全球动态

1.《蜘蛛侠：英雄无归》盗版资源疯传 安全机构警告：发现挂马及带毒种子

安全机构Reason Cybersecurity警告表示，甄别发现，这些资源中不乏一些挂马或者捆绑恶意软件的《蜘蛛侠》种子资源，甚至还有夹杂挖矿程序。【阅读原文】

2. Log4j威胁加剧，美国土安全部宣布拓展HackDHS漏洞赏金计划

为鼓励安全研究人员积极向官方提交漏洞报告，美国国土安全部（DHS）发起了 #HackDHS 漏洞赏金计划。不过随着 Log4j 威胁的加剧，美国网络安全与基础设施安全局（CISA）的 Jen Easterly，又于 Twitter 上宣布了 #HackDHS 项目的更新。【阅读原文】

3. CISA、FBI 和 NSA 发布针对 Log4j 漏洞的联合咨询和扫描程序

来自澳大利亚、加拿大、新西兰、美国和英国的网络安全机构周三发布了一份联合公告，以应对恶意对手广泛利用 Apache Log4j 软件库中的多个漏洞。【外刊-阅读原文】

4. 研究显示，圣诞期间的的撞库攻击将激增

Arkose Labs 的一项研究显示，在过去12个月内，发生了超过 20 亿次的撞库攻击 (2,831,028,247)，相比去年暴增98%，并预计将在即将来临的圣诞节购物月达到顶峰。【外刊-阅读原文】

5. 因为诈骗太多，“俄罗斯微信”VK强制上线双因素认证

俄罗斯微信——VK终于开始引入双因素身份认证，并计划在 2022 年 2 月强制要求大型社区的管理员使用。【外刊-阅读原文】

6. 讯飞语记回应多地网络服务异常：系国家反诈骗中心误封禁域名，大部分地区服务已恢复

12 月 24 日上午，讯飞语记团队发布关于近期网络服务异常说明及补偿，称经排查此次网络服务异常原因是国家反诈骗中心误封禁域名，核实后已通知各地陆续解封。 【阅读原文】

安全事件

1. NVIDIA 已通知客户其产品受 Log4j 缺陷影响

NVIDIA表示，热门产品，如GeForce Experience 客户端软件、适用于 Windows 的 GPU 显示驱动程序不在受影响范围内。【外刊-阅读原文】

2. 网购900元奶粉出问题？男子退款，银行卡147万元瞬间变成0

据报道，本月13号，王先生接到一个来自香港的未知来电，称他网购的900元奶粉出问题了，要赔1000元。根据对方指示，王先生添加了对方为支付宝好友，并点击一个不明链接。万没想到，他把银行密码都输入进去后，发现银行账户100多万就变成0了。【阅读原文】

3. 比利时公开承认遭Log4j漏洞攻击，导致国防部部分网络宕机

比利时政府官员公开承认遭到近期曝光的 Apache Log4j 漏洞网络攻击。本次攻击导致比利时国防部的部分计算机网络自周四以来一直处于关闭状态。 【阅读原文】

4. 央视曝光部分App禁止全部权限仍可获取用户信息

12月25日，据央视网快看报道，一个移动应用程序安全检测实验室的负责人现场演示了APP在后台运行时，是如何窃取用户的个人信息的。【阅读原文】

5. 全球 IT 服务提供商 Inetum 遭受勒索软件攻击

圣诞节假期前不到一周，法国 IT 服务公司 Inetum Group 遭到勒索软件攻击，但对该公司及其客户的影响有限。【外刊-阅读原文】

6. Apple修复了macOS 漏洞，该漏洞可绕过 Gatekeeper 安全功能

Apple 最近解决了 macOS 操作系统中的一个漏洞，编号为 CVE-2021-30853，攻击者可能会利用该漏洞绕过 Gatekeeper 安全功能并运行任意代码。【外刊-阅读原文】

优质文章

1. IoT SAFE ——强化物联网生态系统的安全性

Donot“肚脑虫”是疑似具有南亚背景的 APT 组织，其主要以周边国家包括巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军​​事为目标进行网络攻击活动。【阅读原文】

2. CVE-2021-31956 漏洞分析

CVE-2021-31956是微软2021年6月份披露的一个内核堆溢出漏洞，攻击者可以利用此漏洞实现本地权限提升，nccgroup的博客已经进行了详细的利用分析，不过并没有贴出exploit的源代码。【阅读原文】

3. 硅谷快速致富的新工作：加密初创企业

在谷歌、亚马逊、苹果以及其他大型科技公司中，即使一些公司的年薪高达数百万美元，仍有不少高管和工程师偶尔会选择离开原先的工作岗位，奔向更具前景的“风口”创业。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。