据Cybersecuritynews消息，12 月中旬起，黑客入侵至少 16 款 Chrome 浏览器扩展程序，超 60 万用户面临数据被盗风险。加州数据保护公司 Cyberhaven 率先确认，其员工遭钓鱼攻击致凭证泄露，黑客借此发布含窃取敏感信息代码的恶意版本。受影响扩展涵盖 AI、VPN、生产力工具等多类别。恶意代码在 12 月 24 日至 26 日活跃约 25 小时。Cyberhaven 已采取通知客户、引入外部机构分析等应对举措。此次事件凸显扩展程序安全脆弱，各方需加强防范。

据Cybersecuritynews消息，大众汽车因旗下软件子公司 Cariad 系统配置错误，致使 80 万电动车车主个人信息意外泄露，包括位置数据、联系方式等，其中精确的 GPS 数据可构建详细出行轨迹。此次由德国黑客组织 “混沌计算机俱乐部” 发现并告知大众，使其能在数据遭恶意利用前处理。这一事件凸显汽车行业数据隐私问题受关注，此前也有多起车企安全事故。

据Securitybrief消息，Let s Encrypt 宣布从明年起将开始提供为期 6 天的证书。如今，谷歌、苹果等科技巨头都提议缩短公钥 TLS 证书时长，Let s Encrypt 此举顺应行业缩短证书有效期趋势，旨在增强网络安全、降低证书遭泄露风险。不过，这也带来新挑战，因其需企业采用新流程与工具，多数企业缺乏应对大规模转变的资源，且业内担忧会加剧管理难题、引发混乱等。但也有乐观声音，称相关问题是可解决的，安全团队可借助多种服务实现有效管理。

据Hackread消息，新闻网站 NFTEvening 与 NFT 市场的数据和分析平台 Storible 合作开展研究，利用基于云的服务器训练神经网络 30 天，测试长短期记忆网络（LSTM）能否破解加密货币种子短语。研究发现，该神经网络每秒可进行 994,051 次猜测，能在 0.02 秒内恢复一个缺失单词，29 秒恢复两个单词，2.28 小时恢复三个单词，恢复四个单词最多需 178 小时。但即便如此，由于种子短语组合数量巨大，破解八个缺失单词所需时间是宇宙年龄的 174 倍，目前 AI 对加密货币种子短语安全尚未构成威胁。

据Thehackernews消息，美国司法部本周公布的一份起诉书显示，29 岁的Junior Barros De Oliveira遭到指控。据悉，2020 年 3 月，他入侵了一家位于新泽西州公司的巴西子公司网络，窃取约 30 万客户的机密信息，并至少三次利用访问权限作案。当年 9 月，他化名给该公司首席执行官发邮件，索要 300 枚比特币（当时价值约 320 万美元），以换取不售卖数据，后续还转发消息并索要 “咨询费” 等。

据Thehackernews消息，Palo Alto披露了一个影响 PAN-OS 软件的高严重性漏洞（CVE-2024-3393，CVSS 评分 8.7），该漏洞可导致易受攻击设备出现拒绝服务（DoS）状况，波及 PAN-OS 10.X 和 11.X 版本以及运行 PAN-OS 版本的 Prisma Access。目前已在部分 PAN-OS 后续版本中修复此漏洞，且修复也扩展到了其他常用维护版本，不过 PAN-OS 11.0 因已到生命周期结束状态无修复措施。公司表示发现该漏洞在生产使用中出现问题，已知有客户遇到相关 DoS 情况。建议相关用户尽快更新。

据Securitybrief消息，卡巴斯基发现黑客组织 Lazarus部署的名为 “CookiePlus” 的新恶意软件，正瞄准核、航空航天及国防领域员工。该软件是 “梦幻工作” 行动的最新迭代，已历经五年多演变，伪装成知名国防和航空航天公司的技能评估，威胁核组织的数据安全及存在间谍风险。此恶意软件采用复杂多阶段攻击法，能躲避检测、收集关键系统信息等。

