Security Affairs 网站披露，IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞（CVSS评分：9.8），开展大规模的凭证收集活动。 2023 年 7 月底，Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉，该漏洞是一个代码注入漏洞，可导致未经验证的远程代码执行。 美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳，其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。 一个月后，非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。 威胁攻击者正在“积极”利用漏洞 X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢，攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。 此后，X-Force 在发布的报告中表示附加到合法 "index.html "文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到 VPN 身份验证页面中的 "登录 "元素，该函数则会收集用户名和密码信息，并在身份验证期间将其发送到远程服务器。 值得一提的是，攻击链从威胁攻击者向"/gwtest/formssso? event=start&target="发送网络请求时便已经开始了，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 "ns.conf "文件的内容。 然后，攻击者在 "index.html "中添加自定义 HTML 代码，该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。 附加到 "index.html "的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 "Log_On "按钮，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。 X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名，这些域名分别于 8 月 5 日、6 日和 14 日注册，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后，确定了近 600 个唯一的受害者 IP 地址，这些地址托管着修改过的 NetScaler Gateway 登录页面。 分析显示，大多数受害者分布在美国和欧洲地区，虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来，但已经提取到了入侵指标（IoCs）。 文章来源： https://securityaffairs.com/152199/hacking/citrix-netscaler-credential-harvesting-campaign.html?_gl=1*om0nuo*_ga*NjYyNDMxOTU5LjE2MzU5OTc2MDM.*_ga_NPN4VEKBTY*MTY5NjkwMjg5Ny4xNDYuMC4xNjk2OTAyODk3LjYwLjAuMA..*_ga_8ZWTX5HC4Z*MTY5NjkwMjg5OC4xMjcuMC4xNjk2OTAyODk4LjAuMC4w&_ga=2.237611651.246524512.1696747860-662431959.1635997603 ...

CISA、FBI和美国网络司令部(USCYBERCOM)于本周四（9月7日）发布的一份联合报告显示，国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞攻击了美国一家航空组织。 此次攻击背后的威胁组织尚未公布，联合公告中也并未将攻击者与特定国家联系起来，但USCYBERCOM的新闻稿中将此次攻击活动和伊朗黑客联系了起来。 CISA方面声称，黑客组织至少从 1 月份开始就入侵了航空组织网络。他们此前入侵了一台运行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墙的互联网外露服务器。 CISA、FBI和CNMF在公告中提到，有高级持续威胁（APT）行为者利用CVE-2022-47966漏洞非法访问了一个面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），并在其网络中建立了持久性。 该漏洞允许黑客在 ManageEngine 应用程序上远程执行代码。还有其他 APT 行为者利用 CVE-2022-42475 在组织的防火墙设备上建立存在。 正如这三个美国机构所警告的那样，这些威胁组织经常会搜索那些面向互联网却没有打补丁的设备。在渗入目标网络后，攻击者会在被黑的网络基础设施组件上保持持久性。这些网络设备很可能会被用作受害者网络内横向移动的基础或者恶意基础设施。 美国国家安全局建人们采取措施以确保基础设施的安全，这些措施包括但不限于保护所有系统免受所有已知漏洞的攻击、监控远程访问软件的未经授权使用，以及删除不必要（已禁用）的账户和组（尤其是特权账户）。 攻击和确保系统安全的警告 今年 1 月，CISA 下令联邦机构保护其系统免受 CVE-2022-47966 漏洞的攻击，几天后，网上发布了概念验证 (PoC) 漏洞利用代码，威胁方开始攻击未打补丁的 ManageEngine 实例，以打开反向外壳。 在 CISA 发出警告几个月后，朝鲜 Lazarus 黑客组织也开始利用 Zoho 漏洞，成功入侵了医疗机构和一家互联网骨干基础设施提供商。 联邦调查局和 CISA 就国家支持的组织利用 ManageEngine 漏洞攻击关键基础设施，包括金融服务和医疗保健发布了其他多条警报。 正如Fortinet在1月份披露的那样，CVE-2022-42475 FortiOS SSL-VPN漏洞在针对政府组织和相关目标的攻击中也被作为零日漏洞加以利用。 Fortinet 曾在去年11月28日修复了该漏洞，但并未公布该漏洞被利用的具体信息。不过Fortinet 自12 月中旬后已经开始敦促客户为其设备打上补丁，以确保设备安全。 参考来源：Iranian hackers breach US aviation org via Zoho, Fortinet bugs (bleepingcomputer.com) ...

Bleeping Computer 网站披露，拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞，攻击者可借此访问网站敏感的数据信息。 漏洞被追踪为 CVE-2023-40004，允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置，使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份，一旦成功利用 CVE-2023-40004 ，导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。 All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。 Patchstack 表示插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。） 好消息是，由于 All-in-One WP Migration 只在网站迁移项目中使用，通常不会在其它任何时候激活，因此在一定程度上缓解了漏洞带来的安全问题。 供应商已发布漏洞安全更新 2023 年 7 月 18 日，PatchStack 研究员拉菲-穆罕默德（Rafie Muhammad）发现了 CVE-2023-40004 漏洞，随后便报告给了 ServMask 。2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。 已应用的补丁（Patchstack） 建议受影响的第三方扩展用户升级到以下修复版本： Box 扩展：v1.54 Google Drive 扩展：v2.80 OneDrive 扩展：v1.67 Dropbox 扩展：v3.76 此外，研究人员还建议用户使用最新版本的（免费）基础插件 All-in-One WP Migration v7.78。 文章来源： https://www.bleepingcomputer.com/news/security/wordpress-migration-add-on-flaw-could-lead-to-data-breaches/ ...

美国多个联邦机构近日向该国航天工业发出警告，要求警惕外国警报机构的间谍活动。 美国国家情报总监办公室下属的国家反情报与安全中心（NCSC）称，全球太空经济投入将从 2021 年的 4690 亿美元增长到 2030 年的超过 1 万亿美元，而美国是这一增长的主要驱动力，并且对能源、金融、电信、交通、农业等多行业起到重要作用。NCSC认为外国情报机构已经认识到商业航天工业对美国经济和国家安全的重要性，包括关键基础设施对其产生的依赖性。 NCSC例举了针对美国航天工业进行间谍活动的可能形式，包括利用网络攻击、空壳公司或老式间谍手段收集有关美国太空能力或创新技术的敏感信息，也可能使用卫星干扰或黑客攻击等反空间系统来破坏或削弱美国卫星系统。 2021 年，NASA 成为SolarWinds 漏洞攻击的九个目标机构之一，这次大规模网络攻击被机构领导层称为“警钟”，旨在保护其赖以存储和传播敏感技术数据的网络安全。 在2022年爆发的俄乌战争中，被指与俄罗斯政府有联系的黑客对美国通信公司Viasat、SpaceX 星链系统进行了网络攻击。马斯克于2022年3月在推特上表示，攻击使冲突地区附近的一些星链终端曾一度堵塞数小时。 而在今年举行的美国黑帽技术大会（Black Hat USA）上，安全研究专家的一项研究议题也表示，黑客想要针对卫星进行攻击也非难事。根据对17 种不同卫星型号的 19 名工程师和开发人员的调查，有3名工程师承认他们没有采取任何措施来防止第三方入侵，有9名工程师虽然表示采取了防御措施，但其中只有5名实施了任何类型的访问控制。 参考来源：US Space Industry More Prone to Foreign Espionage, US Agencies Warn ...

