2025-05-21 17:15 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
•中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》
•广州某科技公司遭网络攻击,境外“黑手”被锁定
•《爱剪辑》等35款移动应用因违法违规收集使用个人信息被通报
•LockBit内幕曝光,数据揭示勒索软件产业"高投入低回报"现实
•VanHelsing勒索软件源代码因内部纠纷在黑客论坛曝光
•无审查AI工具Venice.ai暗网走红,引发安全担忧
•物流公司遭网络攻击,波及Tesco等英国超市巨头
•警惕!废弃云资源 DNS漏洞正被威胁组织劫持用于分发恶意软件
•债务催收机构数据泄露波及多家医疗机构,Harbin诊所21万患者信息暴露
特别关注
中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》
近日,中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》(以下简称《工作要点》)。
《工作要点》要求,以全面推进IPv6技术创新与融合应用为主线,增强内生发展动力,完善技术产业生态,有力支撑网络强国建设。
《工作要点》明确了2025年工作目标:到2025年末,全面建成全球领先的IPv6技术、产业、设施、应用和安全体系。IPv6活跃用户数达到8.5亿,物联网IPv6连接数达到11亿,固定网络IPv6流量占比达到27%,移动网络IPv6流量占比达到70%。IPv6内生发展动力明显提升;IPv6使用体验明显提升;政企机构IPv6部署水平明显提升;IPv6单栈部署力度持续加大;IPv6创新生态持续完善;IPv6安全能力持续改进,各类安全产品的IPv6功能进一步丰富、防护能力进一步提高。
《工作要点》部署了9个方面42项重点任务:一是增强内生发展动力;二是强化网络服务保障;三是加大应用基础设施供给;四是深化单栈规模部署;五是提高终端设备连通水平;六是深化融合应用;七是促进创新生态和标准体系建设;八是强化试点示范和宣传推广;九是强化网络安全保障。
原文链接:
广州某科技公司遭网络攻击,境外“黑手”被锁定
广州市公安局天河区分局官方微博5月20日发布警情通报称,广州某科技公司自助设备的后台系统遭受网络攻击并被上传多份恶意代码。接警后,公安机关立即开展调查,提取相关样本,依法固定电子证据。经对网络攻击手法和相关恶意代码样本开展技术分析,现已初步判定该事件为境外黑客组织发起的网络攻击活动。
攻击者利用技术手段绕过该公司的网络防护装置,非法进入自助设备的后台系统,通过横向移动渗透控制多台网络设备,向这些设备中的后台系统非法上传多份攻击程序,使其官方网站和部分业务系统受到影响,导致网络服务中断数小时,给公司造成了重大损失,部分用户隐私信息疑遭泄露。
据警方透露,此次网络攻击是境外黑客组织的一次有组织、有预谋的大规模网络攻击行动,带有明显的网络战痕迹,并非普通个人黑客所能完成。初步追踪溯源发现,该黑客组织长期使用开源工具对我重要部门、敏感行业和科技公司开展网络资产扫描探测,广泛搜寻攻击目标,通过技术手段挖掘目标单位网络防护薄弱环节和攻击点位,伺机入侵控制目标系统,窃取、破坏重要数据,干扰相关机构正常运营。技术团队分析认为,攻击者的作案手法及相关技术水平较低,攻击过程中暴露出大量网络线索,公安机关正在对相关线索开展技术分析和侦查调查。
原文链接:
《爱剪辑》等35款移动应用因违法违规收集使用个人信息被通报
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,在应用宝中35款移动应用存在违法违规收集使用个人信息情况。
检测发现的主要问题包括:12款应用未以结构化清单方式列出个人信息收集规则;18款应用实际收集的个人信息超出用户授权范围;2款应用在隐私政策中描述的个人信息收集与业务功能无直接关联;8款应用在配置文件中声明与所有业务功能均无关联的权限;1款应用申请的权限与业务功能无关联;2款应用提前要求用户授权未使用功能的权限;2款应用提前要求填写未使用功能需要的个人信息;2款应用实际收集的个人信息与业务功能无关联;10款应用收集个人信息的频率与业务功能无关联;1款应用未提供更正个人信息的途径;5款应用广告存在误导、欺骗用户行为。
涉及问题的应用包括《爱剪辑》《智谱清言》《Kimi》《Wink》《智慧AI聊天》《剪辑软件》《视频剪辑》等知名应用。其中,《剪辑软件》《妙剪》《创游世界》《台铃电动》等多款应用同时存在多项违规行为。
