•外交部、商务部就美国政府可能针对TP-Link的禁令同时发声

•网信部门从严打击网上侵害未成年人合法权益行为

•《网络安全标准实践指南—— 一键停止收集车外数据指引》发布

•国际刑警组织呼吁用“情感诱饵”取代“杀猪盘”一词

•美国政府针对联邦机构发布新版云安全防护要求

•Linux  eBPF遭恶意利用，恶意软件借其隐藏踪迹与收集数据

•“The  Mask” APT组织利用MDaemon邮件服务器发起持久性攻击

•红队代理工具PyRDP被APT组织利用，“午夜暴雪”发动大规模中间人攻击

•泰国警方遭“Yokai”后门袭击，部分执法数据安全性或面临威胁

•苹果公司点名Meta，质疑欧盟数据互操作要求暗藏隐私风险

•思科拟收购  SnapAttack ，加速  Splunk 新一代威胁检测平台研发

外交部、商务部就美国政府可能针对TP-Link的禁令同时发声

12月19日，在外交部发言人林剑主持的例行记者会上，路透社记者提问，据《华尔街日报》报道，美国政府正在考虑一项基于国家安全的禁令，目标是一家中国路由器制造商TP-Link，请问外交部对此举有何评论？林剑表示，我们一贯反对美方泛化国家安全概念，针对特定国家企业采取歧视性做法。中方将采取坚决措施，坚定维护中国企业的正当合法权益。

同样在19日下午商务部召开的例行新闻发布会上，彭博社记者提问，美国政府对中国创立的路由器制造商TP-Link发起了一项国家安全调查。中国商务部对此有何评论？商务部发言人何咏前表示，中方注意到有关报道。我想强调的是，中方一贯反对美方打着国家安全的幌子打压中国企业。美方的有关调查应客观理性，而不是无中生有，搞“有罪推定”。

近日，美国政府以所谓的 “构成国家安全风险” 为由对 TP-Link 展开调查并考虑实施禁令 。美方声称 TP-Link 路由器可能被用于对美国发动网络攻击，且微软10 月份的报告指出，被黑客入侵的 SOHO 路由器僵尸网络 “CovertNetwork-1658” 主要由 TP-Link 设备组成， 威胁行为者可利用路由器漏洞获取远程代码执行能力，进而执行计算机网络利用活动。

原文链接：

https://mp.weixin.qq.com/s/atXIZ_CzYHkF_O6j_vumWg

网信部门从严打击网上侵害未成年人合法权益行为

2024年是《未成年人网络保护条例》的实施之年。网信部门高度重视未成年人网络保护工作，依托“清朗”系列专项行动，聚焦可能影响未成年人身心健康的各类新问题新情况，重拳出击、精准施策，持续净化未成年人上网环境。现将部分典型案例通报如下：

1. 恶意炮制发布“沙雕动画”短视频

2. 隐匿传播涉未成年人软色情内容

3. 利用“网红儿童”违规牟利

4. 诱导未成年人参与“直播拆卡”

5. 利用新技术新应用生成涉未成年人不良内容

6. 青少年模式下呈现违法不良信息

7. 儿童智能设备存在违法违规内容

针对危害未成年人身心健康的各类网络乱象，网信部门将持续加大治理力度，压实网站平台主体责任，采取有效措施，遏制违法不良信息隐匿传播，从严处置处罚问题突出的平台和账号。欢迎社会各界共同参与未成年人网络保护，共同营造良好网络环境。

原文链接：

https://mp.weixin.qq.com/s/kesFJleNAk42xrkQ10udjg

《网络安全标准实践指南—— 一键停止收集车外数据指引》发布

为指导汽车制造企业、自动驾驶研发企业以及相关零部件或服务提供商在装有车载摄像头、雷达等传感器的智能网联汽车上设置一键停止收集车外数据功能，全国网络安全标准化技术委员会秘书处组织编制并发布《网络安全标准实践指南——一键停止收集车外数据指引》。

该《实践指南》给出了在智能网联汽车上设置一键停止收集车外数据功能指引，适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断，还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。

原文链接：

https://mp.weixin.qq.com/s/Qy_LguVRyWoYUsF1YsfmEQ

国际刑警组织呼吁用“情感诱饵”取代“杀猪盘”一词

据国际刑警组织称，网络诈骗受害者因害怕与“杀猪盘”这类表述相关联而不愿挺身而出。“杀猪盘”常被用于描述长期情感诈骗计划。国际刑警组织发起一项宣传活动，倡导使用“情感诱饵”取而代之。

在“情感诱饵”式网络犯罪中，先建立虚假关系，目标对象这头“猪”被“养肥”后，被骗取钱财，一旦交出全部资产就被“宰杀”并遭抛弃。国际刑警组织指出，受害者意识到被操纵和诈骗后，本就心碎且尴尬，再将他们称为“猪”并无益处。

