据Cybersecuritynews消息，CISA向美国高级政府官员与政治任务发出警示，建议采用 Signal 等端到端加密消息服务。CISA 于 12 月 18 日发布指南，强调传统 SMS 的脆弱性，主要建议包括使用端到端加密应用（如 Signal）、实施高级认证（弃用 SMS 多因素认证，采用 FIDO 方法）、定期软件更新、关注硬件选择、避免个人 VPN 等。Salt Typhoon组织的频繁活动使得端到端加密更加迫切。

据BleepingComputer消息，VScode市场上存在恶意Visual Studio Code 扩展，其会下载高度混淆的 PowerShell 有效载荷，在供应链攻击中针对开发者和加密货币项目。 Reversing Labs 报告，该活动包含 18 个主要针对加密货币投资者和寻求如 Zoom 等生产力工具用户的恶意扩展，于10月首次现身，在VScode市场上有诸多次提交，威胁行为者添加假评论并夸大安装数以增可信度，所有扩展都有相同恶意功能，从可疑域名下载高度混淆的 Windows CMD 文件并执行隐藏 PowerShell 命令解密更多载荷。

据CRN网站消息，网络安全供应商Rapid7的收购谈判持续推进，而投资者Jana Partners 不再参与其中，路透社报道，依据监管文件，此前与 Jana Partners 合作的投资公司 Cannae 将独自与 Rapid7 安排会谈。10 月下旬，Rapid7 曾与包括 Bain Capital、Advent 和 EQT 等私募股权公司就潜在收购展开 “早期” 交流。12月18日午后，Rapid7 股价上涨 6.7% 至每股 41.65 美元。

据BleepingComputer消息，美国政府考虑自明年起禁止 TP-Link 路由器，因担忧其在网络攻击中对国家安全构成威胁。美司法部、商务部与国防部正联合调查，商务部已向该公司发传票。TP-Link 在美国 SOHO 路由器市场份额达约 65%，其低价销售策略也受调查。超 300 家美互联网服务商将其设为家庭用户默认路由器，且多政府机构网络也有使用。此前微软报告称遭黑的 SOHO 路由器僵尸网络多为 TP-Link 设备，被用于网络攻击，这引发了美国的高度关注与行动。

据美国网络安全和基础设施安全局（CISA）官方网站消息，CISA 将四个新漏洞纳入 “已知被利用漏洞目录”，因有证据表明这些漏洞已被主动利用。涉及的漏洞包括 CVE-2018-14933 NUUO NVRmini 设备的操作系统命令注入漏洞、CVE-2022-23227 NUUO NVRmini 2 设备的认证缺失漏洞、 CVE-2019-11001 Reolink 多款 IP 摄像机以及 CVE-2021-40407 Reolink RLC-410W IP 摄像机的操作系统命令注入漏洞。这类漏洞常成恶意网络行为者攻击途径，给联邦企业带来重大风险。

据Theregister报道，Check Point研究人员称犯罪分子正伪造谷歌日历邮件进行钓鱼诈骗，动机为谋财。四周内已向约300个组织发送超4000份邮件。诈骗者篡改了发件人邮件头部，邮件含 [.] ics 日历文件及链接，诱导收件人点击，最终会导向加密货币挖矿或比特币支付等诈骗页面，要求收件人完成假认证、输入个人信息及支付信息。谷歌建议用户采用“已知发件人” 设置进行防范，Check Point还提供了其他保护自己免受此类网络钓鱼和其他网络钓鱼活动侵害的建议。

据Therecord消息，内布拉斯总检察长对Change Healthcare及其母公司UnitedHealth提起诉讼，指控其在二月遭勒索软件攻击后未能妥善保护内布拉斯加州居民的敏感医疗信息，致医疗服务受阻。此次攻击影响重大，约一亿美国民众医疗信息被泄露，，医疗行业瘫痪数周。总检察长寻求民事处罚与赔偿，并要求两公司强化数据安全措施，对方则称会积极应诉且正尽力通知受影响客户。

