31日消息，2023年“磐石行动”—上海市工业和信息化领域网络安全实战攻防活动成功举行。本届“磐石行动”实战攻防以“实际”为背景，聚焦业务重要性和数据敏感性，以“求实”为特色，认真总结往年“磐石行动”的成功经验，以“实践”为导向，把本次攻防与2023年度网络和数据安全重点检查、“浦江护航”数据安全专项行动等监管要求紧密结合起来，在为期十天的实战攻防中，各攻击队伍共提交近千份有效攻击成果报告以及600余份防守报告。

29日消息，Ivanti披露了另一个影响Endpoint Manager Mobile（EPMM）的安全漏洞，据称该漏洞已被恶意行为者作为漏洞利用链的一部分武器化。该新漏洞被跟踪为 CVE-2023-35081，成功利用此漏洞可允许威胁参与者在设备上写入任意文件，从而使恶意方能够以tomcat用户身份在设备上执行操作系统命令。以及允许远程攻击者获取敏感信息、添加 EPMM 管理帐户以及利用身份验证绕过而更改配置。对此CISA发布警报，督促用户和组织应用最新修复程序。

近日，NCSC发布了针对系统所有者和技术人员如何管理其组织中影子 IT的新指南。影子IT是指员工在IT部门不知情的情况下用于工作的设备和服务。它们可能包括智能设备、服务器、虚拟机、云存储和未经批准的消息传递或协作工具。其可能会导致敏感数据的泄露，或在整个组织中传播恶意软件。NCSC认为，鉴于影子IT的潜在严重影响，技术团队应该专注于寻找它在组织中的位置并解决其根本原因。

29日消息，一种名为CherryBros的新型Android恶意软件利用光学字符识别（OCR）技术来收集存储在图片中的敏感数据。CherryBlos除了在合法的加密钱包应用程序上显示虚假叠加层以窃取凭据并将欺诈性资金转移到攻击者控制的地址外，CherryBlos还利用OCR从存储在设备上的图像和照片中识别潜在的助记词，其结果会定期上传到远程服务器。该活动的成功取决于用户倾向于在其设备上截取钱包恢复短语屏幕截图的可能性。

28日消息，Cymru团队的新发现显示，与IcedID恶意软件加载程序相关的威胁行为者更新了用于黑客系统上的入侵后活动的BackConnect（BC）模块。IcedID也称为BokBot，是一种类似于Emotet和QakBot的恶意软件。BC依靠专有的命令和控制协议在服务器和受感染的主机之间交换命令。在BC的SOCKS功能的支持下，某些IcedID受害者被用作垃圾邮件操作的代理人。这对受害者来说是一个潜在的双重打击，他们不仅会被泄露并造成数据或财务损失，而且还会被进一步利用来传播IcedID活动。

近日，ALPHV勒索软件团伙（也称为BlackCat）正试图通过为其泄漏站点提供API来提高其攻击的可见性，从而向受害者施加更大的压力，要求他们支付赎金。API通常用于根据商定的定义和协议实现两个软件组件之间的通信。勒索软件团伙发布了API调用，这些调用将有助于获取有关添加到其泄漏站点的新受害者或从特定日期开始的更新的各种信息。

近日，爱沙尼亚加密支付服务提供商CoinsPaid称其遭到Lazarus黑客组织发起的网络攻击，价值3720万美元的加密货币被盗。此次攻击给该公司造成了重大的经济损失，并对支付平台的可用性产生了诸多不利影响，但公司表示客户资金仍是安全的，该事件不会对公司的业务产生重大影响。为了应对攻击，公司的专家团队加强了系统防护等级，以将攻击造成的影响降到最低。

近日，Cyble研究和情报实验室发现了一个伪装成Microsoft Visual Studio的安装程序，提供了一个cookie窃取程序。当用户执行该安装程序后，将会安装一个正常的Visual Studio软件，并执行一个窃密木马程序。信息窃取者以软件开发人员为目标，开发人员通常具有高级访问权限，这使得恶意软件很容易在网络中传播。这些恶意安装程序可以通过各种欺骗性方法传递，例如网络钓鱼网站、第三方网站、文件共享平台、社会工程策略、误导性广告等。

28日消息，Patchstack 发现WordPress表单构建插件Ninja Forms存在三个安全漏洞，攻击者可以通过这些漏洞实现权限提升并窃取用户数据。第一个漏洞是CVE-2023-37979，允许未经身份验证的用户通过诱骗特权用户访问特制的网页。后两个漏洞为CVE-2023-38393和CVE-2023-38386，允许订阅服务器和贡献者导出用户在受影响的WordPress网站上提交的所有数据。以上漏洞都属于高危，任何支持会员资格和用户注册的网站，一旦使用易受攻击的Ninja Forms插件版本，都易因该漏洞而发生大规模数据泄露事件。

27日消息，一种新的恶意广告活动Nitrogen利用谷歌搜索和必应，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标，诱骗他们下载木马安装程序，目的是入侵企业网络，并可能在未来实施勒索软件攻击。eSentire在2023年6月首次记录了Nitrogen，详细描述了一个感染链，它将用户重定向到受攻击的WordPress网站，最终将 Python脚本和Cobalt Strike Beacons发送到目标系统上。在整个感染链中，威胁方使用不常见的导出转发和DLL预加载技术来掩盖其恶意活动。

