嘶吼

往期回顾：

2024.9.2—2024.9.8安全动态周回顾

2024.8.26—2024.9.1安全动态周回顾

2024.8.19—2024.8.25安全动态周回顾

2024.8.12—2024.8.18安全动态周回顾

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

2024.7.22—2024.7.28安全动态周回顾

黑客一直在利用 Progress Software 的 WhatsUp Gold 网络可用性和性能监控解决方案中两个严重漏洞的公开漏洞代码。自 8 月 30 日以来，攻击中利用的两个漏洞是 SQL 注入漏洞，跟踪编号为 CVE-2024-6670 和 CVE-2024-6671，漏洞允许在未经身份验证的情况下检索加密密码。

尽管相关工作人员在两周前就解决了安全问题，但许多客户仍然需要更新软件，而威胁者正在利用这一漏洞发起攻击。

Progress Software 于 8 月 16 日发布了针对该问题的安全更新，并于 9 月 10 日在安全公告中添加了如何检测潜在危害的说明。

安全研究员 Sina Kheirkhah 发现了这些漏洞，并于 5 月 22 日将其报告给零日计划。8 月 30 日，该研究员发布了概念验证 (PoC) 漏洞。

该研究员在技术文章中解释了如何利用用户输入中不适当的清理问题将任意密码插入管理员帐户的密码字段，从而使其容易被接管。

Kheirkhah 的漏洞概述

野外开发

网络安全公司最新的报告指出，黑客已经开始利用这些漏洞，根据观察，这些攻击似乎基于 Kheirkhah 的 PoC，用于绕过身份验证并进入远程代码执行和有效载荷部署阶段。在研究人员发布 PoC 漏洞代码五小时后，安全公司的遥测技术首次发现了主动攻击的迹象。

攻击者利用 WhatsUp Gold 的合法 Active Monitor PowerShell Script 功能，通过从远程 URL 检索的 NmPoller.exe 运行多个 PowerShell 脚本。

攻击者部署的恶意 PowerShell 脚本

接下来，攻击者使用合法的 Windows 实用程序“msiexec.exe”通过 MSI 包安装各种远程访问工具 (RAT)，包括 Atera Agent、Radmin、SimpleHelp Remote Access 和 Splashtop Remote。

植入这些 RAT 可让攻击者在受感染的系统上建立持久性。

在某些情况下，研究人员观察到部署了多个有效载荷。分析师无法将这些攻击归因于特定的威胁组织，但使用多个 RAT 表明它可能是勒索软件参与者。

观察到的活动的攻击流程

据了解，这并不是 WhatsUp Gold 今年第一次受到公开漏洞的攻击。8 月初，威胁监测组织 Shadowserver Foundation 报告称，其蜜罐捕获了利用 CVE-2024-4885 的攻击，CVE-2024-4885 是一个于 2024 年 6 月 25 日披露的严重远程代码执行漏洞。这个缺陷也被 Kheirkhah 发现，两周后他在社交媒体上公布了完整的详细信息。

9月13日，第九届“创客中国”网络安全中小企业创新创业大赛决赛及颁奖活动圆满结束，工业和信息化部网络安全产业发展中心主任付京波，四季青镇党委书记薛飞飞，中关村科学城管委会产业促进二处处长、北京市海淀区科学技术和经济信息化局局长何建吾，北京市中小企业服务中心副主任王悦，四季青镇副镇长李海鹏，四季青镇股份经济合作社董事长刘永利等领导嘉宾出席活动。本次大赛颁奖典礼同步进行了线上直播，54.5万名观众在线观看了活动实况。

大赛由工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）、北京市经济和信息化局联合中关村科学城管理委员会、北京市海淀区四季青镇人民政府共同主办，北京四季慧谷园区管理有限公司、中关村意谷（北京）科技服务有限公司承办，重点围绕发展新质生产力，从网络安全领域广泛征集遴选优质项目，发掘和培育领域内优秀项目和团队，助力制造强国、网络强国和数字中国建设。

自大赛启动以来，得益于各组织单位的鼎力支持与社会各界的热烈响应，共有297个来自企业及创客团队的精彩项目踊跃报名参赛，晋级决赛的18个项目在现场分组竞技，参赛选手纷纷亮出各自的“杀手锏”，从技术亮点到市场前景，从商业模式到团队实力，全方位、多角度地展现项目的独特魅力与竞争优势。技术专家、行业专家与投资专家、管理专家10位组成的专业评审团对项目进行细致评估，经过激烈比拼，最终评选出大赛企业组与创客组一等奖各1名，二等奖各2名，三等奖各3名及企业组卓越奖6名。

颁奖典礼上，工业和信息化部网络安全产业发展中心主任付京波发表致辞。他表示本次大赛不仅激发了中小企业的创新活力，还促进了网络安全领域的技术突破与成果转化，更是将海淀区的网络安全产业集聚优势与“创客中国”的品牌影响力紧密结合，为参赛企业搭建了广阔舞台。工业和信息化部网络安全产业发展中心将携手各方，继续依托“创客中国”平台，推动优秀项目落地，培育专精特新企业，为中国式现代化建设和网络强国战略提供坚实支撑。

中关村e谷副总裁李慧代表承办方做赛事组织工作总结发言，她表示，在各组织单位及合作伙伴的指导与参与下，大赛通过创业培训、政策解读、参观考察、需求对接会等一系列活动，为企业搭建了务实合作对接的桥梁。未来，我们将基于办赛过程中收集到的各参赛选手的需求，在各主办单位的指导下，与四季慧谷进一步秉承构建创业创新生态的理念，为参赛团队和企业提供更多孵化、加速和成长的平台，持续深化“创客中国”品牌影响力，为推动我国网络安全产业乃至整个数字经济的蓬勃发展贡献力量。

决赛评审专家组组长、北京航空航天大学网络空间安全学院党委书记蒋燕玲表示，这是一届技术含量极高的网络安全领域创新创业大赛，参赛项目不仅有新要素新设施的安全技术与产品、新场景新业务的安全能力、平台化体系化的安全解决方案，还涵盖了包括智能装备、大模型、数字化、无人系统等研究方向的智能系统及空间治理方案。无论从参赛项目的区域分布以及数量来看，还是从参赛项目覆盖的专业领域，都是空前的。最后她祝愿所有参赛团队继续保持创新的激情和探索的精神，持续为网络安全领域带来新的活力和动能。

随后，大赛现场揭晓各参赛项目奖项并进行颁奖，同时大赛还颁发了优秀组织奖与特别贡献奖。

为了有效推动项目的孵化和实现创业资源的有效对接，北京四季慧谷 园区管理有限公司就意向落地、中国信息安全研究院前沿战略研究中心就意向市场合作、元起资本就意向投资项目分别进行了现场签约，将共同支持优秀项目创新成果转化落地。

四季青镇党委书记薛飞飞在总结致辞中向大赛的成功举办表示祝贺，并对支持单位、参赛选手及长期关心和支持四季青镇发展的各界朋友表示感谢，他还强调了网络安全的重要性，并展望了四季青镇在网络安全领域未来的发展方向，包括加强产业园区建设、培育创新型企业、搭建创新平台以及推动产业集聚等，旨在与各界携手共创网络安全创新创业的美好未来。

作为中小企业和创客交流展示、项目落地、产融对接的重要平台，本场大赛不止激发了参赛企业和团队的创新活力和发展潜力，同时也发掘和孵化出一批网络安全领域具有关键核心技术的创新型项目和企业，为构建网络安全产业发展良好生态提供技术和人才支撑，对推动网络安全人才培养，鼓励产业技术创新，赋能产业高质量发展具有重要意义。未来，也将有越来越多的网络安全项目在大赛中绽放光芒，逐步成长为守卫我国网络空间的参天大树。