原文链接:
热点观察
LockBit内幕曝光,数据揭示勒索软件产业"高投入低回报"现实
近期,知名勒索软件组织LockBit遭遇数据泄露,暴露了其内部运营细节。这些通过Tor网络短暂公开的文件,让研究人员有机会深入了解LockBit如何运作其勒索软件即服务(RaaS)业务。
Ontinue公司安全运营中心分析师Rhys Downing对泄露数据进行了深入分析。泄露内容包括聊天记录、勒索软件构建记录、配置文件、比特币钱包地址和附属机构标识符等关键信息。
其中,"builds"表格记录了附属机构创建的每个勒索软件负载。每条记录包含附属机构ID、公钥和私钥、目标公司信息,以及预期的赎金要求。这些数据显示,一些附属机构设定了高达数亿美元的赎金要求。然而,尽管有数百个勒索软件构建和激进的赎金要求,246个受害者中仅有7个被记录为支付了赎金,且没有一个显示确认收到解密工具。数据库显示,仅2.8%的案例中,标记为支付给附属机构的佣金字段大于零。
LockBit使用模块化负载构建器、附属机构仪表板和强大的后端基础设施。附属机构可以调整构建配置,控制从加密哪些文件到解密器使用后是否自删除等各种功能。
原文链接:
https://hackread.com/lockbit-leak-affiliates-pressure-tactics-rarely-paid/
VanHelsing勒索软件源代码因内部纠纷在黑客论坛曝光
近日,VanHelsing勒索软件即服务(RaaS)运营团队在RAMP网络犯罪论坛上公开发布了其附属面板、数据泄露博客和Windows加密器构建器的源代码,此举是为了应对一名前开发人员试图以1万美元出售这些代码的行为。
VanHelsing于2025年3月启动,宣称能够攻击Windows、Linux、BSD、ARM和ESXi系统。据Ransomware.live统计,该勒索软件团伙已有八个已知受害者。
事件始于一位使用"th30c0der"别名的人试图在RAMP论坛上出售VanHelsing附属面板和数据泄露Tor站点的源代码,以及Windows和Linux加密器的构建器。为了反制这一行为,VanHelsing运营者决定抢先发布源代码,并透露th30c0der是他们的一名前开发人员。他们宣称当天发布的旧版源代码,并将很快推出新改进版本的锁定器(VanHelsing 2.0)。
然而,这次泄露的数据并不完整,缺少Linux构建器和数据库,这些对执法机构和网络安全研究人员来说本可能更有价值。网络安全专业媒体BleepingComputer已获取并确认泄露的源代码,并研究发现构建器的源代码组织混乱,Visual Studio项目文件被放在通常用于存放编译二进制文件的"Release"文件夹中。使用VanHelsing构建器需要一些额外工作。
这并非首次勒索软件构建器或加密器源代码泄露。此前Babuk(2021年6月)、Conti(2022年3月)和LockBit(2022年9月)的源代码泄露都导致其他威胁行为者迅速利用这些代码发动攻击。
原文链接:
网络攻击
无审查AI工具Venice.ai暗网走红,引发安全担忧
新型AI聊天机器人Venice.ai因缺乏内容限制而在地下黑客论坛中迅速走红。根据网络安全公司Certo最新调查,该平台以每月仅18美元的订阅费提供无审查的高级语言模型服务,大幅低于其他暗网AI工具如WormGPT和FraudGPT数百甚至数千美元的价格。
Venice.ai注重隐私设计,仅在用户浏览器中存储聊天历史,并将自身定位为"私密且无权限限制"的服务,可禁用剩余安全过滤器的功能,使其对网络犯罪分子极具吸引力。与ChatGPT等主流工具不同,Venice.ai能够按需生成钓鱼邮件、恶意软件和间谍软件代码。在测试中,Certo成功地让该聊天机器人创建了逼真的诈骗信息和功能完整的勒索软件,甚至生成了一个能够在用户不知情的情况下录制音频的Android间谍应用。
Venice.ai还被配置为完全绕过伦理约束。在一个例子中,它推理了一个非法提示,承认其恶意性质后仍继续执行,生成的输出包括隐蔽的C#键盘记录器、基于Python的勒索软件和具备启动时激活和音频上传功能的Android间谍软件。
专家呼吁采取多管齐下的应对措施,包括在AI模型中嵌入更强大的安全保障、开发能够识别AI生成威胁的检测工具、实施问责制监管框架,以及扩大公众教育以帮助个人识别和应对AI赋能的欺诈行为。
原文链接:
https://www.infosecurity-magazine.com/news/uncensored-ai-tool-cybersecurity/
