嘶吼

近日，黎巴嫩境内连续发生的寻呼机、对讲机等通讯设备爆炸事件震惊全球，不仅造成了重大的人员伤亡和财产损失，也引发了国际社会对于供应链安全、网络安全及电子设备安全的深刻反思。对此360集团创始人周鸿祎在其新近发布的短视频中直呼这是“网络战和真实物理作战的结合”，并指出此次事件暴露出两个层面的安全问题，一是供应链安全，二是网络安全。

为什么供应链安全如此重要？以黎巴嫩寻呼机爆炸案为例，事件发生后，国际社会普遍认为，在寻呼机内安装炸药并使其能够在接受特定信号后自爆的过程即为一种典型的“供应链攻击”方式，即通过对产品的生产和流通环节进行干预或篡改以达到恶意目的的一种策略。

“试想一下，一辆新能源汽车如果电路被动了手脚，甚至不需要安放炸弹，只要让电池短路就能引发车辆起火或爆炸”，周鸿祎说。

与供应链安全相对应，网络安全在智能设备日渐普及的今天也极为重要。各类设备如智能手机、智能家居等均可通过互联网连接至云端服务器获取服务与支持，由于它们通常具备开放接口以便用户接入各类应用和服务，也因此增加了遭受外界非法侵入的可能性。周鸿祎指出，黎巴嫩寻呼机爆炸事件展示了一种新型的网络攻击手段，即不再局限于信息窃取、系统瘫痪、攻击智能设备，还能通过控制物理设备直接引发物理伤害和人员伤亡。

“随着无人驾驶汽车的普及，只要入侵车企的网络就能远程让你的车在公路上停下，或者在停车场里启动，横冲直撞不听指挥。”周鸿祎认为，随着人工智能的发展，智能终端越来越多，被植入和渗透的风险加大，所有系统都可能成为攻击目标。网络安全防御压力增大，轻则被窃听或数据窃取，重则产生爆炸等物理破坏。

那么应如何维护供应链及网络安全？周鸿祎认为最重要的是要把安全“抓在自己手里”。

“我们现在每个终端产品都依赖全球供应链，由大量的供应商来完成。如何确保生产、运输、仓储过程中每个环节都可控，安全尤为重要，尤其是对关乎国家安全的设备和技术，应该加速自主研发和生产，确保设备的可信性和安全性，避免被外部力量动手脚”，周鸿祎说，“所以加强供应链的安全管理势在必行”。

对于网络安全方面，周鸿祎认为需要加强网络攻击的探测和感知能力，积累大量安全大数据，提高对网络攻击的感知能力。

事实上，网络攻击距离我们的日常生活并不遥远，甚至可以说是无孔不入。资料显示，360集团实现每天云查杀560亿次，发现各类安全事件1亿次，帮助企业每天拦截勒索攻击超过100万次、挖矿攻击1000万次，破解了“看不见”国家级网络攻击的“卡脖子”难题。累计捕获境外国家级APT组织54个，占国内总数的98%，包括某西方大国对武汉市地震监测中心、西北工业大学的网络攻击，也因此成为遭受该国国防部、商务部“双重制裁”的唯一一家中国网安企业。

“360在网络攻击的探测和感知拦截方面做了很多工作，将近20年免费杀毒积累了大量的安全大数据，这些数据结合我们团队每天的实战攻防，使360建立起一套对网络攻击感知能力极强的技术体系。我们也会从这件事情中汲取教训，加强安全防护，守护国家安全，共同迎接网络安全新的挑战”，周鸿祎说。

2024年9月13日，由工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）、北京市经济和信息化局联合中关村科学城管理委员会、北京市海淀区四季青镇人民政府共同主办的第九届“创客中国”网络安全中小企业创新创业大赛总决赛，在北京圆满落幕。梆梆安全移动应用全生命周期管理平台项目，成功晋级决赛并斩获“企业组卓越奖”奖项。

大赛背景

本届大赛以“汇智聚才，共筑网安”为核心主题，落实创新驱动发展战略，营造有利于网络安全中小企业成长的良好环境，加快引领数字中国建设，集聚创业资源，打造网络安全中小企业和创客交流展示、项目孵化、产融对接、协同创新的平台，发掘和培育一批产业领域内优秀项目和团队，加快建设高水平的网络安全产业园，推动网络安全产业高质量发展，助力制造强国、网络强国和数字中国建设。大赛旨在集聚创新创业资源，为网络安全中小企业和创客提供交流展示、项目孵化、产融对接、协同创新的平台鼓励自主创新，培育网络安全新质生产力，助力网络强国、数字中国建设，推动经济高质量发展。

大赛自5月启动以来，来自44个城市共计297个网络安全领域企业与创客项目踊跃报名参赛，获得各界广泛关注。从项目征集至决赛历时130+天，经过初赛评审、复赛路演，最终企业组12个、创客组6个项目角逐决赛奖项。

经过投资专家、技术专家、行业专家、管理专家等10位重量级评委的研究评审，梆梆安全移动应用全生命周期管理平台项目荣获企业组卓越奖。

梆梆安全移动应用全生命周期管理平台

随着移动互联网的急速发展和智能手机的普及，移动应用数量迅速增长，为用户提供了丰富的服务和便利。然而，这也带来了应用质量参差不齐、安全风险增加等问题。恶意应用、数据泄露、隐私侵犯等安全事件频发，给用户的个人信息和财产安全带来了严重威胁。因此，如何确保移动应用的安全性和合规性成为了一个亟待解决的问题。同时，移动应用生态复杂，包括应用商店、开发者、分发渠道等多个环节，每一个环节都可能存在安全风险。

因此，建立全面的应用监管体系势在必行，确保应用从开发到发布的全过程都能得到安全保障。梆梆安全移动应用全生命周期管理平台以安全加固增强基础防范，以API监测增强流量防范，以风险监测增强运营防范，以安全测试夯实基线检查，覆盖了移动应用的开发、测试、发布、分发到监管的全过程，拥有全面的技术体系。这使得平台能够提供从源码保护、漏洞扫描到安全监测等全方位的安全服务。

作为中小企业和创客交流展示、项目落地、产融对接的重要平台，本场大赛激发了参赛企业的创新活力和发展潜力，同时也发掘和孵化出一批网络安全领域具有关键核心技术的创新型项目，为构建网络安全产业发展良好生态提供技术和人才支撑，对推动网络安全人才培养，鼓励产业技术创新，赋能产业高质量发展具有重要意义。

本次获奖，代表了行业专家对梆梆安全及其移动安全产品服务的认可。未来，梆梆安全将不断提升移动安全技术实力，保持创新激情和探索精神，为推动我国网络安全产业发展贡献力量，为各行业客户持续提供优质安全服务，和广大同业一道，为守卫网络空间的清朗与安全添砖加瓦。

1 事件概述

当地时间2024年9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。

基于本事件最初被多方报道为网络攻击触发的事件，为梳理实际情况，安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判，我们初步分析认为这是一起基于供应链（含配送物流）侧，将爆炸物和通讯设备相结合，利用远程信号激活控制电路，实现批量触发爆炸的严重事件。整体研判分析过程如下：

2 事件影响范围

根据媒体和网络信息，爆炸主要发生在黎巴嫩真主党势力强大的地区，特别是贝鲁特南部郊区和贝卡地区，导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机，根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号，上述型号为中国台湾地区金阿波罗公司品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备，不发射信号，难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩，被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称，真主党向金阿波罗公司订购了3,000多台寻呼机，分发给黎巴嫩各地的成员，以及伊朗和叙利亚的真主党盟友手中。事件发生后，真主党证实其大量成员受伤，另据伊朗国家媒体IRNA证实，伊朗驻黎巴嫩大使穆杰塔巴·阿马尼在寻呼机爆炸事件中受伤。

图2-1 scmp提供的Pager explosion地图

电子监控技术在以色列对黎巴嫩的袭击中发挥着重要作用。以色列国防军此前表示，以色列在真主党活动区域安装了监控摄像头和遥感系统，并定期派遣无人侦察机越过黎以边界监视真主党。此外，据消息透露，根据手机定位数据，以色列空袭行动已精准定点清除了数名真主党高级指挥官。因而，从2024年2月开始，真主党下令放弃使用手机等设备以避免以色列和美国间谍软件的渗透，采用技术含量更低的老式通讯手段，包括寻呼机和暗语口头传递等。可以判断，此次爆炸针对特定型号寻呼机发送特定信息编码，明显是一次主要针对黎巴嫩真主党的目标人群，通过供应链预置和网络攻击实现的定向攻击活动。

多年以来，以色列与黎巴嫩持续发生军事冲突，就在爆炸发生的几个小时前，以色列安全机构表示，挫败了真主党企图使用可控远程引爆的爆炸装置暗杀一名前以色列高级官员的行动。黎巴嫩记者、《大西洋月刊》特约撰稿人金·加塔斯17日在接受CNN采访时称，“这显然是以色列针对真主党特工的一次有针对性的袭击”，袭击目的可能有三种：一是显示情报掌控能力，二是进行威慑迫使真主党屈服，三是可能作为对黎发动大规模袭击的前奏，先制造真主党内部混乱。

3 寻呼机爆炸原因猜测

根据现场残骸照片，发生爆炸的寻呼机指向中国台湾金阿波罗公司（Gold Apollo）生产的AP-900 GP、AR-924两款寻呼机产品。但金阿波罗公司18日发布消息称，发生爆炸的寻呼机是由该公司品牌授权的一家欧洲代理商匈牙利BAC·CONSULTING·KFT公司制造的。3年前与这家欧洲代理商建立合作关系。整体上我们倾向即使寻呼机由BAC·CONSULTING·KFT制造，其整个工艺和规格应与金阿波罗公司同构，可以视为代工贴牌产品，在其机理上不应有较大差异。

