嘶吼

往期回顾：

2024.8.26—2024.8.31安全动态周回顾

2024.8.19—2024.8.25安全动态周回顾

2024.8.12—2024.8.18安全动态周回顾

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

2024.7.22—2024.7.28安全动态周回顾

2024.7.15—2024.7.21安全动态周回顾

一项新的恶意软件活动正在向全球传播一种之前未曾记录的后门“Voldemort”，主要冒充美国、欧洲和亚洲的税务机构。根据 Proofpoint 的报告，该活动于 2024 年 8 月 5 日开始，已向 70 多个目标组织传播了 20,000 多封电子邮件，在其活动高峰期一天内就达到了 6,000 封。

超过一半的目标组织属于保险、航空航天、交通运输和教育行业。此次攻击活动的幕后威胁者尚不清楚，但 Proofpoint 认为最有可能的目的是进行网络间谍活动。

此次攻击与 Proofpoint 在本月初描述的攻击类似，但最后阶段涉及了不同的恶意软件。

冒充税务机关

Proofpoint 的最新报告称，攻击者正在根据公开信息制作网络钓鱼电子邮件以匹配目标组织的位置。

网络钓鱼电子邮件冒充该组织所在国家的税务机关，声称有更新的税务信息并包含相关文件的链接。

攻击活动中使用的恶意电子邮件样本

点击该链接会将收件人带到托管在 InfinityFree 上的登录页面，该页面使用 Google AMP Cache URL 将受害者重定向到带有“单击查看文档”按钮的页面。

单击按钮后，页面将检查浏览器的用户代理，如果适用于 Windows，则将目标重定向到指向 TryCloudflare 隧道 URI 的 search-ms URI（Windows 搜索协议）。非 Windows 用户将被重定向到一个空的 Google Drive URL，该 URL 不提供任何恶意内容。

如果受害者与 search-ms 文件交互，Windows 资源管理器就会被触发，显示伪装成 PDF 的 LNK 或 ZIP 文件。

search-ms: URI 的使用最近在网络钓鱼活动中变得很流行，因为即使此文件托管在外部 WebDAV/SMB 共享上，它也会看起来好像位于本地的下载文件夹中，以诱骗受害者打开它。

使文件看起来好像位于受害者的计算机上

这样做会从另一个 WebDAV 共享中执行 Python 脚本，而无需将其下载到主机上，该脚本会执行系统信息收集以分析受害者。同时，会显示诱饵 PDF 以掩盖恶意活动。

转移受害者注意力的诱饵 PDF

该脚本还下载合法的 Cisco WebEx 可执行文件（CiscoCollabHost.exe）和恶意 DLL（CiscoSparkLauncher.dll），以使用 DLL 侧加载来加载 Voldemort。

滥用 Google 表格

Voldemort 是一个基于 C 的后门，支持各种命令和文件管理操作，包括渗透、将新的有效载荷引入系统以及文件删除。

支持的命令列表如下：

·Ping – 测试恶意软件与 C2 服务器之间的连接。

·Dir – 从受感染系统检索目录列表。 

·Download – 从受感染系统下载文件到 C2 服务器。 

·Upload – 从 C2 服务器上传文件到受感染系统。 

·Exec – 在受感染系统上执行指定的命令或程序。 

·Copy – 在受感染系统内复制文件或目录。 

·Move – 在受感染系统内移动文件或目录。 

·Sleep – 使恶意软件在指定的时间内进入睡眠模式，在此期间恶意软件不会执行任何活动。 

·Exit – 终止恶意软件在受感染系统上的运行。

Voldemort 的一个显著特点是，它使用 Google Sheets 作为命令和控制服务器 (C2)，对其进行 ping 以获取在受感染设备上执行的新命令，并将其作为被盗数据的存储库。

每台受感染的机器都会将其数据写入 Google Sheet 中的特定单元，这些单元可以通过 UUID 等唯一标识符指定，从而确保隔离并更清晰地管理受感染的系统。

请求从 Google 接收访问令牌

Voldemort 使用嵌入了客户端 ID、密钥和刷新令牌的 Google API 与 Google Sheets 进行交互，这些都存储在其加密配置中。

这种方法为恶意软件提供了可靠且高度可用的 C2 通道，同时还降低了网络通信被安全工具标记的可能性。

由于 Google Sheets 在企业中广泛使用，因此阻止该服务也不切实际。

2023 年，黑客组织 APT41 曾被发现通过使用红队 GC2 工具包将 Google Sheets 用作命令和控制服务器。为了防御此活动，Proofpoint 建议将对外部文件共享服务的访问限制在受信任的服务器上，在不需要时阻止与 TryCloudflare 的连接，并监控可疑的 PowerShell 执行。

9月4日，第二届“天网杯”网络安全大赛线下决赛圆满落幕。在决赛的对决中，来自全国的网络安全精英战队都充分展现出了自身强硬的安全实力。历经连续两天的比拼博弈，最终共有3支战队荣膺大赛一等奖，6支战队勇夺大赛二等奖，10支战队获得大赛三等奖。

本次大赛由天津市人民政府主办，国家计算机病毒应急处理中心、公安部第一研究所、天津市公安局、天津市委网信办、天津市工业和信息化局、天津市数据局、天津市滨海新区人民政府共同承办，360数字安全集团、先进计算与关键软件（信创）海河实验室、中汽数据有限公司、大数据协同安全技术国家工程研究中心、ISC平台、南京赛宁信息技术有限公司共同支持。

第二届“天网杯”网络安全大赛致力于选拔重要人才，集聚产业生态，推动数字化转型的高质量发展，共设置安全漏洞挖掘挑战赛、人工智能大模型安全挑战赛和智能网联汽车安全挑战赛三大赛道。

其中，安全漏洞挖掘挑战赛聚焦在操作系统、中间件、数据库、网络安全产品和外设产品五大类28款主流产品的安全风险以及漏洞挖掘上；人工智能大模型安全挑战赛则聚焦大模型工具的深伪识别，为识别欺诈、虚假信息活动以及有害深度伪造内容提供参考借鉴；智能网联汽车安全挑战赛则围绕硬件安全、操作系统安全、外部连接安全、通信安全、应用及业务安全等方面，对不同类型智能网联汽车安全能力进行检验。

在社会各界的高度关注与通力支持下，大赛一经开启，成功召集到230余支战队的千余名选手踊跃参赛；历经层层选拔，共有近百支战队的380名选手通过审核，获得线上初赛参赛资格。经专家裁判组对线上赛比赛成绩的评审，最终36支战队成功进入线下决赛。

决赛之中，各个战队的表现堪称实力非凡，充分展现了良好的竞技状态和高超的技术水平。

当前，数字化浪潮奔涌，以大模型技术为代表的AI技术和应用在蓬勃发展的同时，也带来了多重安全挑战，看见安全风险、筑牢安全屏障，成为保障数字经济发展的基座。未来，“天网杯”网络安全大赛将集聚政产学研各方力量，进一步总结提升大赛经验，做好成果转化和人才培养，推动天津市成为网络空间安全的重要人才中心和创新产业高地，保障经济连续运转稳定，为新质生产力的高质量发展保驾护航。

随着互联网的深度普及，勒索攻击等网络犯罪手段日益升级，高危端口、高危漏洞和弱口令已成为网络攻击的主要突破口。为有效遏制这一趋势，减轻网络攻击带来的危害，公安部等相关部门针对“两高一弱”问题持续开展专项整治行动。通过加强监管、提升检测与响应能力，力求从根本上解决网络安全中的关键挑战和薄弱环节。

“两高一弱”问题的重要性与紧迫性

2023年11月30日，公安部召开新闻发布会指出，企业作为网络安全的责任主体，必须严格落实主体责任，加强网站备案登记和等级保护测评，落实与业务重要程度相匹配的安全防护措施。特别是针对“两高一弱”问题，即高危漏洞、高危端口和弱口令，必须给予高度重视。