据Securitybrief报道，Cohesity已完成与Veritas企业数据保护业务的合并，跃升为全球最大的数据保护软件提供商。此次合并将服务超过12,000家客户，保护全球数百艾字节的数据。Cohesity的年收入超过17亿美元，年循环收入达15亿美元。公司总裁Sanjay Poonen表示，合并将带来巨大的客户和合作伙伴利益，特别是在东盟地区和全球范围内。此次交易价值超过70亿美元，由Haveli Investments领投的H系列投资轮融资资助，预计将加速产品创新并提升Cohesity的产品领导地位。

据Helpnetsecurity报道，网络安全公司Datadog Security Labs揭露了一个长达一年的恶意活动，攻击者MUT-1244利用GitHub上的伪造概念验证（PoC）代码，窃取了超过39万条WordPress凭证、AWS访问密钥、SSH私钥等敏感数据。攻击者通过钓鱼邮件和植入特洛伊木马的GitHub仓库来获取受害者系统的初始访问权限。此次攻击的目标包括红队成员、渗透测试人员、安全研究人员等。Datadog报告指出，攻击者可能通过非法手段获取了这些凭证，并通过特洛伊木马工具“yawpp”进行验证。

据Cybersecuritynews消息，研究人员发现了Kerio Control（一种广泛使用的统一威胁管理解决方案）中的关键HTTP响应拆分漏洞，这些漏洞被追踪为CVE-2024-52875（或KIS-2024-07），影响了从9.2.5到9.4.5的版本。这些漏洞可能允许攻击者将低严重性问题升级为一键远程命令执行（RCE）攻击，从而获得对防火墙系统的根访问权限。受影响的页面包括 nonauth addCertException.cs、 nonauth guestConfirm.cs和 nonauth expiration.cs，攻击者可以利用这些漏洞进行开放重定向攻击、HTTP响应拆分和反射型跨站脚本攻击（XSS）。

据Cybersecuritynews消息，APT 组织 Earth Koshchei（APT29 或 Midnight Blizzard）利用红队工具，借助商业 VPN、TOR 和住宅代理等匿名化手段，在 RDP 攻击中进行间谍活动与数据窃取。该组织通过钓鱼邮件发送恶意RDP配置文件，诱使目标连接至其控制的RDP服务器，从而获得对目标机器的部分控制权 。攻击目标包括政府、军事组织、智库和学术研究人员等 。安全专家建议，组织应加强防御措施，包括阻止非信任的出站RDP连接和监控可疑配置文件的传输 。

据Cybersecuritynews消息，影响超百万活跃安装量的 WordPress 多语言插件（WPML）被曝存在关键的远程代码执行（RCE）漏洞（CVE-2024-6386）。此漏洞源于 Twig 模板引擎的服务器端模板注入（SSTI）问题，攻击者可利用 SSTI 漏洞测试并逐步升级攻击，获取服务器信息、执行终端命令、读取敏感文件等，最终完全控制网站后端，建议相关网站所有者立即更新至最新版本以保安全。

据Cybersecuritynews消息，Azure Data Factory 与 Apache Airflow 集成存在名为 “Dirty DAG” 的新安全漏洞。攻击者可借此获取 DAG 文件的未授权写入权限或利用受损服务主体，进而掌控 Azure 基础设施的影子管理员权限，导致恶意软件部署、数据泄露等风险，还能通过操纵 Geneva 服务获取更多 Azure 资源。微软称该问题仅存在于研究人员的集群，建议企业实施全面防护策略以保障数据安全。

近日，杭州美创科技股份有限公司（简称：美创科技）完成新一轮融资，浙江余杭转型升级产业投资有限公司作为本轮独家投资方,密码资本担任财务顾问。浙江余杭转型升级产业投资有限公司为余杭国投旗下全资企业,本轮美创科技获国资加持，助力提升美创数据安全产品竞争力、保持市场领导力。