图 3‑1 寻呼机相关图片

事件相关的寻呼机型号及参数如下表所示：

表 3‑1 AP-900寻呼机参数

产品外观

产品型号

AP-900  

频率范围

UHF 450~470 MHz

VHF 135~174 MHz

寻呼门限

1200bps-7μV/M

2400bps-9μV/M

512bps-5μV/M

POCSAG码速率

512 / 1200 / 2400bps

频道间隔

12.5KHz,   25KHz

编码格式

POCSAG

干扰抑制

40dB

警报音强度

87db @ 10 cm

电文代码

8

电池类型与数量

AAA碱性电池，随产品包含1块电池

尺寸

80.7毫米（长）55.4毫米（宽）20毫米（高）

重量

49.6克

表 3‑2 AR-924寻呼机参数

产品外观

产品型号

AR-924

频率范围

UHF: 450~470MHz

寻呼门限

512bps:-110dBm

1200bps:-108dBm

2400bps:-106dBm

POCSAG码速率

512/1200/2400bps for POCSAG

频道间隔

25KHz

编码格式

POCSAG

干扰抑制

>40dB

警报音强度

未知

电文代码

8, Frame independent

电池类型与数量

锂电池，最长可使用85天，电池充满电2.5小时，USB-C充电，保护电路模块（PCM）技术

尺寸

73（长）50（宽）27（高）毫米

重量

95克（含电池）

4 寻呼机工作过程

寻呼机是一种无线通讯设备，主要用于接收短消息或通知。它在发送端和接收端之间通过无线电信号传输信息，广泛应用于需要即时通信的场合，如医疗、服务业、紧急救援等。

寻呼系统由发送端（寻呼中心/基站）、寻呼发射机、控制系统、传输介质、接收端（寻呼机）组成，其工作过程如下图所示。

图4‑1 寻呼系统工作原理图

寻呼系统工作时，操作员首先通过寻呼机向控制站发送消息，并指定目标寻呼机的号码或地址，控制站对发送信息进行调制、编码后通过基站发送。寻呼机收到基站信号后，对信号进行解调、解码，判断自身号码或地址是否与消息中的一致，若一致，则向用户发出提示并显示消息内容。

5 爆炸物分析

本事件的初始报道中，不少描述为以色列通过网络攻击入侵寻呼机，通过让电池升温方式导致爆炸。根据后续综合信息分析和技术分析，明显可以认为相关报道不符合实际情况。

5.1 电池能量分析

以AP-900 GP使用的AAA碱性电池为例，可以计算其储存的总能量。

容量：AAA碱性电池的典型容量约为1000毫安时（mAh）

电压：标称电压为1.5伏特（V）

电池储存的总能量可以通过以下公式计算：能量（瓦特时）=电压（伏特）×容量（安时），将容量从毫安时转换为安时：1000 mAh=1 Ah，计算总能量：能量=1.5 V×1 Ah=1.5瓦特时（Wh），将能量转换为焦耳（J）：1瓦特时等于3600焦耳，能量（焦耳）=1.5 Wh×3600 J/Wh=5400 J。电池的总能量储存约为5400焦耳。

然而，爆炸物的威力不在于总能量，而在于能量的释放速率，1kg TNT爆炸放出的总能量，不及1kg优质煤完全燃烧放出的总能量，但TNT等炸药能在数百万分之一秒的时间内释放出所有爆炸能量，这是爆炸物有着巨大破坏力等根本来源。无论是碱性电池或锂电池，都不具备瞬间释放的机理条件。因此从现场伤亡的情况看，电池短路即使引起起火，释放能量的速率也远不足以造成这样程度的杀伤威力。完全可以肯定爆炸是由高爆物产生的。

5.2 爆炸装药型号信息与猜测

从能量释放速率角度分析，明显均不可能达到目前已有信息中的视频、文字信息中的爆炸后果。目前技术专家已经普遍认为，根据强度和速度判断爆炸显然是由一种爆炸物引起的。从具体火炸药类型看，必然不是黑火药、烟火剂等一般爆炸物，只能是猛炸药。而事件中的猛炸药要稳定（寻呼机运输装卸过程中必然要稳定），又要容易起爆，在体积小的同时威力还要足够，雷酸银（雷银）等高感度起爆药，以及一般民间自制的TATP等不稳定过氧化物均不太可能，TNT等需要较多量起爆药才能起爆的不易起爆芳香族硝基化合物可能性也不大，相对容易起爆，威力（猛度）又大的PETN（季戊四醇四硝酸酯，戊四硝酯，又称太安，猛度高于TNT）等硝酸酯类炸药可能性比较大。整体来看，寻呼机本身在事件中所起到的是遥控触发器加爆炸物承载容器的作用。目前网络信息多半推断为PETN（季戊四醇四硝酸酯），关于爆炸装药在电池内部还是在寻呼机内部，目前信息尚不足以支撑判断，分析小组整体倾向爆炸装药在电池内部，这亦可解释出现目前未确定信源反馈的其他电子设备爆炸情况，是由于将带有爆炸物的电池装入其他电器的后果，但其他信息则目前难以判断。

6 寻呼机触发爆炸原理分析

从目前已发生爆炸的两款寻呼机型号分别为，Gold Apollo公司型号为AP-900 GP、AR-924的两款寻呼机产品，据BBC报道及一些新闻报道显示，爆炸是在寻呼机使用者在收到一串“字母数字”短信后发生爆炸，为此可推断，该设备在供应链环节被植入“爆炸物”，并对寻呼机触发机制进行了重新编码或植入引爆用传感器。对于第一种推断，我们推测该设备需要在供应链中进行两个步骤的操作，第一个步骤为对寻呼机设备进行编程配置，用户设备触发。第二个步骤为在寻呼机设备中预置爆炸物结合装置电路，改造引爆条件电路。对于第二种推断，该设备需要在供应链中预置爆炸物与写有引爆逻辑的传感器，并调整电路连接。我们分析了相关产品的资料包括软件编程设置信息。绘制了多种路径的触发原理，但避免信息滥用，在公开版分析报告中屏蔽具体触发过程分析和图示等内容，仅在报送主管部门版本中保留了相关信息。

7 供应链预置分析

此次爆炸，外界普遍认为是基于供应链侧的通讯设备预置爆炸物。整体倾向预制过程应为仓储和物流环节，而非生产制造环节。如事件发生后，爱德华·斯诺登在X上发文称（见下图），该事件使他想起曾在2013年曝光大规模监控事件时披露，美国国家安全局（NSA）如何在机场拦截运往目标国家的计算机网络设备，安装植入物，然后重新包装发往目标，以渗透目标网络。斯诺登称，“十年过去了，（在此期间）运输安全从未得到改善”，暗指黎巴嫩寻呼机事件与美以情报机构的供应链预置不无关系。

图7-1 斯诺登张贴图片为NSA人员劫持配送中的路由设备替换固件照片

美国国家安全局（NSA）前情报分析员戴维·肯尼迪称，从网上分享的视频中看到的爆炸似乎“规模太大，不可能是远程直接黑客攻击，导致寻呼机超载并引起锂电池爆炸”，“更有可能的是，以色列在真主党中安插了人员，寻呼机中可能植入了炸药，只有收到特定信息时才会爆炸”。肯尼迪认为，“实现这一目标所需的复杂性令人难以置信，需要许多不同的情报组件和执行。人力情报（HUMINT）是实现这一目标的主要方法，同时拦截供应链以对寻呼机进行修改。”

特别需要关注排查分析的是如果确如金阿波罗公司声明所言，相关寻呼机由欧洲BAC·CONSULTING·KFT代工生产。这其中有令人费解之处，由于中国台湾地区的人力成本较低，而欧洲人力成本较高，寻呼机又是一种落后技术产品，而相关欧洲厂商提出将制造转移到欧洲本土，是不太寻常的事情，这是否实际是情报机构前置布局，仍需要深度观察。

8 结论

基于电信设备进行遥控爆炸暗杀，并非罕见事件。国内外多起治安案件、以及国际大量恐怖主义案件中，都曾有寻呼机或手机出现，但本事件鲜明的差异为：

1) 本事件寻呼机同时具有触发器和爆炸容器双重属性；历史事件多数以寻呼机作为触发器，但并不作为爆炸物容器。

2) 本事件寻呼机有可能实现了基于特定信号触发，以实现统一触发；多数事件由寻呼机收到信号即触发，而非需要特定信号触发。

3) 本事件是对特定群体的批量定向攻击；而历史事件或者为针对个体目标的定向攻击，或者针对群体目标的无差别攻击。

综上所有分析，我们研判该事件整体上是一起基于供应链侧作业，将爆炸物和通讯设备相结合，利用远程信号激活控制机理，实现批量触发爆炸的严重地缘安全事件，是组合了供应链预置、电磁频谱攻击、情报搜集、人力作业等在内复杂杀伤链过程，是精心策划的跨越物理域、网空和信号频谱域与认知域的联合作业。从作业过程来看，网络攻击作业在其中可能扮演了持续情报采集作用，如获取相关物流信息、摸排目标组织运行规律等，包括最终触发信号如果不是由电子战设备所释放，则也不排除其寻呼台设备遭遇网络入侵的情况。但整体来看，本事件的主导因素依然是物理、传统电磁频谱和人力作业。不应过度夸大网络攻击在其中的作用，而应基于客观严谨的分析，深入总结事件的规律性因素，包括：

1) 网络装备的主导性在平时，物理装备的主导性在战时，依然是目前的基础战争逻辑。

2) 对于低网络依赖的主体很难依赖网络作业达成关键效果，但集合物理、电磁、和认知频谱可能形成压倒性效能。

3) 试图通过逆信息化的方式来实现自身安全可能将带来更大的安全被动。

面对这种复合作业方式，让我们必须走出窄带网络安全视角，从总体国家安全视角，以大网络安全看待未来的斗争与挑战。强化人防、物防、技防结合，将安全要素贯穿全生命周期中。