近期，监管单位再次强调了网络安全的重要性，特别是针对“两高一弱”问题整改的专项行动正在全面展开，成为当下各单位网络安全的重点工作之一。在此背景下，盛邦安全以全新的业务管理视角和纵深安全检测能力，为用户提供“两高一弱”安全专项解决方案，补齐企事业单位在“两高一弱”问题的检测、预警、统一管理和快速响应方面的短板与不足。

破解‘两高一弱’难题，盛邦安全“新五步法”方案发布

盛邦安全“两高一弱”专项解决方案，以网络资产为核心，通过“摸清家底、备案管理、威胁感知、监测运营、应急指挥”五个步骤，构建闭环式的网络资产安全与运营治理体系，提升网络资产的安全感知、主动预警和应急响应能力。

01

摸清家底

方案首先以资产梳理为安全基石，结合主动探测与被动监听的方式，对网络资产进行全面的摸底和梳理。通过分析历史业务流量、主动探测目标，以及开放数据入口的手动录入，形成详细、准确的资产信息库。这不仅有助于建立清晰的资产台账，还能及时发现并应对潜在的安全隐患，针对性的进行“两高一弱”安全风险检测，确保不留安全死角。

02

备案管理

在备案管理模块中，安全部门可以发布资产认领通知，关停处置无人确认的资产或存在高危漏洞、高危端口、弱口令的系统。此外，业务部门可以在系统上线前提交申请，由安全部门审核安全状态并批准上线，确保资产归属信息完整，责任责权到人，实现安全闭环；同时提供可靠的管控流程，保证资产上线、整改、变更和退运都有平台支撑，方便跟踪管理。

03

威胁感知

方案深度融合漏洞发现检测与数据情报分析技术，依托详尽的资产属性信息，对全局范围内的资产进行精细画像，精确掌握各类目标资产的属性特征及其分类情况。此过程涵盖了安全设备、网络设备、物联网设备、工控设备等多样化资产，详尽分析其分布状况及版本类型等关键信息。进而，对网络环境中开放的高危漏洞、高危端口、弱口令以及服务应用实施周期性深度探测与评估，确保对潜在风险的全面掌握与及时响应。

04

监测运营

通过全天候的健康巡检机制，方案能够自动化触发预警流程，并根据用户需求，生成涵盖资产视角、风险视角及管理视角等多维度的数据报表，并支持集中审计和综合研判。针对资产中的高危漏洞、高危端口及弱口令等关键风险点，方案提供了从漏洞检查、在线验证到修复跟踪、对比统计的完整整改流程，大幅提升资产安全管理的规范性和效率。

05

应急指挥

应急指挥模块确保在应对高危漏洞、高危端口和弱口令问题时，能够迅速实施封禁和处置措施，遏制问题的进一步扩散。根据资产的不同属性，结合战时紧急与日常运维保障所需的不同强度要求，精准执行相应级别的处置行动，以实现精准高效的风险处置和应急响应管理。

方案优势

存活探测优化：采用轻量级主动探测技术，结合多种防护绕过方案，确保资产信息的准确性。

丰富的资源库支撑：方案积累多年资产发现和治理经验，构建全面资源库，涵盖20多类、超17万条漏洞以及23万+指纹信息，确保时效性和全面性。

多维精准口令检测：基于高速存活探测和指纹匹配技术，形成清晰资产画像，动态匹配专属口令库，从应用、服务、协议等多维度进行精准口令猜解，提升针对性和准确性。

动态口令横向爆破：针对统一检测场景，将成功爆破的用户名密码整合进动态口令字典库，实现横向爆破，扩大检测范围，全方位发现弱口令风险。

动态口令库生成：优化核心字典库，适用于多种协议、数据库、中间件等检测；动态生成针对性强、体量轻、覆盖面广的专属字典库，提升口令猜解效率。

全面漏洞检测能力：兼容国内外权威漏洞标准，具备针对多种设备、系统、数据库的全面漏洞检测能力；漏洞库定期更新，确保识别的全面性和时效性。

风险闭环管理：通过“新五步法”构建闭环式的网络资产安全体系，提升安全感知与应急响应能力。

面对日益严峻的网络安全威胁，特别是勒索攻击和数据窃取等事件频发，"两高一弱"问题已成为企业不容忽视的主要安全风险。盛邦安全“两高一弱”安全专项解决方案，不仅解决高危漏洞、高危端口及弱口令等关键问题，还紧跟前沿技术发展，实现了对新兴威胁的快速响应，为企业提供全面、精准的安全防护，共筑坚实的数字安全防线。

原文链接

8月27日，2024走进南京福特工程研究中心-汽车创新技术展示交流会在南京圆满召开。会议由福特汽车工程研究（南京）有限公司主办，AUTO TECH 展组委会联合承办，邀请汽车信息化企业和行业专家代表，聚焦“软件定义汽车、智能座舱、智能驾驶、汽车测试”等相关技术，共同探讨智能化、网联化、电动化、软件化趋势下的车联网新技术和新产品发展之道。

梆梆安全车联网安全专家袁森受邀出席，并发表《规范流程，提升能力：汽车信息安全测试整体解决方案》主题演讲，聚焦国内外政策、法规、标准下的车辆信息安全要求和合规监管要求，以智能网联汽车信息安全测试为核心，与参会嘉宾分享梆梆安全多年来在车联网安全领域的实践经验，共话智能网联汽车高质量发展，共守车联网信息安全基线。

随着汽车产业的快速发展，网联化、智能化的迅速普及，随之而来的信息安全问题也受到监管机构的高度重视，与智能网联汽车信息安全相关的政策、法规、标准陆续发布，针对汽车整车及关键核心零部件的信息安全要求及其测试方法也日趋完善，R155法规、《汽车整车信息安全技术要求》均提出要求车企将车辆网络安全测试管理纳入信息安全管理体系中，并对车型开展测试。

与此同时，汽车网联化带来的业务系统漏洞、数据泄露等安全风险事件也被频繁披露。Upstream根据受影响的移动资产(包括车辆、用户、移动设备等)的潜在规模，对2021至2023年间公开披露的汽车网络安全事件进行分析发现，高危、超危漏洞占比近乎50%，这意味着车企需要通过信息安全测试来验证车辆的安全防护能力。

作为国内早期投身于车联网安全研究领域的企业，梆梆安全结合自身多年来在汽车网络安全检测和渗透领域形成的丰富技术、工具和经验积累，在汽车信息安全测试、车联网应用安全、信息安全能力建设等方向构建车联网安全安全防护体系，为客户提供一体化的车联网安全能力。

汽车信息安全测试系统

梆梆安全汽车信息安全测试系统是专为汽车整车及零部件信息安全开发测试而设计的综合安全评估系统。系统基于梆梆安全泰防实验室多年的专业经验和技术积累，集成先进的测试方法和工具，对汽车电子控制单元（ECU）、通信协议、以及整车网络进行全面的安全性分析。利用系统能够检测到潜在的系统漏洞和安全隐患，确保汽车在运行中具备足够的抗攻击能力。

该系统由管理平台、测试工具箱两部分组合而成：

·管理平台提供车型、零部件管理、测试项目管理、报告管理、测试工具箱管理等涵盖车辆测试全生命周期关键活动，内置整车、零部件、通信、应用、云服务等方面常用的测试用例和测试工具库。

·工具箱集成软件无线电、蓝牙、Wi-Fi、芯片安全、NFC、车载以太网、CAN总线等各种软、硬件检测工具。企业可以“开箱即用”的方式开始其信息安全测试工作。

泰防实验室专注于车联网和物联网的安全检测和攻防技术的研究，并在2024年7月获得CNAS认可，检测范围涵盖GB/T 40856、GB/T 40857等汽车常见零部件信息安全标准的检测。