2023年5月，德国商报发文称特斯拉存在数据泄露事件，时间跨度从 2015 年至 2022 年 3 月，覆盖了美国、欧洲和亚洲特斯拉车主报告的投诉。在此期间特斯拉车主报告了 2400 多起自动加速问题和 1500 多起制动问题，其中包括 139 起“意外紧急制动”报告和 383 起错误碰撞警告导致的“幽灵刹车”报告，客户纷纷表达了对安全的担忧。 而据国内多家媒体报道，近日特斯拉向其员工以及美国执法部门通报了“100G数据泄露事件”的具体规模及原因。 8月18日，美国缅因州总检察长办公室发布消息称，2023年5月，特斯拉数据泄露事件影响超过7.5万人，其中包括与员工相关的各种敏感信息，例如姓名、住址、电话、电邮、薪资等等。 位于特斯拉欧洲超级工厂所在地勃兰登堡州数据保护官Dagmar Hartge表示，“这是印象中规模最大的一次数据泄露事件”。正因为数据量如此庞大，超出当时相关部门处理权限，所以该案件已经移交至荷兰当局。 根据相关法规，若是在调查中证实特斯拉确实存在违规行为，特斯拉可能要面临高额处罚，也就是其年销售额4%的罚款，大概在35亿美元（约合人民币247亿）。 特斯拉对此事进行回应，“心怀不满的前员工”滥用了他们作为服务技术人员的权限，违反了特斯拉的 IT 安全和数据保护政策，特斯拉将对涉嫌泄密的个人采取法律行动，并且没收其电子设备，禁止前雇员进一步使用、访问或传播数据等等。 换句话说，特斯拉已经承认了这一事件，指出这是“内部不法行为”的结果。此次数据泄露事件的严重性不容忽视。特斯拉作为全球领先的电动汽车制造商，在全球保有量如此之高的情况下，还需进一步加大对数据安全和隐私保护方面的投入，并真正将其落到实处。 事实上特斯拉曝出数据安全问题已经不是第一次，除了驾驶问题外，特斯拉还出现过严重的客户信息泄露问题。我们关注到，今年4月6日路透社就曾报道称，在 2019 年至 2022 年期间，特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。 ...

1 APT组织相关背景介绍 1.1 响尾蛇组织相关背景介绍 响尾蛇组织， 又称Sidewinder、APT-C-17、T-APT-04，是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦、尼泊尔、斯里兰卡等亚洲地区国家进行网络间谍活动，主要针对高校，新闻，金融，媒体，政府和电信公司进行攻击，以窃取敏感信息为主要目标。该组织的相关攻击活动最早可以追溯到2012年，至今还非常活跃，大多数行动是对巴基斯坦进行攻击，窃取机密信息。 1.2 响尾蛇组织攻击过程 该组织将攻击过程分解成多个阶段，有多次网络下载过程，且连接的C2会检查访问IP所属国家，只允许本次的攻击目标所属国家的IP进行访问，另一方面，为了躲避安全软件的查杀，关键的恶意程序只在内存中执行，最终的远控程序落地为加密数据的形式，需要加载器解密后才执行。 另外响尾蛇组织也会使用开源工具进行攻击活动，在C2的网络特征，域名构造方式有很大的关联性，整体攻击过程比较简单，最终用DLL侧加载的方式在内存中解密执行Cobalt Strike的beacon载荷，实现对用户机器的控制。 此外响尾蛇组织还对Android手机用户进行攻击，通过Google Play散发恶意apk安装包，窃取目标手机中的隐私信息和机密文件。 1.3 响尾蛇组织打点技巧 在响尾蛇组织的相关攻击活动中，该组织伪造发件人邮箱，通过伪造正常的“学院通知”、“政府通知文件”、“热点事件”、“新奇事情（如：暗网数据泄露）”等相关邮件，诱导目标点击其投递的恶意链接或恶意附件，或者伪造政府邮箱登录页面，盗取合法邮箱发送钓鱼邮件。 2 涉及组件详细分析 2.1 DocxDownloader钓鱼组件 响尾蛇组织最常用的鱼叉式钓鱼组件，以抓眼的标题和相关单位的官方文件，在用户打开文档后，机器在不知不觉中被入侵。捕获的部分钓鱼文件如下表： 组件md5 名称 URL 首次上传到VT时间 056d1dc3032d04d7638c02056d5146c9 Circular 31082022.docx https://mo***gov.com/5724/1/3268/2/0/0/0/m/files-11e30891/file.rtf 2022-09-15 10:35:46 UTC b7e63b7247be18cdfb36c1f3200c1dba Product.docx https://cst***.dowmload.net/14668/1/1228/2/0/0/0/m/files-403a1120/file.rtf 2023-03-10 05:14:05 UTC 5efddbdcf40ba01f1571140bad72dccb Leakage of Sensitive Data on Dark Web.docx https://mt***south.org/5974/1/8682/2/0/0/0/m/files-b2dff0ca/file.rtf 2023-03-10 05:21:10 UTC 该组件中会包含一个RTF远程模板的链接，在文档打开时，会自动下载并执行该RTF模板。 打开时会闪过正在下载界面。 2.2 RtfDropper释放器组件 在响尾蛇的历史攻击事件中，rtfdropper组件的使用率非常高，通常文件名为file.rtf，做为docx钓鱼文档的第二阶段载荷，该组件利用office的公式编辑器漏洞CVE-2017-11882，执行释放的javascript脚本文件。 描述 详细信息 名称 file.rtf 文件大小 73294 bytes 文件类型 Rtf 文件功能 Downloader 编译时间 / 开发平台及语言 office Pdb / 是否加壳 否 VT首次上传时间 2022-05-26 18:02:22 UTC md5 54b1157ce8045f2e83340dc5d756f412 sha256 8b4259cb1619bcbf3f6760f0982d0a1d3c67aa26738a3d6f6788bf6c2a5410e5 通过rtfdump分析，可以发现该组件中嵌入了一个1.a文件（javascript脚本文件，文件名是响尾蛇组织固定使用的）和一个Equation.3结构（用于触发公式编辑器漏洞）。 该组件被执行后，公式编辑器在解析Equation.3时，在漏洞函数sub_41160F中数据复制时发生栈溢出，从而导致该函数的返回地址被改写，去执行响尾蛇组织的shellcode。 在shellcode中使用GetCommandLine，然后修改其返回指针指向的内容 解密出一段js脚本并覆盖GetCommandLine返回指针指向的内容。 最后加载mshtml和获取RunHTMLApplication的地址，调用RunHTMLApplication。 RunHTMLApplication给予4个0作为参数，触发RunHTMLApplication去调用GetCommandLine。 因为第一次调用GetCommandLine会从peb中复制一个命令行参数字符串存储在另一个空间中，在这之后GetCommandLine管理这个空间，由于第一次调用是修改了内容，覆盖为js脚本，所以在RunHTMLApplication中的GetCommandLine会得到这个脚本，又因为RunHTMLApplication的流程会去解析这个字符串，被“javascript：”引导去执行js脚本，最后调用CHTMLApp::Run执行js。而这一小段js脚本的作用就是执行1.a脚本文件。 2.3 LnkDownloader钓鱼组件 LnkDownloader是响尾蛇组织最常用的鱼叉式钓鱼攻击的组件之一，经过改进，从利用lnk文件属性中的显示bug隐藏实际的mshta调用，最后变为复制系统的mshta重命名为随机字符再去执行下载。 