要聞速覽

1、工(gōng)信部發布《工(gōng)業控制系統網絡安全防護指南(nán)》

2、全國信安标委發布7項網絡安全推薦性國家标準計劃

3、FBI披露最新騙局，已造成超5500萬美元損失

4、DarkGate 惡意軟件正在通過微軟群聊進行大(dà)肆傳播

5、施耐德電(diàn)氣遭勒索軟件攻擊重創，TB級數據洩漏

6、1.5億條會員(yuán)信息“裸奔”，知(zhī)名火(huǒ)鍋品牌被罰

一(yī)周政策要聞

工(gōng)信部發布《工(gōng)業控制系統網絡安全防護指南(nán)》

近年來，随着信息技術的迅猛發展和工(gōng)業化進程的加速推進，我(wǒ)(wǒ)國工(gōng)業控制系統網絡安全面臨着前所未有的挑戰。工(gōng)業控制系統普遍存在安全防護措施不完善、漏洞衆多的問題，容易受到黑客攻擊、惡意軟件入侵等威脅。不僅如此，工(gōng)業控制系統往往與互聯網相連，網絡邊界不清晰，容易受到外(wài)部攻擊，對系統運行穩定性産生(shēng)嚴重影響。

工(gōng)業控制系統作爲關鍵基礎設施的重要組成部分(fēn)，其穩定運行對于保障國家經濟安全和社會穩定具有重要意義。爲适應新型工(gōng)業化發展形勢，提高我(wǒ)(wǒ)國工(gōng)業控制系統網絡安全保障水平，指導工(gōng)業企業開(kāi)展工(gōng)控安全防護工(gōng)作，以高水平安全護航新型工(gōng)業化高質量發展，工(gōng)業和信息化部印發《工(gōng)業控制系統網絡安全防護指南(nán)》。

具體(tǐ)内容如下(xià)：

全國信安标委發布7項網絡安全推薦性國家标準計劃

近日，國家标準化管理委員(yuán)會下(xià)達的推薦性國家标準計劃中(zhōng)，包括7項由全國網絡安全标準化技術委員(yuán)會歸口的标準項目，清單見附件。請項目所屬工(gōng)作組制定項目推進計劃，并督促項目牽頭承擔單位按計劃抓緊落實，在計劃執行中(zhōng)要加強協調，廣泛征求意見，确保标準質量和水平，按要求完成國家标準制修訂任務。

業内新聞速覽

FBI披露最新騙局，已造成超5500萬美元損失

安全内參1月29日消息，美國聯邦調查局（FBI）就快遞服務被用于向技術支持和冒充政府詐騙的受害者收取金錢和貴重物(wù)品一(yī)事發出警告。

聯邦調查局警告公衆稱：近期，有很多騙子誘導受害者，特别是老年人将資(zī)産變現爲現金和/或購買黃金、白(bái)銀或其他貴金屬以保護他們的資(zī)金。然後犯罪分(fēn)子會安排快遞員(yuán)與受害者本人見面，取走現金或貴金屬。

這些騙子冒充自己是技術公司的技術支持人員(yuán)、金融機構或美國政府的員(yuán)工(gōng)、美國政府官員(yuán)等等，并聲稱受害者的金融賬戶已被洩露或受到迫在眉睫的威脅，讓受害者盡快變現資(zī)産。受害者通常會被脅迫将資(zī)産兌換成現金或貴金屬，或者被指示将資(zī)金彙給金屬交易商(shāng)，然後将其購買的金屬直接運到受害者的住所。

騙子會安排快遞員(yuán)到受害者家中(zhōng)或各種公共場所取回錢款或貴金屬。爲了使詐騙進一(yī)步合法化，犯罪分(fēn)子還可能向受害人提供密碼，以驗證與快遞員(yuán)的交易。

同時，騙子還會承諾将受害者的資(zī)産存入一(yī)個安全賬戶，然後就再也沒有任何音訊，完成騙局的閉環。這種精心策劃的騙局以弱勢群體(tǐ)爲目标，已經給無數受害者造成了重大(dà)經濟損失。

聯邦調查局警告稱：自去(qù)年 5 月到 12 月，聯邦調查局互聯網犯罪投訴中(zhōng)心（IC3）發現此類活動的發生(shēng)次數激增，已累計造成超過 5500 萬美元損失。

如何防範詐騙企圖：

爲防範此類詐騙，聯邦調查局建議，切勿向合法企業或美國政府機構寄送黃金或其他貴金屬。并呼籲大(dà)家千萬不要在接到這類電(diàn)話(huà)後，就立刻把家庭住址信息告知(zhī)陌生(shēng)人，也不要和其見面寄送現金和其他貴重物(wù)品。