梆梆安全展位现场吸引众多车联网行业用户和专家前来参观交流

随着5G、人工智能、物联网等新型基础设施的迅速发展，智能网联汽车已成为新兴技术与汽车产业融合创新的重要组成部分，其安全问题也已成为行业关注的重点。

未来，梆梆安全将紧跟智能网联汽车行业的信息安全发展趋势，基于行业和客户的网络安全、数据安全需求，持续技术创新和产品研发，协助主机厂、零部件厂商、车联网服务运营商等企业客户建立安全防护运营能力，支撑政府、监管机构等行业客户构建车联网安全监测与联控体系。

在全球化的今天，企业通信的无障碍至关重要。然而，随着企业业务的不断拓展，海外通信的挑战也随之增加。跨国邮件传输的延迟、丢件、甚至安全问题，都可能成为企业国际化道路上的绊脚石。如何确保邮件在全球范围内的高效、安全传输，成为了企业亟待解决的问题。

在这样的背景下，CACTER携手广东格兰仕集团有限公司，将于9月11日（周三）15:00-16:00，举办一场主题为“畅联海外，高效通邮——解锁海外通邮新路径”的直播活动。我们诚邀您参与这场直播，共同探讨如何通过创新技术，提升企业在国际舞台上的通信效率和安全性。

9月11日（周三）15：00-16：00

畅联海外，高效通邮——解锁海外通邮新路径

安全海外中继产品解析与痛点解决策略

CACTER邮件安全大数据产品经理伍伟彬，他将深入解析安全海外中继的功能与优势，以及针对企业在海外通邮过程中遇到的常见问题，提供切实可行的解决方案，帮助企业在复杂的国际网络环境中，找到高效通邮的钥匙。

企业海外通邮案例分享——格兰仕

直播嘉宾：广东格兰仕集团有限公司IT部系统管理吴俊杰。吴老师将分享格兰仕在海外通邮方面的成功案例，展示如何通过创新技术，确保海外通信的顺畅与安全。

不要错过这次机会，立即报名

与我们一起畅联海外，解锁无限可能！

安全研究人员发现了 FlyCASS 中的漏洞，FlyCASS 是一项第三方网络服务，一些航空公司使用它来管理已知机组人员 (KCM) 计划和驾驶舱进入安全系统 (CASS)。

KCM 是一项运输安全管理局 (TSA) 计划，允许飞行员和乘务员跳过安全检查，而 CASS 允许授权飞行员在旅行时使用驾驶舱中的折叠座椅。

KCM 系统通过在线平台验证航空公司员工的证件。该过程包括扫描 KCM 条形码或输入员工编号，然后与航空公司的数据库进行交叉核对以授予访问权限，而无需进行安全检查。同样，CASS 系统在飞行员需要通勤或旅行时验证他们是否有权进入驾驶舱折叠座椅。

研究人员发现 FlyCASS 的登录系统容易受到 SQL 注入攻击，这种漏洞可让攻击者插入 SQL 语句进行恶意数据库查询。通过利用此漏洞，他们可以以参与的航空公司 Air Transport International 的管理员身份登录，并在系统内操纵员工数据。

他们添加了一个虚构的员工“Test TestOnly”，并授予该帐户访问 KCM 和 CASS 的权限，这实际上使他们能够“跳过安全检查，然后进入商用客机的驾驶舱”。

据了解，目前任何具备 SQL 注入基本知识的人都可以登录该网站，并将任何人添加到 KCM 和 CASS，这样他们既可以跳过安全检查，又可以进入商用客机的驾驶舱。

意识到问题的严重性后，研究人员立即开始了披露流程，并于 2024 年 4 月联系了相关机构。他们承认了漏洞的严重性，并确认 FlyCASS 已于 2024 年 5 月 7 日与 KCM/CASS 系统断开连接，作为预防措施。

不久之后，FyCASS 上的漏洞得到了修复。然而，在进一步协调安全披露漏洞时却遭到了抵制。

TSA 新闻办公室还向研究人员发送了一份声明，否认该漏洞的影响，声称该系统的审查过程将防止未经授权的访问。在得到研究人员的通知后，TSA 还悄悄地从其网站上删除了与其声明相矛盾的信息。

该漏洞可能会导致更广泛的安全漏洞，例如更改现有的 KCM 成员资料以绕过对新成员的任何审查程序。

研究人员的报告发布后，另一位研究人员发现，FlyCASS 似乎在 2024 年 2 月遭受了 MedusaLocker 勒索软件攻击，Joe Sandbox 分析显示了加密文件和勒索信。

今年 4 月，TSA 获悉一份报告称，第三方数据库中存在一个漏洞，其中包含航空公司机组人员信息，通过对该漏洞的测试，一个未经验证的姓名被添加到了数据库的机组人员名单中。目前，政府数据或系统没有受到损害，这些活动也没有对交通安全造成影响。

截止到发稿前，TSA 已制定程序来验证机组人员的身份，只有经过验证的机组人员才被允许进入机场的安全区域。

近期，安全研究人员发现威胁者开始使用渐进式 Web 应用程序冒充银行应用程序并窃取 Android 和 iOS 用户的凭据。

渐进式 Web 应用程序 (PWA) 是跨平台应用程序，可以直接从浏览器安装，并通过推送通知、访问设备硬件和后台数据同步等功能提供类似原生的体验。

在网络钓鱼活动中使用此类应用程序可以逃避检测，绕过应用程序安装限制，并获得设备上危险权限的访问权限，而无需向用户提供可能引起怀疑的标准提示。

该技术于 2023 年 7 月在波兰首次被发现，而同年 11 月发起的后续活动则针对捷克用户。

网络安全公司 ESET 报告称，它目前正在追踪两个依赖这种技术的不同活动，一个针对匈牙利金融机构 OTP Bank，另一个针对格鲁吉亚的 TBC Bank。

然而，这两起攻击活动似乎是由不同的威胁分子发起的。其中一个组织使用不同的命令和控制 (C2) 基础设施来接收被盗凭证，而另一个组织则通过 Telegram 记录被盗数据。

感染链

ESET 表示，这些活动依靠多种方法来接触目标受众，包括自动呼叫、短信（短信网络钓鱼）以及 Facebook 广告活动中精心制作的恶意广告。

在前两种情况下，网络犯罪分子会用虚假消息诱骗用户，称他们的银行应用程序已过时，出于安全原因需要安装最新版本，并提供下载钓鱼 PWA 的 URL。

PWA 活动感染流程

在社交媒体上发布恶意广告的情况下，威胁分子使用冒充的银行官方吉祥物来诱导合法感，并宣传限时优惠，例如安装所谓关键应用更新即可获得金钱奖励。

网络钓鱼活动中使用的恶意广告之一

根据设备（通过 User-Agent HTTP 标头验证），点击广告会将受害者带到虚假的 Google Play 或 App Store 页面。

虚假的 Google Play 安装提示（左）和进度（右）

点击“安装”按钮会提示用户安装一个伪装成银行应用程序的恶意 PWA。在某些情况下，在 Android 上，恶意应用程序以 WebAPK（由 Chrome 浏览器生成的原生 APK）的形式安装。

网络钓鱼应用程序使用官方银行应用程序的标识符（例如，看似合法的登录屏幕徽标），甚至将 Google Play Store 声明为该应用程序的软件来源。

恶意 WebAPK（左）和钓鱼登录页面（右）

在移动设备上使用 PWA 的吸引力

PWAs 旨在跨多个平台运行，因此攻击者可以通过单一网络钓鱼活动和有效载荷瞄准更广泛的受众。

不过，其主要好处在于可以绕过谷歌和苹果对官方应用商店之外的应用安装限制，以及可能提醒受害者注意潜在风险的“从未知来源安装”警告提示。

PWAs 可以紧密模仿原生应用的外观和感觉，尤其是在 WebAPK 的情况下，图标上的浏览器徽标和应用内的浏览器界面都是隐藏的，因此几乎不可能将其与合法应用程序区分开来。

PWA（左）和合法应用程序（右）

WebAPK 难以区分，因为它们的图标中没有 Chrome 徽标。这些 Web 应用可以通过浏览器 API 访问各种设备系统，例如地理位置、摄像头和麦克风，而无需从移动操作系统的权限屏幕请求这些权限。

