[ { "title": "Check Point 公司发布《2025 年安全报告》显示,随着网络威胁生态系统日渐成熟,网络攻击次数骤增 44%", "link": "https://www.4hou.com/posts/gyDj", "description": "

2025年1月 – 网络安全解决方案先驱者和全球领导者 Check Point 软件技术有限公司(纳斯达克股票代码:CHKP)今日发布了其年度报告《2025 年全球网络安全现状》,揭示全球网络攻击次数同比骤增 44%。该报告不仅揭示了新的网络趋势和新型攻击手段,而且还为首席信息安全官提供了如何应对这一持续变化形势的实用指南。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“2025 年的网络安全防护不仅仅要保护网络,还要维护用户对我们的系统和企业的信任。《2025 年全球网络安全现状》报告揭示了威胁的快速演变,并强调了在面对持续存在的复杂攻击时确保弹性的必要性。”

2024 年,生成式人工智能 (GenAI) 在网络攻击中的作用日益凸显。攻击者使用 GenAI 来加速网络攻击、窃取钱财和左右公众舆论,从散布虚假信息到制作深度伪造视频,无恶不作。与此同时,信息窃取程序攻击激增 58%,这表明网络生态系统日渐成熟。此外,随着攻击者越来越多地通过自带设备 (BYOD) 环境入侵企业资源,个人设备在受感染设备中占比超过 70%。

2025 年报告的主要调查结果包括:

● 勒索软件不断演变:数据泄露和勒索超过基于加密的攻击成为了主要的勒索软件攻击方式,此类攻击不仅易于实施,还最大限度地提高了非法所得。医疗行业成为了第二大攻击目标,所遇攻击次数同比增长 47%。

● 边缘设备屡遭利用:受感染的路由器、VPN 及其他边缘设备是攻击者的关键切入点。超过 200,000 台设备已被 Raptor Train 等超大型攻击者运营的高级僵尸网络控制。

● 已发现的漏洞被视而不见:2024 年,96% 的漏洞利用攻击利用了去年披露的漏洞,这凸显了主动管理补丁的重要性。

● 目标行业:教育行业连续第五年成为了首要攻击目标,所遇攻击次数同比增长 75%。

给首席信息安全官的建议:

1. 增强自带设备安全防护:实施严格策略并部署端点保护,以降低访问企业资源的个人设备带来的安全风险。

2. 投资威胁情报:利用 AI 工具来监控并防范虚假信息攻击和新兴威胁。

3. 加强补丁管理:主动解决已知漏洞,以降低遭受大范围漏洞利用攻击的可能性。

4. 确保边缘设备安全:针对路由器、VPN 及物联网设备实施强有力的安全防护措施,防止其成为攻击的“中转站”。

5. 提升应变能力:制定全面的事件响应计划并实施持续监控,以随时应对持续的威胁。


", "pubDate": "Wed, 22 Jan 2025 11:05:03 +0800", "author": "Check Point" }, { "title": "2024 年 12 月头号恶意软件:基于 AI 的勒索软件团伙 FunkSec 风头渐起", "link": "https://www.4hou.com/posts/6MxN", "description": "

Check Point 软件技术公司的最新威胁指数报告揭示了基于 AI 的勒索软件团伙 FunkSec 风头渐起,FakeUpdates 和 AgentTesla 威胁持续存在,网络犯罪手段在不断演进。

2025 年 1 月 – 网络安全解决方案先驱者和全球领导者 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 12 月《全球威胁指数》报告,强调网络犯罪分子不断进行技术迭代。本月,利用人工智能 (AI) 的新兴勒索软件即服务 (RaaS) 运营组织 FunkSec 风头渐起,FakeUpdates 和 AgentTesla 等恶意软件家族威胁持续存在。

凭借先进的攻击手段,FunkSec 已成为头号双重勒索勒索软件团伙。仅在 2024 年 12 月,FunkSec 就公布了超过 85 家受害者,在数量上超过了其他团伙。但是,Check Point Research (CPR) 将其中许多泄露数据标记为回收数据或未经验证,这使人们对该团伙的可信性产生了怀疑。FunkSec 与阿尔及利亚有关,在经济利益的驱动下发起攻击。其 AI 辅助攻击策略表明,网络犯罪越来越多地使用先进技术。

在最猖獗的恶意软件威胁中,FakeUpdates 重登全球排行榜榜首,影响了全球 5% 的机构,紧随其后的是 AgentTesla (3%) 和 Androxgh0st (3%)。FakeUpdates(又名 SocGholish)是一种多功能下载程序,可引入其他恶意载荷;AgentTesla 继续瞄准敏感凭据。

Check Point 软件技术公司研究副总裁 Maya Horowitz 对此调查结果评论道:“最新网络犯罪趋势凸显了始终保持高度警惕并革新网络安全防护的重要性。各企业必须采取高级威胁防御措施,保护自身免受不断演变的复杂攻击。”

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

1. ↑ FakeUpdates – 一种基于 JavaScript 的下载程序,全球 5% 的机构受到波及。它可引入其他恶意软件,从而加剧破坏。

2. ↑ AgentTesla – 一种用作键盘记录器和信息窃取程序的复杂 RAT,影响了 3% 的机构。

3. ↓ Androxgh0st – 一种利用物联网设备和 Web 服务器漏洞的跨平台僵尸网络,全球影响范围为 3%。

主要移动恶意软件

1. ↑ Anubis – 一种银行木马,具有针对 Android 设备的勒索软件功能。

2. ↑ Necro – 一种安装恶意软件并收取高级订阅费用的木马植入程序。

3. ↑ Hydra – 一种银行木马,在 Android 设备上利用高危权限来窃取凭证。

主要勒索软件团伙

勒索软件团伙此消彼长,仍是主要的网络安全威胁。来自勒索软件“羞辱网站”的数据显示,FunkSec 是 12 月份最猖獗的团伙,其攻击数量占所有已发布攻击的 14%。其他臭名昭著的团伙包括:

1. FunkSec – 借助 AI 和双重勒索手段,FunkSec 造成了更多的受害者。该团伙现已公布 85 家受害者信息,但数据可信度存疑。

2. RansomHub – RansomHub 别具破坏性,主要针对 VMware ESXi 等系统发起攻击,并采用复杂的加密方法。

3. LeakeData – LakeData 是一个运营透明 Web 数据泄漏网站 (DLS) 的新团伙,不仅发动勒索软件攻击,而且还会实施更广泛的勒索活动。

 

", "pubDate": "Tue, 21 Jan 2025 10:51:58 +0800", "author": "Check Point" }, { "title": "新型物联网僵尸网络现身,疯狂劫持设备发动大规模 DDoS 攻击", "link": "https://www.4hou.com/posts/0MoN", "description": "

自 2024 年底起,IoT 僵尸网络的 C&C 服务器便开始向日本及其他国家和地区发送大规模 DDoS 攻击命令。这些命令的目标涵盖了多家公司,其中不乏日本的大型企业与银行。

尽管目前无法确认直接联系,但一些目标组织反馈,在此期间出现了临时连接异常和网络中断的情况,而这些状况与观察到的攻击命令高度吻合。

物联网僵尸网络的新威胁聚焦日本

这个基于 Mirai/Bashlite 的僵尸网络利用 RCE 漏洞或弱密码来感染物联网设备。感染阶段包括下载一个脚本,该脚本会从分发服务器获取加载程序可执行文件。 

之后,加载程序使用专门的 User-Agent 标头从服务器成功检索实际的恶意软件负载,然后在内存中执行它。 

该恶意软件与 C&C 服务器通信,以获取发起 DDoS 攻击(SYN Flood、TCP ACK Flood、UDP Flood 等)或将设备转变为代理服务器的命令。  

\"image.png\"/

使用自定义 User-Agent 标头从分发服务器下载二进制文件的代码

它采用了多种规避技术,并通过镜像过去的 Mirai 僵尸网络行为来 停用阻止DDoS 攻击期间由高负载触发的系统重启的看门狗计时器。

它还操纵 iptables 规则来阻碍感染检测和 DDoS 攻击可见性。通过阻止 WAN 端 TCP 连接,它旨在防止交叉感染,同时保持内部管理访问。 

通过使用动态配置的 iptables 规则,恶意软件能够接收来自外界的 UDP 数据包,并通过隐藏其活动来抑制 TCP RST 数据包。

\"image.png\"/

用于禁用看门狗定时器的恶意软件代码

2024 年 12 月 27 日至 2025 年 1 月 4 日期间观察到的 DDoS 攻击针对的是北美、欧洲和亚洲的组织,主要集中在美国、巴林和波兰。 

趋势科技的分析显示,不同目标地区的命令模式有所不同。针对日本目标的攻击经常使用“stomp”命令,而针对国际目标的攻击则更常使用“gre”命令。 

攻击主要集中在交通运输、信息通信、金融保险等领域。而国际攻击也主要集中在信息通信、金融保险行业,针对交通运输领域的攻击明显较少。 

\"image.png\"/

目标行业

这些攻击背后的实施者表现出了适应性,并在实施初步防御措施后针对日本组织测试了“套接字”和“握手”等新命令。

\"image.png\"/

恶意软件在初始化阶段设置的 iptables 规则

僵尸网络分析结果显示,共有 348 台设备遭到感染。受感染设备中,80% 主要是 TP-Link 和 Zyxel 等供应商生产的无线路由器,此外,来自海康威视的 IP 摄像机在受感染设备中也占了相当比例。

导致其被利用的因素包括默认设置的持久性、过时的固件和安全功能不充分,这些因素使攻击者能够轻易破坏这些设备并利用它们进行 DDoS 攻击和网络入侵等恶意活动。

针对 DDoS 攻击和物联网漏洞的缓解策略

为了减轻僵尸网络感染和 DDoS 攻击,请实施强大的安全措施。通过更改默认凭据、定期更新固件和分段物联网网络来保护物联网设备。 

同时,要严格限制设备的远程访问权限,对设备进行行之有效的管理,密切监控网络流量,一旦发现异常即刻响应处理。

针对 UDP 洪水攻击,可通过阻止特定的 IP 地址和协议来进行防范;还可以积极与服务提供商展开深度合作,共同应对风险;另外,加强路由器硬件的防护能力,也是减轻 UDP 洪水攻击影响的重要举措 。


", "pubDate": "Tue, 21 Jan 2025 10:33:42 +0800", "author": "山卡拉" }, { "title": "绿盟科技2024年预计收入高增,亏损大幅收窄", "link": "https://www.4hou.com/posts/8gzr", "description": "

1月20日,绿盟科技发布2024年度业绩预告,预计2024年度公司实现营业收入22.60亿元至24.60亿元,较上年同期增长34.46%-46.36%;归属于上市公司股东的净利润-3.90亿元至-2.90亿元,上年同期为-9.77亿元,同比减亏60.09%-70.32%。

报告期内,公司紧密结合行业发展趋势和市场动向,持续聚焦重点行业、重点客户的关键需求,提高从商机到落单的转化率,营业收入实现快速增长,经营性现金流由负转正;同时公司通过进一步简化组织结构,优化运营体系,完善人才和干部机制,积极提质增效,归母净利润亏损大幅收窄。

公司指出,2025年,公司将继续落实聚焦策略,从开源和节流两个角度持续提升运作效率,降低运营成本,促进公司健康良性发展,努力达成经营目标。

2024年前三季度,绿盟科技实现的营业收入为12.74亿元,归母净利润为-3.26亿元。

", "pubDate": "Mon, 20 Jan 2025 17:40:16 +0800", "author": "企业资讯" }, { "title": "黑客利用加州野火事件发起网络钓鱼攻击", "link": "https://www.4hou.com/posts/5MwX", "description": "

加州正全力应对野火带来的毁灭性打击,以保护民众的生命和财产安全。然而不幸的是,这些灾难也为网络犯罪分子提供了可乘之机,他们利用灾时的混乱与不确定性实施犯罪。

Veriti Research 发现,与当前山火灾难相关的网络钓鱼诈骗正呈现出一种令人担忧的趋势,这凸显出在这些脆弱时期,迫切需要提升公众的网络安全意识 。

Veriti Research 的主要发现

Veriti Research在迅速调查后,在短短 72 小时内就发现了多个与加州山火有关的新注册域名。其中一些可疑域名包括:

