新闻速览

•锁定3人！国家安全部门立案侦察“台独”网军“匿名者64”

•中证协发布《证券公司网络安全事件舆情处置示范案例》

•新加坡拟对高风险银行交易施行增强型身份认证措施

•美国在线报税网站遭LockBit攻击，或威胁数百万纳税人数据安全

•攻击者伪造Booking.com假域名进行网络钓鱼攻击

•新型恶意软件SambaSpy被用于发起网络钓鱼攻击

•俄罗斯反病毒厂商Dr.Web遭遇网络攻击，被迫暂停发布病毒库

•警惕！GitHub仓库沦为Lumma  Stealer传播温床

•美亚柏科发布多款大模型赋能取证新品及升级版本

特别关注

锁定3人！国家安全部门立案侦察“台独”网军“匿名者64”

据央视新闻消息，今年以来，一个名为“匿名者64”的黑客组织，针对中国大陆和港澳地区，频繁开展网络攻击。对此，国家安全机关立即行动，采取有效措施，处置危害隐患，消除不良影响。深入调查确认，“匿名者64”组织并非普通黑客，而是由“台独”势力豢养的一支网军。

“匿名者64”组织的真实背景是台湾资通电军下属的网络战联队网络环境研析中心。该中心专职负责对大陆实施网络认知战、舆论战。2023年6月，该中心以“匿名者64”组织的名义，注册社交媒体账号，肆无忌惮地实施网络攻击和反宣破坏活动。“匿名者64”组织成立以来，已在社交媒体上发布70余条动态，用所谓“战果”博人眼球，吸引流量，曝光的攻击目标涉及户外电子屏幕、自动售卖机、网络电视等联网设备，以及新闻媒体、航空公司、大专院校等门户网站，试图营造出大陆网络安全防护极为脆弱的假象。国家安全机关核查发现，“匿名者64”组织展示的“战果”大量注水，夸大其词，被攻击的网站大多是山寨版的假官方网站，或长期无人关注的“僵尸”网站，更有甚者是该组织通过P图等方式制作而成。例如，8月2日，一家小型互联网企业运营的网站遭“匿名者64”组织攻击，因该网站挂载了多家高校官方论坛的登录地址，就被“匿名者64”组织硬说成“控制了大陆40所高校的官方论坛”。　　

目前，国家安全机关锁定了实施相关网络攻击活动的台湾人员身份信息，其中包括台湾资通电军现役人员罗俊铭、洪莉棋、廖韦纶，并已依法对三人立案侦查。

原文链接：

中证协发布《证券公司网络安全事件舆情处置示范案例》

近日，为引导行业机构提升网络安全事件舆情处置能力，中国证券业协会向券商下发了《证券公司网络安全事件舆情处置示范案例》（简称《示范案例》），总结网络安全事件实践案例，提出应对建议和最佳实践，供行业内部参考借鉴。

据了解，《示范案例》旨在聚焦网络安全事件、舆情的日常监控、监管报告流程、舆情处置流程、公众应对措施等主要环节突出重点。同时注重舆情应对的覆盖性和可操作性，以指导证券公司如何及时发现报告处置类似事件，保持事态的良性发展，减少事件对业务运营和市场的影响。

网络安全事件舆情分级方面，《示范案例》通过设立网络安全事件舆情等级判定指标，包括网络安全事件等级指标、舆情影响范围指标、舆情传播指标、舆情态势指标等四项具体指标，综合研判网络安全事件严重程度并就以上四项指标赋分，最终判定网络安全事件舆情级别为轻度、中度、严重、特别严重等四项网络安全事件舆情级别。

原文链接：

热点观察

新加坡拟对高风险银行交易施行增强型身份认证措施

新加坡将强制要求高风险银行交易使用面部识别技术进行身份验证，以应对日益严重的网络诈骗问题。新加坡金融管理局（MAS）与新加坡银行协会（ABS）近日联合宣布，新加坡零售银行将在三个月内推出“Singpass面部验证”，作为数字令牌设置环节的补充身份验证措施。