最终，攻击者可以在无需用户交互的情况下更新或修改 PWA，从而允许动态调整网络钓鱼活动以获得更大的成功。

滥用 PWAs 进行网络钓鱼是一种危险的新兴趋势，随着越来越多的网络犯罪分子意识到其潜力和优势，这种趋势可能会发展到新的程度。

北京时间2024年8月6日14时42分，随着指挥员一声令下，烈焰从长征六号甲运载火箭底部喷射而出，火箭成功将“千帆星座”首批组网卫星——千帆极轨01组18颗卫星送入预定轨道，标志着中国低轨卫星互联网组网正式启动，未来将带动中国商业航天全产业链数万亿的市场发展空间。

随着卫星互联网产业发展逐步驶入“快车道”，其应用场景与商业模式在迅速落地，“相伴而生”的安全挑战也已经迫在眉睫。近日，盛邦安全董事长权小文，就卫星互联网产业发展现状、面临挑战以及安全机制构建等话题进行了深入探讨。

作为在网络安全领域从业二十几年的“老兵”，权小文指出，卫星互联网虽是基于卫星通信技术完成网络接入，但卫星互联网不是卫星网络简单升级，而是全新产业变革；卫星互联网安全也不是卫星网络安全或者互联网安全的简单移植，而是需要基于场景和业务需求，构建端到端的安全防护能力；卫星互联网安全既需要明晰的顶层设计，也需要极具操作性的产业实践，“加密”兼具成本和快速落地优势，是最佳技术实现路径。权小文表示，作为国内率先进军卫星互联网安全赛道的专业厂商，盛邦安全一直坚持“差异化思考”和“长期主义”，通过自研+并购的方式，已经形成了完整、丰富的卫星互联网安全产品组合。

中国版“星链”顺利入轨，卫星互联网开启万亿“新蓝海”

上个月，中国版“星链”——千帆星座（G60星链计划）首批组网卫星成功发射，“一箭18星”顺利升空入轨，彻底点燃了市场和产业发展的激情。

权小文指出，千帆星座的首发成功说明我国围绕卫星互联网已经有实际的动作和落地，而不再仅是局限于传统卫星网络。在他看来，无论从产业政策、技术储备、运营主体、商业模式探索哪个层面来看，我国卫星互联网产业都已经迈入奇点。

近年来，我国高度重视和支持卫星互联网产业发展，出台了一系列政策与措施。2020年4月，国家发改委将卫星互联网纳入“新基建”信息基础设施范畴。工信部2021年印发《“十四五”信息通信行业发展规划》提出了加快布局卫星通信，初步形成覆盖全球、天地一体的信息网络，为陆、海、空、天各类用户提供全球信息网络服务。

2024年1月，工信部等七部门联合印发《关于推动未来产业创新发展的实施意见》提出要强化新型基础设施，前瞻布局6G、卫星互联网、手机直连卫星等关键技术研究。8月，工信部发布的《关于创新信息通信行业管理优化营商环境的意见》中提到及，“有序推进卫星互联网业务准入制度改革，更好地支持民营电信企业发展”。这将为民营企业深度参与卫星互联网建设提供新机遇，加速商业落地服务场景的成型。

在国家政策加持下，我国卫星互联网产业持续向好发展，技术储备充足。2023年以来，我国在卫星互联网技术方面取得了诸多成就，如星上处理、一箭多星、低轨星座、通信等领域均实现了标志性技术突破，为产业跨越式发展提供了坚实基础。运营主体方面，2021年中国卫星网络集团有限公司成立。作为千帆星座计划的核心企业，成立于2018年的垣信卫星在今年完成了总额67亿元的A轮融资，显示出产业资本的强烈看好。

据中信证券预测，我国卫星互联网产业有望迎来万亿元市场规模，其巨大的发展空间预示着一个崭新时代的到来。但机会只是留给有准备的人。

“卫星互联网不是卫星网络简单升级，而是全新产业变革”

卫星互联网，顾名思义，即“卫星”+“互联网”，是一种以卫星为接入手段的互联网宽带服务模式。权小文指出，卫星互联网并不是简单地对传统卫星网络进行升级改造，而是一种全新的产业变革，它将卫星通信与互联网技术相结合，形成一套天网地网融合的新型网络系统。

权小文表示，卫星互联网系统充分利用了互联网的资源优势，并借助低轨卫星的优势来弥补地面网络覆盖不足的问题。在他看来，现阶段的卫星互联网发展类似于20年前的互联网发展。“卫星互联网本质上应该是天网地网的混合架构，两者相辅相成，发挥各自优势，而非彼此割裂。”目前，多数从业者仍然来自传统的卫星通信领域，这种状况需要改变，权小文建议应充分吸纳更多来自互联网行业的专业人才。

虽然起步很早，但卫星通信的市场盘子一直在百亿级徘徊。“传统卫星网络与地面网络相对独立，只在用户服务器处交接，连接有限。而卫星互联网通过技术手段将两张网络整合为一张无缝对接、天地融合的网络，实现真正意义上的万物互联，极大地扩展了服务范围和应用场景，且与不同领域业务生产关系越来越紧密。”例如，在农业监测网（农联网）和船舶通信网（船联网）等领域，卫星互联网能够提供实时数据传输和连续覆盖，从而显著提升农业生产效率和海上航行的安全性与可靠性。

从现阶段来看，卫星互联网并没有全球统一的标准。权小文指出，卫星在组网中的占比与不同组织对卫星互联网的理解与业务需求密切相关。目前，卫星互联网有两种工作模式：天基网络，即用户间直接通过卫星和星间链路实现端到端连接，不需要地面网络设施参与；天网地网，即卫星间由星间链路连接，地面信关站通过地面网络连接。根据任务需求，用户数据可经卫星转发到另一端用户，也可经单跳或多跳星间转发到信关站，再通过地面网络完成传输。

对于这两种工作模式的差异性，权小文认为，直接通过卫星传输数据的成本较高且可能会增加延迟；而利用地面IP网络进行传输成本更低且延迟更小。但他同时指出，两种技术路线没有对错之分，关键在于它们的应用场景与工作负载，综合考虑成本、性能等因素，找到最合适的平衡点。对于通用解决方案，天网和地网应各自发挥优势，而围绕特定应用，则需合理设计组网模式。例如，对于遥感和遥测任务，考虑到数据量巨大，可能更适合在卫星端进行处理。

盛邦安全发现，Starlink则采用了一种独特的策略，既非完全依赖天基传输也非完全依靠地面网络，而是根据实际需要，按照马斯克“第一性原理”灵活选择。这种方式可能会在信关站之间构建一个专用的IP网络，并通过VPN进行数据传输，以此来降低成本并提高效率。

卫星互联网需要端到端安全能力，加密是最佳技术路径

现代社会，随着数据成为重要的战略资产，安全意识也在快速觉醒。作为一种全新的全域全业务承载平台，卫星互联网在技术架构、组网概念、应用场景等方面都发生了显著变化，不仅带来了更多的卫星、更大的带宽，还增加了更多路径和终端，因此对安全提出了更高要求。

而传统卫星网络的安全问题之所以过去没有引起广泛关注，主要是因为它较小众且远离公众视野。但随卫星互联网的发展，这些问题逐渐浮出水面。传统的卫星网络架构存在诸多安全隐患，类似于20年前互联网安全，到处都是“窟窿”。“从产业发展和大国博弈角度来看，卫星互联网发展需要‘狂奔’；但从可持续发展角度，我们必须要高度关注安全问题，不能‘蒙眼狂奔’更不能是‘裸奔’。”

那么该如何构建安全机制？权小文指出，首先要顶层布局，明确卫星互联网技术定义和发展方向。同时推动相关标准制定，标准先行有助于实现地面网络与卫星网络的融合。“安全作为‘伴生品’，只有统一，才能发展安全。良好的体系结构设计能降低安全风险，将使安全措施更为高效，减少不必要的复杂性和成本。”