描述 详细信息 名称 BGI-14.pdf.lnk 文件大小 2217 bytes 文件类型 LNK 文件功能 Downloader 编译时间 / 开发平台及语言 / Pdb / 是否加壳 否 VT首次上传时间 2021-01-02 03:07:30 UTC md5 fa10f48243ea40298e0fa07787e4156c sha256 29022eab3963a624ae886a6f17f94834cb3e55377e0d32a4ad365af83bf74d74 当sLinkFilags中的HasExpString为1时，执行LNK文件会去检查EnviromentVariableDataBlock下的TargetUnicode的文件是否存在，不存在就去检查LinkTargetIDList指向的文件是否存在，存在就执行。LinkTargetIDList的最后一个sIDList中的PrimaryName被设置为hsmta.exe是为了维持HasExpString值不变，因为在检查出EnviromentVariableDataBlock中的TargetUnicode指向的文件不存在时被设置为0。 最后的效果是显示为hsmta.exe来误导用户。   描述 详细信息 名称 ***关于11月22日起工作安排调整的通知.docx.lnk 文件大小 1055 bytes 文件类型 LNK 文件功能 Downloader 编译时间 / 开发平台及语言 / Pdb / 是否加壳 否 VT首次上传时间 2022-11-24 16:42:12 UTC md5 5356a1193252b4fb2265fc8ac10327a1 sha256 f946663a780806693ea3fb034215bd6da25971eb07d28fe9c209594c90ec3225 改进后的lnk文件不再利用显示bug，是将mshta.exe复制并重命名为随机字符.exe，然后就下载执行远程HTA脚本文件。 2.4 DonetLoader加载器组件 响尾蛇组织经典的.net程序加载器，是魔改的开源项目CACTUSTORCH，用于在内存中加载后续的.net DLL程序，该组件分别作为rtf释放的1.a javascript脚本和lnk文件下载的hta文件。 组件md5 名称 文件大小 VT首次提交时间 a9dbf0cbc46dfe0202b534c63bd52a4a 1.a 900000 bytes 2019-08-13 13:49:59 UTC da8d3934fa1ddaf713ec32071eeb2987 file.hta 330170 bytes   db9562258c4a8518e0c6c43cdc0f0151 1.a 4953600 bytes 2022-01-14 07:30:57 UTC 该组织大致经过1年就会对组件进行升级改造，主要是字符串解密模块的修改。从标准base64编码->异或+自定义base64编码->字符反转+多个key异或。 2019：标准base64编码（相关文件md5：a9dbf0cbc46dfe0202b534c63bd52a4a）。 2020：异或+自定义base64编码（相关文件md5：da8d3934fa1ddaf713ec32071eeb2987）。 2021：字符反转+多个key异或（相关文件md5：db9562258c4a8518e0c6c43cdc0f0151）。 后续的加载过程都保留开源项目CACTUSTORCH的加载过程，解密后在内存加载，获取DLL的类对象“App.Program”，提供4个参数，并调用work方法。 2.5 AppDownloader下载器组件分析 在2022年之后，响尾蛇整合了早期的两个组件，开发了AppDownloader组件，通过Donetloader加载调用work方法，根据提供的参数，完成诱饵文件释放和后续载荷下载，并在内存中执行载荷，其真实文件名为App.dll，所以命名为AppDownloader。 名称 组件加载器 加载器md5 首次上传到VT时间 App.dll 1.a b1e0108df9a12d43fdf78e99d3528707 2022-01-14 07:30:57 UTC   描述 详细信息 名称 App.dll 文件大小 2200 bytes 文件类型 DLL 文件功能 Downloader 编译时间 \ 开发平台及语言 .NET Pdb \ 是否加壳 否 VT首次上传时间 2022-01-14 07:30:57 UTC md5 384CF4940E9B819CE8492FCD16EBEA6D Sha256 B8CAB453F7190514DC9F10FF6E549A715E69A2A53ECACBDC0CF0975B56C4E828 该组件是由donetloader加载并调用work方法和传递参数，当第四个参数不为空，则将该参数作为文件名，第三个参数为文件内容，在%temp%目录下释放诱饵文件，并使用mshta.exe打开该诱饵文件。 下载的数据前32位作为异或密钥解密后续的数据，然后再内存中加载。 2.6 ModuleInstaller下载器组件分析 该组件在不断改进中已经演变为一款比较成熟的恶意软件，会对前面阶段产生的痕迹进行清理，还会对不同的杀毒软件执行不同的操作，也采用了免杀效果不错的进程启动方式，使用其文件名ModuleInstaller做为组件名称。 描述 详细信息 名称 ModuleInstaller.dll 文件大小 46080 bytes 文件类型 exe 文件功能 loader 编译时间 2055-09-29 14:31:33 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 05C1D2FD7F8E5970406B75C01DC6E949 Sha256 8B21AD911DCC66BBA525C95F1B9F9489E96BD2AADD2B7B0CFD2D53531B51231B 该组件的构造函数接收杀毒软件信息，并检测卡巴斯基、avast、avg、360杀毒这4款杀毒软件的存在。 然后根据配置信息“0100S-ABCD”中的第二或者第三个值是否为“1”，清除前面阶段的文件。 首先是清除%temp%\1.a文件，将文件内容改写为“//FFFF”，该1.a文件为前文所提到的donetloader加载器组件。 通过遍历1-4096已打开的文件句柄，获取文件绝对路径，检测路径中是否有"Microsoft\\Windows\\INetCache\\Content.Word"字符串，该路径下的文件为网络下载过程中的缓存文件，响尾蛇组织利用这个处理方式来消除其网络下载过程中产生的缓存文件。 获取系统信息：用户名、机器名，系统位数等系统基础信息。 将获取到的数据使用标准base64解码后，拼接到url的data参数中，随后使用拼接成的url下载配置数据。 将下载后的数据，使用前32位字节作为异或密钥解密后续数据，以相同的操作解密两次后得到配置数据。配置数据中包含后续载荷文件路径、下阶段载荷url，白+黑侧加载组合（control.exe和propsys.dll）。 根据url下载数据并异或解密后，将数据写入配置文件指定的文件中，将系统中的control.exe复制到相同目录下，最终该目录下存在文件：control.exe、control.exe.config、propsys.dll、[随机字符串].[随机字符串]文件，随着后续远控程序的加载可能会多出一些文件。 遇到卡巴斯基在配置字符的控制下，会使用wmi启动mshta执行js脚本去启动control.exe，以及直接向注册表run目录注册开机启动项，启动control.exe。 检测到360杀毒，直接使用process类启动隐藏窗口的control.exe。并创建快捷方式，放置在开机启动目录下。 