附件：第九届“创客中国”网络安全中小企业创新创业大赛获奖名单

奖项

获奖名单

项目名称

参赛企业/团队

企业组一等奖

安胜华信下一代业务数据安全管控平台

北京安胜华信科技有限公司

创客组一等奖

合规监管下的密态计算

超级加密团队

企业组二等奖

多源数据身份智能研判系统

北京和人广智科技有限公司

塑造安全领域的通用人工智能

北京云起无垠科技有限公司

创客组二等奖

安全代码生成机器人

安全代码生成机器人团队

基于无人机平台的

恶意信号源测向与定位系统

安疆团队

企业组三等奖

新一代办公入口山河安全工作空间

广东一知安全科技有限公司

AI驱动的企业级数据安全解决方案

杭州薮猫科技有限公司

DS^2确定性数据服务中间件产业化

浙江符节飞递科技有限公司

创客组三等奖

高功率微波干扰吊舱

星箭雷霆团队

专注于低空经济的智能大脑——

大模型驱动无人机的自主决策与集群协同

青鸟智航团队

网信之卫-5G智能安全产品

网信之卫团队

企业组卓越奖

基于5G切片+TETRA融合

实现关键通信高质量应用

中国电信股份有限公司广州分公司

靖云甲ADR应用检测与响应系统

北京边界无限科技有限公司

丈八网安网络安全博弈推演平台

北京丈八网络安全科技有限公司

云工作负载统一安全防护项目

安天云安全科技（北京）有限公司

移动应用全生命周期管理平台项目

北京梆梆安全科技有限公司

数据安全分级分类

北京安恒信安科技有限公司

优秀组织奖

北京四季慧谷园区管理有限公司

中关村意谷（北京）科技服务有限公司

特别贡献奖

中国信息安全研究院前沿战略研究中心

北京航空航天大学网络空间安全学院

中关村网络安全与信息化产业联盟

北京数字世界咨询有限公司

广州市网络安全产业促进会

北京知识产权运营管理有限公司

9月，首个大模型攻防主题的科技赛事—“全球AI攻防挑战赛”官宣启动。该赛事聚焦AI大模型产业实践，设计了攻、防双向赛道，邀请各路白帽黑客、技术人才分别进行针对文生图大模型“数据投毒”的攻防实战演练，以及金融场景大模型生成内容的防伪检测竞赛，角逐丰厚科技奖金。

本次大赛由中国图象图形学学会、蚂蚁集团、云安全联盟（CSA）大中华区联合主办，广泛联合清华大学、上海交通大学、浙江大学等高校及多家产学研组织共同发起，上海人工智能实验室作为技术合作单位。大赛旨在通过技术竞赛的形式，凝聚学界、行业力量，直面并解决大模型应用中潜藏的风险，助力全球AI产业健康可持续发展。

在全球范围内，人工智能与大模型的快速发展正以前所未有的速度重塑各行各业，其影响力触及社会生产生活的方方面面。然而，这一技术加速大范围落地应用的同时，也带来了模型内部幻觉、算法漏洞和深度生成内容滥用等安全与伦理挑战。探索并强化大模型及其应用内容的防御体系，是保障大模型规模化落地应用的重要条件。

据大赛主办方介绍，大赛设置了“攻击”与“防守”两大赛道，分别聚焦大模型自身安全和大模型生成内容的防伪检测及大模型滥用风险检测，涵盖机器学习、‌图像处理与计算机视觉‌、数据处理等多个算法领域的考点。

其中，“攻击赛道”聚焦于文生图大模型的实际应用风险问题。参赛选手可通过目标劫持、情景带入、逻辑嵌套等多样化的动态攻击诱导技术，诱发大模型输出风险图像，以此激活大模型的潜在弱点和漏洞，增强大模型生图的安全免疫能力。“防守赛道”则聚焦于AI核身中的金融场景凭证篡改检测，以应对日益严峻的Deepfake深度伪造及AIGC假证风险。大赛提供百万级凭证篡改数据训练集，参赛选手需要研发和训练模型，并利用对应的测试集评估模型有效性，给出数据伪造概率值。

为保证大赛公平公正，同时更好地指导选手，大赛评委团由多位学术界与工业界专家共同组成。中国工程院院士、中国图象图形学学会理事长王耀南，云安全联盟（CSA）大中华区主席李雨航担任本次大赛的指导委员会主席，来自清华大学、上海交通大学、上海人工智能实验室等多所高校、科研单位的近30位知名学者将参与大赛的组织及评审工作。

本次大赛于9月6日正式启动报名，11月初完成赛事评审。即日起，选手可通过中国图象图形学学会官网、阿里云天池平台官网等渠道报名。大赛全程设有高额科技奖金池，用以选拔及表彰领域内的优秀人才。

Fortinet 是全球最大的网络安全公司之一，销售防火墙、路由器和 VPN 设备等安全网络产品。该公司还提供 SIEM、网络管理和 EDR/XDR 解决方案以及咨询服务。本周，一名威胁者在黑客论坛上发帖称，他们从 Fortinet 的 Azure Sharepoint 实例中窃取了 440GB 的数据。随后，该威胁者将凭证共享到一个所谓的 S3 存储桶中，被盗数据就存储在该存储桶中，供其他威胁者下载。

随后，网络安全巨头 Fortinet 证实，其公司遭遇数据泄露。

被称为“Fortibitch”的威胁者声称曾试图勒索 Fortinet 支付赎金阻止数据发布，但该公司拒绝支付。在回答关于事件的问题时，Fortinet 证实客户数据是从“第三方基于云的共享文件驱动器”中窃取的。

该公司表示：“有人未经授权访问了 Fortinet 存储在第三方云共享文件驱动器上的有限数量文件，其中包括与少数 Fortinet 客户相关的有限数据。”

目前，Fortinet 并未透露有多少客户受到影响或哪些数据遭到泄露，但表示已根据需要直接与客户沟通。Fortinet 网站随后发布的更新消息称，该事件影响了不到 0.3％ 的客户群，并且并未导致任何针对客户的恶意活动。

该网络安全公司还证实，该事件不涉及任何数据加密、勒索软件或对 Fortinet 公司网络的访问。有媒体联系 Fortinet 询问有关此次入侵的其他问题，但目前尚未收到回复。

据悉，早在 2023 年 5 月，就有威胁分子声称入侵了 Panopta 公司的 GitHub 存储库，该公司于 2020 年被 Fortinet 收购，并在一个俄语黑客论坛上泄露了被盗数据。

Android 开源项目 (AOSP) 是由 Google 领导的开源操作系统，可用于移动、流媒体和物联网设备。日前，安全研究人员发现威胁者已经用一种新的 Vo1d 后门恶意软件感染了超过 130 万个运行 Android 的电视流媒体盒，从而使攻击者能够完全控制这些设备。

Dr.Web 在一份新报告中表示，研究人员发现，超过 200 个国家/地区有 130 万台设备感染了 Vo1d 恶意软件，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚等国感染数量最多。

受 Vo1d 感染的电视盒的地理分布

此次恶意软件活动所针对的 Android 固件包括：

·Android 7.1.2；

·R4 构建/NHG47K Android 12.1；

·电视盒构建/NHG47K Android 10.1；

·KJ-SMART4KVIP 构建/NHG47K。

根据安装的 Vo1d 恶意软件的版本，该活动将修改 install-recovery.sh、daemonsu，或替换 debuggerd 操作系统文件，这些都是 Android 中常见的启动脚本。

修改 install-recovery.sh 文件

恶意软件活动使用这些脚本来保持持久性并在启动时启动 Vo1d 恶意软件。

Vo1d 恶意软件本身位于 wd 和 vo1d 文件中，该恶意软件以这两个文件命名。Android.Vo1d 的主要功能隐藏在其 vo1d（Android.Vo1d.1）和 wd（Android.Vo1d.3）组件中，这两个组件协同运行。

Android.Vo1d.1 模块负责 Android.Vo1d.3 的启动并控制其活动，必要时重新启动其进程。此外，它还可以在 C&C 服务器发出命令时下载并运行可执行文件。反过来，Android.Vo1d.3 模块会安装并启动加密并存储在其主体中的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它还会监视指定目录并安装在其中找到的 APK 文件。

虽然 Dr.Web 不知道 Android 流媒体设备是如何受到攻击的，但研究人员认为它们之所以成为攻击目标，是因为它们通常运行会存在漏洞的过时软件。

Dr.Web 总结道：“一种可能的感染媒介可能是利用操作系统漏洞获取 root 权限的中间恶意软件的攻击。另一种可能的媒介可能是使用内置 root 访问权限的非官方固件版本。”

为了防止感染此恶意软件，建议 Android 用户在有新固件更新时检查并安装。此外，请务必从互联网上删除这些盒子，以防它们通过暴露的服务被远程利用。同样重要的是，避免在 Android 上安装来自第三方网站的 Android 应用程序作为 APK，因为它们是恶意软件的常见来源。

9月12号最新公告表示，受感染的设备并未运行 Android TV，而是使用 Android 开放源代码项目 (AOSP)。

Google 发言人表示：“这些被发现感染的杂牌设备不是经过 Play Protect 认证的 Android 设备。如果设备未通过 Play Protect 认证，Google 就没有安全性和兼容性测试结果记录。”

目前经过 Play Protect 认证的 Android 设备已经经过测试，可确保质量和用户安全。为了用户确认设备是否采用 Android TV 操作系统和经过 Play Protect 认证， Android TV 网站提供了最新的合作伙伴列表，用户可以按照相应步骤检查设备是否经过 Play Protect 认证。

1 概述

近日，安天CERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动，攻击者将自身的恶意代码程序与《黑神话：悟空》第三方修改器“风灵月影”捆绑在一起，再通过在社媒发布视频等方式引流，诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本，在运行修改器的同时，也将在后台自动运行恶意代码，导致计算机被控制，产生隐私泄露、经济损失等风险。

《黑神话：悟空》作为国产首款3A游戏大作，千万玩家在线狂欢，尽享盛宴。但玩家尽情在痛殴游戏中的BOSS（或被BOSS痛殴）的时候，也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣，在上网时也擦亮火眼金睛，穿上金甲战衣。