二是做好两个“安全”，即通信安全与测控安全。卫星互联网安全的范围涵盖从卫星发射到地面接收站（信关站）以及最终到达用户接入点（POP点）的全过程。在这个过程中，信关站与POP点之间是不开放的，运营商需要确保组网过程中的安全性。信号落地至信关站，便进入了IP网络领域，可采用与地面网络相同的保护措施。

在权小文看来，从卫星到信关站的数据传输是没有边界的，需采用端到端的安全解决方案。其中，最有效且成本最低的方式就是加密。与此同时，测控安全则需通过构建Overlay网络等策略，增强地面测控网络的安全性，同时保障快速路由大数据传输能力，以支持如遥感遥测等大量数据的实时传输和控制。

不做保安做保镖，卫星互联网安全需要坚持“长期主义”

当前，我国正迎来卫星互联网大规模组网的“黄金时代”。按照相关规划，我国在后续十年内要完成2万多颗卫星的发射，长坡厚雪的卫星互联网安全赛道已然成形。

据权小文介绍，盛邦安全早在2021年就开展了卫星互联网安全技术的研发，在行业中率先布局，加大安全检测和防护技术领域的投入，围绕卫星互联网的体系结构、脆弱性等开展形成卫星互联网网络空间态势；通过漏洞识别评估发展出5G/6G卫星互联网漏洞分析技术等脆弱性检测技术，并在卫星互联网安全领域申请多项专利。

谈及公司发展历程，权小文展现出“差异化思考”能力。盛邦安全在紧跟行业发展步伐的同时，始终坚持“长期主义”，早期“精”，中期做“深”，现在做“融合”。

在发展的最初五年，与行业内普遍追求多样化产品线不同，盛邦安全选择深耕一个领域，专注于将产品和服务做到精益求精。第二阶段深入具体场景，将网络安全“实战化”，“这意味着安全解决方案不仅要存在，更要发挥实效价值，“要做‘保镖’而不是‘保安’。”第三阶段做交叉融合，“当技术发展到一定程度后，单一技术的迭代空间有限，融合则成为关键。卫星互联网不仅是技术的融合，也是一种应用场景的融合，会创造更多商业价值，特别是对于最终用户而言。”

虽然是行业的先行者，但盛邦安全并不拒绝和害怕竞争。“这个市场需要有更多人进入，才能更快更好发展。”权小文表示。而对于盛邦安全来说，秉持“长期主义”精神，做到融合化和实战化，真正能提供价值，实用性、实战性是核心。

确实，卫星互联网的未来属于所有勇于探索和不断创新的人们。这是一条需要众人拾柴、共同铺就的光明大道。而在这一过程中，还需完善标准，持续创新技术，构建坚实安全防线，共同推动这一新兴产业健康与可持续发展。

文章来源自：C114通信网 

2024 年上半年，勒索软件受害者向网络犯罪分子支付了 459,800,000 美元，如果赎金支付继续保持这一水平，今年将创下新高。

去年，勒索软件支付达到了创纪录的 11 亿美元，研究人员此前根据上半年收集的数据预测了这一数字，当时勒索软件活动总额为 449,100,000 美元。

尽管大规模执法行动扰乱了 LockBit 等大型勒索软件即服务运营，但目前的勒索软件数量仍比 2023 年同期破纪录的轨迹高出约 2%。

根据 Chainalysis 的最新报告，这种增长是由于勒索软件团伙专注于通过攻击大型组织来造成代价高昂的破坏，并窃取客户的个人数据以获取更大额度的赔偿。

报告指出：“2024 年将成为勒索软件支付收入最高的一年，这在很大程度上是由于该组织发起的引人注目的攻击较少，但收取的赎金却很大。

2024 年是有史以来最大的勒索软件支付年，约 7500 万美元支付给 Dark Angels 勒索软件组织。”

目前尚不清楚是谁支付了 7500 万美元的巨额赎金，但发现这笔赎金的 Zscaler 表示，这笔赎金是由财富 50 强中的一家公司为 2024 年初的一次攻击而支付的。

勒索软件实施者瞄准较大组织的一个明显指标是，赎金中位数大幅增加，从 2023 年初的不到 199,000 美元增加到 2024 年 6 月的 1,500,000 美元。

赎金支付流入（2023 年 - 橙色，2024 年 - 蓝色）

Chainalysis 表示，根据 eCrime.ch 情报，2024 年确认的勒索软件攻击数量同比增长了 10%，而暗网勒索门户网站上公布的受害者数量也出现了类似的增长。

至于有多少受害者屈服于威胁者的勒索并选择支付赎金以换取解密器和不泄露被盗数据的承诺，研究人员表示，积极的趋势仍在继续，屈服于勒索的组织越来越少。

根据报告的链上数据显示，勒索软件支付事件总数同比下降了 27.27%，因此支付率仍在下降。这证实了 Coveware 之前的报告，根据该报告，今年第一季度的赎金支付率创下了历史新低，仅为 28%。

勒索软件活动概述

加密犯罪概述

报告称，被盗加密货币的流入量同比增长了一倍，从 8.57 亿美元增加到 2024 年 7 月底的 15.8 亿美元。

因网络犯罪而损失的资金金额

每次盗窃的加密货币平均价值增加了约 80%，网络犯罪分子主要针对的是中心化交易所，而不是前几年遭受最多攻击的去中心化金融 (DeFi) 协议。

目标实体类型

尽管绝对数字有所增加，但值得注意的是，与 2023 年相比，非法链上活动下降了 20%，这表明合法的加密货币使用正在以更快的速度增长。

为深入学习贯彻党的二十大和二十届三中全会精神，坚持以习近平新时代中国特色社会主义思想为指导，不断加强党性锻炼，强化党纪教育，有力提升理论学习质效，推动学习成果转化，为推进党支部教育培训高质量发展提供强有力支撑，梆梆安全党支部走进江西，开展了一场“忆光辉党史 谋崭新征程”红色教育主题党日活动，在这片红色的土地上汲取力量、感悟精神。

党支部书记田晓宁同志带领支部青年党员们，赴南昌参观了八一起义纪念馆、指挥部旧址、八一起义纪念塔等。场馆里的每一件展品，每一幅图片，都在无声地诉说着当年的英勇与壮烈，那斑驳的枪支、泛黄的书信，无不镌刻着革命先辈们的坚定信念和无畏牺牲。党员们认真聆听讲解员的介绍，详细了解革命先烈们在这片土地上进行的艰苦斗争的历史。

八一起义，是划破黑暗的一道曙光，是开启新中国黎明的伟大开端。在这里，我们铭记历史，缅怀先烈，传承那份永不磨灭的革命精神，让红色基因在我们的血脉中永远流淌。在场馆参观中每位党员都深刻感受到了革命先辈们坚定的信仰和为民族解放事业付出的巨大牺牲，进一步了解了“八一革命精神”的历史背景和意义。

红色教育的第二站，我们来到了井冈山革命根据地进行专题学习，追溯那段金戈铁马、烽火连天的峥嵘岁月。“井冈山是中国革命的摇篮”、“井冈山时期留给我们最为宝贵的财富，就是跨越时空的井冈山精神”、“井冈山精神一直激励着中华儿女为祖国的解放、民族的复兴和社会的进步顽强拼搏，英勇奋斗，并取得了一个又一个伟大的胜利。”走进井冈山，使党员们进一步加深了对革命斗争精神以及革命信仰的理解，引领党员同志们感悟井冈山精神新的时代光芒，发扬艰苦奋斗作风。

党员们先后参观了小井红军医院、大井毛泽东同志旧居、黄洋界哨口、造币厂等革命旧址，通过近距离接触毛主席以及红军战士们曾经生活的地方，让广大党员深刻体会到革命队伍在极度艰苦险恶的条件下，依然矢志不渝、不怕牺牲的斗争精神。