据介绍，没有 Singpass 账户的客户需要先注册账户并下载 Singpass 应用，然后才能为其银行账户设置数字令牌。在高风险场景下，验证模式将被触发，作为现有数字令牌认证方法的一个补充。面部扫描信息与新加坡官方记录进行比对确认后，才能激活数字令牌供客户使用。新加坡金融管理局（MAS）表示，这使得诈骗者更难通过使用钓鱼获得的凭证（如短信、一次性密码或银行卡信息）在自己的设备上设置客户的数字令牌。

Singpass 是新加坡的国家数字身份系统，用于验证各种在线活动的访问权限。它在800多个政府机构和企业的2700多项服务中使用，通过生物识别或短信双因素认证进行身份验证。这项新措施是新加坡银行实施的安全措施的一部分，包括一个”终止开关”，以保护客户免受诈骗。

原文链接：

网络攻击

美国在线报税网站遭LockBit攻击，或威胁数百万纳税人数据安全

近日，臭名昭著的 LockBit 勒索软件组织声称已成功入侵美国国税局（IRS）授权的在线报税服务网站 eFile.com。该组织给出 14 天最后期限，威胁说若不满足要求将泄露敏感的纳税人数据。这一事件恰逢美国纳税人申请延期的十月报税截止日期前夕，可能影响数百万用户的个人和财务信息安全。

人工智能驱动的威胁情报平台 Cyble 研究人员透露，LockBit 在9 月18 日的暗网帖子中宣称 eFile.com 是其受害者之一。然而，截至目前，LockBit 尚未发布任何被盗文件作为证明，这与勒索软件犯罪分子的惯常做法不符。不仅如此，eFile.com 的官方网站仍在正常运行，这引发了对 LockBit 声明真实性的质疑。

eFile.com 在2023 年初曾被攻击，LockBit还声称曾在 2022 年1 月攻陷了 eFile.com。如果 LockBit 此次的声明属实，可能会对依赖 eFile.com 报税的数百万用户造成严重影响，包括身份盗窃、税务欺诈和账户被盗等风险。

原文链接：

攻击者伪造Booking.com假域名进行网络钓鱼攻击

最近，OSINTMATTER的网络安全研究人员针对广受欢迎的在线旅行预订平台Booking.com的网络钓鱼攻击发出警告。攻击者通过入侵酒店经理账户，利用假域名“extraknet-booking.com”冒充合法的“extranet-booking.com”来欺骗用户。

这种攻击手法结合了多种先进技术，包括JavaScript混淆、SEO毒化以及动态伪装等。攻击者利用非标准高端口的“238 STUN”绑定请求，可能用于数据窃取或维持与被入侵系统的连接。研究还发现，该攻击与Ninja木马有关，利用“UDP打孔”技术突破NAT防火墙，入侵目标内部网络。攻击者根据访问者的IP地址和浏览器设置，动态显示恶意假门户或真实的Booking.com页面，以逃避检测。攻击基础设施包括假域名和JavaScript混淆，确保持续访问。一个关键组件是链接到数百个钓鱼页面的iFrame，成为分发恶意内容的中心。

研究表明，攻击的主要目标是感染酒店经理的设备，为后续通过Booking.com的聊天系统向客户发送恶意链接做准备。

原文链接：

新型恶意软件SambaSpy被用于发起网络钓鱼攻击

近日，网络安全公司卡巴斯基发现一种新型恶意软件SambaSpy正被用于精心设计的网络钓鱼活动中。

SambaSpy是一款功能强大的远程访问木马（RAT），使用Java开发。它具备文件系统管理、进程管理、远程桌面控制、文件上传下载、摄像头控制、键盘记录、剪贴板监控、屏幕截图和远程Shell等多种功能。此外，SambaSpy还能在运行时加载额外插件，进一步扩展其功能。值得注意的是，该恶意软件还专门设计了窃取Chrome 、Edge、Opera 等主流浏览器凭据的功能。

攻击者主要通过两种方式传播 SambaSpy：一是发送包含HTML附件或嵌入链接的钓鱼邮件；二是利用复杂的重定向机制，将用户引导至恶意网页。这些网页会根据用户的浏览器类型和语言设置进行筛选，只有使用Edge、Firefox或Chrome，且语言设置为意大利语的用户才会被引导下载恶意JAR文件。