据Cyberdaily消息，德州理工大学证实，该校两个健康科学中心的患者数据因 Interlock 勒索软件团伙的网络攻击而泄露。据悉，德州理工大学健康科学中心和其埃尔帕索分校的 140 万患者数据被发布于暗网。攻击发生于 2024 年 9 月，导致部分计算机系统和应用程序暂时中断。经调查，该网络安全事件使特定文件和文件夹被访问或移除。泄露数据包括患者姓名、出生日期等多种敏感信息。目前大学正与 “外部专家” 进一步调查，并按美国法律提供免费信用报告查询服务。

据BleepingComputer消息，超 25000 台可公开访问的 SonicWall SSLVPN 设备存在严重漏洞，其中 20000 台使用厂商已不再支持的 SonicOS OSX 固件版本。由于今年多起影响 SonicWall 设备的重要漏洞被相继披露，网络安全公司 Bishop Fox 遂开展调查。结果显示，近期Fog 勒索软件和 Akira 等勒索软件组织利用了 SonicWall SSL VPN 设备漏洞，入侵企业网络。Bishop Fox 还确定 25485 台设备易受严重问题影响，94018 台有高度严重性缺陷。

据BleepingComputer消息，一个名为 Bitter 的网络间谍组织利用新型MiyaRAT恶意软件针对土耳其国防组织发起攻击。该组织同时使用MiyaRAT与WmRAT，可为 Bitter 提供数据泄露、远程控制、屏幕截图捕获、命令执行和系统监控功能。此次攻击始于一封包含外国投资项目诱饵的电子邮件，附件为RAR压缩文件，内含PDF诱饵文件、伪装成PDF的快捷方式文件以及嵌入的ADS。若打开快捷方式文件，将触发PowerShell代码执行，同时创建名为 "DsSvcCleanup "的计划任务，每17分钟执行一次恶意curl命令。

据BleepingComputer消息， 近期出现新的Ledger钓鱼邮件，伪装成数据泄露通知，诱骗用户验证恢复短语以窃取加密货币钱包。Ledger是一个硬件加密货币钱包，钓鱼邮件主题为“安全警告：数据泄露可能暴露您的恢复短语”，声称Ledger遭受数据泄露，要求用户在假冒的验证页面上验证恢复短语。用户点击“验证我的恢复短语”按钮会导向假冒网站，要求输入恢复短语。Ledger官方提醒用户，不要在任何应用或网站上输入恢复短语，应直接在Ledger设备上操作，且官方不会要求用户提供恢复短语。

据外媒消息，美国网络安全和基础设施安全局（CISA）发布了一项新指令BOD 25-01，要求联邦民用机构采取具体措施以降低网络风险。该指令要求机构识别特定的云租户、实施评估工具，并使云环境与CISA的Secure Cloud Business Applications (SCuBA)安全配置基线保持一致。这一举措旨在减少由于配置错误和安全控制薄弱导致的攻击风险，增强联邦政府网络的防御能力。CISA主任Jen Easterly强调，尽管该指令仅适用于联邦民用机构，但云环境面临的威胁波及到每个领域，呼吁所有组织采纳这一指南。

据DarkReading消息，DarkGate 远程访问木马（RAT）有新攻击途径。攻击者通过微软 Teams 语音电话瞄准用户，此前它已借钓鱼邮件、恶意广告、劫持即时消息和搜索引擎优化中毒等传播。此次攻击先向受害者收件箱发数千封钓鱼邮件，再打 Teams 电话冒充技术支持，诱导下载微软远程支持应用失败后，又骗其下载 AnyDesk 工具实现远程访问，将 DarkGate 等可疑文件传入受害者机器。该木马功能多样，企业需培训员工防范，审核第三方技术支持等以抵御此类攻击。