新闻速览

•四大行业协会同日发布安全提示声明：审慎采购美国芯片

•《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》等2项国家标准公开征求意见

•欧洲理事会通过新法案加强网络安全

•史上最大规模网络犯罪联合打击行动收网，抓获5500余名网络犯罪嫌疑人

•新型钓鱼攻击手法出现，利用损坏Word文档规避安全检测

•英国国防部600余员工登录凭证现身暗网，引发安全担忧

•IBM安全设备曝硬编码凭据漏洞，已发布紧急补丁修复

•Safari浏览器零日漏洞或已遭利用，多个Apple应用平台被波及

•AWS发布全新智能化事件响应服务，可构建全天候云安全防线

•Crypto.com推出巨额漏洞赏金计划，总额超过200万美元

特别关注

四大行业协会同日发布安全提示声明：审慎采购美国芯片

美国政府日前发布了对华半导体出口管制措施。该措施进一步加严对半导体制造设备、存储芯片等物项的对华出口管制，并将136家中国实体增列至出口管制实体清单，还拓展长臂管辖，对中国与第三国贸易横加干涉，是典型的经济胁迫行为和非市场做法。12月3日，中国互联网协会、中国汽车工业协会、中国半导体行业协会、中国通信企业协会分别发布安全提示声明，呼吁或建议国内企业审慎选择采购美国芯片。

中国半导体行业协会声明称，在全球经济一体化的今天，美国的单边主义行为不仅损害了中美两国企业的利益，也极大增加了全球半导体供应链成本。随着美国出口管制措施不断加码，其反噬效应也在持续扩大，美国对华管制措施的随意性对美国企业也造成了供应链中断、运营成本上升等影响，影响了美国芯片产品的稳定供应，美国芯片产品不再安全、不再可靠，中国相关行业需谨慎采购美国芯片。

中国汽车工业协会声明称，美国政府随意修改管制规则，严重影响了美国芯片产品的稳定供应，中国汽车行业对采购美国企业芯片产品的信任和信心正在被动摇，美国汽车芯片产品不再可靠、不再安全。为保障汽车产业链、供应链安全稳定，协会建议中国汽车企业谨慎采购美国芯片。

中国互联网协会发布声明称，为确保我国互联网产业安全、稳定、可持续发展，我会呼吁国内企业主动采取应对措施，审慎选择采购美国芯片，寻求扩大与其他国家和地区芯片企业的合作，并积极使用内外资企业在华生产制造的芯片。

中国通信企业声明称，美国政府此举既严重破坏了国际贸易规则，又给中国信息通信行业的产业链、供应链安全稳定带来实质性损害。中国信息通信业对于采购美国企业芯片产品的信任和信心已经动摇，认为美国芯片产品不再可靠，不再安全，呼吁政府开展关键信息基础设施供应链安全调查，采取有力措施，保障关键信息基础设施安全稳定运行。

原文链接：

https://mp.weixin.qq.com/s/9Yv_4sM5fXg7TWG3kBO5wA

《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》等2项国家标准公开征求意见

日前，全国网络安全标准化技术委员会归口的《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》和《信息技术 安全技术 网络安全 第6部分：无线网络访问安全》2项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，全国网络安全标准化委员会秘书处特将该2项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站，如有意见或建议请于2025年1月31日24:00前反馈秘书处。

原文链接：

https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

热点观察

欧洲理事会通过新法案加强网络安全

12月2日，欧洲理事会通过两项关于网络安全的法案，旨在进一步加强欧盟抵御网络威胁的能力和网络团结合作。这两项法律分别为《网络团结法案》和《网络安全法案》修正案，属于欧盟网络安全立法“一揽子计划”的一部分。

欧洲理事会发表声明说，《网络团结法案》构建了欧盟在应对网络威胁方面的能力，同时加强了合作机制。例如，欧盟将建立一个由国家和跨境网络中心组成的“网络安全警报系统”，以实现信息共享、检测并应对网络威胁。该法案还提出建立网络安全应急机制，以提高欧盟的突发事件响应能力。《网络安全法案》修正案承认托管安全服务在预防、检测、响应和恢复网络安全事件方面的重要性日益增加，该修正案将有助于提高托管安全服务的质量，培养值得信赖的网络安全服务商。