经验证，安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。

2 样本传播渠道

1.利用视频图文引流，携带恶意钓鱼网址

攻击者在视频网站、博客等平台发布视频、图文等格式钓鱼内容，并在其中附带捆绑木马的游戏修改器下载链接，诱导用户下载并执行恶意程序。

图 2‑1通过视频网站引流钓鱼网址

图 2‑2通过发帖引流钓鱼网址

2.警惕利用闲鱼、淘宝等购物平台传播捆绑木马

《黑神话：悟空》的大量“修改器”上架闲鱼、淘宝平台，售价在1~10元左右，这些修改器很多都标注称是“风灵月影”，但实际上，该修改器均为完全免费软件，在风灵月影的网站上就可免费下载。攻击者可能会将携带恶意代码的《黑神话：悟空》修改器挂到购物网站上引流，请广大用户谨慎购买。

图 2‑3 闲鱼、淘宝平台售卖大量修改器

3 样本分析

3.1样本标签

表 3‑1二进制可执行文件

病毒名称

Trojan/Win32.PoolInject

原始文件名

黑神话悟空修改器.exe

MD5

2C00D2DA92600E70E7379BCAFF6D10B1

处理器架构

Intel 386 or later, and compatibles

文件大小

6.88 MB (7,215,452 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-12-14 13:40:00 UTC

数字签名

无

加壳类型

无

编译语言

Visual C/C++

VT首次上传时间

2024-08-25 06:21:11 UTC

VT检测结果

44/75

3.2样本分析

样本是一个Advanced Installer安装包，执行时会在桌面释放“Black Myth Wukong v1.0 Plus 35 Trainer.exe”并执行，该文件为正常修改器程序。另外还会启动msi文件的安装。该安装包可使用/extract参数解包。

图 3‑1样本安装包

msi文件设置了执行条件，不支持虚拟机中运行。

图 3‑2检测虚拟机环境

其捆绑的恶意程序WindowsSandBoxC.exe存放在streams流中，会在运行正常修改器后执行。

图 3‑3安装包内嵌的恶意程序

样本伪装图标和数字签名为Windows Sandbox组件，但与实际系统组件无关。

图 3‑4伪装的图标和数字签名

样本使用ZeroMQ库在进程内传递数据。攻击者对样本中的载荷下载地址中的符号进行了替换，实际的载荷下载地址为https[:]//a-1324330606.cos.accelerate.myqcloud[.]com/a和https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相关地址为腾讯云对象存储服务。

图 3‑5利用ZeroMQ进行通信

相关下载代码如下所示。

图 3‑6下载载荷

目前该载荷下载地址已失效，但通过情报关联，可以发现其后续载荷还通过相同对象云存储账号下的多个位置下载了载荷。

图 3‑7关联后续载荷

通过对其载荷下载地址中的腾讯云COS存储桶ID进行关联搜索，可发现近期在该腾讯云存储账号中还出现过多次恶意载荷，包括与目前活跃的“游蛇”（又称银狐）组织相关的攻击样本。

此外还发现多个其他软件被捆绑的样本，他们的行为中包含下载多个云存储文件，以及类似%ProgramFiles%\Adobe\

图 3‑8更多被捆绑的样本

安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测，对发现病毒可在其落地时第一时间发送告警并进行处置，避免恶意代码启动。

图 3-9发现病毒时，智甲第一时间捕获并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 3-10通过智甲管理中心查看并完成威胁事件处置

4 loCs

2C00D2DA92600E70E7379BCAFF6D10B1

308D7792233286B2AE747DA9F9343487

http://tgfile.1258012.xyz/cac1be36221

https://a-1324330606.cos.accelerate.myqcloud.com/a

https://xyz-1324330606.cos.accelerate.myqcloud.com/xyz

1 概述

RansomHub勒索攻击组织被发现于2024年2月，自出现以来持续活跃，采用勒索软件即服务（RaaS）模式运营，通过“窃取文件+加密数据”双重勒索策略对受害者实施侵害。目前，尚未发现能够成功解密其加密数据的有效工具。该组织利用特定方式公开受害者的敏感信息，并以此为要挟，迫使受害者支付赎金或满足其他非法要求，以避免其数据被进一步泄露或出售。截至2024年9月12日，该组织所使用的信息发布站点共有227名受害者信息，实际受害者数量会更多，因为攻击者出于某些原因可能选择不公开或删除信息，例如在与受害者进行协商谈判并达成一致后，或者受害者支付了赎金以换取信息的删除。

RansomHub勒索攻击组织使用的攻击技战术与Knight勒索攻击组织有着显著的相似之处。此外，它与曾经在勒索攻击领域活跃但现已退出的BlackCat（又名ALPHV）组织似乎存在某种联系。在最近发现的攻击事件中，RansomHub组织表现出了利用高级持续性威胁（Advanced Persistent Threat,APT）组织常用的技战术来执行勒索攻击的能力。因此，RansomHub组织的背景错综复杂，究竟是“集万恶于一身”还是“另立山头”，目前尚未明确，这些推测指向了一个复杂的网络犯罪生态系统，其中攻击者之间的界限可能远比表面看起来的要模糊。

2 组织背景

2024年2月，暗网监控云服务商ParanoidLab发现名为“koley”的用户在黑客论坛发布关于RansomHub勒索攻击组织RaaS的相关计划[1]，用于招揽附属成员，包括勒索赎金分赃比例、加密工具特性和部分规则等内容。

图 2‑1 RansomHub组织RaaS计划

2023年5月，Cyclops勒索攻击组织首次出现在公众视野中，同年7月更名为Knight。2024年2月，有关该组织成员在黑客论坛上公开销售其核心源代码的消息被披露[2]。与此同时，RansomHub勒索攻击组织在同一月份被发现，其使用的勒索软件载荷和技战术与Knight有着显著的相似之处[3]，而且这两个组织的成员在论坛中注册时间点相同。这种相似性不难引发猜测，包括以下几种可能性：RansomHub可能采用了Knight的源代码；或者，Knight的一部分原成员可能已经转投RansomHub；又或者，Knight可能进行了一次品牌重塑，以RansomHub的新身份继续其网络犯罪行为。

图 2‑2 Knight组织出售代码

2024年2月，美国医疗保健行业的巨头Change Healthcare不幸成为BlackCat勒索攻击组织成员“Notchy”所发动攻击的目标[4]。这次攻击导致公司的部分业务系统遭到加密，还使得数以TB计的敏感数据被窃。面对这种情况，Change Healthcare在3月初做出了支付赎金的决定，总额约2200万美元，这是为了确保公司的数据能够恢复，并且防止被盗数据被进一步泄露或在黑市上出售。但成员“Notchy”表示受害者支付赎金后并未收到自己应得的分成部分，全额赎金都被BlackCat管理人员扣押。随后，BlackCat管理人员在黑客论坛中表示BlackCat这一品牌退出勒索市场[5]，其代码已出售。4月，“Notchy”将窃取到的数据转移到RansomHub勒索攻击组织并继续勒索Change Healthcare。种种行径不禁让人心生疑窦，是否是其自导自演的一出戏，以此来误导公众，让外界相信BlackCat真的退出了勒索软件市场，抑或是换了个名头，继续为非作歹。

·勒索软件样本部分

RansomHub勒索软件样本通过C++和Go语言进行编写，为干扰安全人员分析，代码段利用特定方式进行混淆。勒索软件样本执行前提需读取特定json文件，若读取失败则无法执行样本。这一技术手段与BlackCat勒索软件存在相似点[6]。

勒索载荷执行时需读取前置json文件，根据json文件中预设的字段信息实现不同功能。

图 2‑3 json文件中的功能字段

根据json文件内的字段设定，结合勒索软件部分特性猜测其对应功能，具体信息见下表：

表 2‑1 json内字段及对应功能信息表

字段

对应功能

字段

对应功能

extension

被加密文件的后缀名

net spread

网络传播

local disks

本地磁盘加密

running one

只执行一次

self delete

自删除

white files

不加密的文件

white hosts

不加密的主机

credentials

用于访问的凭证信息

kill services

结束特定服务

set wallpaper

设置桌面背景

white folders

不加密的目录

note file name

勒索信名称

note full text

完整勒索信内容

kill processes

结束特定进程

network shares

网络共享加密

note short text

简短勒索信内容

master public key

用于加密的主公钥

在勒索软件功能这部分，RansomHub与Knight均支持通过命令行模式选择不同选项，从而实现不同功能，且部分模式与对应字段均相同。

图 2‑4 RansomHub与Knight部分功能对比

RansomHub勒索攻击组织近期利用自带易受攻击的驱动程序（Bring Your Own Vulnerable Driver,BYOVD）技术开展勒索攻击。攻击者利用此类技术将存在安全漏洞的合法驱动程序植入目标系统，这些驱动程序由于拥有合法的数字签名，往往能够逃避安全软件的审查，从而不被标记或阻止。这些驱动程序，尤其是内核模式的驱动程序，一旦被成功利用，便能为攻击者提供一种手段，以实现对目标系统的内核级权限提升。这种权限提升不仅赋予攻击者对系统资源的全面访问权，还使他们能够对端点安全软件进行禁用或规避其检测，从而在目标系统中肆意进行各种恶意活动。