中东烽火，更让我们看到国家强大方能安宁。

参考链接

1) The Mystery of Hezbollah’s Deadly Exploding Pagers

https://www.wired.com/story/pager-explosion-hezbollah/

2) At least 3 types of pagers were planted with bombs

https://twitter.com/clashreport/status/1836105986831966483

3) Hezbollah blames Israel after pager explosions kill nine and injure thousands in Lebanon

https://www.bbc.co.uk/news/articles/cd7xnelvpepo

4) Product Family-Alpha Gold

https://americanmessaging.net/wp-content/uploads/2019/10/unication_gold_pps.pdf

5) Alphanumeric Pager (AP-900)

https://www.gapollo.com.tw/product/ap-900/

6) Gold Apollo Rugged Pager AR924- Apollo systems

https://web.archive.org/web/20240917160632/https://apollosystemshk.com/product/42.html

7) Rugged Pager AR924 - GOLD APOLLO

https://web.archive.org/web/20240917152704/https://www.gapollo.com.tw/rugged-pager-ar924/

8) scmp   pager explosion

https://www.scmp.com/news/world/middle-east/article/3278939/hezbollah-blames-israel-deadly-pager-blasts-lebanon-how-was-it-done

当前，以大模型为代表的人工智能技术持续快速发展、应用不断泛化和深化，为社会生产生活充分注入前所未有的新动能、新活力，激发全球各国广泛关注。然而，正如双刃剑之喻，人工智能在加快应用的同时，面临的安全挑战和风险也与日俱增，其深远影响或波及我国经济的繁荣基石、社会的和谐稳定乃至民众福祉。在此背景下，亟需构筑坚实的人工智能安全治理体系，妥善应对人工智能安全风险，保障人工智能安全、快速、有序发展。

遵循习近平总书记提出的“坚持以人为本、智能向善”的理念和宗旨，积极响应并贯彻落实《全球人工智能治理倡议》，全国网络安全标准化技术委员会制定《人工智能安全治理框架》（以下简称“《框架》”），于2024年全国网络安全宣传周正式发布。《框架》不仅标志着我国在人工智能安全治理领域取得了标志性进展，更为社会各界提供了指导蓝本和参考依据，有力促进了人工智能安全治理工作的持续深化与优化。聚焦于构建全方位、全链条的治理体系，旨在推动形成覆盖人工智能发展全周期、全要素的治理格局，是推动人工智能健康发展和规范应用的关键依据。

一、制定《人工智能安全治理框架》的背景认识

近年来，我国高度重视人工智能治理工作，习近平总书记在“一带一路”国际高峰合作论坛上亲自宣布提出《全球人工智能治理倡议》，围绕人工智能发展、安全、治理三方面系统阐述了人工智能治理中国方案，指出人工智能治理攸关全人类命运，强调要坚持发展和安全并重的原则看待人工智能。《框架》的发布为社会各界贯彻落实《全球人工智能治理倡议》提供了坚实的支撑，同时也成为推动人工智能安全治理工作向更深层次、更广泛领域迈进的关键力量。

《框架》系统总结并分享了我国人工智能安全治理工作中取得的研究成果和经验，为国内外各界提供了深入学习、准确理解及高效识别人工智能安全风险的详尽指南，为构建多方协同的全链条安全治理机制提供助力，为全球人工智能安全治理工作贡献中国智慧。《框架》的公开发布再次凸显了我国一直以来作为全球人工智能大国，以及人工智能安全治理引领者的负责任态度与担当。

二、《人工智能安全治理框架》内容理解

《框架》主要包含四部分内容，一是治理原则，二是安全风险，三是技术应对与综合治理措施，四是安全开发应用指引。

《框架》首先阐述了人工智能安全治理的理念和原则，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享四项原则，为开展人工智能安全治理工作开展提供整体思路。

按照风险管理思路，《框架》紧密结合人工智能特性，系统梳理了人工智能重大安全风险，为有效识别人工智能安全风险提供了基本依据。一是包括偏见歧视、训练数据被投毒、数据泄露等由人工智能自身技术缺陷和不足带来的内生安全风险，二是包括被用于违法犯罪活动、加剧信息茧房、制作虚假新闻等由人工智能被不当使用、滥用、恶意利用带来的应用安全风险。

针对不同类型安全风险，《框架》从技术、管理两方面提出防范应对措施，为应对人工智能安全风险提供整体指导。针对模型、数据、系统等方面的内生安全风险，提出安全开发运维、输出内容标识等技术应对措施，并推动负责任研发应用体系、供应链安全保障等综合治理措施。针对网络、现实、认知、伦理等方面的应用安全风险，提出安全防护机制、最终用途追溯等技术应对措施，并实施分类分级管理、人才培养等综合治理措施。

同时，《框架》还提出了人工智能安全开发应用的指引，为不同主体开展人工智能相关活动给出了具体的安全指引规范，包括模型算法研发者如何进行人工智能安全开发、服务提供者如何安全提供人工智能服务、重点领域使用者以及社会公众如何安全应用人工智能。

三、以标准工作促进《框架》有效落地

《框架》的发布为推动各方就人工智能安全治理达成共识、协调一致起到了促进作用。加强人工智能安全治理，需要社会各方的共同努力、紧密协作。在标准工作方面，积极推动人工智能安全标准工作，通过标准促进《框架》的有效落地实施。

一是加快构建并持续完善人工智能安全标准体系，统筹规划、合理布局，通过标准凝聚各方在人工智能安全方面的共识，助力构建开放、公正、有效的治理机制。

二是大力推动重点急需标准研制工作，包括生成式人工智能服务安全基本要求、训练数据安全规范、数据标注安全规范，以及人工智能生成合成内容标识方法等重点网络安全国家标准。

三是聚焦行业领域安全问题开展标准化工作探索，在金融、能源、电信、交通、民生等行业领域，组织相关单位开展标准化研究，防范化解人工智能安全风险，保障人工智能的应用安全。

四是加强《框架》及人工智能安全标准宣贯，面向网络安全企业、科研机构、地方主管部门，开展人工智能安全标准宣讲，同时利用新媒体、新渠道加强标准宣贯，推动标准落地实施。

文章来源自：全国网安标委

9月12-13日，由国家信息中心《信息安全研究》杂志社和广州市政务服务和数据管理局主办的关键信息基础设施安全防护专家认证培训（第4期）在广东省广州市顺利召开。本次培训聚焦互联网政务应用安全，邀请政府有关部门和行业专家学者等嘉宾代表围绕数字政府建设、数据安全治理、关保攻防安全实践等议题内容展开交流，共同探索互联网政务应用的安全发展之道。

梆梆安全作为国内移动安全领域代表企业受邀参加本次会议，解决方案总监张廷伦作《互联网移动政务应用面临的新型攻击与防护实践》的主题分享，聚焦移动政务应用所面临的攻击趋势与风险挑战，从人脸识别绕过、API接口攻击、业务渠道攻击等多个热点场景进行深入剖析，并提出端到端&全渠道的互联网移动政务应用安全防护思路，实现动静结合联动协同防御，不同渠道实时联防联控，与在场嘉宾分享先进技术理念与安全场景最佳实践。

随着政务数字化建设的不断深化，各类政务服务应用应运而生。从应用形态上，已由最初的门户网站拓展到了APP、小程序、公众号等多元化的新应用形态，现在又逐步向“超级APP”的方向发展。与此同时，针对移动端的新型网络攻击层出不穷，人脸识别绕过、业务欺诈、数据泄露、渠道洗钱、盗版仿冒等安全风险随之而来，安全威胁类型也趋于多样化，包括定制ROM、云手机、注入攻击、抓包篡改等，传统WAF、API安全网关等安全机制已很难有效应对，给电子政务行业的安全防护与合规建设带来极大挑战。

监管要求持续加码

互联网移动政务应用安全建设加速

电子政务系统的安全保障对于政府的有效运作至关重要，由于政府部门在处理公共事务时涉及大量的机密和敏感信息，这些信息的安全直接关系到国家的安全、社会的稳定以及公民的隐私保护。近年来，国家在政务服务领域密集出台多项网络安全法律法规和政策文件，以对互联网政务应用进行建设指导。

2023年6月，国家信息中心牵头编制的GB/T 35282—2023《信息安全技术 电子政务移动办公系统安全技术规范》正式发布，聚焦政务办公和政务服务两大移动应用场景，重点解决政务移动办公终端、通信、接入、应用、数据等方面安全问题。标准中对政务服务移动应用管理和安全监测方面的安全技术要求如下：

1. 移动应用管理

·应支持对政务APP进行安全防护和加固，防止受到恶意程序的破坏、破解和篡改； 

·应支持对政务APP进行安全检测和签名，并通过应用商店或授权渠道统一提供下载。

2. 安全监测

·应支持对移动终端的网络攻击行为进行监测和告警，包括但不限于模拟器攻击、框架攻击、位置欺诈、域名欺诈等； 

·应支持对移动政务应用的异常访问和操作行为进行监测和告警，包括但不限于账户登录异常、数据下载异常、可疑网络访问、操作异常等；

·应支持对移动政务应用程序和服务端存在的安全漏洞和脆弱性进行持续监测。 

2024年5月，中央网信办、中央编办、工业和信息化部、公安部等四部门联合发布《互联网政务应用安全管理规定》，为保障互联网政务应用安全稳定运行和数据安全，强调了针对互联网政务应用的安全监测能力建设要求：

·各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。

·机关事业单位应当建立完善互联网政务应用安全监测能力，实时监测互联网政务应用运行状态和网络安全事件情况。

构建端到端全渠道防御体系

梆梆安全护航政务服务高质量发展

通过建设端到端全渠道的安全联动机制，实现前后端业务风险的联动机制保障未来业务安全运行，监测人脸绕过、数据泄漏、业务欺诈等黑灰产攻击，并进行此类安全事件处置、溯源，确保互联网移动政务应用安全、合规运营。

1.静态防御措施全渠道覆盖

由于线上渠道众多，且部分API接口存在多渠道API接口共用，攻击者在发起攻击时，往往会选择防护能力最弱的渠道发起攻击，故在做静态防御措施时需要针对于全渠道进行静态防御。

2.动静结合&端到端联动

动静结合的安全防御策略是一种使用广泛的安全防御思路，动态安全防御机制需要与现有的静态防御机制进行联动及协同防御。端到端的全渠道API安全防御思路中，动态防御机制需要能够：