党员同志们还一同瞻仰了井冈山革命烈士纪念碑、井冈山革命博物馆等，老一辈革命家在此地运筹帷幄、决胜千里的不朽革命传奇场景一幕幕在眼前展现，感受到了深入灵魂的洗礼，激励党员同志们不忘初心、继续前进，强化履职尽责，不断增强党纪意识，将党的指导思想付诸实践，用实际行动践行党员的使命，党员们纷纷表示会更加坚定无畏奉献、勇往直前，真正成长为对党和人民忠诚可靠的党员先锋力量。

这场走进江西的党史学习教育培训活动让各位党员们感触颇深，追寻红色足迹，感受革命历史，筑牢了党员同志的理想信念之基。每位党员分享了学习心得，也深知今天的幸福生活是革命先辈的鲜血换来的，我们应继承优良的民族传统，发扬艰苦朴素的优良作风，担负起民族复兴的使命。

学习心得节选

1.旅程的首站是南昌八一起义纪念馆和八一广场。站在起义纪念塔下，回望那决定性的一刻，心中涌动的是对先辈们无畏牺牲、勇于探索革命道路的无限敬仰。这里，是中国共产党独立领导武装斗争的开始，是人民军队的摇篮。每一幅历史画面，每一件展品，都仿佛在诉说着那段烽火连天的岁月，让我更加坚定对党忠诚的信念。

——余壮

2.行走在这片热土上，感受着先辈们留下的深刻印记，我的心情无比激动。在南昌，我们重访了多个革命历史遗址，每一步都似乎能听到历史的回音，感受到那份为理想而斗争的坚定与勇敢。而站在井冈山的山顶，俯瞰着这片革命的摇篮，更是让人心潮澎湃。这里不仅是红色故事的起点，也是无数英雄儿女血与火、生与死的见证。

——岳永露

3.当参观了井冈山革命博物馆，博物馆系统、全面地记录了中国工农革命军从1927年10月直至1930年2月期间的整个过程，一共分为七个展馆。我们在馆内一步一步走着，目睹着井冈山怎样从一块默默无闻的土地发展成为中国革命历史上最伟大的革命根据地。我知道，我们脚下每迈出的一步，都是无数革命先烈用鲜血与生命铺垫而成的。

——赵亮

4.在各个革命旧址、纪念馆和青山绿水中深切地感受到百年前一段段艰难的历史。我总是在想先烈们到底是抱着怎样的意志与决心去顽强斗争的，在那么艰苦的环境如何能笃定的相信“星星之火，可以燎原”，简陋的医院、小小的只有一盏油灯的屋子，曲折的山路，险要的地势。因为信仰，他们用生命和鲜血铺就了通往胜利的道路，让百年后的我们看到今日绿树成荫、风景大好的井冈山，生活在和平年代的我们更应珍惜和守护当下和平的生活，将井冈山精神传递下去，星火相传，行路不止。

——马雁冰

5.参观小井红四军医院旧址，当曾志先生的孙子想依靠先生的个人影响力解决户口问题时，先生想到的是无数先烈的牺牲、无名战士的奉献才换来的大好河山不能被解决一己私利的蛀虫思想所侵蚀，我深深地被先生那种无产阶级的崇高理想和觉悟而感染了。联系到工作中也是一样的，无数前辈的艰苦创业成就了公司这个“大我”，公司给作为“小我”的我们每个员工提供了发展的平台，我们应当感恩公司并且致力于为公司做出更大的贡献，作为一名普通员工如此，而作为一名共产党员，更应该如此。

——董学飞

6.走在井冈山的山间小道上，仿佛能看到当年红军战士们艰苦奋战的身影。他们在艰苦的环境下，依靠坚定的信念和顽强的意志，与敌人进行着殊死搏斗。井冈山的一草一木，都见证了那段艰苦卓绝的岁月。在这里，我感受到了革命先辈们的艰苦奋斗精神和无私奉献精神。他们为了实现共产主义的伟大理想，不惜牺牲自己的生命，这种精神深深地打动了我。

——程显龙

此次活动通过带领大家追溯红色记忆，赓续红色血脉，砥砺并传承奋斗精神，进一步激励党员群众坚定理想信念，发扬敢为人先、百折不挠、严正纪律、艰苦奋斗的精神力量，为实现农业强国建设不懈奋斗。

下一步，梆梆安全党支部会继续把学习贯彻习近平新时代中国特色社会主义思想作为首要政治任务，始终把加强理论武装作为重要基础和有力抓手，建立多形式学习机制，推动党的创新理论入脑入心、刻骨铭心，以党的创新理论滋养初心、引领使命，构建以习近平新时代中国特色社会主义思想为统领、以“理论教育、红色基因传承、党章党规党纪教育、履职能力提升”四大板块为主要内容的特色学习体系，坚持“红色基因”与“时代精神”紧密结合，真正发扬红色传统，聚焦学习成果的转化运用，赋能党建高质量发展！

近日，工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2026年1月1日起开始实施。

智能网联汽车产品安全是消费者关注的焦点，也是智能网联汽车产业持续健康发展的根本保障。为贯彻落实《国家标准化发展纲要》《国家车联网产业标准体系建设指南（智能网联汽车）》等要求，提升智能网联汽车产品安全水平，工业和信息化部自2019年起即立足我国智能网联汽车行业管理需求、产业发展实际和技术进步需要，陆续启动智能网联汽车领域相关强制性国家标准制定工作，并在研制过程中与联合国UN R155《关于就信息安全与信息安全管理体系方面批准车辆的统一规定》和UN R156《关于就软件升级与软件升级管理体系方面批准车辆的统一规定》等国际法规充分协调。

其中：GB 44495—2024《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求，以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法，适用于M类、N类及至少装有1个电子控制单元的O类车辆，对于提升我国汽车产品的信息安全防护技术水平、强化产业链风险防范和应对网络攻击的能力、筑牢汽车信息安全防护基线具有重要意义。

GB 44496—2024《汽车软件升级通用技术要求》规定了汽车软件升级的管理体系要求，以及用户告知、版本号读取、安全保护、先决条件、电量保障、失败处理等车辆软件升级功能方面的技术要求和试验方法，适用于具备软件升级功能的M类、N类和O类车辆，为规范车企软件升级行为、保障消费者权益和落实软件升级监管政策奠定坚实的标准基础。

GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》规定了智能网联汽车自动驾驶数据记录系统的数据记录、数据存储和读取、信息安全、耐撞性能、环境评价性等方面的技术要求和试验方法，适用于M和N类车辆配备的自动驾驶数据记录系统，将为事故责任认定及原因分析提供技术支撑，有利于促进自动驾驶技术进步。

本次发布的三项标准是我国智能网联汽车领域的首批强制性国家标准，是我国智能网联汽车技术的创新成果与经验总结，对提升智能网联汽车安全水平、保障产业健康持续发展具有重要意义。

文章来源：工业和信息化部装备工业一司

一个名为 Cicada3301 的新勒索软件即服务 (RaaS) 行动迅速在全球发起了网络攻击，已在其勒索门户网站上列出了 19 名受害者。

这项新的网络犯罪行动以游戏命名，该游戏涉及复杂的加密谜题，并使用相同的徽标在网络犯罪论坛上进行推广。然而，其实两者之间没有任何联系。

Cicada3301 RaaS 已于 2024 年 6 月 在勒索软件和网络犯罪论坛 RAMP 的论坛帖子中首次开始推广该行动并招募会员。

然而，外媒早已注意到 Cicada 攻击，这表明该团伙在试图招募分支机构之前是独立运作的。

Cicada3301 勒索软件运营商在 RAMP 论坛上寻找附属机构

与其他勒索软件操作一样，Cicada3301 采取双重勒索策略，即入侵公司网络、窃取数据，然后加密设备。然后利用加密密钥和泄露被盗数据的威胁作为手段，恐吓受害者支付赎金。