检测到avast和avg时，注册两个计划任务，分别是延后2分钟执行control.exe和延后2分钟执行向注册表run目录添加开机启动项。 当没有检测目标杀毒软件时，就使用wmi执行schtask.exe添加计划任务，和直接向注册表RUN目录写入开机启动项。 2.7 DLLloader加载器组件分析 该组件作为白+黑 DLL侧加载利用中的恶意DLL，用来在内存中加载响尾蛇组织的关键载荷SystemAppRAT组件，功能单一，会跟据使用的白+黑利用方式变更文件名。 描述 详细信息 名称 Duser.dll，propsys.dll 文件大小 9728 bytes 文件类型 DLL 文件功能 Loader 编译时间 2021-02-09 18:16:50 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 E4E2C1259EEA903A2953A1601E49797A Sha256 9B2C9C4FCD0BD591A58BDA2CFB8AF1C2E619FBE402CD2D9ACD0643EBB6E84D09 当DLL被加载后，会先进行Amsi绕过，Amsi可以检测.NET程序中调用的方法名，命名空间等信息来检测恶意的.NET程序，通过修改AmsiScanBuffer的前几个字节使得函数直接返回无可疑操作，达成绕过的效果。 随后读取同目录下使用随机字符命名的文件，使用其前32个字节作为异或密钥解密后续数据，解密后的数据为SystemAppRAT组件，用来进行远程控制，最后在内存中加载该组件。 2.8 SystemAppRAT远控分析 响尾蛇组织最常用的远控组件，以加密数据的形式落地为文件，被DLLloader组件加载后在内存中执行，通过自身的网络传输和机密文件收集功能，来控制被入侵的机器，窃取重要信息。   详细信息 名称 SystemApp.dll 文件大小 637952 bytes 文件类型 DLL 文件功能 RAT 编译时间 2064-02-17 19:06:49 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 D308484A9EFA669979BD1004F8E5D748 Sha256 5CAD4B71A6A99B34FB2F4D60FA8BB5DB6A6F6DABE5468D9B3341CBC04492AAAB 首先从资源中加载配置信息。 解密后的配置信息如下，加密的方式是二进制文件的前32个字符作为key，循环与后续文件内容进行异或得到结果。配置文件中指定C2通信地址，和窃取的目标文件后缀.doc .docx .xls .xlsx .pdf .ppt .pptx。 解析完配置后，注册定时函数TreeRestoreAccessorInstance，每5秒与C2通信一次，并对C2返回的数据做出响应。 执行的命令如下： 命令 内容 1 收集系统信息，信息保存在.sif文件 2 收集文件信息 3 .docx .doc .xls .xlsx .pdf .ppt .pptx .rar .zip路径保存，信息保存在.fls文件 4 将收集到指定文件的路径保存在配置文件中 5 更新c2地址 6 更新是否上传指定文件参数 7 重置指定文件类型 8 设置文件大小限制 9 上传指定文件 10 保存配置 2.9 HtaDownloader组件 在2023年捕获到响尾蛇组织新的下载器组件，负责下载诱饵文档和恶意DLL，将恶意DLL放置到OneDrive目录下，实现侧加载。 描述 详细信息 名称 something.hta 文件大小 680 bytes 文件类型 HTA 文件功能 Downloader 编译时间 / 开发平台及语言 / 是否加壳 否 VT首次上传时间 / md5 2BCE7A8E34E4751C8E421BAA4C4A0ADA Sha256 F0CB23D26AF39BBFAE450F37BC7642B59D30EE346020485FECC5CD8C33D2190A 下载version.dll放置在本地Onedrive目录（%LOCALAPPDATA%\Microsoft\OneDrive\ ），当本地64位的Onedrive.exe和OneDriveStandaloneUpdater.exe执行时会被劫持以加载恶意version.dll，定时执行OneDriveStandaloneUpdater.exe更新Onedrive的计划任务也会变成响尾蛇组织的常驻项。   另外从巴基斯坦的内阁部门官方网站（cabinet.gov.pk）下载“Advisory No. 16”网络安全咨询16号文件，对应钓鱼文件中提及的内容。 2.10 CSloader组件 该组件为HtaDownloader组件下载的恶意DLL，被同目录下的OneDrive加载。 描述 详细信息 名称 version.dll 文件大小 275456 bytes 文件类型 DLL 文件功能 RAT 编译时间 / 开发平台及语言 / 是否加壳 否 VT首次上传时间 / md5 F2974B8D6B0B2774F49642D53BDEE8A4 Sha256 37E3465D6FCCFAE6E1C29526AA015A766F8FC26CC61ED821F3E0B44D794C99EC 其导出函数GetFileInfoSize和GetFileVersionInfoSizeW指向同一个偏移量，是Onedrive.exe导入DLL后会调用的函数。 GetFileInfoSize和GetFileVersionInfoSizeW函数中会调用函数FUN_180001120解密执行后续的载荷。 函数中先读取系统目录下的ntdll中的.text段替换掉当前进程加载的ntdll中的.text，解除函数挂钩，如果有安全软件通过在ntdll中设置钩子实现对进程行为的监控，那么该恶意文件的操作会让这种类型的监控方式失效。 通过计算硬编码16字节的数据的SHA256值，作为AES-256解密的密钥，解密出shellcode，最后执行。 执行的shellcode会反射加载一个Cobalt Strike的beacon，连接攻击者C2：35.175.135.236，实现远程控制。 2.11 ApkDownloader下载器组件分析 响尾蛇组织针对Android手机开发的恶意程序，最早在2020年由趋势科技披露相关技术细节，主要在Google Play上进行传播，该组件主要功能是下载下阶段载荷，最终在入侵手机中窃取WeChat、Outlook、Twitter、Yahoo Mail、Facebook、Gmail和Chrome等数据。目前以披露的部分恶意安装包如下： 组件md5 名称 文件大小 VT首次提交时间 07b41f9c81915c3adad6b3690ab7a99e 226617.apk 10763432 bytes 2023-03-23 09:34:02 UTC 17ccf24c4e09b1bc7ce5c0eb637a4edd Secure VPN_3.9_apkcombo.com.apk 14744189 bytes 2022-06-02 08:06:59 UTC 3DF009405C2226FA5047DE4CAFF3B927 com.securedata.vpn_v3.2.apk 6072227 bytes 2022-06-02 02:28:33 UTC   描述 详细信息 名称 226617.apk 文件大小 10763432 bytes 文件类型 Apk 文件功能 Downloader 编译时间   开发平台及语言 Android pdb \ 是否加壳 否 VT首次上传时间 2023-03-23 09:34:02 UTC md5 07b41f9c81915c3adad6b3690ab7a99e Sha256 7d237d0c62fb14391d40d8875534135a7a73b8ef47956405f4e600918d583f14 该组件先进行字符串解密，将头部的“zzzza”去除后传入函数。 