·实时感知客户端风险：加固破解、动态攻击等，将前端风险感知与后端流量感知结合，实现端到端的安全协同；

·前端风险感知能力亦需要纳入当前的静态保护范围，防止被逆向分析。

3.实时防御&全渠道联动

针对前端风险的防御机制需做到实时防御，同时防御措施需要多样化，需覆盖不同业务渠道，不同渠道安全防御能力也能联防联控，如针对APP的攻击识别情报能够同步对轻应用侧协同。

方案已在包括国家多个省、市级互联网移动政务应用安全建设中落地应用，满足电子渠道攻击溯源、业务违规联动监测、便民缴费业务反洗钱、电子渠道零信任安全体系、敏感数据防泄漏等移动政务终端场景安全建设需求，合理性及适用性得到充分验证与认可，切实保障政务移动办公、公众政务服务等移动业务的安全运行，为数字政府服务的安全稳健发展提供有力支持。

随着数字技术的蓬勃发展，使得移动政务应用成为各级政府单位高效办公、服务公众的重要渠道，其面临的安全风险和挑战愈发严峻，国家也对提高互联网政务应用安全防护水平，保障和促进互联网政务应用安全稳定运行提出明确要求，数字政府安全建设任重而道远。未来，梆梆安全将继续发挥自身在网络安全中的研究积累和技术创新，不断打磨、优化安全产品与服务，为政务应用的安全运转和顺利运行提供安全防御支撑，为我国数字政府服务高质量发展保驾护航。

黑客瞄准 Oracle WebLogic 服务器，用一种名为“Hadooken”的新 Linux 恶意软件感染它们，该恶意软件会启动一个加密矿工和一个分布式拒绝服务 (DDoS) 攻击工具。

获得的访问权限还可能用于对 Windows 系统执行勒索软件攻击。容器安全解决方案公司 Aqua Security 的研究人员在蜜罐上观察到了这种攻击，威胁者由于凭证薄弱而攻破了蜜罐。

Oracle WebLogic Server 是一款企业级 Java EE 应用服务器，用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。

攻击者之所以将 WebLogic 视为目标，是因为它在业务关键型环境中非常受欢迎，这些环境通常拥有丰富的处理资源，是加密货币挖矿和 DDoS 攻击的理想选择。

Hadooken 猛烈攻击

一旦攻击者破坏环境并获得足够的权限，他们就会下载名为“c”的 shell 脚本和名为“y”的 Python 脚本。

研究人员表示，这两个脚本都会释放 Hadooken，但 shell 代码还会尝试在各个目录中查找 SSH 数据，并利用这些信息攻击已知服务器。此外，“c”还会在网络上横向移动以分发 Hadooken。

在已知主机上搜索 SSH 密钥

反过来，Hadooken 会投放并执行加密货币挖矿程序和 Tsunami 恶意软件，然后设置多个 cron 作业，这些作业的名称和有效负载执行频率都是随机的。

Tsunami 是一种 Linux DDoS 僵尸网络恶意软件，它通过对弱密码进行暴力攻击来感染易受攻击的 SSH 服务器。

攻击者之前曾使用 Tsunami 对受感染的服务器发起 DDoS 攻击和远程控制，而它再次被发现与 Monero 矿工一起部署。

Aqua Security 研究人员强调，Hadooken 将恶意服务重命名为“-bash”或“-java”，以模仿合法进程并与正常操作混合。

完成此过程后，系统日志将被清除以隐藏恶意活动的迹象，从而使发现和取证分析变得更加困难。

对 Hadooken 二进制文件的静态分析揭示了与 RHOMBUS 和 NoEscape 勒索软件家族的联系，但在观察到的攻击中没有部署勒索软件模块。

研究人员推测，在某些条件下，例如在操作员进行手动检查后，服务器访问权限可能会被用来部署勒索软件。未来版本也有可能引入此功能。

Hadooken 攻击概述

此外，在提供 Hadooken (89.185.85[.]102) 的其中一台服务器上，研究人员发现了一个 PowerShell 脚本，该脚本下载了适用于 Windows 的 Mallox 勒索软件。

有报道称，该 IP 地址用于传播勒索软件，因此我们可以假设威胁者不仅针对 Windows 端点执行勒索软件攻击，还针对 Linux 服务器，以攻击大型组织经常使用的软件来启动后门和加密矿工 - Aqua Security

根据研究人员使用 Shodan 搜索引擎对联网设备进行搜索的结果显示，公共网络上已有超过 230,000 台 Weblogic 服务器。

Check Point 的 CloudGuard 专为现代首席信息安全官打造，因其从代码到云端的统一云基础设施保护而广受认可 

2024 年 9 月 ，领先的云端 AI 解决方案网络安全平台提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）在最新的《GigaOm 安全策略即代码探测报告》中被评为领导者。作为保护云环境的 Infinity 平台的一部分，Check Point CloudGuard 提供了强大的代码安全防护功能，有助于企业抵御不断演变的网络威胁。

Check Point 软件技术公司云安全副总裁 Paul Barbosa 表示：“Check Point 深知确保云端数字资产的安全性和完整性面临着一系列挑战。正因如此，我们很高兴地宣布，我们在 GigaOm 的安全策略即代码报告中被评为领导者。这一殊荣是对Check Point创新型 CloudGuard 解决方案的高度肯定。该解决方案支持用户将安全防护无缝融入开发流程中，确保从一开始就提供强大保护。”

随着企业在日常运营中越来越依赖高级软件，确保这些代码安全对于保护敏感信息和确保无缝运营而言变得至关重要。云从业者需要可靠的安全防护解决方案来满足这一需求，例如云原生应用保护平台 (CNAPP) 的代码安全防护。Check Point 的《2024 年云安全报告》显示，只有 21% 的企业注重预防措施，以防患于未然，这充分表明当前云安全策略方面存在着明显差距。通过采用“安全策略即代码”，公司可以优先采取主动安全措施，简化安全管理，减少错误，并助力团队在开发初期快速消除各种威胁，从而确保云环境安全。

GigaOm 分析师 Whit Walters 表示：“CloudGuard 利用了 Check Point 深厚的网络安全专业知识，并无缝集成了 Infinity 平台，可为不同环境提供高级威胁防御和安全管理功能。CloudGuard 非常适合在复杂的多云或混合环境中开展业务运维的用户，尤其是有着严格的 DevOps 要求的企业。”

CloudGuard 代码安全的其他功能包括：

· 跨 CI/CD 流水线的集成式安全防护：具有不受语言限制的无缝安全扫描功能，可及早检测并解决漏洞和暴露密钥问题，从而降低生产安全风险

· 自动化 DevSecOps 实践：实施统一的安全策略并满足法规遵从要求，同时优化安全运营，与 DevOps 无缝集成，在不影响安全性的前提下实现快速开发

· 高级威胁检测和防御：对漏洞、恶意软件及薄弱安全防护实践进行可靠检测，降低发生代价高昂的安全事件的可能性

· 可行修复和持续改进：针对安全问题提供精确的修复措施，支持开发人员迅速处理漏洞并持续改进其安全防护实践

了解 Check Point CloudGuard 如何帮助一家欧洲顶级投资银行保护其开发环境。通过将安全防护贯穿于开发生命周期的每个阶段，该解决方案帮助该银行保护了代码和基础设施，发现了漏洞，并加强了其整体安全防护。

请点击此处，免费阅读《GigaOm 安全策略即代码探测报告》。

9月9日至9月15日，2024年国家网络安全宣传周举办，今年网安周继续以“网络安全为人民，网络安全靠人民”为主题。

9月10日，梆梆安全党支部积极参与到由海淀区委网信办在阳春新纪元社区举办的“网络安全宣传进社区”活动中，一同将网络安全知识送到社区居民的家门口，为社区居民筑起了一道坚实的数字防护网，让网络安全意识延伸到社区的每一个角落，走进每一位居民的心中。

梆梆安全党支部青年先锋队走进布满五彩斑斓的宣传海报、生动有趣的图片展览的活动现场，在社区广场中布置了梆梆安全互动展台，展开了一场内容丰富、贴近生活的宣传和问答。

党员们向居民发放网络安全的宣传册，用生动的案例引得围观居民连连点头，纷纷表示要警惕这类网络陷阱，让参与者不仅可以学习到如何保护个人信息不被泄露，还能了解到最新的网络诈骗手法，提高警惕。

青年党员程显龙通过生动的案例讲解，让居民对电信诈骗有了更深刻的认识。程显龙说：“随着移动互联网的普及，手机安全问题日益突出。我们呼吁大家要时刻保持警惕，不要随意下载不明来源的应用程序，以免遭受病毒攻击或个人信息泄露。”

梆梆安全党支部此次走进社区宣讲活动，通过展位展示与面对面的交流，让社区居民感受到了海淀驻区企业的温度和责任，让我们通过网络安全宣传周这个良好契机，能够将网络安全知识，普及到每一个家庭，每一个个体。梆梆安全党支部积极履行社会责任，用心用智讲述网安故事，也希望通过本次活动的宣讲，让网络安全意识深入人心，为形成全社会共同参与的良好氛围献一份力。

下一步，梆梆安全党支部将会继续以多种形式参与、举办网络安全宣传进社区、进学校、进园区等系列活动，让网络安全愈加深入人心，共同营造稳定、健康、和谐的网络环境，共筑数字防护网，守护好我们的网络安全家园！

珠江水岸，南海之门。2024年国家网络安全宣传周于9月9日在广州南沙隆重举行。

网络安全为人民、网络安全靠人民。2024网安周开幕式、系列论坛、座谈会、主题日一场场引人注目、影响广泛的活动陆续展开，网络安全领域专家学者、从业人士以及致力于网安事业的高校师生、社会大众等齐聚一堂，共同展现出一幅全民行动、共同筑牢网络安全防线的生动画面。