值得注意的是，这种策略并非RansomHub的独创，包括Lazarus和Lamberts在内的一些APT组织，也曾使用过类似的技术开展攻击活动。此外，BlackCat、Cuba和LockBit[7]等勒索攻击组织也纷纷效仿，利用这种手段实施勒索攻击。正如安天在2021年发布的《网络安全威胁的回顾与展望》[8]中所提到的，部分勒索攻击能力已经达到“APT”水平。

3 受害者信息发布平台

RansomHub组织将其受害者的信息发布在特定的Tor网络地址上。每个受害者都有自己独立的信息展示区。该组织根据是否已经公开了窃取的数据，将受害者的状态分为两种：“未公开”（倒计时状态）和“已公开”（PUBLISHED）。在每个受害者的状态信息下方，还详细列出了包括被浏览次数（Visits）、窃取数据的总量（Data Size）、最后更新时间（Last View）以及受害者信息首次发布的时间等关键信息。

图 3‑1 发布受害者信息的Tor页面

如下图所示，该受害者信息栏表示当前从受害者窃取到的数据已公开，已被浏览2585次，窃取数据50 GB，上次更新时间：8月26日03:30:27 UTC，最初发布时间为8月21日12:03:03 UTC。

图 3‑2 受害者信息状态

进入信息栏中可以看到对受害者的简介，部分窃取到的数据示例和用于下载已公开数据的地址等信息。

图 3‑3  受害者信息及数据下载地址

该组织还采用拍卖的方式出售窃取到的数据。

图 3‑4 采用拍卖的形式出售数据

关于页面的内容为该组织相关介绍和一些条例。

图 3‑5 Tor网站中组织介绍

联系页面的内容为该组织对受害者和想成为附属成员预留的内容。

图 3‑6 Tor网站中联系信息

4 防护建议

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲具备内核级防护能力，基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，并且结合勒索行为特征库检测，可分析进程行为是否疑似勒索攻击行为，对发现的勒索攻击可在第一时间进行阻断。

图 4‑1 发现病毒时，智甲第一时间拦截并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 4‑2通过智甲管理中心查看并完成威胁事件处置

5 参考链接

[1] ParanoidLab.ParanoidLab spotted RansomHub, a new Ransomware as a Service (RaaS) on the Dark Web.(2024-02-02)

https://www.linkedin.com/feed/update/urn:li:activity:7159288343535484928/

[2] BleepingComputer.Knight ransomware source code for sale after leak site shuts down [R/OL].(2024-02-20)

https://www.bleepingcomputer.com/news/security/knight-ransomware-source-code-for-sale-after-leak-site-shuts-down/

[3] Symantec.RansomHub: New Ransomware has Origins in Older Knight [R/OL].(2024-06-05)

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware

[4] Forescout.Analysis: A new ransomware group emerges from the Change Healthcare cyber attack [R/OL].(2024-05-09)

https://www.forescout.com/blog/analysis-a-new-ransomware-group-emerges-from-the-change-healthcare-cyber-attack/

[5] BleepingComputer.BlackCat ransomware shuts down in exit scam, blames the "feds"[R/OL].(2024-03-05)

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-shuts-down-in-exit-scam-blames-the-feds/

[6] 安天.警惕因BlackCat勒索软件造成的数据泄露[R/OL].(2023-07-03)

https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html

[7] 安天.波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考[R/OL].(2023-12-30)

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html

[8] 安天.2021年网络安全威胁的回顾与展望[R/OL].(2022-01-28)

https://www.antiy.cn/research/notice&report/research_report/2021_AnnualReport.html

六年来，卡巴斯基全球研究与分析团队 GReAT 一直在分享有关高级持续性威胁 (APT) 的季度更新。

这些摘要基于我们的威胁情报研究，为我们在私人 APT 报告中发布和讨论更详细的内容提供了代表性概述。在最新一期中，将重点关注在 2024 年第二季度观察到的活动。

最新发现

3 月，人们在 XZ 中发现了一个后门，XZ 是一个集成在许多流行的 Linux 发行版中的压缩实用程序。OpenSSH 服务器进程 sshd 使用后门库 liblzma。OpenSSH 已修补以使用许多基于 systemd 的发行版（包括 Ubuntu、Debian 和 RedHat/Fedora Linux）上的 systemd 功能，因此依赖于此库（Arch Linux 和 Gentoo 不受影响）。

该代码是在 2024 年 2 月和 3 月插入的，主要由 Jia Cheong Tan（可能是虚构身份）插入。

攻击的可能目标是通过针对 XZ 构建过程将独占的远程代码执行功能引入 sshd 进程，然后将后门代码推送到主要的 Linux 发行版，作为大规模供应链攻击的一部分。攻击者使用社会工程学来获得对源代码/开发环境的长期访问权限，并通过伪造明显的人类交互来扩展该访问权限，以建立引入恶意代码的可信度。

liblzma 库中的后门是在两个层面引入的。生成最终软件包的构建基础架构的源代码经过了轻微调整（通过添加一个额外的文件 build-to-host.m4），以提取隐藏在测试用例文件 ( bad-3-corrupt_lzma2.xz ) 中的下一阶段脚本。

然后，该脚本从另一个测试用例文件 ( good-large_compressed.lzma ) 中提取了一个恶意二进制组件，该文件在编译过程中与合法库链接，并被发送到 Linux 存储库。

一些大型供应商最终在测试版和实验版中发布了恶意组件，却没有意识到这一点。XZ Utils 的入侵被赋予了标识符 CVE-2024-3094，最高严重性评分为 10。

攻击者的最初目标是成功挂钩与 RSA 密钥操作相关的函数之一。在对挂钩过程的分析中，我们重点关注了后门在 OpenSSH 中的行为，特别是 OpenSSH 便携版本 9.7p1（最新版本）。我们的分析揭示了有关后门功能的许多有趣细节。

·攻击者设置了防重放功能，以确保后门通信不会被捕获或劫持。

·作者使用自定义隐写技术将后门解密的公钥隐藏在 x86 代码中。

·后门挂钩日志记录功能，以隐藏其对 SSH 服务器的未经授权连接的日志。

·该后门钩住了密码认证功能，使得攻击者可以使用任意用户名/密码登录受感染的服务器，而无需进行任何进一步的检查。对于公钥认证，它也做同样的事情。

·该后门具有远程代码执行功能，这意味着攻击者可以在受感染的服务器上运行任何系统命令。

PcExter

在之前关于 ToddyCat 的报告中，我们描述了用于收集和泄露此 APT 威胁者感兴趣的文件的各种工具。其中一种工具是 PcExter，它最初仅用于泄露以前借助其他工具（例如 FileScan）收集的数据。然而，我们最近发现了一个新版本 PcExter 2.0，它已完全重新设计并用 .NET 重写，能够收集数据本身，并使用改进的文件搜索机制。我们发现了此工具的几个版本以及一组特殊的加载器。

2021 年，我们发布了一份私人报告，描述了 QSC 的技术细节，QSC 是一个在调查针对南亚电信行业的攻击时发现的框架。

虽然我们的研究没有揭示该框架是如何部署的，也没有揭示其背后的威胁组织，但我们继续监控我们的遥测数据，以进一步检测 QSC 框架。2023 年 10 月，我们在西亚地区多次检测到针对 ISP 的 QSC 框架文件。调查显示，目标机器自 2022 年以来就已感染了 Quarian 后门版本 3（又名 Turian），并且相同的攻击者从 2023 年 10 月 10 日开始使用此访问权限部署 QSC 框架。除了 QSC 框架之外，攻击者还部署了一个用 Golang 编写的新后门，我们将其命名为“GoClient”，且在 2023 年 10 月 17 日首次看到了此 GoClient 后门的部署。在分析了此活动中的所有工件后，我们中等程度地评估 CloudComputating 威胁分子是 QSC 框架和 GoClient 后门部署的幕后黑手。

2023 年初，当该威胁者使用受监控的恶意 IIS 模块 Owowa 的修改版本时，发现了 GOFFEE 的活动。从那时起，GOFFEE 停止使用 Owowa 以及 PowerShell RCE 植入物 VisualTaskel；然而，它继续利用威胁分子之前基于 HTA 的感染链 PowerTaskel 进行入侵，并在其武器库中添加了一个伪装成合法文档并通过电子邮件分发的新加载程序。

我们最近发现了一种新的远程访问工具 (RAT)，检测率较低，名为 SalmonQT。引起我们注意的是，该样本使用 GitHub 的 REST API 接受指令和上传数据，从而充当 C2（命令和控制）服务器。