将字符串使用base64解码后，先读取4字节数据，代表AES密钥长度，随后读取32字节的密钥，最后是AES加密的数据，并且该AES密钥也是网络通信数据的AES解密密钥。 根据分析结果得到AES密钥（7e 51 73 44 54 49 ac a1 fe 99 25 f3 25 29 58 e3 5a 45 7c cd 89 d4 87 78 34 3f b2 df c2 60 2c 21），使用AES-256 ECB模式解密数据后得到下阶段载荷的URL。 随后发送网络请求下载下阶段载荷。 该载荷会落地为文件保存为/data/data/<package_name>/files/fex/permFex/8496eac3cc33769687848de8fa6384c3。 最后通过DexClassLoader类加载该DEX文件，执行恶意代码，根据趋势科技报告中提到的信息，后续载荷是对手机信息的窃取。 最后注册计划任务，每10分钟去触发上文的下载执行下阶段载荷的过程。 注册开机广播，检测到开机事件会启动服务，也就是上文提到的下载下阶段DEX载荷和执行载荷。 该组件有多种获取C2的方式。 方法一：如上文的样本(07b41f9c81915c3adad6b3690ab7a99e)将C2硬编码在程序中。 方法二：在样本(17CCF24C4E09B1BC7CE5C0EB637A4EDD)中使用托管在Google Cloud上的Firebase服务提供C2。 方法三：在样本(3DF009405C2226FA5047DE4CAFF3B927)中使用Google Play的Install Referrer 服务获取数据，解密后得到C2。 3 基础设施分析 该组织会运营大量域名来针对东南亚各个地区进行攻击，并且带有访问控制，钓鱼C2上会检测请求IP所属国家，限制非目标国家IP的访问。 3.1 域名构造特征分析 从收集和整理的响尾蛇历史攻击中使用的域名，可以发现该组织比较偏向于使用攻击目标相关的机构官方域名的关键字符串来构造域名。如“*[mod/mofa]-gov*”，“*navy-gov*”，“mail[navy/mod/mofa]*”以伪装成军队和政府单位相关的域名，还有用字符错位、藏字符等方式构造域名，如“*donwloaded.com”，“*downlod.net”，“*downlod.com”。 3.2 URL特征分析 根据狩猎到的所有响尾蛇样本进行分析发现响尾蛇组织的第二阶段载荷下载URL具有明显的特点：固定的分段字符，特定的字符串“/2/0/0/”和”files-[8个随机字符]“，例如： https://[域名]/3679/1/55554/2/0/0/0/m/files-94c98cfb/hta https://[域名]/5974/1/8682/2/0/0/0/m/files-b2dff0ca/file.rtf https://[域名]/669/1/1970/2/0/0/1764305594/2X1R9Tw7c5eSvLpCCwnl0X7C0zhfHLA6RJzJ0ADS/files-82dfc144/appxed 3.3 C2网络特征分析 目前响尾蛇组织的C2有比较明显的特征是jarm="3fd3fd0003fd3fd21c3fd3fd3fd3fd703dc1bf20eb9604decefea997eabff7"和jarm="40d40d40d00040d1dc40d40d40d40de9ab649921aa9add8c37a8978aa3ea88"。且直接访问响尾蛇组织的C2地址，会直接返回404 Not Found，而且该组织多用“nginx”服务器，返回长度多数为“555”和“153”。 4 总结 响尾蛇组织常使用鱼叉攻击对目标进行打点攻击，攻击频率较高，具有一定的危险性。主要针对政府机构和军事单位等行业进行攻击，窃取该类单位的高新技术研究资料或规划信息等，相关行业及单位需要警惕并加强网络防御。另外该组织也常用DLL侧加载和无文件攻击，将关键代码隐藏在正常进程中秘密执行，安全公司应加强相关技术的检测。 5 ATT&CK模型 战术(Tactic) 技术(Technique) 过程(Procedure) TA0043-目标侦查(Reconnaissance) / / 资源开发(Resource Development) T1587.001（构建自定义恶意软件） 响尾蛇组织自定义开发了下载器、文件窃密组件等   T1588.001（获取恶意软件） 响尾蛇组织使用开源DONET加载器进行攻击。 初始访问(Init Access) T1566.001（鱼叉攻击，恶意附件） 响尾蛇组织向目标投递携带恶意附件的邮件。 代码执行(Execute) T1204.002（用户执行恶意鱼叉附件） 用户直接执行响尾蛇组织投递的恶意文件   T1203（针对客户端执行的攻击） 响尾蛇组织利用CVE-2017-11882 持久化(Persistence) T1547.001（Run注册项/启动文件目录自启动） 响尾蛇组织使用的恶意文件使用注册表自启动项实现持久化 T1053.005（计划任务） 响尾蛇组织使用的恶意文件创建计划任务实现持久化 权限提升(Privilege Escalation) / / 防御规避(Dfense Evasion) T1027.009（混淆文件或信息：嵌入式有效负载） 响尾蛇组织使用多种加载器加载恶意载荷 T1574.002（劫持执行流程：DLL侧加载） 响尾蛇组织使用DLL侧加载，在正常软件中加载远控程序。 T1218.005（系统二进制代理执行：mshta） 响尾蛇组织使用系统白文件执行远程hta脚本文件。 T1036.007（扩展名伪装） 响尾蛇组织使用pdf结合lnk的后缀名将恶意文件伪装成pdf文档文件 凭证访问(Credential Access) / / 发现(Discovery) T1518.001（安全软件发现） 响尾蛇组织使用Windows服务 winmgmts:\.\root\SecurityCenter2 检查已安装的防病毒产品。 横向移动(Lateral Movement) / / 信息收集(Collection) T1074.002（数据阶段：本地数据暂存） 响尾蛇组织将收集到信息保存在.sif、.flc、.fls等文件中。 T1005（本地系统数据） 响尾蛇组织使用组件SystemAppRAT等窃取office文档及txt文件等 命令与控制(Command and Control) T1071.001(使用现有web协议进行命令传输) 响尾蛇组织常使用HTTPS进行通信 T1132.001（数据编码/标准编码） 响尾蛇组织常使用base64对通信数据进行编码 数据渗出(Exfiltration) T1041（通过C2通道） 响尾蛇组织使用C2通道渗出数据 影响(Impact) / / 6 参考链接 https://www.group-ib.com/blog/hunting-sidewinder/ https://www.group-ib.com/blog/sidewinder-antibot/ https://mp.weixin.qq.com/s/LaWE4R24D7og-d7sWvsGyg https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html https://mp.weixin.qq.com/s/WzmRtSt20musYWOgAEUT1Q https://mp.weixin.qq.com/s/MZadlpXbpCfQAv41rtVm3A https://mp.weixin.qq.com/s/YOyfe4a0PcKET5YiLObW7g ...