声明介绍，两项新法案经欧洲理事会主席和欧洲议会议长签署后，将于未来几周内在欧盟官方刊物上公布，并于公布20天后生效。

相关链接：

http://www.news.cn/world/20241203/6e57f6719e2b471bb3f82832d345b881/c.html

史上最大规模网络犯罪联合打击行动收网，抓获5500余名网络犯罪嫌疑人

国际刑警组织近日宣布，代号为”HAECHI V”的全球执法行动已经圆满结束并取得重大成果，逮捕超过5500名嫌疑人，查获资产超4亿美元。该行动于2024年7月至11月期间开展，涉及40个国家，主要打击网络诈骗、钓鱼攻击、网恋诈骗、投资诈骗、网络赌博、商务邮件诈骗和电子商务欺诈等犯罪行为。

在此次行动中，韩国和中国执法部门联合捣毁了一个造成1900多名受害者损失达11亿美元的语音诈骗集团，逮捕27人并对19人提起诉讼。国际刑警组织还发布了紫色通报，警告各国防范一种新型加密货币诈骗活动——”USDT代币授权诈骗”。诈骗分子首先通过网恋手段引诱受害者，诱导其在合法平台购买泰达币（USDT），随后通过分享虚假投资平台的钓鱼链接，秘密获取受害者钱包访问权限并盗取资金。

此外，国际刑警组织与80多个国家的执法部门加强了对I-GRIP资金追踪工具的应用。新加坡警方利用该工具成功拦截了一笔3930万美元的非法转账。这起案件中，一家公司被骗将4230万美元转入东帝汶的虚假账户，当地执法部门及时介入并拦截了大部分资金。警方已逮捕7名嫌疑人并追回260万美元。目前东帝汶、印度尼西亚和新加坡的相关调查仍在进行中。

原文链接：

https://securityaffairs.com/171593/cyber-crime/operation-haechi-v-5500-arrests.html

网络攻击

新型钓鱼攻击手法出现，利用损坏Word文档规避安全检测

安全研究人员发现了一种新型钓鱼攻击手法，攻击者通过发送故意损坏的Word文档作为电子邮件附件来规避安全软件检测。恶意软件分析公司Any.Run近日披露，这些钓鱼邮件伪装成来自人力资源部门的薪资福利通知。

这些损坏的文档可被Microsoft Word程序修复。当用户打开附件时，Word会提示发现”无法读取的内容”并询问是否要恢复文件。修复后的文档会显示一个二维码，并要求用户扫描以获取文档内容。这些文档通常会加入目标公司的标识，以增加真实性。一旦用户扫描二维码，就会被诱导至伪装成Microsoft登录界面的钓鱼网站，目的是窃取用户的账号凭证。

安全研究人员指出，大多数安全解决方案无法正确对其进行文件类型识别，导致无法检测到威胁。VirusTotal平台的检测结果显示，几乎所有样本都未被杀毒软件标记为恶意，部分样本仅被2个厂商检出。这可能因为文档本身不包含恶意代码，仅与其中的二维码有关。

原文链接：

https://www.bleepingcomputer.com/news/security/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/

英国国防部600余员工登录凭证现身暗网，引发安全担忧

英国国防部（MOD）近日发现，在过去四年中，近600名员工用于访问国防门户网站（Defence Gateway）的登录凭证在暗网上被泄露流传。Defence Gateway是国防部员工使用的非机密门户网站，主要用于人力资源管理、电子邮件协作以及教育培训等功能。虽然该网站采用了多因素认证（MFA）防护措施，但目前尚不清楚这些被盗凭证是否被成功利用。如果攻击者成功突破防线，可能会获取个人数据，但具体是否造成更深层次的入侵仍需进一步调查。

关于凭证泄露的原因，分析显示多数员工是使用个人设备而非军方配发的设备访问网站，增加了安全风险。最可能的攻击途径是通过钓鱼攻击或信息窃取恶意软件。

网络安全专家Graham Cluley指出，被泄露的凭证可能导致员工在其他使用相同密码的网站面临风险，攻击者还可能利用这些信息构建用户画像，为进一步的网络间谍活动或信息窃取行为做准备。

原文链接：

https://www.csoonline.com/article/3615760/hundreds-of-uk-ministry-of-defence-passwords-found-circulating-on-the-dark-web.html

漏洞预警

IBM安全设备曝硬编码凭据漏洞，已发布紧急补丁修复

IBM Security Verify访问设备曝出多个严重漏洞，其中包括一个可导致远程命令执行的高危缺陷。IBM近日披露了其Security Verify Access Appliance产品中存在的多个严重安全漏洞，影响版本范围涵盖10.0.0至10.0.8 IF1。

漏洞CVE-2024-49803的CVSS基准评分高达9.8分。该漏洞源于系统在处理操作系统命令时未能正确过滤特殊字符，可能导致操作系统命令注入攻击。远程认证攻击者可以通过发送特制请求在系统上执行任意命令。

