新闻速览

•查处3.1万余人！公安机关打击网络谣言取得显著成效

•北京自贸试验区数据出境负面清单完成首批用户应用备案

•跨国执法行动成功摧毁一个已运营9年的网络犯罪平台

•Orca Security报告：多数企业在应用AI时未考虑安全因素

•利用50余种恶意软件发起攻击，马可波罗团伙严重威胁全球金融安全

•警惕一种新型凭证窃取手法：浏览器操控+恶意软件

•威胁组织利用MISTPEN恶意软件发起“梦幻工作行动”攻击

•VMware紧急修复可导致远程代码执行与权限提升的漏洞

•数千个ServiceNow实例被发现泄露企业知识库数据

•苹果iOS 18全方位升级安全性和隐私保护

特别关注

查处3.1万余人！公安机关打击网络谣言取得显著成效

公安部网安局9月19日消息，自开展“净网2024”专项行动以来，全国公安机关网安部门已办理网络谣言类案件2.7万余起，依法查处造谣传谣网民3.1万余人，依法关停违法违规账号19.9万余个，清理网络谣言信息156.2万余条。

据介绍，依托“净网2024”专项行动，公安部组织全国公安机关持续开展打击整治网络谣言专项行动，及时发现查处借热点舆情事件进行造谣传谣线索，坚决整治自媒体运营人员移花接木、摆拍造谣等利用网络谣言进行吸粉引流、非法牟利等行为，重拳打击编造虚假险情、灾情、警情等违法犯罪活动。

下一步，公安机关将继续依法严惩网络谣言违法犯罪活动，切实维护公民合法权益和网络生态秩序。公安部呼吁广大网民及时关注官方发布的权威信息和辟谣信息，积极向公安机关和有关平台举报反映网络谣言相关违法犯罪线索。

原文链接：

https://mp.weixin.qq.com/s/1oCd0hkIQsKlQcsuLKAtbg

北京自贸试验区数据出境负面清单完成首批用户应用备案

北京市网信办、北京市商务局、北京市政务服务和数据管理局8月30日联合发布的《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》实现了“首发即用”。拜耳医药保健有限公司、三星（中国）投资有限公司均在9月11日就完成备案审核，成为首批负面清单企业应用案例。

据介绍，负面清单政策发布以来，受到社会和企业的高度关注，自贸试验区各组团积极行动，第一时间开通受理咨询热线，开展企业政策宣讲。拜耳医药保健有限公司提交的临床试验、药物警戒、医疗卫生专业人士管理、医学问询等业务场景适用于医药行业负面清单，于9月11日通过亦庄组团负面清单备案审核，成为全市首家通过自贸试验区数据出境负面清单政策实现数据合规出境的企业。同日，三星（中国）投资有限公司提交的会员管理业务场景通过大兴组团备案审核，成为全市第二例负面清单企业应用案例。

北京自贸试验区数据出境负面清单政策发布后“首发即用”，充分体现了负面清单政策的便利性，首家申报企业主体从申报使用负面清单到取得备案结果通知书仅用时5个工作日，相较于负面清单政策出台前企业须履行的合规程序，申报审核流程大幅简化，完整获批周期大幅缩短。据悉，赛诺菲、中联航、佳能、国航等企业正在与亦庄、大兴、朝阳、顺义自贸组团对接准备中。

原文链接：
https://mp.weixin.qq.com/s/I2xwFJpkhFIH_5xxR0JVOg

热点观察

跨国执法行动成功摧毁一个已运营9年的网络犯罪平台

近日，代号为“海怪”的跨国执法行动成功端掉了一个自2015年起专门为犯罪活动提供服务的高端加密通信平台“鬼影(Ghost)”，并逮捕了该平台的主谋和管理员。

鬼影平台已运营近九年，以2350美元价格出售改装智能手机，并提供为期6个月的加密网络订阅与技术支持。截至2024年9月17日，澳大利亚境内有376部活跃手机连入该平台。平台管理员面临包括支持犯罪组织、处理犯罪收益等在内的五项指控，若被定罪，可能面临长达10年的监禁。此外，约50名涉嫌在澳大利亚使用鬼影平台的用户也面临贩毒、洗钱、下令杀人及威胁造成严重伤害等指控。

本次执法行动是国际合作的成果，由澳大利亚联邦警察（AFP）主导，爱尔兰、意大利、瑞典和加拿大等多国执法机构参与其中。通过对管理员推送的软件更新进行修改，执法机构成功获取了鬼影平台在澳大利亚设备上的数据，这一技术突破不仅有助于预防犯罪，还为指控收集了重要证据。此次行动共逮捕38人，执行搜索令71份，阻止了超过50起针对生命的威胁，查获超过200公斤的非法毒品，缴获25件非法武器和枪械。

鬼影平台紧随EncroChat、Sky Global、Phantom Secure和AN0M等非法加密平台的摧毁而摧毁，表明执法机构正在不断适应并提升打击网络犯罪的能力。

