全防御与隐私管控”项目入选了全国网安周“网络安全优秀创新成果”，获得国家级权威认可；2023年获评中国网络安全十大创新技术。 在刚结束的2023年外滩大会上，蚂蚁集团再度携手浙江大学网络空间安全学院联合发布了“原生安全范式框架v1.0”，这是自2019年以来蚂蚁集团不断探寻网络安全本源的技术思想和方法体系的集成，首次提出两大安全范式——“OVTP可溯范式”和“NbSP零越范式”和一大技术创新——“安全平行切面”，其中安全平行切面技术正是为现代数字化机构实现两大范式提供高效的方法体系与基础平台。 除了安全，平行切面还能在哪些领域应用？还能解决哪些问题？问答互动环节，面对观众们的热心提问，顾为群分享了平行切面体系在技术风险、运维保障、应用质量服务管理、数据链路刻画等多领域的重要作用，例如在仿真环境的流量回放中，平行切面的介入能够帮助业务发现真实仿真环境中的业务逻辑问题。 10月26日下午举行的CNCC2023“可信切面，构筑数字免疫屏障”技术论坛，将围绕安全平行切面技术理论和实践，邀请有关主管单位、专家智库、企业代表进行主题分享，聚焦业务安全建设过程中的痛点和思考，分享安全平行切面技术的研发成果和落地应用，探讨挖掘其在安全实战对抗等领域最佳实践路径。 扫码观看直播间内容回放 扫码报名CNCC2023【可信切面，构筑数字免疫屏障】技术论坛