个人信息保护分论坛

9月10日上午

梆梆安全 · 陈 露

9月10日上午，由中央网信办网络数据管理局指导，中国互联网协会主办的“个人信息保护分论坛”在广州南沙举行。政府部门、行业组织、互联网企业等相关单位共聚一堂，探讨当下个人信息保护的实践路径。广东省委网信办一级巡视员许华，中央网信办网络数据管理局数据安全监管处副处长王兆兴出席论坛并致辞。

梆梆安全陈露受邀在论坛上作主题为《监管驱动下的移动应用隐私合规建设》演讲，聚焦移动应用隐私合规监管态势，围绕高频问题剖析监管驱动下的移动应用隐私合规建设思路。

信息化时代，APP覆盖每一个人工作生活的方方面面，移动应用安全作为网络安全的重要组成部分，与人民群众的利益息息相关。随着国家个人信息保护体系不断完善，监管部门对个人信息保护的治理行动持续进行，移动应用安全治理也越来越受到应用开发者、运营者、使用者、包括监管者的高度重视。APP违规收集个人信息，强制、频繁、过度索取权限等问题依然是当下出现的高频问题，梆梆安全通过个人信息保护策略建设、合规融入开发阶段、移动应用隐私合规评估等动作助力个人信息保护。

网络安全博览会

9月11日上午

梆梆安全 · 刘 洋

9月11日上午，2024年国家网络安全宣传周网络安全博览会暨网络安全产品和服务供需洽谈会持续进行中，博览会作为国家网络安全宣传周重要活动之一，聚焦网络安全高质量发展主线，通过开展网络安全行业展示、业务洽谈、网安人才现场招聘，群众互动体验等多种形式，打造集行业交流、人才对接、科普宣传于一体的“新型博览会”。

梆梆安全刘洋作主题为《移动应用端到端全渠道的安全防护体系实践》演讲，针对当前移动端应用安全风险及移动应用安全事件提出的移动应用全渠道的整体安全建设防护体系，对移动应用端的数据安全和漏洞风险进行解析同时对移动应用端攻防对抗进行全渠道安全建设体系，聚焦移动应用的运营安全，通过全渠道的安全防护手段，保障移动应用的安全运营。

在2024年国家网络安全宣传周系列论坛、博览会等重要活动中，梆梆安全资深安全专家从多元视角与观众深入分享，吸引了众多行业监管、移动应用开发者、高校师生、媒体等驻足交流。未来，梆梆安全会继续深耕移动应用安全领域，助力大众增强网络安全防范意识，积极践行维护网络安全使命，合力共建网络强国。

9月10日，国内安全行业知名第三方权威机构——GoUpSec 正式发布2024年中国网络安全行业《邮件安全产品及服务购买决策参考》，从产品功能、应用行业、成功案例、安全策略等维度对各厂商邮件安全产品及服务进行调研了解，旨在帮助 CISO 拨开营销迷雾，提高市场能见度，全面了解潜在邮件安全战略合作合作伙伴。凭借在邮件安全领域深耕多年的防护技术与综合解决方案能力，梆梆安全被评为邮件安全“酷厂商”。

本次报告共收录7家国内网络安全厂商，共计11个安全产品及服务，具体成功实施案例17例，适用于政府、医疗、金融、互联网、国央企、能源、制造业、交通、教育等重点行业。梆梆安全自主研发的移动应用安全加固平台、应用安全测评平台、移动应用安全监测平台，凭借对邮件移动端的安全保障能力及差异化技术优势，经严格资质审核后成功入选，标志着行业与用户对梆梆安全技术成果的认可，也表明梆梆安全是值得信赖的邮件安全产品和服务供应商之一。

电子邮件是政府和企业沟通的主要渠道之一，同时也是多年来网络攻击和实战攻防演习的首要目标和媒介。随着生成式AI技术的普及，RaaS等勒索软件运营模式的流行，深度伪造等新的攻击手段和技术工具快速迭代，新型邮件攻击技术的应用给邮件安全工作带来了严峻的挑战。与此同时，针对远程/混合办公、移动办公、BYOD的移动端漏洞利用、恶意软件投放和数据泄露等威胁事件也频繁发生。

作为业界率先实现基于移动应用的VMP虚拟化保护技术、建立系统化移动应用安全保护技术体系的安全厂商，梆梆安全针对邮件安全系统项目提出了“应用加固+基线检测+威胁感知”的全面解决方案。以安全加固增强基础防范，针对Android、iOS、鸿蒙等多版本应用使用静态防护和动态防护加固技术；以安全测试夯实基线检查，对移动应用上线前进行安全检测，全方位检测应用中存在的代码安全问题；以风险监测增强运营防范，通过移动应用威胁感知平台，发现移动应用运行过程中可能遭受到的攻击与威胁，保护用户个人隐私信息安全及数据安全。

梆梆安全在网络安全技术上积极探索，围绕移动安全、物联网安全、数据安全、内容安全、安全服务帮助用户制定网络安全建设规划，构筑覆盖全网络环境的新型信息安全立体纵深防御系统，大幅提升企业安全能力水平。未来，梆梆安全将继续聚焦移动业务场景和安全需求，深耕安全技术创新，推进科技成果转化与落地，致力于为客户提供更稳定、更高效的安全产品、解决方案和安全服务，为国家网络安全发展贡献梆梆力量。

Check Point 的最新威胁指数报告显示，RansomHub 继续位居榜首，Meow 勒索软件因其新型攻击手段和强大破坏力而风头渐起。

2024 年 9 月 ，领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2024 年 8 月《全球威胁指数》报告。该指数报告显示，勒索软件仍占主导地位，RansomHub 依然是头号勒索软件团伙。这一勒索软件即服务 (RaaS) 变体的前身是 Knight 勒索软件，自更名以来便快速蔓延，在全球范围内攻击了 210 多家受害者。与此同时，Meow 勒索软件风头渐起，攻击重点从文件加密转向在数据泄露市场上兜售被盗数据。

上月，RansomHub 巩固了其作为头号勒索软件威胁的地位。这种 RaaS 操作利用复杂的加密技术，针对 Windows、macOS、Linux 等系统，尤其是 VMware ESXi 环境展开猛烈攻击。

8 月份，Meow 勒索软件风头渐起，首次跻身主要勒索软件排行榜第二位。Meow 是已知 Conti 勒索软件的变体，现已将攻击重点从文件加密转向数据提取，并将其勒索网站转变为数据泄露市场。在这种模式下，被盗数据被兜售给出价最高者，这不同于传统的勒索软件敲诈策略。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“RansomHub 成为 8 月份的头号勒索软件威胁，这充分说明勒索软件即服务的复杂性与日俱增。各机构需要提高警惕。Meow 勒索软件的兴起凸显了向数据泄露市场的转变，即越来越多的被盗数据被兜售给第三方，而不仅仅是发布到网上，这是勒索软件运营组织的一种新型牟利方式。随着这些威胁持续演变，企业必须时刻保持警惕，采取主动安全防护措施，并不断加强防御，以有效应对日益复杂的攻击。”

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

FakeUpdates 是本月最猖獗的恶意软件，全球 8% 的机构受到波及，其次是 Androxgh0st 和 Phorpiex，分别影响了全球 5% 和 5% 的机构。 

1. ↔ FakeUpdates – FakeUpdates（又名 SocGholish）是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致进一步破坏。

2. ↔ Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段，Androxgh0st 利用多个漏洞，特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的变体，可扫描不同的信息。

3. ↑ Phorpiex - Phorpiex 是一种僵尸网络，因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模性勒索攻击活动而广为人知。

最常被利用的漏洞  

1. ↔ HTTP 载荷命令行注入（CVE-2021-43936，CVE-2022-24086）– 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。 

2. ↔ Zyxel ZyWALL 命令注入 (CVE-2023-28771) - 这是一种存在于 Zyxel ZyWALL 中的命令注入漏洞。远程攻击者可利用该漏洞在受影响系统上执行任意操作系统命令。

3. ↔ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）- HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。 

主要移动恶意软件

本月，Joker 位列最猖獗的移动恶意软件榜首，其次是 Anubis 和 Hydra。 

1. ↔ Joker – 一种存在于 Google Play 中的 Android 间谍软件，可窃取短消息、联系人列表及设备信息。此外，该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。

2. ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

3. ↑ Hydra – Hydra 是一种银行木马，可通过要求受害者启用高危权限来在每次入侵银行应用时窃取银行凭证。

主要勒索软件团伙 

这些数据基于从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”（攻击者在这些网站上公布受害者信息）获得的洞察分析。本月，RansomHub 是最猖獗的勒索软件团伙，其攻击数量占已发布攻击的 15%，其次是 Meow 和 Lockbit3，分别占 9% 和 8%。

1. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作，据称是已知 Knight 勒索软件的翻版。2024 年初，RansomHub 在地下网络犯罪论坛上初露锋芒，因其针对各种系统（包括 Windows、macOS、Linux，尤其是 VMware ESXi 环境）发起的破坏性攻击活动，以及采用的复杂加密方法而臭名昭著。

2. Meow - Meow 勒索软件是一种基于 Conti 勒索软件的变体，因能够加密受感染系统上的各种文件而广为人知。它会在文件名后添加“.MEOW”扩展名，然后留下一封名为“readme.txt”的勒索信，要求受害者通过电子邮件或 Telegram 联系攻击者，谈判赎金支付事宜。Meow 勒索软件通过各种向量传播，包括未受保护的 RDP 配置、垃圾电子邮件及恶意下载，并使用 ChaCha20 加密算法来锁定文件，不包括“.exe”和文本文件。

3. Lockbit3 – LockBit 是一种以 RaaS 模式运行的勒索软件，于 2019 年 9 月首次发现。它主要瞄准各个国家和地区的大型企业和政府机构。

往期回顾：

2024.9.2—2024.9.8安全动态周回顾

2024.8.26—2024.9.1安全动态周回顾

2024.8.19—2024.8.25安全动态周回顾

2024.8.12—2024.8.18安全动态周回顾

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

2024.7.22—2024.7.28安全动态周回顾

黑客一直在利用 Progress Software 的 WhatsUp Gold 网络可用性和性能监控解决方案中两个严重漏洞的公开漏洞代码。自 8 月 30 日以来，攻击中利用的两个漏洞是 SQL 注入漏洞，跟踪编号为 CVE-2024-6670 和 CVE-2024-6671，漏洞允许在未经身份验证的情况下检索加密密码。

