要聞速覽

1、國家網(wǎng)信辦公布《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》

2、《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通 資產(chǎn)信息格式》發(fā)布

3、印度國防部被黑客打穿，泄露8.8GB數(shù)據(jù)

4、新型僵尸網(wǎng)絡(luò)感染全球88個國家/地區(qū)，超6千臺華碩路由器遭攻擊

5、iPhone 用戶注意了，新型 Darcula 網(wǎng)絡(luò)釣魚“盯上”你們了

6、越南頭部券商遭黑后服務(wù)中斷，當?shù)毓墒薪灰琢矿E降10%

一周政策要聞

國家網(wǎng)信辦公布《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》

3月22日，國家互聯(lián)網(wǎng)信息辦公室公布《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》（以下簡稱《規(guī)定》），自公布之日起施行。

國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人表示，數(shù)據(jù)跨境流動已經(jīng)成為全球資金、信息、技術(shù)、人才、貨物等資源要素交換、共享的基礎(chǔ)。為了促進數(shù)據(jù)依法有序自由流動，激發(fā)數(shù)據(jù)要素價值，擴大高水平對外開放，《規(guī)定》對數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證等數(shù)據(jù)出境制度作出優(yōu)化調(diào)整。

《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通 資產(chǎn)信息格式》發(fā)布

為促進網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通資產(chǎn)信息有效互通和整合，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會秘書處組織編制了《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通 資產(chǎn)信息格式》（以下簡稱《指南》），給出了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通時資產(chǎn)信息的描述格式，可用于指導(dǎo)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通功能的設(shè)計、開發(fā)、應(yīng)用和測試。

網(wǎng)絡(luò)安全產(chǎn)品的互聯(lián)互通不僅可以提高安全產(chǎn)品的協(xié)同能力，還可以加強對網(wǎng)絡(luò)安全事件的監(jiān)測和響應(yīng)能力，進而提升整體網(wǎng)絡(luò)安全防護水平。同時，資產(chǎn)信息的有效互通和整合也能夠幫助企業(yè)更好地管理和保護其重要數(shù)據(jù)和資產(chǎn)，有效降低安全風(fēng)險。

信息來源：全國網(wǎng)絡(luò)安全標準化技術(shù)委員會https://www.tc260.org.cn/front/postDetail.html?id=20240325113218

業(yè)內(nèi)新聞速覽

印度國防部被黑客打穿，泄露8.8GB數(shù)據(jù)

3月27日，EclecticIQ 研究人員發(fā)布了一份報告稱：黑客攻擊了印度政府和能源公司，目的是傳播一種名為 HackBrowserData 的開源信息竊取惡意軟件。該軟件能夠在某些情況下利用 Slack 作為命令與控制（C2）泄露敏感信息。

據(jù)調(diào)查，這個信息竊取程序是通過偽裝成印度空軍邀請函的釣魚郵件發(fā)送的。攻擊者利用 Slack 作為外滲點，在惡意軟件執(zhí)行后上傳機密內(nèi)部文檔、私人電子郵件信息和緩存的網(wǎng)絡(luò)瀏覽器數(shù)據(jù)。

攻擊鏈從包含 ISO 文件（"invite.iso"）的釣魚郵件開始，該文件又包含一個 Windows 快捷方式（LNK），可觸發(fā)執(zhí)行安裝在光盤鏡像中的隱藏二進制文件（"scholar.exe"）。

今年 3 月 7 日，荷蘭網(wǎng)絡(luò)安全公司首次注意到這個攻擊活動，該活動代號為 "FlightNight 行動"。其攻擊的目標涉及印度多個政府機構(gòu)，包括與電子通信、IT 管理和國防相關(guān)的多個組織。

據(jù)悉，黑客已經(jīng)成功入侵了私營能源公司，并獲取了財務(wù)文件、員工個人資料以及石油和天然氣鉆探活動的詳細信息，攻擊行動導(dǎo)致約 8.81 GB 的數(shù)據(jù)被泄露。

消息來源：FREEBUF  https://www.freebuf.com/news/396179.html

新型僵尸網(wǎng)絡(luò)感染全球88個國家/地區(qū)，超6千臺華碩路由器遭攻擊

IT之家 3 月 27 日消息，網(wǎng)絡(luò)安全公司 Black Lotus Labs 近日發(fā)布報告，近日追蹤發(fā)現(xiàn)了名為“TheMoon”的惡意軟件僵尸網(wǎng)絡(luò)變種，已經(jīng)感染了全球 88 個國家和地區(qū)的數(shù)千臺 SOHO 路由器和物聯(lián)網(wǎng)設(shè)備。

該公司研究人員表示，在 3 月初發(fā)現(xiàn)該惡意活動之后，追蹤觀測 72 小時內(nèi)，發(fā)現(xiàn)有 6000 臺華碩路由器成為攻擊目標。

安全專家報告稱在“TheMoon”活動中，黑客利用 IcedID 和 SolarMarker 等惡意軟件，并通過代理僵尸網(wǎng)絡(luò)來掩蓋其在線活動。