相关链接：

https://cybersecuritynews.com/ghost-cybercrime-platform-dismantled/

Orca Security报告：多数企业在应用AI时未考虑安全因素

Orca Security最近发布的《2024年AI安全状态报告》显示，当前组织正在加大对AI创新的投资，但是许多公司忽视了安全的严重问题，多数公司在实施过程中未能充分考虑安全因素。

该报告通过分析Orca云安全平台对AWS、Azure、Google Cloud、Oracle Cloud和阿里云上的数十亿云资产的监测数据，提供了有关当前AI使用趋势的深入洞察。报告显示，许多AI安全风险，如暴露的API密钥、过于宽松的权限设置和配置错误，均源于云服务提供商的默认配置，这些配置往往提供了过多的访问权限。例如，45%的Amazon SageMaker存储桶的名称易于被发现，而98%的组织并未禁用Amazon SageMaker笔记本实例的默认根访问权限。

报告的主要发现包括：56%的组织已经采用了自有AI模型以满足特定需求；62%部署AI套件的组织被发现至少有一个公开漏洞（CVE）；98%的使用Google Vertex AI的组织未启用加密静态数据的选项，使得敏感信息受到安全威胁；云AI工具越来越受欢迎。

原文链接：

https://www.businesswire.com/news/home/20240918251097/en/Orca-State-of-AI-Security-Report-Reveals-Majority-of-Companies-are-Deploying-AI-Without-Regard-for-Security

网络攻击

利用50余种恶意软件发起攻击，马可波罗团伙严重威胁全球金融安全

网络犯罪团伙马可波罗正成为全球金融领域一个日益严重的威胁。据Recorded Future旗下Insikt研究机构的最新报告，该团伙目前正同时实施至少30个欺诈活动，使用多种复杂的恶意软件，已导致数万台设备被入侵，并且已给受害者带来了数百万美元的损失。

Insikt研究发现，马可波罗的主要攻击目标是个人和组织，伪装成Zoom、Discord和OpenSea等知名品牌，在在线游戏、虚拟会议软件或加密货币平台发起攻击。这些欺诈活动规模庞大，目标异常明确，主要通过社交媒体平台实施。该团伙拥有一套丰富的恶意软件工具，包含50种现成的恶意软件样本，包括HijackLoader、Stealc、Rhadamanthys和AMOS，旨在窃取加密货币或个人数据，进而进行身份盗窃和其他类型的诈骗。

据介绍，马可波罗的社会工程学策略主要针对加密货币影响者和在线游戏名人。尽管这类人群通常被认为对网络安全较敏感，然而他们却常常成为受害者。这些攻击往往通过精心设计的网络钓鱼手段实施，诱使受害者点击虚假的工作机会或合作邀请。

原文链接：

https://www.darkreading.com/threat-intelligence/marko-polo-globe-spanning-cybercrime-juggernaut

警惕一种新型凭证窃取手法：浏览器操控+恶意软件

最近，安全研究人员发现，威胁行为者正在通过操控受害者输入登录凭证的方式进行凭证窃取。这一手段将浏览器操控与传统的窃取恶意软件（如Stealer malware）结合在一起，显示出其极大的攻击复杂性和危害性。

网络安全研究机构OALABS在8月22日首次监测到这一攻击行为。攻击者使用了凭证刷新程序和恶意软件StealC。其中，凭证刷新程序通常是一个使用AutoIt脚本编写的可执行文件。它能够识别系统上已安装的浏览器，并以信息亭模式（kiosk mode）启动常用浏览器。该脚本在浏览器关闭后会持续重启，并通过设置热键来阻止用户逃离该环境。恶意软件StealC则负责提取保存的凭证。在传播StealC的过程中，攻击者采用了Amadey loader以引入该技术。StealC和凭证刷新程序通过远程服务器进行部署，并且在整个攻击链中涉及到了Amadey感染。

这种通过操控用户行为，而非简单拦截输入的隐秘手段，使得攻击者能够有效规避传统的凭证盗取保护，成为网络安全领域中一个严重的威胁。

原文链接：

https://cybersecuritynews.com/forcing-victims-into-enter-login-credentials/

威胁组织利用MISTPEN恶意软件发起“梦幻工作行动”攻击

近日，研究人员发现威胁组织UNC2970利用新型恶意软件MISTPEN，以招聘为主题进行网络钓鱼攻击，针对美国、英国、新加坡等地的能源和航空航天目标企业进行渗透攻击。

网络安全公司Mandiant指出，UNC2970通过假冒知名公司的招聘人员来对潜在受害者进行攻击，根据目标的资料修改职位描述，故意瞄准管理层或高层员工，以获取通常只限制在高层的敏感信息。

