ㆍ 多家网络安全上市公司上半年业绩预亏，市场整体形势仍较严峻

ㆍ 卡巴斯基发现一个新的APT攻击组织——CloudSorcerer

ㆍ 网络安全保险费率稳步下降 推动中小企业应用需求增长

ㆍ Mekotio 银行木马对金融系统的威胁仍然严重

ㆍ Rhysida勒索软件组织入侵加拿大MYC Media 公司

ㆍ 攻击者利用 EXE 和 DOCX 文件实施复杂网络攻击

ㆍ 警惕npm 和 GitHub 上的 jQuery 供应链攻击

ㆍ 一款流行的文档转换工具被曝存在远程代码执行漏洞  

ㆍ 思科公司向其客户发出OpenSSH  regreSSHion漏洞防护提醒

ㆍ 数篷科技中标中石油安全开发与运维工作空间软件采购项目

多家网络安全上市公司上半年业绩预亏，市场整体形势仍较严峻

7月9日晚，多家网络安全上市公司发布了上半年业绩预告，目前看我国网络安全行业市场形势仍较严峻，网络安全厂商普遍着面临较大的经营压力。

三六零（SH 601360）业绩预告显示，预计2024年半年度实现归属于母公司所有者的净利润约为-3.5亿元至-2.4亿元；预计2024年半年度实现归属于母公司所有者的扣除非经常性损益的净利润约为-6.4亿元至-4.3亿元。报告期内，公司业绩预亏的原因主要系营业收入较去年同期下降，整体毛利较去年同期有一定幅度下降。目前，公司已构成新的AI商业模式，AI大会员服务增长迅速，有望持续改善收入结构。

启明星辰（SZ 002439）业绩预告显示，预计2024年上半年归属于上市公司股东的净利润亏损1.68亿元~2.08亿元，同比由盈转亏。基本每股收益-0.17元~-0.14元。上年同期基本每股收益0.2元。业绩变动主要原因是当期投资收益和公允价值变动收益减少。同时报告期内，面对外部环境的挑战和网安市场需求的调整，公司部分重点项目收入递延到三季度。公告同时指出，公司上半年营业收入仍保持稳定增长，新增订单快速增长，毛利率环比提升11至16个百分点，同时继续深化与中国移动的业务协同，主营业务提质增效，业务韧性显著。

电科网安（SZ 002268）业绩预告显示，预计2024年上半年归属于上市公司股东的净利润亏损2亿元~2.2亿元，同比由盈转亏。基本每股收益亏损0.23_元~0.26元。上年同期基本每股收益盈利0.0182元。报告期内，受重点市场需求不及预期、竞争压力加剧等因素影响，以及公司新业务开拓还需要一定时间转化为收入，业绩出现下滑。在严峻的市场形势压力下，公司将着力加强能源、电力、医疗、运营商等细分行业市场研究和业务策划，并推动公司核心业务与重点行业的深度融合。

天融信（SZ 002212）业绩预告显示，预计2024年上半年归属于上市公司股东的净利润亏损1.7亿元~2.3亿元。基本每股收益亏损0.15元至0.2元。上年同期归属于上市公司股东的净利润亏损约2.12亿元。基本每股收益亏损0.19元。报告期内，公司积极实施提质增效战略，收入质量显著提升，毛利率同比增长近8个百分点；期间费用同比下降约3%，其中研发费用和管理费用持续下降，研发费用同比下降约6%，管理费用同比下降约30%。

原文链接：

http://www.cninfo.com.cn/new/disclosure/detail?orgId=9900021962&announcementId=1220589893&announcementTime=2024-07-10

http://www.cninfo.com.cn/new/disclosure/detail?orgId=9900012989&announcementId=1220590446&announcementTime=2024-07-10

http://www.cninfo.com.cn/new/disclosure/detail?orgId=9900005097&announcementId=1220588843&announcementTime=2024-07-10

卡巴斯基发现一个新的APT攻击组织——CloudSorcerer

日前，卡巴斯基的安全研究团队发现了一个名为 CloudSorcerer的新型APT攻击组织。该组织主要以俄罗斯的政府机构作为攻击目标，并使用了较复杂的网络间谍工具组合。据介绍，这些工具专为实现隐形监控、数据收集和外发而设计，利用微软公司Graph、Yandex Cloud和Dropbox的指挥和控制（C2）基础设施。攻击者会通过API与这些云服务进行通信，使用身份验证令牌，并使用GitHub作为其初始C2服务器。