研究人員沒有說明攻破華碩路由器的具體方法，攻擊者很可能利用了固件中的已知漏洞。攻擊者還可能暴力破解管理員密碼，或測試默認憑據(jù)和弱憑據(jù)。

設(shè)備一旦感染惡意軟件之后，會檢查是否存在特定的 shell 環(huán)境（"/bin/ bash"、"/bin/ ash" 或 "/bin/ sh"）。

如果檢測到兼容 shell，加載器就會解密、丟棄并執(zhí)行名為“.nttpd”的有效載荷，該有效載荷會創(chuàng)建一個帶有版本號（目前為 26）的 PID 文件。

接下來，惡意軟件會設(shè)置 iptables 規(guī)則，阻止 8080 和 80 端口上的 TCP 流量，同時允許來自特定 IP 范圍的流量。這種策略可確保被入侵設(shè)備不受外部干擾。然后，惡意軟件會嘗試聯(lián)系合法的 NTP 服務(wù)器列表，以檢測沙盒環(huán)境并驗證互聯(lián)網(wǎng)連接。最后，惡意軟件通過循環(huán)使用一組硬編碼 IP 地址與命令和控制（C2）服務(wù)器連接，C2 則回復(fù)指令。在某些情況下，C2 可能會指示惡意軟件檢索其他組件，如掃描 80 和 8080 端口易受攻擊網(wǎng)絡(luò)服務(wù)器的蠕蟲模塊，或在受感染設(shè)備上代理流量的 ".sox" 文件。

消息來源：IT之家  https://m.ithome.com/html/758365.htm

iPhone 用戶注意了，新型 Darcula 網(wǎng)絡(luò)釣魚“盯上”你們了

近日，研究人員發(fā)現(xiàn)一種名為 "Darcula "的新型網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）使用 20000 個虛假域名，盜取了大量 Android 和 iPhone 用戶的憑證。

Darcula 目前已被用于針對全球 100 多個國家的各種服務(wù)和組織，涵蓋了郵政、金融、政府、稅務(wù)部門、電信公司、航空公司公用事業(yè)公司，為威脅攻擊者提供了 200 多個“模板”供其選擇。值得一提的是，Darcula 服務(wù)與其它類型的釣魚服務(wù)有一些差別，它主要使用谷歌信息和 iMessage 的富通信服務(wù)（RCS）協(xié)議發(fā)送釣魚信息（其它類型的釣魚服務(wù)大都使用短信）。Darcula 服務(wù)放棄了傳統(tǒng)的基于短信的策略，改為利用 RCS（Android）和 iMessage（iOS）向受害者發(fā)送帶有釣魚 URL 鏈接的信息，這樣做收件人更容易上當。此外，由于 RCS 和 iMessage 支持端到端加密，因此無法根據(jù)其內(nèi)容攔截和阻止網(wǎng)絡(luò)釣魚信息。

Netcraft 表示，全球范圍內(nèi)正在加緊通過遏制基于短信的網(wǎng)絡(luò)犯罪活動的立法，以期推動 PhaaS 平臺轉(zhuǎn)向 RCS 和 iMessage 等替代協(xié)議，但這些協(xié)議都有自身的局限性。例如，蘋果禁止賬戶向多個收件人發(fā)送大量信息，谷歌最近也實施了一項限制措施，禁止已 root 的安卓設(shè)備發(fā)送或接收 RCS 信息。然而，網(wǎng)絡(luò)犯罪分子試圖通過創(chuàng)建多個 Apple ID 和使用大量設(shè)備，從每個設(shè)備中發(fā)送少量信息來規(guī)避這些限制。此外，iMessage 中還有一項保護措施，即只有收件人回復(fù)了信息，才被允許點擊 URL 鏈接。為了繞過這些防御措施，釣魚信息指示收件人回復(fù) "Y "或"1"，然后重新打開信息，點擊鏈接。

研究人員強調(diào)，用戶應(yīng)該以懷疑的態(tài)度對待所有催促其點擊 URL 鏈接的信息，尤其是在發(fā)件人不明確的情況下。

消息來源：安全圈  https://www.163.com/dy/article/IUD4UO1U0511A5GF.html

越南頭部券商遭黑后服務(wù)中斷，當?shù)毓墒薪灰琢矿E降10%

安全內(nèi)參3月28日消息，越南第三大證券經(jīng)紀公司VNDirect（越南直接投資證券股份有限公司）在上周末遭遇網(wǎng)絡(luò)攻擊，目前正全力恢復(fù)運營。

盡管公司27日宣布部分服務(wù)已經(jīng)恢復(fù)上線，但據(jù)當?shù)孛襟w報道，投資者仍然無法登錄平臺。VNDirect計劃分四個階段逐步恢復(fù)各項在線服務(wù)，從客戶賬戶開始，最后是金融產(chǎn)品。

由于部分系統(tǒng)剛剛恢復(fù)，訪問量較大，VNDirect在Facebook上發(fā)布聲明稱，用戶可能會遇到登錄問題，建議“請耐心等待并再次刷新頁面。”

截至當?shù)貢r間27日晚些時候，VNDirect的官方網(wǎng)站仍然無法訪問。

據(jù)路透社報道，本周以來，VNDirect的股價已經(jīng)下跌了近4%。由于使用VNDirect的投資者無法交易，胡志明市證券交易所（簡稱HOSE或HSX）25日的交易量下降了10%。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/64786

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！