27日，Wiz研究人员发现Ubuntu内核中存在两个Linux漏洞CVE-2023-32629和CVE-2023-2640，没有特权的本地用户可能利用其在设备上获得更高权限，影响大约40%的Ubuntu用户。Ubuntu 是目前使用最广泛的 Linux 发行版之一，拥有超4000 万用户。CVE-2023-2640属于高危漏洞，因权限检查不充分，从而允许本地攻击者获得过高的权限。CVE-2023-32629 属于中危漏洞，允许本地攻击者执行任意代码。这两个漏洞只会影响Ubuntu，其它包括Ubuntufork在内的Linux发行版以及不使用OverlayFS 模块的自定义修改都应该是安全的。

近日，黑客组织SiegedSec对北约发动了网络攻击，声称破坏了其COI门户网站，随后泄露了数百份针对北约国家和合作伙伴的敏感文件。这些数据还包含至少70名北约官员的全名、电子邮件地址、电话号码、办公地址和军衔。另外SiegedSec组织称其此次攻击与俄罗斯和乌克兰之间的战争无关，它只是在强调北约侵犯人权的行为。

近日，总部位于加拿大多伦多的心脏监测软件公司CardioComm Solutions Inc.表示正在应对网络攻击，该攻击可能会影响该公司的业务运营“数天甚至更长时间”。其正与第三方网络安全专家和当局合作进行“全面调查”，以确定该事件导致的任何潜在数据泄露的来源和程度。该公司表示没有证据表明客户的健康信息因这次攻击而受到损害，其不会从客户那里收集患者健康信息，同时其将提供身份盗窃监控，以防员工的个人信息在事件中受到损害。

根据 Sophos 的报告，2022 年教育部门记录的勒索软件攻击事件比例高于任何其他部门。报告显示，在过去一年中，79%的高等教育机构和80%的“低级”教育机构均受到勒索软件的攻击，高于2021年的64%和56%。针对高等教育组织的勒索软件攻击，利用漏洞和凭据受损占77%，针对低学历教育组织的攻击中占65%。并且教育部门是赎金支付率最高的部门之一，超过一半（56%）的高等教育受害者和47%的学校支付了赎金。

27日消息，美国证券交易委员会（SEC）周三批准了新规定，要求上市公司在确定网络攻击对其财务产生“重大”影响后四天内公布其细节，包括事件的性质、范围和时间，以及其影响。但如果提供此类细节“将对国家安全或公共安全构成重大风险”，则披露可能会延迟最多60天。此规定旨在提高美国公司面临的网络威胁和犯罪的透明度，缩小网络安全防御和披露实践方面的差距，并加强系统以防止入侵和数据盗窃。

日前有研究人员发现了一个潜伏在安卓手机上间谍软件Spyhide。Spyhide间谍软件一旦植入到被害者手机上，就会不断上传手机的联系人、信息、照片、通话记录和录音，以及实时的精确位置。目前，研究人员已经发现了大约60000台安卓设备的详细记录，数据包括329万条包含个人信息的短信，120多万份通话记录和约31.2万份通话记录文件，925000多个包含姓名和电话号码的联系人列表，382000张照片和图像的记录，以及在受害者手机中秘密录制的录音。

27日消息，医疗软件公司Ortivus遭受网络攻击，其托管数据中心环境中的英国客户系统受到破坏，导致多家英国国民健康服务（NHS）的救护车机构的电子病例系统无法使用，医疗人员被迫以手动系统处理患者数据。Ortivus相关负责人称，攻击事件发生后并没有患者受到直接影响，涉及到的12余万名患者相关数据暂未发现被盗或丢失。

27日消息，由于APP 违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题频繁发生。工信部持续推进 APP 侵害用户权益专项整治行动，取得阶段性明显成效。但部分企业对如何全面保护用户权益、最小必要使用个人信息经验不足。为强化个人信息保护最小必要工作成效，在工信部信息通信管理局的指导下，中国信息通信研究院现面向社会征集 “个人信息保护最小必要典型案例”。互联网企业、终端厂商、安全厂商等开展个人信息保护活动的相关企业可前往官方网站进行申报。

近日，有研究人员发现了一个名为Decoy Dog的新型恶意软件，经过深入分析后发现，这一恶意软件是基于Pupy RAT开源远程访问木马开发的全新升级版本。Decoy Dog利用域名系统来执行命令和控制。受到恶意软件入侵的端点通过DNS查询和IP地址响应与服务器通信并接收来自服务器的指令。研究人员表示，Decoy Dog拥有一整套强大的、以前未知的功能，包括将受害者转移到另一个控制器的能力，使他们能够与受损的机器保持通信，并长时间隐藏。目前该恶意软件正在俄罗斯和东欧地区大肆传播。

26日消息，为了帮助企业上云过程中能够有效保护数据和关键资产的安全，美国网络安全和基础设施安全局（CISA）发布了一份《面向云环境的免费安全工具》白皮书，为组织的网络安全防御者和事件响应团队提供了可用于在云上威胁检测和漏洞修复的建议参考。白皮书强调了评估组织安全态势的重要性，尤其是在混合云的应用环境中，而正确识别和利用开源工具将帮助网络防御者增强安全性、检测威胁和提高事件响应能力。