卡巴斯基的分析显示，这次攻击活动可能只是黑客组织的试探性行动，初期只针对意大利用户，但很可能未来会将攻击扩展到其他国家。

原文链接：

俄罗斯反病毒厂商Dr.Web遭遇网络攻击，被迫暂停发布病毒库

近日，俄罗斯著名反恶意软件公司Dr.Web遭遇一起针对性网络攻击，公司随即采取紧急措施，断开所有服务器与内部网络的连接。

据Dr.Web的官方声明，该公司专家在9月14日检测到其IT基础设施存在“未经授权的干扰”迹象，并立即启动事件响应程序，将所有资源从内部网络断开，并展开全面调查。Dr.Web强调，当前对其基础设施的攻击尝试已及时被阻止，任何受Dr.Web保护的用户系统均未受到影响。然而，Dr.Web不得不暂时暂停发布病毒数据库。公司表示正在使用其Dr.Web FixIt！服务及其针对Linux的特殊预发布版本来诊断和消除攻击的后，旨在加快资源扫描速度。

Dr.Web在9月17日已经恢复了病毒数据库的发布，但当前尚未透露关于此次攻击的技术细节，也没有将其归因于任何特定的威胁行为者。目前尚不清楚攻击者是否从这家反恶意软件公司窃取了任何数据。

原文链接：

警惕！GitHub仓库沦为Lumma Stealer传播温床

近日，一种网络威胁活动正在滥用GitHub仓库，针对经常访问开源项目仓库或订阅项目电子邮件通知的用户分发Lumma Stealer密码窃取恶意软件。

攻击者通过在开源仓库上创建新的“问题”，声称存在“安全漏洞”，并诱导用户访问一个伪造的“GitHub扫描器”域名。这个域名实际上并不属于GitHub，而是用于传播Windows恶意软件。当攻击者在仓库上提交新问题时，仓库的用户和贡献者都会收到来自合法GitHub服务器的“重要！”电子邮件警报，这使得整个钓鱼活动看起来更加可信。这些虚假的“安全漏洞”电子邮件警报来自合法的GitHub电子邮件地址[email protected]，而且邮件正文署名为“GitHub安全团队。邮件建议用户访问“github-scanner[.]com”以了解更多信息。然而，这个域名实际上正被用来向访问者传播恶意软件。

当用户访问该域名时，会看到一个虚假的验证码提示“验证你是人类”。一旦用户点击“我不是机器人”，后台的JavaScript代码就会将恶意代码复制到用户的剪贴板。随后，用户被诱导执行Windows运行命令并粘贴内容。这个过程会触发下载名为“l6E.exe”的Windows可执行文件，并将其保存为“SysSetup.exe”在临时目录中执行。多个杀毒软件检测显示，这是一个具有反检测和持久性能力的木马。这款恶意软件是Lumma Stealer信息窃取恶意软件，能够窃取凭证、身份验证cookie、浏览历史，甚至加密货币钱包或包含敏感信息的文件。

原文链接：

产业动态

美亚柏科发布多款大模型赋能取证新品及升级版本

近日，美亚柏科发布了多款集成Qiko大模型能力的取证核心产品，助力取证业务更高效、更智能。

其中，“星火”电子数据智能取证分析平台和电子数据分析战训一体化平台融入了美亚柏科基于大模型的取证创新实践，以及多模态融合分析、群聊智能分析、案件多维分析、报告智能总结、涉案要素智能提取等大模型创新应用技术，具有证据浏览更直观、线索挖掘更高效、分析拓线更灵活、线索挖掘更全面和报告总结更透彻五大创新。

Qiko大模型智能本内置国内首个公共安全大模型，70亿参数量，私有化部署，保障数据安全合规；结合美亚柏科多年公共安全知识，打造取证百科等多个行业智能体，即使新手也能打开即用，迅速成为取证专家；支持业务知识库训练，构建专属智能体，满足特定业务场景需求。

原文链接：