物流公司遭网络攻击,波及Tesco等英国超市巨头
英国主要物流公司Peter Green Chilled日前确认遭遇网络攻击,导致其计算机系统瘫痪,影响了包括Tesco、Sainsbury's和Aldi在内的多家大型超市的供应链运作。
据报道,此次攻击发生在上周三,导致次日所有订单处理暂停,仅周三已准备完毕的订单得以按计划发出。尽管公司表示正向客户提供定期更新和临时解决方案以维持配送,但供应商Wilfred Emmanuel-Jones透露,他约有十个托盘的肉类产品存放在Peter Green Chilled仓库,如不能及时送达零售商,可能面临损失数千英镑的风险。
值得注意的是,这并非英国零售业近期遭遇的唯一网络安全事件。5月份,Marks & Spencer和Co-op等大型零售商也成为黑客的攻击目标。英国国家网络安全中心(NCSC)正与这些受影响组织合作调查攻击并减轻潜在损害。NCSC首席执行官Richard Horne敦促所有组织遵循NCSC网站上的建议,确保采取适当措施预防攻击并有效应对。
原文链接:
https://thecyberexpress.com/peter-green-chilled-cyberattack/
警惕!废弃云资源 DNS漏洞正被威胁组织劫持用于分发恶意软件
安全研究人员发现,威胁组织"Hazy Hawk"正在利用指向废弃云服务的DNS CNAME记录,劫持政府、大学和财富500强公司的可信子域名,用于分发诈骗内容、假冒应用和恶意广告。
根据Infoblox研究团队的报告,Hazy Hawk首先通过被动DNS数据验证扫描寻找指向已废弃云端点的CNAME记录,然后注册与废弃CNAME中相同名称的新云资源,导致原始域名的子域名解析到攻击者新建的云托管站点。利用这种技术,攻击者已成功劫持多个高知名度域名,包括美国疾病控制与预防中心(cdc.gov)、加州大学伯克利分校(berkeley.edu)、联合国儿童基金会(unicef.org)、四大会计师事务所(ey.com、pwc.com、deloitte.com)以及澳大利亚卫生部(health.gov.au)等。
一旦控制子域名,攻击者会在其下生成数百个恶意URL,这些URL在搜索引擎中因父域名的高信任度而显得合法。受害者点击这些URL后会被重定向通过多层域名和TDS基础设施,系统会根据设备类型、IP地址和VPN使用情况等对用户进行分析筛选。这些被劫持的站点主要用于技术支持诈骗、虚假防病毒警报、假冒流媒体/色情网站和钓鱼页面。被诱骗允许浏览器推送通知的用户即使离开诈骗网站后仍会收到持续的警报,为Hazy Hawk带来可观收益。
专家指出,CNAME记录容易被忽视,因此容易遭受隐蔽滥用。安全专家建议域名所有者应在关闭资源后立即删除相应的DNS CNAME记录;终端用户则应拒绝来自未知网站的通知请求。
原文链接:
债务催收机构数据泄露波及多家医疗机构,Harbin诊所21万患者信息暴露
美国佐治亚州的知名医疗机构Harbin诊所近日披露,其合作的债务催收机构Nationwide Recovery Services (NRS)遭遇网络攻击,导致超过21万名患者的个人信息被泄露。
据调查,黑客于2024年7月5日至11日期间入侵NRS网络系统并窃取敏感数据,事件最初因系统异常活动和网络中断而被发现。然而,NRS直到2025年2月才正式通知Harbin诊所患者数据受到影响,并于3月提供了受影响个人的详细名单。被泄露的信息包括姓名、出生日期、社会安全号码、财务账户详情、担保人数据、地址和医疗信息。尽管NRS表示"没有证据表明此事件已导致身份盗窃或欺诈",Harbin诊所仍向210,140名受影响患者提供了24个月的免费身份监控服务。
此次数据泄露影响范围远超Harbin诊所。NRS 是一家与美国佐治亚州医疗保健提供商签约的收债机构。今年4月,多家NRS客户也报告受到该事件波及,包括埃尔兰格健康中心、汉密尔顿医疗保健系统(以 Vitruvian Health 名义运营)、埃尔伯特纪念医院、DRH 健康机构、 Rhea 医疗中心等医疗实体,甚至查塔努加市均已确认,共计超过11万人受影响。安全专家对通知延迟表示担忧。
原文链接:
https://www.infosecurity-magazine.com/news/debt-collector-breach-affects/
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