聯邦調查局還分(fēn)享了以下(xià)提示，以大(dà)大(dà)降低成爲類似欺詐企圖受害者的風險：

• 不要點擊電(diàn)腦上未經請求的彈出窗口、短信鏈接或電(diàn)子郵件鏈接和附件。

• 不要聯系彈出窗口、短信或電(diàn)子郵件中(zhōng)提供的陌生(shēng)電(diàn)話(huà)号碼。

• 不要應與您聯系的不明人士的要求下(xià)載軟件。

• 不要讓不明身份的人訪問您的計算機。

同時FBI敦促此類騙局的受害者立即向聯邦調查局舉報騙子，并提供盡可能多的犯罪分(fēn)子信息，例如，他們的姓名、通信方式、使用的銀行賬戶、用于購買通過快遞服務發送給騙子的黃金的金屬交易商(shāng)名稱等等。

去(qù)年 10 月，聯邦調查局警告說，影響老年人的 "幽靈黑客 "詐騙案激增，僅去(qù)年1-6月的受害者損失就超過 5.42 億美元。

聯邦調查局早在去(qù)年就曾警告稱有騙子冒充金融機構的退款支付門戶網站，利用金融機構的信譽欺騙受害者，尤其是老年人。

消息來源：安全内參  https://www.secrss.com/articles/63371

DarkGate 惡意軟件正在通過微軟群聊進行大(dà)肆傳播

據AT&T Cybersecurity 的研究顯示，有一(yī)種新的網絡釣魚攻擊通過 Microsoft Teams 群組聊天請求推送惡意附件，從而在受害者系統中(zhōng)安裝 DarkGate 惡意軟件。

據統計，攻擊者現已發送了 1000 多個惡意 Teams 群聊邀請。一(yī)旦目标對象接受聊天請求，攻擊者會誘騙他們下(xià)載一(yī)個使用雙擴展名的文件，文件名爲 "Navigating Future Changes October 2023.pdf.msi"，這是 DarkGate 常用的伎倆。

安裝成功後惡意軟件就會連接到其位于 hgfdytrywq[.]com 的命令控制服務器，Palo Alto Networks 已确認該服務器是 DarkGate 惡意軟件基礎架構的一(yī)部分(fēn)。

由于在默認情況下(xià)，微軟允許外(wài)部 Microsoft Teams 用戶向其他用戶發送消息，這才給了這種類型的網絡釣魚攻擊可乘之機。

AT&T Cybersecurity 網絡安全工(gōng)程師Peter Boyle認爲：除非日常的必要業務需使用，否則他建議大(dà)多數公司禁用 Microsoft Teams 中(zhōng)的外(wài)部訪問，因爲電(diàn)子郵件相對來說是更安全、監控更嚴密的通信渠道。同時提醒用戶警惕未經請求的信息來自何處。因爲網絡釣魚的形式很多樣，很可能不是那種典型的電(diàn)子郵件釣魚詐騙形式。

Microsoft Teams 擁有數量龐大(dà)的 2.8 億用戶，是威脅行爲者眼中(zhōng)的一(yī)塊“肥肉”。DarkGate 操作員(yuán)正是利用這一(yī)點，通過 Microsoft Teams 推送惡意軟件。

去(qù)年也出現過類似的活動，惡意行爲者通過被入侵的外(wài)部 Office 365 賬戶和 Skype 賬戶發送包含 VBA 加載器腳本附件的消息來推送 DarkGate 惡意軟件。

Storm-0324等初始訪問代理借助名爲TeamsPhisher的公開(kāi)工(gōng)具入侵企業網絡，還利用Microsoft Teams進行網絡釣魚。盡管客戶端保護措施本應阻止來自外(wài)部租戶賬戶的文件傳輸，攻擊者還是能夠通過 TeamsPhisher 能夠發送惡意有效載荷。

APT29 是俄羅斯對外(wài)情報局 (SVR) 的一(yī)個黑客部門，它利用這種方式攻擊了全球數十個組織，包括政府機構。

DarkGate 惡意軟件攻擊激增：

自去(qù)年 8 月 Qakbot 僵屍網絡被搗毀後，網絡犯罪分(fēn)子更多地轉向 DarkGate 惡意軟件加載器，将其作爲初始訪問企業網絡的首選。

而就在 Qakbot 僵屍網絡被攻陷之前，有一(yī)個自稱是 DarkGate 開(kāi)發者的人曾試圖在一(yī)個黑客論壇上出售價值 10 萬美元的年度訂購服務。DarkGate 的開(kāi)發者稱，它包含隐蔽的 VNC、繞過 Windows Defender 的工(gōng)具、浏覽器曆史記錄竊取工(gōng)具、集成的反向代理、文件管理器和 Discord 令牌竊取器等功能。