另外还有两个严重漏洞CVE-2024-49805和CVE-2024-49806的CVSS评分为9.4分，这些漏洞与硬编码凭据的使用有关。这些预设的凭据可能是密码或加密密钥，用于入站身份验证、与外部组件的出站通信或内部数据加密，严重增加了未经授权访问和数据泄露的风险。

IBM已发布修复补丁版本10.0.8-ISS-ISVA-FP0002。目前除了应用此补丁外，这些漏洞没有其他已知的规避或缓解方案。IBM强烈建议受影响版本的用户尽快安装补丁以降低安全风险，并保持持续警惕以防止漏洞被利用。

原文链接：

https://cybersecuritynews.com/ibm-security-verify-vulnerabilities/

Safari浏览器零日漏洞或已遭利用，多个Apple应用平台被波及

Google威胁分析小组（TAG）的研究人员发现，Apple Safari浏览器中存在一个严重的远程代码执行漏洞（CVE-2024-44308），该漏洞已被在野利用。这个高危漏洞位于WebKit的JavaScriptCore组件中，攻击者可通过处理特制的网页内容执行任意代码。

Apple已确认该漏洞在基于Intel的Mac系统上遭到了主动利用。技术分析显示，该漏洞源于WebKit的DFG JIT编译器中的寄存器损坏问题，具体与scratch2GPR寄存器的不当分配时序有关。该漏洞影响多个Apple平台，包括iOS、iPadOS、macOS和visionOS。受影响的版本包括iOS和iPadOS 17.7.2和18.1.1之前的版本、macOS Sequoia 15.1.1之前的版本、visionOS 2.1.1之前的版本以及Safari 18.1.1之前的版本。

为应对这一威胁，Apple已通过改进检查机制修复了该漏洞，并在最新版本中发布了补丁。美国网络安全和基础设施安全局（CISA）已将CVE-2024-44308添加到其已知利用漏洞目录中，并敦促用户和组织在2024年12月12日之前应用必要的补丁。

原文链接：

https://cybersecuritynews.com/apple-safari-remote-code-execution-vulnerability/

产业动态

AWS发布全新智能化事件响应服务，可构建全天候云安全防线

AWS近日推出了一项安全事件响应服务，旨在自动化处理网络攻击。该服务已在全球12个区域部署，可帮助组织实时应对账户接管和勒索软件攻击等威胁。

这项名为AWS Security Incident Response的服务与AWS现有的GuardDuty威胁检测服务和通过AWS Security Hub接入的第三方安全工具进行整合。该平台引入了基于客户特定数据的自动分类功能，可根据预期行为模式过滤警报，从而解决安全团队面临的海量日常警报问题，避免重要安全通知被忽视的风险。

该服务与AWS Organizations整合，为当前和未来的账户提供安全覆盖。组织需要在其AWS基础设施中选择一个中央账户，用于创建和管理所有活动及历史安全事件。该服务通过部署特定的身份和访问管理（IAM）角色来执行安全管控操作，确保对AWS服务和资源的安全访问。用户还可以获得AWS客户事件响应团队（CIRT）提供的全天候支持。平台的仪表板包含平均解决时间（MTTR）等性能指标，并可跟踪特定时间段内的活动和已关闭案例数量。

原文链接：

https://cybermagazine.com/articles/aws-targets-cloud-security-with-incident-response-platform

Crypto.com推出巨额漏洞赏金计划，总额超过200万美元

全球知名加密货币交易所Crypto.com近日与HackerOne合作推出了一项重磅漏洞赏金计划，悬赏金额高达200万美元，创下HackerOne平台所有漏洞赏金项目的最高记录。该计划旨在鼓励白帽黑客社区报告安全漏洞，进一步提升平台安全性。

作为一家拥有超过1亿用户的全球性加密货币交易平台，Crypto.com一直将安全性作为重中之重。该公司首席信息安全官Jason Lau表示：”我们一直将道德黑客社区视为安全团队的延伸，与其保持密切合作。此次创纪录的赏金计划不仅深化了我们与HackerOne的合作关系，也彰显了我们加强用户保护的决心。”

近年来，加密货币行业因其巨大的经济利益，已成为网络犯罪分子的重点攻击目标。根据区块链情报公司TRM的数据显示，仅2023年，黑客就窃取了至少6亿美元的加密货币。在此背景下，Crypto.com的这一举措显得尤为重要。作为一家总部位于新加坡的公司，Crypto.com通过加强安全性、合规性和监管许可来推进其”加密货币进入每一个钱包”的使命。

原文链接：

https://www.infosecurity-magazine.com/news/cryptocom-launches-2m-bug-bounty/