8月14日，有网友在互联网平台发消息称，湖南岳阳三荷机场的停车场立有『涉密管制区域，禁止特斯拉入内』的警示牌，不允许特斯拉汽车进入，如果特斯拉车主有停车需求，可以把人送过去后，停到机场外十字路口右拐处。随后这一消息在互联网平台引发广泛关注和讨论。 该机场公安接线人员也向媒体证实情况属实，告示已经发布了几个月，解释是“特斯拉车辆带有某种模式，车主离开后会对车身周边环境进行录像”。该工作人员还补充说明，现在很多单位都禁止特斯拉入内，机场员工的特斯拉也不能进入。 此次网友争论的焦点其实也是特斯拉一直存在的问题——不少地区限制特斯拉汽车进入。原因是哨兵模式下的特斯拉会通过前视摄像头、两侧翼子板摄像头和后视摄像头持续监控周围环境，并保存相关视频影像。 出于安全方面的考量，不少重要或涉密地区不允许特斯拉进入。事实上，国外对于特斯拉的特斯拉哨兵模式同样感到担忧。2022年，德国《每日镜报》援引德国柏林警方内部文件报道，柏林警方做出决定，禁止特斯拉汽车进入警局各单位或在警局各单位泊车，原因出在特斯拉汽车摄像头系统身上。 报道称，柏林警方在2022年初发现，特斯拉所有车型都会随时对车辆周边环境进行不间断的视频记录，并将这些记录导出。这些记录长久存储在位于荷兰的服务器上，但车主本人并不知道这些数据是如何被处理的。报道指出，由于特斯拉可以自行决定是否与第三方共享这些信息，警方认为，在这种情况下，也只有执法人员才能确保对个人数据的保护。 特斯拉回应数据泄露 针对此次热搜，特斯拉官方微博发文回应称，哨兵模式是目前主流智能汽车标配的一种智能安全配置，并非特斯拉独有。特斯拉车辆出厂时，该功能默认处于关闭状态，需要车主手动开启才能使用。 在手动启用哨兵模式后，车辆上锁并挂驻车挡时如果检测到附近可能存在损害或者盗窃车辆等威胁时，系统会向车主发出警报，并记录车辆周围的可疑活动，将视频片段保存在已安装的USB设备中为用户带来用车安全保障。目前该功能已协助警方破获了多起车辆损害和失窃案件。与一些品牌可以通过哨兵模式远程查看车辆周围环境不同，目前特斯拉车辆的这些数据只离线存储在车内USB设备中，车主和特斯拉均不能远程在线查看。 另外，特斯拉公司已在中国建立数据中心，以实现数据存储的本地化。所有在中国大陆市场销售车辆所产生的数据，都会存储在中国境内。2021年10月政府主管部门联合发布《汽车数据安全管理若T规定 (试行)》后，特斯拉公司作为首批试点企业，积极参与了主管部门组织的合规试点工作。 哨兵模式争议不断 在特斯拉的官网，目前有队哨兵模式进行解释，并指出“为保护用户的隐私，哨兵模式录像不会传输给特斯拉。对于 2018 年及之后生产的车型（软件版本为 2020.48.5 或更高版本），录像将保存到车载存储器，可以通过车辆的触摸屏直接查看。” 截止到目前，业界对于哨兵模式争议存在已久。据媒体报道，2023年2月荷兰数据保护局（dpa）发出声明称，消费者需要为使用特斯拉“哨兵模式”造成的隐私侵权负全责。 由此可见，哨兵模式的争议在于采集的数据是否安全。特斯拉之所以被禁止入内，很大原因是担忧这些环境数据会被悄悄上传至美国，大量泄露我国机密地区的信息；其次是汽车是否有权利随意采集环境数据？一旦开启哨兵模式，无论数据存储在厂商还是车主的USB中，哨兵模式将会持续收集汽车周围的信息，其中不乏个人隐私方面信息。 也许车主不会主动泄露这些信息，但在数据采集过程中并没有征集路人的同意，这是否涉及侵犯了用户的隐私呢？ ...

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。 CERT 协调中心（CERT/CC）在周五的一份公告中说：当整个 URL 都以空白字符开头时，urlparse 就会出现解析问题。"这个问题会影响主机名和方案的解析，最终导致任何拦截列表方法失效"。 该漏洞为 CVE-2023-24329，CVSS 得分为 7.5。安全研究员 Yebo Cao 于 2022 年 8 月发现并报告了该漏洞。该漏洞已在以下版本中得到解决： >= 3.12 3.11.x >= 3.11.4 3.10.x >= 3.10.12 3.9.x >= 3.9.17 3.8.x >= 3.8.17 3.7.x >= 3.7.17 urllib.parse 是一个广泛使用的解析函数，可将 URL 分解为各个组成部分，或将各个组成部分合并为一个 URL 字符串。 CVE-2023-24329 的出现是由于缺乏输入验证，从而导致有可能通过提供以空白字符开头的 URL（例如 " https://youtube[.]com"）来绕过 blocklisting 。 该漏洞可以帮助攻击者绕过主机设置的保护措施，同时在多种场景下助力 SSRF 和 RCE。 参考链接：https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html ...