乍一看，GitHub 存储库的路径似乎已被删除，但仔细检查后发现，存储库已设置为私有，并且只有使用正确的令牌才能访问 REST API。

中东

Gaza Cybergang 至少从 2012 年开始活跃，主要针对中东和北非。

当我们首次开始跟踪该组织时，其攻击性质相对简单，通常依赖于公开可用的恶意软件家族，例如 QuasarRAT。尽管如此，该组织仍展示了我们至今仍能看到的特定 TTP – 每次活动仅针对少数目标。

今年年初，我们发现了几起涉及 Gaza Cybergang 的案例，威胁者对其 TTP 进行了轻微调整。该组织不再使用 tabcal.exe 作为侧载其初始访问下载程序 IronWind 的工具，而是改用另一个合法的 Windows Media Utility 文件 setup_wm.exe。诱饵也更改为更通用的主题，而不是专注于特定的地缘政治局势。

东南亚及朝鲜半岛

2023 年，我们在调查使用一组恶意软件家族的攻击时发现了神秘大象，这些恶意软件家族之前与其他已知威胁者（如 SideWinder 和 Confucius）有关。

在分析基础设施时，我们意识到这些攻击实际上不是由任何先前已知的威胁者发起的，而是由我们称为神秘大象的新威胁者发起的。自那时以来，该威胁者一直很活跃，自我们首次报告以来已发动了多次攻击。

我们发现了神秘大象在最近的攻击中开发和使用的大量新恶意软件家族，以及最近创建的基础设施和更新的工具——主要是后门和加载程序，以最大限度地减少攻击早期阶段的检测。在我们的报告中，我们描述了该威胁者发起的最新攻击，并分析了新发现的恶意软件样本和相关基础设施。

黑客行动主义

随着 2022 年 2 月俄乌冲突的爆发，双方出现了数百个不同的黑客组织。其中一个组织是 -=Twelve=-。该组织在信息领域宣称自己已经入侵了俄罗斯联邦的各个政府和工业企业。其中一些目标已在该组织自己平台上的官方频道上发布，而其他目标则仍处于暗中。

虽然互联网上有来自各种 CTI（网络威胁情报）供应商的关于 Twelve 组织的多份报告，试图描述该组织的活动，但我们没有看到任何详细介绍攻击中使用的工具和技术的报告。我们关于 Twelve 的报告详细概述了该组织使用的 TTP 以及与其基础设施的连接。

今年 2 月，阿尔巴尼亚地理统计研究所 (INSTAT) 遭到攻击。这次攻击是国土正义组织所为，该组织自称是一个黑客行动主义组织，但被怀疑是受政府支持的组织。三年多来，该组织一直在无情地攻击阿尔巴尼亚目标，尤其是政府部门。攻击者能够获取超过 100TB 的数据，并破坏组织的官方网站和电子邮件服务，并清除数据库服务器和备份。

袭击的主要原因之一是阿尔巴尼亚境内有圣战者组织 (MEK) 难民营：国土正义组织认为该组织是恐怖组织，并认为阿尔巴尼亚政府的特定部门和某些公司为他们提供支持和资金。

威胁者持续进行网络行动，旨在传达其反 MEK 的政治信息。他们试图在阿尔巴尼亚人民中获得支持，让政府放弃 MEK——他们的行动属于所谓的心理战 (PsyOps) 活动。

我们分析了该组织的活动历史，该组织近三年来一直在进行网络攻击，旨在对阿尔巴尼亚政府和民众施加长期压力。在报告中，我们介绍了该组织的主要活动，包括与具有相同目标的盟友组织合作的复杂行动，以及机会性攻击。

还描述了该组织使用的主要技术，包括利用面向互联网的服务器进行初始访问、横向移动活动、扩大攻击面，以及在网络行动的最后破坏阶段使用自定义擦除恶意软件和勒索软件。此外，我们还研究了该组织的说服机制，例如通过社交网络和新闻媒体扩大消息范围、分享被盗数据以获得恶名并倡导变革，以及不断威胁未来发动攻击以使其目标保持永久警惕状态。

其他发现

安全研究人员在东非的一个系统上发现了一个新的模块化恶意软件框架，我们将其命名为“Aniseed Vodka”：该系统于 2018 年被感染。该框架由一个主模块、一个 JSON 格式的配置文件和一组插件组成。

该框架具有高度可配置性，允许其操作员指定插件的操作参数，并按特定间隔安排插件任务（例如屏幕捕获、网络摄像头捕获和数据泄露）。该框架采用反检测和反取证技术，使其能够隐蔽地运行。它使用非传统通信渠道来逃避网络检测，使用 Google Chat 作为 C2 渠道，使用 Gmail 发送警报，使用 Google Drive 作为泄露渠道。据我们所知，我们在报告中介绍的框架并不为公众所知。我们无法将此框架与现有的威胁者联系起来。

我们之前关于 DinodasRAT 的报告显示，Linux 后门版本与 Windows 版本在功能上存在大量重叠，并且还具有其他特定于 Linux 的功能，例如通过 systemd 或 SystemV 实现持久性。

近几个月来，我们收集了更多相关样本，从而对 Linux 变体有了更深入的了解。有迹象表明，早在 2021 年，它就已在攻击活动中使用。

此前，ESET 披露了一项正在进行的 APT 活动，该活动使用了该威胁的 Windows 版本，该活动名为“Operation Jacana”，该活动之前被识别为 XDealer。据 Trend Micro 描述，DinodasRAT 也被用于最近的 APT 活动，该活动包括 Windows 和 Linux 版本。在我们关于 DinodasRAT Linux 变体的最新报告中，重点关注了与 C2 的网络通信以及恶意软件在受感染机器上执行的操作，而不仅仅是建立持久性和等待 C2 命令。

2024 年 5 月，我们发现了一个针对俄罗斯政府实体的新 APT。CloudSorcerer 恶意软件是一种复杂的网络间谍工具，用于通过 Microsoft、Yandex 和 Dropbox 云基础设施进行隐身监控、数据收集和泄露。该恶意软件使用云资源作为其 C2 服务器，通过使用身份验证令牌的 API 访问它们。

此外，CloudSorcerer 使用 GitHub 作为其初始 C2 服务器。CloudSorcerer 的作案手法让人想起了我们在 2023 年报道过的 CloudWizard APT。然而，恶意软件代码完全不同。我们认为 CloudSorcerer 是一个新的威胁者，它采用了类似的方法与公共云服务进行交互。

4 月，我们发现了一项此前未知的活动，该活动使用 Telemos 后门针对俄罗斯的组织（包括政府部门）。该恶意软件以 ZIP 文件的形式通过鱼叉式网络钓鱼电子邮件发送，其中包含两种类型的植入程序之一 - 带有 .SCR 扩展名的 PE64 可执行文件或带有 .WSF 扩展名的 Windows 脚本文件。它们会植入并执行具有后门功能的基于 PowerShell 的脚本。我们发现了与这些攻击相关的几个恶意样本，并能够恢复原始源代码。

此威胁的主要目的是间谍活动——从浏览器中收集数据，例如登录凭据、cookie 和浏览历史记录，以及从受影响系统上的可用驱动器收集感兴趣的文件。目前无法将该操作与已知的威胁者联系起来。

写在最后

虽然一些威胁者的 TTP 保持不变，例如严重依赖社会工程学进入目标组织或入侵个人设备，但其他威胁者已更新其工具集并扩大其活动范围。我们定期的季度报告旨在重点介绍与 APT 团体相关的最重要发展。

以下是我们在 2024 年第二季度看到的主要趋势：

·本季度的重点亮点是集成到许多流行 Linux 发行版中的 XZ 压缩实用程序的后门 - 特别是使用社会工程学来获取对开发环境的持续访问权限。

·本季度，我们发现 APT 活动集中在欧洲、美洲、亚洲、中东和非洲，针对的是政府、军事、电信和司法系统等多个领域。

·大多数 APT 活动的目的是进行网络间谍活动，尽管有些活动是为了获取经济利益。

·黑客攻击也是本季度威胁形势的一个特点。并非所有这些攻击都集中在公开冲突地区，正如国土正义组织对阿尔巴尼亚实体的攻击所示。

需要强调的是，报告是我们对威胁形势的洞察的产物。然而，重要的是要记住，虽然我们在不断改进，但总有可能存在其他可能被忽视的复杂攻击。

值得一提的是，当提到 APT 组织使用俄语、或其他语言时，我们指的是这些组织使用的各种工具（例如恶意软件调试字符串、脚本中的注释等）中包含这些语言的单词，这些工具是基于我们直接获得的信息或以其他方式公开和广泛报道的信息。使用某些语言并不一定表示特定的地理关系，而是指向这些 APT 工具背后的开发人员使用的语言。