尽管相关工作人员在两周前就解决了安全问题，但许多客户仍然需要更新软件，而威胁者正在利用这一漏洞发起攻击。

Progress Software 于 8 月 16 日发布了针对该问题的安全更新，并于 9 月 10 日在安全公告中添加了如何检测潜在危害的说明。

安全研究员 Sina Kheirkhah 发现了这些漏洞，并于 5 月 22 日将其报告给零日计划。8 月 30 日，该研究员发布了概念验证 (PoC) 漏洞。

该研究员在技术文章中解释了如何利用用户输入中不适当的清理问题将任意密码插入管理员帐户的密码字段，从而使其容易被接管。

Kheirkhah 的漏洞概述

野外开发

网络安全公司最新的报告指出，黑客已经开始利用这些漏洞，根据观察，这些攻击似乎基于 Kheirkhah 的 PoC，用于绕过身份验证并进入远程代码执行和有效载荷部署阶段。在研究人员发布 PoC 漏洞代码五小时后，安全公司的遥测技术首次发现了主动攻击的迹象。

攻击者利用 WhatsUp Gold 的合法 Active Monitor PowerShell Script 功能，通过从远程 URL 检索的 NmPoller.exe 运行多个 PowerShell 脚本。

攻击者部署的恶意 PowerShell 脚本

接下来，攻击者使用合法的 Windows 实用程序“msiexec.exe”通过 MSI 包安装各种远程访问工具 (RAT)，包括 Atera Agent、Radmin、SimpleHelp Remote Access 和 Splashtop Remote。

植入这些 RAT 可让攻击者在受感染的系统上建立持久性。

在某些情况下，研究人员观察到部署了多个有效载荷。分析师无法将这些攻击归因于特定的威胁组织，但使用多个 RAT 表明它可能是勒索软件参与者。

观察到的活动的攻击流程

据了解，这并不是 WhatsUp Gold 今年第一次受到公开漏洞的攻击。8 月初，威胁监测组织 Shadowserver Foundation 报告称，其蜜罐捕获了利用 CVE-2024-4885 的攻击，CVE-2024-4885 是一个于 2024 年 6 月 25 日披露的严重远程代码执行漏洞。这个缺陷也被 Kheirkhah 发现，两周后他在社交媒体上公布了完整的详细信息。

9月13日，第九届“创客中国”网络安全中小企业创新创业大赛决赛及颁奖活动圆满结束，工业和信息化部网络安全产业发展中心主任付京波，四季青镇党委书记薛飞飞，中关村科学城管委会产业促进二处处长、北京市海淀区科学技术和经济信息化局局长何建吾，北京市中小企业服务中心副主任王悦，四季青镇副镇长李海鹏，四季青镇股份经济合作社董事长刘永利等领导嘉宾出席活动。本次大赛颁奖典礼同步进行了线上直播，54.5万名观众在线观看了活动实况。

大赛由工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）、北京市经济和信息化局联合中关村科学城管理委员会、北京市海淀区四季青镇人民政府共同主办，北京四季慧谷园区管理有限公司、中关村意谷（北京）科技服务有限公司承办，重点围绕发展新质生产力，从网络安全领域广泛征集遴选优质项目，发掘和培育领域内优秀项目和团队，助力制造强国、网络强国和数字中国建设。

自大赛启动以来，得益于各组织单位的鼎力支持与社会各界的热烈响应，共有297个来自企业及创客团队的精彩项目踊跃报名参赛，晋级决赛的18个项目在现场分组竞技，参赛选手纷纷亮出各自的“杀手锏”，从技术亮点到市场前景，从商业模式到团队实力，全方位、多角度地展现项目的独特魅力与竞争优势。技术专家、行业专家与投资专家、管理专家10位组成的专业评审团对项目进行细致评估，经过激烈比拼，最终评选出大赛企业组与创客组一等奖各1名，二等奖各2名，三等奖各3名及企业组卓越奖6名。

颁奖典礼上，工业和信息化部网络安全产业发展中心主任付京波发表致辞。他表示本次大赛不仅激发了中小企业的创新活力，还促进了网络安全领域的技术突破与成果转化，更是将海淀区的网络安全产业集聚优势与“创客中国”的品牌影响力紧密结合，为参赛企业搭建了广阔舞台。工业和信息化部网络安全产业发展中心将携手各方，继续依托“创客中国”平台，推动优秀项目落地，培育专精特新企业，为中国式现代化建设和网络强国战略提供坚实支撑。

中关村e谷副总裁李慧代表承办方做赛事组织工作总结发言，她表示，在各组织单位及合作伙伴的指导与参与下，大赛通过创业培训、政策解读、参观考察、需求对接会等一系列活动，为企业搭建了务实合作对接的桥梁。未来，我们将基于办赛过程中收集到的各参赛选手的需求，在各主办单位的指导下，与四季慧谷进一步秉承构建创业创新生态的理念，为参赛团队和企业提供更多孵化、加速和成长的平台，持续深化“创客中国”品牌影响力，为推动我国网络安全产业乃至整个数字经济的蓬勃发展贡献力量。

决赛评审专家组组长、北京航空航天大学网络空间安全学院党委书记蒋燕玲表示，这是一届技术含量极高的网络安全领域创新创业大赛，参赛项目不仅有新要素新设施的安全技术与产品、新场景新业务的安全能力、平台化体系化的安全解决方案，还涵盖了包括智能装备、大模型、数字化、无人系统等研究方向的智能系统及空间治理方案。无论从参赛项目的区域分布以及数量来看，还是从参赛项目覆盖的专业领域，都是空前的。最后她祝愿所有参赛团队继续保持创新的激情和探索的精神，持续为网络安全领域带来新的活力和动能。

随后，大赛现场揭晓各参赛项目奖项并进行颁奖，同时大赛还颁发了优秀组织奖与特别贡献奖。

为了有效推动项目的孵化和实现创业资源的有效对接，北京四季慧谷 园区管理有限公司就意向落地、中国信息安全研究院前沿战略研究中心就意向市场合作、元起资本就意向投资项目分别进行了现场签约，将共同支持优秀项目创新成果转化落地。

四季青镇党委书记薛飞飞在总结致辞中向大赛的成功举办表示祝贺，并对支持单位、参赛选手及长期关心和支持四季青镇发展的各界朋友表示感谢，他还强调了网络安全的重要性，并展望了四季青镇在网络安全领域未来的发展方向，包括加强产业园区建设、培育创新型企业、搭建创新平台以及推动产业集聚等，旨在与各界携手共创网络安全创新创业的美好未来。

作为中小企业和创客交流展示、项目落地、产融对接的重要平台，本场大赛不止激发了参赛企业和团队的创新活力和发展潜力，同时也发掘和孵化出一批网络安全领域具有关键核心技术的创新型项目和企业，为构建网络安全产业发展良好生态提供技术和人才支撑，对推动网络安全人才培养，鼓励产业技术创新，赋能产业高质量发展具有重要意义。未来，也将有越来越多的网络安全项目在大赛中绽放光芒，逐步成长为守卫我国网络空间的参天大树。

附件：第九届“创客中国”网络安全中小企业创新创业大赛获奖名单

奖项

获奖名单

项目名称

参赛企业/团队

企业组一等奖

安胜华信下一代业务数据安全管控平台

北京安胜华信科技有限公司

创客组一等奖

合规监管下的密态计算

超级加密团队

企业组二等奖

多源数据身份智能研判系统

北京和人广智科技有限公司

塑造安全领域的通用人工智能

北京云起无垠科技有限公司

创客组二等奖

安全代码生成机器人

安全代码生成机器人团队

基于无人机平台的

恶意信号源测向与定位系统

安疆团队

企业组三等奖

新一代办公入口山河安全工作空间

广东一知安全科技有限公司

AI驱动的企业级数据安全解决方案

杭州薮猫科技有限公司

DS^2确定性数据服务中间件产业化

浙江符节飞递科技有限公司

创客组三等奖

高功率微波干扰吊舱

星箭雷霆团队

专注于低空经济的智能大脑——

大模型驱动无人机的自主决策与集群协同

青鸟智航团队

网信之卫-5G智能安全产品

网信之卫团队

企业组卓越奖

基于5G切片+TETRA融合

实现关键通信高质量应用

中国电信股份有限公司广州分公司

靖云甲ADR应用检测与响应系统

北京边界无限科技有限公司

丈八网安网络安全博弈推演平台

北京丈八网络安全科技有限公司

云工作负载统一安全防护项目

安天云安全科技（北京）有限公司

移动应用全生命周期管理平台项目

北京梆梆安全科技有限公司

数据安全分级分类

北京安恒信安科技有限公司

优秀组织奖

北京四季慧谷园区管理有限公司

中关村意谷（北京）科技服务有限公司

特别贡献奖

中国信息安全研究院前沿战略研究中心

北京航空航天大学网络空间安全学院

中关村网络安全与信息化产业联盟

北京数字世界咨询有限公司

广州市网络安全产业促进会

北京知识产权运营管理有限公司

9月，首个大模型攻防主题的科技赛事—“全球AI攻防挑战赛”官宣启动。该赛事聚焦AI大模型产业实践，设计了攻、防双向赛道，邀请各路白帽黑客、技术人才分别进行针对文生图大模型“数据投毒”的攻防实战演练，以及金融场景大模型生成内容的防伪检测竞赛，角逐丰厚科技奖金。

本次大赛由中国图象图形学学会、蚂蚁集团、云安全联盟（CSA）大中华区联合主办，广泛联合清华大学、上海交通大学、浙江大学等高校及多家产学研组织共同发起，上海人工智能实验室作为技术合作单位。大赛旨在通过技术竞赛的形式，凝聚学界、行业力量，直面并解决大模型应用中潜藏的风险，助力全球AI产业健康可持续发展。