威胁者运营一个数据泄露网站，将其用作双重勒索计划的一部分。

Cicada3301 勒索门户

Truesec 对新恶意软件的分析显示，Cicada3301 与 ALPHV/BlackCat 之间存在显著的重叠，表明可能是由前 ALPHV 核心团队成员创建的品牌重塑或分叉。

这是基于以下事实：

·两者都是用 Rust 编写的。

·两者都使用 ChaCha20 算法进行加密。

·两者都使用相同的 VM 关闭和快照擦除命令。

·两者都使用相同的用户界面命令参数、相同的文件命名约定和相同的勒索信解密方法。

·两者都对较大的文件使用间歇性加密。

具体来说，ALPHV 在 2024 年 3 月初实施了一次退出骗局，涉及虚假声称 FBI 正在进行的打击行动，此前他们从 Change Healthcare 的一家附属公司窃取了 2200 万美元的巨额付款。

Truesec 还发现有迹象表明，Cicada3301 勒索软件行动可能与 Brutus 僵尸网络合作或利用该网络对企业网络进行初始访问。该僵尸网络之前曾与针对思科、Fortinet、Palo Alto 和 SonicWall 设备的全球规模 VPN 暴力破解活动有关。

值得注意的是，Brutus 活动是在 ALPHV 关闭运营两周后首次发现的，因此从时间线来看，这两个组织之间的联系仍然存在。

VMware ESXi 面临另一个威胁

Cicada3301 是一款基于 Rust 的勒索软件，同时具有 Windows 和 Linux/VMware ESXi 加密器。作为 Truesec 报告的一部分，研究人员分析了勒索软件操作的 VMWare ESXi Linux 加密器。

与 BlackCat 和其他勒索软件系列（如 RansomHub）一样，必须输入特殊密钥作为命令行参数才能启动加密器。此密钥用于解密加密的 JSON blob，其中包含加密器在加密设备时将使用的配置。

Truesec 表示，加密器会使用密钥解密勒索信来检查密钥的有效性，如果成功，则继续执行其余的加密操作。

其主要功能（linux_enc）使用 ChaCha20 流密码进行文件加密，然后使用 RSA 密钥加密过程中使用的对称密钥。加密密钥是使用“OsRng”函数随机生成的。

Cicada3301 针对与文档和媒体文件匹配的特定文件扩展名，并检查其大小以确定在哪里应用间歇性加密（> 100MB）以及在哪里加密整个文件内容（<100MB）。

在加密文件时，加密器会在文件名后附加一个随机的七个字符的扩展名，并创建名为“RECOVER-[扩展名]-DATA.txt”的勒索信，如下所示。

值得注意的是，BlackCat/ALPHV 加密器也使用了随机的七个字符的扩展名和名为“RECOVER-[扩展名]-FILES.txt”的勒索信。

Cicada3301 勒索信

勒索软件的操作员可以设置休眠参数来延迟加密器的执行，从而可能逃避立即检测。“no_vm_ss”参数还命令恶意软件加密 VMware ESXi 虚拟机而不尝试先关闭它们。

但是，默认情况下，Cicada3301 首先使用 ESXi 的“esxcli”和“vim-cmd”命令关闭虚拟机并删除其快照，然后再加密数据。

Cicada3301 的成功率表明攻击者经验丰富，且目的明确清晰。这进一步支持了 ALPHV 重启的假设，或者至少利用了具有勒索软件经验的关联方。

新勒索软件专注于 ESXi 环境，凸显了其战略设计，旨在最大限度地破坏企业环境，而许多威胁者现在将企业环境作为获利目标。

Cicada3301 将文件加密与破坏虚拟机操作和删除恢复选项的能力相结合，确保可以发起影响整个网络和基础设施的高影响力攻击，从而最大限度地给受害者施加压力。

万象AI，安全新生！CCS2024成都网络安全系列活动将于9月11日-12日在成都高新创合中心A座3楼举办。本次活动秉持国际化、专业化、高端化水准，深度聚焦网络安全产业链与生态链的协同发展，强化创新合作，不断挖掘并催生新的发展动能与机遇，携手业界精英共同开拓网络安全人才培育和产业发展的广阔空间。

2024 年 9月，领先的网络安全平台提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）签署了收购外部风险管理解决方案提供商 Cyberint Technologies公司的最终协议。这将大大增强 Check Point 安全运维中心 (SOC) 的能力，并扩展其托管威胁情报产品。Cyberint 的高级功能不仅会集成到 Check Point Infinity 平台中，用于协同式威胁防御，而且还将通过 Check Point Infinity 平台服务作为托管服务提供。   

Cyberint 成立于2010 年，在全球拥有170 多名员工，是市场上发展速度最快的外部风险管理公司之一，被 Frost & Sullivan 评为 2023 年外部风险缓解和管理类别“年度最佳公司”。近年来，世界各地的企业每天都面临着严峻的安全挑战，包括员工凭证被盗、虚假网站和社交媒体仿冒。为了帮助各类用户防范这些风险和挑战，Cyberint 一直致力于凭借可靠的威胁情报、数字风险防护及攻击面管理，为包括财富 500 强公司在内的全球客户提供服务。  

Cyberint 首席执行官 Yochai Corem 表示：“如今，凭证泄露和恶意虚假网站屡见不鲜，给超过 90% 的机构带来威胁。这充分说明，用户亟需获取实时情报并采取主动防御策略，而我们的技术正好能够有效满足这一需求。我们很高兴能加入 Check Point 公司，并希望通过将我们的解决方案集成到 Infinity 平台中，显著增强对用户的保护能力。此次合并之后，我们将能够提供更全面的安全 SOC 产品，高效防御内外部威胁。”

Check Point 软件技术公司首席服务官 Sharon Schusheim 表示：“我们由衷地欢迎 Cyberint 加入 Check Point。Cyberint 的解决方案与我们的协同式威胁防御愿景完美契合，可显著增强我们的 SOC 能力，使我们能够将发现的风险转化为自主防御措施，结合使用 Check Point 和第三方安全产品，共同控制受损资产并缓解外部风险。”  

Cyberint 解决方案的主要功能包括：   

· 面向 SecOps 团队的全面外部风险管理解决方案：Cyberint 的解决方案不仅可以检测并追踪假冒网站和社交媒体账户（以及与用户相关的被盗凭证和泄露数据），而且还能够帮助公司检测易受攻击的开放网站和应用，并有效缓解相关漏洞。   

· 通过提供实用的情报实现差异化优势：Cyberint可在设置完毕后 20 分钟内提供实用情报，确保安全防护团队能够及时应对威胁。   

· 采用 AI 技术并背靠高质量托管服务：Cyberint采用 AI 提供有效的风险检测、缓解和情境化警报，同时将误报率降至最低。托管服务则提供专家指导，可确保全面的高质量管理。  

*此次收购依据惯例成交条件，预计将于 2024 年底完成。  

国家网络安全宣传周

网络安全知识手册

2024年国家网络安全宣传周将于9月9日至15日在全国范围举行。

网络安全知识手册，正式发布！

请将手机旋转90度、锁定屏幕，

开启网络安全知识学习之旅吧~

文章来源自：网络安全宣传周

基于 Corona Mirai 的恶意软件僵尸网络通过 AVTECH IP 摄像机中存在 5 年之久的远程代码执行 (RCE) 零日漏洞进行传播，目前这些摄像机已停产多年，不会收到补丁。

该漏洞由 Akamai 的 Aline Eliovich 发现，编号为 CVE-2024-7029，是摄像机“亮度”功能中的一个高严重性问题，CVSS v4 评分为8.7，允许未经身份验证的攻击者使用特制的请求通过网络注入命令。

具体来说，这个易于利用的漏洞存在于 AVTECH 摄像机固件的“action=”参数中的“亮度”参数中，该参数旨在允许远程调整摄像机的亮度，影响所有运行 Fullmg-1023-1007-1011-1009 固件版本的 AVTECH AVM1203 IP 摄像机。