据Thecyberexpress消息，日本航空公司（JAL）遭网络攻击，其内部与外部网络连接的设备出现问题，致使通信系统故障，影响国内外航班运营，超 40 个航班出现延误，公司还暂停当日出发航班的售票并停用手机应用。不过，JAL 强调航班安全未受影响，且无客户数据泄露或病毒破坏情况。事发 90 分钟内，JAL 关闭受影响路由器防止进一步损害。随后其恢复当日售票及相关系统。此外，JAL 已迅速展开调查，但暂无组织对此负责。

据Securitybrief消息，卡巴斯基曝光了一起针对脸书商业推广用户的钓鱼诈骗。12 月 14 日起，诈骗邮件伪装成 “Meta for Business” 发送给企业，称其页面有违禁内容，需解释以防账号被封，实则意在窃取账号。这些邮件 “发件人” 非脸书官方域名，来源多样，还诱使收件人前往脸书 Messenger，以假支持团队骗取信任。卡巴斯基专家称此类诈骗愈发复杂，预计 2025 年这类利用社交平台信任的攻击会增多。专家提醒用户保持警惕，勿点可疑链接，开启双重认证等。

据Securitybrief消息，CISA发布新指令，要求联邦机构采用安全云业务应用（SCuBA）安全配置基线，率先从微软 365 开始。该指令即《约束性操作指令 25-01》，旨在加强使用云和 SaaS 服务的联邦机构的安全框架，应对针对这些环境的日益增长的网络攻击威胁，设定了 2025 年 2 月、4 月和 6 月三个合规期限。AppOmni 首席安全官 Cory Michal 称此指令是必要之举，但也指出联邦机构在执行时可能面临期限、资金和技能短缺等挑战。随着 SaaS 应用成为攻击新目标，该指令对保障联邦机构安全至关重要。

据Helpnetsecurity消息，Lookout 报告指出网络犯罪转向攻击移动设备，移动威胁剧增。企业凭证盗窃与钓鱼尝试环比增 17%，恶意应用检测环比增 32%，且 iOS 设备在钓鱼攻击中比安卓更易受袭，2024 年 Q3 其被攻击比例达 18.4%，安卓为 11.4%。中俄 APT 组织开发的超 106000 个恶意应用被检测出，常见漏洞集中于 Chromium 浏览器及部分应用。因 iOS 在企业中更普及受关注，而恶意软件发展迅猛，组织急需先进移动防御策略保护设备及关联敏感数据与系统。

据Hackread消息，iProov 揭露暗网重大操作，有人收集真实身份文件与面部图像以绕过 KYC 验证。该暗网组织通过有偿获取方式，在拉美和东欧等地收集大量身份信息，用于出售获利。攻击者手段从简单静态图像到深度伪造软件和定制 AI 模型不断升级，对依赖生物识别验证的机构构成重大挑战。同时，近期 ZKTeco 和 ChiceDNA 等公司也曝出生物识别数据泄露事件。

据Cybersecuritynews消息，，IBM 报告其 AIX 操作系统存在漏洞，会导拒绝服务（DoS）状况，具体涉及 TCP IP 和 perfstat 内核扩展，对应 CVE-2024-47102 与 CVE-2024-52906 两个漏洞编号。前者因输入验证不当，后者因存在竞争条件所致，二者均允许非特权本地攻击者触发 DoS，CVSS 基础评分均为 5.5，属中等严重程度，利用复杂度相对低。受影响的产品版本涵盖 AIX 7.2、7.3 及 VIOS 3.1、4.1 等。IBM 建议用户查受影响文件集并更新至无漏洞版本，管理员需关注公告来防系统中断。

据Cybersecuritynews消息，戴尔广泛使用的 SupportAssist 软件中存在一个新披露的高影响漏洞（CVE-2024-52535），该漏洞影响家庭 PC 版（4.6.1 及更早版本）和商业 PC 版（4.5.0 及更早版本），源于软件修复组件中的符号链接攻击，低权限认证用户可借此提升权限，执行诸如任意删除系统文件和文件夹等未授权操作，风险严重，CVSS 基础评分为 7.1。

