•强化关基设施防护，美国三大安全机构联合发布通信基础设施防护指南

•构建"数字监狱"？苹果公司被控非法监控员工个人设备和通讯

•Zscaler CEO抨击虚假SASE方案严重误导用户

•安天科技将启动全员降薪，重构公司管理和治理体系

•最大暗网市场Hydra创始人被判无期，曾创造13亿美元非法营收

•Venom Spider推出新型后门恶意软件，具备更强大的数据窃取能力

•钓鱼攻击新趋势，Cloudflare开发者域名遭大规模滥用

•思科发布紧急预警：10年前的ASA系统漏洞正遭黑客积极利用 

•Veeam服务提供商控制台曝严重安全缺陷，或波及全球数十万用户

•SmokeLoader改变攻击战术，利用经典Office漏洞窃取敏感凭证

强化关基设施防护，美国三大安全机构联合发布通信基础设施防护指南

美国网络安全和基础设施安全局（CISA）、国家安全局（NSA）和联邦调查局（FBI）于2024年12月3日联合多国安全机构发布了《增强通信基础设施可见性和加固指南》。该指南重点提供了三个方面的建议：快速识别异常行为、漏洞和威胁的方法；应对网络事件的响应措施；以及减少现有漏洞、改进安全配置习惯和限制潜在入侵点的具体做法。

CISA网络安全执行助理主任Jeff Greene表示，该指南将帮助电信和其他组织检测和预防网络入侵。他同时呼吁软件制造商在开发过程中融入"安全设计"原则，以增强客户的安全态势。

FBI网络部门助理主任Bryan Vorndran则指出，针对商业电信供应商的攻击旨在窃取敏感数据并从事网络间谍活动。FBI与合作机构共同制定了这份指南，以增强网络防御者的可见性，加固设备防护能力。

原文链接：

https://www.cisa.gov/news-events/news/cisa-nsa-fbi-and-international-partners-publish-guide-protecting-communications-infrastructure

构建 "数字监狱"？苹果公司被控非法监控员工个人设备和通讯

一名在职苹果员工于2024年12月1日在加利福尼亚州法院提起诉讼，指控苹果公司实施侵入性监控行为，过度监控员工个人生活。

自2020年起担任苹果数字广告经理的Amar Bhakta声称，公司要求员工在个人iPhone上安装监控软件，并将个人iCloud账户与工作系统关联，从而强迫员工放弃个人隐私权。诉讼文件显示，这种做法使苹果能够访问员工的电子邮件、照片、视频、位置数据等个人信息，即使在非工作时间也不例外。

SemaFor分析师和诉讼文件将苹果的工作环境描述为一个"数字化监狱场所"，员工始终处于监控之下。Bhakta指控公司的政策违反了加利福尼亚州劳动法，通过"物理、视频和电子监控"手段监视员工，包括监控家庭办公室中的设备。

苹果公司否认了这些指控。该公司发言人表示，员工每年都会接受有关讨论工资、工作时间和工作条件权利的培训，并强调公司完全不认同诉讼中的指控。

原文链接：

https://cybersecuritynews.com/apple-employee-suing-company/

Zscaler CEO抨击虚假SASE方案严重误导用户

Zscaler CEO Jay Chaudhry在2024年12月2日的分析师电话会议上，严厉批评了一些安全厂商虚假宣传其SASE（安全访问服务边缘）能力的行为。他解释说，这些厂商声称提供强大的远程访问安全和网络功能，但实际上远未达到真正SASE解决方案的要求。

一个完整的SASE解决方案通常需要包含SD-WAN、安全Web网关（SWG）、云访问安全代理（CASB）和零信任网络访问（ZTNA）等安全功能。业内越来越强调由单一供应商提供所有这些SASE功能的集成平台方案。

Chaudhry指出，一些传统安全厂商正在以平台为幌子提供分散的单点产品，某"传统"防火墙供应商向其客户销售了所谓的"平台"，但在实施时发现这不过是简单的防火墙功能整合而已。"有非常多的企业在花费数百万美元购买了所谓的SASE创新安全方案后仍然遭受入侵，原因就是这些产品根本不能算是SASE，只是被部署到云端的虚拟防火墙和VPN而已。"Chaudhry说。

原文链接：

https://www.crn.com/news/security/2024/zscaler-ceo-vendors-offering-so-called-sase-aren-t-protecting-customers