近日，中关村网络安全与信息化产业联盟（以下简称“联盟”）秘书长邹冬携国家信息技术安全研究中心原科研部长石峰、北京市科技项目评审专家/中国国防工业企业协会自主可控工作专家委员/中国国防工业关键技术军事观察站观察员郭守祥、中国智能终端操作系统产业联盟秘书长曹冬等专家到访梆梆安全。

梆梆安全高级副总裁方宁、安全服务中心总监黄潇、营销中心市场营销总监句雅楠作为公司代表出席本次活动，并对联盟专家团到访表示热烈欢迎。

联盟秘书长邹冬

会议伊始，联盟秘书长邹冬表示此次走访目的旨在提升联盟服务内容和能级，加强与会员企业的有效沟通，全面掌握会员企业发展状况，倾听会员企业的困难及诉求，促进会员之间的合作与共赢，充分发挥社会组织和行业平台应有的职能与作用。

梆梆安全高级副总裁方宁

梆梆安全高级副总裁方宁对联盟到访表示欢迎和感谢，随后对公司业务范围、核心竞争力、技术创新、市场布局、现有产品及业务能力体系等情况进行详细介绍。梆梆安全开创、繁荣了移动应用安全蓝海市场，建立了全面的移动应用安全防护生态体系，并在业务上形成了以移动安全为主体，联动安全服务和物联网安全的“一体两翼”业务体系，以及由技术、产品、解决方案和咨询服务构成的“四位一体”产研体系。勇担“保护您的软件”使命，始终以客户为中心，通过专业的安全产品和服务为政府、企业、开发者和消费者打造安全稳固可信的网络空间生态环境。

安全服务中心总监黄潇

安全服务中心总监黄潇就专家团产生极大兴趣的梆梆全栈自研纯血鸿蒙安全产品以及车联网相关产品服务与专家团交流探讨。在鸿蒙业务方向，作为华为生态合作伙伴，梆梆安全以安全标准为参考依据，以安全引擎为技术核心，构建了完整的泛应用安全保护体系。基于自身多年的泛应用安全保护技术、漏洞风险测评技术、攻击风险安全监测技术和隐私合规检测技术，建立了一体化的纯血鸿蒙系统“系统-设备-应用-运行环境”的闭环验证流程，确保从应用开发到用户使用的全生命周期安全。目前，全栈自研纯血鸿蒙安全产品已实现HarmonyOS Next的完全适配，可持续为鸿蒙原生应用生态打造安全基座。在车联网方向，梆梆安全作为全球最早一批开展车联网信息安全研究及服务的企业，于2016年成立安全研究院，深度钻研信息安全管理对汽车产业的重要价值，致力于车联网行业领域的前沿探索与实践研究，专注智能网联车辆的网络安全和数据安全能力的研究与实践应用，广泛参与国内外车联网信息安全相关的标准法规的制定和解读。2021年，联合国欧洲经济委员会（UNECE ）R155法规、R156法规等法规生效，梆梆安全已成功为多家汽车和零部件供应商提供基于合规的车联网安全测试服务。2023年，梆梆安全正式成立“泰防实验室”，专业的车联网技术研究团队，围绕汽车安全检测、渗透测试、创新技术攻关等，为智能网联汽车产业提供强有力的全业务支撑。

营销中心市场营销总监句雅楠

随后，营销中心市场营销总监句雅楠对未来与联盟的合作方向表示，一方面，希望联盟能够组织网络安全领域的政策宣讲学习活动，有利于企业了解国家对网络安全行业的发展指引；另一方面，也希望能够通过联盟促进专业人才的培养和输送，合作开展网络安全领域的专业培训等活动。

莅临到访的专家团在认真听取梆梆安全的业务发展与市场方向后，纷纷就各自感兴趣的内容展开深入探讨，并提出建设性意见，为梆梆安全未来的业务拓展提供支持。最后，联盟秘书长邹冬在总结讲话中表示，走访活动的开展是深入企业一线，倾听企业声音，了解企业实际需求，积极为企业提供政策指导、技术支持和市场对接等服务。梆梆安全也期冀通过与联盟探索合作方式的更多可能，助力企业取得更大的业务突破和发展。

2024年9月7日至12日，一年一度的国家网络安全宣传周（广州主会场）拉开帷幕。本次网安周以“网络安全为人民，网络安全靠人民”为主题，举办开幕式、网络安全技术高峰论坛主论坛暨粤港澳大湾区网络安全大会、网络安全博览会，集中发布一系列网络安全领域重要成果。同时举行校园日、电信日、法治日、金融日、青少年日、个人信息保护日等系列主题日活动。

作为移动应用安全的引领者，梆梆安全（3B06展位）展出了包括全栈自研移动应用加固产品、移动应用合规平台以及端到端&全渠道移动安全解决方案在内的多项拳头产品，获得各界嘉宾广泛关注。

梆梆安全以安全标准为参考依据，以安全引擎为技术核心，构建了完整的泛应用安全保护体系。此次广州网安周期间，特别展出了适用于华为HarmonyOS操作系统的纯血鸿蒙安全产品。目前，全栈自研纯血鸿蒙安全产品已实现HarmonyOS Next的完全适配，可持续为鸿蒙原生应用生态打造安全基座。

随着数字经济时代下API爆发式增长，API接口管理不当造成的数据安全风险、业务安全风险和连续性风险，给企业的安全能力带来了新的挑战。

梆梆安全基于“端到端的全渠道风险防护”技术理念，结合业务终端安全接入具体需求，推出“动静结合、横向端到端联动+实时防御、纵向全渠道联动”的移动应用安全解决方案，帮助企业实时感知客户端风险，实现端到端的安全协同，开展多样化的全业务渠道实时防御，各渠道联防联控，全方位构建移动终端的数据保护安全能力，打造“安全合规、架构稳定、产品易用”的移动终端安全环境。

与此同时，梆梆安全不仅在广州主会场精彩亮相，还在河南、西安、广西、安徽等多个省份同步参与了网安周的相关活动。

梆梆安全诚挚邀请各位莅临参观交流，共同探讨移动安全领域的最新趋势和技术发展。我们期待着与您一起，在保障国家数字安全的道路上携手前行。

2024年9月11日，北京丈八网络安全科技有限公司（以下简称“丈八网安”）宣布正式完成人民币5000万元的B轮融资。本轮融资由广州白云金融控股集团有限公司（简称白云金控）和泓沣北京私募基金管理有限公司（简称泓沣资本）共同投资。白云金控作为本轮新增的直接投资股东，高度认可丈八网安过往发展取得的骄人成绩，并继续看好公司广阔的发展前景。泓沣资本作为公司首轮融资的独家投资人持续加码，不但用实际行动体现老股东对公司的支持和鼓励，更极大地提振了市场对丈八网安业务和技术创新的信心。此次融资所得资金，丈八网安将继续用于加强技术人才的吸纳和网络仿真技术的研发，旨在进一步拓宽产品方向、丰富应用场景，有效推动网络仿真的普适化发展进程。

丈八网安成立于2021年，专注尖端网络仿真技术创新及产品研发，基于网络仿真技术推出了一系列创新产品，围绕特种、工控、金融、教育、电力等关基重点领域，在仿真网络攻防训练、竞赛、演习、应急响应预演、测试评估、策略验证、沙盘推演等多种场景中发挥重要作用。

丈八网络靶场平台——国内首个基于“网络仿真操作系统”的解耦式弹性平台

网络靶场是丈八网安推出的首款产品，区别于市面上传统网络靶场，丈八网安选择自主研发纯国产化的、仿真专用底层，开创性的采用了虚拟化技术（VMs & SDN）+数字建模仿真技术（Meta Computing）双栈引擎，来支撑其实现强大的网络仿真功能。

为了确保网络靶场可用、易用、实用，丈八网安对产品的整体架构进行革新，将承载仿真能力的底层进行独立开发，推出国内首个“网络仿真操作系统”（ZBOS），将网络靶场的典型功能场景：授课教学、考试评测、攻防演练、实战演练、测试床、CTF、AWD等以“应用”的形式开发并组合插装在系统上，实现快速部署、即插即用，在自有知识库的海量资源支撑下，形成多元化解决方案的交付。此外，平台内置的“应用中心”同时面向第三方开发者开放，使之成为行业内唯一可以进行网络仿真生态建设的靶场产品，推动了网络仿真技术在更多行业和场景落地应用。

丈八沙盘推演系统——国内唯一网络攻防专用沙盘推演产品

沙盘推演系统是丈八网安依托ZBOS推出的网络攻防专用沙盘推演产品。与网络靶场平台侧重个人开展技能训练和技术研究不同，丈八沙盘推演系统主要面向决策者或高层管理者，通过对大规模连续网络安全事件的模拟仿真，开展网络攻防技术推演、安全架构效能评估。