在開(kāi)發者發布消息後，就出現了越來越多的 DarkGate 攻擊事件，網絡犯罪分(fēn)子采用包括網絡釣魚和惡意廣告等多種傳播方式。

消息來源：FREEBUF  https://www.freebuf.com/news/391138.html

施耐德電(diàn)氣遭勒索軟件攻擊重創，TB級數據洩漏

近日，全球能源管理和自動化巨頭施耐德電(diàn)氣近日遭遇重大(dà)勒索軟件攻擊，導緻部分(fēn)服務中(zhōng)斷并洩露了大(dà)量機密數據。據悉，攻擊發生(shēng)于 1 月 17 日，針對公司旗下(xià)可持續發展業務部門，使用的勒索軟件爲 Cactus 變種。

Cactus 是一(yī)種新型勒索軟件，于 2023 年 5 月首次被發現，其加密方式獨特，可通過自我(wǒ)(wǒ)加密規避檢測。更令人擔憂的是，Cactus 擁有多種加密模式，包括快速模式。如果攻擊者選擇連續運行兩種模式，文件将被雙重加密，并帶有兩個文件擴展名。據悉，Cactus勒索軟件組織在網絡攻擊期間竊取了數TB的公司數據，并威脅施耐德電(diàn)氣如不支付贖金，就會洩露被盜數據。攻擊導緻施耐德電(diàn)氣的部分(fēn)資(zī)源顧問雲平台癱瘓，至今仍處于中(zhōng)斷狀态。目前尚不清楚被盜的數據類型，但令人擔憂的是，施耐德可持續發展業務部門掌握大(dà)量知(zhī)名企業的合規敏感信息，因爲該部門爲企業客戶提供咨詢服務。施耐德電(diàn)氣可持續發展業務部門的客戶包括Allegiant Travel Company、Clorox、DHL、杜邦、希爾頓、利盟、百事可樂和沃爾瑪等知(zhī)名企業。施耐德電(diàn)氣表示，公司正在進行修複工(gōng)作，預計将在未來兩個工(gōng)作日恢複受影響系統的訪問權限，并強調可持續發展業務部門的網絡與集團其他部分(fēn)隔離(lí)，此次事件不會影響其他部門。

消息來源：GoUpSec  https://baijiahao.baidu.com/s?id=1789595375440990883&wfr=spider&for=pc

1.5億條會員(yuán)信息“裸奔”，知(zhī)名火(huǒ)鍋品牌被罰

1月29日，上海市網信辦通報稱，已依法對一(yī)批未有效履行消費(fèi)者個人信息保護責任、存在嚴重問題的知(zhī)名企業予以行政處罰。記者通過采訪了解到，作爲火(huǒ)鍋界“頂流”的某知(zhī)名火(huǒ)鍋連鎖品牌赫然在列。

據上海市網信辦通報，上述知(zhī)名火(huǒ)鍋連鎖品牌違法違規行爲集中(zhōng)體(tǐ)現在兩個環節：在收集個人信息環節，其外(wài)送微信小(xiǎo)程序仍在強制索取精準位置信息；在存儲個人信息環節，其創設近30年來形成的1.5億條會員(yuán)個人信息以及18萬條公司員(yuán)工(gōng)信息未加密存儲，“多年來一(yī)直處于‘裸奔’狀态”。

“這是對消費(fèi)者最直接的風險，一(yī)旦信息發生(shēng)了洩露，可能會造成無法挽回的損失。”上海市網信辦相關負責人指出。

“裸奔”的會員(yuán)信息：

據上海市網信辦介紹，上述知(zhī)名火(huǒ)鍋連鎖品牌違法違規行爲的查實是在2023年10月底至11月。爲切實鞏固“亮劍浦江”個人信息權益保護專項執法行動成效，上海市網信辦其間啓動了“回頭看”執法檢查，該火(huǒ)鍋品牌系執法檢查對象之一(yī)。在對外(wài)發布的通報中(zhōng)，上海市網信辦稱，該火(huǒ)鍋品牌1.5億條會員(yuán)個人信息及18萬條員(yuán)工(gōng)信息未采取相應的加密措施。澎湃新聞進一(yī)步獲悉，1.5億條會員(yuán)個人信息涉及的對象爲該火(huǒ)鍋品牌創設至今收集的中(zhōng)國大(dà)陸地區會員(yuán)，主要爲會員(yuán)的手機号碼、郵箱号碼等。而18萬條的員(yuán)工(gōng)個人信息甚至包括姓名、身份證号碼、手機号碼、家庭地址等在内的比較敏感的個人信息。公開(kāi)資(zī)料顯示，作爲知(zhī)名連鎖品牌，該火(huǒ)鍋品牌創設至今已近30年，在中(zhōng)國大(dà)陸地區的餐廳更是超過千家。對上述個人信息未加密、處于“裸奔”狀态的隐患，據不願透露姓名的業内專家分(fēn)析，未加密的個人信息存在被“内鬼”等盜取的危險。而通過“内鬼”洩露而收集到的這些真實手機号碼，能偷窺到會員(yuán)的消費(fèi)習慣。如果結合在“暗網”售賣的其他數據源，就能更精準地對用戶進行畫像。上海市網信辦相關人員(yuán)補充說，洩露的個人信息還有可能被用于電(diàn)信詐騙，“通過對個人信息的分(fēn)析研判，電(diàn)詐涉案人員(yuán)可以判斷出你是否屬于容易上當的特殊人群”。