近日，全国信息安全标准化技术委员会秘书处就《信息安全技术 敏感个人信息处理安全要求》，公开征求意见。 根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术 敏感个人信息处理安全要求》由中国电子技术标准化研究院负责承办。本标准由全国信息安全标准化技术委员会归口管理。 本标准适用于规范个人信息处理者的个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。 为落实《个人信息保护法》对敏感个人信息处理规则的要求，本标准对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定，明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求，重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。 《敏感个人信息处理安全要求》在各个行业，例如网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等典型行业领域的推广应用，可以很好地帮助这些行业领域的企业提升自身的个人信息保护能力，有效促进各行业的健康发展。标准将为规范个人信息处理者的行为，保障个人信息权益，促进个人信息合理利用提供支持。目前，国内大部分企业均处理敏感个人信息，标准应用范非常广泛，标准应用将取得良好的效果。 原文链接： https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230809174946&norm_id=20221102151828&recode_id=52543 ...

Bleeping Computer 网站消息，Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞，每天发动数千次网络攻击活动。据悉，漏洞被追踪为 CVE-2017-18368，是路由器设备远程系统日志转发功能中存在的严重性未验证命令注入漏洞（CVSS v3：9.8），Zyxel 已于 2017 年修补了该漏洞。 早在 2019 年，Zyxel 就强调当时的新变种 Gafgyt 可能会利用该漏洞发动网络攻击，敦促仍在使用旧固件版本的用户尽快升级到最新版本，以保护其设备免遭接管。然而自 2023 年 7 月初以来，Fortinet 仍能够监测到平均每天 7100 次的攻击活动，且攻击数量持续至今。 Fortinet 发布警报表示截止到 2023 年 8 月 7 日，FortiGuard 实验室持续监测到利用 CVE-2017-18368 漏洞的攻击活动，并在过去一个月中阻止了超过数千个独特 IPS 设备的攻击企图。 试图利用 Zyxel 路由器中的 CVE-2017-18368 漏洞（来源：Fortinet ） Fortinet 指出虽然目前还尚不清楚观察到的攻击活动中有哪一部分成功感染了设备，但自 7 月份以来，攻击活动一直保持稳定。值得一提的是，CISA 近期发布了 CVE-2017-18368 在野外被利用的情况，并将该漏洞添加到其已知利用漏洞目录中，要求联邦机构在 2023 年 8 月 28 日前修补 Zyxel 漏洞。 为应对漏洞利用的爆发，Zyxel 又更新了安全公告，提醒客户 CVE-2017-18363 只影响运行 7.3.15.0 v001/3.40(ULM.0)b31 或更旧固件版本的设备，运行 2017 年为修复漏洞而推出的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受影响。 此外，Zyxel 表示 P660HN-T1A 在几年前就已达到报废年限。因此，强烈建议用户将其更换为更新一代的产品，以获得最佳保护。 路由器感染恶意软件常见迹象包括连接不稳定、设备过热、配置突然改变、反应迟钝、非典型网络流量、开放新端口和意外重启，如果怀疑自己的设备受到网络恶意软件的攻击，用户可以执行出厂重置，将设备固件更新到最新版本，更改默认的管理员用户凭据，并禁用远程管理面板，只从内部网络管理设备。 文章来源： https://www.bleepingcomputer.com/news/security/gafgyt-malware-exploits-five-years-old-flaw-in-eol-zyxel-router/#google_vignette ...

近期，来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞，能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。 研究人员发现漏洞的软件版本涉及三大主流系统，分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其内部定制的EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞（padding oracle）攻击漏洞，能让网络监听者恢复加密网络传输的明文，从而泄露敏感信息。在iOS中虽然发现了漏洞，但并不清楚具体的利用方式。 恢复的数据示例摘录，第 11 行包含键入的文本 EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段，将敏感流量安全地传输到未加密的搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下，研究人员认为这些请求是安全的，但EncryptWall 请求的底层加密技术中可能存在任何缺陷。 研究人员发现，CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击，信息的明文可以一个字节一个字节地恢复，每个字节最多使用 256 条信息。这种攻击依赖于一种称为填充预言的侧通道的存在，它可以明确地揭示接收到的密文在解密时是否被正确填充。 研究人员于今年5月31日向搜狗报告了次漏洞，最终修复版本于7月20日正式发布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），强烈建议搜狗输入法的用户立刻升级至上述版本。 根据研究人员的报告，搜狗输入法是最受欢迎的中文输入法，占中文输入法用户的70%，每月活跃用户超过4.55 亿。 ...