· malibu-fire[.]com

· fire-relief[.]com

· calfirerestoration[.]store

· fire-evacuation-service[.]com

· lacountyfirerebuildpermits[.]com

· pacificpalisadesrecovery[.]com

· boca-on-fire[.]com

· palisades-fire[.]com

· palisadesfirecoverage[.]com

这些域名表现出了典型的网络钓鱼活动模式,从模仿官方服务到针对马里布和太平洋帕利塞德等特定地区。

早期迹象表明,这些网站准备进行欺诈活动,包括网络钓鱼攻击、虚假捐赠请求和恶意下载。

黑客采用的策略

网络犯罪分子特别喜欢利用人们面对灾难时产生的恐惧和不确定性心理。在灾难发生期间,他们会采取以下策略:

· 注册与合法服务机构极为相似的域名,以此混淆视听。

· 借助这些精心设计的域名发送网络钓鱼电子邮件,诱使收件人点击其中的欺诈链接。

· 运用社会工程技术营造紧迫感,比如炮制虚假的捐赠活动,或是发送伪装成关键安全警报的信息 。

\"1.png\"/

钓鱼域名

例如,有犯罪分子专门设立了一个子域名,以提供火灾相关援助为幌子,目的就是诱骗受害者。在人们急切希望为救援工作出一份力时,这类策略利用的正是大家的善意。

尽管 Veriti 的研究目前尚未发现利用这些网络钓鱼域名展开的活跃电子邮件活动,但该团队仍坚持每日对其进行监控,以便能及时报告任何异常情况。

黑客深知,身处受影响区域内或附近的人们,更倾向于与看似和救灾相关的资源产生互动,于是便利用这一点,让攻击更具成效。

当下加州山火肆虐,自然灾害与网络攻击带来的双重悲剧愈发凸显。

随着这些犯罪分子持续改进攻击技术,增强网络安全意识和保持警惕变得极为关键。

个人和组织若能了解网络犯罪分子惯用的方法与工具,便能主动采取措施,尽可能降低遭受攻击的风险。

Veriti Research 团队一直致力于发现并消除这类威胁,让社区民众能够心无旁骛地专注于灾后恢复工作,无需承受网络犯罪带来的额外负担。

在这个局势动荡的时期,无论是居民、组织,还是网络安全专业人员,每个人都务必保持警惕,随时了解相关信息,这一点至关重要。

", "pubDate": "Fri, 17 Jan 2025 15:32:41 +0800", "author": "山卡拉" }, { "title": "个人信息安全三重防线(上):App隐私合规检测、PIA认证与个保合规审计", "link": "https://www.4hou.com/posts/BvXo", "description": "

在数字经济蓬勃发展的今天,用户的个人信息保护已成为社会各界广泛关注的焦点,反映出人们对隐私安全的重视日益增强。随着互联网技术的进步,用户在享受便利的同时,个人隐私泄露和个人信息滥用等问题也愈发突出。《个人信息保护法》规定,企业在进行收集、存储和使用等一系列个人信息处理活动时,必须遵循透明性、合法性和必要性原则。随着法律法规的不断完善,企业面临的合规压力显著加大。

与此同时,用户对于隐私保护的关注程度不断提升,越来越多的用户在选择应用程序时,优先考虑其隐私安全保护措施和合规性。因此,企业不仅要了解相关法律法规,还需建立健全的个人信息保护体系,以保障用户隐私安全。

在这一背景下,App隐私合规检测、个人信息保护影响评估(PIA)和个人信息保护合规审计这三者相辅相成,构成了企业个人信息保护的核心框架。本篇文章将探讨三者的基本概念,为理解隐私保护的全景图奠定基础。

一、三者概述

1、App隐私合规检测

App隐私合规检测是对移动应用程序在个人信息收集、存储、使用、传输等一系列个人信息处理活动以及保护用户个人信息方面的行为进行检测。该过程的核心在于确保移动应用程序在处理用户个人信息时,遵循国家法律法规(如《个人信息保护法》)、部门规章及规范性文件(如《App违法违规收集使用个人信息行为认定方法》)以及行业标准(如《信息安全技术—个人信息安全规范》GB/T 35273-2020)。一张图看懂检测内容要点:

\"1736217011593104.jpg\"

·隐私政策的透明度

检查App中是否存在隐私政策,以及首次启动时是否通过弹窗等明显方式提示用户阅读隐私政策。评估隐私政策是否清晰易懂、是否使用大量专业术语、用户能否轻松理解。检查隐私政策中是否明确说明App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式和范围等。

·收集个人信息的合法性

确认App在收集用户个人信息前是否获得了用户的明确同意,是否以默认选择同意等非明示方式征求用户同意,是否收集与其提供的服务无关的个人信息,是否存在超范围、超频次收集个人信息的行为,是否以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限。

·信息传输安全措施

分析应用程序是否采取了足够的技术和保护措施来保障传输过程中个人信息的安全,是否对传输的个人信息采取匿名化处理和加密传输,是否存在向境外传输个人信息。

·用户权利管理

检查App提供给用户更正、删除个人信息及注销用户账号的功能是否有效,以及是否向用户提供撤回同意收集个人信息的途径、方式,是否建立并公布个人信息安全投诉、举报渠道。

2、个人信息保护影响评估(PIA)

\"1736217124179874.jpg\"

个人信息保护影响评估(PIA)是对拟实施的个人信息处理活动进行的合法合规性评估,旨在评估这些活动是否可能对个人信息主体的合法权益造成损害,并判断相关风险。同时,还评估保护个人信息主体的各项措施的有效性。通过PIA,能够识别潜在风险,采取相应的安全控制措施,提升风险处置能力,确保风险可控。一张图看懂评估内容要点:

\"1736217153201791.jpg\"

 

·个人信息的处理目的、方式等是否合法、正当、必要

评估应先审查收集和处理个人信息的目的是否明确、合法,并且是否符合《个人信息保护法》以及其他相关法规的要求。在进行个人信息处理时,必须确保其处理目的正当且必要,即收集和使用个人信息的范围不能超出提供服务所必需的最小范围。同时,需要评估对个人信息的处理方式是否合规,确保所有个人信息处理活动都在合法的框架内进行。

·对个人权益的影响及安全风险

评估过程中,需分析其个人信息处理活动对个人隐私权益的潜在影响,特别是在个人信息泄露、滥用或不当处理情况下可能对个人造成的损害。例如,个人信息泄露可能导致身份盗用、财务损失或个人声誉受损,因此必须全面评估这种影响的可能性和严重性。此外,还需要评估处理活动中的安全风险,如存储漏洞、传输过程中个人信息被拦截或篡改的风险、以及第三方合作中可能带来的额外风险。

·所采取的保护措施是否合法有效并与风险程度相适应

在评估保护措施时,需要确认其采取的技术和保护措施是否符合国家和行业的安全标准(如加密传输、个人信息匿名化处理等)。同时,必须评估这些保护措施是否与识别到的安全风险相匹配。例如,针对敏感个人信息的处理,是否采取了足够严格的保护措施,如双重认证、加密存储等,以降低敏感个人信息泄露的风险。还应评估保护措施的有效性,检查其是否能有效防止个人信息滥用、泄露。

3、个保合规审计 

个人信息保护合规审计是指对个人信息处理者在收集、存储、使用、传输、披露等个人信息处理活动中,是否遵循相关法律、行政法规进行审查与评价的监督活动。其核心目的是确保个人信息处理活动符合法律要求,保障个人信息主体的隐私权和信息安全。一张图看懂审计内容要点:

\"1736217243400199.jpg\"

·个人信息处理规则(C.1-C.13条)

对个人信息处理的合法性基础、必要性、处理规则、告知义务;共同处理、委托处理、自动化决策处理个人信息;因合并、重组、分立、解散、被宣告破产等需转移个人信息;向其他个人信息处理者提供其处理的个人信息;公开其处理的个人信息;公共场所采集;处理已公开信息、敏感个人信息等要求提出了审计要点。(标红的审计点:应审计是否事前进行个人信息保护影响评估)

\"1736217271209945.jpg\"

·个人信息跨境提供规则(C.14-C.15条)

对个人信息处理者、关键信息基础设施运营者向境外提供个人信息;对境外接收方采取监督措施的有效性等要求提出了审计要点。

 

\"6.jpg\"/

·未成年人信息保护(C.16-C.22条)

对未成年人个人信息的告知义务、未成年人真实身份审核、收集未成年人个人信息的最小必要、未成年人个人信息主体权利、未成年人个人信息安全事件应急响应处置、未成年人个人信息访问的最小必要、未成年人私密信息保护等要求提出了审计要点。

\"7.jpg\"/

·个人信息主体权利保障(C.23-C.25条)

对个人信息删除权保障、个人行使个人信息权益的权利保障、响应个人对个人信息处理规则解释说明的申请等提出了审计要点。

 

\"8.jpg\"/

·个人信息处理者的义务(C.26-C.33条)

对个人信息处理者保护责任、管理措施和操作流程、安全技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急预案和响应处置等要求提出了审计要点。

\"9.png\"/

·大型互联网平台规则(C.34-C.37条)

对外部独立监督机构、大型互联网平台规则、平台内产品或者服务提供者的个人信息处理活动监督、个人信息保护社会责任报告等方面提出了审计要点。

\"10.jpg\"/

二、总结与建议

通过本篇的分析,我们了解到App隐私合规检测、PIA认证和个保合规审计是企业在数字时代确保个人信息隐私安全的三大支柱。App隐私合规检测帮助企业检测应用是否符合相关法律法规,PIA认证则通过对拟实施的个人信息处理活动的隐私影响评估,预防潜在风险,而个保审计则对企业的个人信息保护措施进行审查和评估,确保合规性和有效性。这三者相辅相成,共同构建了企业个人信息保护的坚实基础,为企业在复杂的合规环境中提供了全面的保障。

", "pubDate": "Thu, 16 Jan 2025 16:17:57 +0800", "author": "企业资讯" }, { "title": "正式签约!360为宁波城市大模型发展注入新动能", "link": "https://www.4hou.com/posts/42vJ", "description": "

近日,由宁波市数据局、宁波市科技局、宁波市经信局、宁波通商控股集团有限公司指导,宁波市人工智能学会、宁波市大数据发展协会主办,三六零数字安全科技集团有限公司等单位承办的城市大模型发展交流主题活动在宁波举行。

活动上,360数字安全集团与宁波人工智能产业研究院等机构企业正式签约,各方将基于各自优势,共同建设宁波城市大模型创新联合体,以人工智能大模型为宁波传统优势行业和新兴产业蓬勃发展注入新动能,打造城市数实融合发展新标杆。

\"图片1.png\"/

当前,人工智能已成为引领科技革命和产业变革的重要驱动力,对于促进经济社会发展、提升城市治理水平具有举足轻重的作用。城市大模型作为构建智慧城市的核心技术之一,成为推动城市管理现代化、经济发展智能化和社会服务便捷化的关键力量。

基于此,宁波市全力推进城市的数智化转型发展,积极探索城市大模型的多元应用场景,通过大模型赋能提升工作质效,以促进城市公共管理能力跃迁。本次城市大模型创新联合体签约后,各方将在城市算力网、城市基础大模型平台、数据件平台、教育垂直领域应用、基础模型和安全服务、城市算力网等方面开展深度合作,共同推进城市大模型技术的发展和应用。

作为国内领先的数字安全企业,360在安全和人工智能领域积累了深厚的技术优势和实践成果。以此次签约为契机,360将把在专业化大模型上的技术能力服务于宁波政府部门和企业,以“模型即服务”的新模式带动宁波大模型产业生态发展;同时,以“安全即服务”理念,为宁波市落地城市级数字安全基础设施,筑牢宁波城市数字化发展安全基座。