在全球范围内，人工智能与大模型的快速发展正以前所未有的速度重塑各行各业，其影响力触及社会生产生活的方方面面。然而，这一技术加速大范围落地应用的同时，也带来了模型内部幻觉、算法漏洞和深度生成内容滥用等安全与伦理挑战。探索并强化大模型及其应用内容的防御体系，是保障大模型规模化落地应用的重要条件。

据大赛主办方介绍，大赛设置了“攻击”与“防守”两大赛道，分别聚焦大模型自身安全和大模型生成内容的防伪检测及大模型滥用风险检测，涵盖机器学习、‌图像处理与计算机视觉‌、数据处理等多个算法领域的考点。

其中，“攻击赛道”聚焦于文生图大模型的实际应用风险问题。参赛选手可通过目标劫持、情景带入、逻辑嵌套等多样化的动态攻击诱导技术，诱发大模型输出风险图像，以此激活大模型的潜在弱点和漏洞，增强大模型生图的安全免疫能力。“防守赛道”则聚焦于AI核身中的金融场景凭证篡改检测，以应对日益严峻的Deepfake深度伪造及AIGC假证风险。大赛提供百万级凭证篡改数据训练集，参赛选手需要研发和训练模型，并利用对应的测试集评估模型有效性，给出数据伪造概率值。

为保证大赛公平公正，同时更好地指导选手，大赛评委团由多位学术界与工业界专家共同组成。中国工程院院士、中国图象图形学学会理事长王耀南，云安全联盟（CSA）大中华区主席李雨航担任本次大赛的指导委员会主席，来自清华大学、上海交通大学、上海人工智能实验室等多所高校、科研单位的近30位知名学者将参与大赛的组织及评审工作。

本次大赛于9月6日正式启动报名，11月初完成赛事评审。即日起，选手可通过中国图象图形学学会官网、阿里云天池平台官网等渠道报名。大赛全程设有高额科技奖金池，用以选拔及表彰领域内的优秀人才。

Fortinet 是全球最大的网络安全公司之一，销售防火墙、路由器和 VPN 设备等安全网络产品。该公司还提供 SIEM、网络管理和 EDR/XDR 解决方案以及咨询服务。本周，一名威胁者在黑客论坛上发帖称，他们从 Fortinet 的 Azure Sharepoint 实例中窃取了 440GB 的数据。随后，该威胁者将凭证共享到一个所谓的 S3 存储桶中，被盗数据就存储在该存储桶中，供其他威胁者下载。

随后，网络安全巨头 Fortinet 证实，其公司遭遇数据泄露。

被称为“Fortibitch”的威胁者声称曾试图勒索 Fortinet 支付赎金阻止数据发布，但该公司拒绝支付。在回答关于事件的问题时，Fortinet 证实客户数据是从“第三方基于云的共享文件驱动器”中窃取的。

该公司表示：“有人未经授权访问了 Fortinet 存储在第三方云共享文件驱动器上的有限数量文件，其中包括与少数 Fortinet 客户相关的有限数据。”

目前，Fortinet 并未透露有多少客户受到影响或哪些数据遭到泄露，但表示已根据需要直接与客户沟通。Fortinet 网站随后发布的更新消息称，该事件影响了不到 0.3％ 的客户群，并且并未导致任何针对客户的恶意活动。

该网络安全公司还证实，该事件不涉及任何数据加密、勒索软件或对 Fortinet 公司网络的访问。有媒体联系 Fortinet 询问有关此次入侵的其他问题，但目前尚未收到回复。

据悉，早在 2023 年 5 月，就有威胁分子声称入侵了 Panopta 公司的 GitHub 存储库，该公司于 2020 年被 Fortinet 收购，并在一个俄语黑客论坛上泄露了被盗数据。

Android 开源项目 (AOSP) 是由 Google 领导的开源操作系统，可用于移动、流媒体和物联网设备。日前，安全研究人员发现威胁者已经用一种新的 Vo1d 后门恶意软件感染了超过 130 万个运行 Android 的电视流媒体盒，从而使攻击者能够完全控制这些设备。

Dr.Web 在一份新报告中表示，研究人员发现，超过 200 个国家/地区有 130 万台设备感染了 Vo1d 恶意软件，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚等国感染数量最多。

受 Vo1d 感染的电视盒的地理分布

此次恶意软件活动所针对的 Android 固件包括：

·Android 7.1.2；

·R4 构建/NHG47K Android 12.1；

·电视盒构建/NHG47K Android 10.1；

·KJ-SMART4KVIP 构建/NHG47K。

根据安装的 Vo1d 恶意软件的版本，该活动将修改 install-recovery.sh、daemonsu，或替换 debuggerd 操作系统文件，这些都是 Android 中常见的启动脚本。

修改 install-recovery.sh 文件

恶意软件活动使用这些脚本来保持持久性并在启动时启动 Vo1d 恶意软件。

Vo1d 恶意软件本身位于 wd 和 vo1d 文件中，该恶意软件以这两个文件命名。Android.Vo1d 的主要功能隐藏在其 vo1d（Android.Vo1d.1）和 wd（Android.Vo1d.3）组件中，这两个组件协同运行。

Android.Vo1d.1 模块负责 Android.Vo1d.3 的启动并控制其活动，必要时重新启动其进程。此外，它还可以在 C&C 服务器发出命令时下载并运行可执行文件。反过来，Android.Vo1d.3 模块会安装并启动加密并存储在其主体中的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它还会监视指定目录并安装在其中找到的 APK 文件。

虽然 Dr.Web 不知道 Android 流媒体设备是如何受到攻击的，但研究人员认为它们之所以成为攻击目标，是因为它们通常运行会存在漏洞的过时软件。

Dr.Web 总结道：“一种可能的感染媒介可能是利用操作系统漏洞获取 root 权限的中间恶意软件的攻击。另一种可能的媒介可能是使用内置 root 访问权限的非官方固件版本。”

为了防止感染此恶意软件，建议 Android 用户在有新固件更新时检查并安装。此外，请务必从互联网上删除这些盒子，以防它们通过暴露的服务被远程利用。同样重要的是，避免在 Android 上安装来自第三方网站的 Android 应用程序作为 APK，因为它们是恶意软件的常见来源。

9月12号最新公告表示，受感染的设备并未运行 Android TV，而是使用 Android 开放源代码项目 (AOSP)。

Google 发言人表示：“这些被发现感染的杂牌设备不是经过 Play Protect 认证的 Android 设备。如果设备未通过 Play Protect 认证，Google 就没有安全性和兼容性测试结果记录。”

目前经过 Play Protect 认证的 Android 设备已经经过测试，可确保质量和用户安全。为了用户确认设备是否采用 Android TV 操作系统和经过 Play Protect 认证， Android TV 网站提供了最新的合作伙伴列表，用户可以按照相应步骤检查设备是否经过 Play Protect 认证。

1 概述

近日，安天CERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动，攻击者将自身的恶意代码程序与《黑神话：悟空》第三方修改器“风灵月影”捆绑在一起，再通过在社媒发布视频等方式引流，诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本，在运行修改器的同时，也将在后台自动运行恶意代码，导致计算机被控制，产生隐私泄露、经济损失等风险。

《黑神话：悟空》作为国产首款3A游戏大作，千万玩家在线狂欢，尽享盛宴。但玩家尽情在痛殴游戏中的BOSS（或被BOSS痛殴）的时候，也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣，在上网时也擦亮火眼金睛，穿上金甲战衣。

经验证，安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。

2 样本传播渠道

1.利用视频图文引流，携带恶意钓鱼网址

攻击者在视频网站、博客等平台发布视频、图文等格式钓鱼内容，并在其中附带捆绑木马的游戏修改器下载链接，诱导用户下载并执行恶意程序。

图 2‑1通过视频网站引流钓鱼网址

图 2‑2通过发帖引流钓鱼网址

2.警惕利用闲鱼、淘宝等购物平台传播捆绑木马

《黑神话：悟空》的大量“修改器”上架闲鱼、淘宝平台，售价在1~10元左右，这些修改器很多都标注称是“风灵月影”，但实际上，该修改器均为完全免费软件，在风灵月影的网站上就可免费下载。攻击者可能会将携带恶意代码的《黑神话：悟空》修改器挂到购物网站上引流，请广大用户谨慎购买。

图 2‑3 闲鱼、淘宝平台售卖大量修改器

3 样本分析

3.1样本标签

表 3‑1二进制可执行文件

病毒名称

Trojan/Win32.PoolInject

原始文件名

黑神话悟空修改器.exe

MD5

2C00D2DA92600E70E7379BCAFF6D10B1

处理器架构

Intel 386 or later, and compatibles

文件大小

6.88 MB (7,215,452 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-12-14 13:40:00 UTC

数字签名

无

加壳类型

无

编译语言

Visual C/C++

VT首次上传时间

2024-08-25 06:21:11 UTC

VT检测结果

44/75

3.2样本分析

样本是一个Advanced Installer安装包，执行时会在桌面释放“Black Myth Wukong v1.0 Plus 35 Trainer.exe”并执行，该文件为正常修改器程序。另外还会启动msi文件的安装。该安装包可使用/extract参数解包。

图 3‑1样本安装包

msi文件设置了执行条件，不支持虚拟机中运行。

图 3‑2检测虚拟机环境

其捆绑的恶意程序WindowsSandBoxC.exe存放在streams流中，会在运行正常修改器后执行。

图 3‑3安装包内嵌的恶意程序

样本伪装图标和数字签名为Windows Sandbox组件，但与实际系统组件无关。

图 3‑4伪装的图标和数字签名

样本使用ZeroMQ库在进程内传递数据。攻击者对样本中的载荷下载地址中的符号进行了替换，实际的载荷下载地址为https[:]//a-1324330606.cos.accelerate.myqcloud[.]com/a和https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相关地址为腾讯云对象存储服务。