据Cybersecuritynews消息，FICORA 和 CAPSAICIN 两大僵尸网络利用D-Link 路由器 Home Network Administration Protocol（HNAP）接口的遗留漏洞，如 CVE-2015-2051 等，进行恶意攻击，获取设备的完全远程控制权，进而执行恶意命令。这些漏洞虽已被披露多年，但因大量设备未更新固件而仍被利用。FICORA 僵尸网络可发动 DDoS 攻击，CAPSAICIN 则会快速部署并清除其他恶意软件。

据Cybersecuritynews消息，Palo Alto Networks 的 PAN-OS 软件曝出高严重性漏洞 “CVE-2024-3393”。该漏洞存在于其下一代防火墙中，未经身份验证的攻击者可通过发送特制 DNS 数据包来利用 DNS 安全功能，从而触发拒绝服务情况，反复攻击甚至能使防火墙重启进入维护模式，严重影响可用性，其 CVSS 评分为 8.7 分。此漏洞影响多个 PAN-OS 版本，包括 11.2、11.1 等系列。Palo Alto Networks 已发布补丁，建议用户尽快升级，无法立即升级的可先采取临时措施，如禁用 DNS 安全日志记录，以降低风险。

据Bleepingcomputer消息，威胁行为者在 “传染性面试” 活动中使用新型 “OtterCookie” 恶意软件针对软件开发人员。该活动自 2022 年 12 月起就已存在，此前用假招聘投送其他恶意软件，如今新添 “OtterCookie”，于 9 月出现且 11 月有新变种。此恶意软件经加载器传递，通过特定项目或包感染目标，与控制端建立通信后可执行窃取数据等命令，包括加密货币钱包密钥及剪贴板数据等。

据Bleepingcomputer消息，Apache 软件基金会针对 MINA、HugeGraph-Server 和 Traffic Control 产品的三个严重问题发布了安全更新。这些漏洞于 12 月 23 日至 25 日在新软件版本中得到修复，但假期可能导致修复速度放缓和被利用风险增加。其中，MINA 存在因不安全的 Java 反序列化导致的漏洞（CVE-2024-52046），影响多个版本，Apache 已发布新版本修复并给出升级建议；HugeGraph-Server 存在认证绕过漏洞（CVE-2024-43441），已在 1.5.0 版本修复；Traffic Control 存在 SQL 注入漏洞（CVE-2024-45387），在 8.0.2 版本修复。

据Thehackernews消息，卡巴斯基公司在调查亚洲一台受感染机器时发现伊朗 “魅力小猫” 黑客组织部署了贝拉 Ciao 恶意软件的 C++ 新变种 BellaCPP。贝拉 Ciao 最早于 2023 年 4 月出现，常被用于针对多国的网络攻击，该组织惯于利用社会工程学手段结合软件安全漏洞实施攻击。BellaCPP 作为变种，以 “adhapl.dll” 形式存在，功能与贝拉 Ciao 类似，但缺少网络 shell，且使用了该组织此前用过的域名，网络安全风险不容忽视。

据Thehackernews消息，Claroty 研究人员发现锐捷网络云管理平台存在多处安全漏洞出，这些漏洞影响 Reyee 平台及 Reyee OS 网络设备，若遭利用，攻击者可在任何云启用设备上执行代码，控制数以万计的设备，并设计出 “Open Sesame” 攻击方式。10 个漏洞中有 3 个严重等级为 “关键”，包括弱密码恢复机制漏洞（CVE-2024-47547，CVSS 评分 9.4）、服务器端请求伪造漏洞（CVE-2024-48874，CVSS 评分 9.8）等。此外，知晓设备序列号还可进一步利用相关漏洞执行恶意命令。经披露后，锐捷网络已修复这些漏洞。