随后,360数字安全科技集团副总裁李博发表《智御未来:360安全大模型开启数字安全新纪元》主题演讲,分享了360在安全大模型领域的方法论与最新实践。此外,活动期间,360携多项数字安全和人工智能领域的创新成果亮相展区。

\"图片2.png\"/

未来,360数字安全集团将与各方紧密携手,以实战化的安全能力和大模型创新技术,为宁波市乃至长三角地区城市发展注入新活力,书写城市数智化发展新篇章。

", "pubDate": "Thu, 16 Jan 2025 14:47:56 +0800", "author": "企业资讯" }, { "title": "国家计算机病毒应急处理中心监测发现16款违规移动应用", "link": "https://www.4hou.com/posts/33rp", "description": "

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现16款移动App存在隐私不合规行为。

1、隐私政策难以访问、未声明App运营者的基本情况。涉及9款App如下:

《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、

《168运友物流》(版本3.9.93,应用宝)、

《天水秦州村镇银行》(版本3.0.7,vivo应用商店)、

《esc模拟社恐快逃》(版本2.1.8,百度手机助手)、

《懂球圈》(版本1.3.0,应用宝)、

《学法减分笔记》(版本1.0.5,vivo应用商店)、

《中峪数交》(版本1.2.9,应用宝)、

《全能CAD手机看图王》(版本2.0.1,360手机助手)、

《多语游外语学习》(版本1.0,百度手机助手)。

2、隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。涉及8款App如下:

《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、

《易面酷》(版本2.1.0,应用宝)、

《168运友物流》(版本3.9.93,应用宝)、

《智慧狐》(版本3.4.10,vivo应用商店)、

《esc模拟社恐快逃》(版本2.1.8,百度手机助手)、

《山西信托》(版本2.8.5,应用宝)、

《多语游外语学习》(版本1.0,百度手机助手)、

《健康诺时邦》(版本1.4.5,360手机助手)。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意。涉及6款App如下:

《皓俊通货主端》(版本1.1.71,应用宝)、

《天水秦州村镇银行》(版本3.0.7,vivo应用商店)、

《智慧狐》(版本3.4.10,vivo应用商店)、

《esc模拟社恐快逃》(版本2.1.8,百度手机助手)、

《山西信托》(版本2.8.5,应用宝)、

《健康诺时邦》(版本1.4.5,360手机助手)。

4、App未建立并公布个人信息安全投诉、举报渠道。涉及1款App如下:

《中峪数交》(版本1.2.9,应用宝)。

5、基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式;向用户提供撤回同意收集个人信息的途径、方式,未在隐私政策等收集使用规则中予以明确。涉及10款App如下:

《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、

《易面酷》(版本2.1.0,应用宝)、

《司小宝》(版本4.9.7,小米应用商店)、

《运小满·物流助手》(版本4.1.1,应用宝)、

《懂球圈》(版本1.3.0,应用宝)、

《中峪数交》(版本1.2.9,应用宝)、

《全能CAD手机看图王》(版本2.0.1,360手机助手)、

《山西信托》(版本2.8.5,应用宝)、

《多语游外语学习》(版本1.0,百度手机助手)、

《健康诺时邦》(版本1.4.5,360手机助手)。

6、处理敏感个人信息未取得个人的单独同意。涉及2款App如下:

《168运友物流》(版本3.9.93,应用宝)、

《健康诺时邦》(版本1.4.5,360手机助手)。

7、个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。涉及3款App如下:

《懂球圈》(版本1.3.0,应用宝)、

《多语游外语学习》(版本1.0,百度手机助手)、

《健康诺时邦》(版本1.4.5,360手机助手)。、

针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

注:文中所列App检测时间为2024年11月18日至12月31日

文章来源自:国家计算机病毒应急处理中心监测

", "pubDate": "Thu, 16 Jan 2025 12:01:00 +0800", "author": "胡金鱼" }, { "title": "Nuclei 漏洞允许恶意模板绕过签名验证", "link": "https://www.4hou.com/posts/xyjP", "description": "

最新发现开源漏洞扫描器 Nuclei 中现已修复的漏洞可能允许攻击者绕过签名验证,同时将恶意代码潜入在本地系统上执行的模板中。

Nuclei 是 ProjectDiscovery 创建的一款流行的开源漏洞扫描程序,可扫描网站是否存在漏洞和其他弱点。该项目使用基于模板的扫描系统,该系统包含 10,000 多个 YAML 模板,可扫描网站是否存在已知漏洞、错误配置、暴露的配置文件、Webshell 和后门。

YAML 模板还包括一个代码协议,可用于在扩展模板功能的设备上本地执行命令或脚本。每个模板都使用摘要哈希进行“签名”,Nuclei 使用摘要哈希来验证模板是否未被修改以包含恶意代码。该摘要哈希以以下形式添加到模板的底部:

# digest:

漏洞绕过 Nuclei 签名验证

Wiz 研究人员发现了一个名为 CVE-2024-43405 的新 Nuclei 漏洞,即使模板被修改为包含恶意代码,该漏洞也会绕过 Nuclei 的签名验证。

该问题是由基于 Go 正则表达式的签名验证以及 YAML 解析器在验证签名时处理换行符的方式引起的。当验证签名时,Go 的验证逻辑将 \\r 视为同一行的一部分。

但是,YAML 解析器将其解释为换行符。这种不匹配允许攻击者注入绕过验证但在 YAML 解析器处理时仍会执行的恶意内容。另一个问题是 Nuclei 如何处理多个 #digest: 签名行,因为该过程仅检查模板中第一次出现的 #digest:,而忽略模板中稍后发现的任何其他内容。

可以通过在包含恶意“代码”部分的初始有效摘要之后添加额外的恶意“#digest:”有效负载来利用此漏洞,然后在使用模板时注入并执行该有效负载。

Wiz 研究员解释说:“有了关于不匹配换行符解释的见解,我们制作了一个模板,利用 Go 的正则表达式实现和 YAML 解析器之间的差异。通过使用 \\r 作为换行符,可以在模板中包含第二个 # 摘要:行,该行可以逃避签名验证过程,但由 YAML 解释器解析并执行。”

\"1735840138-code-diagram[1].webp.png\"/

不同解析器如何解析 Nuclei 模板的示例

Wiz 于 2024 年 8 月 14 日向 ProjectDiscovery 披露了该漏洞,并于 9 月 4 日在 Nuclei v3.3.2 中对其进行了修复。如果使用的是旧版本的 Nuclei,安全研究人员强烈建议用户更新最新版本。此外,Goldenberg 还建议在虚拟机或隔离环境中使用 Nuclei,以防止恶意模板的潜在利用。

", "pubDate": "Thu, 16 Jan 2025 12:00:00 +0800", "author": "胡金鱼" }, { "title": "Outlaw挖矿僵尸网络近期活动分析", "link": "https://www.4hou.com/posts/1Mpq", "description": "

\"封面图.jpg\"/

1 概述

近期,安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件,该挖矿僵尸网络最早于2018年被发现,主要针对云服务器从事挖矿活动,持续活跃。安天CERT在分析近期的攻击事件中发现,该挖矿僵尸网络样本在第三版本基础上有了重要更新,其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统,植入SSH公钥,以达到长期控制目标系统的目的,同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马,使用扫描和暴力破解工具对其他主机进行相应攻击。

经验证,安天智甲终端防御系统可有效防御、查杀该挖矿木马。

2 攻击流程

Outlaw挖矿僵尸网络首先会通过扫描SSH服务对目的主机进行暴力破解,获取权限后下载最终载荷文件dota3.tar.gz,然后不落地执行tddwrt7s.sh脚本中的指令,初始化脚本,将载荷放到/tmp目录下,解压缩载荷文件,并执行载荷文件中的第一个Perl脚本initall,该脚本最终会执行载荷文件中的第二个Perl脚本init2,会在cron.d文件中写入计划任务,依次执行a、b、c文件夹中的a、a、start脚本。

一、a文件夹:

1.a文件的主要作用是检测与清除RedTail挖矿僵尸网络相关的恶意行为,执行run文件。

2. run文件用于启动并管理名为kswapd00的挖矿程序以及stop脚本。

3.stop文件的主要功能是执行init0文件以及清理目标系统中的指定文件和进程。

4.init0文件用于全面排查并清理与挖矿相关的活动。

二、b文件夹:

1.a文件的主要功能是执行stop和run文件。

2.stop文件主要是终止并删除预设置的特定进程。

3.run文件是一个ShellBot的Perl脚本,主要功能为端口扫描、DDoS攻击、反向Shell和发回状态消息等。

三、c文件夹:

1.start文件会执行run文件。

2.run文件的主要功能是根据系统的CPU物理核心数和架构来决定运行top和stop文件。

3. stop文件主要功能是批量终止与特定挖矿进程或系统监控进程等相关的任务。

4.top文件首先会获取受害机器的系统架构,根据系统架构调整默认线程数,随后执行kthreadadd脚本并传递参数。

5.kthreadadd文件针对不同系统架构提供对应的可执行文件。

6.kthreadadd32/kthreadadd64文件是针对不同架构扫描和暴力破解工具,对扫描出来的IP地址进行针对性的22端口暴力破解。

\"图

图 2‑1 Outlaw挖矿僵尸网络攻击流程图

3 样本梳理与功能分析

3.1 样本梳理

针对Outlaw挖矿僵尸网络攻击,对其样本及功能进行梳理,如下表所示:

表 3‑1 样本及功能梳理

样本名

落地名

样本路径

功能

tddwrt7s.sh

不落地

内存中

解压缩落地载荷并执行初始脚本initall

initall

initall

/tmp/.X2pP-unix/.rsync/initall

执行init2脚本

init/init2

init/init2

/tmp/.X2pP-unix/.rsync/

将计划任务写入cron.d文件中,并依次执行每个文件夹下的初始脚本

a文件夹/a

a

/tmp/.X2pP-unix/.rsync/a/a

/home/用户名/.configrc7/a/a

检测与清除RedTail挖矿僵尸网络相关的恶意行为

a文件夹/run

run

/tmp/.X2pP-unix/.rsync/a/run

/home/用户名/.configrc7/a/run

启动挖矿程序kswapd00

upd

upd

/home/用户名/.configrc7/a/upd

挖矿程序守护脚本

a文件夹/stop

stop

/tmp/.X2pP-unix/.rsync/a/stop

/home/用户名/.configrc7/a/stop

清理目标系统中的指定文件和进程

a文件夹/init0

init0

/tmp/.X2pP-unix/.rsync/a/init0

/home/用户名/.configrc7/a/init0

检测并终止与加密货币挖矿相关的活动

a文件夹/kswapd00

kauditd0

/tmp/.X2pP-unix/.rsync/a/kswapd00

/tmp/.kswapd00

/var/tmp/.kswapd00

/home/用户名/.configrc7/a/kswapd00

挖矿程序挖矿

b文件夹/a

a

/tmp/.X2pP-unix/.rsync/b/a

/home/用户名/.configrc7/b/a

执行stop文件

sync

sync

/home/用户名/.configrc7/b/sync

执行run文件

b文件夹/stop

stop

/tmp/.X2pP-unix/.rsync/b/stop

/home/用户名/.configrc7/b/stop

终止一系列特定的进程,并且删除特定的文件

b文件夹/run

edac0

/tmp/.X2pP-unix/.rsync/b/run

/home/用户名/.configrc7/b/run

Stealth   Shellbot改编脚本

c文件夹/start

start

/tmp/.X2pP-unix/.rsync/c/

创建一个名为aptitude的Shell脚本

aptitude

aptitude

/tmp/.X2pP-unix/.rsync/c/aptitude

执行run脚本

c文件夹/run

run

/tmp/.X2pP-unix/.rsync/c/run

判断系统架构

c文件夹/stop

stop

/tmp/.X2pP-unix/.rsync/c/stop

结束竞品相关的任务

c文件夹/top

top

/tmp/.X2pP-unix/.rsync/c/top

获取系统架构

c文件夹/kthreadadd

kthreadadd

/tmp/.X2pP-unix/.rsync/c/kthreadadd

判断系统架构

c文件夹/kthreadadd32和64

kauditd0

/tmp/.X2pP-unix/.rsync/c/kthreadadd32和64

扫描和暴力破解其他地址

表 3‑2 挖矿程序中的矿池地址和钱包地址

矿池地址

钱包地址

88.218.17.122:80

483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS

179.43.139.84:80

179.43.139.85:442

185.165.169.188:80

185.165.169.188:442

185.247.224.154:80

sglt5wettkyseyxrvlmn453ivmeb3zqzqu3b3sgspcuxf2h6ggx2i4qd.onion:8080

3.2 功能分析

样本载荷文件整体目录结构如下图所示:

\"图

图 3‑1 载荷目录结构

3.2.1 未落地脚本——tddwrt7s.sh文件

tddwrt7s.sh文件主要功能是检查特定目录是否存在,如果存在则执行其中的初始化脚本;如果不存在,则进行一系列文件操作,包括删除旧文件、创建新目录、并最终执行另一个脚本。

\"图

图 3‑2 对载荷进行文件操作

3.2.2 执行后续脚本——initall文件

initall文件的功能是判断主目录下是否存在.configrc7目录,如果不存在,执行init2文件,如果存在,则退出。

\"图

图 3‑3 执行init2文件

3.2.3 写入计划任务——init/init2文件

init/init2这两个文件功能大致相同,其核心功能为在cron.d文件中写入计划任务,定期执行挖矿恶意样本。

\"图

图 3‑4 在cron.d文件中写入计划任务

3.2.4 a文件夹

3.2.4.1 检测与清除RedTail挖矿僵尸网络——a文件

a文件是a文件夹下的初始文件,该文件首先会删除当前用户的所有计划任务,检查是否具有root权限:如果是root,删除并重建/usr/bin/systemtd文件,禁用/usr/bin目录的写权限,以隐藏恶意文件或防止系统更新覆盖。

\"图

图 3‑5 检查是否具有root权限

接下来是检测与清除RedTail挖矿僵尸网络相关的恶意行为。具体分析如下:检查定时任务(crontab)中是否存在“redtail”、提取与“redtail”相关的文件路径、获取CPU占用最高的进程PID、终止高CPU占用的进程及其子进程、删除与“redtail”相关的文件、从计划任务中移除所有包含“redtail”的条目。

\"图

图 3‑6 检测与清除RedTail挖矿僵尸网络

创建一个名为upd的shell脚本文件,主要用于检查挖矿木马进程是否存活。如果已存在运行的进程,则退出。否则,启动run文件重新执行挖矿木马,确保持续运行。

\"图

图 3‑7 检查挖矿木马进程是否存活

通过检测CPU型号并设置特定的MSR寄存器值,以及优化hugepages的配置,来提高挖矿木马的效率。

\"图

图 3‑8 优化hugepages配置提高挖矿木马效率

3.2.4.2 启动挖矿程序——run文件

run文件用于启动并管理名为kswapd00的挖矿程序。它先停止潜在冲突进程,记录当前目录路径,后台运行挖矿程序并隐藏其输出,最后保存挖矿进程的PID以便后续管理。

\"图

图 3‑9 启动并管理名为kswapd00的挖矿程序

3.2.4.3 执行后续脚本——stop文件

stop文件的主要功能是执行init0文件以及清理目标系统中的指定文件和进程。具体包括:删除配置文件(如xmrig.json)、停止和结束多个与挖矿程序相关的潜在干扰的进程。

\"图

图 3‑10 执行init0文件

3.2.4.4 排查并清理竞品挖矿活动——init0文件

init0文件是一个可以全面排查并清理与挖矿活动相关的工具,该工具主要功能是检测并终止与加密货币挖矿相关的活动,包括清理文件、结束进程和阻断网络连接。

\"图

图 3‑11 排查并清理竞品挖矿活动

3.2.4.5 挖矿程序——kswapd00

该文件为开源挖矿程序XMRig改编而来,使用的版本为6.22.1,将挖矿配置文件内置在程序中。

\"图

图 3‑12 开源挖矿程序XMRig改编

3.2.5 b文件夹

3.2.5.1 执行后续脚本——a文件

a文件的主要功能是执行stop文件以及创建一个新的脚本sync并运行run文件。

\"图

图 3‑13 执行run文件

3.2.5.2 终止特定进程——stop文件

stop文件主要功能是终止一系列特定的进程,并且删除特定的文件。

\"图

图 3‑14 终止一系列特定的进程

3.2.5.3 IRC后门程序——run文件

run文件实际是一个ShellBot的Perl脚本,由开源Perl脚本Stealth Shellbot改编而来,通过443端口连接到IRC服务器,主要功能为端口扫描、DDoS攻击、反向Shell和发回状态消息等。

\"图

图 3‑15 IRC后门程序

3.2.6 c文件夹

3.2.6.1 执行后续脚本——start

start文件会创建一个名为aptitude的Shell脚本,然后利用该脚本执行run文件。

\"图

图 3‑16 执行run文件

3.2.6.2 检查系统的CPU物理核心数和架构——run文件

run文件的主要功能是根据系统的CPU物理核心数和架构来决定是否在后台运行top程序,以及在运行前是否需要执行额外的等待和执行stop文件操作。

\"图

图 3‑17 检查系统的CPU物理核心数和架构

3.2.6.3 批量终止挖矿进程相关任务——stop文件

stop文件主要功能是批量终止与特定挖矿进程或系统监控进程等相关的任务,并清理临时文件。

\"图

图 3‑18 批量终止挖矿进程相关任务

3.2.6.4 获取目标主机系统架构——top文件

top文件首先会获取目标主机的系统架构,根据系统架构调整默认线程数,arm架构线程数设置为75,i686架构线程数设置为325,其他架构默认线程数为475。

\"图

图 3‑19 获取目标主机系统架构

随后执行kthreadadd脚本并传递参数,为后续扫描做准备。

\"图

图 3‑20 执行kthreadadd脚本并传递参数

3.2.6.5 对目标主机进行适配——kthreadadd

kthreadadd文件针对不同系统架构提供对应的可执行文件,确保在目标设备上能够正确运行扫描程序。

\"图

图 3‑21 对目标主机进行适配

3.2.6.6 扫描和暴力破解工具——kthreadadd32/kthreadadd64文件

kthreadadd32/kthreadadd64文件是针对不同架构扫描和暴力破解工具,通过top文件传来的参数进行扫描,对扫描出来的IP地址进行针对性的22端口暴力破解。

\"图

图 3‑22 扫描和暴力破解工具命令行界面

该工具存在如下C2服务器地址连接。

\"图

图 3‑23 C2服务器地址

Outlaw挖矿僵尸网络落地排查与清除方案

4.1 Outlaw挖矿僵尸网络落地识别

1. 计划任务

/home/用户名/.configrc7/cron.d\n*/30 * * * *    /tmp/.kswapd00 || /home/pc/.configrc7/a/kswapd00 > /dev/null 2>&1\n5 6 */2 * 0    /home/pc/.configrc7/a/upd>/dev/null 2>&1\n@reboot    /home/pc/.configrc7/a/upd>/dev/null 2>&1\n5 8 * * 0    /home/pc/.configrc7/b/sync>/dev/null 2>&1\n@reboot    /home/pc/.configrc7/b/sync>/dev/null 2>&1\n0 0 */3 * *    /tmp/.X2pP-unix/.rsync/c/aptitude>/dev/null 2>&1

2. 文件

/tmp/.X2pP-unix/*\n/tmp/.kswapd00\n/home/用户名/.configrc7*(root用户/root/.configrc7)\n/var/tmp/.kswapd00

3. 进程名

kthreadadd32/64\nkauditd0

edac0

4.  网络

185.165.169.188\n179.43.139.83\n88.218.17.122:80\n179.43.139.84\n179.43.139.85\n185.247.224.154:80

5. SSH公钥

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw==    mdrfckr


4.2 清除方案

1.  删除计划任务

crontab -r

2. 删除相关文件

rm -rf /tmp/.X2pP-unix\nrm -rf /tmp/.kswapd00\nrm -rf /var/tmp/.kswapd00\nrm -rf /home/用户名/.configrc7(root用户/root/.configrc7)

3. 结束相关进程

kthreadadd32/64\nkauditd0\nedac0

4. 删除SSH密钥

rm -rf /home/用户名/.ssh/authorized_keys


5 事件对应的ATT&CK映射图谱

针对攻击者投放挖矿木马的完整过程,安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

\"图

图 5‑1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示:

表 5‑1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

侦察

主动扫描

扫描22端口

初始访问

利用外部远程服务

利用SSH远程访问

执行

利用命令和脚本解释器

使用shell脚本

持久化

利用外部远程服务

利用SSH公钥持久化

利用计划任务/工作

创建计划任务

防御规避

修改文件和目录权限

修改文件和目录权限

删除信标

删除自身

混淆文件或信息

使用混淆技术混淆文件

凭证访问

暴力破解

SSH暴力破解

网络嗅探

扫描特定端口

命令与控制

使用应用层协议

使用IRC协议

影响

资源劫持

占用CPU资源

6 防护建议

针对挖矿攻击,安天建议企业采取如下防护措施:

1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本;

2. 加强SSH口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3. 及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;

4. 及时更新第三方应用补丁:建议及时更新第三方应用如Redis等应用程序补丁;

5. 开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

6. 主机加固:对系统进行渗透测试及安全加固;

7. 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

8. 安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

建议企业用户部署专业的终端安全防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。安天智甲终端安全系列产品(以下简称“智甲”)依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。

智甲客户端通过主动防御能力实时检测本地脚本执行行为,对执行脚本进行威胁检测,一旦发现启动脚本为恶意文件,可自动拦截并向用户发送风险告警,保障终端环境安全。

\"图

图6-1运行恶意脚本时智甲成功拦截

7 IoCs

IoCs

88.218.17[.]122

179.43.139[.]84

179.43.139[.]85

185.165.169[.]188

185.247.224[.]154

sglt5wettkyseyxrvlmn453ivmeb3zqzqu3b3sgspcuxf2h6ggx2i4qd.onion

179.43.139[.]83

179.43.180[.]82

179.43.180[.]83

185.247.224[.]154

185.196.9[.]59

185.196.8[.]139

hxxp://188.165.194.59/tddwrt7s.sh

hxxp://188.165.194.59/dota3.tar.gz

hxxp://193.86.16.40/tddwrt7s.sh

hxxp://193.86.16.40/dota3.tar.gz

hxxp://161.35.72.143/tddwrt7s.sh

hxxp://80.79.125.90/dota3.tar.gz

hxxp://157.245.129.95/dota3.tar.gz

hxxp://152.32.202.213/dota3.tar.gz

hxxp://185.140.12.250/dota3.tar.gz

hxxp://188.165.194.59/dota3.tar.gz

hxxp://161.35.231.77/dota3.tar.gz

hxxp://213.199.46.247/dota3.tar.gz

6DA1E7B40CE4DDD784ABBA9594EF4468

1C36E8AAAC825BCB9A086ECF2A471C89

E8FFC6AAC5C2784B10319C25D229A44E

99EF3C8F719E40E4A2DBC34C45F6FB64

DD83F74474E80FCD3CA122AA9A05D583

5B4E8EFF7A4C6AC80AE09EB26D0617BF

参考资料

[1] 安天.典型挖矿家族系列分析一 丨Outlaw(亡命徒)挖矿僵尸网络[R/OL].(2022-11-03)

https://www.antiy.cn/research/notice&report/research_report/20221103.html

", "pubDate": "Wed, 15 Jan 2025 15:56:56 +0800", "author": "安天" }, { "title": "Adobe 发布带有 PoC 漏洞代码的严重 ColdFusion 错误提醒", "link": "https://www.4hou.com/posts/8gYW", "description": "

Adobe 发布了安全更新,以利用概念验证 (PoC) 漏洞利用代码来解决关键的 ColdFusion 漏洞。该漏洞(编号为 CVE-2024-53961)是由影响 Adobe ColdFusion 2023 和 2021 版本的路径遍历漏洞引起的,攻击者可以读取易受攻击的服务器上的任意文件。