这种攻击方式被称为“梦幻工作行动”，攻击者通过电子邮件和WhatsApp发送钓鱼诱饵，随后发送伪装为职位描述的恶意ZIP文件。其中，职位描述PDF文件只能通过一个经过木马化修改的合法PDF阅读器Sumatra PDF打开。Mandiant的研究显示，攻击者可能会指示受害者使用附带的PDF查看程序打开文档，从而触发恶意DLL文件TEARPAGE的执行，并在系统重启后触发MISTPEN后门程序。MISTPEN作为一种轻量级植入程序，能够下载并执行从指挥与控制（C2）服务器获取的可执行文件，并通过HTTP与Microsoft Graph URL进行通信。

Mandiant还发现，早期的MISTPEN样本曾利用被攻击的WordPress网站作为C2域，该威胁行为者通过增加网络连接检查和新功能来改善恶意软件，从而阻碍研究人员对样本的分析。

原文链接：

https://thehackernews.com/2024/09/north-korean-hackers-target-energy-and.html

VMware紧急修复可导致远程代码执行与权限提升的漏洞

最近，VMware紧急修复了两个影响其vCenter Server和Cloud Foundation产品的严重安全漏洞。攻击者可能利用这些漏洞实现远程代码执行和权限提升。

第一个漏洞被标记为CVE-2024-38812，CVSS评分达到9.8。该漏洞属于堆溢出漏洞，发生在vCenter Server实施DCERPC协议时，具有网络访问权限的攻击者可以通过发送特制的网络数据包来触发该漏洞，可能造成远程代码执行。第二个漏洞CVE-2024-38813是vCenter Server中的特权提升缺陷，CVSS评分为7.5。该漏洞可能使攻击者通过恶意网络数据包提升权限至根用户。这两个漏洞均影响VMware vCenter Server的7.0和8.0版本，以及VMware Cloud Foundation的4.x和5.x版本。

这两个漏洞是由参加2024年中国矩阵杯网络安全大赛的研究人员发现并报告给VMware的，目前尚未发现其在实际环境中被利用。VMware已迅速发布补丁，并强烈建议用户尽快应用更新。vCenter Server用户应升级到版本8.0 U3b或7.0 U3s，而Cloud Foundation用户应应用KB88287中提到的异步补丁。

原文链接：

https://cybersecuritynews.com/vmware-vcenter-server-remote-code/#google_vignette

数千个ServiceNow实例被发现泄露企业知识库数据

近期，SaaS安全公司AppOmni发布的一项调查数据显示，在过去一年中，ServiceNow平台上超过1000个企业知识库（KB）存在敏感企业数据泄露问题，其中近45%的企业实例知识库暴露了个人身份信息（PII）、内部系统细节以及活跃的凭证和令牌。

AppOmni认为，这些安全漏洞主要源于“过时的配置和错误的知识库访问控制”，表明系统性对知识库访问控制的误解，或者是在克隆过程中不小心复制了不当控制的实例。ServiceNow作为一种云基础的IT服务管理平台，去年对其安全措施进行了两项重要更新，但是这些更新对知识库的保护效果有限，主要原因在于公共小部件未纳入此次更新，而许多知识库的访问保护依赖于用户标准而非ACL。此外。大约60%的企业实例仍保留着不安全的知识库安全属性，默认允许公共访问，许多管理员对此并不了解，导致未经身份验证的用户能够获得访问权限。

网络安全专家指出，ServiceNow并不是唯一面临此类知识库数据泄露问题的托管服务商，类似的泄露情况还曾发生在微软等其他公司。因此组织自身需要承担知识库安全的责任，定期检查知识库的访问控制，以确保安全配置的更新，使用业务规则默认拒绝未经身份验证的访问，并深入理解与知识库相关的安全属性。

原文链接：

https://www.darkreading.com/cloud-security/servicenow-kb-instances-expose-corporate-data

产业动态

、

苹果iOS 18全方位升级安全性和隐私保护

近日，苹果公司推出了最新的iPhone操作系统版本iOS 18。除了带来众多新功能和自定义选项外，此次更新着重强化了用户安全性和隐私保护。据了解，本次更新主要涉及三个方面的重大改进：独立的密码应用、应用的安全访问，以及对第三方应用的联系人访问控制：

首先，iOS 18将原本集成在设置中的密码工具升级为一个独立应用。这个全新的密码应用不仅可以自动保存和填充密码、密码密钥和验证码，还能在多设备间同步，并在发现安全隐患时及时提醒用户。该应用还支持与家人和朋友安全共享密码和密码密钥。

其次，iOS 18引入了应用锁定功能。用户可以为大多数应用设置锁定模式，需要使用Face ID、Touch ID或设备密码解锁才能访问，从而有效防止未经授权的人员访问敏感应用。此外，从App Store下载的应用还可以被隐藏在一个加锁的隐藏应用文件夹中，而且被锁定或隐藏的应用信息不会出现在设备的其他地方。

最后，iOS 18增强了对第三方应用的联系人访问控制。用户现在可以更精细地管理第三方应用对其联系人信息的访问程度，进一步保护个人隐私。

原文链接：