安天科技将启动全员降薪，重构公司管理和治理体系

安天科技董事长肖新光日前发布全员信称，公司将启动全员降薪计划，根据团队和人员综合情况和外部产业和市场环境，重新调整相对应职级薪酬。据悉，今年10月以来，包括肖新光在内的安天集团现有内部董事会成员已经带头执行零薪酬。

肖新光在全员信中透露，长期以来安天科技运营成本处于高位，市场阵地开拓缓慢。2020年到2024年已累计亏损11.22亿元。同时因未能成功完成上市对赌，出现少数投资人发起仲裁情况。为维持公司的生存能力，安天科技将启动全员降薪。“这次降薪，是我们的非常之策，同时也是市场规律下的必然选择。”

肖新光做出检讨称：“自2017年后，由于我管理缺位，迷信通过全面放手放权，让管理经营班底能有效推进企业转型成长，导致了公司巨大的资源消耗。”据悉，肖新光将全面回归管理指挥位，致力于快速重构治理体系和管理体系，组建一个精干彪悍、新老搭配的新班底。

原文链接：

https://m.sohu.com/a/833141337_121850782/

最大暗网市场Hydra创始人被判无期，曾创造13亿美元非法营收

莫斯科地区法院于2024年12月2日对臭名昭著的Hydra暗网市场创始人Stanislav Moiseyev作出无期徒刑判决，这标志着俄罗斯打击网络犯罪和非法毒品交易取得重大进展。

在2015年至2022年运营期间Hydra曾是全球最大的暗网市场，主要面向俄语用户提供服务。根据莫斯科地区检察院的数据，该平台在巅峰时期拥有超过1700万个客户账户和1.9万个供应商账户，估值超过13亿美元。平台主要用于非法毒品、被盗信用卡数据、假币和伪造身份证件的交易。

Hydra于2022年4月被执法机构关闭，这对暗网生态系统造成巨大冲击。平台关闭后，暗网市场平均日收入一度从420万美元骤降至44.7万美元。随后，Blacksprut、Kraken、Mega、OMG!OMG!和Solaris等多个平台争相填补市场空白。

原文链接：

https://cybersecuritynews.com/lifetime-jail-for-hydra-developer/

Venom Spider推出新型后门恶意软件，具备更强大的数据窃取能力

知名恶意软件即服务（MaaS）提供商Venom Spider（又称Golden Chickens）日前进一步扩展了其平台能力。据Zscaler ThreatLabz研究人员披露，已发现该组织在近期开展的两次独立攻击行动中使用了一款名为RevC2的新型后门和一款称为Venom Loader的加载器。

RevC2后门使用WebSocket与命令控制（C2）服务器通信，具备窃取Cookie和密码、代理网络流量以及启用远程代码执行（RCE）等功能。而Venom Loader则通过使用受害者计算机名称对恶意负载进行编码，为每个受害者提供定制化攻击。

Venom Spider以提供多种MaaS工具而闻名，包括VenomLNK、TerraLoader、TerraStealer和TerraCryptor等，这些工具被FIN6和Cobalt等黑客组织广泛使用。今年10月，FIN6就曾利用Venom Spider的MaaS平台发起鱼叉式钓鱼攻击，传播了一种名为"more_eggs"的新型后门。

Zscaler已在其GitHub仓库中提供了模拟RevC2 WebSocket服务器的Python脚本，并公布了相关威胁指标。研究人员预计，这些新型恶意软件仅是早期版本，未来可能会添加更多功能和反分析技术。

原文链接：

https://www.darkreading.com/cyberattacks-data-breaches/venom-spider-malware-maas-platform

钓鱼攻击新趋势， Cloudflare开发者域名遭大规模滥用

安全公司Fortra最新研究显示，Cloudflare的"pages.dev"和"workers.dev"域名正被网络犯罪分子越来越多地用于钓鱼和其他恶意活动。与2023年相比，这些域名的滥用率增长了100%至250%。

Cloudflare Pages作为一个面向前端开发者的平台，提供静态站点托管服务，支持多种现代Web应用部署框架，并默认提供SSL/TLS加密。Fortra报告显示，犯罪分子滥用该平台托管中间钓鱼页面，将受害者重定向到虚假的Microsoft Office365登录页面等恶意网站。研究人员指出，攻击者选择这些域名是为了提高恶意活动的可信度和有效性。他们利用了Cloudflare值得信赖的品牌形象、可靠的服务、低廉的使用成本，以及反向代理选项来规避检测。