Adobe 表示:“Adobe 意识到 CVE-2024-53961 具有已知的概念验证,可能会导致任意文件系统读取”,同时还提醒客户,它为该漏洞分配了“优先级 1”严重性评级,因为对于给定的产品版本和平台,它“被野地利用的风险更高”。

该公司建议管理员尽快安装当前的紧急安全补丁(ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12),并应用 ColdFusion 2023 和 ColdFusion 2021 锁定指南中概述的安全配置设置。

虽然 Adobe 尚未透露此漏洞是否已被广泛利用,但它建议客户应当查看其更新的串行过滤器文档,以获取有关阻止不安全的 Wddx 反序列化攻击的更多信息。

正如 CISA 在 2024 年 5 月份那样,敦促软件公司在发布产品之前清除路径遍历安全漏洞,攻击者可以利用此类漏洞访问敏感数据,包括可用于暴力破解现有帐户并破坏目标系统的凭据。

至少从 2007 年起,像目录遍历这样的漏洞就被称为‘不可原谅的’。尽管有这一发现,目录遍历漏洞(例如 CWE-22 和 CWE-23)仍然是常见的漏洞类别。

此前,CISA 还命令联邦机构在 8 月 10 日之前确保其 Adobe ColdFusion 服务器的安全,防止攻击中利用的两个关键安全漏洞(CVE-2023-29298 和 CVE-2023-38205),其中一个是零攻击漏洞。

如今,美国网络安全机构还透露,自 2023 年 6 月以来,黑客一直在使用另一个关键的 ColdFusion 漏洞 (CVE-2023-26360) 来破坏过时的政府服务器,同样的漏洞已在“非常有限的攻击”中被积极利用。

", "pubDate": "Wed, 15 Jan 2025 12:00:00 +0800", "author": "胡金鱼" }, { "title": "CACTER直播预告:大模型网关新品抢先知,惊喜积分礼盒等您兑", "link": "https://www.4hou.com/posts/YZYY", "description": "

在当今时代,大语言模型(LLM)和生成式人工智能(AIGC)已成为科技界的热点,其影响力遍及各行各业,邮件安全领域也不例外。AI技术极大地提升了邮件系统的智能化水平,但同时也被恶意攻击者所利用,使得钓鱼邮件和恶意软件的攻击变得更加隐蔽和难以防范,呈现出明显的双刃剑特性。

攻击者通过AI算法深入分析目标企业的邮件模式,精心设计出极具欺骗性的钓鱼邮件。这些邮件在内容和语言风格上与正常邮件难以区分,能够巧妙地绕过传统邮件安全网关的检测,对邮件安全构成严重威胁。

面对AI+钓鱼邮件的挑战,安全厂商正不断提升防御能力。在此背景下,CACTER凭借其在邮件安全网关技术领域的深厚积累,结合清华智谱大模型的深度学习算法,推出CACTER大模型邮件安全网关旨在以“AI之盾”防御“AI之矛”,为邮件安全提供强有力的保障

CACTER大模型邮件安全网关融合了自然语言处理(NLP)技术、现有的机器学习和计算机视觉技术,通过AI驱动的行为分析技术,监控用户行为模式和收发信语义,能够有效识别潜在的钓鱼攻击和异常行为,相比传统邮件安全网关,面对新型恶意威胁检出率极大提升

此次直播,除了为您深度揭秘大模型URL沙箱AI赋能的运维管理功能外,还将重点介绍专为企业重要角色量身打造的“高管邮箱增强保护”功能模块。我们将详细讲解如何借助先进的大模型检测技术,迅速、精准地应对针对企业高管等重要角色发起的新型恶意邮件攻击,全方位守护企业核心人物的邮件安全。

想要了解更多关于CACTER大模型邮件安全网关的功能亮点和应用场景,以及未来的产品规划?一切尽在1月16日(周四)15点CACTER直播间。届时,您将第一时间了解到新品预告,回顾2024年邮件安全网关的迭代历程,以及CACTER品牌的年度大事记。此外,还有蛇年专属积分兑换礼盒等您领取。

1月16日(周四)15:00-16:00

大模型网关新品抢先知 惊喜积分礼盒等您兑

在这里,您将看到:

1、新品预告:大模型邮件安全网关新品重磅预告

2、技术回顾:2024年网关版本迭代历程

3、品牌回顾:CACTER品牌年度回顾大事记

4、福利来袭:蛇年专属积分兑换礼盒等你领

除了新品预告和年度回顾,CACTER还为您准备了丰富的礼品。还在等什么,精彩“邮”你,“码”上报名!

\"1.新春专场直播海报-1125x2436px.jpg\"/

", "pubDate": "Tue, 14 Jan 2025 15:31:52 +0800", "author": "Coremail邮件安全" }, { "title": "喜报!360入围中央国家机关及多地省政府采购名单", "link": "https://www.4hou.com/posts/ZgGg", "description": "

近日,中央国家机关2024年度杀毒软件框架协议联合征集采购项目入围名单正式公布。360数字安全集团凭借360终端安全管理系统的领先技术优势成功入围,充分体现了政府部门对于360数字安全集团自主研发实力、实战能力与创新实践的高度认可。

\"图片3.png\"/

中央国家机关2024年度杀毒软件框架协议联合征集采购项目是由中央国家机关政府采购中心、安徽省政府采购中心、云南省政府采购和出让中心、吉林省公共资源交易中心(吉林省政府采购中心)联合组织招投标,采购单位覆盖国务院各部委、各直属机构、直属特设机构、办事机构、直属事业单位和有关人民团体等中央国家机关各部门各单位及其所属各级行政事业单位,参与本次联合征集的有关省市的采购人,以及在中央政府采购网注册的其他采购人等上万个机关单位。因此,此次招标项目对候选产品的产品性能、技术含量、售后服务及企业信誉等各方面综合标准要求极高,具有很强的权威性及示范性,是业内招标采购的风向标。

作为国内唯一兼具人工智能和数字安全能力的公司,360基于过去20年实战经验,构建了“看见+处置”为核心的数字安全运营服务体系,打造出数字安全中国方案。作为其中的重要组成,此次入围的360终端安全管理系统在病毒查杀能力、终端高级防御能力、立体勒索防御能力、APT对抗能力上拥有显著优势,累计服务政企客户数超10000家。

在安全大模型的赋能下,360终端安全管理系统在近期对外发布的终端All in One 5.0八大场景解决方案中,威胁检测能力和终端安全运营效率得到显著提高,构建出在终端主动防御场景的“5能+3化”体系。

其中,“5能”分别为情报能力:掌握全球400余个组织威胁情报,1800多个APT武器模型,累计发现54个APT组织;

云端大数据能力:15亿+的互联网终端部署量,云端310亿+样本数量等高质量数据,为威胁对抗提供了强有力的支撑;

安全大模型能力:安全大模型全面赋能,实现看的全,看的准,处置及时;

引擎能力:四大特有引擎深度协作,全面准确扼杀病毒,即使变种也难逃法眼;

主防能力:基于行为的主动防御,构建系统风险防御、漏洞利用防御、勒索风险防御、软件自我保护、登录防御、入口风险防御等20多个维度,超过100个防御锚点。

\"图片4.png\"/

 “3化”则包含了,一是体系化的安全管控。360终端安全管理系统集成了高级威胁发现、防病毒、漏洞防护、停服加固、终端合规管控、终端准入、终端审计、数据安全、主机加固管理等安全能力于一体,能够实现终端安全管控一体化,后台管理一体化,构建可维护、易维护的终端安全运维体系。

二是场景化的实战对抗。360长期与国家级APT组织、黑灰产网络犯罪组织战斗在一线,截止目前,累计帮助我国发现54个境外APT组织。基于实战经验的核心赋能,360终端安全管理系统全面覆盖包括勒索软件防护、挖矿攻击防护、APT攻击防护、攻防演练、重大事件响应、等级保护合规性以及数据安全等多个场景,全方位提升端点威胁防御能力。

三是智能化的安全防御。为了提升高级威胁发现的效率,360安全大模型已全面赋能360终端安全管理系统,在安全大模型加持下,360终端安全管理系统能够实现智能化风险研判,运用大模型专家库、技能库实现漏洞捕获、高级威胁猎杀,增强“看见与处置”能力。

目前,360已与众多部委、央企、大型金融机构、运营商以及上百万中小企业开展了数字安全合作,持续提供优质的数字安全技术、产品和服务。此次成功入围是对360数字安全集团安全能力的又一次有力认可与肯定。未来,360将继续专注自主创新,夯实技术储备,为全面保障国家及各政府部门的数字安全建设贡献更多力量。

", "pubDate": "Tue, 14 Jan 2025 15:26:22 +0800", "author": "胡金鱼" }, { "title": "2024 年加密货币钱包盗取事件金额多达 4.94 亿美元", "link": "https://www.4hou.com/posts/wxgX", "description": "

去年,诈骗者在针对超过 300,000 个钱包地址的钱包耗尽攻击中窃取了价值 4.94 亿美元的加密货币,比 2023 年增加了 67%,受害者人数仅增加了 3.7%,表明受害者平均持有金额更多。

这些数据来自 web3 反诈骗平台“Scam Sniffer”,该平台已经追踪钱包盗取活动有一段时间,之前报告的攻击浪潮一次影响了多达 10 万人。

钱包加密流水机是专门设计用于从用户钱包中窃取加密货币或其他数字资产的网络钓鱼工具,通常部署在虚假或受损的网站上。

2024 年,Scam Sniffer 观察到 30 起通过钱包盗取者进行的大规模(超过 100 万美元)盗窃案,其中最大的一起盗窃案兑现了价值 5540 万美元的加密货币。这种情况发生在今年年初,当时比特币价格上涨助长了网络钓鱼活动。今年第一季度,共有 1.87 亿美元通过钱包盗用攻击被盗。

\"losses.webp.png\"/

每月损失金额和受影响的钱包数量

今年第二季度,一个名为“Pink Drainer”的著名流水服务宣布退出,该服务此前曾冒充记者进行网络钓鱼攻击,以危害 Discord 和 Twitter 账户,实施加密货币窃取攻击。

尽管这导致网络钓鱼活动有所减少,但诈骗者在第三季度开始逐渐加快步伐,其中 Inferno 服务带头,在 8 月和 9 月总共造成了 1.1 亿美元的损失。最终,该活动在今年最后一个季度被平息,仅占 2024 年记录的总损失的 10.3% 左右。ScamSniffer 表示,当时 Acedrainer 也成为主要参与者,占据了加密流水机市场的 20% 。

\"drainers.webp.png\"/

加密流水机每月活动

大部分损失 (85.3%) 发生在以太坊上,金额达 1.52 亿美元,而质押 (40.9%) 和稳定币 (33.5%) 是最有针对性的损失之一。

关于 2024 年的趋势,Scam Sniffer 强调了使用虚假 CAPTCHA 和 Cloudflare 页面以及 IPFS 来逃避检测,以及促进金钱盗窃的签名类型的转变。

具体来说,大多数盗窃案都是依靠“Permit”签名(56.7%)或“setOwner”(31.9%)来窃取资金。第一个根据 EIP-2612 标准批准代币支出,而第二个则更新智能合约所有权或管理权限。

另一个值得注意的趋势是越来越多地使用 Google Ads 和 Twitter 广告作为网络钓鱼网站的流量来源,攻击者使用受感染的帐户、机器人和虚假代币空投来实现其目标。

\"fakes-X.webp.png\"/

X 上推动加密货币流失的虚假账户数量

为了防止 Web3 攻击,建议仅与受信任和经过验证的网站进行交互,与官方项目网站交叉检查 URL,在签名之前阅读交易批准提示和权限请求,并在执行交易之前模拟交易。

许多钱包还提供针对网络钓鱼或恶意交易的内置提醒,因此请务必启用这些提醒。最后,请使用令牌撤销工具来确保没有可疑权限处于活动状态。

", "pubDate": "Tue, 14 Jan 2025 12:00:00 +0800", "author": "胡金鱼" }, { "title": "国投智能2024年度十大事件揭晓", "link": "https://www.4hou.com/posts/XPXV", "description": "

回望2024,这是一个挑战与机遇并存的年份,也是国投智能以科技创新为引擎,加速产业变革,铸就新篇章的关键一年。在这一年里,国投智能凭借其在人工智能、大数据等多个领域的深厚积累与前瞻布局,不仅实现了自身业务的飞速发展,更为国家科技发展和产业升级贡献了重要力量。值此岁末年初,国投智能2024年度十大事件正式发布,让我们一起回顾!