卡巴斯基表示，尽管与2023年报告的 CloudWizard APT相似，但 CloudSorcerer组织的恶意软件代码完全不同，这表明它是一个利用类似方法发动攻击的新团伙。根据卡巴斯基的说法，该组织会通过使用硬编码的charcode表解码特殊命令，并利用微软COM对象接口进行恶意活动。它会根据其执行过程作为单独的模块（通信和数据收集）发挥作用，所有模块都源于单个可执行文件。根据以上攻击方式可以看出，这是一场精心策划的网络间谍活动。

原文链接：

https://www.infosecurity-magazine.com/news/cloudsorcerer-malware-hits-russian/

网络安全保险费率稳步下降，推动中小企业应用需求增长

日前，总部位于伦敦的豪登保险公司发布了关于网络安全保险的最新研究报告。报告数据显示，在过去的一年中，网络安全保险费率呈现稳步下降趋势，主要原因是由于市场竞争更加激烈。相比两年前，有更多的保险公司开始为勒索软件攻击和数据泄露等网络安全事件提供保险。

豪登公司的研究结果与美国怡安保险集团的研究结果非常相似，怡安集团在今年早些时候同样发布了关于网络安全保险的研究报告。报告认为，2023年，企业组织的网络安全保险费率较2022年下降17%。报告同时预计，网络安全保险定价至少在2024年底前仍将延续稳定或下降的态势，因为“行业产能充足，市场环境竞争激烈。”

报告研究认为，未来几年，中小企业组织对网络保险的需求将推动市场增长和价格稳定。豪登公司表示，中小企业领域目前对网络安全保险服务应用明显不足，为保险公司和经纪人提供了“巨大”的增长机会。

原文链接：

https://www.darkreading.com/cyber-risk/cyber-insurance-prices-decline-market-competition-grows

Mekotio 银行木马对金融系统的威胁仍然严重

趋势科技最新发布的一份报告指出，Mekotio银行木马是对金融系统仍然严重。Mekotio自2015年以来一直在针对拉丁美洲国家进行攻击，尤其在巴西、智利、墨西哥、西班牙和秘鲁活动频繁。

Mekotio旨在窃取敏感信息，特别是银行凭证信息。它通过显示伪造的弹出窗口模仿合法的银行网站，诱使用户输入详细信息后进行收集，并能够捕获屏幕截图、记录按键输入和窃取剪贴板数据。该木马还使用添加到启动程序或创建定时任务等策略以实现持久性。它通常通过钓鱼邮件传播，伪装成税务机构的通讯，声称收件人有未支付的义务，并携带有害的ZIP文件附件或恶意网站链接。

为了减轻Mekotio的威胁，趋势科技建议用户警惕未经请求的电子邮件；避免点击和下载未经确认的链接和附件；悬停在链接上以检查URL，并直接使用已知的联系方式与发件人联系，以防止钓鱼尝试。

原文链接：

https://www.infosecurity-magazine.com/news/mekotio-trojan-targets-latin/

Rhysida勒索软件组织入侵加拿大MYC Media 公司

Rhysida勒索软件组织宣布他们已经入侵了加拿大的MYC Media公司。攻击者给出了7天的谈判期限，否则他们将在暗网公开泄露被盗数据，通常在暗网上进行。

Rhysida是一个相对较新的勒索软件组织，首次公开观察到是在2023年5月首次被观察到，但已经在国际上引起轰动。该组织采用RaaS（勒索软件即服务）模式，依赖其下属成员进行大部分操作。他们采用经过验证的双重勒索策略，即迫使受害者支付以获取解密密钥并防止数据公开泄露。

目前，MYC Media尚未对此次攻击发表评论。

原文链接：

https://www.privacyaffairs.com/rhysida-ransomware-hackers-cripple-canadas-myc-media/

攻击者利用EXE 和 DOCX 文件实施复杂网络攻击

最近，日本计算机紧急响应团队（JPCert ）的网络安全研究人员发现，一个名为Kimsuky 的黑客团伙利用 EXE 和 DOCX 文件发起攻击，由于EXE和DOCX文件格式是最常用的文件类型之一，可以轻易伪装成合法文件，而且DOCX文件格式常被攻击者用于传递利用Microsoft Office软件中现有漏洞的恶意宏。

据介绍，攻击者会在攻击活动中使用伪装成来自安全和外交机构的沟通的双扩展名zip文件附件，通过欺骗用户打开主要的EXE文件来感染受害者的计算机。一旦恶意的EXE文件被执行，它会开始进行循环感染，并下载并运行VBS文件和PowerShell脚本来收集系统数据、进程列表、网络详细信息、特定用户文件夹内容和账户信息。这些收集的数据被发送到预定义的URL。

