【全球动态】

1. 多个团伙利用社保公积金系统漏洞，非法获取公民个人信息 2300 万条

12 月 7 日，红星新闻从四川南充市公安局顺庆区分局获悉，当地警方侦破一起公安部挂牌督办案件，打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙，涉及四川、河南、广东多个省市，抓获犯罪嫌疑人 121 人，查获公民个人信息 2300 余万条，发现国内多地各类信息系统平台漏洞 300 余个，收缴黑客工具 12 套。【阅读原文】

2. 思科披露了影响其最新一代 IP 电话的高严重性漏洞

思科披露了一个影响其最新一代 IP 电话的高严重性漏洞，使其面临远程代码执行和拒绝服务（DoS）攻击。【外刊-阅读原文】

3. 美国 2023 财年国防授权法案将发布：网络安全看点解析

2023 财年《国防授权法案》公布，未来几天，美国国会准备就总预算 8580 亿美元的年度国防政策法案进行投票，其中包括大幅增加美国网络司令部支出，以及加强国家网络安全防御方面的其他努力。【阅读原文】

4. MuddyWater 黑客使用最新战术，继续瞄准亚洲和中东国家

据观察，疑似与伊朗有联系的 "MuddyWater"攻击者将中东以及中亚和西亚的几个国家作为新的鱼叉式钓鱼活动的目标。【外刊-阅读原文】

5. 美国卫生部警告称，Royal 勒索软件针对医疗机构

美国卫生与公众服务部（HHS）就一个相对较新的行动--Royal勒索软件团伙的持续攻击向该国的医疗机构发出了一个新的警告。【外刊-阅读原文】

6. 欧盟：数字身份框架计划最新进展，适应网络安全法

欧洲理事会通过了《关于欧洲数字身份（eID）框架的拟议立法的共同立场》，修订后的法规旨在确保个人和企业通过手机上的个人数字钱包能够普遍获得安全可靠的电子识别和认证。【阅读原文】

【安全事件】

1. 俄罗斯黑客被指攻击美国军队武器和硬件供应商

Recorded Future 发布报道称，和攻击基础设施相关联的俄罗斯国家黑客组织，欺骗美国合法军事武器和硬件供应商 Global Ordnance 的微软登录页面。【阅读原文】

2. Hive 勒索组织黑五期间攻击欧洲零售商，已累计攻击 1300 家公司

Hive 勒索软组织对外公布了其在 11 月份对法国体育零售商 Intersport 的攻击中获得的客户数据。这个臭名昭著的勒索组织在其暗网泄露网站上发布了一批 Intersport 数据，并威胁说除非零售商支付勒索费，否则将泄露更多数据。【外刊-阅读原文】

3. 全球超过 500 万人的数据在机器人市场出售

立陶宛 Nord Security 公司的研究报告指出，全球有超过 500 万人的数据在被窃取之后放在机器人网络上售卖。【阅读原文】

4. 超过半数 EDR 工具存在严重漏洞，数亿端点面临风险

SafeBreach 安全研究员 Yair 发表了主题为“开发下一代擦除器”的演讲，并公布了对多家安全厂商的 11 种 EDR 工具的测试结果，其中四家厂商的六种工具存在严重漏洞。【阅读原文】

5. 美国就儿童安全和数据安全索赔起诉 TikTok

印第安纳州总检察长周三分别对社交媒体公司 TikTok 提起了两起诉讼，指控该平台向年轻用户推广的内容年龄不合适，也没有充分保护用户数据的安全。【外刊-阅读原文】

6. 澳大利亚通过隐私立法修正案，平台企业再迎强监管

修正案修订了1988 年的《隐私法》、2005 年《通信和媒体管理局法》（ACMA Act）和 2010 年的《信息专员法》（AIC Act）这三部联邦法案，以增加对严重或反复侵犯隐私的处罚，扩大澳大利亚信息专员和澳大利亚通信和媒体管理局的信息共享权力，并加强澳大利亚信息专员的执法权力。【阅读原文】

【优质文章】

1. Hack The Box 系列域渗透之靶机 Cascade

本小白最近在学域渗透，决定把Hack The Box的Active Directory 101 系列域渗透靶机打完，并详细记录当中用到的工具、知识点及其背后的原理，本篇文章是该系列的第八篇，靶机名字为 Cascade。【阅读原文】

2. 大量中文网站被黑，嵌入世界杯相关关键词用于黑帽 SEO

在黑帽 SEO 中，经常会出现的是被黑网站的 <title>标签被修改为中文关键词，使搜索引擎的检索结果中明显可见。但如果使用浏览器打开时，则会显示原始未修改的标题。【阅读原文】

3. redis 未授权访问漏洞的三种场景复现以及加固思路

redis 是一个非常快速的，开源的，支持网络，可以基于内存，也可以持久化的日志型，非关系型的键值对数据库。并提供了多种语言的api。有java，c/c++,c#,php，JavaScript，perl，object-c，python，ruby，erlang 等客户端，使用方便。【阅读原文】

*本文档内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。