由庞大的国际网络犯罪组织运作的“杀猪盘”诈骗每年使受害者损失数十亿美元。有一个大型“杀猪盘”行动被发现其在柬埔寨、老挝和缅甸设有由强迫劳动人员运作的完备呼叫中心，过去三年获利超600亿美元。“杀猪盘”策略在俄乌战争中也曾被使用。

原文链接：

https://www.darkreading.com/cyberattacks-data-breaches/interpol-time-drop-term-pig-butchering

美国政府针对联邦机构发布新版云安全防护要求

美国网络安全与基础设施安全局（CISA）于12月17日发布了具有约束力的操作指令25-01：云服务安全实践，明确了联邦机构必须采取的行动，以识别并保护其环境中所有生产或运营云租户。

CISA强调云环境中安全控制的不当配置带来了巨大风险并导致了安全漏洞。CISA表示：“在动态的网络安全环境中，供应商变更、软件更新以及不断发展的安全最佳实践塑造着威胁环境，维护安全配置基线至关重要。随着供应商频繁发布新的更新和补丁来解决漏洞，安全配置也必须调整。”

根据指令，联邦机构及部门必须采取的关键行动包括：

• 在2025年2月21日前，识别并提供指令范围内所有云租户的名称以及每个租户的系统所属机构/组件；

• 在明年4月25日前，为范围内的云租户部署所有SCuBA评估工具，并开始向CISA持续报告；

• 在6月20日前，实施CISA管理的操作指令25-01所需配置网站中规定的所有强制性SCuBA政策；

• 按照所需配置网站规定的时间表实施强制性SCuBA政策的所有未来更新；

• 实施所有强制性SCuBA安全配置基线，并在授予运营授权之前开始对新云租户进行持续监控；

• 在向CISA报告时识别并解释SCuBA评估工具输出中的偏差。

原文链接：

https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/

Linux eBPF遭恶意利用，恶意软件借其隐藏踪迹与收集数据

网络安全研究人员发现，一场利用Linux eBPF技术的恶意软件活动正在进行中，其目标是全球的企业和用户。黑客利用eBPF的底层功能来隐藏活动、收集数据并绕过安全措施，这使得检测极具挑战性。攻击者使用eBPF rootkit来隐藏自身踪迹，并投放能够进行流量隧道传输的远程访问木马，以便在私有网络内维持通信。

值得注意的是，恶意软件的配置并非存储在私人服务器上，而是放在GitHub和博客等公共平台，伪装恶意活动为合法行为。近年来，基于eBPF的恶意软件使用呈上升趋势，仅2024年就发现了超100个新漏洞，像Boopkit和BPFDoor等恶意软件家族不断出现。

eBPF原本旨在更好地控制Linux操作系统的网络功能，但在此次攻击中，其底层能力被黑客恶意利用。自2023年以来，恶意eBPF软件的使用不断增加，多个恶意软件家族涌现，eBPF技术众多漏洞的发现更是雪上加霜。这一持续的网络攻击再次表明，受政府支持的黑客和网络犯罪分子为达目的不择手段，他们利用eBPF等先进技术并使用公共平台存储配置的策略便是例证。

原文链接：

https://hackread.com/hackers-exploit-linux-ebpf-malware-ongoing-campaign/

“The Mask”APT组织利用MDaemon邮件服务器发起持久性攻击

日前，卡巴斯基研究人员将检测到的新一轮网络攻击与名为“The Mask”的网络间谍组织联系起来。

“The Mask”组织（也称“Careto”）是一个备受瞩目的由国家支持的黑客组织，一直以政府机构、外交办公室、大使馆、外交使团和能源公司为目标。卡巴斯基在2014年首次识别出该APT组织，当时卡巴斯基称其为所见过的最复杂的APT行动。

在最近的攻击中，“The Mask”组织使用恶意扩展进行侦察、文件系统交互和有效载荷执行。2024年初，攻击者使用hmpalert.sys驱动程序和Google Updater部署了一种名为FakeHMP的新植入物，可实现文件检索、键盘记录、截屏和进一步的有效载荷操作，还部署了麦克风记录器和文件窃取器。

此外研究人员发现受害组织在2019年曾遭受使用“Careto2”和“Goreto”框架的攻击。攻击者使用加载器、安装程序和辅助注册表文件部署Careto2，然后通过COM劫持维持持久性。该框架从虚拟文件系统加载插件，插件名称被哈希为DJB2值。

原文链接：

https://securityaffairs.com/172093/apt/the-mask-apt-is-back.html

红队代理工具PyRDP被APT组织利用，“午夜暴雪”发动大规模中间人攻击

趋势科技的研究人员日前发现，臭名昭著的APT29（又名“Midnight Blizzard（午夜暴雪）”）黑客组织正利用由193个远程桌面协议代理服务器组成的网络，借助PyRDP红队代理工具发起中间人（MiTM）攻击，针对是政府和军事组织、外交实体、IT和云服务提供商以及电信和网络安全公司。