网站平台发布的涉及举报企业案件往往存在“不确定性”，这种现象源于信息传播的快速和广泛性，容易造成信息的扩散失控，导致不实消息、夸大事实或者无根据的猜测在网络上蔓延。此外，一些恶意带节奏的团体/个人出于利益或其他动机，对企业进行恶意举报或者散布谣言，故意夸大事件影响，误导公众。为更好维护保障企业和企业家网络合法权益，建立“优化营商网络环境”长效工作机制，近日，中央网信办根据《民法典》《网络安全法》《网络信息内容生态治理规定》《互联网用户账号信息管理规定》等法律法规和国家有关规定，结合举报工作实际，印发了《网站平台受理处置涉企网络侵权信息举报工作规范》（以下简称《工作规范》）。网站平台应“分类分级”处置涉企网络侵权举报信息《工作规范》第四条指出网站平台对于混淆企业主体身份的仿冒性信息、影响公众公正评判的误导性信息、不符合企业客观实际的谣言性信息、贬损丑化企业或企业家的侮辱性信息、侵害企业家个人隐私的泄密性信息、其他恶意干扰企业正常经营发展的信息等，应该重点受理处置。信息类型具体内容如下：仿冒性信息：仿冒性信息主要包括在名称、头像、简介等网络账号名称信息中，违规使用与企业相同或相似的名称标识或企业家姓名肖像的、假借企业或企业家名义发布信息的、非法镜像企业官方网站、APP，或冒用盗用企业官方网站、APP备案注册信息或其他显著要素特征的以及其他引发公众混淆企业主体身份的信息，对于误导性信息，网站平台应当严格审查。误导性信息：通过增删信息、改变顺序、调整结构等方式，曲解新闻原意的，有关部门、新闻媒体等纠正或撤销的过期信息，删减旧闻旧事发生时间、地点和处理结果，重新发布的，使用与内容严重不符的夸张标题的、强调不利事实，回避有利事实，以偏概全的、断章取义企业家或企业代表过往言论的、片面解读企业各类对外公告的、引发公众误解误读的信息等都是误导性信息。谣言类信息：谣言类信息主要包括虚构企业家隐私生活的、编造企业违法犯罪或违规生产经营的、杜撰企业家或企业员工违法犯罪或道德失范的、夸大企业或企业家生产经营困难的、歪曲企业或企业家正常生产经营和投资活动的、诋毁企业产品服务质量的、抹黑企业科技创新能力的、其他与企业客观实际情况不符的信息。侮辱性信息：对于攻击谩骂企业或企业家的、涂抹恶搞企业家肖像照片的、与色情低俗话题恶意关联的以及其他违反公序良俗丑化企业或企业家的信息归类于侮辱性信息。泄密性信息：违规披露企业家身份证、护照、社保卡、户籍档案等个人身份信息的、违规披露企业家家庭住址、电话号码、电子邮箱等个人联系信息的、其他法律法规禁止披露的隐私信息。《工作规范》对于网站平台如何处置上述类型信息以及其他恶意干扰企业正常经营发展的信息做出严格规范，要求网站平台充分掌握相关资料，及时处置，以免影响企业正常生产经营。网站平台联合监管部门及时处置举报信息对于举报人提交的举报信息应当及时判断真实性，《工作规范》指出如果提交的信息能够满足充分陈述举报事项、阐明举报理由的文字举报、提交能够证明举报内容侵权的初步证据材料、提交申明举报真实性、合法性的文字保证等条件，网站平台应当予以受理。此外，《工作规范》第二十五条和第二十六条强调网站平台受理涉股东、高管、子公司、业务合作伙伴等企业利益相关方的网络侵权信息举报，研判认为有必要采取相应处置措施的，应当报请省级网信部门审核。对重大事项，报中央网信办相关司局审核，不得滥用举报处置权利，严禁实施有偿删帖、人情删帖等违法违规行为，严禁利用举报处置权利谋取不正当利益。最后，《工作规范》要求网站平台应当建立健全规章制度，严格工作流程，规范层级把关，强化内部监督，确保依法依规受理处置涉企网络侵权信息举报，建立工作台账，如实记录涉企网络侵权信息举报受理处置全过程，留存全量数据不少于六个月，并在网信部门依法查询时，予以提供，相关账号处置情况，也应当定期报送中央网信办相关司局。同时，各级网信举报部门应当建立健全日常检查和专项检查相结合的工作制度，依法依规对属地网站平台涉企网络侵权信息举报受理处置工作实施监督管理。 ...

谷歌宣布，从Chrome浏览器116版本开始，其安全更新频率将从过去的每两周一次压缩为每周一次，以解决攻击者通过补丁更新的时间间隔，利用N Day和0 Day漏洞进行攻击活动。 谷歌表示，Chromium 是一个开源项目，任何人都可以查看其源代码并提交漏洞修复，这些更改、修复和安全更新将添加到 Chrome 的开发版本（Beta/Canary）中，并在将其推送到正式稳定版 Chrome 之前对其进行稳定性、性能或兼容性问题测试。 这一机制虽然有良好的透明度，但也让攻击者有可乘之机，即在这些修复正式推送到稳定版 Chrome的庞大用户群之前在野外利用这些漏洞。 谷歌早在几年前就发现了这个问题，当时补丁间隔平均为 35 天，而在 2020 年，随着 Chrome 77 的发布，谷歌将间隔缩短为每两周更新一次， 通过压缩到每周的更新，Google 进一步缩短了补丁间隔，并将N Day漏洞的利用窗口机会减少到一周，从而可以有效阻止需要更复杂利用路径的漏洞利用。这无疑会对 Chrome 的安全性产生积极影响，但仍不能避免攻击者使用已知技术对某些漏洞进行有效利用。 需要注意的是，Android的生态系统让谷歌难以控制，很多情况下，谷歌发布的补丁需要几个月的时间才能将其引入第三方厂家生产的设备中。 参考来源：Google to fight hackers with weekly Chrome security updates ...

据公安部召开的新闻发布会获悉，3年来公安部部署全国公安机关开展“净网”专项行动，严打侵犯公民个人信息违法犯罪活动，锚定行业内部泄露源头，重拳打击行业“内鬼”，共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。 公安机关开辟网络空间新战场，“打源头、摧平台、断链条”，全环节摧毁犯罪生态。锚定技术类侵犯公民个人信息犯罪源头，发起打击黑客犯罪集群战役，侦破一批利用木马病毒、钓鱼网站、渗透工具、网络爬虫等黑客手段窃取公民个人信息案件；锚定行业内部泄露源头，重拳打击行业“内鬼”，2020年以来共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名；锚定买卖公民个人信息的重点网络平台，抓获了一批数据中间商和物料供应商；紧盯ChatGPT、云计算、区块链、“AI换脸”等新技术、新应用、新业态，侦破一批利用人工智能技术侵犯公民个人信息的新型案件；循线深挖下游犯罪线索，连带破获大量电信诈骗、套路贷、网络盗窃、网络洗钱等违法犯罪案件，形成“以点带面，全面开花”的打击态势。 公安部聚焦人民群众“急难愁盼”，深入开展专项整治。针对快递信息泄露引发电信诈骗的问题，公安部会同中央网信办、国家邮政局联合开展为期6个月的邮政快递领域个人信息泄露治理专项行动，期间共侦破窃取、贩卖快递信息案件206起，抓获犯罪嫌疑人844名，其中快递公司内部人员240名。针对“AI换脸”导致群众被欺诈的问题，公安机关发起专项会战，侦破相关案件79起，抓获犯罪嫌疑人515名。针对装修、贷款等骚扰电话的问题，公安机关联合工商部门开展专项整治，惩处了一批非法买卖公民个人信息的金融公司、装修公司、物业公司和房地产公司，循线打掉多个电话推广犯罪团伙。 此外，构建协同作战机制，打造综合治理格局。依托“净网”专项行动，公安部与中央网信办、最高人民法院、最高人民检察院、工业和信息化部等相关单位建立了长效合作机制，从严厉惩治犯罪、突出重点整治、加强行业监管、规范依法办案、开展宣传教育等多方面协同推进，形成了保护公民个人信息和数据安全的工作合力，构建起源头治理、综合治理、系统治理的工作格局。 本文来源：北京日报 ...