由于受影响的型号已于 2019 年达到使用寿命 (EoL)，因此没有补丁可以解决 CVE-2024-7029，并且预计不会发布修复程序。

美国网络安全和基础设施安全局在本月初发布了一份公告，警告 CVE-2024-7029 及其公开漏洞的可用性，并警告这些摄像头仍在商业设施、金融服务、医疗保健和公共卫生以及交通系统中使用。

该漏洞的概念验证 (PoC) 漏洞至少自 2019 年起就已存在，但本月才分配了 CVE，并且之前尚未观察到任何主动利用。

CVE-2024-7029 的 PoC 漏洞利用

正在进行开发

Corona 是一个基于 Mirai 的变种，至少从 2020 年就已经存在，利用物联网设备中的各种漏洞进行传播。

Akamai 的 SIRT 团队报告称，从 2024 年 3 月 18 日开始，Corona 开始在野外利用 CVE-2024-7029 发动攻击，目标是仍在使用的 AVM1203 摄像机，尽管它们五年前就已经达到 EoL。

观察到的第一次活跃活动始于 2024 年 3 月 18 日，但分析显示，该变体早在 2023 年 12 月就已开始活动。CVE-2024-7029 的概念验证 (PoC) 至少从 2019 年 2 月起就已公开，但直到 2024 年 8 月才有适当的 CVE 分配。

Akamai 的蜜罐捕获的 Corona 攻击利用 CVE-2024-7029 下载并执行 JavaScript 文件，进而将主要僵尸网络负载加载到设备上。

一旦嵌入到设备上，恶意软件就会连接到其命令和控制 (C2) 服务器并等待执行分布式拒绝服务 (DDoS) 攻击的指令。

根据 Akamai 的分析，Corona 针对的其他缺陷包括：

·CVE-2017-17215：品牌路由器中存在的一个漏洞，远程攻击者可以利用 UPnP 服务中的不当验证在受影响的设备上执行任意命令。

·CVE-2014-8361：Realtek SDK 中的远程代码执行 (RCE) 漏洞，常见于消费级路由器。该漏洞可通过这些路由器上运行的 HTTP 服务被利用。

·Hadoop YARN RCE：Hadoop YARN（又一个资源协商器）资源管理系统中的漏洞，可被利用在 Hadoop 集群上执行远程代码。

建议 AVTECH AVM1203 IP 摄像机的用户立即将其下线并替换为更新的、积极支持的型号。

由于 IP 摄像头通常暴露在互联网上，因此很容易成为威胁者的目标，因此它们应始终运行最新的固件版本，以确保已知错误得到修复。如果设备停产，应将其更换为较新的型号，以继续接收安全更新。

近日，由中央网信办网络安全协调局指导，中国网络安全产业联盟（CCIA）举办的“2024年网络安全优秀创新成果大赛”（以下简称“大赛”）已圆满结束。

大赛围绕网络安全领域典型应用场景、创新技术，征集并评选优秀网络安全创新成果，在杭州、哈尔滨举办2场分站赛，围绕安全严选、数据安全和个人信息保护、汽车网络安全专题举办3场专题赛。

“汽车网络安全专题赛”评选结果正式公布，梆梆安全汽车信息安全测试平台凭借创新理念、成熟技术和给车企、零部件供应商、检测机构带来的经济效益等优势，获得评审专家高度认可，在众多解决方案中脱颖而出，荣获优胜奖。

大赛盛况

“2024年网络安全优秀创新成果大赛”是国家网络安全宣传周重要活动之一，致力于发现我国网络安全产业优秀创新成果，激发网络安全企业加强自主创新能力，提升网络安全产品和服务供给能力和质量，搭建网络安全企业、技术、人才和资本合作平台，推进网安产业结构化升级，推动网络安全产业高质量发展。

梆梆安全参与的汽车网络安全专题赛解决方案重点面向自动驾驶数据与网络安全、车内外数据便捷收集控制、车载大模型安全、车外画面匿名化处理、座舱数据默认不收集与车内处理等。来自全国近30家网络安全企业、汽车企业提交的近30余项解决方案和创新产品参加了本次比赛。

经过来自网络安全及汽车安全相关行业部门、高校、科研机构、CCIA专家委专家共同组成的专家团评审，梆梆安全荣获优胜奖。

获奖方案

梆梆安全汽车信息安全测试平台是一款针对整车和零部件进行信息安全测试和管理的系统。平台提供信息安全测试知识库，包含规范标准库、测试用例库、测试工具库，可以方便的为企业的测试人员赋能，提高企业的汽车信息安全测试能力。

平台提供全面的测试管理能力，管理内容包括测试对象、测试项目、测试任务、测试方案、测试报告等。帮助企业方便的掌握整车和零部件的信息安全状况，以及信息安全测试工作的情况，实现对安全测试工作的可视、可管、可控。

平台内置数百条整车、零部件测试用例，涵盖硬件安全、系统安全、应用安全、通信安全等方面；工具库包含上百款常用的信息安全测试软件，工具箱集成无线电、蓝牙、Wi-Fi、芯片安全、NFC等检测硬件工具。企业可以方便的“开箱即用”的方式开始其信息安全测试工作。

梆梆安全汽车信息安全测试平台汇集梆梆安全多年汽车信息安全测试服务的专业经验和技术积累，旨在为用户提供最优质的产品，满足企业关于汽车信息安全测试的各种需求。

备战决赛

此次梆梆安全汽车信息安全测试平台荣获优胜奖，并被推选参加于2024年国家网络安全宣传周期间举办的总决赛。届时，梆梆安全资深安全专家将携获奖方案登台亮相，与一众网络安全优秀创新解决方案同台竞技，继续在保护车辆网络安全，提升汽车产品市场竞争力，保护人民生命财产安全，助力我国汽车网络安全人才培养方面发光发热。

网络安全是数字经济产业安全发展的前提和基础，也是促进数字经济发展的必要条件和重要保障。为全面展现中国网络安全产业的蓬勃发展与创新实力，近日，梆梆安全凭借在移动安全领域强劲的技术创新力和市场表现力，入选《2024年中国网络安全市场100强》榜单，彰显了行业和市场对梆梆安全品牌影响力的充分认可。

本次榜单评选旨在客观、真实准确评估网络安全企业竞争力情况，研究网络安全市场格局演变趋势，为产业相关从业者提供有效参考和指引。依托其专业的网络安全市场与企业竞争力分析方法，对国内注册的、以网络安全为主营业务的企业进行严格筛选，结合企业所提供的调研数据、相关公开数据、赛博慧眼CSRadar商业分析平台的市场成交数据，从资源支撑力和市场表现力两个关键维度进行全面评估，最终形成“2024中国网络安全市场100强企业格局”。

注：资源支撑力，是企业所依托的人力、资本、技术及销售等关键资源的聚合，直接影响企业在网络安全领域的稳定性与可持续性。

市场表现力，涵盖品牌影响力、产品竞争力、营销成效、研发能力、服务品质以及经营效益等多个方面，反映企业将自身资源转化为市场竞争优势和经营成果的能力。

此次登榜“2024年中国网络安全市场100强”榜单，是行业、市场及客户对梆梆安全在技术创新力、市场表现力、业绩成长力、品质保障力方面的高度肯定与充分认可。

梆梆安全作为移动应用安全领域的先行者，始终以客户为中心，从技术和服务理念两个层面建立全面的移动应用安全防护生态体系。在当前聚焦新质生产力的重要时刻，高度关注行业安全态势，为移动安全、数据安全、物联网安全、车联网安全、电子政务安全等领域客户的网络安全体系建设提供防护能力。

在数字经济领域网络安全风险形势严峻的当下，用户数据泄露、伪造人脸识别、共享屏幕诈骗、恶意攻击等安全事件频繁发生，不仅影响个人隐私和财产安全，还严重威胁国家关键信息基础设施的安全、稳定运行。

征程万里风正劲，梆梆安全深知维护网络安全责任重大，将持续加强核心技术的研发和创新，不断优化、迭代产品和服务，为国家数字经济发展铸就坚实的网络安全防线。