失範的“超級管理員(yuán)”：

如果說1.5億條的會員(yuán)個人信息和18萬條的員(yuán)工(gōng)信息，因爲未加密存在洩露的風險，那麽該知(zhī)名火(huǒ)鍋連鎖品牌超範圍賦予的“超級管理員(yuán)”則進一(yī)步加劇了信息洩露的風險。因爲擁有最高權限和不受限制的完全訪問權，所謂的“超級管理員(yuán)”在設置時一(yī)般嚴控數量。澎湃新聞從上海市網信辦了解到，在檢查上述火(huǒ)鍋品牌時，技術人員(yuán)發現其會員(yuán)運營管理平台的“超級管理員(yuán)”賬号竟然高達20餘個。“企業運營系統設置的‘超級管理員(yuán)’一(yī)般都在1-2名，且是專人專責管理。該火(huǒ)鍋品牌明顯存在操作權限分(fēn)配不合理。”參與檢查的技術人員(yuán)告訴澎湃新聞，此舉更是加劇了會員(yuán)個人信息洩露風險，“會員(yuán)個人信息洩露的概率一(yī)下(xià)子就會變成1:20以上”。對爲何設置如此之多的“超級管理員(yuán)”，該火(huǒ)鍋品牌稱是爲了系統測試需要。至于18萬條的員(yuán)工(gōng)個人信息，據介紹，該火(huǒ)鍋品牌的人事系統部分(fēn)賬号同樣可以查到包括身份證号碼、家庭地址等在内的個人敏感信息。此外(wài)，澎湃新聞了解到，在收集個人信息環節，該火(huǒ)鍋品牌外(wài)送微信小(xiǎo)程序在填寫收貨地址信息時，還強制用戶同意打開(kāi)位置權限獲取精準位置信息，否則無法添加收貨地址，存在強制索取非必要權限問題。這一(yī)違法違規行爲目前已完成整改。澎湃新聞日前點擊其外(wài)送微信小(xiǎo)程序中(zhōng)的“收貨地址”一(yī)欄發現，當前相關小(xiǎo)程序不再強制采集精準位置信息，用戶已經可以手動選擇地點或填寫收貨地址。

亟需提高的合規意識：

針對該火(huǒ)鍋品牌查實的違法違規行爲，上海市網信辦相關負責人強調，企業提高個人信息安全保護的合規意識至關重要。“企業收集的信息量越大(dà)，收集信息内容越敏感，企業相應要承擔的法律責任就應該越嚴格。而企業合規意識的缺失，就意味着消費(fèi)者個人信息洩露的風險越大(dà)。”上海市網信辦相關負責人同時表示，個人信息受法律保護、關乎切身利益，任何組織和個人不得侵害。此次上海市網信辦通過發布典型案例，希望對行業對相關企業能起到“以案示警、以案爲戒、以案促改”的警示教育意義，有助于各企業固強補弱，提高保護消費(fèi)者個人信息的合規意識，切實履行個人信息保護的義務和法律責任。數據顯示，2023年6月啓動的“亮劍浦江”專項行動，上海市區兩級網信、市場監管部門已累計檢查企業6043家，依法對520餘家企業進行約談，查處各類個人信息保護案件50餘件。上海市網信辦表示，下(xià)一(yī)步将深入貫徹落實個人信息保護法等法律法規要求，持續加強個人信息保護工(gōng)作，督促企業切實履行好主體(tǐ)責任，對問題嚴重、屢教不改的企業堅決予以依法查處。上海市網信辦還提醒消費(fèi)者，在日常點餐中(zhōng)可積極落實上海市網信辦提出的“六不”建議，做到“隐私政策不告知(zhī)不繼續”“非必要個人信息不提供”“一(yī)鍵要号碼不允許”“‘被’會員(yuán)誘關注不沖動”“定向推營銷廣告不接受”。

消息來源：FREEBUF  https://www.freebuf.com/news/390992.html

來源:本安全周報所推送内容由網絡收集整理而來，僅用于分(fēn)享，并不意味着贊同其觀點或證實其内容的真實性，部分(fēn)内容推送時未能與原作者取得聯系，若涉及版權問題，煩請原作者聯系我(wǒ)(wǒ)們，我(wǒ)(wǒ)們會盡快删除處理，謝謝！