据统计，针对Cloudflare Pages的钓鱼攻击从2023年的460起激增至2024年10月中旬的1,370起，增幅达198%。按每月平均137起事件计算，预计2024年全年攻击总量将超过1,600起，同比增长257%。

原文链接：

https://www.bleepingcomputer.com/news/security/cloudflares-developer-domains-increasingly-abused-by-threat-actors/

思科发布紧急预警：10年前的ASA系统漏洞正遭黑客积极利用

思科公司于12月3日更新安全公告，警告用户其自适应安全设备（ASA）中一个已存在十年之久的安全漏洞正遭到攻击者积极利用。

该漏洞编号为CVE-2014-2120，源于ASA的WebVPN登录页面存在输入验证不足问题。未经身份验证的远程攻击者可以利用这一漏洞，对设备用户发起跨站脚本（XSS）攻击。攻击者可以通过诱使用户访问恶意链接来利用此漏洞。公告显示，已发现该漏洞在野遭到"进一步的攻击尝试"。

网络安全公司CloudSEK近期也披露，一个名为AndroxGh0st的黑客组织正在利用包括CVE-2014-2120在内的多个面向互联网应用的安全漏洞进行恶意软件传播。值得注意的是，这次攻击还整合了Mozi僵尸网络，使AndroxGh0st的规模和范围进一步扩大。

鉴于形势严峻，美国网络安全和基础设施安全局（CISA）已将该漏洞纳入其已知利用漏洞（KEV）目录，要求联邦文职行政部门（FCEB）机构必须在2024年12月3日前完成修复。

原文链接：

https://thehackernews.com/2024/12/cisco-warns-of-exploitation-of-decade.html

Veeam服务提供商控制台曝严重安全缺陷，或波及全球数十万用户

备份解决方案提供商Veeam日前发布安全更新，修复了其服务提供商控制台（VSPC）中的两个高危安全缺陷，其中包括一个在内部测试中发现的严重远程代码执行（RCE）漏洞。

VSPC是一个远程管理的后端即服务（BaaS）和灾难恢复即服务（DRaaS）平台，服务提供商通过该平台监控客户备份的健康状况和安全性，并管理其Veeam保护的虚拟、Microsoft 365和公有云工作负载。

第一个安全缺陷严重性非常高，攻击者可以从VSPC管理代理机器上对未打补丁的服务器执行任意代码。第二个高危安全缺陷则可能导致攻击者窃取VSPC服务器服务账户的NTLM哈希值，并利用获得的访问权限删除VSPC服务器上的文件。不过，Veeam在官方发布的安全公告中指出，这两个缺陷只有在管理代理已在目标服务器上获得授权的情况下才能被成功利用。

原文链接：

https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-rce-bug-in-service-provider-console/

SmokeLoader改变攻击战术，利用经典Office漏洞窃取敏感凭证

Fortinet的FortiGuard Labs近日发现，知名的模块化恶意软件加载器SmokeLoader正在利用Microsoft Office的已知漏洞窃取敏感浏览器凭证。

研究显示，攻击者利用了两个2017年就已发现并修复的Microsoft Office漏洞进行远程代码执行。其中CVE-2017-0199影响Microsoft Office和Windows系统，攻击者通过精心构造的RTF文件下载和运行HTA负载来入侵系统。另一个漏洞CVE-2017-11882存在于Microsoft Office的Equation Editor中，攻击者可通过恶意Office文件绕过内存保护并执行任意代码。

与以往不同的是，这次SmokeLoader没有用于部署外部恶意软件，而是通过从其命令控制（C2）服务器下载插件来直接执行攻击。FortiGuard识别出了9个具有不同功能的插件，可用于窃取Firefox和Thunderbird登录凭证、FTP凭证、Cookie、浏览器自动填充数据和电子邮件软件数据。使用自有插件而非下载完整文件作为最终阶段攻击，展示了SmokeLoader的灵活性，安全分析师应警惕此类知名恶意软件的演变。

原文链接：

https://www.csoonline.com/article/3616195/smokeloader-picks-up-ancient-ms-office-bugs-to-pack-fresh-credential-stealer.html