脚本还会创建另一个VBS文件并运行它，以下载更多的PowerShell代码并调用带有特定参数的InfoKey函数，以避免被检测并在受影响的计算机上长时间存在。

原文链接：

https://cybersecuritynews.com/kimsuky-hackers-exe-docx-attacks/

警惕npm 和 GitHub 上的 jQuery 供应链攻击

日前，Phylum安全研究人员在npm和GitHub上发现了一个旨在传播木马病毒的jQuery应用版本，用于对目标用户发起供应链攻击。研究人员自5月26日起一直在监控这个“持续供应链攻击者”。由于这些平台包含大量广泛使用的开源代码，因此成为威胁行为者分发恶意代码或劫持合法项目的有吸引力的目标。研究人员已经观察到68个恶意包分布在33个域中。

这些恶意包能够提取网站表单数据并发送到多个URL。攻击者在每个恶意软件包中至少包含一个完整的jQuery副本，通常命名为jquery.min.js，还有其他变体，如registration.min.js、icon.min.js和fontawesome.js。每个恶意软件包都包含一个修改过的jQuery副本，唯一的区别是jQuery原型中的end函数被修改以包含额外的恶意代码。

这些恶意包需要用户安装后才能触发，因此专家建议开发者应仅从可信来源下载包，并定期更新和打补丁。验证包签名和使用包安全工具也可以帮助确保项目的安全。

原文链接：

https://thecyberexpress.com/jquery-attack-hits-npm-github/

一款流行的文档转换工具被曝存在远程代码执行漏洞 

日前，Codean Labs安全研究人员在Ghostscript文档转换工具中发现了远程代码执行漏洞（编号为CVE-2024-29510），可能影响所有Ghostscript 10.03.0及更早版本的安装。利用该漏洞，攻击者可以绕过默认启用的沙盒机制，并利用Ghostscript Postscript解释器执行高风险操作，例如命令执行和文件I/O。

Ghostscript是许多Linux发行版预装的软件，并被各种文档转换软件使用，包括ImageMagick、LibreOffice、GIMP、Inkscape、Scribus和CUPS打印系统

Codean Labs的安全研究人员目前已经报告了这个漏洞，并警告称，它对Web应用程序和其他提供文档转换和预览功能的服务有重大影响，因为这些服务通常在后台使用Ghostscript。

攻击者已经在利用CVE-2024-29510 Ghostscript漏洞，使用伪装成JPG（图像）文件的EPS（PostScript）文件来获得对易受攻击系统的shell访问。专家建议将Ghostscript安装更新到v10.03.1，或者包含此漏洞修复的补丁版本，以减少受到攻击的风险。

原文链接：

https://www.bleepingcomputer.com/news/security/rce-bug-in-widely-used-ghostscript-library-now-exploited-in-attacks/

思科公司向其客户发出OpenSSH  regreSSHion漏洞防护提醒

日前，思科公司向其客户发出提醒，其多款产品或受到关键OpenSSH  regreSSHion安全漏洞影响。提醒公告列出了42个受影响的产品，涵盖了网络和内容安全设备、网络管理和配置、路由和交换、统一计算、视频、流媒体、视频会议和转码设备、无线设备等领域。

CVE-2024-6387（regreSSHion）是OpenSSH连接工具中的远程未经身份验证代码执行（RCE）漏洞，由Qualys于7月1日公布。它主要影响基于glibc的Linux系统中的OpenSSH服务器。该漏洞可能导致系统完全威胁，攻击者可以以最高权限执行任意代码。目前，思科已完成四个产品的更新修复。思科建议客户查找公告中关于修复软件版本的更新信息，同时将SSH访问限制为仅限于受信任的主机。

原文链接：

https://www.infosecurity-magazine.com/news/cisco-regresshion-vulnerability/

数篷科技中标中石油安全开发与运维工作空间软件采购项目

日前，中国石油天然气集团有限公司某大集中项目的安全开发与运维工作空间软件采购评标结果发布，数篷科技以综合排名第一成功中标。在本项目中，数篷科技将为中石油提供安全、高效的系统开发与运维工作空间解决方案，保护研发、生产、办公等场景的核心数据资产，实现数据高效流转、安全使用，助力国家数据安全发展战略。

原文链接：

https://mp.weixin.qq.com/s/2zDMv4B4du_Z3C8msLNXKA