丈八沙盘推演系统的最大技术亮点在于其充分运用了数字建模仿真技术（Meta Computing），实现了以低资源占用模拟宏大且复杂的网络环境，对网络空间攻防所涉及的全域要素进行了精准建模。此外，该系统还借助AIGC智能体技术辅助和替代决策，实现了“人在环内”与“人在环外”的双模式推演。

目前，凭借产品及技术的创新性与稀缺性，丈八网络靶场平台在仿真能力、产品架构、用户体验等维度上形成了跨越式的领先优势，迅速跻身垂直行业市场的前列；同时，丈八沙盘推演系统有效填补了网络沙盘推演领域存在的巨大市场空白，成为极具发展潜力和想象空间的新业务增长点。凭借以上优势，丈八网安在今年资本市场普遍趋于谨慎的大背景下，仍然能够持续获得资本青睐，充分展现了其卓越的市场竞争力和深厚的投资价值。

投资方白云金控是广州白云区政府成立的区属国有产业金融平台，白云金控董事长湛珊表示：“新一代信息技术属于白云金控重点投资方向，网络安全作为新一代信息技术细分领域，丈八网安在其深耕的专业领域内，凭借卓越的技术实力和产业化落地能力，坚定地守护着国家的网络空间安全。我们看到了该公司所蕴含的高科技价值、巨大的发展潜力以及广阔的市场前景。我们期待丈八网安落地白云区，希望丈八网安能够继续发挥其核心竞争力，不断创新突破，为我国网络安全事业的发展贡献重要力量，为国家构建更加安全、稳定、繁荣的数字未来。”

投资方泓沣资本专注于新兴科技、智能安防、军民融合等行业的深度产业投资和布局，重点关注具有长期增长潜力和核心竞争力的企业。泓沣资本CEO吕俊峰表示：“丈八网安在网络仿真领域展现出的卓越创新与突破能力，每一次产品的更新都体现了团队严谨的逻辑思维和对细节的精益求精。这种对技术的执着追求和对产品的极致打磨，以及超预期的业绩表现，让我们深信丈八网安具备成长为一家伟大企业的潜力。因此，我们愿意与丈八网安携手并进，共同完成使命，共创辉煌未来。”

丈八网安CEO王珩表示：“公司将以此次融资为契机，坚定不移地走技术创新引领发展的国产化道路，在网络建模仿真技术、网络攻防大模型技术、SaaS化产品方向上持续加大研发投入。丈八网安所专注的网络靶场与沙盘推演产品，虽身处网络安全行业的特定细分领域，却是保障国家网络安全、强化安全防御机制、培育网络安全专业人才、推动网络安全技术创新与发展的重要基石。我们目前已经是这一领域的新生代佼佼者，正在以技术为刃，勇破陈规，引领着行业变革。我坚信，在不久的将来，丈八网安必将在更广阔的网络安全市场中占据举足轻重的地位，为国家网络安全事业书写全新篇章。”

据悉，随着公司产品的不断创新迭代，业务的不断发展，团队的快速成长和壮大，本轮融资的顺利完成使公司资本化之路快速迈入新的阶段。

2024年9月8日，由中央网信办指导，中国网络安全产业联盟、教育部高等学校网络空间安全专业教学指导委员会、广州市委网信办主办的2024年中国网络安全创新创业大赛总决赛及颁奖典礼在广州南沙成功举办。

“2024年中国网络安全创新创业大赛”是2024年国家网络安全宣传周的重要活动之一，目的是贯彻落实习近平总书记对国家网络安全宣传周作出的关于国家网络安全工作“四个坚持”的重要指示精神，以打造网络安全人才、技术、产业良性发展生态为核心目标，整合“政产学研用”多方优势资源，鼓励网络安全技术创新和优秀人才创业，加速创新成果产业化应用，提升产业综合竞争力，推动产业进入高质量发展的“快车道”。

大赛充分整合2024年网络安全优秀创新成果大赛、第十七届全国大学生信息安全竞赛两大赛事。梆梆安全作为网络安全优秀企业参与“2024年网络安全优秀创新成果大赛”，自5月启动申报，历时4个月，与150余家企业申报的近300项解决方案和创新产品共同角逐。

经过相关行业部门、高校、研究机构以及网络安全投资机构的资深专家评委与观众评委评审，最终梆梆安全汽车信息安全测试平台获得大赛解决方案二等奖。

梆梆安全汽车信息安全测试平台

梆梆安全汽车信息安全测试平台是专为汽车整车及零部件信息安全开发测试而设计的综合安全评估系统。平台基于梆梆安全泰防实验室多年的专业经验和技术积累，集成先进的测试方法和工具，对汽车电子控制单元（ECU）、通信协议、以及整车网络进行全面的安全性分析。利用系统能够检测到潜在的系统漏洞和安全隐患，确保汽车在运行中具备足够的抗攻击能力。

梆梆安全作为全球最早一批开展车联网信息安全研究及服务的企业，于2016年成立安全研究院，深度钻研信息安全管理对汽车产业的重要价值，致力于车联网行业领域的前沿探索与实践研究，专注智能网联车辆的网络安全和数据安全能力的研究与实践应用，广泛参与国内外车联网信息安全相关的标准法规的制定和解读。2021年，联合国欧洲经济委员会（UNECE ）R155法规、R156法规等法规生效，梆梆安全已成功为多家汽车和零部件供应商提供基于合规的车联网安全测试服务。2023年，梆梆安全正式成立“泰防实验室”，专业的车联网技术研究团队，围绕汽车安全检测、渗透测试、创新技术攻关等，为智能网联汽车产业提供强有力的全业务支撑。

多年来持续深耕，现已形成以全面适配监管规范要求、稳定承载关键测试项目、有效覆盖业务需求场景为优势的车联网安全防护体系。在智能网联车辆的安全咨询、安全开发、安全防护、渗透测试、安全合规评估等方向推出了“面向智能网联汽车的完整安全能力产品体系”，为智能网联汽车产业提供强有力的全业务支撑；同时与主机厂、监管机构、高校及科研院所等生态链合作伙伴进行深度合作，共同探索车联网安全前沿领域，切实筑牢汽车企业网络安全屏障。截至目前，已服务头部车企、Tier1零部件供应商等大量专业物联网客户及智能网联汽车项目，致力于保障车辆全生命周期的网络安全，为推动车联网生态圈高质量发展深度赋能。

2024年，梆梆安全“泰防实验室”经中国合格评定国家认可委员会（CNAS）的评审，满足GB/T 40856-2021、GB/T 40857-2021两项国家标准的全部检测要求，具备实施汽车网关和车载信息系统的检测工作能力，正式被授予“实验室认可证书”。这标志着梆梆安全泰防实验室在智能网联汽车信息安全领域的环境硬件设施、检测技术能力、质量管理水平均达到国际认可标准，出具的安全检测报告具有国际权威性与公信力，可依据ILAC框架在全球153个国家和地区实现互认。

近日，海淀区委网信办在国家网络安全教育技术产业融合发展试验区（北京海淀）网络安全公共服务平台暨网络安全融合发展联盟入驻企业座谈会上正式公布15家首批网络安全公共服务平台-综合服务中心支撑服务商及20家网络安全融合发展联盟成员名单，梆梆安全荣耀在列。

北京市海淀区作为首批国家网络安全教育技术产业融合发展试验区，由中共中央网信办、中国教育部、中国科技部、中国工业和信息化部共同组织实施。通过推动试验区建设的目的是探索网络安全教育技术产业融合发展的新机制新模式，形成一系列鼓励和支持融合发展的制度和政策，培育一批支撑融合发展的创新载体，推动在全国范围内形成网络安全人才培养、技术创新、产业发展的良好生态。

海淀区委网信办作为地市级网信办应急指挥中心规范化建设全国示范单位，已实现中央、市、区三级网信上下贯通的一体化网络应急指挥体系，提高网络安全应急保障能力和防护水平。已建成网络安全公共服务平台，旨在推动构建“技术赋能监管，监管激发需求，平台供给服务”的网络安全生态良性循环机制。以区域“网络安全渠道商”为发展目标，为入驻企业提供应用场景、项目机会。

梆梆安全移动应用安全加固服务平台、移动应用安全测评平台、移动应用合规平台、移动应用安全监测平台、APP及业务系统渗透测试服务、个人信息隐私合规评估服务、电子政务移动应用安全解决方案等已正式申报入驻该平台，同时也积极配合平台的正式上线工作，为推动国家网络安全教育技术产业融合发展试验区（北京海淀）建设，进一步提升网络安全公共服务水平贡献力量。

安全是发展的前提，发展是安全的保障。为全面展示我国网络安全的高质量发展和自主创新实力，9月6日，中国网络安全产业联盟（CCIA）正式发布“2024年度中国网络安全产业竞争力50强”榜单，梆梆安全作为移动安全的先行者，凭借深厚的技术积累、过硬的产品实力和卓越的市场表现再次入选50强榜单，持续彰显市场竞争优势。

