全球动态

1. 最高法：微信号、人脸信息、手机验证码等属于公民个人信息

12月28日，最高人民法院发布第 35 批共 4 件指导性案例，均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质，对于明确类案裁判规则，依法保护公民个人信息具有重要的指导意义。【阅读原文】

2. 安全专家指责 LastPass 公告：存在 14 点疑问，避重就轻混淆用户视听

密码管理工具 LastPass 在圣诞节前发布公告，承认发生于今年 11 月的安全事件中黑客窃取了包括名称、URL、密码（加密）在内的用户数据。一位安全研究专家在看到这则公告中忍不住发文，称该公告存在 14 个疑点，且避重就轻隐瞒了某些细节，并以真假参半的方式混淆用户视听。【阅读原文】

3. 欧盟网络安全局2022年度威胁报告

近日，欧盟网络安全局（ENISA）发布了欧盟 2022 年度威胁报告，表示攻击在持续增加。并且由于国际地缘政治局势动荡，预计未来会观察到更多网络攻击。【阅读原文】

4. 美国司法部正在调查 FTX 黑客攻击

数字资产衍生品交易所FTX 于 11 月申请破产后数小时内，未知黑客从 FTX 中窃取了 3.72 亿美元。

【外刊-阅读原文】

5. 调查显示，金融服务行业是 2022 年最受网络攻击影响的行业之一

根据威胁情报公司Flashpoint的数据，在全球范围内，金融服务行业组织今年遭受的已知漏洞攻击数量位居第二，仅次于政府组织。【外刊-阅读原文】

6. 支付宝成全国首家通过 IPv6 金融应用认证的非银行支付机构

据认证资料显示，该认证对金融服务机构 IPv6 部署中涉及的信息系统质量、稳定性、安全性进行全面评估，整体涉及系统标识、域名解析、应用系统质量要求、安全性、业务连续性、运维管控、管理制度等领域。【阅读原文】

安全事件

1. 黑客从 BTC.com 窃取了价值 300 万美元的加密货币

全球最大的加密货币矿池之一 BTC.com 遭遇网络攻击，此次攻击导致公司和用户价值约 300 万美元的加密资产被盗。【外刊-阅读原文】

2. 网络犯罪分子正使用搜索引擎广告服务冒充品牌企业

FBI 警告网络罪犯使用搜索引擎广告服务冒充品牌并将用户引导至用于欺骗用户的网站。这些网站托管勒索软件，用于窃取用户的登录凭证和其他财务信息。【外刊-阅读原文】

3. APT 黑客转向恶意 Excel 加载项作为初始入侵向量

根据Cisco Talos的说法，高级持续性威胁 (APT) 攻击者和恶意软件组织正越来越多地使用 Excel 加载项 (.XLL) 文件作为初始入侵向量。【外刊-阅读原文】

4. BlueNoroff APT 黑客使用新方法绕过 Windows MotW 保护

作为Lazarus Group 其中的一个组织，据观察，BlueNoroff黑客开始在其攻击方式中采用新技术，使其能够绕过 Windows网络标记( MotW ) 保护。【外刊-阅读原文】

5. EarSpy 攻击通过运动传感器窃听 Android 手机

一组研究人员开发了一种针对 Android 设备的窃听攻击，可以在不同程度上识别来电者的性别和身份，甚至可以辨别私人谈话。名为 EarSpy 的侧信道攻击旨在通过捕获移动设备中耳机扬声器的混响引起的运动传感器数据读数来探索窃听的新可能性。【外刊-阅读原文】

6. 黑客从木马化的 BitKeep 应用程序用户手中窃取了 800 万美元

多个 BitKeep 加密钱包用户报告称，在黑客触发不需要验证的交易后，他们的钱包在圣诞节期间被清空。到目前为止，价值约 800 万美元的资产已被盗。【外刊-阅读原文】

优质文章

1. 展望：2023 年值得关注的网络安全趋势

2022 年是网络安全领域动荡的一年，黑客组织袭击了微软、思科、推特和优步等科技巨头，勒索软件继续“蹂躏”医疗保健、金融、基础设施等领域。再加上俄乌冲突期间网络战带来的影响，2022 的网络安全领域“极不平凡”！Information Security Media Group 咨询了一些业界知名安全专家 2023 年需要关注那些安全趋势。【阅读原文】

2. 记一次灰盒代码审计之旅

在大家挖掘漏洞过程中，可能有很多种方式，比如：纯白盒的代码审计、纯黑盒的渗透测试、对比补丁包寻找漏洞点等方式。这里我想为大家分享一种思路，灰盒（黑白盒结合）的代码审计。这种方式相较于传统的纯白盒代码审计而言，具有更高的效率。通常来讲 source+sink = BUG。我们可以利用黑盒来快速寻找source点（外部传入参数），利用白盒来寻找sink点（风险函数），从而快速定位漏洞点。最近刚好有个以前的挖掘的漏洞被修复了，这里带大家来体验下这种思路的漏洞挖掘。【阅读原文】

3. Operation Dragon Dance：悬在博彩行业上的达摩克里斯之剑

本文我们将给出两个0day漏洞细节和一个完整攻击事件分析。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。