2024年度十大事件

01 国投智能ALL IN AI,科技赋能产业创新再突破

2024年,国投智能紧密响应党中央、国资委及国投集团的号召与指引,积极顺应新一轮科技革命与产业变革的大势,毅然投身于人工智能这一引领未来的前沿科技领域。公司集中优势资源,增加创新投入,致力于将人工智能技术深度融入集团的数字化转型战略之中。通过推动公司各业务线产品向大模型化演进,国投智能不仅极大地激发了科技创新的内生动力与活力,还在科技创新工作中取得了显著的新突破,为集团的持续发展注入了强大动能。

公司自主研发的美亚“天擎”大模型,成为国内首个通过备案的公共安全领域大模型算法。以“天擎”为基座,公司推出自主可控、多端适用的大模型对话平台Qiko及大模型智能体构建平台Qiko+,目前已在公安、司法、海关等行业部署应用。Qiko在推动各业务线产品大模型化的同时,还赋能国投集团打造“公文助手”“集团员工小助手”“法律(合同)助手”“财务助手”等应用,上线“国投AI数字人”,为集团数字化转型和智能化升级注入新活力。

在第五届中国人工智能大赛中,国投智能在“大模型安全攻防赛”、“AIGC视频检测赛”、“人工智能赋能政府服务场景能力验证赛”三个赛道中荣获最高等级A级证书(金奖)。此次获奖是对公司人工智能领域技术实力的高度认可,展现了公司在人工智能领域领先的技术算法实力、业务落地能力和团队协作能力。

\"微信图片_20250114111213.png\"/

02 国投智能再次获评国资委“科改示范企业”专项考核标杆,加快培育新质生产力

2024年,国投智能再次在国务院国资委中央企业“科改行动”“双百行动”2023年度专项考核中获评标杆,该事件也被纳入“激励国投”2024年度十大要事中。自2022年3月入选“科改示范企业”以来,国投智能积极落实各项改革工作,持续深化改革力度,在完善公司治理、健全市场化选人用人、强化市场化激励约束、激发科技创新动能等方面,均取得了显著成效。

截至2024年12月31日,国投智能共取得授权专利781项,国际专利5项,有效注册商标135项,软件著作权1240项,参与制定24 项国家标准、33项行业标准、18项地方标准。

在国投集团公布的首批科技创新平台暨科技创新人才培养示范基地名单中,国投智能被授予“国投集团AI万链实验室”暨“国投集团科技创新人才培养示范基地(人工智能领域)”。这是集团对重点科技型企业赋能的有力举措,有利于加强国投智能在AI领域的科研能力,强化科技人才的引育用留,助力公司发质量发展,加快推进集团的数字化转型和新质生产力的培育。

此外,由国投集团选送的国投智能“以自主技术乾坤大数据操作系统为技术基座,开发电子数据取证、公共安全大数据等网络空间安全产品得到广泛应用”案例入选“2023年度中国企业新质生产力优秀案例(首批·百佳)”。该奖项在第二十一届中国企业发展论坛暨“2023年度中国企业影响力十件大事”系列发布仪式上发布。

\"微信图片_20250114111227.jpg\"/

03 国投智能并购南京金鼎科技,开启纪检监察行业发展新篇章

2024年10月22日,国投智能收购南京金鼎嘉崎信息科技有限公司55%股权签约仪式在厦门举行,南京金鼎正式成为国投智能控股子公司。此次并购是国投智能由国投集团直接管理后的第一个并购项目,符合国投智能战略定位,能够与既有电子数据取证业务有效协同并开拓新行业市场,形成新的业务增长点,助力实现规划发展目标。同时,进一步提升服务政府和企业数字化转型的数字化、智能化服务能力。

下一步,国投智能将践行国有资本投资公司的目标和使命,赋能并增强南京金鼎科技的产业竞争力,实现其与国投智能的紧密融合,达到“1+1>2”的协同效应。同时,公司将着力提高南京金鼎科技在支持政府数字化转型方面的能力,以期在更广泛的领域提供更加高效、专业的服务。

\"微信图片_20250114111317.png\"/

04 优化国投云网股权:引入集团资源支持,打造专业化央企数科公司

2024年,为落实国投集团“十四五”信息化和数字化规划各项举措,支持全资子公司国投云网提升服务集团信息化建设和数字治理能力,推进企业端(TO B)业务。国投智能进行股权优化,向国投集团转让其持有的国投云网40%股权。

该举措将助力国投云网提升服务国投集团信息化建设和数字治理能力,赋能国投云网健康可持续发展,在快速变化的数字科技领域提升竞争力。同时,为国投云网拓展更多业务及合作的窗口,增加在行业内的影响力和话语权,推动国投智能可持续发展。

2024年度,国投云网成功中标集团信息系统运维服务项目,这是落实集团战略与管理优化要求的重要成果,更标志着国投云网全面承接集团信息化服务工作的崭新起点。同时,国投云网持续拓展面向企业侧的信息化、数字化业务,通过提供优质的解决方案和服务,赋能中石化、雅砻江水电、国投罗钾等央国企的数字化转型。

\"微信图片_20250114111407.jpg\"/

05 荣获国际顶级认可!国投智能顺利通过CMMI5级认证

2024年,国投智能顺利通过CMMI5级(最高等级)认证,并荣获CMMI5级证书,标志着公司在软件研发领域的卓越追求与创新实践取得了显著成效,也成为了公司研发体系向标准化、规范化以及国际化进程迈进的一座重要里程碑,彰显了公司在行业内的领先地位与持续优化的能力。

CMMI全称Capability Maturity Model Integration(能力成熟度集成模型),是全球公认的权威标准,旨在衡量企业研发能力成熟度和项目管理水平,其中CMMI5为最高等级。能否通过CMMI认证已经成为业内衡量软件企业工程开发能力的重要标志之一。

\"微信图片_20250114111436.png\"/

06 第十届“美亚杯”电子数据取证大赛及国际赛圆满举行

2024年11月9日至10日,由国投智能承办的“美亚杯”第十届中国电子数据取证大赛暨数智安全新技术研讨会在厦门成功举行,来自全国政府单位、高校、研究所、专业机构、企业等的近3000名取证精英、近1000支参赛队伍同台竞技。其中,包括赣南科技学院、深圳信息职业技术学院等近30所综合类院校首次参与角逐。大赛同期举办“取证大牛内部赛”,“内部赛”严格遵循“美亚杯”大赛的规范与标准,实行独立计分与排名机制,与公开赛成绩相较,无论是个人赛还是团体赛,美亚柏科参赛队伍均获得职业组第一的佳绩。

截至目前,“美亚杯”已成功举办十届,凭借其专业性、权威性与实践性,吸引了众多优秀选手踊跃参与,累计参赛人数超过万人。

\"微信图片_20250114111458.jpg\"/

07 国投智能成功转让孵化企业美亚亿安20%股权

2024年,国投智能成功转让美亚亿安20%股权,引入战略投资者,这一举措充分助力美亚亿安拓宽市场资源,也标志着国投智能在资本运作与成果转化上取得新成就。通过精准布局与适时退出,国投智能实现了国有资产保值增值,为数字经济、智能制造等领域的未来布局奠定了坚实基础。

\"微信图片_20250114111522.jpg\"/

08 中标某省大数据应用平台项目,公共安全大数据业务步入新阶段

2024年,国投智能全资子公司新德汇成功中标某省大数据应用平台项目。该项目的中标标志着公司开启了该省公共安全大数据平台主体建设的新阶段,为后续建设更高层级、更广维度的大数据平台铺就稳固轨道,有助于进一步开拓行业市场。该平台将进一步助力执法部门横向加强与通信、互联网、金融等多行业的合作,实现线索的高效流转与处置;纵向对接上级单位,精准下达指令,为保障该省社会公共安全筑起坚实屏障。

\"微信图片_20250114111545.png\"/

09 国投智能加速推进网络安全业务,应用落地取得新成果

2024年,国投智能加速推进网络安全业务的布局与深化,国投智能控股子公司安胜依托“星盾”多源威胁检测响应平台打造全方位的网络安全防护体系,集成网络安全大模型能力,极大提升了平台的风险感知准确率和风险自动处置能力,为网络安全运营体系建设提供了场景实践。安胜联合厦门工学院申报的网络安全综合防控平台项目入选国家级试点示范项目,为福建省唯二入选的两家企业之一,充分展示了公司的技术创新与产品实力。

在项目落地方面,安胜成功中标福厦机场建设信息安全检测与服务项目。福厦机场是中央支持福建全方位推进高质量发展超越的重大基础设施。安胜正以此项目为基础,积极打造机场网络安全建设领域的咨询规划标杆案例,着力在推动城市基础设施现代化进程中发挥重要作用。

\"微信图片_20250114111607.jpg\"/

10 出版国内首套电子数据取证分析师教材,国投智能职业技能培训全面升级

2024年,国投智能进一步升级并优化了职业技能培训体系,推动职业教育再创新高。一是编写出版了国内首套《电子数据取证分析师》(国家职业资格三、四级)专业教材,填补了国内在该领域职业培训教材的空白,有力促进了该职业的专业化发展;二是入选福建省人力资源和社会保障厅2024年省级高级技能人才培训基地备案名单及第二批省级专业技术人员继续教育基地名单,为公司职业技能培训与继续教育提供了更广阔的平台;三是顺利通过新职业“人工智能训练师”职业技能等级认定的专家评审,为培训及考核认定工作奠定基础,有力增强了公司在该领域的影响力和市场竞争力;四是与全资子公司江苏税软合作推出人力资源和社会保障部社会保障能力建设中心的电子数据调账分析技术职业培训认证项目,并成功开展四期培训,进一步推动了电子数据调账分析技术在相关领域的应用与发展。

\"微信图片_20250114112054.jpg\"/

展望2025年,国投智能将站在新的历史起点上,继续秉承“数据更智能,网络更安全”的使命,深化科技创新与产业升级的融合,推动公司向更高质量、更高水平迈进。我们将进一步优化战略布局,加大在前沿科技领域的研发投入,加快培育新兴产业,提升核心竞争力。

同时,国投智能也将积极响应国家号召,深化国企改革,激发内部活力,为公司的可持续发展注入强劲动力,持续服务国家“网络空间安全”和“数字中国”战略,力争早日成为全球领先的数据智能与安全服务公司,为实现中华民族伟大复兴的中国梦贡献更大的力量。

", "pubDate": "Tue, 14 Jan 2025 11:36:48 +0800", "author": "企业资讯" }, { "title": "国家网络安全通报中心:重点防范境外恶意网址和恶意IP", "link": "https://www.4hou.com/posts/VW2o", "description": "

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、网络钓鱼、窃取商业秘密和知识产权、侵犯公民个人信息等,对中国国内联网单位和互联网用户构成重大威胁,部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及:美国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下:

一、恶意地址信息

(一)恶意地址:gael2024.kozow.com

关联IP地址:149.28.98.229

归属地:美国/佛罗里达州/迈阿密

威胁类型:后门

病毒家族:AsyncRAT

描述:该恶意地址关联多个AsyncRAT病毒家族样本,部分样本的MD5值为50860f067b266d6a370379e8bcd601ba。相关后门程序采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式shell,以及访问特定URL等。这些病毒可通过移动存储介质、网络钓鱼邮件等方式进行传播,现已发现多个关联变种,部分变种主要针对中国境内民生领域的重要联网系统。