图 3‑5利用ZeroMQ进行通信

相关下载代码如下所示。

图 3‑6下载载荷

目前该载荷下载地址已失效，但通过情报关联，可以发现其后续载荷还通过相同对象云存储账号下的多个位置下载了载荷。

图 3‑7关联后续载荷

通过对其载荷下载地址中的腾讯云COS存储桶ID进行关联搜索，可发现近期在该腾讯云存储账号中还出现过多次恶意载荷，包括与目前活跃的“游蛇”（又称银狐）组织相关的攻击样本。

此外还发现多个其他软件被捆绑的样本，他们的行为中包含下载多个云存储文件，以及类似%ProgramFiles%\Adobe\

图 3‑8更多被捆绑的样本

安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测，对发现病毒可在其落地时第一时间发送告警并进行处置，避免恶意代码启动。

图 3-9发现病毒时，智甲第一时间捕获并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 3-10通过智甲管理中心查看并完成威胁事件处置

4 loCs

2C00D2DA92600E70E7379BCAFF6D10B1

308D7792233286B2AE747DA9F9343487

http://tgfile.1258012.xyz/cac1be36221

https://a-1324330606.cos.accelerate.myqcloud.com/a

https://xyz-1324330606.cos.accelerate.myqcloud.com/xyz

1 概述

RansomHub勒索攻击组织被发现于2024年2月，自出现以来持续活跃，采用勒索软件即服务（RaaS）模式运营，通过“窃取文件+加密数据”双重勒索策略对受害者实施侵害。目前，尚未发现能够成功解密其加密数据的有效工具。该组织利用特定方式公开受害者的敏感信息，并以此为要挟，迫使受害者支付赎金或满足其他非法要求，以避免其数据被进一步泄露或出售。截至2024年9月12日，该组织所使用的信息发布站点共有227名受害者信息，实际受害者数量会更多，因为攻击者出于某些原因可能选择不公开或删除信息，例如在与受害者进行协商谈判并达成一致后，或者受害者支付了赎金以换取信息的删除。

RansomHub勒索攻击组织使用的攻击技战术与Knight勒索攻击组织有着显著的相似之处。此外，它与曾经在勒索攻击领域活跃但现已退出的BlackCat（又名ALPHV）组织似乎存在某种联系。在最近发现的攻击事件中，RansomHub组织表现出了利用高级持续性威胁（Advanced Persistent Threat,APT）组织常用的技战术来执行勒索攻击的能力。因此，RansomHub组织的背景错综复杂，究竟是“集万恶于一身”还是“另立山头”，目前尚未明确，这些推测指向了一个复杂的网络犯罪生态系统，其中攻击者之间的界限可能远比表面看起来的要模糊。

2 组织背景

2024年2月，暗网监控云服务商ParanoidLab发现名为“koley”的用户在黑客论坛发布关于RansomHub勒索攻击组织RaaS的相关计划[1]，用于招揽附属成员，包括勒索赎金分赃比例、加密工具特性和部分规则等内容。

图 2‑1 RansomHub组织RaaS计划

2023年5月，Cyclops勒索攻击组织首次出现在公众视野中，同年7月更名为Knight。2024年2月，有关该组织成员在黑客论坛上公开销售其核心源代码的消息被披露[2]。与此同时，RansomHub勒索攻击组织在同一月份被发现，其使用的勒索软件载荷和技战术与Knight有着显著的相似之处[3]，而且这两个组织的成员在论坛中注册时间点相同。这种相似性不难引发猜测，包括以下几种可能性：RansomHub可能采用了Knight的源代码；或者，Knight的一部分原成员可能已经转投RansomHub；又或者，Knight可能进行了一次品牌重塑，以RansomHub的新身份继续其网络犯罪行为。

图 2‑2 Knight组织出售代码

2024年2月，美国医疗保健行业的巨头Change Healthcare不幸成为BlackCat勒索攻击组织成员“Notchy”所发动攻击的目标[4]。这次攻击导致公司的部分业务系统遭到加密，还使得数以TB计的敏感数据被窃。面对这种情况，Change Healthcare在3月初做出了支付赎金的决定，总额约2200万美元，这是为了确保公司的数据能够恢复，并且防止被盗数据被进一步泄露或在黑市上出售。但成员“Notchy”表示受害者支付赎金后并未收到自己应得的分成部分，全额赎金都被BlackCat管理人员扣押。随后，BlackCat管理人员在黑客论坛中表示BlackCat这一品牌退出勒索市场[5]，其代码已出售。4月，“Notchy”将窃取到的数据转移到RansomHub勒索攻击组织并继续勒索Change Healthcare。种种行径不禁让人心生疑窦，是否是其自导自演的一出戏，以此来误导公众，让外界相信BlackCat真的退出了勒索软件市场，抑或是换了个名头，继续为非作歹。

·勒索软件样本部分

RansomHub勒索软件样本通过C++和Go语言进行编写，为干扰安全人员分析，代码段利用特定方式进行混淆。勒索软件样本执行前提需读取特定json文件，若读取失败则无法执行样本。这一技术手段与BlackCat勒索软件存在相似点[6]。

勒索载荷执行时需读取前置json文件，根据json文件中预设的字段信息实现不同功能。

图 2‑3 json文件中的功能字段

根据json文件内的字段设定，结合勒索软件部分特性猜测其对应功能，具体信息见下表：

表 2‑1 json内字段及对应功能信息表

字段

对应功能

字段

对应功能

extension

被加密文件的后缀名

net spread

网络传播

local disks

本地磁盘加密

running one

只执行一次

self delete

自删除

white files

不加密的文件

white hosts

不加密的主机

credentials

用于访问的凭证信息

kill services

结束特定服务

set wallpaper

设置桌面背景

white folders

不加密的目录

note file name

勒索信名称

note full text

完整勒索信内容

kill processes

结束特定进程

network shares

网络共享加密

note short text

简短勒索信内容

master public key

用于加密的主公钥

在勒索软件功能这部分，RansomHub与Knight均支持通过命令行模式选择不同选项，从而实现不同功能，且部分模式与对应字段均相同。

图 2‑4 RansomHub与Knight部分功能对比

RansomHub勒索攻击组织近期利用自带易受攻击的驱动程序（Bring Your Own Vulnerable Driver,BYOVD）技术开展勒索攻击。攻击者利用此类技术将存在安全漏洞的合法驱动程序植入目标系统，这些驱动程序由于拥有合法的数字签名，往往能够逃避安全软件的审查，从而不被标记或阻止。这些驱动程序，尤其是内核模式的驱动程序，一旦被成功利用，便能为攻击者提供一种手段，以实现对目标系统的内核级权限提升。这种权限提升不仅赋予攻击者对系统资源的全面访问权，还使他们能够对端点安全软件进行禁用或规避其检测，从而在目标系统中肆意进行各种恶意活动。

值得注意的是，这种策略并非RansomHub的独创，包括Lazarus和Lamberts在内的一些APT组织，也曾使用过类似的技术开展攻击活动。此外，BlackCat、Cuba和LockBit[7]等勒索攻击组织也纷纷效仿，利用这种手段实施勒索攻击。正如安天在2021年发布的《网络安全威胁的回顾与展望》[8]中所提到的，部分勒索攻击能力已经达到“APT”水平。

3 受害者信息发布平台

RansomHub组织将其受害者的信息发布在特定的Tor网络地址上。每个受害者都有自己独立的信息展示区。该组织根据是否已经公开了窃取的数据，将受害者的状态分为两种：“未公开”（倒计时状态）和“已公开”（PUBLISHED）。在每个受害者的状态信息下方，还详细列出了包括被浏览次数（Visits）、窃取数据的总量（Data Size）、最后更新时间（Last View）以及受害者信息首次发布的时间等关键信息。

图 3‑1 发布受害者信息的Tor页面

如下图所示，该受害者信息栏表示当前从受害者窃取到的数据已公开，已被浏览2585次，窃取数据50 GB，上次更新时间：8月26日03:30:27 UTC，最初发布时间为8月21日12:03:03 UTC。

图 3‑2 受害者信息状态

进入信息栏中可以看到对受害者的简介，部分窃取到的数据示例和用于下载已公开数据的地址等信息。

图 3‑3  受害者信息及数据下载地址

该组织还采用拍卖的方式出售窃取到的数据。

图 3‑4 采用拍卖的形式出售数据

关于页面的内容为该组织相关介绍和一些条例。

图 3‑5 Tor网站中组织介绍

联系页面的内容为该组织对受害者和想成为附属成员预留的内容。

图 3‑6 Tor网站中联系信息

4 防护建议

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲具备内核级防护能力，基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，并且结合勒索行为特征库检测，可分析进程行为是否疑似勒索攻击行为，对发现的勒索攻击可在第一时间进行阻断。

图 4‑1 发现病毒时，智甲第一时间拦截并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 4‑2通过智甲管理中心查看并完成威胁事件处置

5 参考链接

[1] ParanoidLab.ParanoidLab spotted RansomHub, a new Ransomware as a Service (RaaS) on the Dark Web.(2024-02-02)

https://www.linkedin.com/feed/update/urn:li:activity:7159288343535484928/

[2] BleepingComputer.Knight ransomware source code for sale after leak site shuts down [R/OL].(2024-02-20)

https://www.bleepingcomputer.com/news/security/knight-ransomware-source-code-for-sale-after-leak-site-shuts-down/

[3] Symantec.RansomHub: New Ransomware has Origins in Older Knight [R/OL].(2024-06-05)

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware

[4] Forescout.Analysis: A new ransomware group emerges from the Change Healthcare cyber attack [R/OL].(2024-05-09)

https://www.forescout.com/blog/analysis-a-new-ransomware-group-emerges-from-the-change-healthcare-cyber-attack/

[5] BleepingComputer.BlackCat ransomware shuts down in exit scam, blames the "feds"[R/OL].(2024-03-05)

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-shuts-down-in-exit-scam-blames-the-feds/

[6] 安天.警惕因BlackCat勒索软件造成的数据泄露[R/OL].(2023-07-03)

https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html

[7] 安天.波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考[R/OL].(2023-12-30)

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html

[8] 安天.2021年网络安全威胁的回顾与展望[R/OL].(2022-01-28)

https://www.antiy.cn/research/notice&report/research_report/2021_AnnualReport.html