趋势科技将威胁行为者追踪为“Earth Koshchei”。黑客使用名为PyRDP的Python中间人MiTM红队工具拦截受害者与远程会话之间的所有通信，让连接看似合法。该工具允许攻击者记录明文凭证或NTLM哈希值、窃取剪贴板数据、窃取传输的文件、在后台从共享驱动器窃取数据，并在新连接上运行控制台或PowerShell命令。

远程桌面协议（RDP）是微软开发的专有协议，常用于远程管理、技术支持以及企业环境中的系统连接。2024年10月，亚马逊和乌克兰计算机应急响应小组（CERT-UA）发布报告证实，APT29通过诱使受害者运行钓鱼邮件附件中的文件，使其连接到恶意RDP服务器。一旦连接建立，包括磁盘、网络、打印机、剪贴板、音频设备和COM端口等本地资源就会与攻击者控制的RDP服务器共享，使攻击者能够无条件访问敏感信息。

原文链接：

https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/

泰国警方遭“Yokai”后门袭击，部分执法数据安全性或面临威胁

日前，泰国警方系统遭“妖怪”（Yokai）后门软件攻击。Netskope的安全研究人员近期发现两个伪装成.pdf和.docx文件的快捷方式（LNK）文件，文件名直白地显示与美国政府和泰国的官方事务有关。与这些虚假文件相关的攻击链巧妙地利用合法的Windows二进制文件来传递此前未知的后门程序。此程序似乎是为运行命令行而仓促开发的，研究人员指出其存在导致系统意外崩溃的风险。

在此次钓鱼攻击中，诱饵文件从泰语翻译过来是“美国司法部.pdf”和“紧急，美国当局寻求刑事事务国际合作.docx”，具体提及了与1996年一名员工失踪及疑似谋杀案有关的美国人。研究人员认为，诱饵文件表明它们是发给泰国警方的，攻击者动机是获取泰国警方系统的访问权限。

与其他钓鱼攻击类似，打开这些文件中的任何一个都会导致受害者下载恶意软件，攻击者利用“esentutl”（一种用于管理可扩展存储引擎（ESE）数据库的合法Windows命令行工具），具体是滥用其访问和写入备用数据流（ADS）的能力。“Yokai”后门程序进入新系统后，会与命令与控制（C2）基地进行联系，建立加密通信通道，然后等待指令，它可以运行任何普通命令行以窃取数据、下载其他恶意软件等。

原文链接：

https://www.darkreading.com/threat-intelligence/thai-police-systems-yokai-backdoor

苹果公司点名Meta，质疑欧盟数据互操作要求暗藏隐私风险

12月18日，欧盟委员会发布报告向苹果公司施压，要求其进一步开放 iOS 系统，提升数据互操作性。此举引发了苹果公司的强烈反对，并特别点名Meta公司提出的访问请求，可能会损害用户隐私。

据了解，Meta公司已在欧盟《数字市场法案》（DMA）框架下提出了15项互操作性请求，数量超过任何其他公司。对此，苹果在一份提供给路透社的公开声明中指出，Meta 提出的这些请求可能会损害用户安全和隐私。苹果公司表示，“在很多情况下，Meta 正在寻求以一种引发对用户隐私和安全担忧的方式改变功能，而这些变更似乎与 Meta 外部设备（例如 Meta 智能眼镜和 Meta Quest）的实际使用完全无关。”

苹果公司警告，如果必须批准所有这些请求，Facebook、Instagram 和 WhatsApp 等 Meta 旗下应用将能够读取用户设备上的所有消息和电子邮件，查看用户拨打或接收的每个电话，跟踪用户使用的每个应用程序，扫描用户的所有照片，查看用户的文件和日历事件，记录用户的所有密码等等。

原文链接：

https://news.qq.com/rain/a/20241219A05DDC00

思科拟收购 SnapAttack ，加速 Splunk 新一代威胁检测平台研发

思科系统公司日前宣布，计划收购威胁检测及工程平台提供商 SnapAttack。交易完成后，SnapAttack 的平台将并入思科的 Splunk 业务，助力加速其威胁检测战略，强化企业安全运营。

SnapAttack 创立于 2021 年，其技术可为安全分析师提供关键信息，助其持续评估、整理及优化安全内容，精简在技术资产范围内的威胁检测研究、编写、验证及部署流程。该公司表示，其平台融入思科 Splunk 业务后，将进一步推动思科内生的威胁检测路线图，助力企业优化安全运营，构建更具威胁感知力的防御体系。

SnapAttack 已在协助那些从竞品安全方案转投思科 Splunk 的企业，使其能便捷地适配、部署并验证现有安全内容至 Splunk 平台，助力这些企业实现安全信息与事件管理（SIEM）策略的现代化升级。

原文链接：

https://www.crn.com/news/networking/2024/cisco-to-buy-threat-detection-startup-snapattack-to-help-win-over-more-security-customers