(二)恶意地址:185.174.101.218

归属地:美国/加利福尼亚州/洛杉矶

威胁类型:后门

病毒家族:RemCos

描述:该恶意地址关联到多个RemCos病毒家族样本,部分样本的MD5值为56f94f8aed310e90b5f513b1eb999c69。RemCos是一款远程管理工具,自2016年起就已存在。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。最新版本的RemCos可以执行各种恶意活动,包括键盘记录、截取屏幕截图和窃取密码。

(三)恶意地址:counterstrike2-cheats.com

关联IP地址:45.137.198.211

归属地:荷兰/北荷兰省/阿姆斯特丹

威胁类型:僵尸网络

病毒家族:mirai
描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。

(四)恶意地址:bot.merisprivate.net

关联IP地址:194.120.230.54

归属地:荷兰/北荷兰省/阿姆斯特丹

威胁类型:僵尸网络

病毒家族:mirai

描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。

(五)恶意地址:localvpn.anondns.net

关联IP地址:37.120.141.162

归属地:荷兰/北荷兰省/阿姆斯特丹

威胁类型:后门

病毒家族:Nanocore

描述:该恶意地址关联到Nanocore病毒家族样本,部分样本的MD5值为954866a242963b6a2caadf0c5b7df5e1,Nanocore是一种远程访问木马,被用于间谍活动和系统远程控制。攻击者获得感染病毒的主机访问权限,能够录制音频和视频、键盘记录、收集凭据和个人信息、操作文件和注册表、下载和执行其它恶意软件负载等。Nanocore还支持插件,能够扩展实现各种恶意功能,比如挖掘加密货币,勒索软件攻击等。

(六)恶意地址:bueenotgay.duckdns.org

关联IP地址:217.15.161.176

归属地:新加坡

威胁类型:僵尸网络

病毒家族:MooBot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,攻击成功后,受害设备将下载并执行MooBot的二进制文件,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

(七)恶意地址:sidiaisi168.com

关联IP地址:154.211.96.238

归属地:新加坡

威胁类型:后门

病毒家族:Farfli

描述:该恶意地址关联到多个Farfli病毒家族样本,部分样本的MD5值为b860f4174f47f3622d7175f1e66b49c2。Farfli是一种远控木马,能够通过网络下载、软件捆绑、网络钓鱼等多种方式传播。其允许远程攻击者执行多种远控操作,比如监控电脑屏幕、键盘记录、下载安装任意文件、窃取隐私信息,甚至还可以控制感染的计算机发起DDoS攻击。

(八)恶意地址:94.122.78.238

归属地:土耳其/伊斯坦布尔省/伊斯坦布尔

威胁类型:僵尸网络

病毒家族:gafgyt

描述:这是一种基于因特网中继聊天(IRC)协议的物联网僵尸网络病毒,主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描,攻击网络摄像机、路由器等IoT设备,攻击成功后,利用僵尸程序形成僵尸网络,对目标网络系统发起分布式拒绝服务(DDoS)攻击,可能造成大面积网络瘫痪。

(九)恶意地址:windowwork.duckdns.org

关联IP地址:103.88.234.204

归属地:墨西哥/墨西哥联邦区/墨西哥城

威胁类型:后门

病毒家族:RemCos

描述:该恶意地址关联到多个RemCos病毒家族样本,部分样本的MD5值为6dfbc8b366bd1f4ebd33695b8f8fa521。RemCos是一款远程管理工具,自2016年起就已存在。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。最新版本的RemCos可以执行各种恶意活动,包括键盘记录、截取屏幕截图和窃取密码。

(十)恶意地址:cnc.loctajima.website

关联IP地址:103.28.35.146

归属地:越南/胡志明市

威胁类型:僵尸网络

病毒家族:MooBot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,攻击成功后,受害设备将下载并执行MooBot的二进制文件,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

二、排查方法

(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网络和IP发起通信的设备网上活动痕迹。

(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。

三、处置建议

(一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。

(二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。

(三)向有关部门及时报告,配合开展现场调查和技术溯源。

文章来源自:中国国家网络与信息安全信息通报中心

", "pubDate": "Fri, 10 Jan 2025 18:11:53 +0800", "author": "胡金鱼" }, { "title": "Check Point:企业如何应对复杂网络挑战?", "link": "https://www.4hou.com/posts/W1Ko", "description": "

在刚刚过去的2024年,AI应用不断扩展,各式新型智能设备、新能源汽车也在不断普及。远程办公、云服务及移动设备的广泛采用拓展了传统的网络边界,不仅加大了确保安全高效访问资源的难度,而且还带来了基于 Web 的威胁。以上种种对企业网络架构的灵活性、安全性和性能之间的平衡提出了挑战,同时也为安全访问服务边缘 (SASE)解决方案的发展提供了契机。

SASE 能够将广域网 (WAN) 功能与全面的安全防护服务(如安全 Web 网关 (SWG)、防火墙即服务 (FWaaS)、零信任网络访问 (ZTNA) 等)整合到单个云端解决方案中。这种技术融合支持企业安全、无缝地访问应用和数据,而不受用户所在位置或所用设备的限制。由于其创新性的理念以及灵活的架构,SASE在全球以及中国市场得到了IT从业人员普遍认可。在IDC刚刚推出的预测中,SASE在中国的市场规模于2025年将突破10亿元大关。在全球市场上,预计到 2028 年市场规模将达到 59 亿美元

尽管SASE在面临当下复杂多变的网络环境时,能够帮助企业更加从容应对来自多个向量的安全挑战。但如何选择一款成熟、领先的基于SASE的解决方案仍然是CIO、CTO们需要深思熟虑的问题。Check Point公司中国区技术总监王跃霖表示:“随着数字领域和物理领域之间的界限越来越模糊,企业需要采用一种全面、整合、协同的安全战略。这也是Check Point持续在该领域发力,并成功推出 Harmony SASE解决方案的原因。该解决方案由三个关键组件组成:设备网络保护、云端网络保护以及内置 SD-WAN和物联网安全防护的统一安全网关。随着更多企业拥抱混合办公模式和云集成,Harmony SASE将成为安全网络的未来。”Harmony SASE具有以下技术特点:

1. 管理和可视性:许多公司依靠东拼西凑的单点解决方案来保护 SD-WAN、VPN 和端点安全,致使形成安全孤岛从而漏洞频出。Harmony SASE 统一了这些功能,可提供全面的管理控制和出色的网络可视性。

2. 随时随地安全访问:借助 Harmony SASE,IT 管理员可保障各种位置之间的连接安全无虞,从而优化远程团队的安全访问。SASE 利用由超过 75 个接入点 (PoP) 组成的全局网络,确保企业员工能够随时随地建立安全连接。

3. 零信任应用访问:Harmony SASE 允许按应用授予细粒度访问权限。这可确保只有授权用户才能访问特定应用,有助于在不影响工作效率的情况下增强安全防护。

4. SaaS 安全防护:Salesforce Microsoft 365 等 SaaS 平台必不可少,但却易受攻击。借助 IP 地址允许列表和第三方 SaaS 发现等功能,Harmony SASE 可以确保只有授权人员才能访问这些平台,有助于 IT 人员深入了解所有 SaaS 交互情况。

5. 安全上网:Harmony SASE 集成了高级威胁防护功能,可对可疑文件进行沙盒处理并实时分析 Web 内容,支持员工自由安全地浏览。

6. 分包商无代理访问:对于分包商、合作伙伴和自带设备 (BYOD) 用户,SASE 通过安全的 Web 门户提供了无代理访问。这既简化了安全访问,又最大限度地缩小了攻击面,因此非常适合临时用户或外部用户。

Check Point 的 Harmony SASE 将安全性、灵活性和性能整合到一个统一平台中。它集成了基本的安全和网络功能,可简化管理,提高可视性,并大幅增强企业的安全防护能力。

", "pubDate": "Fri, 10 Jan 2025 11:05:41 +0800", "author": "Check Point" }, { "title": "360发布2024年勒索软件流行态势报告,全面展现威胁传播与演化趋势", "link": "https://www.4hou.com/posts/QXK5", "description": "

近日,360数字安全集团以全年监测、分析与处置的勒索软件事件为基础,结合国内外相关一线数据和新闻报道进行研判、梳理与汇总,重磅发布《2024年勒索软件流行态势报告》(以下简称“报告”),全面展现勒索软件的传播与演化趋势,深入推演未来发展风向,助力政企机构数字安全的体系化建设,以高效抵御勒索风险。

 \"image001.jpg\"/

Web漏洞成勒索软件“新宠”

多重勒索模式致数据泄露风险激增

报告指出,2024年虽未出现单一勒索家族在短时间内的大规模爆发性攻击事件,但勒索软件仍是当前政企机构面临的头号安全风险。360基于安全大模型赋能,全年共处理超过2151例勒索攻击求助,发现77个新勒索家族,拦截43.1亿次网络暴破攻击,保护近270万台设备免遭入侵,协助约3996台设备完成勒索解密。

\"image002.png\"/


从勒索软件家族分布上看,传统家族技术与传播手段更迭迅速,新兴家族势头强劲,持续带来严重安全风险。其中,TargetCompany (Mallox)家族通过引入新的传播手段,成功跃升为年度传播量最广泛的勒索软件家族;Makop和Phobos两大老牌家族凭借其稳定的技术与渠道优势,分列年度榜单二三位置,三大勒索家族族的反馈占比近六成。RNTC和Anony等新兴家族,则以创新的攻击手段迅速崭露头角,首次出现即进入年度Top10榜单。

\"image004.png\"/


从传播方式上看,远程桌面入侵仍是导致用户中招勒索软件的主要途径;而利用漏洞对目标网络实现入侵的占比同比往年增长迅猛,与远程桌面入侵相差无几。其中,Web漏洞成为众多勒索软件家族的“新宠”,这也导致许多依赖Web服务的企业OA系统、财务软件和管理软件成为政企单位遭受勒索攻击的主要入口。

\"image006.png\"/


近年来,双重勒索或多重勒索模式风靡,勒索软件所带来的数据泄露风险也越来越大。2024 年参与双重/多重勒索活动的主要活跃勒索软件家族共计94个,家族总量与2023年相比有显著增加。

\"image008.png\"/


此外,360对全年勒索软件赎金进行跟踪发现,勒索软件攻击的规模和赎金要求达到了前所未有的水平,多家勒索软件家族在成功攻击后开出了超过千万美元的赎金。其中,Dark Angels家族向美国知名药品公司Cencora提出了7500万美元赎金诉求,并最终勒索成功,这可能是目前全球最大的一笔勒索软件成交案例。这表明勒索软件团伙的攻击目标更具针对性,赎金金额也愈发惊人。

Win10系统受灾严重

桌面PC成主要受害系统类型

360对2024年遭受勒索软件攻击的受害者人群进行分析发现,广东、山东、江苏等数字经济发达和人口密集地区仍是攻击的主要对象。

\"image010.png\"/


互联网及软件、制造业、批发零售是国内勒索软件攻击的主要目标,而金融行业所面临的威胁也有显著提升,已紧随其后位于榜单的第四名。

\"image012.png\"/


受攻击系统分布上,位居前三的系统为Windows 10、Windows Server 2008 和 Windows Server 2012。其中,Windows 10系统占比增长明显,这可能与该系统巨大的装机量,以及承载着大多中小企业的管理系统部署关联紧密。

\"image014.png\"/


从操作系统类型的角度看,受到Web漏洞入侵手段增加和Windows 10占比激增的双重影响,桌面PC的占比出现大幅提高。因此,针对政企目标的攻击依旧是勒索软件演变的发展趋势。

\"image016.png\"/


受到2024年勒索攻击的受害者身份及攻击者入侵手段的双重影响,办公文档和数据库数据依然分列受害者最“在乎”的被加密数据类型排名前两位,这一情况与2023年基本相同。