此次调研评选工作由中国网络安全产业联盟（CCIA）组织开展，旨在深入了解我国网络安全产业发展情况，推动网络安全产业高质量发展，从资源力和竞争力两个维度对具备网络安全产品、服务和解决方案销售收入的调研企业进行评估分析，最终形成“2024年度中国网络安全产业竞争力50强”。

再度登榜，是业界内外对梆梆安全在网络安全能力、行业应用实践、客户品牌口碑等方面的高度认可，充分彰显梆梆安全在网络安全市场步履不停的竞争优势。

梆梆安全深耕移动安全领域十四载，始终以客户为中心，以持续的研发投入和产品创新，从技术、服务两个层面建立全面的移动应用安全防护生态体系，构建了应用设计开发、应用测试、应用发布、应用运维在内的 APP 全生命周期安全解决方案，形成从“保护、加固、检测”到“监管、测评、响应”的全栈产品和服务能力，聚焦各行各业新质生产力的安全态势，深入治理 APP、小程序、快应用等应用程序乱象，为客户的网络安全体系建设提供防护能力，持续不断对客户的安全负责。

金融、能源、电力、通信、交通等领域的关键信息基础设施，是经济社会运行的神经中枢，直接关系国家安全与国计民生，是网络安全工作的重中之重。随着数字化转型的加速，关基设施的移动应用保护对象存在涉及领域广、数量规模大、应用类型多、地域分布广等特征，因此安全形势严峻复杂。

网络无边，安全有界。梆梆安全作为移动安全的排头兵，深知护航国家信息安全建设任重道远。未来，梆梆安全将持续以技术创新作为锤炼立身之本，不断完善产品安全能力，提升用户体验，为筑牢国家网络安全屏障、形成网络安全新质生产力贡献力量。

9月9日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。

贯彻落实《全球人工智能治理倡议》，网安标委研究制定了《人工智能安全治理框架》（以下简称《框架》）。

《框架》以鼓励人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点和落脚点，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。

网安标委秘书处主要负责人表示，《框架》1.0版的发布，对推动社会各方积极参与、协同推进人工智能安全治理具有重要促进作用，为培育安全、可靠、公平、透明的人工智能技术研发和应用生态，促进人工智能的健康发展和规范应用，提供了基础性、框架性技术指南。同时，也有助于在全球范围推动人工智能安全治理国际合作，推动形成具有广泛共识的全球人工智能治理体系，确保人工智能技术造福于人类。

点击阅读原文即可查看《人工智能安全治理框架》

文章来源：网信中国

一种被称为“RAMBO”（用于进攻的隔离内存总线辐射）的新型侧信道攻击会从设备的 RAM 产生电磁辐射，以从隔离的计算机发送数据。

隔离系统通常用于对安全性要求极高的任务关键型环境，例如政府、武器系统和核电站，这些系统与公共互联网和其他网络隔离，以防止恶意软件感染和数据盗窃。

尽管这些系统没有连接到更广泛的网络，但它们仍然可能受到通过物理介质如USB 驱动器，引入恶意软件感染或发起复杂供应链攻击。

该恶意软件可以秘密操作，以调制隔离系统的 RAM 组件，从而允许将机密从计算机传输到附近的接收者。属于此类攻击的最新方法来自以色列大学的研究人员，由 Mordechai Guri 领导，他是隐蔽攻击渠道方面经验丰富的专家，曾开发出使用网卡 LED、USB 驱动器 RF 信号、SATA 电缆和电源泄漏数据的方法。

RAMBO 攻击如何运作

为了实施 Rambo 攻击，攻击者会在隔离的计算机上植入恶意软件，以收集敏感数据并准备传输。它通过操纵内存访问模式（内存总线上的读/写操作）从设备的 RAM 产生受控的电磁辐射来传输数据。

这些发射本质上是恶意软件在 RAM 内快速切换电信号（开关键控“OOK”）的副产品，该过程不会受到安全产品的主动监控，也无法被标记或停止。

执行 OOK 调制的代码

发射的数据被编码为“1”和“0”，在无线电信号中表示为“开”和“关”。研究人员选择使用曼彻斯特编码来增强错误检测并确保信号同步，从而减少接收端出现错误解释的可能性。

攻击者可能会使用带有天线的相对便宜的软件定义无线电 (SDR) 来拦截调制的电磁辐射并将其转换回二进制信息。

单词“DATA”的EM信号

性能和限制

RAMBO 攻击的数据传输速率高达 1,000 比特每秒 (bps)，相当于每秒 128 字节，或 0.125 KB/s。

按照这个速率，窃取 1 兆字节数据大约需要 2.2 小时，因此 RAMBO 更适合窃取少量数据，如文本、按键和小文件。

研究人员发现，在测试攻击时可以实时进行键盘记录。但是，窃取密码需要 0.1 到 1.28 秒，窃取 4096 位 RSA 密钥需要 4 到 42 秒，窃取小图像需要 25 到 250 秒，具体取决于传输速度。

数据传输速度

快速传输的最大范围限制为 300 厘米，误码率为 2-4%。中速传输可将距离增加到 450 厘米，同时误码率相同。最后，误码率几乎为零的慢速传输可以在长达 7 米的距离内可靠地工作。

研究人员还尝试了高达 10,000 bps 的传输，但发现任何超过 5,000 bps 的速度都会导致信噪比非常低，从而无法进行有效的数据传输。

阻止 RAMBO

Arxiv 上发表的技术论文提供了几项缓解建议来减轻 RAMBO 攻击和类似的基于电磁的隐蔽通道攻击，但它们都引入了各种花费开销。

建议实施严格的区域限制以增强物理防御、RAM 干扰以破坏源头的隐蔽通道、外部 EM 干扰以破坏无线电信号，以及法拉第外壳以阻止气隙系统向外发出 EM 辐射。

研究人员针对虚拟机内运行的敏感进程测试了 RAMBO，发现它仍然有效。然而，由于主机内存容易与主机操作系统和其他虚拟机发生各种交互，攻击可能会很快被阻止。

一、客户背景

广东格兰仕集团有限公司（以下简称“格兰仕”），成立于1978年，是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地，格兰仕拥有多项国际领先的家电制造技术，连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展，更重视业务流程的高效与顺畅，以确保在国际舞台上的竞争力。

二、需求痛点

随着格兰仕全球化战略的深入实施，其海外业务快速增长，电子邮件成为了关键的沟通工具。然而，邮件系统的稳定性和安全性成为了格兰仕亟需解决的问题。

由于国际网络环境的复杂性，邮件延迟、丢件、退信等问题严重影响了业务效率和客户满意度。此外，随着网络安全威胁的日益增加，如何有效防范垃圾邮件、钓鱼邮件和病毒邮件，保护企业信息安全，成为格兰仕亟待解决的问题。

三、解决方案

为了解决海外邮件收发的难题，格兰仕选择了与其现有Coremail邮件系统原厂产品CACTER安全海外中继。

01、海量优质中继服务器

CACTER安全海外中继以拥有海量优质的中继服务器为核心，确保跨境邮件高效投递。安全海外中继在世界各大主要城市比如纽约、伦敦、法兰克福、东京、新加坡，香港等均设有海外代理节点。

02、SDN服务保障投递效率

CACTER安全海外中继具备智能DNS和海量优质中继服务器，通过多通道轮询机制智能选择最佳通道进行邮件投递，从而显著提升投递成功率。

此外，Coremail的私有协议进一步为海外邮件提供加速和加密，确保通信的低延迟、低丢件率和高成功率。

03、境外恶意邮件攻击防护

CACTER安全海外中继除了提供高效的海外通邮服务外，内置的云网关具备反垃圾、反钓鱼、防病毒功能，能够为客户过滤来自海外的恶意邮件，保障海外通邮的安全性。

四、客户评价

CACTER安全海外中继的引入极大提升了格兰仕海外邮件的收发效率和安全性，使用户能够更专注于业务发展，无需担心邮件通信的障碍。

在对安全海外中继产品的评分中，格兰仕IT部系统管理的吴老师给出了满分10分的高度评价，这充分反映了格兰仕对CACTER安全海外中继的满意度和认可。

“给安全海外中继这款产品打分的话，可以给到10分（1-10分），目前产品运行还是比较稳定的。”

——格兰仕IT部系统管理吴老师

CACTER期待与格兰仕继续保持紧密的合作关系，共同面对未来的挑战，确保其全球通信的畅通无阻，助力格兰仕在全球市场中稳健前行，畅邮无阻。

CACTER安全海外中继的未来展望建立在持续创新和客户至上的理念之上。我们致力于通过提供高效、智能的邮件通信解决方案，帮助企业克服跨境通信的挑战，保护企业免受网络安全威胁的影响。

往期回顾：

2024.8.26—2024.8.31安全动态周回顾

2024.8.19—2024.8.25安全动态周回顾

2024.8.12—2024.8.18安全动态周回顾

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

2024.7.22—2024.7.28安全动态周回顾

2024.7.15—2024.7.21安全动态周回顾