 \"image018.png\"/

AI技术普及带来巨大变革

创新是抵御勒索风险的关键方法

基于2024年中勒索软件的传播与演化趋势,报告进一步指出了未来勒索软件的发展方向,以及防御策略。 

一是AI技术的普及将为勒索攻击与安全防护带来巨大变革。一方面,黑客和攻击者已经在借助AI发起更加高效、复杂、隐蔽的网络攻击,勒索病毒自动化能力大幅提升,便是AI应用在网络攻击中的一个重要体现。另一方面,借助AI技术可以训练安全大模型,实现在离线环境中执行高效的安全分析和攻击识别,不再依赖于实时更新的情报资源;同时,AI技术在安全领域的应用可以使复杂的任务能够被自动化处理,大幅降低了政企机构安全运维的难度,这目前这一方案已经开始在360安全产品中验证并使用。

二是专业化、规模化、系统化的勒索软件攻击让中小企业面临的威胁加剧。解决这一问题的关键在于加强安全管理,但对于资源有限的中小企业而言,服务器的安全运维是一个亟待解决的现实问题。为应对这一挑战,中小企业可以考虑采用第三方托管服务(SaaS解决方案),提升其安全运维能力。通过与经验丰富的安全团队合作,企业可以更高效地识别、响应并防御安全威胁,从而以较低成本增强安全防护水平。

三是在与勒索软件攻击的对抗过程中,创新始终是打破平衡,实现突破的关键方法。作为数字安全的领导者,360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验,以及全球顶级安全专家团队等优势能力,360推出基于安全大模型赋能的勒索病毒防护解决方案,能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀,实现多方位、全流程、体系化、智能化的勒索防护。

· 让病毒进不来:在终端、流量侧部署360探针产品,通过互联网入口检测阻断等主动防御功能,能够在病毒落地时进行查杀拦截;

· 让病毒散不开:由360安全大模型支撑,对勒索病毒的异常加密行为和横向渗透攻击行为,进行智能化分析拦截和检测阻断,实现“一点发现,全网阻断”;

· 让病毒难加密:通过终端安全探针结合云端情报赋能,利用安全大模型的溯源分析能力,能够精准判断勒索病毒身份,并进行反向查杀;同时内置文档备份机制,可无感知备份日常办公文档和敏感业务数据,对备份区文件进行全面保护,不允许第三方程序对备份区进行非授权操作,从而阻断勒索病毒对备份区的加密行为;

· 加密后易恢复:该方案内置大量360独家文档解密工具及云端解密平台,云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密,能够实现加密后的全方位恢复工作。

目前,360勒索病毒防护解决方案针对不同客户体量与需求推出多元产品及服务套餐,已累计为超万例勒索病毒救援求助提供帮助。其中,基于全网安全大数据视野,360为监管、政企机构打造的勒索预警订阅服务,全年共计捕获勒索攻击事件线索5863起,涉及受害单位2148家,确认勒索病毒家族59个,攻击IP来源地涉及境外54个国家或地区,配合监管输出勒索攻击事件线索658起,覆盖全国多个地区,帮助广大政企单位构建多层次纵深防御能力,实现多方位、全流程、体系化的勒索防护。


", "pubDate": "Thu, 09 Jan 2025 17:01:01 +0800", "author": "企业资讯" }, { "title": "倒计时启动 | 第八届西湖论剑·中国杭州网络安全技能大赛,速抓最后机会!", "link": "https://www.4hou.com/posts/PGK6", "description": "

八载磨剑西湖畔,网安群英问鼎时。第八届西湖论剑·中国杭州网络安全技能大赛自2024年12月20日启动报名后,如今已进入报名的最后冲刺的时刻,尚未报名的江湖网安儿女,请速速加入这场豪杰之争,为网络强国建设贡献青春力量。

自大赛启动以来,网安江湖间流传着诸多英雄豪杰的传奇故事,来自四方的挑战者们摩拳擦掌,跃跃欲试。他们中有的已在网络安全领域崭露头角,有的则是初出茅庐的新秀,但无一例外,都怀揣着对网络安全技术的热爱与对胜利的渴望。随着报名截止时间的临近,各路参赛者的热情愈发高涨,每一位选手都在为后续的比赛做着充分的准备,期待在西湖论剑的舞台上,展现自己的风采。

三大赛项,“绝世武功”各显神通

西湖论剑大赛由杭州市公安局、共青团杭州市委、杭州市学生联合会主办,安恒信息、杭州市网络安全研究所、杭州市网络安全协会、共青团杭州市滨江区委承办,全国数字安全行业产教融合共同体协办。大赛坚持以“人才”为核心,设置了网络攻防实战赛、创新挑战赛、可信众测赛三大赛项,静待网络安全绝世高手齐聚全国数字经济第一城——杭州,各展所长。

网络攻防实战赛先通过线上初赛,各路高手通过CTF夺旗赛模式展开较量,决出胜者进入线下决赛。线下决赛将模拟真实网络攻防场景,考验参赛者应变能力与攻防策略。攻防如斗剑,数据安全、IOT挑战等多方角力,正是这场对决的精髓所在,有助于培养社会急需的知攻善防、一专多能的实战型网络安全技术人才,提高网络安全团队协同作战水平。参赛者须是全国高校全日制学生,且以学校为单位组队参赛,不得跨校组队。

创新挑战赛通过企业与政府联手,围绕数据安全、人工智能安全应用等领域进行出题,选手们需组队参与,依靠团队的力量,破解关乎行业未来的难题。这个赛项不仅考验选手的技术能力,更是对创造力与智慧的一次全面挑战。参赛对象包括企事业单位在职人员,高校全日制在校生,互联网及网络安全企业技术人员,社会网络安全人才等。

可信众测赛则是一场对战术与技法的全方位较量,选手们需要通过对真实案例的复盘与分析,提出解决方案,帮助企业应对网络安全威胁。这不仅是技术的较量,更是对参赛者全面能力的考验,检验他们在实际环境中如何应对各种复杂问题,为企业提供深刻且具有实践意义的解决方案。全体网络安全从业人员均可报名参与。

报名倒计时3天,各路英雄速来!

本届大赛除继续聚焦于网络安全的关键技术和核心议题外,考察范围还延伸到当下火热的人工智能领域,致力于选拔出更多具备真才实学、勇于担当的优秀网络安全英才,同时深入挖掘并推广先进网络攻防技术,为构建更加安全、可靠、稳定的网络空间环境贡献力量。

大赛报名已于2024年12月20日开启,以下为赛程详情:

报名网址:game.gcsis.cn

报名截止时间:2025年1月12日18:00

网络攻防实战赛初赛时间:2025年1月18日

创新挑战赛初赛作品提交截止:2025年2月21日

可信众测赛征集截止:2025年2月15日

大赛决赛时间:2025年3月下旬

已是报名倒计时的紧迫关头,尚未报名的英雄,请快马加鞭,速速前往大赛官网(game.gcsis.cn)进行报名。对于报名过程中的任何疑问,英雄们可以随时查阅官网上的详细指南,确保报名流程的顺畅无阻,亦可关注西湖论剑网络安全技能大赛或安恒信息公众号,轻松获悉一切赛事信息。

此外,1月8日,大赛组委会还精心准备了一场赛前直播,对大赛报名流程、赛事细节等进行详细的解读,感兴趣的参赛者可前往安恒数字人才创研院bilibili或搜狐平台安恒信息视频号、看雪视频号、E安全视频号观看精彩回放。

往届英雄事迹,回顾辉煌岁月

“西湖论剑”七载风雨,赛事吸引了17000余位英才,4000余支战队,涵盖了全国600余所学府与数百家企业,英雄们在这片热土上涌现出一批批网络安全的真高手。每一场比赛,都如同刀光剑影的江湖争斗,参赛者在真实攻防中磨砺自我、提升技艺,最终脱颖而出,成为网络安全领域的佼佼者。

2017年11月11日,第一届西湖论剑大赛,在全民狂欢双十一的电商潮中,阔步走来。

2018年4月26日,第二届西湖论剑大赛,于西湖论剑网络安全大会的舞台之上,怦然绽放。

2019年4月19日,时值习近平总书记“4.19”重要讲话三周年之际,第三届西湖论剑大赛顺势扬帆,全面升级。

2020年11月14日,第四届西湖论剑大赛紧扣时代脉搏,精准聚焦前沿热点,创新性地首设AI 大数据安全分析赛、IoT 闯关赛等赛项,亮点纷呈,璀璨盛放。

2022年3月11日-12日,第五届西湖论剑大赛,疫情之下,虽有延期,但从未缺席,在严密的疫情防控措施保障下,网安竞技马拉松,顺利开赛。

2023年3月18日-19日,第六届西湖论剑大赛,抢鲜亮相亚运电竞中心,在这充满未来科技感与活力的前沿阵地,闪耀登场,奏响华章。

2024年3月30日,第七届西湖论剑大赛,再次革新赛制,新设创新挑战赛,匠心独运,圆满收官。

一场场“论剑”的背后,是对实战技能的深刻考验。各路参赛者在极限挑战中展现非凡智慧,通过网络攻防、数据安全等多个难题,令无数技术攻防问题得以破解,推动了数字安全领域的技术创新与突破。

剑锋已然磨砺,静待西湖论剑!

新一届大赛已经启幕,全国的网络安全技术爱好者们,赶紧行动起来吧!

在这片竞技场上,是否能脱颖而出,成就一番事业,就看你如何发挥自己的智慧与勇气!正如一位剑客所言:“江湖再大,也不过一剑之间。”

报名倒计时3天,迅速行动,征战网安江湖!

", "pubDate": "Thu, 09 Jan 2025 11:02:57 +0800", "author": "企业资讯" }, { "title": "橄榄球队Green Bay Packers网上商店遭黑客攻击 信用卡被盗", "link": "https://www.4hou.com/posts/OGXE", "description": "

\"WX20250109-102825@2x.png\"/

绿湾包装工队(Green Bay Packers)美式足球队通知球迷,一名威胁行为者于 10 月份入侵了其官方线上零售店,并注入了卡片盗刷脚本,以窃取客户的个人和支付信息。

国家橄榄球联盟球队表示,10 月 23 日发现 packersproshop.com 网站遭到入侵后,立即禁用了所有结账和付款功能。

“2024 年 10 月 23 日,我们收到警报,第三方威胁行为者在 Pro Shop 网站上插入了恶意代码,得知此事后,我们立即暂时禁用了 Pro Shop 网站上的所有支付和结账功能,并开始调查。”Packers 零售业务总监 Chrysta Jorgensen解释道

该 NFL 球队还聘请了外部网络安全专家来调查该事件的影响并查明是否有客户信息被窃取。

调查显示,插入结帐页面的恶意代码可能会在 2024 年 9 月下旬至 10 月上旬期间窃取个人和支付信息。然而,Packers 表示,攻击者无法拦截使用礼品卡、Pro Shop 网站帐户、PayPal 或 Amazon Pay 进行的支付的信息。

“我们还立即要求托管和管理 Pro Shop 网站的供应商从结帐页面删除恶意代码、刷新密码并确认没有剩余漏洞,”Jorgensen 补充道。 

荷兰电子商务安全公司Sansec在 12 月 31 日发布的一份报告中指出: “在这次攻击中,一个脚本从 https://js-stats.com/getInjector 注入。该脚本从网站上的输入、选择和文本区域字段中收集数据,并将捕获的信息泄露到 https://js-stats.com/fetchData。”

\"JSONP

JSONP 漏洞利用(Sansec)

此次泄露事件影响的个人和支付数据包括在 Pro Shop 网站上购物时输入的信息,例如姓名、地址(账单和送货地址)、电子邮件地址,以及信用卡类型、卡号、有效期和验证码。

Green Bay Packers尚未透露此次数据泄露事件影响的客户数量,也未透露威胁行为者如何侵入其 Pro Shop 网站并注入卡片盗刷脚本。

现在,NFL 球队通过 Experian 为受到此次泄密事件影响的用户提供三年的信用监控和身份盗窃恢复服务,并建议他们监控自己的账户报表,以防出现任何欺诈活动。

那些发现疑似身份盗窃或欺诈事件的人应立即向其银行和相关部门报告。


", "pubDate": "Thu, 09 Jan 2025 10:37:06 +0800", "author": "山卡拉" } ]